CN115580450A - 流量检测的方法、装置、电子设备及计算机可读存储介质 - Google Patents

流量检测的方法、装置、电子设备及计算机可读存储介质 Download PDF

Info

Publication number
CN115580450A
CN115580450A CN202211168167.XA CN202211168167A CN115580450A CN 115580450 A CN115580450 A CN 115580450A CN 202211168167 A CN202211168167 A CN 202211168167A CN 115580450 A CN115580450 A CN 115580450A
Authority
CN
China
Prior art keywords
node
vector
feature vectors
edges
topological graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211168167.XA
Other languages
English (en)
Inventor
安晓宁
吴亚飚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202211168167.XA priority Critical patent/CN115580450A/zh
Publication of CN115580450A publication Critical patent/CN115580450A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请属于网络安全技术领域,公开了流量检测的方法、装置、电子设备及计算机可读存储介质,该方法包括,基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,拓扑图中的网络节点是根据网络地址信息以及端口信息构建的;根据各传输数据的传输关联信息,生成拓扑图中各边对应的边特征向量;拓扑图中的边是基于各网络节点之间的连接生成的;根据拓扑图、各边特征向量,以及预先训练好的流量检测模型,获得拓扑图中各边分别对应的流量检测结果,流量检测模型是基于图神经网络以及残差连接构建的。这样,采用拓扑图,可以根据各网络节点及其依赖关系进行流量检测,提高了流量检测的准确度。

Description

流量检测的方法、装置、电子设备及计算机可读存储介质
技术领域
本申请涉及网络安全技术领域,具体而言,涉及流量检测的方法、装置、电子设备及计算机可读存储介质。
背景技术
随着物联网以及通信技术的发展,网络中的设备越来越多。例如,物联网网络中包括多个互联的设备(如,摄像头、温度传感器、智能电视以及无线打印机等边缘设备)。随着网络中设备增多,网络攻击频率也在显著上升,网络攻击的复杂度也越来越高。
现有技术下,通常采用基于签名的被动式入侵检测系统进行检测,但是,采用这种方式,仅能对已知攻击进行有效检测,若出现新的攻击,则检测效果较差。
发明内容
本申请实施例的目的在于提供流量检测的方法、装置、电子设备及计算机可读存储介质,用以在进行流量检测时,提高流量检测结果的精确度。
一方面,提供一种流量检测的方法,包括:
基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,拓扑图中的网络节点是根据网络地址信息以及端口信息构建的;
根据各传输数据的传输关联信息,生成拓扑图中各边对应的边特征向量;拓扑图中的边是基于各网络节点之间的连接生成的;
根据拓扑图、各边特征向量,以及预先训练好的流量检测模型,获得拓扑图中各边分别对应的流量检测结果,流量检测模型是基于图神经网络以及残差连接构建的。
在上述实现过程中,基于传输数据以及传输关联数据,构建拓扑图及其对应的边特征向量,从而可以根据各网络节点及其依赖关系进行流量检测,提高了流量检测的准确度。
一种实施方式中,网络地址信息包括源互联网协议IP地址和目的IP地址,端口信息包括源端口和目的端口,网络节点包括源节点和目的节点,基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,包括:
根据各传输数据中的源IP地址和源端口,构建各传输数据分别对应的源节点;
根据各传输数据中的目的IP地址和目的端口,构建各传输数据对应的目的节点;
将各传输数据对应的源节点和目的节点连接,获得拓扑图。
在上述实现过程中,可以分别针对每一组IP地址和端口,构建网络节点,从而可以根据IP地址和端口进行节点划分。
一种实施方式中,流量检测模型是采用以下步骤训练获得的:
基于训练数据,构建拓扑图样本以及拓扑图样本中各边对应的边特征向量;
将拓扑图样本以及各边特征向量,输入图神经网络模型,获得拓扑图中各边分别对应的流量检测结果;
根据训练数据,获得各边的样本标签;
根据各边分别对应的流量检测结果和样本标签,确定模型损失;
根据模型损失,调整图神经网络模型的参数,直至获得符合训练条件的流量检测模型。
在上述实现过程中,基于图神经网络模型进行训练,获得流量检测模型。
一种实施方式中,将拓扑图样本以及各边特征向量,输入图神经网络模型,获得拓扑图中各边分别对应的流量检测结果,包括:
基于拓扑图样本中各网络节点对应的IP地址和端口,生成各网络节点分别对应的节点特征向量;
基于各节点特征向量,以及各边特征向量,进行卷积运算,获得卷积运算后的各边特征向量;
根据卷积运算后的各边特征向量,获得各边的恶意流量概率;
根据各边的恶意流量概率,获得各边的流量检测结果。
在上述实现过程中,对节点特征向量以及边特征向量,进行卷积运算,以获得检测结果。
一种实施方式中,基于各节点特征向量,以及各边特征向量,进行卷积运算,获得卷积运算后的各边特征向量,包括:
循环执行以下步骤,直至达到卷积运算条件:
针对各节点中的目标节点,基于目标节点与相邻节点对应的边特征向量,生成目标节点的聚合向量,目标节点为各节点中的任一节点;
根据目标节点的节点特征向量和聚合向量,获得目标节点的新的节点特征向量;
针对各节点中的第一节点和第二节点,基于第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量,获得第一节点和第二节点对应的新的边特征向量;第一节点和第二节点为各节点中任意相邻的两个网络节点。
在上述实现过程中,循环多次进行卷积运算。
一种实施方式中,基于目标节点与相邻节点对应的边特征向量,生成目标节点的聚合向量,包括:
从目标节点的相邻节点中,筛选出设定数量的相邻节点;
对目标节点与筛选出的相邻节点对应的边特征向量,进行平均运算,获得聚合向量。
在上述实现过程中,通过平均运算,获得聚合向量。
一种实施方式中,根据目标节点的节点特征向量和聚合向量,获得目标节点的新的节点特征向量,包括:
将目标节点的节点特征向量和聚合向量进行串联,获得第一串联向量;
基于第一串联向量,获得新的节点特征向量。
在上述实现过程中,通过向量串联,更新节点特征向量。
一种实施方式中,基于第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量,获得第一节点和第二节点对应的新的边特征向量,包括:
将第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量进行串联,获得第二串联向量;
根据第二串联向量,获得新的边特征向量。
在上述实现过程中,通过向量串联,更新边特征向量。
一方面,提供一种流量检测的装置,包括:
构建单元,用于基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,拓扑图中的网络节点是根据网络地址信息以及端口信息构建的;
生成单元,用于根据各传输数据的传输关联信息,生成拓扑图中各边对应的边特征向量;拓扑图中的边是基于各网络节点之间的连接生成的;
获得单元,用于根据拓扑图、各边特征向量,以及预先训练好的流量检测模型,获得拓扑图中各边分别对应的流量检测结果,流量检测模型是基于图神经网络以及残差连接构建的。
一种实施方式中,网络地址信息包括源互联网协议IP地址和目的IP地址,端口信息包括源端口和目的端口,网络节点包括源节点和目的节点,构建单元用于:
根据各传输数据中的源IP地址和源端口,构建各传输数据分别对应的源节点;
根据各传输数据中的目的IP地址和目的端口,构建各传输数据对应的目的节点;
将各传输数据对应的源节点和目的节点连接,获得拓扑图。
一种实施方式中,获得单元还用于:
采用以下步骤训练获得流量检测模型:
基于训练数据,构建拓扑图样本以及拓扑图样本中各边对应的边特征向量;
将拓扑图样本以及各边特征向量,输入图神经网络模型,获得拓扑图中各边分别对应的流量检测结果;
根据训练数据,获得各边的样本标签;
根据各边分别对应的流量检测结果和样本标签,确定模型损失;
根据模型损失,调整图神经网络模型的参数,直至获得符合训练条件的流量检测模型。
一种实施方式中,获得单元还用于:
基于拓扑图样本中各网络节点对应的IP地址和端口,生成各网络节点分别对应的节点特征向量;
基于各节点特征向量,以及各边特征向量,进行卷积运算,获得卷积运算后的各边特征向量;
根据卷积运算后的各边特征向量,获得各边的恶意流量概率;
根据各边的恶意流量概率,获得各边的流量检测结果。
一种实施方式中,获得单元还用于:
循环执行以下步骤,直至达到卷积运算条件:
针对各节点中的目标节点,基于目标节点与相邻节点对应的边特征向量,生成目标节点的聚合向量,目标节点为各节点中的任一节点;
根据目标节点的节点特征向量和聚合向量,获得目标节点的新的节点特征向量;
针对各节点中的第一节点和第二节点,基于第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量,获得第一节点和第二节点对应的新的边特征向量;第一节点和第二节点为各节点中任意相邻的两个网络节点。
一种实施方式中,获得单元还用于:
从目标节点的相邻节点中,筛选出设定数量的相邻节点;
对目标节点与筛选出的相邻节点对应的边特征向量,进行平均运算,获得聚合向量。
一种实施方式中,获得单元还用于:
将目标节点的节点特征向量和聚合向量进行串联,获得第一串联向量;
基于第一串联向量,获得新的节点特征向量。
一种实施方式中,获得单元还用于:
将第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量进行串联,获得第二串联向量;
根据第二串联向量,获得新的边特征向量。
一方面,提供了一种电子设备,包括处理器以及存储器,存储器存储有计算机可读取指令,当计算机可读取指令由处理器执行时,运行如上述任一种流量检测的各种可选实现方式中提供的方法的步骤。
一方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时运行如上述任一种流量检测的各种可选实现方式中提供的方法的步骤。
一方面,提供了一种计算机程序产品,计算机程序产品在计算机上运行时,使得计算机执行如上述任一种流量检测的各种可选实现方式中提供的方法的步骤。
本申请的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种流量检测模型训练的方法的流程图;
图2为本申请实施例提供的一种三元组的示例图;
图3为本申请实施例提供的一种流量检测的方法的流程图;
图4为本申请实施例提供的一种拓扑图的示例图;
图5为本申请实施例提供的一种节点以及边的示例图;
图6为本申请实施例提供的一种流量检测框架的示意图;
图7为本申请实施例提供的一种流量检测的装置的结构框图;
图8为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
首先对本申请实施例中涉及的部分用语进行说明,以便于本领域技术人员理解。
终端设备:可以是移动终端、固定终端或便携式终端,例如移动手机、站点、单元、设备、多媒体计算机、多媒体平板、互联网节点、通信器、台式计算机、膝上型计算机、笔记本计算机、上网本计算机、平板计算机、个人通信系统设备、个人导航设备、个人数字助理、音频/视频播放器、数码相机/摄像机、定位设备、电视接收器、无线电广播接收器、电子书设备、游戏设备或者其任意组合,包括这些设备的配件和外设或者其任意组合。还可预见到的是,终端设备能够支持任意类型的针对用户的接口(例如可穿戴设备)等。
服务器:可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务以及大数据和人工智能平台等基础云计算服务的云服务器。
为了在进行流量检测时,可以提高检测结果的精确度,本申请实施例提供了流量检测的方法、装置、电子设备及计算机可读存储介质。
本申请实施例中,可以应用于电子设备,电子设备可以为服务器,也可以为终端设备。
本申请实施例中,在进行流量检测之前,先进行模型训练,以获得流量检测模型。参阅图1所示,为本申请实施例提供的一种流量检测模型训练的方法的流程图,该方法的具体实施流程如下:
步骤100:基于训练数据,构建拓扑图样本以及拓扑图样本中各边对应的边特征向量。步骤101:将拓扑图样本以及各边特征向量,输入图神经网络模型,获得拓扑图中各边分别对应的流量检测结果。步骤102:根据训练数据,获得各边的样本标签。步骤103:根据各边分别对应的流量检测结果和样本标签,确定模型损失。步骤104:根据模型损失,调整图神经网络模型的参数,直至获得符合训练条件的流量检测模型。
一种实施方式中,执行步骤100时,可以采用以下步骤:
S1000:对训练数据中的传输数据样本进行解析,获得传输数据样本的网络地址信息和端口信息。
其中,练数据包括传输数据样本以及样本标签。网络地址信息包括源互联网协议(Internet Protocol,IP)地址以及目的IP地址。端口信息包括源端口以及目的端口。
进一步的,还可以获得传输数据样本的传输关联信息。
其中,传输关联信息可以包括但不限于以下至少一个信息:
传输层协议、应用层协议、时间戳、上行字节数、下行字节数、上行生存时间(TimeTo Live,TTL)、下行TTL、上行丢包率、下行丢包率、上行每秒字节数、下行每秒字节数以及服务类型。
其中,服务类型可以包括但不限于以下至少一种类型:
超文本传输协议(Hyper Text Transport Protocol,HTTP)、域名系统(DomainName System,DNS)、文件传输协议(File Transfer Protocol,FTP)、安全外壳协议(SecureShell,SSH)。
一种实施方式中,基于传输数据样本的网络地址信息、端口信息以及传输关联信息,生成传输数据样本的三元组。三元组包括第一类别特征(即源IP地址和源端口)、第二类别特征(目的IP地址和目的端口)以及传输关联信息。
参阅图2所示,为一种三元组的示例图。图2中,包括多个传输数据样本的三元组。
其中,传输数据样本包括正样本和负样本。
一种实施方式中,传输数据样本是采用以下步骤获得的:
S1000-1:采集多个样本设备(如,主机)的流量数据,作为正样本。
作为一个示例,通过流量采集设备采集设定时长内(如,固定大小的时间窗口t=300s内)所有样本设备的流量数据。
S1000-2:控制各样本设备中的多个样本设备,执行模拟网络攻击操作。
作为一个示例,从各样本设备中随机选取多个样本设备,并控制选取的各样本设备启动正常服务后,互相发送攻击数据,和/或,向未被筛选出的样本设备发送攻击数据。
S1000-3:采集筛选出的样本设备发送的攻击数据,作为负样本。
作为一个示例,通过流量采集设备采集设定时长内(如,固定大小的时间窗口t=300s内)各筛选出的样本设备发送的攻击数据。
S1001:根据各传输数据样本中的源IP地址和源端口,构建各传输数据样本分别对应的源节点。
S1002:根据各传输数据样本中的目的IP地址和目的端口,构建各传输数据对应的目的节点。
也就是说,将IP地址和端口的二元组合,视为网络节点。二元组(源IP地址,源端口)与源节点一一对应。二元组(目的IP地址,目的端口),与目的节点一一对应。
S1003:将各传输数据对应的源节点和目的节点连接,获得拓扑图。
具体的,根据各传输数据,将各网络节点进行连接,使得相邻网络节点之间存在一条无向边。
其中,拓扑图样本是由多个网络节点构建的。网络节点包括源节点和目的节点。拓扑图中的边为源节点和目的节点连接获得的。每一网络节点对应一个二元组,该二元组包含一个IP地址和端口,即(IP地址和端口)。
进一步的,还可以按照设定时长(如,按照时间窗),将采集的传输数据样本的三元组,存储到一个或多个特征文件中,并基于特征文件中的三元组,生成拓扑图样本(还可以称为时间快照流量图),以及,将拓扑图样本以设定格式存储到设备磁盘中。
实际应用中,设定时长(如300s)以及设定格式均可以根据实际应用场景进行设置,在此不作限制。
这样,就可以循环读取所有时间窗内的特征文件,对各传输数据样本进样本行解析,获得各传输数据样本分别对应的三元组,并根据三元组中网络地址信息和端口信息,构建各网络节点,获得拓扑图样本,并根据三元组中的传输关联数据,生成相邻网络节点之间连接的边特征向量。
其中,流量检测模型是对图神经网络模型进行训练获得的,流量检测模型和图神经网络模型均是基于ResEdge-GraphSAGE构建的,用于对各网络节点之间通信产生的每条流量进行分类。ResEdge-GraphSAGE属于图神经网络。ResEdge-GraphSAGE是对GraphSAGE模型进行改进以支持边分类,与GraphSAGE模型不同的是,ResEdge-GraphSAGE模型增加了边残差连接和边特征聚合,实现了边的嵌入编码。
一种实施方式中,步骤101中将拓扑图样本以及各边特征向量,输入图神经网络模型,获得拓扑图中各边分别对应的流量检测结果的实现过程可以包括:
S1011:基于拓扑图样本中各网络节点对应的IP地址和端口,生成各网络节点分别对应的节点特征向量。
作为一个示例,基于网络节点的(IP地址,端口),进行向量初始化,获得节点特征向量,如,节点特征向量为[1,1,…,1]。
S1012:基于各节点特征向量,以及各边特征向量,进行卷积运算,获得卷积运算后的各边特征向量。
S1013:根据卷积运算后的各边特征向量,获得各边的恶意流量概率。
S1014:根据各边的恶意流量概率,获得各边的流量检测结果。
其中,拓扑图样本可以表示为G(V,E),V用于指示拓扑图样本中的网络节点,E用于指示拓扑图样本中的边。则可以根据G(V,E)建立多个图卷积层。每个图卷积层执行相似的卷积运算。每个图卷积层都可以更新拓扑图中的边特征向量,也即拓扑图样本中各网络节点之间产生流量的全局编码特征。
一种实施方式中,S1012的实现过程可以包括:
循环执行以下步骤,直至达到卷积运算条件:
S1012-1:针对各节点中的目标节点,基于目标节点与相邻节点对应的边特征向量,生成目标节点的聚合向量。
其中,目标节点为各节点中的任一节点;
S1012-2:根据目标节点的节点特征向量和聚合向量,获得目标节点的新的节点特征向量。
S1012-3:针对各节点中的第一节点和第二节点,基于第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量,获得第一节点和第二节点对应的新的边特征向量。
其中,第一节点和第二节点为各节点中任意相邻的两个网络节点。
一种实施方式中,S1012-1的实现过程可以包括:
从目标节点的相邻节点中,筛选出设定数量的相邻节点;对目标节点与筛选出的相邻节点对应的边特征向量,进行平均运算,获得聚合向量。
其中,目标节点的相邻节点为与该目标节点直接连接的网络节点。
可选的,聚合向量可以采用以下公式:
Figure BDA0003862279230000121
其中,AGG为平均聚合函数,i表示目标节点的序号,u为目标节点的相邻节点的序号,k表示图卷积层的序号,s表示筛选出的相邻节点的总数量,N表示节点集合,
Figure BDA0003862279230000122
表示从目标节点i的各相邻节点中筛选出的s个相邻节点组成的节点集合。
Figure BDA0003862279230000123
表示目标节点i在第k图卷积层卷积运算后的聚合向量。
Figure BDA0003862279230000124
为目标节点i和相邻节点u之前连接的边在第k-1图卷积层卷积运算后生成的边特征向量,k=1时,hui为基于目标节点i和相邻节点u之间的传输关联数据生成的初始的边特征向量。I、u、k以及s均为自然数。
一种实施方式中,S1012-2的实现过程可以包括:
将目标节点的节点特征向量和聚合向量进行串联,获得第一串联向量;基于第一串联向量,获得新的节点特征向量。
可选的,获得节点特征向量时,可以采用以下公式:
Figure BDA0003862279230000131
其中,σ为非线性激活函数,如,可以为Relu函数,k表示图卷积层的序号,i表示目标节点的序号,n图卷积层的总层数,
Figure BDA0003862279230000132
为第k层图卷积层的可学习参数矩阵,
Figure BDA0003862279230000133
表示目标节点i在k图卷积层卷积运算后生成的的聚合向量,||表示向量串联。
Figure BDA0003862279230000134
表示目标节点i在第k-1图卷积层卷积运算后生成的节点特征向量,
Figure BDA0003862279230000135
表示目标节点i在第k图卷积层卷积运算后生成的节点特征向量。为便于区分和理解,
Figure BDA0003862279230000136
还可以称为节点编码向量。
Figure BDA0003862279230000137
的初始向量(即hi)为基于目标节点的IP地址和端口生成的节点特征向量。
本申请实施例中,为了保留边的原始信息,在生成图节点和边的特征向量时,添加了残差连接,仅根据从相邻节点计算的残差更新节点和边的特征向量,从而保留了节点的原始特征。即使该节点的相邻节点的类别极不平衡,也不会影响节点的原始信息,从而消除了非平衡数据的影响。
一种实施方式中,S1012-3的实现过程可以包括:将第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量进行串联,获得第二串联向量;根据第二串联向量,获得新的边特征向量。可选的,获得新的边特征向量时,可以采用以下公式:
Figure BDA0003862279230000138
其中,σ为非线性激活函数,k表示图卷积层的序号,i表示目标节点的序号,u表示目标节点的相邻节点的序号,
Figure BDA0003862279230000141
为第k层图卷积层的可学习参数矩阵,
Figure BDA0003862279230000142
为相邻节点u第k图卷积层卷积运算后生成的节点特征向量,
Figure BDA0003862279230000143
目标节点i第k图卷积层卷积运算后生成的节点特征向量,||表示向量串联。
Figure BDA0003862279230000144
表示目标节点i和相邻节点u的边在第k-1图卷积层卷积运算后生成的边特征向量向量。
Figure BDA0003862279230000145
表示目标节点i和相邻节点u的边在第k图卷积层卷积运算后生成的边特征向量。为便于区分和理解,
Figure BDA0003862279230000146
还可以称为边编码向量,
Figure BDA0003862279230000147
的初始向量(即hui)为基于目标节点i和相邻节点u之间的传输关联数据生成的边特征向量。
其中,S1013中根据卷积运算后的各边特征向量,获得各边的恶意流量概率的实现过程可以包括:
通过一个全连接层,对卷积运算获得的新的边特征向量进行二分类,获得各边(即网络节点之间的传输数据样本)分别为恶意流量的概率(即,恶意流量概率)。
这样,就可以通过带有残差连接的图卷积运算,获得拓扑图样本中各网络节点之间的新的边特征向量,并根据新的各边特征向量,获得各边的恶意流量概率。
S1014:根据各边的恶意流量概率,获得各边的流量检测结果。
一种实施方式,若边的恶意流量概率高于设定概率,则确定该边对应的传输数据样本为恶意流量(即流量检测结果),否则该边对应的传输数据样本为正常流量。
一种实施方式中,步骤102中的根据训练数据,获得各边的样本标签的实现过程可以包括:
获取训练数据中还包含的各边的样本标签。
在执行步骤102之前,还可以将各边对应的传输数据样本进行标记,获得各边的样本标签,如,恶意流量标记为1,正常流量标记为0。
一种实施方式中,步骤104中根据模型损失,调整图神经网络模型的参数,直至获得符合训练条件的流量检测模型的实现过程中,训练条件可以根据实际应用场景进行设置,如,模型损失低于设定损失等,在此不作限制。
进一步的,还可以将训练好的流量检测模型存储到设备磁盘中。
这样,就可以将拓扑图样本及其对应的边特征向量和样本标签,输入到图神经网络模型,并经过超参数调节和多批次训练优化,获得并存储最优的流量检测模型。
参阅图3所示,为本申请实施例提供的一种流量检测的方法的流程图,结合图3对图1中的流量检测模型进行流量检测的方法进行说明,该方法的具体实施流程如下:
步骤300:基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图。
其中,拓扑图中的网络节点是根据网络地址信息以及端口信息构建的。
一种实施方式中,步骤300的实现过程可以包括:
S3001:根据各传输数据中的源IP地址和源端口,构建各传输数据分别对应的源节点。
S3002:根据各传输数据中的目的IP地址和目的端口,构建各传输数据对应的目的节点。
S3003:将各传输数据对应的源节点和目的节点连接,获得拓扑图。
具体的,可以基于与步骤100中的拓扑图样本的创建原理,创建拓扑图,在此不做赘述。
步骤301:根据各传输数据的传输关联信息,生成拓扑图中各边对应的边特征向量。
其中,拓扑图中的边是基于各网络节点之间的连接生成的。
参阅图4所示,为一种拓扑图的示例图。图4中,拓扑图中包括多个网络节点以及不同网络节点连接生成的边,各网络节点,即,V1、V2、……V6,各边的传输关联数据可以表示为E1、E2…E5。
参阅图5所示,为一种节点以及边的示例图。图5中包括多个网络节点的IP地址和端口,以及多个边的传输关联数据E0、E1、E2…E5。
步骤302:根据拓扑图、各边特征向量,以及预先训练好的流量检测模型,获得拓扑图中各边分别对应的流量检测结果。
其中,流量检测模型是基于图神经网络以及残差连接构建的。
一种实施方式中,针对各待预测流量(即待检测的传输数据),提取各待预测流量三元组,并基于各待预测流量三元组,构建拓扑图及其对应的边特征向量,以及,将拓扑图及其对应的边特征向量输入到流量检测模型,获得各边的恶意流量概率,将恶意流量概率高于概率p(即设定概率,如,p可以为0.5)的边对应的待预测流量,确定为恶意流量,否则,确定其为正常流量。
参阅图6所示,为一种流量检测框架的示意图。图6中包括流量采集模块、拓扑图构建模块、模型训练模块、磁盘存储模块以及流量检测模块。
其中,流量采集模块用于采集传输数据或传输数据样本。拓扑图构建模块用于构建拓扑图或拓扑图样本。模型训练模块用于进行模型训练,获得流量检测模型。磁盘存储模块用于通过设备磁盘存储流量检测模型。流量检测模块用于采用流量检测模型,基于拓扑图及其对应的边特征向量进行流量检测,获得各边的流量检测结果。
具体的,图6中各模块的具体实施步骤,参见上述步骤100-步骤104,以及步骤300-步骤302,在此不做赘述。
本申请实施例中,将所有网络节点的流量连接成拓扑图,流量的源IP和源端口、目的IP和目的端口,分别作为拓扑图的网络节点,两个网络节点之间产生的流量作为图的边,以表征网络中各网络节点之间的依赖关系,再者,将针对节点分类的GraphSAGE网络进行了改进,获得了可以针对边分类的ResEdge-GraphSAGE网络,并使用ResEdge-GraphSAGE网络进行自动化的流量全局特征表示学习和图的拓扑模式学习,解决了传统的流量检测方法难以捕捉流量全局特征、非欧式空间的图拓扑关系以及节点之间相互影响的问题;同时,通过残差连接保留了拓扑图中网络节点和边的原始特征,可以仅根据从相邻节点计算的残差更新节点和边的特征向量,有效地解决了正负样本不平衡造成的模型倾斜问题。
基于同一发明构思,本申请实施例中还提供了一种流量检测的装置,由于上述装置及设备解决问题的原理与一种流量检测的方法相似,因此,上述装置的实施可以参见方法的实施,重复之处不再赘述。
如图7所示,其为本申请实施例提供的一种流量检测的装置的结构示意图,包括:
构建单元701,用于基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,拓扑图中的网络节点是根据网络地址信息以及端口信息构建的;
生成单元702,用于根据各传输数据的传输关联信息,生成拓扑图中各边对应的边特征向量;拓扑图中的边是基于各网络节点之间的连接生成的;
获得单元703,用于根据拓扑图、各边特征向量,以及预先训练好的流量检测模型,获得拓扑图中各边分别对应的流量检测结果,流量检测模型是基于图神经网络以及残差连接构建的。
一种实施方式中,网络地址信息包括源互联网协议IP地址和目的IP地址,端口信息包括源端口和目的端口,网络节点包括源节点和目的节点,构建单元701用于:
根据各传输数据中的源IP地址和源端口,构建各传输数据分别对应的源节点;
根据各传输数据中的目的IP地址和目的端口,构建各传输数据对应的目的节点;
将各传输数据对应的源节点和目的节点连接,获得拓扑图。
一种实施方式中,获得单元703还用于:
采用以下步骤训练获得流量检测模型:
基于训练数据,构建拓扑图样本以及拓扑图样本中各边对应的边特征向量;
将拓扑图样本以及各边特征向量,输入图神经网络模型,获得拓扑图中各边分别对应的流量检测结果;
根据训练数据,获得各边的样本标签;
根据各边分别对应的流量检测结果和样本标签,确定模型损失;
根据模型损失,调整图神经网络模型的参数,直至获得符合训练条件的流量检测模型。
一种实施方式中,获得单元703还用于:
基于拓扑图样本中各网络节点对应的IP地址和端口,生成各网络节点分别对应的节点特征向量;
基于各节点特征向量,以及各边特征向量,进行卷积运算,获得卷积运算后的各边特征向量;
根据卷积运算后的各边特征向量,获得各边的恶意流量概率;
根据各边的恶意流量概率,获得各边的流量检测结果。
一种实施方式中,获得单元703还用于:
循环执行以下步骤,直至达到卷积运算条件:
针对各节点中的目标节点,基于目标节点与相邻节点对应的边特征向量,生成目标节点的聚合向量,目标节点为各节点中的任一节点;
根据目标节点的节点特征向量和聚合向量,获得目标节点的新的节点特征向量;
针对各节点中的第一节点和第二节点,基于第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量,获得第一节点和第二节点对应的新的边特征向量;第一节点和第二节点为各节点中任意相邻的两个网络节点。
一种实施方式中,获得单元703还用于:
从目标节点的相邻节点中,筛选出设定数量的相邻节点;
对目标节点与筛选出的相邻节点对应的边特征向量,进行平均运算,获得聚合向量。
一种实施方式中,获得单元703还用于:
将目标节点的节点特征向量和聚合向量进行串联,获得第一串联向量;
基于第一串联向量,获得新的节点特征向量。
一种实施方式中,获得单元703还用于:
将第一节点的新的节点特征向量,第二节点的新的节点特征向量,以及第一节点和第二节点对应的边特征向量进行串联,获得第二串联向量;
根据第二串联向量,获得新的边特征向量。
本申请实施例提供的流量检测的方法、装置、电子设备及计算机可读存储介质中,基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,拓扑图中的网络节点是根据网络地址信息以及端口信息构建的;根据各传输数据的传输关联信息,生成拓扑图中各边对应的边特征向量;拓扑图中的边是基于各网络节点之间的连接生成的;根据拓扑图、各边特征向量,以及预先训练好的流量检测模型,获得拓扑图中各边分别对应的流量检测结果,流量检测模型是基于图神经网络以及残差连接构建的。这样,基于传输数据以及传输关联数据,构建拓扑图及其对应的边特征向量,从而可以根据各网络节点及其依赖关系进行流量检测,提高了流量检测的准确度。
图8示出了一种电子设备8000的结构示意图。参阅图8所示,电子设备8000包括:处理器8010以及存储器8020,可选的,还可以包括电源8030、显示单元8040、输入单元8050。
处理器8010是电子设备8000的控制中心,利用各种接口和线路连接各个部件,通过运行或执行存储在存储器8020内的软件程序和/或数据,执行电子设备8000的各种功能,从而对电子设备8000进行整体监控。
本申请实施例中,处理器8010调用存储器8020中存储的计算机程序时执行上述实施例中的各个步骤。
可选的,处理器8010可包括一个或多个处理单元;优选的,处理器8010可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器8010中。在一些实施例中,处理器、存储器、可以在单一芯片上实现,在一些实施例中,它们也可以在独立的芯片上分别实现。
存储器8020可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、各种应用等;存储数据区可存储根据电子设备8000的使用所创建的数据等。此外,存储器8020可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件等。
电子设备8000还包括给各个部件供电的电源8030(比如电池),电源可以通过电源管理系统与处理器8010逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗等功能。
显示单元8040可用于显示由用户输入的信息或提供给用户的信息以及电子设备8000的各种菜单等,本发明实施例中主要用于显示电子设备8000中各应用的显示界面以及显示界面中显示的文本、图片等对象。显示单元8040可以包括显示面板8041。显示面板8041可以采用液晶显示屏(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置。
输入单元8050可用于接收用户输入的数字或字符等信息。输入单元8050可包括触控面板8051以及其他输入设备8052。其中,触控面板8051,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触摸笔等任何适合的物体或附件在触控面板8051上或在触控面板8051附近的操作)。
具体的,触控面板8051可以检测用户的触摸操作,并检测触摸操作带来的信号,将这些信号转换成触点坐标,发送给处理器8010,并接收处理器8010发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板8051。其他输入设备8052可以包括但不限于物理键盘、功能键(比如音量控制按键、开关机按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
当然,触控面板8051可覆盖显示面板8041,当触控面板8051检测到在其上或附近的触摸操作后,传送给处理器8010以确定触摸事件的类型,随后处理器8010根据触摸事件的类型在显示面板8041上提供相应的视觉输出。虽然在图8中,触控面板8051与显示面板8041是作为两个独立的部件来实现电子设备8000的输入和输出功能,但是在某些实施例中,可以将触控面板8051与显示面板8041集成而实现电子设备8000的输入和输出功能。
电子设备8000还可包括一个或多个传感器,例如压力传感器、重力加速度传感器、接近光传感器等。当然,根据具体应用中的需要,上述电子设备8000还可以包括摄像头等其它部件,由于这些部件不是本申请实施例中重点使用的部件,因此,在图8中没有示出,且不再详述。
本领域技术人员可以理解,图8仅仅是电子设备的举例,并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件。
本申请实施例中,一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,使得通信设备可以执行上述实施例中的各个步骤。
为了描述的方便,以上各部分按照功能划分为各模块(或单元)分别描述。当然,在实施本申请时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (18)

1.一种流量检测的方法,其特征在于,包括:
基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,所述拓扑图中的网络节点是根据所述网络地址信息以及所述端口信息构建的;
根据各传输数据的传输关联信息,生成所述拓扑图中各边对应的边特征向量;所述拓扑图中的边是基于各网络节点之间的连接生成的;
根据所述拓扑图、各边特征向量,以及预先训练好的流量检测模型,获得所述拓扑图中各边分别对应的流量检测结果,所述流量检测模型是基于图神经网络以及残差连接构建的。
2.如权利要求1所述的方法,其特征在于,所述网络地址信息包括源互联网协议IP地址和目的IP地址,所述端口信息包括源端口和目的端口,所述网络节点包括源节点和目的节点,所述基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,包括:
根据各传输数据中的源IP地址和源端口,构建各传输数据分别对应的源节点;
根据各传输数据中的目的IP地址和目的端口,构建各传输数据对应的目的节点;
将各传输数据对应的源节点和目的节点连接,获得所述拓扑图。
3.如权利要求2所述的方法,其特征在于,所述流量检测模型是采用以下步骤训练获得的:
基于训练数据,构建拓扑图样本以及所述拓扑图样本中各边对应的边特征向量;
将所述拓扑图样本以及各边特征向量,输入图神经网络模型,获得所述拓扑图中各边分别对应的流量检测结果;
根据所述训练数据,获得各边的样本标签;
根据各边分别对应的流量检测结果和样本标签,确定模型损失;
根据所述模型损失,调整所述图神经网络模型的参数,直至获得符合训练条件的流量检测模型。
4.如权利要求3所述的方法,其特征在于,所述将所述拓扑图样本以及各边特征向量,输入图神经网络模型,获得所述拓扑图中各边分别对应的流量检测结果,包括:
基于所述拓扑图样本中各网络节点对应的IP地址和端口,生成各网络节点分别对应的节点特征向量;
基于各节点特征向量,以及各边特征向量,进行卷积运算,获得卷积运算后的各边特征向量;
根据卷积运算后的各边特征向量,获得各边的恶意流量概率;
根据各边的恶意流量概率,获得各边的流量检测结果。
5.如权利要求4所述的方法,其特征在于,所述基于各节点特征向量,以及各边特征向量,进行卷积运算,获得卷积运算后的各边特征向量,包括:
循环执行以下步骤,直至达到卷积运算条件:
针对各节点中的目标节点,基于所述目标节点与相邻节点对应的边特征向量,生成所述目标节点的聚合向量,所述目标节点为各节点中的任一节点;
根据所述目标节点的节点特征向量和聚合向量,获得所述目标节点的新的节点特征向量;
针对各节点中的第一节点和第二节点,基于所述第一节点的新的节点特征向量,所述第二节点的新的节点特征向量,以及所述第一节点和所述第二节点对应的边特征向量,获得所述第一节点和所述第二节点对应的新的边特征向量;所述第一节点和所述第二节点为各节点中任意相邻的两个网络节点。
6.如权利要求5所述的方法,其特征在于,所述基于所述目标节点与相邻节点对应的边特征向量,生成所述目标节点的聚合向量,包括:
从所述目标节点的相邻节点中,筛选出设定数量的相邻节点;
对所述目标节点与筛选出的相邻节点对应的边特征向量,进行平均运算,获得所述聚合向量。
7.如权利要求5或6所述的方法,其特征在于,所述根据所述目标节点的节点特征向量和聚合向量,获得所述目标节点的新的节点特征向量,包括:
将所述目标节点的节点特征向量和聚合向量进行串联,获得第一串联向量;
基于所述第一串联向量,获得所述新的节点特征向量。
8.如权利要求5或6所述的方法,其特征在于,所述基于所述第一节点的新的节点特征向量,所述第二节点的新的节点特征向量,以及所述第一节点和所述第二节点对应的边特征向量,获得所述第一节点和所述第二节点对应的新的边特征向量,包括:
将所述第一节点的新的节点特征向量,所述第二节点的新的节点特征向量,以及所述第一节点和所述第二节点对应的边特征向量进行串联,获得第二串联向量;
根据所述第二串联向量,获得所述新的边特征向量。
9.一种流量检测的装置,其特征在于,包括:
构建单元,用于基于待检测的传输数据的网络地址信息以及端口信息,构建拓扑图,所述拓扑图中的网络节点是根据所述网络地址信息以及所述端口信息构建的;
生成单元,用于根据各传输数据的传输关联信息,生成所述拓扑图中各边对应的边特征向量;所述拓扑图中的边是基于各网络节点之间的连接生成的;
获得单元,用于根据所述拓扑图、各边特征向量,以及预先训练好的流量检测模型,获得所述拓扑图中各边分别对应的流量检测结果,所述流量检测模型是基于图神经网络以及残差连接构建的。
10.如权利要求9所述的装置,其特征在于,所述网络地址信息包括源互联网协议IP地址和目的IP地址,所述端口信息包括源端口和目的端口,所述网络节点包括源节点和目的节点,所述构建单元用于:
根据各传输数据中的源IP地址和源端口,构建各传输数据分别对应的源节点;
根据各传输数据中的目的IP地址和目的端口,构建各传输数据对应的目的节点;
将各传输数据对应的源节点和目的节点连接,获得所述拓扑图。
11.如权利要求10所述的装置,其特征在于,所述获得单元还用于:
采用以下步骤训练获得所述流量检测模型:
基于训练数据,构建拓扑图样本以及所述拓扑图样本中各边对应的边特征向量;
将所述拓扑图样本以及各边特征向量,输入图神经网络模型,获得所述拓扑图中各边分别对应的流量检测结果;
根据所述训练数据,获得各边的样本标签;
根据各边分别对应的流量检测结果和样本标签,确定模型损失;
根据所述模型损失,调整所述图神经网络模型的参数,直至获得符合训练条件的流量检测模型。
12.如权利要求11所述的装置,其特征在于,所述获得单元还用于:
基于所述拓扑图样本中各网络节点对应的IP地址和端口,生成各网络节点分别对应的节点特征向量;
基于各节点特征向量,以及各边特征向量,进行卷积运算,获得卷积运算后的各边特征向量;
根据卷积运算后的各边特征向量,获得各边的恶意流量概率;
根据各边的恶意流量概率,获得各边的流量检测结果。
13.如权利要求12所述的装置,其特征在于,所述获得单元还用于:
循环执行以下步骤,直至达到卷积运算条件:
针对各节点中的目标节点,基于所述目标节点与相邻节点对应的边特征向量,生成所述目标节点的聚合向量,所述目标节点为各节点中的任一节点;
根据所述目标节点的节点特征向量和聚合向量,获得所述目标节点的新的节点特征向量;
针对各节点中的第一节点和第二节点,基于所述第一节点的新的节点特征向量,所述第二节点的新的节点特征向量,以及所述第一节点和所述第二节点对应的边特征向量,获得所述第一节点和所述第二节点对应的新的边特征向量;所述第一节点和所述第二节点为各节点中任意相邻的两个网络节点。
14.如权利要求13所述的方法,其特征在于,所述获得单元还用于:
从所述目标节点的相邻节点中,筛选出设定数量的相邻节点;
对所述目标节点与筛选出的相邻节点对应的边特征向量,进行平均运算,获得所述聚合向量。
15.如权利要求13或14所述的方法,其特征在于,所述获得单元还用于:
将所述目标节点的节点特征向量和聚合向量进行串联,获得第一串联向量;
基于所述第一串联向量,获得所述新的节点特征向量。
16.如权利要求13或14所述的方法,其特征在于,所述获得单元还用于:
将所述第一节点的新的节点特征向量,所述第二节点的新的节点特征向量,以及所述第一节点和所述第二节点对应的边特征向量进行串联,获得第二串联向量;
根据所述第二串联向量,获得所述新的边特征向量。
17.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-8任一所述方法。
18.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-8任一所述方法。
CN202211168167.XA 2022-09-23 2022-09-23 流量检测的方法、装置、电子设备及计算机可读存储介质 Pending CN115580450A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211168167.XA CN115580450A (zh) 2022-09-23 2022-09-23 流量检测的方法、装置、电子设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211168167.XA CN115580450A (zh) 2022-09-23 2022-09-23 流量检测的方法、装置、电子设备及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN115580450A true CN115580450A (zh) 2023-01-06

Family

ID=84580589

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211168167.XA Pending CN115580450A (zh) 2022-09-23 2022-09-23 流量检测的方法、装置、电子设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN115580450A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116170237A (zh) * 2023-04-25 2023-05-26 南京众智维信息科技有限公司 一种融合gnn和acgan的入侵检测方法
CN117061252A (zh) * 2023-10-12 2023-11-14 杭州智顺科技有限公司 数据安全的检测方法、装置、设备及存储介质

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116170237A (zh) * 2023-04-25 2023-05-26 南京众智维信息科技有限公司 一种融合gnn和acgan的入侵检测方法
CN117061252A (zh) * 2023-10-12 2023-11-14 杭州智顺科技有限公司 数据安全的检测方法、装置、设备及存储介质
CN117061252B (zh) * 2023-10-12 2024-03-12 杭州智顺科技有限公司 数据安全的检测方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
CN111461089B (zh) 一种人脸检测的方法、人脸检测模型的训练方法及装置
CN115580450A (zh) 流量检测的方法、装置、电子设备及计算机可读存储介质
CN112069414A (zh) 推荐模型训练方法、装置、计算机设备及存储介质
CN111368290A (zh) 一种数据异常检测方法、装置及终端设备
CN112990390B (zh) 一种图像识别模型的训练方法、图像识别的方法及装置
CN111262887A (zh) 基于对象特征的网络风险检测方法、装置、设备及介质
CN112203115B (zh) 一种视频识别方法和相关装置
CN111898561B (zh) 一种人脸认证方法、装置、设备及介质
CN114694226B (zh) 一种人脸识别方法、系统及存储介质
CN113723378B (zh) 一种模型训练的方法、装置、计算机设备和存储介质
CN115588131B (zh) 模型鲁棒性检测方法、相关装置及存储介质
CN114422271B (zh) 数据处理方法、装置、设备及可读存储介质
CN114253866B (zh) 恶意代码检测的方法、装置、计算机设备及可读存储介质
CN109388722A (zh) 一种用于添加或查找社交联系人的方法与设备
CN115022098A (zh) 人工智能安全靶场内容推荐方法、装置及存储介质
CN114398973A (zh) 一种媒体内容标签识别方法、装置、设备及存储介质
CN113609479A (zh) 一种文件检测的方法、装置、电子设备及可读存储介质
CN112995757A (zh) 视频剪裁方法及装置
CN113052198B (zh) 一种数据处理方法、装置、设备及存储介质
CN116778306A (zh) 伪造对象检测方法、相关装置及存储介质
CN114726876B (zh) 一种数据检测方法、装置、设备和存储介质
CN115801366A (zh) 攻击检测的方法、装置、电子设备及计算机可读存储介质
CN118302801A (zh) 使用经过使用自监督训练来训练的机器学习视频筛选模型的视频筛选
CN115239941A (zh) 对抗图像生成方法、相关装置及存储介质
CN114513355A (zh) 恶意域名检测方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination