CN116866273A - 流量检测方法、流量检测装置、电子设备及存储介质 - Google Patents
流量检测方法、流量检测装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116866273A CN116866273A CN202310967577.9A CN202310967577A CN116866273A CN 116866273 A CN116866273 A CN 116866273A CN 202310967577 A CN202310967577 A CN 202310967577A CN 116866273 A CN116866273 A CN 116866273A
- Authority
- CN
- China
- Prior art keywords
- behavior
- detected
- matrix
- flow
- category
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 72
- 230000006399 behavior Effects 0.000 claims abstract description 248
- 239000011159 matrix material Substances 0.000 claims abstract description 189
- 238000013528 artificial neural network Methods 0.000 claims abstract description 62
- 238000012545 processing Methods 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 51
- 238000004891 communication Methods 0.000 claims abstract description 10
- 239000013598 vector Substances 0.000 claims description 61
- 238000012549 training Methods 0.000 claims description 57
- 230000008569 process Effects 0.000 claims description 23
- 230000002159 abnormal effect Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 13
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 14
- 230000007246 mechanism Effects 0.000 description 6
- 238000013136 deep learning model Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000010606 normalization Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000003252 repetitive effect Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 230000035945 sensitivity Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008034 disappearance Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 230000002458 infectious effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2441—Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0499—Feedforward networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/24—Traffic characterised by specific attributes, e.g. priority or QoS
- H04L47/2483—Traffic characterised by specific attributes, e.g. priority or QoS involving identification of individual flows
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Artificial Intelligence (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Environmental & Geological Engineering (AREA)
- Traffic Control Systems (AREA)
Abstract
本公开提供一种流量检测方法、流量检测装置、电子设备及存储介质,涉及通信技术领域。该方法包括:获取待检测流量数据,待检测流量数据包括多次待检测访问数据,每次待检测访问数据包括多个待检测行为和每个待检测行为对应的行为类别;获得各个行为类别对流量检测的贡献度;对待检测流量数据进行词嵌入处理,获得词嵌入矩阵,词嵌入矩阵的每一行表示每次待检测访问数据,每一元素表示每个待检测行为;根据词嵌入矩阵中各个元素所属的行为类别及其贡献度进行位置编码,得到位置编码矩阵;将词嵌入矩阵和位置编码矩阵进行叠加,获得目标中间矩阵;通过训练完成的神经网络模块对目标中间矩阵进行处理,获得每次待检测访问数据对应的流量类别。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种流量检测方法、流量检测装置、电子设备及存储介质。
背景技术
随着移动设备的广泛普及和移动网络技术的快速发展,网络安全问题日益严重,异常流量检测技术在此背景下应运而生;异常流量检测技术可以识别和阻止潜在的网络攻击,为移动通信网络提供安全保障。
相关技术中,将待检测访问数据输入至神经网络模型进行检测,得到待检测访问行为的流量类别,该方法考虑因素单一,导致流量识别的准确性较低。
需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
本公开的目的在于提供一种流量检测方法、流量检测装置、电子设备及存储介质,该方法可以使得神经网络模块更直观地理解不同行为类别对流量检测的贡献度,从而提高神经网络模块对流量识别的准确性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
本公开实施例提供一种流量检测方法,该方法包括:获取待检测流量数据,所述待检测流量数据包括多次待检测访问数据,每次待检测访问数据包括多个待检测行为和每个待检测行为对应的行为类别;获得各个行为类别对流量检测的贡献度;对所述待检测流量数据进行词嵌入处理,获得词嵌入矩阵,所述词嵌入矩阵的每一行表示每次待检测访问数据,每一元素表示每个待检测行为;根据所述词嵌入矩阵中各个元素所属的行为类别及其贡献度进行位置编码,得到位置编码矩阵;将所述词嵌入矩阵和所述位置编码矩阵进行叠加,获得目标中间矩阵;通过训练完成的神经网络模块对所述目标中间矩阵进行处理,获得每次待检测访问数据对应的流量类别。
在示例性实施例中,获得各个行为类别对流量检测的贡献度,包括:获取训练流量数据,所述训练流量数据包括多次访问数据和每次访问数据对应的流量类别标签,每次访问数据包括多个访问行为和每个访问行为对应的行为类别;根据每个访问行为的行为类别确定行为类别矩阵,所述行为类别矩阵的每一元素表示每个访问行为的行为类别;确定所述行为类别矩阵中的每一行中各个行为类别的出现次数;将每个行为类别在所有行的出现次数组成各个行为类别的行为类别向量,将每次访问对应的流量类别标签组成标签向量,确定各个行为类别向量和标签向量的协方差;将各个行为类别向量和标签向量的协方差作为各个行为类别对流量检测的贡献度。
在示例性实施例中,该方法还包括:根据所述训练流量数据和所述各个行为类别对流量检测的贡献度,确定训练目标中间矩阵;通过待训练的神经网络模块对所述训练目标中间矩阵进行处理,获得每次访问数据对应的预测流量类别;根据所述预测流量类别和所述流量类别标签对所述待训练的神经网络模块进行训练,获得所述训练完成的神经网络模块。
在示例性实施例中,所述待训练的神经网络模块为转换器模型,所述转换器模型包括多头自注意力模块、前馈神经网络、跳跃连接模块和输出模块;其中,通过待训练的神经网络模块对所述训练目标中间矩阵进行处理,获得每次访问数据对应的预测流量类别,包括:通过所述多头自注意力模块对所述训练目标中间矩阵进行处理,得到自注意力权重矩阵;通过所述前馈神经网络对所述自注意力权重矩阵进行处理,得到目标序列;通过所述跳跃连接模块对所述前馈神经网络的输入数据和所述目标序列进行处理,获得目标输出序列;通过所述输出模块对所述目标输出序列进行处理,以输出所述每次访问数据对应的预测流量类别。
在示例性实施例中,对所述待检测流量数据进行词嵌入处理,获得词嵌入矩阵,包括:针对所述待检测流量数据中的每次待检测访问数据,若所述待检测访问数据中包括的待检测行为的数量大于预设数量,则对所述待检测访问数据进行截断处理;若所述待检测访问数据中包括的待检测行为的数量小于预设数量,则对所述待检测访问数据进行补零处理。
在示例性实施例中,将所述词嵌入矩阵和所述位置编码矩阵进行叠加,获得目标中间矩阵,包括:将所述词嵌入矩阵和所述位置编码矩阵进行矩阵相加运算,获得所述目标中间矩阵。
在示例性实施例中,所述行为类别包括服务行为、注册行为、操作过程行为、系统信息获取行为、网络通信行为和文件操作行为中的至少两种;所述流量类别包括正常流量类别和多种异常流量类别。
本公开实施例提供一种流量检测装置,包括:获取模块,用于获取待检测流量数据,所述待检测流量数据包括多次待检测访问数据,每次待检测访问数据包括多个待检测行为和每个待检测行为对应的行为类别;获得模块,用于获得各个行为类别对流量检测的贡献度;处理模块,用于对所述待检测流量数据进行词嵌入处理,获得词嵌入矩阵,所述词嵌入矩阵的每一行表示每次待检测访问数据,每一元素表示每个待检测行为;所述获得模块还用于根据所述词嵌入矩阵中各个元素所属的行为类别及其贡献度进行位置编码,得到位置编码矩阵;所述获得模块还用于将所述词嵌入矩阵和所述位置编码矩阵进行叠加,获得目标中间矩阵;所述获得模块还用于通过训练完成的神经网络模块对所述目标中间矩阵进行处理,获得每次待检测访问数据对应的流量类别。
本公开实施例提供一种电子设备,包括:至少一个处理器;存储终端设备,用于存储至少一个程序,当至少一个程序被至少一个处理器执行时,使得至少一个处理器实现上述任一种流量检测方法。
本公开实施例提供一种计算机可读存储介质,其上存储有计算机程序,其特征在于,计算机程序被处理器执行时实现上述任一种流量检测方法。
本公开实施例提供的流量检测方法,根据待检测流量数据得到词嵌入矩阵,根据词嵌入矩阵中各个元素所属的行为类别及该行为类别对流量检测的贡献度进行位置编码,在将根据词嵌入矩阵和位置编码矩阵获得的目标中间矩阵输入至神经网络模块后,可以使得神经网络模块更直观地理解不同行为类别对流量检测的贡献度,从而提高神经网络模块对流量识别的准确性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施方式示出的一种流量检测方法的流程图。
图2是根据一示例示出的对流量数据进行处理的示意图。
图3是根据一示例性实施例示出的另一种流量检测方法的流程图。
图4是根据一示例示出的确定目标中间矩阵的示意图。
图5是根据一示例性实施例示出的另一种流量检测方法的流程图。
图6是本公开一示例性实施例中的流量检测装置的框图。
图7是根据一示例性实施方式示出的一种电子设备的结构示意图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本公开将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
本公开所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。
附图仅为本公开的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在至少一个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和步骤,也不是必须按所描述的顺序执行。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
此外,在本公开的描述中,用语“一个”、“一”、“该”、“所述”和“至少一个”用以表示存在至少一个要素或组成部分;用语“包含”、“包括”和“具有”用以表示开放式的包括在内的意思并且是指除了列出的要素或组成部分之外还可存在另外的要素或组成部分;用语“第一”、“第二”和“第三”等仅作为标记使用,不是对其对象的数量限制。
下面结合附图对本公开示例实施方式进行详细说明。
图1是根据一示例性实施方式示出的一种流量检测方法的流程图,本公开实施例提供的流量检测方法可以由任意具备电子设备执行,本公开对此不作限定。
如图1所示,本公开实施例提供的流量检测方法可以包括以下步骤。
在步骤S102中,获取待检测流量数据,待检测流量数据包括多次待检测访问数据,每次待检测访问数据包括多个待检测行为和每个待检测行为对应的行为类别。
本公开实施例中,待检测流量数据可以是文本形式的网络流量数据,通过对待检测流量数据进行检测,可以得到待检测流量数据的流量类别;其中,流量类别可以包括正常流量类别和多种异常流量类别,异常流量类别具体可以包括但不限于:包括勒索病毒、DDos、木马、感染性程序等。
在示例性实施例中,行为类别包括服务行为、注册行为、操作过程行为、系统信息获取行为、网络通信行为和文件操作行为中的至少两种。
在下面的举例说明中,均以行为类别为以上6类为例进行说明,在实际应用过程中,可以根据实际情况对访问行为进行分类。
在步骤S104中,获得各个行为类别对流量检测的贡献度。
本公开实施例中,各个行为类别对流量检测的贡献度可以表征各个行为类别和流量类别(例如异常流量类别)的关联性,不同行为类别对异常流量的敏感度是不同的;例如系统信息获取行为和注册行为与异常流量的关联性较大,则系统信息获取行为和注册行为的贡献度较大。
本公开实施例中,每一行为类别均对应一个贡献度,以6类行为为例,6类行为类别分别对应6个贡献度,贡献度可以使用数值表示。
本公开实施例中,各个行为类别对流量检测的贡献度可以根据模型训练过程中的各个行为数据所属的行为类别及流量类别标签得到;在实际应用中,可以直接获取到训练过程中得到的各个行为类别对流量检测的贡献度。
在步骤S106中,对待检测流量数据进行词嵌入处理,获得词嵌入矩阵,词嵌入矩阵的每一行表示每次待检测访问数据,每一元素表示每个待检测行为。
本公开实施例中,先对待检测流量数据进行预处理,以便深度学习模型(例如Transformer(转换器)模型)更好地理解数据。
具体地,可以先对待检测流量数据中的每次待检测访问数据中的每个待检测行为进行词嵌入处理;其中,词嵌入是一种将文本中的单词或短语映射到连续向量空间的技术,可以捕捉单词间的语义和语法关系。
本公开实施例中,可以使用Word2Vec词嵌入算法对上述数据进行处理,Word2Vec是一种基于神经网络的词嵌入方法,其目标是通过训练神经网络来学习单词之间的语义关系。具体地,可以选择Word2Vec中的Skip-gram模型来实现词嵌入。
本公开实施例中,在词嵌入过程中,Word2Vec将文本中的每个单词表示为一个固定长度的向量,这些向量可以组成一个嵌入矩阵,其中矩阵的行数等于词汇表中单词的数量,列数等于预先设定的向量维度;矩阵中的每一行代表一个单词的向量表示,每一列代表一个特征维度;这些向量可以捕捉单词之间的语义关系,例如相似的单词在向量空间中会有较近的距离。在通过与嵌入矩阵进行一一对应后,原始的文本形式的网络流量数据被转换为一种适合深度学习模型处理的向量表示。后续步骤中,可以将这些向量输入到Transformer等深度学习模型中,进行网络流量数据的分析与预测。
图2是根据一示例示出的对流量数据进行处理的示意图。
参考图2,在应用过程中,可以对待检测流量数据(即图中的网络流量数据)进行词嵌入(embedding)处理,得到词嵌入矩阵(也可称为词向量矩阵)。
在示例性实施例中,对待检测流量数据进行词嵌入处理,获得词嵌入矩阵,包括:针对待检测流量数据中的每次待检测访问数据,若待检测访问数据中包括的待检测行为的数量大于预设数量,则对待检测访问数据进行截断处理;若待检测访问数据中包括的待检测行为的数量小于预设数量,则对待检测访问数据进行补零处理。
其中,预设数量可以根据实际情况设置,预设数量和词嵌入矩阵的列数相同,例如可以设置为5000。
本公开实施例中,词嵌入矩阵的每行表示特定流量的所有活动行为,每行中的单个元素(词向量)对应于单次活动(基于词嵌入矩阵转换为词向量);考虑到性能和复杂度的平衡,对于超过5000次的活动,进行了截断处理,若某个流量的活动次数未达到5000,对其进行零填充,因此矩阵的每行长度(即列数)固定为5000。
在步骤S108中,根据词嵌入矩阵中各个元素所属的行为类别及其贡献度进行位置编码,得到位置编码矩阵。
本公开实施例中,Transformer模型是一种基于自注意力机制的深度学习模型,为了使其可以理解词语在句子中的位置信息,从而捕捉语法结构和语义关系,可以使用位置编码(Positional Encoding);其中,位置编码的作用是为词嵌入矩阵的每个位置生成一个向量表示,以便在后续的自注意力计算中保留词语的顺序信息;其中,位置编码向量的维度与词嵌入向量的维度相同,便于直接进行矩阵相加运算。
本公开实施例中,在对词嵌入矩阵进行位置编码时,可以先根据位置编码算法和各个元素的位置信息对各个元素进行位置编码,得到各个元素的初始位置编码向量;根据各个元素所属的行为类别对应的贡献度和各个元素的初始位置编码向量(例如进行相乘、叠加或三角函数运算等),得到各个元素的位置编码向量,从而得到位置编码矩阵。
本公开实施例得到的位置编码矩阵,不仅考虑了各个元素的位置信息,还考虑了各个元素所属的行为类别对流量检测的贡献度,可以使得后续神经网络模块识别流量类别时更加准确。
在步骤S110中,将词嵌入矩阵和位置编码矩阵进行叠加,获得目标中间矩阵。
在示例性实施例中,将词嵌入矩阵和位置编码矩阵进行叠加,获得目标中间矩阵,包括:将词嵌入矩阵和位置编码矩阵进行矩阵相加运算,获得目标中间矩阵。
本公开实施例中,词嵌入矩阵和位置编码矩阵的维度相同,因此可以直接进行矩阵相加运算。
在步骤S112中,通过训练完成的神经网络模块对目标中间矩阵进行处理,获得每次待检测访问数据对应的流量类别。
本公开实施例中,参考图2,神经网络模块可以为转换器(Transformer)模型,转换器模型可以包括多头自注意力模块、前馈神经网络、跳跃连接模块和输出模块;可以将词嵌入矩阵和位置编码矩阵叠加得到的目标中间矩阵输入至神经网络模块的多头自注意力模块,神经网络模块中的多头自注意力模块、前馈神经网络、跳跃连接模块和输出模块依次进行处理,最终输出每次待检测访问数据对应的流量类别(即图中的网络流量分类结果)。
本公开实施例提供的流量检测方法,根据待检测流量数据得到词嵌入矩阵,根据词嵌入矩阵中各个元素所属的行为类别及该行为类别对流量检测的贡献度进行位置编码,在将根据词嵌入矩阵和位置编码矩阵获得的目标中间矩阵输入至神经网络模块后,可以使得神经网络模块更直观地理解不同行为类别对流量检测的贡献度,从而提高神经网络模块对流量识别的准确性。
图3是根据一示例性实施例示出的另一种流量检测方法的流程图。
本公开实施例中,图3实施例示出了获得各个行为类别对流量检测的贡献度的具体步骤;即在图3实施例中,上述图1实施例中的步骤S104可以进一步包括以下步骤。
在步骤S302中,获取训练流量数据,训练流量数据包括多次访问数据和每次访问数据对应的流量类别标签,每次访问数据包括多个访问行为和每个访问行为对应的行为类别。
本公开实施例中,训练过程中获取的流量数据和应用过程中获取的流量数据的形式类似;在训练过程中,还需要获取每次访问数据对应的流量类别标签,流量类别标签可以为正常类别标签和多种异常类别标签,每种标签可以使用一个数字表示;例如有1种正常类别标签和7种异常类别标签,则可以使用数字1~8分别表示上述类别标签。
本公开实施例中,可以根据访问行为数据的内容对访问行为进行分类,得到每个访问行为对应的行为类别;即将所有的流量信息依据内容分类,例如分成6大类,分别是服务行为、注册行为、操作过程行为、系统信息获取行为、网络通信行为和文件操作行为。
在步骤S304中,根据每个访问行为的行为类别确定行为类别矩阵,行为类别矩阵的每一元素表示每个访问行为的行为类别。
本公开实施例中,可以根据每个访问行为所属的行为类别生成行为类别矩阵,该行为类别矩阵的每一行与每次访问相对应,每个元素与每个访问行为相对应。
具体地,可以先生成词嵌入矩阵,然后根据每个访问行为所属的行为类别对词嵌入矩阵中各个元素进行标记,以生成行为类别矩阵。
图4是根据一示例示出的确定目标中间矩阵的示意图。
本公开实施例中,参考图4,在模型训练过程中,可以对训练流量数据(即图中的网络流量数据)中的每次访问数据中的每个访问行为进行词嵌入处理,得到词嵌入矩阵;词嵌入矩阵中每行代表单次访问的所有数据,每个单元代表某次访问的某个行为;然后根据词嵌入矩阵中每个元素对应的访问行为所属的行为类别对这个元素进行标记,生成行为类别矩阵;图4示意的行为类别矩阵中每种填充方式代表一种行为类别,以上述6种行为类别为例,图4所示的行为类别矩阵中包括6种填充方式;行为类别矩阵的元素和词嵌入矩阵的元素一一对应。
在步骤S306中,确定行为类别矩阵中的每一行中各个行为类别的出现次数。
本公开实施例中,在确定行为类别矩阵后,可以统计行为类别矩阵中的每一行中各个行为类别的出现次数。
继续参考图4,以统计第4行(图中的行数仅为示意,实际应用时可根据访问次数设置对应的行数)中各个行为类别的出现次数为例,例如第1行为类别~第6类行为类别的出现次数依次为50、78、23、56、45和2。
在步骤S308中,将每个行为类别在所有行的出现次数组成各个行为类别的行为类别向量,将每次访问对应的流量类别标签组成标签向量,确定各个行为类别向量和标签向量的协方差。
本公开实施例中,可以将每个类别在所有行的出现次数组成各个行为类别的行为类别向量(例如图4中右下方矩阵的第1列~第6列),将每次访问对应的流量类别标签组成标签向量(例如图4中右下方矩阵的第7列),其中流量类别标签使用数字表示,每个数字对应一种流量类别标签,例如可以使用0表示正常流量,使用1~5分别代表不同类别的异常流量。
本公开实施例中,可以将行为类别向量组成一个矩阵,由此可以将5000维度的矩阵映射到了6维上,其中每个维度都记录了某种行为类别出现的次数;也可以将行为类别向量和标签向量组成一个矩阵,其中最后一个维度记录了流量类别标签。
本公开实施例中,也可以根据行为类别向量和标签向量组成的矩阵计算协方差矩阵,通过协方差矩阵可以得到每个行为类别向量与其他行为类别向量之间的协方差,即不同行为类别自身间的相关性;也可以得到每个行为类别向量与标签向量的协方差,即行为类别与流量类别关联性;例如系统信息获取行为和注册行为与异常流量的关联性就更为紧密,则获得的系统信息获取行为和注册行为与异常流量的协方差的数值更大,由此可以体现不同行为类别对异常流量的敏感性。
在步骤S310中,将各个行为类别向量和标签向量的协方差作为各个行为类别对流量检测的贡献度。
本公开实施例中,可以计算各个行为类别向量和标签向量的协方差,将各个行为类别向量对应的协方差作为各个行为类别对应的贡献度;例如第一类行为类别向量和标签向量的协方差作为第一类行为类别对流量检测的贡献度。
本公开实施例中,参考图4,在得到各个行为类别对流量检测的贡献度之后,可以基于贡献度进行位置编码,得到训练位置编码矩阵;将训练词嵌入矩阵和训练位置编码矩阵进行叠加,获得训练目标中间矩阵,以将训练目标中间矩阵输入至神经网络模型中。
本公开实施例提供的流量检测方法,一方面,将各个行为类别向量和标签向量的协方差作为各个行为类别对流量检测的贡献度,可以在后续进行位置编码时考虑各个行为类别对流量检测的贡献度,以让神经网络模块更直观地学习到不同行为类别对流量检测的贡献度,从而提高神经网络模块识别流量数据的准确性;另一方面,对行为进行分类得到行为类别、以及协方差的计算都是可以理解和推导的,从而提高了神经网络模块的可解释性。
图5是根据一示例性实施例示出的另一种流量检测方法的流程图。
本公开实施例中,图5实施例示出了神经网络模块的训练过程;即在图3实施例的基础上,图5所示的流量检测方法还可以包括以下步骤。
在步骤S502中,根据训练流量数据和各个行为类别对流量检测的贡献度,确定训练目标中间矩阵。
本公开实施例中,在训练过程中确定训练目标中间矩阵的步骤和在应用过程中确定目标中间矩阵的步骤类似。
具体地,对训练流量数据进行词嵌入处理,获得训练词嵌入矩阵,训练词嵌入矩阵的每一行表示每次训练访问数据,每一元素表示每个训练行为;根据训练词嵌入矩阵中各个元素所属的行为类别及其贡献度进行位置编码,得到训练位置编码矩阵;将训练词嵌入矩阵和训练位置编码矩阵进行叠加,获得训练目标中间矩阵。
在步骤S504中,通过待训练的神经网络模块对训练目标中间矩阵进行处理,获得每次访问数据对应的预测流量类别。
本公开实施例中,可以将训练目标中间矩阵输入至待训练的神经网络模块,得到每次访问数据对应的预测流量类别,预测流量类别可以是正常流量和多种异常流量中的一种。
在示例性实施例中,参考图2,待训练的神经网络模块为转换器(Transformer)模型,转换器模型可以包括多头自注意力模块、前馈神经网络、跳跃连接模块(或跳跃和正则化模块)和输出模块;其中,通过待训练的神经网络模块对训练目标中间矩阵进行处理,获得每次访问数据对应的预测流量类别,包括:通过多头自注意力模块对训练目标中间矩阵进行处理,得到自注意力权重矩阵;通过前馈神经网络对自注意力权重矩阵进行处理,得到目标序列;通过跳跃连接模块对前馈神经网络的输入数据和目标序列进行处理,获得目标输出序列;通过输出模块对目标输出序列进行处理,以输出每次访数据对应的预测流量类别。
具体地,Transformer中的自注意力机制(Self-Attention Mechanism)负责捕捉输入序列中的长距离依赖关系。自注意力机制通过计算输入序列中每个词与其他词之间的关系,生成一个加权表示,用于后续的网络层处理。本公开实施例中,可以采用多个自注意力机制(例如8个)。
具体地,自注意力机制是由3个权重矩阵计算得出的,分别为Q(Query)、K(Key)、V(Value)矩阵,分别表示查询、键和值。具体而言,输入序列首先通过线性层转换为Q、K、V向量;然后计算Q与K的点积,用于衡量输入序列中每个词对当前词的贡献程度;这个点积结果进一步通过softmax函数归一化,得到最终的注意力权重。
具体地,前馈神经网络可以包括两个线性层(全连接层)和一个激活函数,使用的激活函数可以捕捉输入数据的非线性特征(RELU)。
具体地,跳跃连接(Skip Connection,也称为残差连接)和层归一化(LayerNormalization)可以用于优化网络性能。
其中,跳跃连接可以将前馈神经网络的输入直接与其输出相加,从而实现对原始输入的“跳跃”式传递;这种结构有助于缓解梯度消失问题,使得模型能够更有效地进行深层训练。
其中,层归一化(也可称为正则化)通过对每一层的输出进行归一化处理,可以确保网络中不同层之间的信息传递更加平滑,避免梯度爆炸或消失问题。
在步骤S506中,根据预测流量类别和流量类别标签对待训练的神经网络模块进行训练,获得训练完成的神经网络模块。
本公开实施例中,可以根据预测流量类别和流量类别标签确定损失值,根据损失值调节待训练的神经网络模块的模型参数,直到损失值满足预设条件,得到训练完成的神经网络模块。
本公开实施例提供的流量检测方法,可以应用在以下应用领域:入侵检测与防御:用于检测潜在的网络攻击行为,如分布式拒绝服务(DDoS)攻击、僵尸网络和恶意软件传播;数据泄露防护:检测到可能导致数据泄露的异常行为,如窃取用户信息、攻击内部系统等;负载均衡与优化:帮助网络运营商检测并解决流量拥塞问题;网络行为分析:对用户行为进行深入分析,以识别恶意行为和欺诈行为;本公开实施例提供的流量检测方法可以有效识别和阻止潜在的网络攻击,为移动通信网络提供安全保障。
还应理解,上述只是为了帮助本领域技术人员更好地理解本公开实施例,而非要限制本公开实施例的范围。本领域技术人员根据所给出的上述示例,显然可以进行各种等价的修改或变化,例如,上述方法中某些步骤可以是不必须的,或者可以新加入某些步骤等。或者上述任意两种或者任意多种实施例的组合。这样的修改、变化或者组合后的方案也落入本公开实施例的范围内。
还应理解,上文对本公开实施例的描述着重于强调各个实施例之间的不同之处,未提到的相同或相似之处可以互相参考,为了简洁,这里不再赘述。
还应理解,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本公开实施例的实施过程构成任何限定。
还应理解,在本公开的各个实施例中,如果没有特殊说明以及逻辑冲突,不同的实施例之间的术语和/或描述具有一致性、且可以相互引用,不同的实施例中的技术特征根据其内在的逻辑关系可以组合形成新的实施例。
上文详细介绍了本公开提供的网络异常检测模型的确定方法示例。可以理解的是,计算机设备为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,本公开能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本公开的范围。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开实施例中未披露的细节,请参照本公开方法实施例。
图6是本公开一示例性实施例中的流量检测装置的框图。
如图6所示,流量检测装置600可以包括:获取模块602、获得模块604和处理模块606。
其中,获取模块602用于获取待检测流量数据,所述待检测流量数据包括多次待检测访问数据,每次待检测访问数据包括多个待检测行为和每个待检测行为对应的行为类别;获得模块604用于获得各个行为类别对流量检测的贡献度;处理模块606用于对所述待检测流量数据进行词嵌入处理,获得词嵌入矩阵,所述词嵌入矩阵的每一行表示每次待检测访问数据,每一元素表示每个待检测行为;所述获得模块604还用于根据所述词嵌入矩阵中各个元素所属的行为类别及其贡献度进行位置编码,得到位置编码矩阵;所述获得模块604还用于将所述词嵌入矩阵和所述位置编码矩阵进行叠加,获得目标中间矩阵;所述获得模块604还用于通过训练完成的神经网络模块对所述目标中间矩阵进行处理,获得每次待检测访问数据对应的流量类别。
在示例性实施例中,所述获得模块604还用于:获取训练流量数据,所述训练流量数据包括多次访问数据和每次访问数据对应的流量类别标签,每次访问数据包括多个访问行为和每个访问行为对应的行为类别;根据每个访问行为的行为类别确定行为类别矩阵,所述行为类别矩阵的每一元素表示每个访问行为的行为类别;确定所述行为类别矩阵中的每一行中各个行为类别的出现次数;将每个行为类别在所有行的出现次数组成各个行为类别的行为类别向量,将每次访问对应的流量类别标签组成标签向量,确定各个行为类别向量和标签向量的协方差;将各个行为类别向量和标签向量的协方差作为各个行为类别对流量检测的贡献度。
在示例性实施例中,所述获得模块604还用于:根据所述训练流量数据和所述各个行为类别对流量检测的贡献度,确定训练目标中间矩阵;通过待训练的神经网络模块对所述训练目标中间矩阵进行处理,获得每次访问数据对应的预测流量类别;根据所述预测流量类别和所述流量类别标签对所述待训练的神经网络模块进行训练,获得所述训练完成的神经网络模块。
在示例性实施例中,所述待训练的神经网络模块为转换器模型,所述转换器模型包括多头自注意力模块、前馈神经网络、跳跃连接模块和输出模块;其中,所述获得模块604还用于:通过所述多头自注意力模块对所述训练目标中间矩阵进行处理,得到自注意力权重矩阵;通过所述前馈神经网络对所述自注意力权重矩阵进行处理,得到目标序列;通过所述跳跃连接模块对所述前馈神经网络的输入数据和所述目标序列进行处理,获得目标输出序列;通过所述输出模块对所述目标输出序列进行处理,以输出所述每次访问数据对应的预测流量类别。
在示例性实施例中,所述获得模块604还用于:针对所述待检测流量数据中的每次待检测访问数据,若所述待检测访问数据中包括的待检测行为的数量大于预设数量,则对所述待检测访问数据进行截断处理;若所述待检测访问数据中包括的待检测行为的数量小于预设数量,则对所述待检测访问数据进行补零处理。
在示例性实施例中,所述获得模块604还用于:将所述词嵌入矩阵和所述位置编码矩阵进行矩阵相加运算,获得所述目标中间矩阵。
在示例性实施例中,所述行为类别包括服务行为、注册行为、操作过程行为、系统信息获取行为、网络通信行为和文件操作行为中的至少两种;所述流量类别包括正常流量类别和多种异常流量类别。
需要注意的是,上述附图中所示的框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器终端设备和/或微控制器终端设备中实现这些功能实体。
图7是根据一示例性实施方式示出的一种电子设备的结构示意图。需要说明的是,图7示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备700包括中央处理单元(CPU)701,其可以根据存储在只读存储器(ROM)702中的程序或者从存储部分708加载到随机访问存储器(RAM)703中的程序而执行各种适当的动作和处理。在RAM 703中,还存储有电子设备700操作所需的各种程序和数据。CPU 701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
以下部件连接至I/O接口705:包括键盘、鼠标等的输入部分706;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分707;包括硬盘等的存储部分708;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器710上,以便于从其上读出的计算机程序根据需要被安装入存储部分708。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分709从网络上被下载和安装,和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时,执行本公开的系统中限定的上述功能。
需要说明的是,本公开所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、终端设备或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、终端设备或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、终端设备或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括发送单元、获取单元、确定单元和第一处理单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,发送单元还可以被描述为“向所连接的服务端发送图片获取请求的单元”。
作为另一方面,本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如下述实施例中所述的方法。例如,所述的电子设备可以实现如图1所示的各个步骤。
根据本公开的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述实施例的各种可选实现方式中提供的方法。
需要理解的是,在本公开附图中的任何元素数量均用于示例而非限制,以及任何命名都仅用于区分,而不具有任何限制含义。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由下面的权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。
Claims (10)
1.一种流量检测方法,其特征在于,包括:
获取待检测流量数据,所述待检测流量数据包括多次待检测访问数据,每次待检测访问数据包括多个待检测行为和每个待检测行为对应的行为类别;
获得各个行为类别对流量检测的贡献度;
对所述待检测流量数据进行词嵌入处理,获得词嵌入矩阵,所述词嵌入矩阵的每一行表示每次待检测访问数据,每一元素表示每个待检测行为;
根据所述词嵌入矩阵中各个元素所属的行为类别及其贡献度进行位置编码,得到位置编码矩阵;
将所述词嵌入矩阵和所述位置编码矩阵进行叠加,获得目标中间矩阵;
通过训练完成的神经网络模块对所述目标中间矩阵进行处理,获得每次待检测访问数据对应的流量类别。
2.根据权利要求1所述的方法,其特征在于,获得各个行为类别对流量检测的贡献度,包括:
获取训练流量数据,所述训练流量数据包括多次访问数据和每次访问数据对应的流量类别标签,每次访问数据包括多个访问行为和每个访问行为对应的行为类别;
根据每个访问行为的行为类别确定行为类别矩阵,所述行为类别矩阵的每一元素表示每个访问行为的行为类别;
确定所述行为类别矩阵中的每一行中各个行为类别的出现次数;
将每个行为类别在所有行的出现次数组成各个行为类别的行为类别向量,将每次访问对应的流量类别标签组成标签向量,确定各个行为类别向量和标签向量的协方差;
将各个行为类别向量和标签向量的协方差作为各个行为类别对流量检测的贡献度。
3.根据权利要求2所述的方法,其特征在于,还包括:
根据所述训练流量数据和所述各个行为类别对流量检测的贡献度,确定训练目标中间矩阵;
通过待训练的神经网络模块对所述训练目标中间矩阵进行处理,获得每次访问数据对应的预测流量类别;
根据所述预测流量类别和所述流量类别标签对所述待训练的神经网络模块进行训练,获得所述训练完成的神经网络模块。
4.根据权利要求3所述的方法,其特征在于,所述待训练的神经网络模块为转换器模型,所述转换器模型包括多头自注意力模块、前馈神经网络、跳跃连接模块和输出模块;
其中,通过待训练的神经网络模块对所述训练目标中间矩阵进行处理,获得每次访问数据对应的预测流量类别,包括:
通过所述多头自注意力模块对所述训练目标中间矩阵进行处理,得到自注意力权重矩阵;
通过所述前馈神经网络对所述自注意力权重矩阵进行处理,得到目标序列;
通过所述跳跃连接模块对所述前馈神经网络的输入数据和所述目标序列进行处理,获得目标输出序列;
通过所述输出模块对所述目标输出序列进行处理,以输出所述每次访问数据对应的预测流量类别。
5.根据权利要求1所述的方法,其特征在于,对所述待检测流量数据进行词嵌入处理,获得词嵌入矩阵,包括:
针对所述待检测流量数据中的每次待检测访问数据,若所述待检测访问数据中包括的待检测行为的数量大于预设数量,则对所述待检测访问数据进行截断处理;若所述待检测访问数据中包括的待检测行为的数量小于预设数量,则对所述待检测访问数据进行补零处理。
6.根据权利要求1所述的方法,其特征在于,将所述词嵌入矩阵和所述位置编码矩阵进行叠加,获得目标中间矩阵,包括:
将所述词嵌入矩阵和所述位置编码矩阵进行矩阵相加运算,获得所述目标中间矩阵。
7.根据权利要求1所述的方法,其特征在于,所述行为类别包括服务行为、注册行为、操作过程行为、系统信息获取行为、网络通信行为和文件操作行为中的至少两种;所述流量类别包括正常流量类别和多种异常流量类别。
8.一种流量检测装置,其特征在于,包括:
获取模块,用于获取待检测流量数据,所述待检测流量数据包括多次待检测访问数据,每次待检测访问数据包括多个待检测行为和每个待检测行为对应的行为类别;
获得模块,用于获得各个行为类别对流量检测的贡献度;
处理模块,用于对所述待检测流量数据进行词嵌入处理,获得词嵌入矩阵,所述词嵌入矩阵的每一行表示每次待检测访问数据,每一元素表示每个待检测行为;
所述获得模块还用于根据所述词嵌入矩阵中各个元素所属的行为类别及其贡献度进行位置编码,得到位置编码矩阵;
所述获得模块还用于将所述词嵌入矩阵和所述位置编码矩阵进行叠加,获得目标中间矩阵;
所述获得模块还用于通过训练完成的神经网络模块对所述目标中间矩阵进行处理,获得每次待检测访问数据对应的流量类别。
9.一种电子设备,其特征在于,包括:
至少一个处理器;
存储装置,用于存储至少一个程序,当所述至少一个程序被所述至少一个处理器执行时,使得所述至少一个处理器实现如权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310967577.9A CN116866273A (zh) | 2023-08-02 | 2023-08-02 | 流量检测方法、流量检测装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310967577.9A CN116866273A (zh) | 2023-08-02 | 2023-08-02 | 流量检测方法、流量检测装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116866273A true CN116866273A (zh) | 2023-10-10 |
Family
ID=88235995
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310967577.9A Pending CN116866273A (zh) | 2023-08-02 | 2023-08-02 | 流量检测方法、流量检测装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116866273A (zh) |
-
2023
- 2023-08-02 CN CN202310967577.9A patent/CN116866273A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Chai et al. | An explainable multi-modal hierarchical attention model for developing phishing threat intelligence | |
CN109711160B (zh) | 应用程序检测方法、装置及神经网络系统 | |
CN112668013B (zh) | 一种面向Java源码的语句级模式探索的漏洞检测方法 | |
EP4102772B1 (en) | Method and apparatus of processing security information, device and storage medium | |
CN112003834B (zh) | 异常行为检测方法和装置 | |
CN116166271A (zh) | 代码生成方法、装置、存储介质及电子设备 | |
CN112035334B (zh) | 异常设备检测方法、装置、存储介质与电子设备 | |
CN117176417A (zh) | 网络流量异常确定方法、装置、电子设备和可读存储介质 | |
CN113378118A (zh) | 处理图像数据的方法、装置、电子设备和计算机存储介质 | |
CN116866273A (zh) | 流量检测方法、流量检测装置、电子设备及存储介质 | |
CN114238968A (zh) | 应用程序检测方法及装置、存储介质及电子设备 | |
CN117093996B (zh) | 嵌入式操作系统的安全防护方法及系统 | |
CN117290890B (zh) | 一种安全风险管控方法、装置、电子设备及存储介质 | |
CN110674497B (zh) | 一种恶意程序相似度计算的方法和装置 | |
CN117688565B (zh) | 恶意应用检测方法及其系统 | |
CN117411691A (zh) | 流量检测方法、流量检测装置、电子设备及存储介质 | |
CN118157998A (zh) | 电力网络流量异常检测方法、装置、设备及介质 | |
Xiao et al. | LIDA‐YOLO: An unsupervised low‐illumination object detection based on domain adaptation | |
CN117938455A (zh) | 攻击检测方法、装置、设备和计算机可读存储介质 | |
CN103842963B (zh) | 评估应用代码中的降级器代码的方法和设备 | |
CN117874756A (zh) | 一种基于序列控制流结构的恶意代码变种检测方法及装置 | |
CN116628699A (zh) | 基于多分类模型的DApp风险检测的方法、系统及装置 | |
CN115935348A (zh) | 恶意软件处理方法、装置、电子设备及存储介质 | |
CN116343905A (zh) | 蛋白质特征的预处理方法、装置、介质及设备 | |
RAFSANJANI | A MALICIOUS URL DETECTION FRAMEWORK USING PRIORITY COEFFICIENT AND FEATURE EVALUATION |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |