CN110351299A

CN110351299A - 一种网络连接检测方法和装置

Info

Publication number: CN110351299A
Application number: CN201910675601.5A
Authority: CN
Inventors: 孙尚勇
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2019-07-25
Filing date: 2019-07-25
Publication date: 2019-10-18
Anticipated expiration: 2039-07-25
Also published as: CN110351299B

Abstract

本申请提供了一种网络连接检测方法和装置，该方法包括：在预设时间段内，获取客户端向服务器发送的多个访问请求，其中，每个访问请求包括对应的请求路径，访问请求通过待检测网络连接发送，通过对多个请求路径进行编码处理，得到待检测网络连接对应的特征向量，将特征向量输入至预先训练的连接检测网络模型，得到表示待检测网络连接是否为异常网络连接的输出结果。基于上述处理，能够提高检测效率。

Description

一种网络连接检测方法和装置

技术领域

本申请涉及互联网技术领域，特别是涉及一种网络连接检测方法和装置。

背景技术

随着互联网技术的快速发展，网站能够提供的信息越来越丰富，用户可以通过访问网站获得大量信息。然而，恶意攻击者对网站进行恶意访问的情况也越来越多。例如，通过网络爬虫频繁访问网站，在严重的情况下，可能会导致网站无法被正常访问。

现有技术中，为了保证网站能够被正常访问，网站的运维人员可以手动对网站运行过程中产生的日志进行分析，例如，当运维人员发现通过某一网络连接的访问量特别高时，可以认为该网络连接为恶意攻击者使用恶意终端通过网络爬虫与服务器建立的网络连接。进而，可以屏蔽通过该网络连接接收到的访问请求，从而减少由于网络爬虫频繁访问网站而导致的网站无法被正常访问的情况。

然而虽然应用上述手动分析日志的方式能够找出采用网络爬虫的网络连接，但是这种方式依赖于运维人员的经验、效率较低。

发明内容

有鉴于此，本申请提供一种网络连接检测方法和装置，能够提高检测效率。具体技术方案如下：

第一方面，本申请提供了一种网络连接检测方法，所述方法包括：

在预设时间段内，获取客户端向服务器发送的多个访问请求，每个访问请求包括对应的请求路径，所述访问请求通过待检测网络连接发送；

通过对多个请求路径进行编码处理，得到所述待检测网络连接对应的特征向量；

将所述特征向量输入至预先训练的连接检测网络模型，得到表示所述待检测网络连接是否为异常网络连接的输出结果；

其中，所述连接检测网络模型为通过输入参数以及输出参数对原始连接检测网络模型的模型参数进行多次训练后得到，所述原始连接检测网络模型的输入参数为样本网络连接对应的特征向量，所述原始连接检测网络模型的输出参数为所述样本网络连接为异常网络连接的概率以及所述样本网络连接为正常网络连接的概率。

可选的，所述特征向量包括多个特征元素；

所述通过对多个请求路径进行编码处理，得到所述待检测网络连接对应的特征向量，包括：

如果所述多个请求路径的总数量为第一数量值，则对每个请求路径进行编码处理，得到所述每个请求路径对应的路径特征向量；

将得到的多个路径特征向量按序排列；

将排列后的所述多个路径特征向量中的每个路径特征向量依次作为所述多个特征元素中的每个特征元素；

获取所述特征向量，所述特征向量包括的每个特征元素与每个路径特征向量一一对应。

可选的，所述特征向量包括多个特征元素；

如果所述多个请求路径的总数量小于第一数量值，则对每个请求路径进行编码处理，得到所述每个请求路径对应的路径特征向量；

将得到的多个路径特征向量按序排列，并在排序结果的末端添加第二数量值的路径向量，得到所述第一数量值的路径特征向量，所述第二数量值小于所述第一数量值；

将所述第一数量值的路径特征向量中的每个路径特征向量依次作为所述多个特征元素中的每个特征元素；

可选的，所述待检测特征向量包括多个特征元素；

如果所述多个请求路径的总数量大于第一数量值，从所述多个请求路径中获取所述第一数量值的请求路径；

对获取的每个请求路径进行编码，得到获取的所述每个请求路径对应的路径特征向量；

将得到的所述第一数量值的路径特征向量按序排列；

将排列后的所述第一数量值的路径特征向量中的每个路径特征向量依次作为所述多个特征元素中的每个特征元素；

可选的，所述特征向量为多个；

所述将所述特征向量输入至预先训练的连接检测网络模型，得到表示所述待检测网络连接是否为异常网络连接的输出结果，包括：

针对每一所述特征向量，将该特征向量输入至预先训练的连接检测网络模型，得到所述待检测网络连接为异常网络连接的子概率和所述待检测网络连接为正常网络连接的子概率；

计算各特征向量各自对应的所述待检测网络连接为异常网络连接的子概率的平均值；

将计算得到的平均值，作为所述待检测网络连接为异常网络连接的概率；

计算各特征向量各自对应的所述待检测网络连接为正常网络连接的子概率的平均值；

将计算得到的平均值，作为所述待检测网络连接为正常网络连接的概率；

根据所述待检测网络连接为异常网络连接的概率和所述待检测网络连接为正常网络连接的概率，确定所述待检测网络连接是否为异常网络连接。

可选的，所述根据所述待检测网络连接为异常网络连接的概率和所述待检测网络连接为正常网络连接的概率，确定所述待检测网络连接是否为异常网络连接，包括：

如果所述待检测网络连接为异常网络连接的概率大于所述待检测网络连接为正常网络连接的概率；

或者，所述待检测网络连接为异常网络连接的概率大于第一概率阈值；

或者，所述待检测网络连接为正常网络连接的概率小于第二概率阈值，则确定所述待检测网络连接为异常网络连接，其中，所述第二概率阈值与所述第一概率阈值的和值为1。

可选的，所述连接检测网络模型为卷积神经网络模型；

所述针对每一所述特征向量，将该特征向量输入至预先训练的连接检测网络模型，得到所述待检测网络连接为异常网络连接的子概率和所述待检测网络连接为正常网络连接的子概率，包括：

针对每一所述特征向量，根据所述卷积神经网络模型中的卷积层，对该特征向量中的特征元素的值进行卷积计算；

根据所述卷积神经网络模型中的全连接层，对卷积计算的结果加权求和；

根据所述卷积神经网络模型中的输出层，对加权求和的结果进行回归处理，得到所述待检测网络连接为异常网络连接的子概率和所述待检测网络连接为正常网络连接的子概率。

第二方面，本申请提供了一种网络连接检测装置，所述装置包括：

获取模块，用于在预设时间段内，获取客户端向服务器发送的多个访问请求，每个访问请求包括对应的请求路径，所述访问请求通过待检测网络连接发送；

第一处理模块，用于通过对多个请求路径进行编码处理，得到所述待检测网络连接对应的特征向量；

第二处理模块，用于将所述特征向量输入至预先训练的连接检测网络模型，得到表示所述待检测网络连接是否为异常网络连接的输出结果；

可选的，所述特征向量包括多个特征元素；

所述第一处理模块，具体用于如果所述多个请求路径的总数量为第一数量值，则对每个请求路径进行编码处理，得到所述每个请求路径对应的路径特征向量；

将得到的多个路径特征向量按序排列；

可选的，所述特征向量包括多个特征元素；

所述第一处理模块，具体用于如果所述多个请求路径的总数量小于第一数量值，则对每个请求路径进行编码处理，得到所述每个请求路径对应的路径特征向量；

可选的，所述待检测特征向量包括多个特征元素；

所述第一处理模块，具体用于如果所述多个请求路径的总数量大于第一数量值，从所述多个请求路径中获取所述第一数量值的请求路径；

将得到的所述第一数量值的路径特征向量按序排列；

可选的，所述特征向量为多个；

所述第二处理模块，具体用于针对每一所述特征向量，将该特征向量输入至预先训练的连接检测网络模型，得到所述待检测网络连接为异常网络连接的子概率和所述待检测网络连接为正常网络连接的子概率；

可选的，所述第二处理模块，具体用于如果所述待检测网络连接为异常网络连接的概率大于所述待检测网络连接为正常网络连接的概率；

可选的，所述连接检测网络模型为卷积神经网络模型；

所述第二处理模块，具体用于针对每一所述特征向量，根据所述卷积神经网络模型中的卷积层，对该特征向量中的特征元素的值进行卷积计算；

第三方面，本申请提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现第一方面所述的任一方法步骤。

第四方面，本申请提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器：实现第一方面所述的任一方法步骤。

第五方面，本申请提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的任一方法步骤。

因此，通过应用本申请提供的一种网络连接检测方法和装置，在预设时间段内，获取客户端向服务器发送的多个访问请求，其中，每个访问请求包括对应的请求路径，访问请求通过待检测网络连接发送，通过对多个请求路径进行编码处理，得到待检测网络连接对应的特征向量，将特征向量输入至预先训练的连接检测网络模型，得到表示待检测网络连接是否为异常网络连接的输出结果。与现有技术相比，应用本申请提供的方案对网络连接进行检测时，不需要依赖运维人员的经验。另外，在数据处理方面相对于自然人来说，电子设备的处理效率高，所以应用本申请提供的方案，能够提高检测效率。

当然，实施本申请的任一产品或方法并不一定需要同时达到以上的所有优点。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种网络连接检测方法的流程图；

图2为本申请实施例提供的一种网络连接检测方法的流程图；

图3为本申请实施例提供的一种网络连接检测方法示例的流程图；

图4为本申请实施例提供的一种网络连接检测装置的结构图；

图5为本申请实施例提供的一种电子设备的结构图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

参见图1，图1为本申请实施例提供的一种网络连接检测方法的流程示意图，该方法可以包括：

S101：在预设时间段内，获取客户端向服务器发送的多个访问请求。

其中，每个访问请求包括对应的请求路径，访问请求为客户端通过待检测网络连接向服务器发送的。预设时间段的时长可以根据具体应用需求设定，例如，可以是1小时、2小时等等。

为了对待检测网络连接进行检测，可以获取预设时间段内，通过待检测网络连接接收到的多个访问请求(可以称为待检测访问请求)。

访问请求通常可以包括请求路径和请求参数两部分。例如，在访问请求“http://www2.soopat.com/Home/Result？Search&FMSQ＝Y”中，“？”之前的部分“http://www2.soopat.com/Home/Result”为该访问请求的请求路径，“？”之后的部分“Search&FMSQ＝Y”为该访问请求的请求参数。

无论是通过正常网络连接，还是通过异常网络连接，都可以接收到客户端发送的一系列访问请求，而通过恶意网络连接接收到的访问请求在时间上的规律性，与通过正常网络连接接收到的访问请求在时间上的规律性不一致，因此，针对待检测网络连接，可以基于通过待检测网络连接接收到的多个访问请求，判断待检测网络连接是正常网络连接还是异常网络连接。

另外，有些访问请求也可以不携带请求参数，因此，为了能够得到通过某一网络连接接收到的多个访问请求在时间上的规律性，可以去除请求参数的影响，将访问请求按照其携带的请求路径进行区分。

例如，待检测访问请求包括：

https://www.baidu.com/s？wd＝XXY&rs_src＝0；

https://www.baidu.com/s？wd＝XXX&rs_src＝0；

https://www.google.com/s？wd＝XXX&rs_src＝0；

https://www.sina.com/s？wd＝ZZZ&rs_src＝0。

可以得到待检测网络连接对应的请求路径(可以称为待检测请求路径)包括：https://www.baidu.com/s、https://www.baidu.com/s、https://www.google.com/s和https://www.sina.com/s。

S102：通过对多个请求路径进行编码处理，得到待检测网络连接对应的特征向量。

为了能够基于网络模型对待检测网络连接进行检测，可以对待检测请求路径进行编码处理，根据编码处理的结果，得到待检测网络连接对应的特征向量(可以称为待检测特征向量)，并将得到的待检测特征向量输入至预先训练的网络模型(即本申请实施例中的连接检测网络模型)，以对待检测网络连接进行检测。

另外，连接检测网络模型通常具有一定数目的输入参数，即，待检测特征向量可以包括多个特征元素，可选的，根据获取的待检测请求路径的数目(可以称为待检测数目)的不同，S102可以包括以下三种情况：

情况一：如果多个请求路径的总数量为第一数量值，则对每个请求路径进行编码处理，得到每个请求路径对应的路径特征向量，将得到的多个路径特征向量按序排列，将排列后的多个路径特征向量中的每个路径特征向量依次作为多个特征元素中的每个特征元素，获取特征向量。

其中，待检测特征向量包括的每个特征元素与每个路径特征向量一一对应。第一数量值可以为连接检测网络模型的输入参数的数目。第一数量值能够体现预设时间段所持续的时长内，通过一个网络连接接收到的访问请求的平均数目。

因此，可以根据预设时间段所持续的时长内，通过多个网络连接各自接收到的访问请求的数目，确定第一数量值。

例如，可以统计预设时间段所持续的时长内，通过多个网络连接分别接收到的访问请求的数目，进而，计算通过各网络连接接收到的访问请求的数目的平均值，作为第一数量值。

或者，可以统计预设时间段所持续的时长内，通过多个网络连接分别接收到的访问请求的数目，进而，确定接收到的访问请求的数目的正态分布信息，正态分布信息可以包括通过网络连接接收到的访问请求的数目的期望值、标准差等。

可以理解的是，在正态分布中从峰值位置向左右两侧，越向左右两侧延伸事件的发生概率越小。鉴于此，可以确定通过网络连接接收到的访问请求的数目大部分分布在μ±2σ的范围内，其中，μ表示正态分布的期望值，σ表示正态分布的标准差，可以将μ+2σ的数值作为第一数量值。

一种实现方式中，在确定第一数量值后，如果待检测数目等于第一数量值，则可以确定每一待检测请求路径的编码矩阵，一个待检测请求路径的编码矩阵用于表示该待检测请求路径的唯一性，一个编码矩阵可以为1×N的矩阵，N为待检测请求数目。

然后，可以根据Word2Vec(word to vector，词向量)模型和各待检测请求路径的编码矩阵，得到各自对应的路径特征向量。

例如，待检测请求路径包括：https://www.baidu.com/s、https://www.google.com/s和https://www.sina.com/s。https://www.baidu.com/s的编码矩阵可以为[0 0 1]，https://www.google.com/s的编码矩阵可以为[0 1 0]，https://www.sina.com/s的编码矩阵可以为[1 0 0]。

然后，获取预先训练的Word2Vec模型的输入权重矩阵，Word2Vec模型可以为CBOW(Continuous Bag-of-Words，连续词袋)模型，或者，Skip-Gram(连续跳跃元语法)模型。

将[0 0 1]、[0 1 0]、[1 0 0]分别与Word2Vec模型的输入权重矩阵相乘，得到https://www.baidu.com/s、https://www.google.com/s和https://www.sina.com/s各自的路径特征向量。

如果输入权重矩阵为则https://www.baidu.com/s的路径特征向量为https://www.google.com/s的路径特征向量为https://www.sina.com/s的路径特征向量为

进而，可以根据对应的访问请求的发送时间的先后顺序，对得到的多个路径特征向量进行排序，并将排序后的多个路径特征向量中的每个路径特征向量依次作为待检测特征向量中的多个特征元素中的每个特征元素，得到待检测特征向量。

情况二：如果多个请求路径的总数量小于第一数量值，则对每个请求路径进行编码处理，得到每个请求路径对应的路径特征向量，将得到的多个路径特征向量按序排列，并在排序结果的末端添加第二数量值的路径向量，得到第一数量值的路径特征向量，将第一数量值的路径特征向量中的每个路径特征向量依次作为多个特征元素中的每个特征元素，获取特征向量。

其中，第二数量值小于第一数量值，第二数量值为第一数量值与待检测数目的差值。待检测特征向量包括的每个特征元素与每个路径特征向量一一对应。

一种实现方式中，在确定第一数量值后，如果待检测数目小于第一数量值，在根据Word2Vec模型，得到各自对应的路径特征向量后，则需要添加一定数目的路径向量，使得添加路径向量后，得到的新的向量能够被连接检测网络模型进行处理。

例如，可以根据对应的访问请求的发送时间的先后顺序，对得到待检测数目个路径特征向量进行排序，并在排序结果的末端添加第二数量值个路径向量，得到第一数量值个路径特征向量，进而，将排序后的第一数量值个路径特征向量中的每个路径特征向量依次作为待检测特征向量中的多个特征元素中的每个特征元素，得到待检测特征向量。添加的路径向量可以为零向量。

情况三：如果多个请求路径的总数量大于第一数量值，从多个请求路径中获取第一数量值的请求路径，对获取的每个请求路径进行编码，得到获取的每个请求路径对应的路径特征向量，将得到的第一数量值的路径特征向量按序排列，将排列后的第一数量值的路径特征向量中的每个路径特征向量依次作为多个特征元素中的每个特征元素，获取特征向量。

其中，待检测特征向量包括的每个特征元素与每个路径特征向量一一对应。

一种实现方式中，在确定第一数量值后，如果待检测数目大于第一数量值，可以从待检测请求路径中获取第一数量值个请求路径，并根据Word2Vec模型，得到对应的路径特征向量。

进而，可以根据对应的访问请求的发送时间的先后顺序，对得到的第一数量值个路径特征向量进行排序，并将排序后的第一数量值个路径特征向量中的每个路径特征向量依次作为待检测特征向量中的多个特征元素中的每个特征元素，得到待检测特征向量。

另外，还可以从待检测请求路径中获取多组请求路径，每组请求路径的数目均为第一数量值。针对每一组请求路径，根据Word2Vec模型，得到各请求路径对应的路径特征向量，然后，得到该组请求路径对应的待检测特征向量，进而，可以得到多个待检测特征向量。

在从待检测请求路径中获取多组请求路径后，如果待检测请求路径中还剩余请求路径，且剩余的请求路径的数目小于第一数量值，则可以根据上述情况二中的方法，对剩余的请求路径进行处理，得到一个新的待检测特征向量。

例如，第一数量值为100，待检测数目为360，则可以从待检测请求路径中依次获取100个、100个、100个、60个请求路径，得到四组请求路径。针对包含100个请求路径的分组，可以直接得到对应的待检测特征向量。针对包含60个请求路径的分组，在得到该组请求路径对应的路径特征向量后，可以在得到的路径特征向量后添加40个零向量，得到一个待检测特征向量，进而，能够得到4个待检测特征向量。

可以理解的是，上述三种情况中，生成的待检测特征向量可以为L×M维度的向量，L表示第一数量值，M的值可以由技术人员根据经验进行设置，M的值也可以根据L的大小确定。

可见，本申请实施例提出的方案，通过对访问请求去请求参数、统一特征向量的维度等处理，可以对电子设备原本无法处理的访问请求相关的数据，进行统一格式计算，该方式数据信息丢失少，计算量小，能够进一步提高检测的效率。

S103：将特征向量输入至预先训练的连接检测网络模型，得到表示待检测网络连接是否为异常网络连接的输出结果。

其中，连接检测网络模型为通过输入参数以及输出参数对原始连接检测网络模型的模型参数进行多次训练后得到，原始连接检测网络模型的输入参数为样本网络连接对应的特征向量，原始连接检测网络模型的输出参数为样本网络连接为异常网络连接的概率以及样本网络连接为正常网络连接的概率。

例如，某一样本网络连接为异常网络连接，则该样本网络连接的样本标识可以包括：为异常网络连接的概率为1，为正常网络连接的概率为0；某一样本网络连接为正常网络连接，则该样本网络连接的样本标识可以包括：为异常网络连接的概率为0，为正常网络连接的概率为1。

可选的，在对待检测网络连接进行检测之前，可以根据样本网络连接对原始连接检测网络模型的模型参数进行训练。

与对待检测网络连接的处理过程类似，针对每一样本网络连接，可以基于通过样本网络连接接收到的访问请求(可以称为样本访问请求)包含的请求路径进行编码处理，得到对应的特征向量。

可以理解的是，样本访问请求为预设时间段所持续的时长内，通过样本网络连接接收到的访问请求。

然后，针对每一样本网络连接，将该样本网络连接的特征向量，作为原始连接检测网络模型的输入参数，并将该样本网络连接的样本标识作为原始连接检测网络模型对应的输出参数，进而，可以对原始连接检测网络模型的模型参数进行训练。

一种实现方式中，在将测试网络连接的特征向量输入至训练的连接检测网络模型后，如果得到的连接检测网络模型的损失函数的数值小于预设阈值，则可以确定达到预设停止训练条件，进而，得到训练好的连接检测网络模型。

另一种实现方式中，当根据样本网络连接，对原始连接检测网络模型的模型参数进行训练的次数达到预设次数时，也可以确定达到预设停止训练条件，进而，得到训练好的连接检测网络模型。

另外，针对上述情况三，如果待检测特征向量为多个，参见图2，则S103可以包括以下步骤：

S1031：针对每一特征向量，将该特征向量输入至预先训练的连接检测网络模型，得到待检测网络连接为异常网络连接的子概率和待检测网络连接为正常网络连接的子概率。

如果待检测特征向量为多个，将每一待检测特征向量输入至预先训练的连接检测网络模型，均可以得到对应的输出结果，该输出结果包括：根据该待检测特征向量确定出的待检测网络连接为异常网络连接的子概率(可以称为第一子概率)和待检测网络连接为正常网络连接的概率(可以称为第二子概率)。

因此，可以得到多个第一子概率和多个第二子概率。

一种实现方式中，连接检测网络模型的输出层可以根据上一层输出的向量，得到第一子概率和第二子概率。

例如，输出层可以为soft-max层，输出层可以根据公式(1)，即soft-max函数，计算第一子概率和第二子概率。soft-max函数用于多分类过程中，可以将向量映射到(0，1)区间，得到对应的soft-max值(即本申请实施例中的第一子概率和第二子概率)。

公式(1)可以为：

其中，S_i表示输出层的上一层输出的第i个向量的soft-max值，j表示输出层的上一层输出的向量的总数目。

S1032：计算各特征向量各自对应的待检测网络连接为异常网络连接的子概率的平均值，将计算得到的平均值，作为待检测网络连接为异常网络连接的概率。

可以计算得到的多个第一子概率的平均值，作为根据待检测特征向量确定出的待检测网络连接为异常网络连接的概率(可以称为第一概率)。

S1033：计算各特征向量各自对应的待检测网络连接为正常网络连接的子概率的平均值，将计算得到的平均值，作为待检测网络连接为正常网络连接的概率。

可以计算得到的多个第二子概率的平均值，作为根据待检测特征向量确定出的待检测网络连接为正常网络连接的概率(可以称为第二概率)。

本申请实施例中，可以确定第一概率，然后，确定第二概率；或者，也可以确定第二概率，然后，确定第一概率。对于确定第一概率和第二概率的顺序，本申请实施例并不进行限定。

S1034：根据待检测网络连接为异常网络连接的概率和待检测网络连接为正常网络连接的概率，确定待检测网络连接是否为异常网络连接。

一种实现方式中，如果待检测网络连接为异常网络连接的概率大于待检测网络连接为正常网络连接的概率；或者，待检测网络连接为异常网络连接的概率大于第一概率阈值；或者，待检测网络连接为正常网络连接的概率小于第二概率阈值，则确定待检测网络连接为异常网络连接。

其中，第二概率阈值与第一概率阈值的和值为1。

例如，第一概率为0.7，第二概率为0.3，则可以确定待检测网络连接为异常网络连接。相应的，如果第一概率小于或者等于第二概率，也可以确定待检测网络连接为正常网络连接。

又例如，第一概率为0.5，第一概率阈值为0.45，则可以确定待检测网络连接为异常网络连接。相应的，如果第一概率小于或者等于第一概率阈值，也可以确定待检测网络连接为正常网络连接。

又例如，第二概率为0.5，第二概率阈值为0.55，则可以确定待检测网络连接为异常网络连接。相应的，如果第二概率大于或者等于第二概率阈值，也可以确定待检测网络连接为正常网络连接。

上述第一概率阈值和第二概率阈值的具体数值，可以由技术人员根据经验进行设置。

本申请实施例中的连接检测网络模型可以分类网络模型，可选的，连接检测网络模型可以为卷积神经网络模型，S1031可以包括以下步骤：

针对每一特征向量，根据卷积神经网络模型中的卷积层，对该特征向量中的特征元素的值进行卷积计算，根据卷积神经网络模型中的全连接层，对卷积计算的结果加权求和，根据卷积神经网络模型中的输出层，对加权求和的结果进行回归处理，得到待检测网络连接为异常网络连接的子概率和待检测网络连接为正常网络连接的子概率。

卷积神经网络模型可以包括卷积层、全连接层和输出层。

一种实现方式中，输出层可以为soft-max层，在根据样本网络连接对卷积神经网络模型的模型参数进行训练的过程中，可以根据反向传播算法对连接检测网络模型的模型参数进行调整，直至达到预设停止训练条件，此时，模型参数可以包括卷积层和全连接层的神经元的权重系数和偏置值。

在将待检测特征向量输入至训练好的卷积神经网络模型后，可以根据卷积神经网络模型的卷积层对待检测特征向量中的特征元素的值进行卷积计算，计算的结果为多个向量(可以称为卷积结果向量)，然后，可以根据全连接层，对卷积结果向量进行加权求和，并根据输出层对加权求和的结果进行回归处理，能够得到第一子概率和第二子概率。

参见图3，图3为本申请实施例提供的一种网络连接检测方法示例的流程图，该方法可以包括以下步骤：

S301：对通过样本网络连接在预设时间段所持续的时长内，接收到的访问请求的请求路径进行编码处理，得到样本网络连接的特征向量。

S302：将样本网络连接的特征向量作为卷积神经网络模型的输入参数，并将样本网络连接的样本标识作为对应的输出参数，对卷积神经网络模型的模型参数进行训练。

样本标识包括：样本网络连接为异常网络连接的概率和样本网络连接为正常网络连接的概率。

S303：当达到预设停止训练条件时，完成训练，得到连接检测网络模型。

S304：获取预设时间段内通过待检测网络连接接收到的多个访问请求的请求路径。

S305：通过对多个请求路径进行编码处理，得到待检测网络连接对应的待检测特征向量。

其中，待检测特征向量为多个。

S306：针对每一待检测特征向量，将该待检测特征向量输入至连接检测网络模型，得到待检测网络连接为异常网络连接的子概率和待检测网络连接为正常网络连接的子概率。

S307：计算各待检测特征向量各自对应的待检测网络连接为异常网络连接的子概率的平均值，将计算得到的平均值，作为待检测网络连接为异常网络连接的第一概率。

S308：计算各待检测特征向量各自对应的待检测网络连接为正常网络连接的子概率的平均值，将计算得到的平均值，作为待检测网络连接为正常网络连接的第二概率。

S309：根据第一概率和第二概率，确定待检测网络连接是否为异常网络连接。

基于相同的发明构思，参见图4，图4为本申请实施例提供的一种网络连接检测装置的结构图，该装置可以包括：

获取模块401，用于在预设时间段内，获取客户端向服务器发送的多个访问请求，每个访问请求包括对应的请求路径，所述访问请求通过待检测网络连接发送；

第一处理模块402，用于通过对多个请求路径进行编码处理，得到所述待检测网络连接对应的特征向量；

第二处理模块403，用于将所述特征向量输入至预先训练的连接检测网络模型，得到表示所述待检测网络连接是否为异常网络连接的输出结果；

可选的，所述特征向量包括多个特征元素；

所述第一处理模块402，具体用于如果所述多个请求路径的总数量为第一数量值，则对每个请求路径进行编码处理，得到所述每个请求路径对应的路径特征向量；

将得到的多个路径特征向量按序排列；

可选的，所述特征向量包括多个特征元素；

所述第一处理模块402，具体用于如果所述多个请求路径的总数量小于第一数量值，则对每个请求路径进行编码处理，得到所述每个请求路径对应的路径特征向量；

可选的，所述待检测特征向量包括多个特征元素；

所述第一处理模块402，具体用于如果所述多个请求路径的总数量大于第一数量值，从所述多个请求路径中获取所述第一数量值的请求路径；

将得到的所述第一数量值的路径特征向量按序排列；

可选的，所述特征向量为多个；

所述第二处理模块403，具体用于针对每一所述特征向量，将该特征向量输入至预先训练的连接检测网络模型，得到所述待检测网络连接为异常网络连接的子概率和所述待检测网络连接为正常网络连接的子概率；

可选的，所述第二处理模块403，具体用于如果所述待检测网络连接为异常网络连接的概率大于所述待检测网络连接为正常网络连接的概率；

可选的，所述连接检测网络模型为卷积神经网络模型；

所述第二处理模块403，具体用于针对每一所述特征向量，根据所述卷积神经网络模型中的卷积层，对该特征向量中的特征元素的值进行卷积计算；

可见，基于本申请实施例提供的网络连接检测装置，与现有技术相比，不需要依赖运维人员的经验，能够提高检测效率。

本申请实施例还提供了一种电子设备，如图5所示，包括处理器501、通信接口502、存储器503和通信总线504，其中，处理器501，通信接口502，存储器503通过通信总线504完成相互间的通信，

存储器503，用于存放计算机程序；

处理器501，用于执行存储器503上所存放的程序时，以使该电子设备执行网络连接检测方法的步骤，该步骤包括：

可选的，所述特征向量包括多个特征元素；

所述处理器501执行计算机程序包括的通过对多个请求路径进行编码处理，得到所述待检测网络连接对应的特征向量指令具体为：

将得到的多个路径特征向量按序排列；

可选的，所述特征向量包括多个特征元素；

所述处理器501执行计算机程序包括的通过对多个请求路径进行编码处理，得到所述待检测网络连接对应的特征向量具体为：

可选的，所述特征向量包括多个特征元素；

将得到的所述第一数量值的路径特征向量按序排列；

可选的，所述特征向量为多个；

所述处理器501执行计算机程序包括的将所述特征向量输入至预先训练的连接检测网络模型，得到表示所述待检测网络连接是否为异常网络连接的输出结果指令具体为：

可选的，所述处理器501执行计算机程序包括的根据所述待检测网络连接为异常网络连接的概率和所述待检测网络连接为正常网络连接的概率，确定所述待检测网络连接是否为异常网络连接指令具体为：

可选的，所述连接检测网络模型为卷积神经网络模型；

所述处理器501执行计算机程序包括的针对每一所述特征向量，将该特征向量输入至预先训练的连接检测网络模型，得到所述待检测网络连接为异常网络连接的子概率和所述待检测网络连接为正常网络连接的子概率指令具体为：

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本申请提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一网络连接检测方法的步骤。

在本申请提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一网络连接检测方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、计算机可读存储介质，以及计算机程序产品实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的较佳实施例而已，并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本申请的保护范围内。

Claims

1.一种网络连接检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述特征向量包括多个特征元素；

将得到的多个路径特征向量按序排列；

3.根据权利要求1所述的方法，其特征在于，所述特征向量包括多个特征元素；

4.根据权利要求1所述的方法，其特征在于，所述待检测特征向量包括多个特征元素；

将得到的所述第一数量值的路径特征向量按序排列；

5.根据权利要求1所述的方法，其特征在于，所述特征向量为多个；

6.根据权利要求5所述的方法，其特征在于，所述根据所述待检测网络连接为异常网络连接的概率和所述待检测网络连接为正常网络连接的概率，确定所述待检测网络连接是否为异常网络连接，包括：

7.根据权利要求5所述的方法，其特征在于，所述连接检测网络模型为卷积神经网络模型；

8.一种网络连接检测装置，其特征在于，所述装置包括：

9.根据权利要求8所述的装置，其特征在于，所述特征向量包括多个特征元素；

将得到的多个路径特征向量按序排列；

10.根据权利要求8所述的装置，其特征在于，所述特征向量包括多个特征元素；

11.根据权利要求8所述的装置，其特征在于，所述待检测特征向量包括多个特征元素；

将得到的所述第一数量值的路径特征向量按序排列；

12.根据权利要求8所述的装置，其特征在于，所述特征向量为多个；

13.根据权利要求12所述的装置，其特征在于，所述第二处理模块，具体用于如果所述待检测网络连接为异常网络连接的概率大于所述待检测网络连接为正常网络连接的概率；

14.根据权利要求12所述的装置，其特征在于，所述连接检测网络模型为卷积神经网络模型；