CN114697139A - 基于特征迁移的设备异常检测、训练方法、系统和装置 - Google Patents

基于特征迁移的设备异常检测、训练方法、系统和装置 Download PDF

Info

Publication number
CN114697139A
CN114697139A CN202210571708.7A CN202210571708A CN114697139A CN 114697139 A CN114697139 A CN 114697139A CN 202210571708 A CN202210571708 A CN 202210571708A CN 114697139 A CN114697139 A CN 114697139A
Authority
CN
China
Prior art keywords
detection model
current
data stream
sample data
characteristic detection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210571708.7A
Other languages
English (en)
Other versions
CN114697139B (zh
Inventor
张峰
王滨
陈积明
史治国
何承润
周少鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Hikvision Digital Technology Co Ltd
Original Assignee
Hangzhou Hikvision Digital Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Hikvision Digital Technology Co Ltd filed Critical Hangzhou Hikvision Digital Technology Co Ltd
Priority to CN202210571708.7A priority Critical patent/CN114697139B/zh
Publication of CN114697139A publication Critical patent/CN114697139A/zh
Application granted granted Critical
Publication of CN114697139B publication Critical patent/CN114697139B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/18Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/24Classification techniques
    • G06F18/243Classification techniques relating to the number of classes
    • G06F18/2433Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/279Recognition of textual entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/16Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/30Computing systems specially adapted for manufacturing

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Evolutionary Computation (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Computer Security & Cryptography (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Evolutionary Biology (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Software Systems (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Databases & Information Systems (AREA)
  • Algebra (AREA)
  • Computer Hardware Design (AREA)
  • Probability & Statistics with Applications (AREA)
  • General Health & Medical Sciences (AREA)
  • Computational Mathematics (AREA)
  • Biophysics (AREA)
  • Audiology, Speech & Language Pathology (AREA)
  • Operations Research (AREA)
  • Molecular Biology (AREA)
  • Medical Informatics (AREA)
  • Biomedical Technology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供了一种基于特征迁移的设备异常检测、训练方法、系统和装置,该方法,包括:获取第一样本流量集合及第二样本流量集合,利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型训练;分别利用当前的统计特征检测模型、字符特征检测模型及图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;利用第二样本流量集合中标记设备异常标签的样本数据流,对当前的统计特征检测模型、字符特征检测模型及图像特征检测模型融合训练,得到训练后的统计特征检测模型、字符特征检测模型以及图像特征检测模型,能够降低模型训练成本,从而降低设备异常检测的成本。

Description

基于特征迁移的设备异常检测、训练方法、系统和装置
技术领域
本发明涉及网络安全技术领域,特别是涉及基于特征迁移的设备异常检测、训练方法、系统和装置。
背景技术
随着互联网技术的发展,网络中接入的设备数量及种类越来越多,例如:手机、PC(Personal Computer,个人计算机)机、平板电脑、笔记本电脑等等。这些设备的接入给人们的生活带来了极大的便利,使得工作效率更加高效,但也存在一些用户因操作不当给网络的安全造成一定的威胁。
针对设备异常的检测场景,可以通过预先训练的深度学习模型对设备的流量数据进行分析,从而判断设备是否异常。然而深度学习模型的训练需要大量标注有标签的流量数据,现有技术中,通过人工标注的方式对流量数据进行标注,并利用海量的人工标注的流量数据对深度学习模型进行训练,从而得到训练好的深度学习模型。
然而采用上述方法,需要耗费大量的人力成本对流量数据进行标注,会造成异常检测模型的训练成本较高,进一步导致设备异常检测成本高的问题。
发明内容
本发明实施例的目的在于提供一种基于特征迁移的设备异常检测、训练方法、系统和装置,以解决上述问题中的至少一项。具体技术方案如下:
第一方面,本发明实施例提供了一种基于特征迁移的设备异常检测模型训练方法,所述方法包括:
获取第一样本流量集合及第二样本流量集合,其中,所述第一样本流量集合中的各样本数据流均标记有设备异常标签,所述第二样本流量集合中的各样本数据流没有标记设备异常标签,针对任一样本数据流,该样本数据流的设备异常标签表示该样本数据流对应的设备的异常情况;
利用所述第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练;
分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;
利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
可选地,所述利用所述第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练,包括:
在所述第一样本流量集合中选取一个未选取过的样本数据流;
提取当前选取的样本数据流的统计特征、字符特征以及图像特征,其中,所述统计特征表示相应样本数据流的数据统计特征,所述字符特征表示相应样本数据流的应用层字符特征,所述图像特征表示相应样本数据流的数据空间特征;
将当前选取的样本数据流的统计特征输入到统计特征检测模型中得到第一预测结果,根据当前的第一预测结果及当前选取的样本数据流的设备异常标签,调整统计特征检测模型的参数;
将当前选取的样本数据流的字符特征输入到字符特征检测模型中得到第二预测结果,根据当前的第二预测结果及当前选取的样本数据流的设备异常标签,调整字符特征检测模型的参数;
将当前选取的样本数据流的图像特征输入到图像特征检测模型中得到第三预测结果,根据当前的第三预测结果及当前选取的样本数据流的设备异常标签,调整图像特征检测模型的参数;
返回执行步骤:在所述第一样本流量集合中选取一个未选取过的样本数据流,直至所述第一样本流量集合中不存在未选取过的样本数据流。
可选地,所述提取当前选取的样本数据流的统计特征、字符特征以及图像特征,包括:
提取当前选取的样本数据流指定统计项目,得到当前选取的样本数据流的统计特征,其中,所述指定统计项目包括以下项目中的至少一项:样本数据流的数据包数量、数据包大小的均值、数据包大小的中位数、数据包大小的最大值、数据包大小的最小值、空载荷数据包数量、数据包大小小于预设字节数的数据包数量、数据包大小小于预设字节数的数据包数量占比、持续时长、第一个数据包大小、平均数据包大小、平均数据包传输速率、数据包平均到达时间;
提取当前选取的样本数据流中各数据包的应用层字符段,并将各应用层字符段进行拼接,得到当前选取的样本数据流的字符特征;
截取当前选取的样本数据流的字符特征中预设数量个字符,并将所截取的字符排列成T×T的二维矩阵,得到该当前选取的样本数据流的图像特征。
可选地,所述方法还包括:
获取测试流量集合,其中,所述测试流量集合中的各样本数据流均标记有设备异常标签;
在所述利用所述第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练的步骤之后,包括:
利用所述测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率;
所述分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型,包括:
在所述第二样本流量集合中选取指定数量的样本数据流,得到多个第一样本数据流;
分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对各第一样本数据流标记设备异常标签,得到至少一部分第一样本数据流作为第二样本数据流;
利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;
利用所述测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率;
在当前的统计特征检测模型的准确率不低于上一阶段统计特征检测模型的准确率、且当前的字符特征检测模型的准确率不低于上一阶段的字符特征检测模型的准确率、且当前的图像特征检测模型的准确率不低于上一阶段的图像特征检测模型的准确率的情况下,将当前的各第二样本数据流从所述第二样本流量集合中移除,否则将当前的各第二样本数据流放回所述第二样本流量集合中;
返回执行步骤:在所述第二样本流量集合中选取指定数量的样本数据流,得到多个第一样本数据流,直至所述第二样本流量集合为空集,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
可选地,所述分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对各第一样本数据流标记设备异常标签,得到至少一部分第一样本数据流作为第二样本数据流,包括:
针对每一个第一样本数据流,利用当前的统计特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,利用当前的字符特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,利用当前的图像特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度;
针对当前的统计特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流;
针对当前的字符特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流;
针对当前的图像特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流。
可选地,所述方法还包括:
当同一第二样本数据流具有不同的设备异常标签时,选取置信度最高的设备异常标签作为该第二样本数据流的设备异常标签。
可选地,所述利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练,包括:
利用通过当前的统计特征检测模型得到的N个第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;
利用通过当前的字符特征检测模型得到的N个第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;
利用通过当前的图像特征检测模型得到的N个第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练。
第二方面,本发明实施例提供了一种基于特征迁移的设备异常检测方法,所述方法包括:
获取待检测设备的数据流;
提取所述数据流的统计特征、字符特征以及图像特征,其中,所述数据流的统计特征表示所述数据流的数据统计特征,所述数据流的字符特征表示所述数据流的应用层字符特征,所述数据流的图像特征表示所述数据流的数据空间特征;
将所述统计特征输入到预先训练的统计特征检测模型中得到第一检测结果,将所述字符特征输入到预先训练的字符特征检测模型中得到第二检测结果,将所述图像特征输入到预先训练的图像特征检测模型中得到第三检测结果;其中,所述统计特征检测模型、所述字符特征检测模型以及所述图像特征检测模型通过上述第一方面所述的基于特征迁移的设备异常检测模型训练方法训练得到;
基于所述第一检测结果,所述第二检测结果以及所述第三检测结果,确定所述待检测设备的异常检测结果。
可选地,所述获取待检测设备的数据流,包括:
获取由监测设备采集的待检测设备的流量数据;
在所述流量数据的数据包中,确定具有相同源设备IP地址、源设备端口号、目的设备IP地址以及目的设备端口号的目标数据包;
针对各所述目标数据包,根据源设备与目的设备之间建立连接标志位与关闭连接标志位,确定所述待检测设备的数据流;
或者,针对各所述目标数据包,根据相邻目标数据包之间的时间差与预设阈值之间的大小关系,确定所述待检测设备的数据流。
第三方面,本发明实施例提供了一种基于特征迁移的设备异常检测模型训练装置,所述装置包括:
第一数据获取模块,用于获取第一样本流量集合及第二样本流量集合,其中,所述第一样本流量集合中的各样本数据流均标记有设备异常标签,所述第二样本流量集合中的各样本数据流没有标记设备异常标签,针对任一样本数据流,该样本数据流的设备异常标签表示该样本数据流对应的设备的异常情况;
第一模型训练模块,用于利用所述第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练;
第二模型训练模块,用于分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
第四方面,本发明实施例提供了一种基于特征迁移的设备异常检测装置,所述装置包括:
第二数据获取模块,用于获取待检测设备的数据流;
特征提取模块,用于提取所述数据流的统计特征、字符特征以及图像特征,其中,所述数据流的统计特征表示所述数据流的数据统计特征,所述数据流的字符特征表示所述数据流的应用层字符特征,所述数据流的图像特征表示所述数据流的数据空间特征;
异常检测模块,用于将所述统计特征输入到预先训练的统计特征检测模型中得到第一检测结果,将所述字符特征输入到预先训练的字符特征检测模型中得到第二检测结果,将所述图像特征输入到预先训练的图像特征检测模型中得到第三检测结果;其中,所述统计特征检测模型、所述字符特征检测模型以及所述图像特征检测模型通过上述第一方面所述的基于特征迁移的设备异常检测模型训练方法训练得到;
异常确定模块,用于基于所述第一检测结果,所述第二检测结果以及所述第三检测结果,确定所述待检测设备的异常检测结果。
第五方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一所述的方法步骤。
第六方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的方法步骤。
第七方面,本发明实施例提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的方法步骤。
第八方面,本发明实施例提供了一种基于特征迁移的设备异常检测系统,其特征在于,所述系统包括:平台设备和多个待检测设备;
所述平台设备,用于在运行时实现本申请中任一所述的基于特征迁移的设备异常检测方法。
本发明实施例有益效果:
本发明实施例提供的一种基于特征迁移的设备异常检测、训练方法、系统和装置,可以利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练,再分别利用训练的当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签,进而无需对所有样本数据流进行标签的维护,减少了人工标注样本标签造成较高的异常检测模型训练成本,以及设备异常检测成本高的问题。同时综合考虑了每一样本数据流的统计特征、字符特征以及图像特征,使得利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型更准确,进而在使用训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型对设备异常检测的过程中,能够在降低设备异常检测成本的同时提高设备异常检测的准确率。
当然,实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的实施例。
图1为本发明实施例的一种基于特征迁移的设备异常检测模型训练方法的流程示意图;
图2为本发明实施例的一种特征检测模型训练方法的流程示意图;
图3为本发明实施例的一种特征检测模型融合训练方法的流程示意图;
图4为本发明实施例的一种标记设备异常标签的实施方式流程示意图;
图5为本发明实施例的一种特征检测模型融合训练的实施方式流程示意图;
图6为本发明实施例的一种基于特征迁移的设备异常检测方法的流程示意图;
图7为本发明实施例的一种基于特征迁移的设备异常检测方法的过程示意图;
图8为本发明实施例的一种基于特征迁移的设备异常检测模型训练装置的结构示意图;
图9为本发明实施例的一种基于特征迁移的设备异常检测装置的结构示意图;
图10为本发明实施例的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本发明保护的范围。
首先,对本申请中的术语进行解释:
特征迁移:是指在一个问题提取到的特征或训练完成的模型可以在另一个问题上应用。
协同训练:一种半监督学习方法,利用有限的有标签数据提取数据不同角度的特征,进而完成全部数据的训练。
半监督学习:一种机器学习方法,指训练数据中仅有一部分数据有标签,其他数据无标签。
相关技术中,利用有监督学习方法进行设备异常的检测,比如通过预先训练的深度学习模型对设备的流量数据进行分析,从而判断设备是否异常。而有监督的深度学习模型的训练需要大量标注有标签的流量数据,在实际场景中,完整的数据标签很难得到,现有技术中通过人工标注的方式对流量数据进行标注,需要耗费大量的人力成本对流量数据进行标注,会造成异常检测模型的训练成本较高,进一步导致设备异常检测成本高的问题。
为了提高设备异常检测的准确率,本发明实施例提供了一种基于特征迁移的设备异常检测模型训练方法,包括:
获取第一样本流量集合及第二样本流量集合,其中,第一样本流量集合中的各样本数据流均标记有设备异常标签,第二样本流量集合中的各样本数据流没有标记设备异常标签,针对任一样本数据流,该样本数据流的设备异常标签表示该样本数据流对应的设备的异常情况;
利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练;
分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;
利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
本发明实施例提供的一种基于特征迁移的设备异常检测模型训练方法,可以利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练,再分别利用训练的当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签,进而无需对所有样本数据流进行标签的维护,避免了人工标注样本标签造成较高的异常检测模型训练成本,以及设备异常检测成本高的问题。同时综合考虑了每一样本数据流的统计特征、字符特征以及图像特征,使得利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型更准确,进而在使用训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型对设备异常检测的过程中,能够在降低设备异常检测成本的同时提高设备异常检测的准确率。
下面通过具体实施例对本申请提供的基于特征迁移的设备异常检测模型训练方法进行详细说明。
本发明实施例提供的基于特征迁移的设备异常检测模型训练方法可以应用于电子设备,如终端、服务器设备等。
参见图1,本发明实施例提供的一种基于特征迁移的设备异常检测模型训练方法,包括:
S101,获取第一样本流量集合及第二样本流量集合。
针对样本设备,可以采用旁路监听的方式通过旁路监测设备采集该样本设备的流量数据,进而从所采集的流量数据中获取第一样本流量集合及第二样本流量集合,其中,第一样本流量集合中的各样本数据流均标记有设备异常标签,第二样本流量集合中的各样本数据流没有标记设备异常标签,针对任一样本数据流,该样本数据流的设备异常标签表示该样本数据流对应的设备的异常情况。样本设备可以是待检测设备,也可以是指定设备或任一处于物联网中的设备。采用旁路监听的方式采集设备的流量数据,不会对设备的流量造成干扰。
在一些实施例中,可以针对所采集的流量数据,对该流量数据进行划分和重组,得到该流量数据对应的样本数据流,进一步利用预设的规则对样本数据流进行设备异常标签的初始标记,得到一部分标记有设备异常标签的样本数据流,一部分没有标记设备异常标签的样本数据流,形成第一样本流量集合及第二样本流量集合。
一个例子中,可以针对所采集的流量数据,在该流量数据的数据包中,确定具有相同源设备IP(Internet Protocol,互联网协议)地址、源设备端口号、目的设备IP地址以及目的设备端口号的目标数据包,进而根据数据包的传输协议,确定属于同一数据流的目标数据包,得到流量数据对应的样本数据流。具体的,针对TCP (Transmission ControlProtocol,传输控制协议) 协议下的目标数据包,可以根据源设备与目的设备之间建立连接标志位SYN(Synchronize Sequence Numbers,同步序列编号)与关闭连接标志位FIN(Finish,TCP首部中的结束标志)的动作,确定各目标数据包是否属于同一数据流,将属于同一数据流的目标数据包,确定为一个样本数据流;针对UDP(User Datagram Protocol,用户数据报协议)协议下的目标数据包,可以计算相邻目标数据包之间的时间差是否大于预设阈值,如果是,则该相邻目标数据包不属于同一个数据流,如果不是,则该目标相邻数据包属于同一个数据流,将属于同一数据流的目标数据包,确定为一个样本数据流。其中,预设阈值的大小可以根据实际情况设定。
在一些实施例中,在得到设备流量数据对应的样本数据流之后,可以对该样本数据流进行存储,具体的,可以存储各样本数据流中所有的数据包,示例性的,一个样本数据流的存储格式可以为:[样本数据流标识,源设备IP地址,源设备端口号,目的设备IP地址,目的设备端口号,{package1,package2,package3,……,packagek}],其中,package1表示数据包1,packagek表示数据包k。
在一些实施例中,得到设备流量数据对应的样本数据流之后,可以选择目标时间段内的样本数据流作为参与模型训练的样本数据流,将参与模型训练的样本数据流确定为样本数据集
Figure 384505DEST_PATH_IMAGE001
,目标时间段可以根据实际需求进行设置,比如最近一天、最近一周或最近一月等等。利用预设的规则对样本数据集
Figure 89156DEST_PATH_IMAGE001
中的样本数据流进行设备异常标签的初始标记,得到标记数据集
Figure 506362DEST_PATH_IMAGE002
,该预设的规则例如可以是对包含异常IP地址、异常端口、异常数据内容等的样本数据流进行设备异常标签的初始标记,设备异常标签可以是表示设备异常或正常的二分类标签,还可以是多个表示设备异常类型的多分类标签等。
因预设的规则对样本数据流的标记能力有限,使得部分样本数据流能够准确的标记设备异常标签,而部分样本数据流无法完成设备异常标签的标记,进一步的,可以对标记数据集
Figure 5477DEST_PATH_IMAGE003
进行划分,得到包含标记有设备异常标签的样本数据流的数据集,和没有标记设备异常标签的样本数据流的数据集。一些实施例中,可以将包含标记有设备异常标签的样本数据流的数据集中的一部分样本数据流作为第一样本流量集合,将没有标记设备异常标签的样本数据流的数据集作为及第二样本流量集合。示例性的,可以将包含标记有设备异常标签的样本数据流的数据集中的预设数目个样本数据流,组成第一样本流量集合,该预设数目例如可以是包含标记有设备异常标签的样本数据流的数据集中样本数据流总个数的70%,80%或90%等,具体的,本领域技术人员可根据实际需求进行设置,第一样本流量集合可以表示为
Figure 508133DEST_PATH_IMAGE004
,第二样本流量集合可以表示为
Figure 688579DEST_PATH_IMAGE005
S102,利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练。
示例性的,可以分别构建统计特征检测模型、字符特征检测模型及图像特征检测模型,进而利用第一样本流量集合
Figure 350504DEST_PATH_IMAGE006
中的样本数据流及设备异常标签,对统计特征检测模型进行训练,得到当前的统计特征检测模型
Figure 161466DEST_PATH_IMAGE007
Figure 276052DEST_PATH_IMAGE008
表示当前第一阶段训练得到的统计特征检测模型,s表示统计特征;利用第一样本流量集合
Figure 260189DEST_PATH_IMAGE006
中的样本数据流及设备异常标签,对字符特征检测模型进行训练,得到当前的字符特征检测模型
Figure 654916DEST_PATH_IMAGE009
Figure 495834DEST_PATH_IMAGE009
表示当前第一阶段训练得到的字符特征检测模型,c表示字符特征;利用第一样本流量集合
Figure 238662DEST_PATH_IMAGE004
中的样本数据流及设备异常标签,对图像特征检测模型进行训练,得到当前的图像特征检测模型
Figure 823227DEST_PATH_IMAGE010
Figure 397427DEST_PATH_IMAGE010
表示当前第一阶段训练得到的图像特征检测模型,p表示图像特征。
一个例子中,所构建的统计特征检测模型可以是DNN(Deep Neural Networks,深度神经网络)模型,字符特征检测模型可以是RNN(Recurrent Neural Network,循环神经网络)模型,图像特征检测模型可以是CNN(Convolutional Neural Network,卷积神经网络)模型等,当然,所构建的统计特征检测模型、字符特征检测模型及图像特征检测模型也可以是其他模型,并不仅限于此。所训练的统计特征检测模型、字符特征检测模型及图像特征检测模型的输出,可以是属于不同设备异常标签的概率或置信度等,示例性的,当统计特征检测模型、字符特征检测模型及图像特征检测模型为二分类模型时,可以设置0.5作为设备异常标签的置信度阈值,也可以是其他值,当统计特征检测模型、字符特征检测模型及图像特征检测模型为多分类模型时,可以根据需求分别设定多分类设备异常标签对应的置信度阈值等。
S103,分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签。
第二样本流量集合中的各样本数据流没有标记设备异常标签,在利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练之后,可以分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流进行设备异常标签的标记。一个例子中,可以利用当前的统计特征检测模型,对第二样本流量集合中的各样本数据流进行异常预测,根据预测结果对第二样本流量集合中的各样本数据流进行设备异常标签的标记;利用当前的字符特征检测模型,对第二样本流量集合中的各样本数据流进行异常预测,根据预测结果对第二样本流量集合中的各样本数据流进行设备异常标签的标记;以及利用当前的图像特征检测模型,对第二样本流量集合中的各样本数据流进行异常预测,根据预测结果对第二样本流量集合中的各样本数据流进行设备异常标签的标记。
S104,利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
对第二样本流量集合中的样本数据流标记设备异常标签后,可以进一步对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行融合训练,具体的,可以利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练,利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练,利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
本发明实施例提供的一种基于特征迁移的设备异常检测模型训练方法,可以利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练,再分别利用训练的当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签,进而无需对所有样本数据流进行标签的维护,避免了人工标注样本标签造成较高的异常检测模型训练成本,以及设备异常检测成本高的问题。同时综合考虑了每一样本数据流的统计特征、字符特征以及图像特征,使得利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型更准确,进而在使用训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型对设备异常检测的过程中,能够避免了人工标注样本标签造成较高的异常检测模型训练成本,以及设备异常检测成本高的问题。提高设备异常检测的准确率。
在一些实施例中,如图2所示,上述步骤S102利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练的实施方式,可以包括:
S201,在第一样本流量集合中选取一个未选取过的样本数据流。
第一样本流量集合中的各样本数据流均标记有设备异常标签,可以利用第一样本流量集合中的每一样本数据流及其对应的设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练。
S202,提取当前选取的样本数据流的统计特征、字符特征以及图像特征。
其中,统计特征表示相应样本数据流的数据统计特征,字符特征表示相应样本数据流的应用层字符特征,图像特征表示相应样本数据流的数据空间特征。
在一些实施例中,提取当前选取的样本数据流的统计特征、字符特征以及图像特征的实施方式,可以包括:
提取当前选取的样本数据流指定统计项目,得到当前选取的样本数据流的统计特征,其中,指定统计项目包括以下项目中的至少一项:样本数据流的数据包数量、数据包大小的均值、数据包大小的中位数、数据包大小的最大值、数据包大小的最小值、空载荷数据包数量、数据包大小小于预设字节数的数据包数量、数据包大小小于预设字节数的数据包数量占比、持续时长、第一个数据包大小、平均数据包大小、平均数据包传输速率、数据包平均到达时间。
其中,上述预设字节数可以根据实际需求进行设置,比如30、40或50等等,持续时长可以是传输对应样本数据流所花费的时长等。示例性的,针对当前选取的样本数据流,提取得到当前选取的样本数据流的指定统计项目可以包括:当前选取的样本数据流的数据包数量f1、数据包大小的均值f2、数据包大小的中位数f3、数据包大小的最大值f4、数据包大小的最小值f5、空载荷数据包数量f6、数据包大小小于预设字节数的数据包数量f7、数据包大小小于预设字节数的数据包数量占比f8、持续时长f9、第一个数据包大小f10、平均数据包大小f11、平均数据包传输速率f12、数据包平均到达时间f13,则提取到的当前选取的样本数据流的统计特征可以表示为
Figure 284612DEST_PATH_IMAGE011
= [f1, f2, f3, f4, f5, f6, f7, f8, f9, f10,f11, f12, f13],
Figure 373791DEST_PATH_IMAGE011
表示当前选取的样本数据流的统计特征,s表示统计特征,n表示数据流的标识。
提取当前选取的样本数据流中各数据包的应用层字符段,并将各应用层字符段进行拼接,得到当前选取的样本数据流的字符特征。
一个例子中,针对当前选取的样本数据流,可以提取当前选取的样本数据流中各数据包的应用层有效载荷payload字符段,将各应用层payload字符段进行拼接表示,得到当前选取的样本数据流的字符特征。示例性的,可以提取当前选取的样本数据流中各数据包的应用层payload字符段,将各应用层payload字符段进行拼接,按照16进制进行表示,得到的当前选取的样本数据流的字符特征可以表示为
Figure 637413DEST_PATH_IMAGE012
= [c1, c2, c3, c4,…cX],其中,
Figure 862858DEST_PATH_IMAGE012
表示当前选取的样本数据流的字符特征,c表示字符特征,n表示数据流的标识,X表示
Figure 248840DEST_PATH_IMAGE012
向量的长度,cX表示第X个payload字符段对应的16进制向量表示,每一应用层payload字符段的16进制向量长度可能不同。
截取当前选取的样本数据流的字符特征中预设数量个字符,并将所截取的字符排列成T×T的二维矩阵,得到该当前选取的样本数据流的图像特征。
针对当前选取的样本数据流,可以截取当前选取的样本数据流的字符特征中前预设数量个字符,该预设数量可以根据实际需要进行设置,将所截取的字符排列成T×T的二维矩阵,T为大于1的正整数,T×T的结果为预设数量,该二维矩阵可以理解为该当前选取的样本数据流的图像特征。
在一些实施例中,当前选取的样本数据流的字符特征的长度不大于预设数量的情况下,可以利用特殊字符比如0等对截取的当前选取的样本数据流的字符进行补齐,当前选取的样本数据流的字符特征的长度大于预设数量的情况下,截取当前选取的样本数据流的字符特征中前预设数量个字符。
示例性的,预设数量可以为784,即截取当前选取的样本数据流的字符特征中前786个16进制字符,排列成28×28的二维矩阵,得到该当前选取的样本数据流的图像特征。得到的当前选取的样本数据流的图像特征可以表示为
Figure 700681DEST_PATH_IMAGE013
= [[p1, p2, p3,…p28],[p29,p30,p31, …,p56], …[p756,p757,p758, …,p784]],
Figure 892628DEST_PATH_IMAGE014
表示当前选取的样本数据流的图像特征,p表示图像特征,n表示数据流的标识,p1表示当前选取的样本数据流图像特征中的第一个特征元素,p2表示当前选取的样本数据流图像特征中的第二个特征元素,以此类推。
参见图2,S203,将当前选取的样本数据流的统计特征输入到统计特征检测模型中得到第一预测结果,根据当前的第一预测结果及当前选取的样本数据流的设备异常标签,调整统计特征检测模型的参数。
将当前选取的样本数据流的统计特征输入到统计特征检测模型中进行设备异常标签的预测,得到第一预测结果,计算第一预测结果与当前选取的样本数据流的设备异常标签之间的损失,根据该损失调整统计特征检测模型的参数,对统计特征检测模型进行训练。
S204,将当前选取的样本数据流的字符特征输入到字符特征检测模型中得到第二预测结果,根据当前的第二预测结果及当前选取的样本数据流的设备异常标签,调整字符特征检测模型的参数。
将当前选取的样本数据流的字符特征输入到字符特征检测模型中进行设备异常标签的预测,得到第二预测结果,计算第二预测结果与当前选取的样本数据流的设备异常标签之间的损失,根据该损失调整字符特征检测模型的参数,对字符特征检测模型进行训练。
S205,将当前选取的样本数据流的图像特征输入到图像特征检测模型中得到第三预测结果,根据当前的第三预测结果及当前选取的样本数据流的设备异常标签,调整图像特征检测模型的参数,返回执行步骤S201直至第一样本流量集合中不存在未选取过的样本数据流。
将当前选取的样本数据流的图像特征输入到图像特征检测模型中进行设备异常标签的预测,得到第三预测结果,计算第三预测结果与当前选取的样本数据流的设备异常标签之间的损失,根据该损失调整图像特征检测模型的参数,对图像特征检测模型进行训练。
其中,上述步骤S203,步骤S204和步骤S205可以同步进行,也可以不同步进行,本发明实施例对此不作限定。在完成对统计特征检测模型、字符特征检测模型及图像特征检测模型当前阶段的训练后,可以返回执行步骤S201:在第一样本流量集合中选取一个未选取过的样本数据流,直至第一样本流量集合中不存在未选取过的样本数据流,完成对统计特征检测模型、字符特征检测模型及图像特征检测模型当前阶段的训练。
本发明实施例中,利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练,以便于能够利用训练的统计特征检测模型、字符特征检测模型及图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签。
在一些实施例中,还可以获取测试流量集合,其中,该测试流量集合中的各样本数据流均标记有设备异常标签。
一个例子中,上述获取到包含标记有设备异常标签的样本数据流的数据集后,可以将包含标记有设备异常标签的样本数据流的数据集中的一部分样本数据流作为第一样本流量集合,另一部分样本数据流作为测试流量集合。
示例性的,包含标记有设备异常标签的样本数据流的数据集可以表示为
Figure 847946DEST_PATH_IMAGE015
,第一样本流量集合可以表示为
Figure 670408DEST_PATH_IMAGE006
,测试流量集合可以表示为
Figure 468600DEST_PATH_IMAGE016
Figure 74025DEST_PATH_IMAGE006
中样本数据流的数量可以占
Figure 274062DEST_PATH_IMAGE015
的80%,
Figure 267426DEST_PATH_IMAGE016
中样本数据流的数量可以占
Figure 162700DEST_PATH_IMAGE017
的20%等等。
相应的,上述在利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练的步骤之后,还可以包括:
利用测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率。
一个例子中,可以将测试流量集合中的样本数据流的统计特征,输入到当前的统计特征检测模型中进行设备异常标签的预测,得到第四预测结果,计算该第四预测结果与该样本数据流对应的设备异常标签之间的误差,得到当前的统计特征检测模型的准确率,该当前的统计特征检测模型的准确率,可以是测试流量集合中每一样本数据流对应的第四预测结果与其对应的设备异常标签之间误差的最大值、最小值、平均值或加权平均值等。示例性的,该当前的统计特征检测模型的准确率可以表示为
Figure 962029DEST_PATH_IMAGE018
一个例子中,可以将测试流量集合中的样本数据流的字符特征,输入到当前的字符特征检测模型中进行设备异常标签的预测,得到第五预测结果,计算该第五预测结果与该样本数据流对应的设备异常标签之间的误差,得到当前的字符特征检测模型的准确率,该当前的字符特征检测模型的准确率,可以是测试流量集合中每一样本数据流对应的第五预测结果与其对应的设备异常标签之间误差的最大值、最小值、平均值或加权平均值等。示例性的,该当前的字符特征检测模型的准确率可以表示为
Figure 889009DEST_PATH_IMAGE019
一个例子中,可以将测试流量集合中的样本数据流的图像特征,输入到当前的图像特征检测模型中进行设备异常标签的预测,得到第六预测结果,计算该第六预测结果与该样本数据流对应的设备异常标签之间的误差,得到当前的图像特征检测模型的准确率,该当前的图像特征检测模型的准确率,可以是测试流量集合中每一样本数据流对应的第六预测结果与其对应的设备异常标签之间误差的最大值、最小值、平均值或加权平均值等。示例性的,该当前的图像特征检测模型的准确率可以表示为
Figure 584433DEST_PATH_IMAGE020
其中,测试流量集合中的样本数据流的统计特征、字符特征以及图像特征的提取方式可参见上文描述,本发明实施例在此不再赘述。
在一些实施例中,如图3所示,上述分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型的实施方式,可以包括:
S301,在第二样本流量集合中选取指定数量的样本数据流,得到多个第一样本数据流。
第二样本流量集合中的各样本数据流没有标记设备异常标签,在对第二样本流量集合中的各样本数据流的设备异常标签进行标记的过程中,可以每次选取指定数量的样本数据流进行标记,将该指定数量的样本数据流作为第一样本数据流,该指定数量可以根据需求进行设置。示例性的,第一样本流量集合中的各样本数据流均标记有设备异常标签,其数量可能是有限的,可以选取该指定数量为第一样本流量集合中样本数据流数量数量的三分之一、四分之一或五分之一等等。
S302,分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对各第一样本数据流标记设备异常标签,得到至少一部分第一样本数据流作为第二样本数据流。
一个例子中,可以针对每一个第一样本数据流,将该第一样本数据流的统计特征,输入到当前的统计特征检测模型中进行设备异常标签的预测,得到该第一样本数据流的设备异常标签;将该第一样本数据流的字符特征,输入到当前的字符特征检测模型中进行设备异常标签的预测,得到该第一样本数据流的设备异常标签;将该第一样本数据流的图像特征,输入到当前的图像特征检测模型中进行设备异常标签的预测,得到该第一样本数据流的设备异常标签,利用预测到的第一样本数据流的设备异常标签对第一样本数据流进行设备异常标签的标记。当同一第一样本数据流具有不同的设备异常标签时,选取置信度最高的设备异常标签作为该第一样本数据流的设备异常标签。
进一步可以在各第一样本数据流中随机选取部分第一样本数据流,作为第二样本数据流,或者选取部分预测设备异常标签的置信度高的第一样本数据流,作为第二样本数据流,该部分可以是第一样本数据流数量的十分之一、五分之一等,可以根据实际需求设置。
其中,第二样本流量集合中的样本数据流的统计特征、字符特征以及图像特征的提取方式可参见上文描述,本发明实施例在此不再赘述。
S303,利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练。
S304,利用测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率。
利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,由当前的字符特征检测模型标记设备异常标签的第二样本数据流,以及由当前的图像特征检测模型标记设备异常标签的第二样本数据流,对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行融合训练。进一步利用测试流量集合中的样本数据流,分别对融合训练得到的当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率。具体的,利用测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率的实施方式可参见上文描述,本发明实施例在此不再赘述。
S305,在当前的统计特征检测模型的准确率不低于上一阶段统计特征检测模型的准确率、且当前的字符特征检测模型的准确率不低于上一阶段的字符特征检测模型的准确率、且当前的图像特征检测模型的准确率不低于上一阶段的图像特征检测模型的准确率的情况下,将当前的各第二样本数据流从第二样本流量集合中移除,否则将当前的各第二样本数据流放回第二样本流量集合中;返回执行步骤S301直至第二样本流量集合为空集,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
示例性的,当前的统计特征检测模型的准确率可以表示为
Figure 560479DEST_PATH_IMAGE021
,上一阶段统计特征检测模型的准确率可以表示为
Figure 773286DEST_PATH_IMAGE022
,当前的字符特征检测模型的准确率可以表示为
Figure 682336DEST_PATH_IMAGE019
,上一阶段的字符特征检测模型的准确率可以表示为
Figure 17502DEST_PATH_IMAGE023
,当前的图像特征检测模型的准确率可以表示为
Figure 887369DEST_PATH_IMAGE020
,上一阶段的图像特征检测模型的准确率可以表示为
Figure 28501DEST_PATH_IMAGE024
。在
Figure 933003DEST_PATH_IMAGE025
,且
Figure 173491DEST_PATH_IMAGE026
,且
Figure 920868DEST_PATH_IMAGE027
的情况下,表示当前的各第二样本数据流的设备异常标签有效,将当前的各第二样本数据流从第二样本流量集合中移除,否则,表示当前的各第二样本数据流的设备异常标签不准确,将当前的各第二样本数据流放回第二样本流量集合中。返回执行步骤S301:在第二样本流量集合中选取指定数量的样本数据流,得到多个第一样本数据流,直至第二样本流量集合为空集,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
第二样本流量集合为空集,表示完成了对第二样本流量集合中各样本数据流设备异常标签的标记,此时也完成了对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型的融合训练。
本发明实施例中,综合考虑了每一样本数据流的统计特征、字符特征以及图像特征,在分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签的过程中,利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,由当前的字符特征检测模型标记设备异常标签的第二样本数据流,以及由当前的图像特征检测模型标记设备异常标签的第二样本数据流,对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行融合训练,使得训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型更准确,进而在使用训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型对设备异常检测的过程中,能够提高设备异常检测的准确率。
在一些实施例中,如图4所示,上述步骤S302分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对各第一样本数据流标记设备异常标签,得到至少一部分第一样本数据流作为第二样本数据流的实施方式,可以包括:
S401,针对每一个第一样本数据流,利用当前的统计特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,利用当前的字符特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,利用当前的图像特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度。
针对每一个第一样本数据流,将该第一样本数据流的统计特征,输入到当前的统计特征检测模型中进行设备异常标签的预测,得到该第一样本数据流的设备异常标签及对应的置信度;针对每一个第一样本数据流,将该第一样本数据流的字符特征,输入到当前的字符特征检测模型中进行设备异常标签的预测,得到该第一样本数据流的设备异常标签及对应的置信度;针对每一个第一样本数据流,将该第一样本数据流的图像特征,输入到当前的图像特征检测模型中进行设备异常标签的预测,得到该第一样本数据流的设备异常标签及对应的置信度。
S402,针对当前的统计特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流。
N的取值可以根据需求进行设置,一个例子中,N可以是第一样本数据流个数的十分之一、九分之一或二十分之一等等。示例性的,第一样本流量集合
Figure 475477DEST_PATH_IMAGE006
中样本数据流的个数为100个,在第二样本流量集合中选取四分之一个
Figure 359119DEST_PATH_IMAGE006
中样本数据流个数的第一样本数据流(即25个),针对每一个第一样本数据流,利用当前的统计特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,选取置信度最高的前2(即N为25×1/10向下取整)个设备异常标签对应的第一样本数据流,得到2个第二样本数据流。
S403,针对当前的字符特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流。
S404,针对当前的图像特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流。
其中,上述步骤S402,步骤S403和步骤S404可以同步进行,也可以不同步进行,本发明实施例对此不作限定。步骤S402,步骤S403和步骤S404的实现过程可以互相参考。
在一些实施例中,当同一第二样本数据流具有不同的设备异常标签时,选取置信度最高的设备异常标签作为该第二样本数据流的设备异常标签。
本发明实施例中,选取置信度最高的前N个设备异常标签对应的第一样本数据流作为第二样本数据流,利用该第二样本数据流对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行融合训练,能够加快对第二样本流量集合中各样本数据流的设备异常标签进行标记的速度。且,当同一第二样本数据流具有不同的设备异常标签时,选取置信度最高的设备异常标签作为该第二样本数据流的设备异常标签,保证同一个样本数据流有且仅有一个标签。
在一些实施例中,如图5所示,上述步骤S303利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练的实施方式,可以包括:
S501,利用通过当前的统计特征检测模型得到的N个第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练。
S502,利用通过当前的字符特征检测模型得到的N个第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练。
S503,利用通过当前的图像特征检测模型得到的N个第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练。
一个例子中,通过当前的统计特征检测模型得到的N个第二样本数据流可以表示为
Figure 770509DEST_PATH_IMAGE028
,通过当前的字符特征检测模型得到的N个第二样本数据流可以表示为
Figure 614968DEST_PATH_IMAGE029
,通过当前的图像特征检测模型得到的N个第二样本数据流可以表示为
Figure 832323DEST_PATH_IMAGE030
,进而,可以利用
Figure 711417DEST_PATH_IMAGE028
分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练,利用
Figure 356025DEST_PATH_IMAGE029
分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练,以及利用
Figure 15677DEST_PATH_IMAGE031
分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练。换言之,也可以利用
Figure 646509DEST_PATH_IMAGE029
Figure 770323DEST_PATH_IMAGE032
对当前的统计特征检测模型进行训练,利用
Figure 475847DEST_PATH_IMAGE028
Figure 153953DEST_PATH_IMAGE032
对当前的字符特征检测模型进行训练,以及利用
Figure 588476DEST_PATH_IMAGE028
Figure 301217DEST_PATH_IMAGE029
对当前的统计特征检测模型进行训练。
本发明实施例中,综合考虑了每一样本数据流的统计特征、字符特征以及图像特征,利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,由当前的字符特征检测模型标记设备异常标签的第二样本数据流,以及由当前的图像特征检测模型标记设备异常标签的第二样本数据流,对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行融合训练,使得训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型更准确,进而在使用训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型对设备异常检测的过程中,能够提高设备异常检测的准确率。
本发明实施例还提供了一种基于特征迁移的设备异常检测方法,参见图6,该方法可以包括:
S601,获取待检测设备的数据流。
在一些实施例中,可以通过以下方式获取待检测设备的数据流:
获取由监测设备采集的待检测设备的流量数据;
在流量数据的数据包中,确定具有相同源设备IP地址、源设备端口号、目的设备IP地址以及目的设备端口号的目标数据包;
针对各目标数据包,根据源设备与目的设备之间建立连接标志位与关闭连接标志位,确定待检测设备的数据流;
或者,针对各目标数据包,根据相邻目标数据包之间的时间差与预设阈值之间的大小关系,确定待检测设备的数据流。
针对待检测设备,可以采用旁路监听的方式通过监测设备采集待检测设备的流量数据,进一步可以对所采集的流量数据进行划分和重组,在流量数据的数据包中,确定具有相同源设备IP地址、源设备端口号、目的设备IP地址以及目的设备端口号的目标数据包。针对TCP协议下的目标数据包,可以根据源设备与目的设备之间建立连接标志位SYN与关闭连接标志位FIN的动作,确定各目标数据包是否属于同一数据流,将属于同一数据流的目标数据包,确定为一个数据流,得到待检测设备的数据流;针对UDP协议下的目标数据包,可以计算相邻目标数据包之间的时间差是否大于预设阈值,如果是,则该相邻目标数据包不属于同一个数据流,如果不是,则该目标相邻数据包属于同一个数据流,将属于同一数据流的目标数据包,确定为一个数据流,得到待检测设备的数据流。其中,预设阈值的大小可以根据实际情况设定。
S602,提取数据流的统计特征、字符特征以及图像特征。
其中,数据流的统计特征表示数据流的数据统计特征,数据流的字符特征表示数据流的应用层字符特征,数据流的图像特征表示数据流的数据空间特征。
具体的,提取数据流的统计特征、字符特征以及图像特征的实施方式可参见上文描述,本发明实施例在此不再赘述。
S603,将统计特征输入到预先训练的统计特征检测模型中得到第一检测结果,将字符特征输入到预先训练的字符特征检测模型中得到第二检测结果,将图像特征输入到预先训练的图像特征检测模型中得到第三检测结果。
其中,统计特征检测模型、字符特征检测模型以及图像特征检测模型是通过上述基于特征迁移的设备异常检测模型训练方法训练得到的。
S604,基于第一检测结果,第二检测结果以及第三检测结果,确定待检测设备的异常检测结果。
一个例子中,在统计特征检测模型、字符特征检测模型以及图像特征检测模型为二分类模型的情况下,可以对第一检测结果对应的置信度,第二检测结果对应的置信度以及第三检测结果对应的置信度求加权和,比较该加权和值是否大于设定阈值,如果大于则认为待检测设备异常,如果不大于则认为待检测设备正常,设定阈值可以根据需求进行设置,比如可以设置为0.5、0.8或0.9等等。当然,也可以对第一检测结果对应的置信度,第二检测结果对应的置信度以及第三检测结果对应的置信度求平均,或取最大值、最小值等等。
一个例子中,在统计特征检测模型、字符特征检测模型以及图像特征检测模型为多分类模型的情况下,可以分别针对每一类别,对第一检测结果对应的置信度,第二检测结果对应的置信度以及第三检测结果对应的置信度求加权和,比较该加权和值是否大于设定阈值,如果大于则认为待检测设备异常,如果不大于则认为待检测设备正常,设定阈值可以根据需求进行设置,比如可以设置为0.5、0.8或0.9等等。当然,也可以对第一检测结果对应的置信度,第二检测结果对应的置信度以及第三检测结果对应的置信度求平均,或取最大值、最小值等等。
本发明实施例提供的一种基于特征迁移的设备异常检测方法,可以利用综合考虑了数据流的统计特征、字符特征以及图像特征,融合训练得到的统计特征检测模型、字符特征检测模型以及图像特征检测模型对待检测设备进行异常检测,因融合训练得到的统计特征检测模型、字符特征检测模型以及图像特征检测模型准确率高,进而能够提高设备异常检测的准确率。
示例性的,如图7所示,图7为本发明实施例的一种基于特征迁移的设备异常检测方法的过程示意图。
本发明实施例的一种基于特征迁移的设备异常检测方法可以划分为两个部分,一部分为模型训练,一部分为异常检测。其中,在需要对设备进行异常检测时,可以通过设备流量数据监听模块,采用旁路监听的方式通过旁路监测设备采集该设备的流量数据,并对所采集的流量数据进行划分和重组,得到该流量数据对应的数据流,将得到的数据流存储至数据库中。
通过流量数据提取模块提取数据库中存储的流量数据对应的数据流,再利用特征提取与初始标签模块,对各数据流的统计特征、字符特征以及图像特征进行提取,以及利用预设的规则对各数据流进行设备异常标签的初始标记。因预设的规则对数据流的标记能力有限,使得部分数据流能够准确的标记设备异常标签,而部分数据流无法完成设备异常标签的标记,进而可以通过融合训练与二次标签模块,利用标记有设备异常标签的数据流,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练,以及分别利用训练的当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对没有标记设备异常标签的数据流进行设备异常标签的标记。
进一步,通过异常检测模型训练模块,利用完成设备异常标签标记的数据流及对应的设备异常标签,对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行融合训练,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型可以集成在实时异常检测模块中。进而可以在需要对设备进行异常检测时,通过实时异常检测模块,将通过设备流量数据监听模块监听到的数据流的统计特征,输入到训练后的统计特征检测模型中得到第一检测结果,将数据流的字符特征输入到训练后的字符特征检测模型中得到第二检测结果,将数据流的图像特征输入到训练后的图像特征检测模型中得到第三检测结果,再基于第一检测结果,第二检测结果以及第三检测结果,确定待检测设备的异常检测结果,实现设备的实时异常检测。
本发明实施例还提供了一种基于特征迁移的设备异常检测模型训练装置,参见图8,该装置可以包括:
第一数据获取模块801,用于获取第一样本流量集合及第二样本流量集合,其中,第一样本流量集合中的各样本数据流均标记有设备异常标签,第二样本流量集合中的各样本数据流没有标记设备异常标签,针对任一样本数据流,该样本数据流的设备异常标签表示该样本数据流对应的设备的异常情况;
第一模型训练模块802,用于利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练;
第二模型训练模块803,用于分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
在一些实施例中,上述第一模型训练模块802,包括:
样本选取子模块,用于在第一样本流量集合中选取一个未选取过的样本数据流;
特征提取子模块,用于提取当前选取的样本数据流的统计特征、字符特征以及图像特征,其中,统计特征表示相应样本数据流的数据统计特征,字符特征表示相应样本数据流的应用层字符特征,图像特征表示相应样本数据流的数据空间特征;
第一训练子模块,用于将当前选取的样本数据流的统计特征输入到统计特征检测模型中得到第一预测结果,根据当前的第一预测结果及当前选取的样本数据流的设备异常标签,调整统计特征检测模型的参数;
第二训练子模块,用于将当前选取的样本数据流的字符特征输入到字符特征检测模型中得到第二预测结果,根据当前的第二预测结果及当前选取的样本数据流的设备异常标签,调整字符特征检测模型的参数;
第三训练子模块,用于将当前选取的样本数据流的图像特征输入到图像特征检测模型中得到第三预测结果,根据当前的第三预测结果及当前选取的样本数据流的设备异常标签,调整图像特征检测模型的参数;
第一触发子模块,用于触发样本选取子模块在第一样本流量集合中选取一个未选取过的样本数据流,直至第一样本流量集合中不存在未选取过的样本数据流。
在一些实施例中,上述特征提取子模块,具体用于:
提取当前选取的样本数据流指定统计项目,得到当前选取的样本数据流的统计特征,其中,指定统计项目包括以下项目中的至少一项:样本数据流的数据包数量、数据包大小的均值、数据包大小的中位数、数据包大小的最大值、数据包大小的最小值、空载荷数据包数量、数据包大小小于预设字节数的数据包数量、数据包大小小于预设字节数的数据包数量占比、持续时长、第一个数据包大小、平均数据包大小、平均数据包传输速率、数据包平均到达时间;
提取当前选取的样本数据流中各数据包的应用层字符段,并将各应用层字符段进行拼接,得到当前选取的样本数据流的字符特征;
截取当前选取的样本数据流的字符特征中预设数量个字符,并将所截取的字符排列成T×T的二维矩阵,得到该当前选取的样本数据流的图像特征。
在一些实施例中,上述装置还包括:
第三数据获取模块,用于获取测试流量集合,其中,测试流量集合中的各样本数据流均标记有设备异常标签;
准确率测试模块,用于在利用第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练的步骤之后,利用测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率。
上述第二模型训练模块803,包括:
数据选取子模块,用于在第二样本流量集合中选取指定数量的样本数据流,得到多个第一样本数据流;
样本确定子模块,用于分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对各第一样本数据流标记设备异常标签,得到至少一部分第一样本数据流作为第二样本数据流;
融合训练子模块,用于利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;
准确率测试子模块,用于利用测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率;
第四训练子模块,用于在当前的统计特征检测模型的准确率不低于上一阶段统计特征检测模型的准确率、且当前的字符特征检测模型的准确率不低于上一阶段的字符特征检测模型的准确率、且当前的图像特征检测模型的准确率不低于上一阶段的图像特征检测模型的准确率的情况下,将当前的各第二样本数据流从第二样本流量集合中移除,否则将当前的各第二样本数据流放回第二样本流量集合中;
第二触发子模块,用于触发数据选取子模块在第二样本流量集合中选取指定数量的样本数据流,得到多个第一样本数据流,直至第二样本流量集合为空集,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
在一些实施例中,上述样本确定子模块,具体用于:
针对每一个第一样本数据流,利用当前的统计特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,利用当前的字符特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,利用当前的图像特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度;
针对当前的统计特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流;
针对当前的字符特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流;
针对当前的图像特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流。
在一些实施例中,上述装置还包括:
标签选取模块,用于当同一第二样本数据流具有不同的设备异常标签时,选取置信度最高的设备异常标签作为该第二样本数据流的设备异常标签。
在一些实施例中,上述融合训练子模块,具体用于:
利用通过当前的统计特征检测模型得到的N个第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;
利用通过当前的字符特征检测模型得到的N个第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;
利用通过当前的图像特征检测模型得到的N个第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练。
本发明实施例还提供了一种基于特征迁移的设备异常检测装置,参见图9,该装置可以包括:
第二数据获取模块901,用于获取待检测设备的数据流;
特征提取模块902,用于提取数据流的统计特征、字符特征以及图像特征,其中,数据流的统计特征表示数据流的数据统计特征,数据流的字符特征表示数据流的应用层字符特征,数据流的图像特征表示数据流的数据空间特征;
异常检测模块903,用于将统计特征输入到预先训练的统计特征检测模型中得到第一检测结果,将字符特征输入到预先训练的字符特征检测模型中得到第二检测结果,将图像特征输入到预先训练的图像特征检测模型中得到第三检测结果;其中,统计特征检测模型、字符特征检测模型以及图像特征检测模型是通过上述基于特征迁移的设备异常检测模型训练方法训练得到的;
异常确定模块904,用于基于第一检测结果,第二检测结果以及第三检测结果,确定待检测设备的异常检测结果。
在一些实施例中,上述第二数据获取模块901,具体用于:
获取由监测设备采集的待检测设备的流量数据;
在流量数据的数据包中,确定具有相同源设备IP地址、源设备端口号、目的设备IP地址以及目的设备端口号的目标数据包;
针对各目标数据包,根据源设备与目的设备之间建立连接标志位与关闭连接标志位,确定待检测设备的数据流;
或者,针对各目标数据包,根据相邻目标数据包之间的时间差与预设阈值之间的大小关系,确定待检测设备的数据流。
本发明实施例提供了一种基于特征迁移的设备异常检测系统,其特征在于,所述系统包括:平台设备和多个待检测设备;
所述平台设备,用于在运行时实现本申请中任一所述的基于特征迁移的设备异常检测方法。
本发明实施例还提供了一种电子设备,如图10所示,包括处理器111、通信接口112、存储器113和通信总线114,其中,处理器111,通信接口112,存储器113通过通信总线114完成相互间的通信,
存储器113,用于存放计算机程序;
处理器111,用于执行存储器113上所存放的程序时,实现上述任一一种基于特征迁移的设备异常检测模型训练方法或基于特征迁移的设备异常检测方法的步骤,以达到相同的技术效果。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一一种基于特征迁移的设备异常检测模型训练方法或基于特征迁移的设备异常检测方法的步骤,以达到相同的技术效果。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一一种基于特征迁移的设备异常检测模型训练方法或基于特征迁移的设备异常检测方法的步骤,以达到相同的技术效果。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk (SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置/电子设备实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (14)

1.一种基于特征迁移的设备异常检测模型训练方法,其特征在于,所述方法包括:
获取第一样本流量集合及第二样本流量集合,其中,所述第一样本流量集合中的各样本数据流均标记有设备异常标签,所述第二样本流量集合中的各样本数据流没有标记设备异常标签,针对任一样本数据流,该样本数据流的设备异常标签表示该样本数据流对应的设备的异常情况;
利用所述第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练;
分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;
利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
2.根据权利要求1所述的方法,其特征在于,所述利用所述第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练,包括:
在所述第一样本流量集合中选取一个未选取过的样本数据流;
提取当前选取的样本数据流的统计特征、字符特征以及图像特征,其中,所述统计特征表示相应样本数据流的数据统计特征,所述字符特征表示相应样本数据流的应用层字符特征,所述图像特征表示相应样本数据流的数据空间特征;
将当前选取的样本数据流的统计特征输入到统计特征检测模型中得到第一预测结果,根据当前的第一预测结果及当前选取的样本数据流的设备异常标签,调整统计特征检测模型的参数;
将当前选取的样本数据流的字符特征输入到字符特征检测模型中得到第二预测结果,根据当前的第二预测结果及当前选取的样本数据流的设备异常标签,调整字符特征检测模型的参数;
将当前选取的样本数据流的图像特征输入到图像特征检测模型中得到第三预测结果,根据当前的第三预测结果及当前选取的样本数据流的设备异常标签,调整图像特征检测模型的参数;
返回执行步骤:在所述第一样本流量集合中选取一个未选取过的样本数据流,直至所述第一样本流量集合中不存在未选取过的样本数据流。
3.根据权利要求2所述的方法,其特征在于,所述提取当前选取的样本数据流的统计特征、字符特征以及图像特征,包括:
提取当前选取的样本数据流指定统计项目,得到当前选取的样本数据流的统计特征,其中,所述指定统计项目包括以下项目中的至少一项:样本数据流的数据包数量、数据包大小的均值、数据包大小的中位数、数据包大小的最大值、数据包大小的最小值、空载荷数据包数量、数据包大小小于预设字节数的数据包数量、数据包大小小于预设字节数的数据包数量占比、持续时长、第一个数据包大小、平均数据包大小、平均数据包传输速率、数据包平均到达时间;
提取当前选取的样本数据流中各数据包的应用层字符段,并将各应用层字符段进行拼接,得到当前选取的样本数据流的字符特征;
截取当前选取的样本数据流的字符特征中预设数量个字符,并将所截取的字符排列成T×T的二维矩阵,得到该当前选取的样本数据流的图像特征。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取测试流量集合,其中,所述测试流量集合中的各样本数据流均标记有设备异常标签;
在所述利用所述第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练的步骤之后,包括:
利用所述测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率;
所述分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型,包括:
在所述第二样本流量集合中选取指定数量的样本数据流,得到多个第一样本数据流;
分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对各第一样本数据流标记设备异常标签,得到至少一部分第一样本数据流作为第二样本数据流;
利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;
利用所述测试流量集合中的样本数据流,分别对当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型进行测试,得到当前的统计特征检测模型的准确率、当前的字符特征检测模型的准确率及当前的图像特征检测模型的准确率;
在当前的统计特征检测模型的准确率不低于上一阶段统计特征检测模型的准确率、且当前的字符特征检测模型的准确率不低于上一阶段的字符特征检测模型的准确率、且当前的图像特征检测模型的准确率不低于上一阶段的图像特征检测模型的准确率的情况下,将当前的各第二样本数据流从所述第二样本流量集合中移除,否则将当前的各第二样本数据流放回所述第二样本流量集合中;
返回执行步骤:在所述第二样本流量集合中选取指定数量的样本数据流,得到多个第一样本数据流,直至所述第二样本流量集合为空集,得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
5.根据权利要求4所述的方法,其特征在于,所述分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对各第一样本数据流标记设备异常标签,得到至少一部分第一样本数据流作为第二样本数据流,包括:
针对每一个第一样本数据流,利用当前的统计特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,利用当前的字符特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度,利用当前的图像特征检测模型预测得到该第一样本数据流的设备异常标签及对应的置信度;
针对当前的统计特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流;
针对当前的字符特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流;
针对当前的图像特征检测模型,选取置信度最高的前N个设备异常标签对应的第一样本数据流,得到N个第二样本数据流。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
当同一第二样本数据流具有不同的设备异常标签时,选取置信度最高的设备异常标签作为该第二样本数据流的设备异常标签。
7.根据权利要求5所述的方法,其特征在于,所述利用由当前的统计特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练,包括:
利用通过当前的统计特征检测模型得到的N个第二样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;
利用通过当前的字符特征检测模型得到的N个第二样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;
利用通过当前的图像特征检测模型得到的N个第二样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练。
8.一种基于特征迁移的设备异常检测方法,其特征在于,所述方法包括:
获取待检测设备的数据流;
提取所述数据流的统计特征、字符特征以及图像特征,其中,所述数据流的统计特征表示所述数据流的数据统计特征,所述数据流的字符特征表示所述数据流的应用层字符特征,所述数据流的图像特征表示所述数据流的数据空间特征;
将所述统计特征输入到预先训练的统计特征检测模型中得到第一检测结果,将所述字符特征输入到预先训练的字符特征检测模型中得到第二检测结果,将所述图像特征输入到预先训练的图像特征检测模型中得到第三检测结果;其中,所述统计特征检测模型、所述字符特征检测模型以及所述图像特征检测模型通过权利要求1-7任一方法训练得到;
基于所述第一检测结果,所述第二检测结果以及所述第三检测结果,确定所述待检测设备的异常检测结果。
9.根据权利要求8所述的方法,其特征在于,所述获取待检测设备的数据流,包括:
获取由监测设备采集的待检测设备的流量数据;
在所述流量数据的数据包中,确定具有相同源设备IP地址、源设备端口号、目的设备IP地址以及目的设备端口号的目标数据包;
针对各所述目标数据包,根据源设备与目的设备之间建立连接标志位与关闭连接标志位,确定所述待检测设备的数据流;
或者,针对各所述目标数据包,根据相邻目标数据包之间的时间差与预设阈值之间的大小关系,确定所述待检测设备的数据流。
10.一种基于特征迁移的设备异常检测模型训练装置,其特征在于,所述装置包括:
第一数据获取模块,用于获取第一样本流量集合及第二样本流量集合,其中,所述第一样本流量集合中的各样本数据流均标记有设备异常标签,所述第二样本流量集合中的各样本数据流没有标记设备异常标签,针对任一样本数据流,该样本数据流的设备异常标签表示该样本数据流对应的设备的异常情况;
第一模型训练模块,用于利用所述第一样本流量集合中的样本数据流及设备异常标签,分别对统计特征检测模型、字符特征检测模型及图像特征检测模型进行训练;
第二模型训练模块,用于分别利用当前的统计特征检测模型、当前的字符特征检测模型及当前的图像特征检测模型,对第二样本流量集合中的样本数据流标记设备异常标签;利用由当前的统计特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的图像特征检测模型进行训练;利用由当前的字符特征检测模型标记设备异常标签的样本数据流,分别对当前的统计特征检测模型及当前的图像特征检测模型进行训练;利用由当前的图像特征检测模型标记设备异常标签的样本数据流,分别对当前的字符特征检测模型及当前的统计特征检测模型进行训练;得到训练后的统计特征检测模型、训练后的字符特征检测模型以及训练后的图像特征检测模型。
11.一种基于特征迁移的设备异常检测装置,其特征在于,所述装置包括:
第二数据获取模块,用于获取待检测设备的数据流;
特征提取模块,用于提取所述数据流的统计特征、字符特征以及图像特征,其中,所述数据流的统计特征表示所述数据流的数据统计特征,所述数据流的字符特征表示所述数据流的应用层字符特征,所述数据流的图像特征表示所述数据流的数据空间特征;
异常检测模块,用于将所述统计特征输入到预先训练的统计特征检测模型中得到第一检测结果,将所述字符特征输入到预先训练的字符特征检测模型中得到第二检测结果,将所述图像特征输入到预先训练的图像特征检测模型中得到第三检测结果;其中,所述统计特征检测模型、所述字符特征检测模型以及所述图像特征检测模型通过权利要求1-7任一方法训练得到;
异常确定模块,用于基于所述第一检测结果,所述第二检测结果以及所述第三检测结果,确定所述待检测设备的异常检测结果。
12.一种基于特征迁移的设备异常检测系统,其特征在于,所述系统包括:平台设备和多个待检测设备;
所述平台设备,用于在运行时实现权利要求8-9任一所述的方法步骤。
13.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-9任一所述的方法步骤。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-9任一所述的方法步骤。
CN202210571708.7A 2022-05-25 2022-05-25 基于特征迁移的设备异常检测、训练方法、系统和装置 Active CN114697139B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210571708.7A CN114697139B (zh) 2022-05-25 2022-05-25 基于特征迁移的设备异常检测、训练方法、系统和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210571708.7A CN114697139B (zh) 2022-05-25 2022-05-25 基于特征迁移的设备异常检测、训练方法、系统和装置

Publications (2)

Publication Number Publication Date
CN114697139A true CN114697139A (zh) 2022-07-01
CN114697139B CN114697139B (zh) 2022-09-02

Family

ID=82144694

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210571708.7A Active CN114697139B (zh) 2022-05-25 2022-05-25 基于特征迁移的设备异常检测、训练方法、系统和装置

Country Status (1)

Country Link
CN (1) CN114697139B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109034092A (zh) * 2018-08-09 2018-12-18 燕山大学 用于监控系统的异常事件检测方法
US20190188212A1 (en) * 2016-07-27 2019-06-20 Anomalee Inc. Prioritized detection and classification of clusters of anomalous samples on high-dimensional continuous and mixed discrete/continuous feature spaces
CN110247819A (zh) * 2019-05-23 2019-09-17 武汉安问科技发展有限责任公司 一种基于加密流识别的Wi-Fi视频采集设备检测方法及系统
CN110858326A (zh) * 2018-08-15 2020-03-03 第四范式(北京)技术有限公司 模型训练及获取附加特征数据的方法、装置、设备及介质
CN111125405A (zh) * 2019-12-19 2020-05-08 国网冀北电力有限公司信息通信分公司 电力监控图像异常检测方法和装置、电子设备及存储介质
US20200379868A1 (en) * 2019-05-31 2020-12-03 Gurucul Solutions, Llc Anomaly detection using deep learning models
WO2021114231A1 (zh) * 2019-12-11 2021-06-17 中国科学院深圳先进技术研究院 网络流量异常检测模型的训练方法及检测方法
CN113033639A (zh) * 2021-03-16 2021-06-25 江苏保旺达软件技术有限公司 一种异常数据检测模型的训练方法、电子设备及存储介质
CN113128613A (zh) * 2021-04-29 2021-07-16 南京大学 一种基于迁移学习的半监督异常检测方法
US20210400059A1 (en) * 2020-06-22 2021-12-23 Wangsu Science & Technology Co., Ltd. Network attack detection method, system and device based on graph neural network
CN114039794A (zh) * 2019-12-11 2022-02-11 支付宝(杭州)信息技术有限公司 基于半监督学习的异常流量检测模型训练方法及装置
CN114299034A (zh) * 2021-12-30 2022-04-08 杭州海康威视数字技术股份有限公司 一种缺陷检测模型的训练方法、缺陷检测方法及装置

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20190188212A1 (en) * 2016-07-27 2019-06-20 Anomalee Inc. Prioritized detection and classification of clusters of anomalous samples on high-dimensional continuous and mixed discrete/continuous feature spaces
CN109034092A (zh) * 2018-08-09 2018-12-18 燕山大学 用于监控系统的异常事件检测方法
CN110858326A (zh) * 2018-08-15 2020-03-03 第四范式(北京)技术有限公司 模型训练及获取附加特征数据的方法、装置、设备及介质
CN110247819A (zh) * 2019-05-23 2019-09-17 武汉安问科技发展有限责任公司 一种基于加密流识别的Wi-Fi视频采集设备检测方法及系统
US20200379868A1 (en) * 2019-05-31 2020-12-03 Gurucul Solutions, Llc Anomaly detection using deep learning models
WO2021114231A1 (zh) * 2019-12-11 2021-06-17 中国科学院深圳先进技术研究院 网络流量异常检测模型的训练方法及检测方法
CN114039794A (zh) * 2019-12-11 2022-02-11 支付宝(杭州)信息技术有限公司 基于半监督学习的异常流量检测模型训练方法及装置
CN111125405A (zh) * 2019-12-19 2020-05-08 国网冀北电力有限公司信息通信分公司 电力监控图像异常检测方法和装置、电子设备及存储介质
US20210400059A1 (en) * 2020-06-22 2021-12-23 Wangsu Science & Technology Co., Ltd. Network attack detection method, system and device based on graph neural network
CN113033639A (zh) * 2021-03-16 2021-06-25 江苏保旺达软件技术有限公司 一种异常数据检测模型的训练方法、电子设备及存储介质
CN113128613A (zh) * 2021-04-29 2021-07-16 南京大学 一种基于迁移学习的半监督异常检测方法
CN114299034A (zh) * 2021-12-30 2022-04-08 杭州海康威视数字技术股份有限公司 一种缺陷检测模型的训练方法、缺陷检测方法及装置

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
张圣昌: ""基于深度学习的异常检测模型研究"", 《河北大学硕士学位论文》 *
梁鹏等: "共享域特征的深度神经网络异常检测方法", 《小型微型计算机系统》 *
黄翊翔: "基于协同训练及数据融合技术的网络异常流量检测", 《电脑知识与技术》 *

Also Published As

Publication number Publication date
CN114697139B (zh) 2022-09-02

Similar Documents

Publication Publication Date Title
CN112395159B (zh) 一种日志检测方法、系统、设备及介质
CN108027830B (zh) 用于自动内容验证的系统和方法
CN111225234B (zh) 视频审核方法、视频审核装置、设备和存储介质
CN112235264B (zh) 一种基于深度迁移学习的网络流量识别方法及装置
CN110443274B (zh) 异常检测方法、装置、计算机设备及存储介质
CN112839034B (zh) 一种基于cnn-gru分层神经网络的网络入侵检测方法
CN109117634B (zh) 基于网络流量多视图融合的恶意软件检测方法及系统
US20180322411A1 (en) Automatic evaluation and validation of text mining algorithms
US20170068581A1 (en) System and method for relationship based root cause recommendation
CN110442712B (zh) 风险的确定方法、装置、服务器和文本审理系统
CN110233769A (zh) 一种流量检测方法和流量检测设备
CN113645232B (zh) 一种面向工业互联网的智能化流量监测方法、系统及存储介质
WO2018005210A1 (en) Predictive anomaly detection in communication systems
CN113486334A (zh) 网络攻击预测方法、装置、电子设备及存储介质
KR20230028746A (ko) 인쇄회로기판 어셈블리 결함 검출
CN111431819A (zh) 一种基于序列化的协议流特征的网络流量分类方法和装置
CN110781818B (zh) 视频分类方法、模型训练方法、装置及设备
CN111245667A (zh) 网络业务识别方法及装置
CN111866024A (zh) 一种网络加密流量识别方法及装置
CN112165484A (zh) 基于深度学习与侧信道分析的网络加密流量识别方法装置
US20230281696A1 (en) Method and apparatus for detecting false transaction order
CN113282920B (zh) 日志异常检测方法、装置、计算机设备和存储介质
CN112995690B (zh) 直播内容品类识别方法、装置、电子设备和可读存储介质
CN114697139B (zh) 基于特征迁移的设备异常检测、训练方法、系统和装置
WO2021223104A1 (zh) 系统测试方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant