CN114615088A - 一种终端业务流量异常检测模型建立方法及异常检测方法 - Google Patents

一种终端业务流量异常检测模型建立方法及异常检测方法 Download PDF

Info

Publication number
CN114615088A
CN114615088A CN202210436347.5A CN202210436347A CN114615088A CN 114615088 A CN114615088 A CN 114615088A CN 202210436347 A CN202210436347 A CN 202210436347A CN 114615088 A CN114615088 A CN 114615088A
Authority
CN
China
Prior art keywords
coding block
flow data
detection model
vector set
anomaly detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210436347.5A
Other languages
English (en)
Inventor
姚启桂
张实君
来骥
王齐
娄竞
仇慎剑
聂正璞
李硕
杨睿
孟德
李贤�
常海娇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Jibei Electric Power Co Ltd
Original Assignee
State Grid Smart Grid Research Institute Co ltd
State Grid Corp of China SGCC
Information and Telecommunication Branch of State Grid Jibei Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Smart Grid Research Institute Co ltd, State Grid Corp of China SGCC, Information and Telecommunication Branch of State Grid Jibei Electric Power Co Ltd filed Critical State Grid Smart Grid Research Institute Co ltd
Priority to CN202210436347.5A priority Critical patent/CN114615088A/zh
Publication of CN114615088A publication Critical patent/CN114615088A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本文提供了一种终端业务流量异常检测模型建立方法及异常检测方法,所述方法包括:获取带有分类标志的历史电网流量数据;对历史终端业务流量数据进行编码处理,以获得第一特征向量集合;将第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,然后将第二特征向量集合输入到初始异常检测模型的多层感知器中,得到预测结果;根据预测结果和历史终端业务流量流量数据的分类标志,对初始异常检测模型进行训练,以获得训练完成的异常检测模型,本文通过提取电网流量数据的关键信息,同时建立信息间的相互依赖关系,从而提高了异常检测模型训练的可靠性和准确性,进而提高了对电网流量数据异常预测的准确性。

Description

一种终端业务流量异常检测模型建立方法及异常检测方法
技术领域
本文属于能源互联网技术领域,具体涉及一种终端业务流量异常检测模型建立方法及异常检测方法。
背景技术
能源互联网及其终端是社会运行和经济生产的神经中枢,能源网络及其终端的安全是社会安全、生产安全和能源安全的重要保障。电力终端业务流量可以包括调度、用电、配电等专业的控制类与非控制类业务流量。然而目前,能源网络遭遇的网络攻击越来越频繁,攻击手段越来越多,面临的威胁以及后果日益严重。
传统依靠专家知识与经验识别异常和入侵行为已经难以有效检测与防范新形势下的网络攻击。现有技术中也有通过机器学习方法对网络数据进行检测分类,这种技术需要使用特征工程,要求数据具有良好特征,但是,随着网络环境越来越复杂,攻击手段越来越多、越来越灵活,使得提取特征变得更加困难。还有基于深度学习的异常与入侵检测技术,使用神经网络等深度学习技术,通过在原始网络流量上进行训练,自动学习和提取攻击特征和流量特征,虽然深度方法可以学习并提取丰富的入侵特征,但那些用于提取特征的信息不管是否与异常或入侵相关,都被同等对待,实际上,并不是所有信息对构建特征、对流量检测同等重要,从而导致较低的电网终端业务流量数据异常检测准确性,因此亟需一种能够提高能源互联网业务流量异常检测准确性的方案。
发明内容
针对现有技术的上述问题,本文的目的在于,提供一种终端业务流量异常检测模型建立方法及异常检测方法,能够提高能源互联网业务流量异常检测的准确性。
为了解决上述技术问题,本文的具体技术方案如下:
一方面,本文提供一种终端业务流量异常检测模型建立方法,所述方法包括:
获取带有分类标志的历史电网流量数据;
对所述历史电网流量数据进行编码处理,以获得第一特征向量集合;
将所述第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,将所述第二特征向量集合输入到所述初始异常检测模型的多层感知器中,得到预测结果;
根据所述预测结果和所述历史电网流量数据的分类标志,对所述初始异常检测模型进行训练,以获得训练完成的异常检测模型。
进一步地,所述获取带有分类标志的历史电网流量数据,包括:
根据能源互联网终端拓扑结构,确定所述拓扑结构上的终端,并采集与所述终端相关的带有分类标志的初始业务报文;
根据预设业务报文的属性特征,对所述初始业务报文进行切分处理,以获得具有相同数据源和目的的带有分类标志的历史电网流量数据。
进一步地,所述对所述历史电网流量数据进行编码处理,以获得第一特征向量,包括:
对历史电网流量数据中每个字节进行第一编码处理,获得由多个多维词向量组成的词向量集合;
对所述词向量集合中的每个词向量进行第二编码处理,获得初始特征向量集合;
在所述初始特征向量集合的每个初始特征向量中添加可学习分类标志,得到第一特征向量集合。
进一步地,所述编码块包括变换矩阵层、注意力权值计算层、加权层和前馈神经网络层;
任一编码块M中变换矩阵层用于根据每个特征向量N在上一层编码块M-1的输出结果和所述任一编码块M中的变换矩阵,计算得到所述特征向量N在所述任一编码块M中的变换向量;
任一编码块M中注意力权值计算层用于根据每个特征向量N在所述任一编码块M中的变换向量和全部历史电网流量数据对应的特征向量在所述任一编码块M中的变换向量,计算获得所述特征向量N在所述任一编码块M中的注意力权值;
任一编码块M中加权层用于根据所述特征向量N在所述任一编码块M中的注意力权值和全部历史电网流量数据对应的特征向量在所述任一编码块M中的变换向量,计算获得所述特征向量N在所述任一编码M块中对应的加权值;
任一编码块M中前馈神经网络层用于根据所述特征向量N在所述任一编码块M中对应的加权值和所述任一编码块M中线性变换矩阵,计算获得所述特征向量N在所述任一编码块M中的输出结果,其中,最后一层编码块的输出结果为所述特征向量N在多层编码块输出的第二特征向量。
进一步地,所述变换矩阵包括查询变换矩阵、键变换矩阵和值变换矩阵;
所述变换向量包括查询变换向量、键变换向量和值变换向量。
进一步地,第一层编码块中变换矩阵层用于根据所述第一特征向量集合中每个特征向量和所述第一层编码块的变换矩阵,计算得到每个特征向量在所述第一层编码块的变换向量。
另一方面,本文还提供一种终端业务流量异常检测方法,所述方法包括:
获取待检测业务流量数据;
对所述待检测业务流量数据进行编码处理,以获得第一特征向量集合;
将所述第一特征向量集合输入到由权利要求1至11任一项所述方法建立的异常检测模型中,获得所述待检测业务流量数据的分类结果。
另一方面,本文还提供一种业务流量异常检测模型建立装置,所述装置包括:
历史电网流量数据获取模块,用于获取带有分类标志的历史电网流量数据;
编码模块,用于对所述历史电网流量数据进行编码处理,以获得第一特征向量集合;
预测结果获取模块,用于将所述第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,将所述第二特征向量集合输入到所述初始异常检测模型的多层感知器中,得到预测结果;
训练模块,用于根据所述预测结果和所述历史电网流量数据的分类标志,对所述初始异常检测模型进行训练,以获得训练完成的异常检测模型。
另一方面,本文还提供一种终端业务流量异常检测,所述装置包括:
待检测数据获取模块,用于获取待检测业务流量数据;
待检测数据编码模块,用于对所述待检测业务流量数据进行编码处理,以获得第一特征向量集合;
预测模块,用于将所述第一特征向量集合输入到异常检测模型中,获得所述待检测业务流量数据的分类结果。
另一方面,本文还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述所述的方法。
最后,本文还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如上述所述的方法。
采用上述技术方案,本文所述的一种终端业务流量异常检测模型建立方法及异常检测方法,其中异常检测模型建立方法通过获取带有分类标志的历史电网流量数据,然后对所述历史电网流量数据进行编码处理,得到第一特征向量,再将所述第一特征向量输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,然后将所述第二特征向量集合输入到所述初始异常检测模型的多层感知器中,得到预测结果,基于预测结果和所述历史电网流量数据的分类标志,对所述初始异常检测模型进行训练,以获得训练完成的异常检测模型,然后通过训练的模型就能实现对电网流量数据异常类型的预测,本文通过提取电网流量数据的关键信息,同时建立信息间的相互依赖关系,对业务理解更加准确,从而提高了异常检测模型训练的可靠性和准确性,进而提高了对电网流量数据异常预测的准确性。
为让本文的上述和其他目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附图式,作详细说明如下。
附图说明
为了更清楚地说明本文实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本文的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本文实施例提供方法的实施环境示意图;
图2示出了本文实施例提供的一种终端业务流量异常检测模型建立方法的步骤示意图;
图3示出了本文实施例中第一特征向量集合获得步骤示意图;
图4示出了本文实施例中编码块的结构示意图;
图5示出了本文实施例提供的一种终端业务流量异常检测模型建立装置的结构示意图;
图6示出了本文实施例提供的一种终端业务流量异常检测方法的步骤示意图;
图7示出了本文实施例提供的一种终端业务流量异常检测装置的结构示意图;
图8示出了本文实施例提供的一种计算机设备的结构示意图。
附图符号说明:
10、客户端;
20、网络;
30、服务器;
110、历史电网流量数据获取模块;
120、编码模块;
130、预测结果获取模块;
140、训练模块;
210、待检测数据获取模块;
220、待检测数据编码模块;
230、预测模块;
802、计算机设备;
804、处理器;
806、存储器;
808、驱动机构;
810、输入/输出模块;
812、输入设备;
814、输出设备;
816、呈现设备;
818、图形用户接口;
820、网络接口;
822、通信链路;
824、通信总线。
具体实施方式
下面将结合本文实施例中的附图,对本文实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本文一部分实施例,而不是全部的实施例。基于本文中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本文保护的范围。
需要说明的是,本文的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本文的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
现有技术中,对能源互联网及其终端中流量数据检测一般通过机器学习方法对网络数据进行检测分类,这种技术需要使用特征工程,要求数据具有良好特征,但是,随着网络环境越来越复杂,攻击手段越来越多、越来越灵活,使得提取特征变得更加困难。还有基于深度学习的异常与入侵检测技术,使用神经网络等深度学习技术,通过在原始网络流量上进行训练,自动学习和提取攻击特征和流量特征,虽然深度方法可以学习并提取丰富的入侵特征,但那些用于提取特征的信息不管是否与异常或入侵相关,都被同等对待,实际上,并不是所有信息对构建特征、对流量检测同等重要,从而导致较低的电网终端业务流量数据异常检测准确性。
实施例一
为了解决上述问题,本说明书实施例提供一种终端业务流量流量异常检测模型建立方法,通过所述方法建立的异常检测模型可以在关注数据流量自身关键信息的基础上,还可以建立数据流量之间的相互依赖关系,从而提高了终端业务流量理解能力,进而提高了异常检测模型预测的准确性。如图1所示,为所述方法的实施环境示意图,可以包括客户端10和服务器30,所述客户端10和所述服务器30之间通过网络20连接,并可以通过所述网络20实现数据交互。
所述客户端10可以与能源互联网对应的后台服务器建立连接,并获取所述后台服务器中存储的历史电网流量数据,所述历史电网流量数据已经做了分类标志,即异常标签;所述客户端10将采集到的历史电网流量数据发送至是服务器30。
所述服务器30中预先配置相应的模型训练逻辑,根据接收到的历史电网流量数据进行异常检测模型的训练,从而得到用于预测电网流量数据异常情况的异常检测模型,具体地,所述服务器30训练过程可以为:对所述历史电网流量数据进行编码处理,以获得第一特征向量集合;将所述第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,将所述第二特征向量集合输入到所述初始异常检测模型的多层感知器中,得到预测结果;根据所述预测结果和所述历史电网流量数据的分类标志,对所述初始异常检测模型进行训练,以获得训练完成的异常检测模型。
在一个可选的实施例中,所述服务器30可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN(ContentDelivery Network,内容分发网络)、以及大数据和人工智能平台等基础云计算服务的云服务器。
在一个可选的实施例中,所述客户端10可以结合服务器10训练出的异常检测模型进行电网数据流量的异常预测。具体的,所述客户端10可以包括但不限于智能手机、台式计算机、平板电脑、笔记本电脑、智能音箱、数字助理、增强现实(Augmented Reality,AR)/虚拟现实(Virtual Reality,VR)设备、智能可穿戴设备等类型的电子设备。可选的,电子设备上运行的操作系统可以包括但不限于安卓系统、IOS系统、Linux、Windows等。
此外,需要说明的是,图1所示的仅仅是本公开提供的一种应用环境,在实际应用中,还可以包括其他应用环境,例如目标图像分割模型的训练,也可以在所述客户端10上实现。
再次需要说明的是,所述客户端10也可以为能源互联网的终端,所述终端可以为智能电表,交换机等设备,通过获取自身历史电网流量数据,并发送至用于训练异常检测模型的服务器30中,最后将训练完成的异常检测模型部署在所述客户端10中或其他关键节点,实现对电网流量数据的实时检测和分类,进而实现了实时的报警。
实施例二
具体地,本文实施例提供了一种终端业务流量异常检测模型建立方法,通过所述方法建立的异常检测模型可以在关注数据流量自身关键信息的基础上,还可以建立数据流量之间的相互依赖关系,从而提高了终端业务流量理解能力,进而提高了异常检测模型预测的准确性。图2是本文实施例提供的一种业务流量异常检测模型建立方法的步骤示意图,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的系统或装置产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行。具体的如图2所示,所述方法可以包括:
S101:获取带有分类标志的历史电网流量数据;
S102:对所述历史电网流量数据进行编码处理,以获得第一特征向量集合;
S103:将所述第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,将所述第二特征向量集合输入到所述初始异常检测模型的多层感知器中,得到预测结果;
S104:根据所述预测结果和所述历史电网流量数据的分类标志,对所述初始异常检测模型进行训练,以获得训练完成的异常检测模型。
可以理解为,本说明书实施例通过对带有分类标志的历史电网流量数据进行编码,得到第一特征向量集合,然后再通过设有多层编码块和多层感知器的初始异常检测模型中进行处理,以获得预测结果,所述预测结果可以为对所述历史电网流量数据的异常类型的预测结果,最后在根据所述预测结果和所述历史电网流量数据提前确定的分类标志对所述初始异常检测模型进行训练,从而得到可以能够准确预测电网流量数据的异常类型的异常检测模型。
所述分类标志可以为所述电网流量数据的异常情况的标签,比如所述分类标志可以正常流量和异常流量,进一步地,所述异常流量还可以分为拒绝服务攻击(Denial ofService attack,DoS)、端口扫描(Port Scans)、后门攻击(Backdoors)、漏洞利用(Exploits)、漏洞挖掘(Fuzzers)、蠕虫攻击(Worms)等电网攻击异常流量。所述异常检测模型的输出结果即为输入的电网流量数据的分类标志。
在本说明书实施例中,所述初始异常检测模型可以为预训练模型,所述预训练模型可以通过公共数据集训练得到,然后再通过所述历史电网流量数据对所述预训练模型进行微调(finetune),通过将预训练模型作为初始异常检测模型,可以提高模型训练的效率,还能保证训练出的异常检测模型更适于检测能源互联网相关联的异常和入侵。所述公共数据集可以为入侵检测数据集,比如NSL-KDD以及UNSW-NB15,具体的公共数据集在本说明书实施例中不做限定。
在本说明书实施例中,所述获取带有分类标志的历史电网流量数据,包括:
根据能源互联网终端拓扑结构,确定所述拓扑结构上的终端,并采集与所述终端相关的带有分类标志的初始业务报文;
根据预设业务报文的属性特征,对所述初始业务报文进行切分处理,以获得具有相同数据源和目的的带有分类标志的历史电网流量数据。
可以理解为,本说明书实施例中通过确定指定区域或指定系统中的能源互联网终端拓扑结构,可以快速确定该指定区域或指定系统内的终端的数量及连接关系,这样可以获得与每个终端相关的初始业务报文,所述初始业务报文可以理解为历史已经进行异常验证过得报文,因此可以确定每个初始业务报文的分类标志。进而根据预设业务部的属性特征,对所述初始业务报文进行切分处理,以得到具有相同数据源和目的的历史电网流量数据,从而通过相同源和目的的数据进行训练,提高了模型训练的可靠性。
网络流量(或者电网终端业务流量报文)一般包含了来自多个源(IP、端口)、去向多个目的(IP、端口)以及不同协议的流量,需要把一段时间内的流量按照源IP、源端口、目的IP、目的端口、协议进行切分,切分后的每一分组流量或来自同一IP、或去向同一IP、或同一IP的不同端口和协议。这样切分之后,才能不仅仅分析一个单独的数据包是否含有入侵行为,而且可以通过分析一段时间内的流量统计特征来判断是否发生入侵或异常。
所述预设业务报文的属性特征可以为报文格式设置方式,报文中不同位置字段表示不同的属性,比如数据源和数据目的则在不同的位置,通过对不同位置字段的提取可以确定所述初始业务报文的属性,并在不同的位置进行切分处理得到电网流量数据,比如对相同数据源和目的的报文进行切分,得到了相应的流量数据包,通过利用所述流量数据包对模型进行训练,可以利用流量数据包中不同流量数据之间的依赖关系参与到训练过程,提高了训练的可靠性。
通过对初始业务报文的切换处理之后,可以得到具有相同数据源和目的的离散报文,为了提高数据的有效性,还可以抽取所述离散报文中的有效数据,丢弃IP报头等无用数据,减少重复数据,删除长度为零的无效数据,比如可以抽取业务传输层以上的有效数据,可以提高对业务的理解效率和准确性。
在实际工作中,切分得到的离散报文都是以传统的十六进制形式存在的,为了便于对数据的处理,以及减少数据识别难度,还需要将所述离散报文进行转换处理,得到文本数据,所述文本数据为电网流量数据,数据转换的方式在本说明书实施例中不做限定。
在本说明书实施例中,如图3所示,所述对所述历史电网流量数据进行编码处理,以获得第一特征向量,包括:
S201:对历史电网流量数据中每个字节进行第一编码处理,获得由多个多维词向量组成的词向量集合;
S202:对所述词向量集合中的每个词向量进行第二编码处理,获得初始特征向量集合;
S203:在所述初始特征向量集合的每个初始特征向量中添加可学习分类标志,得到第一特征向量集合。
可以理解为,所述历史电网流量数据是以文本数据形式存在,其中每个文本数据中包括多个业务字节,即每个历史电网流量数据是由业务字节序列组成,通过对每个字节进行第一编码处理,可以得到一个多维(即d维)的词向量,其中,具有相同数据源和目的的历史电网流量数据中每个字节经编码后得到的词向量集合可以表示为:
Figure BDA0003613009030000101
其中P表示具有相同数据源和目的历史电网流量数据的个数(即数量),K表示每个历史电网流量数据长度(即字节个数),d表示字节编码长度,所述词向量集合中每个词向量(即每个字节编码)表示为:x=X(p,k),其中p表示第p个历史电网流量数据,k表示第k个字节。
在本说明书实施例中,所述第一编码处理可以为独热编码(One-Hot Encoding),也可以有其他的编码方式,在本说明书实施例中不做限定。
所述第二编码处理可以理解为是对每个字节编码(即词向量)赋予唯一位置编码,从而能够学习字节之间的相互依赖关系,关注到业务内部的重要信息。作为可选地,所述初始特征向量通过如下方式表示:
Figure BDA0003613009030000111
其中,
Figure BDA0003613009030000112
为第p个历史电网流量数据中第k个字节的初始特征向量;W为可学习参数矩阵;
Figure BDA0003613009030000113
为可学习位置编码。
进一步实施例中,还需要在每个初始特征向量中添加可学习分类标志,从而得到第一特征向量,优选地,可以选择在初始特征向量的序列头部添加所述可学习分类标志(classification token),即
Figure BDA0003613009030000114
所述可学习分类标志最终由于对电网流量数据进行分类,因此,
Figure BDA0003613009030000115
结合
Figure BDA0003613009030000116
可以作为后续训练模型的输入。
在本说明书实施例中,如图4所示,所述编码块(Encoding Block)可以包括变换矩阵层、注意力权值计算层、加权层和前馈神经网络层;
任一编码块M中变换矩阵层用于根据每个特征向量N在上一层编码块M-1的输出结果和所述任一编码块M中的变换矩阵,计算得到所述特征向量N在所述任一编码块M中的变换向量;
任一编码块M中注意力权值计算层用于根据每个特征向量N在所述任一编码块M中的变换向量和全部历史电网流量数据对应的特征向量在所述任一编码块M中的变换向量,计算获得所述特征向量N在所述任一编码块M中的注意力权值;
任一编码块M中加权层用于根据所述特征向量N在所述任一编码块M中的注意力权值和全部历史电网流量数据对应的特征向量在所述任一编码块M中的变换向量,计算获得所述特征向量N在所述任一编码M块中对应的加权值;
任一编码块M中前馈神经网络层用于根据所述特征向量N在所述任一编码块M中对应的加权值和所述任一编码块M中线性变换矩阵,计算获得所述特征向量N在所述任一编码块M中的输出结果,其中,最后一层编码块的输出结果为所述特征向量N在多层编码块输出的第二特征向量。
其中所述编码块的层数L决定了模型的复杂度、参数数量和计算量。一般来说,较大的L可以带来较好的检测准确率,但也引入更多的训练参数和更多的计算资源的消耗。因此,可以根据模型所部署的硬件资源环境以及希望达到的检测准确率来平衡决定,硬件配置高,可以使用较大的L,配置低,考虑使用较小的L。在前期实验中,L取值不超过10,既可以取得较好结果,也不会消耗很多计算资源,L具体数值在本说明书实施例中不做限定。
在本说明书实施例中,所述特征向量N实际上是每个字节对应的特征向量,可以为第一特征向量。
本说明书实施例整体上通过构建Transformer方法框架,所述Transformer方法在业务字节序列内部,即计算各个历史电网流量数据中字节特征之间或历史电网流量数据(即报文)之间的相关性,建立特征之间或业务之间的关注度,因为这种相关性和关注度是特征之间或业务之间直接建立联系且不存在过多导致信息丢失的变换,因此不管特征之间有多长的距离,都可以获得直接依赖关系,从而能够提高对业务数据的理解能力,提高了模型预测的可靠性和准确性。
可以理解为,通过设置多层编码块,可以实现基于注意力机制的能源互联网流量数据异常检测Transformer模型,其中每个编码块内部,由下层编码块编码而来的每个业务字节(即字节对应的特征向量)经变换得到相应的变换向量,其中变换向量包括查询变换向量(query)、键变换向量(key)和值变换向量(value)。相应地,不同逛得变换向量对应不同的变换矩阵。作为可选地,上述三个变换向量可以通过如下公式表示:
Figure BDA0003613009030000121
Figure BDA0003613009030000122
Figure BDA0003613009030000123
其中,
Figure BDA0003613009030000124
为p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的第a个索引对应的查询变换向量;
Figure BDA0003613009030000125
为p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的第a个索引对应的键变换向量;
Figure BDA0003613009030000126
为p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的第a个索引对应的值变换向量;LN()表示归一化处理(LayerNorm),a∈{1,...,A}表示多头注意力(multiple attention heads)的多头索引,Dh=D/A,D为向量维度;
Figure BDA0003613009030000127
为第l层编码块的第a个索引的查询变换向量;
Figure BDA0003613009030000128
为第l层编码块的第a个索引的键变换向量;
Figure BDA0003613009030000129
为第l层编码块的第a个索引的值变换向量;
Figure BDA00036130090300001210
为第p个历史电网流量数据中第k个字节对应的特征向量在第l-1层编码块的输出结果。
其中,自注意力机制中一般使用多头(multi-head)注意力方式,A就是头(head)的数量。多头的目的就是把encoder block的输入拆分为A个部分,每一部分就是一个头(head),通过这种方式使模型学习更多特征模式,增强了业务理解能力。
需要说明的是,第一层编码块中变换矩阵层用于根据所述第一特征向量集合中每个特征向量和所述第一层编码块的变换矩阵,计算得到每个特征向量在所述第一层编码块的变换向量。也就是说,通过将历史电网流量数据编码后得到的第一特征向量输入到第一层编码块中就可实现多层编码块的联动工作,进而输出最终的第二特征向量。
在本说明书实施例中,所述注意力权值可以为历史电网流量数据(即业务报文)中字节之间的关系以及历史电网流量数据之间关系的相关性或关注度,在计算时是通过业务之间以及业务内部字节之间的特征得到的,作为可选地,所述特征向量在所述任一编码块中的注意力权值通过如下公式表示:
Figure BDA0003613009030000131
其中,
Figure BDA0003613009030000132
为第p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的注意力权值,a∈{1,...,A}表示多头注意力的多头索引,Dh=D/A,D为所述特征向量为维度,A为多头注意力的数量,
Figure BDA0003613009030000133
为第p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的查询变换向量,
Figure BDA0003613009030000134
为分类标志(classification token)即
Figure BDA0003613009030000135
经公式(3)变换之后的向量,
Figure BDA0003613009030000136
为第p′个历史电网流量数据中第k′个字节对应的特征向量在第l层编码块的键变换向量。
需要说明的是,在进行模型设计时,还需要考虑用户硬件配置环境,通过公式(5)虽然可以得到比较高的准确性,但是在计算注意力权值时需要比较大的计算量,因此对配置环境的要求比较高,对一些配置环境较低的设备中就很难顺利运行。作为可选地,所述注意力权值还可以通过如下公式表示:
Figure BDA0003613009030000137
其中,公式(6)中的参数定义可以参考公式(5),通过公式(6)可以得到业务内部字节之间的注意力权值,能够适配配置环境较低的设备。在实际计算中,根据硬件资源的部署情况选择适当的注意力权值计算公式,具体的选择过程在本说明书实施例中不做限定。
在本说明书实施例中,当注意力权值是通过公式(5)计算得到时,所述特征向量在所述任一编码块中对应的加权值通过如下公式表示:
Figure BDA0003613009030000141
其中,
Figure BDA0003613009030000142
为第p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的加权值,
Figure BDA0003613009030000143
为第p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的注意力权值,
Figure BDA0003613009030000144
为分类标志(classification token)即
Figure BDA0003613009030000145
经公式(4)变换之后的向量,
Figure BDA0003613009030000146
为第p′个历史电网流量数据中第k′个字节对应的特征向量在第l层编码块的值变换向量,P为历史电网流量数据的数量,K为每个历史电网流量数据中字节的数量。
相应地,当所述意力权值是通过公式(6)计算得到时,所述特征向量在所述任一编码块中对应的加权值通过如下公式表示:
Figure BDA0003613009030000147
其中,公式(8)中的参数定义可以参考公式(7),在本说明书实施例中不做赘述。
在本说明书实施例中,所述特征向量在所述任一编码块中的输出结果通过如下公式表示:
Figure BDA0003613009030000148
Figure BDA0003613009030000149
其中,
Figure BDA00036130090300001410
为第p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的中间向量;Wo[]为线性变换矩阵,
Figure BDA0003613009030000151
为第p个历史电网流量数据中第k个字节对应的特征向量在第l层编码块的输出结果;LN()为归一化处理;MLP()为前馈神经网络。
在本说明书实施例中,所述多层感知器通过如下公式将所述第二特征向量集合进行处理得到预测结果:
Figure BDA0003613009030000152
其中,y为预测结果,
Figure BDA0003613009030000153
为最后一层编码块输出的第二特征向量中可学习分类标志(classification token)的最终值。
因此,本文提供的异常检测模型建立方法,采用自注意力机制,不仅能够关注关键信息,而且能够建立信息间相互依赖关系,对业务理解更准确。业务内部与业务之间注意力机制的共同作用,使得关注的信息更全面,获得的依赖关系也更全面。因此,自注意力机制的使用使得能源互联网业务流量异常检测更加准确。而且,自注意力机制能够建立长距离业务信息之间的依赖关系,并且计算不会随距离变长而增加,解决了循环神经网络(Recurrent Neural Network,RNN)、长短期记忆网络(Long Short-Term Memory,LSTM)不能并行训练与运行以及难以建立长距离信息之间依赖关系的问题。
实施例三
基于同一发明构思,本说明书实施例还提供一种业务流量异常检测模型建立装置,如图5所示,所述装置包括:
历史电网流量数据获取模块110,用于获取带有分类标志的历史电网流量数据;
编码模块120,用于对所述历史电网流量数据进行编码处理,以获得第一特征向量集合;
预测结果获取模块130,用于将所述第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,将所述第二特征向量集合输入到所述初始异常检测模型的多层感知器中,得到预测结果;
训练模块140,用于根据所述预测结果和所述历史电网流量数据的分类标志,对所述初始异常检测模型进行训练,以获得训练完成的异常检测模型。
在一个可能的实施方式中,所述历史电网流量数据获取模块110,具体用于根据能源互联网终端拓扑结构,确定所述拓扑结构上的终端,并采集与所述终端相关的带有分类标志的初始终端业务报文;根据预设业务报文的属性特征,对所述初始业务报文进行切分处理,以获得具有相同数据源和目的的带有分类标志的历史电网流量数据。
在一个可能的实施方式中,所述编码模块120,具体用于对历史电网流量数据中每个字节进行第一编码处理,获得由多个多维词向量组成的词向量集合;对所述词向量集合中的每个词向量进行第二编码处理,获得初始特征向量集合;在所述初始特征向量集合的每个初始特征向量中添加可学习分类标志,得到第一特征向量集合。
在一个可能的实施方式中,所述预测结果获取模块130,具体用于任一编码块M中变换矩阵层用于根据每个特征向量N在上一层编码块M-1的输出结果和所述任一编码块M中的变换矩阵,计算得到所述特征向量N在所述任一编码块M中的变换向量;
任一编码块M中注意力权值计算层用于根据每个特征向量N在所述任一编码块M中的变换向量和全部历史电网流量数据对应的特征向量在所述任一编码块M中的变换向量,计算获得所述特征向量N在所述任一编码块M中的注意力权值;任一编码块M中加权层用于根据所述特征向量N在所述任一编码块M中的注意力权值和全部历史电网流量数据对应的特征向量在所述任一编码块M中的变换向量,计算获得所述特征向量N在所述任一编码M块中对应的加权值;任一编码块M中前馈神经网络层用于根据所述特征向量N在所述任一编码块M中对应的加权值和所述任一编码块M中线性变换矩阵,计算获得所述特征向量N在所述任一编码块M中的输出结果,其中,最后一层编码块的输出结果为所述特征向量N在多层编码块输出的第二特征向量。
通过上述装置所取得的有益效果和上述方案所取得的有益效果一致,本说明书实施例不做赘述。
实施例四
在上述提供的异常检测模型建立方法的基础上,本说明书实施例还提供一种终端业务流量异常检测方法,如图6所示,所述方法包括:
S301:获取待检测业务流量数据;
S302:对所述待检测业务流量数据进行编码处理,以获得第一特征向量集合;
S303:将所述第一特征向量集合输入到由上述所述方法建立的异常检测模型中,获得所述待检测业务流量数据的分类结果。
可以理解为,本说明书实施例利用上述方法建立的异常检测模型进行能源终端业务流量流量的实时检测,根据终端或其他待检测节点可以提供的运算能力,选择合适的异常检测模型,并将所述异常检测模型部署到所述终端或其他待检测节点上,对业务流量进行实时的检测分类,从而可以实现高效可靠的监控报警。
需要说明的是,对所述待检测业务流量数据的编码与在模型训练时对历史电网流量数据进行编码的方式一致,在说明书实施例不做进一步说明。
所述待检测业务流量数据可以包括一条数据,也可以为在指定时间段内采集的多条数据,其中多条数据可以为具有相同数据源和目的的业务流量数据。
实施例五
相应地,本说明书实施例还提供一种业务流量异常检测装置,如图7所示,所述装置包括:
待检测数据获取模块210,用于获取待检测业务流量数据;
待检测数据编码模块220,用于对所述待检测业务流量数据进行编码处理,以获得第一特征向量集合;
预测模块230,用于将所述第一特征向量集合输入到由上述所述方法建立的异常检测模型中,获得所述待检测业务流量数据的分类结果。
通过上述装置所取得的有益效果和上述方案所取得的有益效果一致,本说明书实施例不做赘述。
如图8所示,为本文实施例提供的一种计算机设备,本文中的装置可以为本实施例中的计算机设备,执行上述本文的方法,所述计算机设备802可以包括一个或多个处理器804,诸如一个或多个中央处理单元(CPU),每个处理单元可以实现一个或多个硬件线程。计算机设备802还可以包括任何存储器806,其用于存储诸如代码、设置、数据等之类的任何种类的信息。非限制性的,比如,存储器806可以包括以下任一项或多种组合:任何类型的RAM,任何类型的ROM,闪存设备,硬盘,光盘等。更一般地,任何存储器都可以使用任何技术来存储信息。进一步地,任何存储器可以提供信息的易失性或非易失性保留。进一步地,任何存储器可以表示计算机设备802的固定或可移除部件。在一种情况下,当处理器804执行被存储在任何存储器或存储器的组合中的相关联的指令时,计算机设备802可以执行相关联指令的任一操作。计算机设备802还包括用于与任何存储器交互的一个或多个驱动机构808,诸如硬盘驱动机构、光盘驱动机构等。
计算机设备802还可以包括输入/输出模块810(I/O),其用于接收各种输入(经由输入设备812)和用于提供各种输出(经由输出设备814))。一个具体输出机构可以包括呈现设备816和相关联的图形用户接口(GUI)818。在其他实施例中,还可以不包括输入/输出模块810(I/O)、输入设备812以及输出设备814,仅作为网络中的一台计算机设备。计算机设备802还可以包括一个或多个网络接口820,其用于经由一个或多个通信链路822与其他设备交换数据。一个或多个通信总线824将上文所描述的部件耦合在一起。
通信链路822可以以任何方式实现,例如,通过局域网、广域网(例如,因特网)、点对点连接等、或其任何组合。通信链路822可以包括由任何协议或协议组合支配的硬连线链路、无线链路、路由器、网关功能、名称服务器等的任何组合。
对应于图2-图3或图6中的方法,本文实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法的步骤。
本文实施例还提供一种计算机可读指令,其中当处理器执行所述指令时,其中的程序使得处理器执行如图2-图3或图6所示的方法。
应理解,在本文的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本文实施例的实施过程构成任何限定。
还应理解,在本文实施例中,术语“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系。例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本文的范围。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本文所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口、装置或单元的间接耦合或通信连接,也可以是电的,机械的或其它的形式连接。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本文实施例方案的目的。
另外,在本文各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本文的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本文各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本文中应用了具体实施例对本文的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本文的方法及其核心思想;同时,对于本领域的一般技术人员,依据本文的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本文的限制。

Claims (11)

1.一种终端业务流量异常检测模型建立方法,其特征在于,所述方法包括:
获取带有分类标志的历史电网流量数据;
对所述历史电网流量数据进行编码处理,以获得第一特征向量集合;
将所述第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,将所述第二特征向量集合输入到所述初始异常检测模型的多层感知器中,得到预测结果;
根据所述预测结果和所述历史电网流量数据的分类标志,对所述初始异常检测模型进行训练,以获得训练完成的异常检测模型。
2.根据权利要求1所述的方法,其特征在于,所述获取带有分类标志的历史电网流量数据,包括:
根据能源互联网终端拓扑结构,确定所述拓扑结构上的终端,并采集与所述终端相关的带有分类标志的初始终端业务报文;
根据预设业务报文的属性特征,对所述初始业务报文进行切分处理,以获得具有相同数据源和目的的带有分类标志的历史电网流量数据。
3.根据权利要求1所述的方法,其特征在于,所述对所述历史电网流量数据进行编码处理,以获得第一特征向量,包括:
对历史电网流量数据中每个字节进行第一编码处理,获得由多个多维词向量组成的词向量集合;
对所述词向量集合中的每个词向量进行第二编码处理,获得初始特征向量集合;
在所述初始特征向量集合的每个初始特征向量中添加可学习分类标志,得到第一特征向量集合。
4.根据权利要求1所述的方法,其特征在于,所述编码块包括变换矩阵层、注意力权值计算层、加权层和前馈神经网络层;
所述将所述第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,包括:
任一编码块M中变换矩阵层用于根据每个特征向量N在上一层编码块M-1的输出结果和所述任一编码块M中的变换矩阵,计算得到所述特征向量N在所述任一编码块M中的变换向量;
任一编码块M中注意力权值计算层用于根据每个特征向量N在所述任一编码块M中的变换向量和全部历史电网流量数据对应的特征向量在所述任一编码块M中的变换向量,计算获得所述特征向量N在所述任一编码块M中的注意力权值;
任一编码块M中加权层用于根据所述特征向量N在所述任一编码块M中的注意力权值和全部历史电网流量数据对应的特征向量在所述任一编码块M中的变换向量,计算获得所述特征向量N在所述任一编码M块中对应的加权值;
任一编码块M中前馈神经网络层用于根据所述特征向量N在所述任一编码块M中对应的加权值和所述任一编码块M中线性变换矩阵,计算获得所述特征向量N在所述任一编码块M中的输出结果,其中,最后一层编码块的输出结果为所述特征向量N在多层编码块输出的第二特征向量。
5.根据权利要求4所述的方法,其特征在于,
所述变换矩阵包括查询变换矩阵、键变换矩阵和值变换矩阵;
所述变换向量包括查询变换向量、键变换向量和值变换向量。
6.根据权利要求4所述的方法,其特征在于,第一层编码块中变换矩阵层用于根据所述第一特征向量集合中每个特征向量和所述第一层编码块的变换矩阵,计算得到每个特征向量在所述第一层编码块的变换向量。
7.一种终端业务流量异常检测方法,其特征在于,所述方法包括:
获取待检测业务流量数据;
对所述待检测业务流量数据进行编码处理,以获得第一特征向量集合;
将所述第一特征向量集合输入到由权利要求1至6任一项所述方法建立的异常检测模型中,获得所述待检测业务流量数据的分类结果。
8.一种终端业务流量异常检测模型建立装置,其特征在于,所述装置包括:
历史电网流量数据获取模块,用于获取带有分类标志的历史电网流量数据;
编码模块,用于对所述历史电网流量数据进行编码处理,以获得第一特征向量集合;
预测结果获取模块,用于将所述第一特征向量集合输入到初始异常检测模型的多层编码块中进行处理,得到第二特征向量集合,将所述第二特征向量集合输入到所述初始异常检测模型的多层感知器中,得到预测结果;
训练模块,用于根据所述预测结果和所述历史电网流量数据的分类标志,对所述初始异常检测模型进行训练,以获得训练完成的异常检测模型。
9.一种终端业务流量异常检测装置,其特征在于,包括:
待检测数据获取模块,用于获取待检测业务流量数据;
待检测数据编码模块,用于对所述待检测业务流量数据进行编码处理,以获得第一特征向量集合;
预测模块,用于将所述第一特征向量集合输入到异常检测模型中,获得所述待检测业务流量数据的分类结果。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述的方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述的方法。
CN202210436347.5A 2022-04-25 2022-04-25 一种终端业务流量异常检测模型建立方法及异常检测方法 Pending CN114615088A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210436347.5A CN114615088A (zh) 2022-04-25 2022-04-25 一种终端业务流量异常检测模型建立方法及异常检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210436347.5A CN114615088A (zh) 2022-04-25 2022-04-25 一种终端业务流量异常检测模型建立方法及异常检测方法

Publications (1)

Publication Number Publication Date
CN114615088A true CN114615088A (zh) 2022-06-10

Family

ID=81869146

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210436347.5A Pending CN114615088A (zh) 2022-04-25 2022-04-25 一种终端业务流量异常检测模型建立方法及异常检测方法

Country Status (1)

Country Link
CN (1) CN114615088A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116708313A (zh) * 2023-08-08 2023-09-05 中国电信股份有限公司 流量检测方法、流量检测装置、存储介质和电子设备
CN117479219A (zh) * 2023-11-07 2024-01-30 广州方舟文化科技有限公司 一种手机流量卡套餐监测方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210203605A1 (en) * 2019-12-31 2021-07-01 Ajou University Industry-Academic Cooperation Foundation Method and apparatus for detecting abnormal traffic pattern
WO2021151299A1 (zh) * 2020-05-29 2021-08-05 平安科技(深圳)有限公司 基于人工智能的数据增强方法、装置、电子设备及介质
CN113810226A (zh) * 2021-09-07 2021-12-17 清华大学 结合离散特征编码和聚类修正的广域网单点流量预测方法
WO2021258348A1 (zh) * 2020-06-24 2021-12-30 深圳市欢太科技有限公司 异常流量检测方法和系统、及计算机存储介质
WO2022037130A1 (zh) * 2020-08-21 2022-02-24 杭州安恒信息技术股份有限公司 网络流量异常的检测方法、装置、电子装置和存储介质
US20220070195A1 (en) * 2020-09-01 2022-03-03 Ensign InfoSecurity Pte. Ltd Deep embedded self-taught learning system and method for detecting suspicious network behaviours
CN114330544A (zh) * 2021-12-28 2022-04-12 国网冀北电力有限公司信息通信分公司 一种业务流量异常检测模型建立方法及异常检测方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210203605A1 (en) * 2019-12-31 2021-07-01 Ajou University Industry-Academic Cooperation Foundation Method and apparatus for detecting abnormal traffic pattern
WO2021151299A1 (zh) * 2020-05-29 2021-08-05 平安科技(深圳)有限公司 基于人工智能的数据增强方法、装置、电子设备及介质
WO2021258348A1 (zh) * 2020-06-24 2021-12-30 深圳市欢太科技有限公司 异常流量检测方法和系统、及计算机存储介质
WO2022037130A1 (zh) * 2020-08-21 2022-02-24 杭州安恒信息技术股份有限公司 网络流量异常的检测方法、装置、电子装置和存储介质
US20220070195A1 (en) * 2020-09-01 2022-03-03 Ensign InfoSecurity Pte. Ltd Deep embedded self-taught learning system and method for detecting suspicious network behaviours
CN113810226A (zh) * 2021-09-07 2021-12-17 清华大学 结合离散特征编码和聚类修正的广域网单点流量预测方法
CN114330544A (zh) * 2021-12-28 2022-04-12 国网冀北电力有限公司信息通信分公司 一种业务流量异常检测模型建立方法及异常检测方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116708313A (zh) * 2023-08-08 2023-09-05 中国电信股份有限公司 流量检测方法、流量检测装置、存储介质和电子设备
CN116708313B (zh) * 2023-08-08 2023-11-14 中国电信股份有限公司 流量检测方法、流量检测装置、存储介质和电子设备
CN117479219A (zh) * 2023-11-07 2024-01-30 广州方舟文化科技有限公司 一种手机流量卡套餐监测方法及系统

Similar Documents

Publication Publication Date Title
CN114330544A (zh) 一种业务流量异常检测模型建立方法及异常检测方法
Qu et al. A survey on the development of self-organizing maps for unsupervised intrusion detection
WO2021258348A1 (zh) 异常流量检测方法和系统、及计算机存储介质
US10187401B2 (en) Hierarchical feature extraction for malware classification in network traffic
CN107360145B (zh) 一种多节点蜜罐系统及其数据分析方法
KR102590451B1 (ko) 의심스러운 네트워크 거동들을 검출하기 위한 심층 임베드된 자기 교시 학습 시스템 및 방법
CN112822189A (zh) 一种流量识别方法及装置
CN114615088A (zh) 一种终端业务流量异常检测模型建立方法及异常检测方法
US11113397B2 (en) Detection of malicious executable files using hierarchical models
Pathak et al. Anomaly detection using machine learning to discover sensor tampering in IoT systems
Bodström et al. State of the art literature review on network anomaly detection with deep learning
Vinayakumar et al. Secure shell (ssh) traffic analysis with flow based features using shallow and deep networks
US20240106836A1 (en) Learning of malicious behavior vocabulary and threat detection
Atli Anomaly-based intrusion detection by modeling probability distributions of flow characteristics
CN115396204A (zh) 一种基于序列预测的工控网络流量异常检测方法及装置
CN114531273A (zh) 一种防御工业网络系统分布式拒绝服务攻击的方法
Gebrye et al. Traffic data extraction and labeling for machine learning based attack detection in IoT networks
CN114866310A (zh) 一种恶意加密流量检测方法、终端设备及存储介质
CN113887642B (zh) 一种基于开放世界的网络流量分类方法及系统
CN110650124A (zh) 一种基于多层回声状态网络的网络流量异常检测方法
Wan et al. DevTag: A benchmark for fingerprinting IoT devices
Hu et al. Classification of Abnormal Traffic in Smart Grids Based on GACNN and Data Statistical Analysis
CN116032515A (zh) 一种在SDN上基于Transformer的DDoS攻击检测方法
Ahuja et al. DDoS attack traffic classification in SDN using deep learning
Hyun-Seong et al. Design of automatic identification gateway system for different iot devices and services

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20220610

WD01 Invention patent application deemed withdrawn after publication