WO2022037191A1

WO2022037191A1 - 一种网络流异常检测模型的生成方法和计算机设备

Info

Publication number: WO2022037191A1
Application number: PCT/CN2021/098695
Authority: WO
Inventors: 吕麒; 李伟超; 汪漪; 金波
Original assignee: 鹏城实验室; 南方科技大学
Priority date: 2020-08-17
Filing date: 2021-06-07
Publication date: 2022-02-24
Also published as: CN111683108A; CN111683108B

Abstract

本发明提供了一种网络流异常检测模型的生成方法和计算机设备，网络流异常检测模型的生成方法，包括：基于源域对第一网络模型进行训练，以得到已训练的第一网络模型，其中，已训练的第一网络模型包括源域特征提取器和分类器；基于目标域、源域、源域特征提取器和判别器对第二网络模型进行训练，以得到目标域特征提取器；根据目标域特征提取器和分类器生成网络流异常检测模型。本发明中，通过训练使得目标域特征提取器在目标域上提取到的特征，与源域特征提取器在源域上提取的特征相似，进而，本发明中的网络流异常检测模型中基于源域训练得到的分类器，可以对目标域进行异常检测，且准确性高。

Description

一种网络流异常检测模型的生成方法和计算机设备

技术领域

本申请涉及网络数据检测技术领域，特别是涉及一种网络流异常检测模型的生成方法和计算机设备。

背景技术

网络攻击是当今社会日益紧密联系的一个严重问题，随着网络的发展和应用范围的不断扩大，网络入侵手段日新月异，造成的破坏越来越大。入侵是指尝试访问有关计算机系统或以非法或未经授权的方式破坏系统运行。异常检测可以很好的检测新的网络入侵行为。

现有的异常检测方法没有考虑到网络数据特征场景变化对算法性能带来的影响，模型训练和模型检测是在同一个数据集上进行的，只能说明在某个数据集上训练的模型，对针对这个数据集的检测是有效的。在新的场景下需要使用对模型进行调整，而对模型进行调整依赖大量有标记的数据，因此，不适用于在数据少、无标签的环境。

因此，现有技术有待改进。

发明内容

本发明提供了一种网络流异常检测模型的生成方法和计算机设备，本发明中的已训练的目标域特征提取器在目标域上提取到的特征，与源域特征提取器在源域上提取的特征相似，因此，网络流异常检测模型中基于源域训练得到的分类器，可以对目标域进行异常检测，且准确性高。

第一方面，本发明实施例提供了网络流异常检测模型的生成方法，包括：

基于源域对第一网络模型进行训练，以得到已训练的第一网络模型，其中，所述已训练的第一网络模型包括源域特征提取器和分类器；

基于目标域、所述源域、所述源域特征提取器和判别器对第二网络模型进行训练，以得到目标域特征提取器；

根据所述目标域特征提取器和所述分类器生成网络流异常检测模型。

第二方面，本发明实施例提供了一种网络流的异常检测方法，应用于网络流异常检测模型，所述网络流异常检测模型包括目标域特征提取器和分类器，所述网络流的异常检测方法包括：

所述网络流异常检测模型获取目标域中的待检测网络流；

所述目标域特征提取器提取所述待检测网络流对应的待检测特征向量，其中，所述目标域特征提取器是上述网络流异常检测模型的生成方法中的目标域特征提取器；

所述分类器对所述待检测特征向量进行分类，以得到所述待检测特征向量对应的异常检

测结果，其中，所述分类器是上述网络流异常检测模型的生成方法中的分类器。

第三方面，本发明实施例提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

根据所述目标域特征提取器和所述分类器生成网络流异常检测模型；

或者，所述网络流异常检测模型获取目标域中的待检测网络流；

所述分类器对所述待检测特征向量进行分类，以得到所述待检测特征向量对应的异常检测结果，其中，所述分类器是上述网络流异常检测模型的生成方法中的分类器。

第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：

与现有技术相比，本发明实施例具有以下优点：

本发明提供了一种网络流异常检测模型的生成方法，包括：基于源域对第一网络模型进行训练，以得到已训练的第一网络模型，其中，所述已训练的第一网络模型包括源域特征提取器和分类器；基于目标域、所述源域、所述源域特征提取器和判别器对第二网络模型进行训练，以得到目标域特征提取器；根据所述目标域特征提取器和所述分类器生成网络流异常检测模型。本发明中，目标域中的数据没有标签，通过生成对抗的方式训练第二网络模型，得到目标域特征提取器，使得目标域特征提取器可以将目标域上的数据映射到源域相似的特征空间，以实现最小化目标域的特征空间和源域的特征之间的空间距离，使得目标域特征提取器在目标域上提取到的特征，与源域特征提取器在源域上提取的特征相似，从而完成源域到目标域的适应过程；进而，在新场景下使用通过源域训练得到的分类器时，不需要新场景具有大量有标签的数据进行二次训练。本发明中的网络流异常检测模型中基于源域训练得到的分类器，可以对目标域进行异常检测，且准确性高。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例中一种网络流异常检测模型的生成方法的应用场的示意图；

图2为本发明实施例中一种网络流异常检测模型的生成方法的流程示意图；

图3为本发明实施例中从源域中确定各正常网络流和各异常网络流的过程示意图；

图4为本发明实施例中将第一网络流转换为第一字符串后的形式的示意图；

图5为本发明实施例中通过抓包(Wiresharks)解析第一网络流得到的形式的示意图；

图6为本发明实施例中将第一三维张量以Numpy压缩(Numpy zip，NPZ)文件形式存储后的示意图；

图7为本发明实施例中通过卷积神经网络提取流特征向量的过程是示意图；

图8为本发明实施例中卷积神经网络的结构示意图；

图9为本发明实施例中循环神经网络的结构示意图；

图10为本发明实施例中当源域中的异常网络流不足时，利用向量生成器生成异常网络流的示意图；

图11为本发明实施例中向量生成器的结构示意图；

图12为本发明实施例中对第二网络模型进行训练的过程示意图；

图13为本发明实施例中网络流异常检测模型的结构示意图；

图14为本发明实施例中一种网络流异常检测模型的生成方法在具体实施时的阶段示意图；

图15为本发明实施例中一种网络流的异常检测方法的流程示意图；

图16为本发明实施例中一种网络流的异常检测方法在具体实施时的流程示意图；

图17为本发明实施例中计算机设备的内部结构图。

具体实施方式

本发明提供一种网络流异常检测模型的生成方法和计算机设备，为使本发明的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)，具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语，应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样被特定定义，否则不会用理想化或过于正式的含义来解释。

发明人经过研究发现，现有技术中，通过深度学习方法虽然可以在大数据集上训练一个很好的分类器，但是这种训练好的模型往往无法直接推广到新的具有不同数据分布特征的场景中。典型的解决方案是先训练好模型，然后针对特定任务的数据集再进一步调整(Fine-tuning)模型。但这是极其困难和代价昂贵的，尤其是在网络异常检测领域，通常很难获得足够具有标签的数据来调整具有巨量参数的深度神经网络。也就是说，现有的异常检测方法没有考虑到网络数据特征场景变化对算法性能带来的影响，模型训练和模型检测是在同一个数据集上进行的，只能说明在某个数据集上训练的模型，对针对这个数据集的检测是有效的。在新的场景下需要使用对模型进行调整，而对模型进行调整依赖大量有标记的数据，因此，不适用于在数据少、无标签的环境。

为了解决上述问题，在本发明实施例中，基于源域对第一网络模型进行训练，以得到已训练的第一网络模型，其中，所述已训练的第一网络模型包括源域特征提取器和分类器；基于目标域、所述源域、所述源域特征提取器和判别器对第二网络模型进行训练，以得到目标域特征提取器；根据所述目标域特征提取器和所述分类器生成网络流异常检测模型。目标域中的数据没有标签，通过生成对抗的方式训练第二网络模型，得到目标域特征提取器，使得目标域特征提取器可以将目标域上的数据映射到源域相似的特征空间，以实现最小化目标域的特征空间和源域的特征之间的空间距离，使得目标域特征提取器在目标域上提取到的特征，与源域特征提取器在源域上提取的特征相似，从而完成源域到目标域的适应过程；进而，在新场景下使用通过源域训练得到的分类器时，不需要新场景具有大量有标签的数据进行二次训练。本发明中的网络流异常检测模型中基于源域训练得到的分类器，可以对目标域进行异常检测，且准确性高。

本实施例提供了一种网络流异常检测模型的生成方法和计算机设备，所述网络流异常检测模型的生成方法可以应用到如图1所示的场景。在该场景中，首先，终端设备1可以采集源域和目标域，并将源域和目标域输入服务器2，以使得服务器2依据所述源域和所述目标域训练第一网络模型和第二网络模型进行训练。所述服务器2可以预选存储有第一网络模型和第二网络模型，并响应终端设备1的输入的源域和目标域，以训练第一网络模型和第二网络模型，得到目标域特征提取器和分类器，再根据所述目标域特征提取器和所述分类器生成网络流异常检测模型。

可以理解的是，在上述应用场景中，虽然将本发明实施方式的动作描述为部分由终端设备1执行，部分由服务器2执行，但是这些动作也可以完全由服务器2执行，或者完全由终端设备1执行。本发明在执行主体方面不受限制，只要执行了本发明实施方式所公开的动作即可。

进一步，在生成网络流异常检测模型后，将所述网络流异常检测模型应用于电子设备中，用于检测电子设备从目标域获取的待检测网络流是否异常，电子设备包括PC机、服务器、手机、平板电脑、掌上电脑、个人数字助理(Personal Digital Assistant，PDA)等。

需要注意的是，上述应用场景仅是为了便于理解本发明而示出，本发明的实施方式在此方面不受任何限制。相反，本发明的实施方式可以应用于适用的任何场景。

下面结合附图，通过对实施例的描述，对发明内容作进一步说明。

参阅图2，本实施例提供了一种网络流异常检测模型的生成方法，包括：

S1、基于源域对第一网络模型进行训练，以得到已训练的第一网络模型，其中，所述已训练的第一网络模型包括源域特征提取器和分类器。

在本发明实施例中，所述第一网络模型为深度学习网络模型，所述源域中的流量是有标签的流量，标签用于表示源域中的网络流量是正常流量或者异常流量，通过源域训练第一网络模型，以得到已训练的第一网络模型，所述已训练的第一网络模型包括源域特征提取器和分类器。

具体的，步骤S1包括：

S11、将训练数据中的正常网络流和所述训练数据中的异常网络流输入所述第一网络模型，通过所述第一网络模型生成所述正常网络流对应的第一检测分数和所述异常网络流对应的第二检测分数，其中，所述训练数据包括多个训练组，每个训练组包括来自源域的正常网络流和来自源域的异常网络流。

在本发明实施例中，所述第一网络模型包括第一子网络和第二子网络，所述第一子网络用于提取各网络流(包括正常网络流和异常网络流)的流特征向量，所述第二子网络用于为提取的流特征向量进行分类，并输出流特征向量对应的分数。将源域的正常网络流和异常网络流输入所述第一子网络，以得到所述正常网络流对应的正常流特征向量，以及所述异常网络流对应的异常流特征向量，将所述正常流特征向量和所述异常流特征向量输入所述第二子网络，以得到所述正常流特征向量对应的第一检测分数，以及所述异常流特征向量对应的第二检测分数。所述第一检测分数为所述第二子网络基于所述正常流特征向量得到的分数，所述第二检测分数为所述第二子网络基于所述异常流特征向量得到的分数。在后文会详细介绍“将训练数据中的正常网络流和所述训练数据中的异常网络流输入所述第一网络模型，通过所述第一网络模型生成所述正常网络流对应的第一检测分数和所述异常网络流对应的第二检测分数”的详细过程。

在发明实施例中，所述训练数据中的每个训练组包括来自源域的正常网络流和来自源域的异常网络流；从源域中可以确定各正常网络流和各异常网络流。

具体的，参阅图3，从源域中确定各正常网络流和各异常网络流的过程如下：

11、获取源域；

12、对源域中的大的数据包获取(Packet capture，PCAP)文件进行分割，得到以网络流为分割粒度的PCAP文件；

21、对各网络流进行过滤，以滤除无法识别标签的网络流；

22、为过滤后的各网络流添加标签，得到各第一网络流和各第二网络流数据，其中，第一网络流是添加了正常标签的网络流，第二网络流是添加了异常标签的网络流；

31、根据各第一网络流生成预设大小的各第一三维张量，根据各第二网络流生成预设大小的各第二三维张量；

41、将各第一三维张量保存为Numpy压缩(Numpy zip，NPZ)文件，得到各正常网络流，将各第二三维张量保存为NPZ文件，得到各异常网络流。正常网络流和异常网络流是第一网络模型的输入项。

接下来详细介绍如何得到训练数据中的正常网络流和异常网络流。在步骤S11之前，还包括：

M、基于所述源域确定各异常网络流和各正常网络流。

在本发明实施例中，源域包括多个网络流，首先根据数据集的描述文件可以确定各网络流的标签，所述标签包括正常标签和异常标签，为各网络流添加标签，以得到第一网络流和第二网络流，所述第一网络流为添加了正常标签的网络流，所述第二网络流为添加了异常标签的网络流。其次，根据第一网络流生成为第一三维张量，以得到正常流量，根据第二网络流生成第二三维张量，以得到异常网络流。

具体的，步骤M包括：

M1、提取所述源域中的各第一网络流和各第二网络流。

在本发明实施例中，捕获源域对应的网络流，捕获的源域对应的网络流通常是通过PCAP文件进行存储的，所述源域对应网络流通常比较大，例如，所述源域对应的网络流的大小为几个G到几十个G，所述源域对应的网络流中包括成千上万个数据包，通常是采集某个网络在一定时间段内的数据包。由于所述源域对应的网络流通过PCAP文件进行存储，可以得到源域对应的PCAP文件，对源域对应的PCAP文件进行切割，以得到各子PACP文件，每个子PACP文件对应一个切割后的网络流。

所谓对源域对应的PCAP文件进行切割，具体的，利用pkt2flow工具将捕获的数据包(源域对应的PCAP文件包括多个数据包)以流(五元组：源IP，源端口，目的IP，目的端口，协议)为单位进行切割，以得到多个子PCAP文件每个子PCAP文件代表一个流，子PCAP文件的文件名可以通过每个PCAP文件的五元组命名。

对于切割好的各子PCAP文件，将各子PCAP文件中无法识别类型的子PCAP文件滤除，以得到滤除后的子PACP文件。所谓无法识别类型的子PCAP文件是指无法识别子PCAP文件是正常或是异常的网络流量。

对于所述滤除后的子PACP文件，根据数据集的描述文件为各PCAP文件添加标签；所述数据集包括以PCAP文件存储的网络流量和以流为单位进行标记的逗号分离值(Comma-Seperated Values，CSV)文件；CSV文件会记录每个子PCAP文件是正常的流量还是异常的流量，此操作就是根据CSV文件的描述编写代码给每个子PCAP文件添加标签，所述标签包括正常标签和异常标签。添加标签会改变子PCAP文件的文件名，也就是说，通过子PCAP文件的文件名可以确定该子PCAP文件是正常的流量还是异常的流量。为了便于说明，将添加正常标签后的子PCAP文件记为第一网络流，将添加异常标签后的子PCAP文件记为第二网络流。

M2、根据所述各第一网络流生成预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流。

在本发明实施例中，对于每个第一网络流，提取所述第一网络流中的多个第一网络数据包，根据各第一网络数据包生成第一三维张量。

具体的，步骤M2包括：

M21、对于每个第一网络流，提取所述第一网络流对应的各第一网络数据包。

在本发明实施例中，提取所述第一网络流中的多个第一网络数据包；具体的，对于第一网络流，通过Scapy包中的rdpcap()函数获取一个Packets对象，此操作可以得到所述第一网络流对应的各Packets对象，即得到多个第一网络数据包。

M22、根据各第一网络数据包得到所述第一网络流对应的预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流。

在本发明实施例中，首先将各第一网络数据包转换为各自分别对应的第一字符串，根据每个第一字符串可以得到第一二维张量，根据各第一字符串分别对应的第一二维张量，得到第一三维张量，所述预设大小可以用于表示第一二维张量的大小和第一二维张量的个数。

具体的，步骤M22包括：

M221、对每个第一网络数据包进行序列化处理，以得到各第一网络数据包各自分别对应的第一字符串。

在本发明实施例中，首先对每个第一网络数据包进行序列化处理，得到第一字符串，所述第一字符串为十六进制数字形式的字符串，十六进制数的取值在[0,255]区间内，十六进制数与图像的灰度取值范围一致，也就是说，第一网络数据包对应的第一字符串可以间接表示图像的灰度值。在实际应用时，参见图4和图5，图4是将第一网络数据包转换为第一字符串后的形式，图5是通过抓包(Wiresharks)解析第一网络数据包得到的形式，可见，解析所述第一网络数据包得到的每个字段的值，与通过Wiresharks解析出来的字段值完全一致，也就是说，本发明实施例中将第一网络数据包转换为第一字符串是有实际意义的。

M222、根据各第一字符串生成预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流。

在本发明实施例中，所述预设大小包括数据包数量和截取的每个数据包的大小，将网络数据包数量记为pkt_num，将截取的每个数据包的大小记为pkt_size。依次读取各第一网络数据包，对于每个第一网络数据包，根据该第一网络数据包对应的第一字符串和所述截取的每个数据包的大小，生成第一二维张量，其中，根据所述截取的每个数据包的大小确定所述第一二维张量的大小，截取的每个数据包中包括pkt_size个有效字符，所谓有效字符，是指字符串中的数字部分，将\x分隔的叫做一个有效字符，例如\xff；字符串中的其他符号作为标识符不进行转换，只用来进行字符串解析的标识。一个有效字符的含义对应一个十六进制数，如\xff，对应一个十六进制数，用一个字节存储。

例如，pkt_size为484，则根据第一字符串中前484个有效字符生成大小为22*22大小的第一二维张量。若第一字符串中有效字符的数量超过484字节，则只取该第一字符串的前484个字节，以生成第一二维张量，若第一字符串中的有效字符的数量不足484字节，则在第一字符串的末尾添加0，以得到具有484字节大小的第一字符串，再根据添加0后的第一字符串生成大小为22*22大小的第一二维张量。

根据各第一字符串各自分别对应第一二维张量，生成第一三维张量。所述第一字符串的数量与所述第一数据包的数量相同，根据各第一字符串和所述网络数据包数量生成第一三维张量。若所述第一数据包的数量大于所述网络数据包数量，则只取网络数据包数量个第一网络数据包，以生成第一三维张量；若所述第一网络数据包的数量小于所述网络数据包数量(第一字符串的数量小于所述网络数据包数量)，则在生成第一三维张量时生成零矩阵，以使得添加零矩阵后的第一三维张量的大小为预设大小。

例如，假设pkt_size为484，pkt_num为10，则所述预设大小为10*22*22，即第一三维张量的尺寸为10*22*22；假设，对于一个第一网络流，该第一网络流包括15个第一网络数据包，则根据15个第一网络数据包中前10个第一网络数据包生成第一三维张量，该第一三维张量的大小为：10*22*22。假设，对于一个第一网络流，该第一网络流包括8个第一网络数据包，则根据8个第一网络数据包生成三维张量，并使用np.zeros()函数直接生成零矩阵，使得添加了零矩阵后得到大小为10*22*22的第一三维张量。

在本发明实施例中，将第一三维张量以NPZ形式存储，以得到正常网络流；参见图6，图6是将第一三维张量以NPZ形式存储后的示意图。

M3、根据所述各第二网络流生成所述预设大小的各第二三维张量，并将所述各第二三维张量作为所述各异常网络流。

在本发明实施例中，对于每个第二网络流，提取所述第二网络流中的各第二网络数据包，根据各第二网络数据包生成第二三维张量。

具体的，步骤M3包括：

M31、对于每个第一网络流，提取所述第一网络流对应的各第一网络数据包。

在本发明实施例中，提取所述第二网络流中的多个第二网络数据包；具体的，对于第二网络流，通过Scapy包中的rdpcap()函数获取一个Packets对象，此操作可以得到所述第二网络流对应的各Packets对象，即得到多个第二网络数据包。

M32、根据各第一网络数据包得到所述第一网络流对应的预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流。

在本发明实施例中，首先将各第二网络数据包转换为各自分别对应的第二字符串，根据每个第二字符串可以得到第二二维张量，根据各第二字符串各自分别对应的第二二维张量，得到第二三维张量，所述预设大小可以用于表示第二二维张量的大小和第二二维张量的个数。

具体的，步骤M32包括：

M321、对每个第二网络数据包进行序列化处理，以得到各第二网络数据包各自分别对应的第二字符串；

M322、根据各第二字符串生成所述预设大小的第二三维张量，并将所述第二三维张量作为所述异常网络流。

在本发明实施例中，所述“对每个第二网络数据包进行序列化处理，以得到各第二网络数据包各自分别对应的第二字符串”的执行过程，与：“对每个第一网络数据包进行序列化处理，以得到各第一网络数据包各自分别对应的第一字符串”的执行过程一致，进而，步骤M321的具体说明可以参考上述对步骤M221的说明。

在本发明实施例中，所述“根据各第二字符串生成所述预设大小的第二三维张量，并将所述第二三维张量作为所述异常网络流”的执行过程，与：“根据各第一字符串生成预设大小的第一三维张量，并将所述第一三维张量作为所述正常网络流”的执行过程一致，进而，步骤M322的具体说明可以参考上述对步骤M222的说明。

接下来详细介绍“将训练数据中的正常网络流和所述训练数据中的异常网络流输入所述第一网络模型，通过所述第一网络模型生成所述正常网络流对应的第一检测分数和所述异常网络流对应的第二检测分数”的具体过程。

在本发明实施例中，所述第一网络模型包括第一子网络和第二子网络，所述第一子网络用于提取正常网络流对应的正常流特征向量，以及异常网络流对应的异常流特征向量。将正常流特征向量和异常流特征向量输入第二子网络，得到正常流特征向量对应的第一检测分数，以及异常流特征向量对应的第二检测分数。

为了便于说明，将正常网络流和异常网络流统称为网络流。所述第一子网络包括卷积神经网络(CNN)和循环神经网络(GRU)，首先利用CNN学习网络流的空间特征，再利用GRU学习网络流的时序特征。具体的，参见图7，每一个网络流均是三维张量(n*m*m)形式，可以分为n个二维向量(m*m)，二维向量即是数据包的包特征向量；具体的，对于第一三维张量，第一三维张量包括各第一网络数据包各自分别对应的第一二维向量，即各第一网络数据包各自分别对应的包向量；对于第二三维张量，第二三维张量包括各第二网络数据包各自分别对应的包向量。

将各个大小为m*m的包向量输入CNN，以得到各包向量各自分别对应的包特征向量，利用np.concatenate()函数将各包特征向量拼接为一个特征向量，再将拼接后的特征向量输入GRU，以学习拼接后的特征向量的时序特征，得到网络流对应的流特征向量。对于正常网络流，通过CNN和GRU得到正常网络流对应的正常流特征向量；对于异常网络流，通过CNN和GRU得到异常网络流对应的异常流特征向量。

在本发明实施例中，CNN的输入项是三维张量(n*m*m)形式，在步骤M2中，生成了预设大小的第一三维张量，以及在步骤M3中，生成了预设大小的第二三维张量。所述第一三维张量为正常网络流，即CNN的输入项，所述第二三维张量也为CNN的输入项。

由于CNN要求输入的数据有固定的大小，所述预设大小包括数据包数量和截取的每个数据包的大小，数据包数量和截取的每个数据包的大小对算法有很大的影响。有些攻击类型如DoS攻击会跟包头数据以及一个流中的前几个包关系更大，有些攻击类型如XSS攻击会跟负载的数据关系更大，因此确定对原始网络流数据的哪一部分进行表征学习会对算法的检测准确度产生重要影响。

在本发明实施例中，通过在多个数据集上各种类型的攻击的综合实验结果分析，以及对数据集的当中流和数据包的统计结果，综合考虑各个指标，可以将预设大小设为：数据包数量为6，截取的每个数据包的大小为484。这样一个流最终被处理成一个6*22*22的三维张量输入到CNN中，实际使用过程中可以再根据数据的特点进行调优。

现有技术中，HAST-NAD首先提出使用卷积神经网络(CNN)学习网络流的空间特征，然后使用循环神经网络(LSTM)学习网络流之间的时序特征，与HAST-NAD不同的是，本申请没有进行独热编码(One-Hot Encoding)。同时本申请选用GRU而不是LSTM是因为GRU的开销比LSTM更低而效果却相差无几，考虑到网络流检测对效率的要求，最终选择GRU来捕获网络流的时序特征。

在本发明实施例中，参见图8，卷积神经网络(CNN)包括三个卷积层、两个池化层和一个线形层，卷积层当中的激活函数使用ReLU；将网络流输入CNN，在CNN的各个层得到尺度不同的各特征图，其中，@前面的数字代表通道数，@后面的数字代表特征图大小，特征图的本质是特征提取后得到的矩阵。将一个三维张量输入CNN，具体的，将一个三维张量中的各二维向量依次输入CNN，一个三维张量中的各二维向量即网络流对应的各网络数据包对应的包向量。CNN的最终输出是各包向量各自分别对应的包特征向量。参见图9，循环神经网络(GRU)包括两个GRU层和一个Flatten层，GRU的输入项是拼接后的包特征向量，GRU网络的输出为流特征向量，流特征向量为一维的特征向量。

为了便于说明，将正常流特征向量和异常流特征向量统称为流特征向量。所述第二子网络的本质为一个分类器，用来对已经提取的特征做出是否是异常的判定，第二子网络的输出结果是[0,1]区间的浮点数，即所述第一检测分数和所述第二检测分数均是[0,1]区间的浮点数。

在本发明实施例中，所述正常网络流是添加了正常标签的网络流，所述正常标签用0表示，所述异常网络流是添加了异常标签的网络流，所述异常标签用1表示；所述第一检测分数是正常网络流对应的检测分数，所述第二检测分数是异常网络流对应的检测分数；也就是说，所述第一网络模型根据正常网络流得到第一检测分数，所述第一网络模型根据异常网络流得到第二检测分数。

在本发明实施例中，由于已经通过第一子网络得到了时空特征，因此，第二子网络的网络结构比较简单，第二子网络包括全连接层和Sigmoid层。

S12、根据所述第一检测分数和所述第二检测分数对所述第一网络模型进行训练，直至满足第一预设条件，以得到已训练的第一网络模型。

在本发明实施例中，所述第一网络模型包括第一子网络和第二子网络，因此，在训练时，根据所述第一检测分数和所述第二检测分数对第一子网络和第二子网络进行训练，以得到已训练的第一子网络，即源域特征提取器，以及已训练的第二子网络，即分类器。在训练过程中会在一次迭代中同时将正常流特征向量和异常流特征向量输入第二子网络，这样，已训练的第二子网络(分类器)可以用于区分输入分别是正常网络流还是异常网络流。

根据所述第一检测分数和所述第二检测分数对所述第一网络模型进行训练的过程是：根据所述第一检测分数和所述第二检测分数修改第一子网络的参数和第二子网络的参数。具体的，根据第一检测分数和第二检测分数计算分类损失函数值，再根据分类损失函数值修改第一子网络的参数和第二子网络的参数。

现有技术中，异常检测是一个典型的数据不平衡问题，也就是说训练数据中异常网络流远远少于正常网络流，在这种不平衡的训练数据上如果不进行特殊处理，直接使用神经网络进行训练，由于神经网络强大的学习能力，会对正常数据流过拟合，由于很少对异常数据流进行学习，所以训练出来的分类器很难检测出异常数据流，产生严重的数据偏差(Bias)，造成极低的异常检测率。

在本发明实施例中，所述第一网络模型还包括向量生成器，当所述源域中的异常网络流不足时，将随机噪声输入所述向量生成器，以得到异常网络流。

在本发明实施例中，参见图10，在训练过程中首先会加载源域中的各正常网络流和各异常网络流，当源域中的异常网络流不足时，则使用向量生成器生成的异常网络流进行补齐，这样，不论源域中的正常网络流和异常网络流的占比如何，实际输入到第二子网络中的正常网络流和异常网络流都能维持固定比例。需要注意的是，当源域中还有异常网络流时，不会通过向量生成器生成异常网络流。也就是说，整个训练过程本质上是分为两个阶段，第一阶段从源域中提取正常网络流和异常网络流，第二阶段从源域中提取正常网络流，并利用向量生成器生成异常网络流。图10中第二子网络输出的检测分数包括：正常流特征向量对应的第一检测分数，以及异常流特征向量对应的第二检测分数。

在本发明实施例中，所述向量生成器的网络结构如图11所示，所述向量生成器包括4个反卷积层，其中，在每个反卷积层后使用BatchNorm2d进行归一化，激活函数使用ReLU，向量生成器最终输出的是一个与NPZ文件中读取的向量同构的向量，即与步骤M2得到的正常网络流，以及步骤M3得到的异常网络流的结构均相同。

在本发明实施例中，第一网络模型的训练过程可通过以下算法实现。

输入：从源域提取的正常网络流X _n，从源域提取的异常网络流X _a，噪声Z；

输出：第一子网络：E _S，第二子网络:C _S；

开始；

从1到N迭代；

从训练数据中分别加载一批正常网络流X _n，异常网络流X _a；

通过第一子网络E _S提取X _n得到f _n；

如果X _a的数据大小等于一个批次的数据的大小；

则通过第一子网络E _S提取X _a得到f _a；

否则，使用E _S提取G _θ(Z)得到f _a，其中，G _θ是向量生成器；

将f _n和f _a输入C _s到中计算分类损失：L _classifier(f _n,f _a)；

分类损失L _classifier(f _n,f _a)后传，同时更新C _s和E _S的参数；

计算生成器的损失：

生成器的损失：

后传，同时更G _θ新的参数；

输出训练好的分类器：C _s，源域特征提取器：E _S；

结束。

在本发明实施例中，从源域提取的正常网络流和异常网络流为真实数据，通过引入一个超参数γ，可以提高真实数据被分类正确的优先级，γ的取值范围为(0,1]，当γ小于1时，C _s提高正确分类真实数据的优先级。需要注意的是，本申请中将向量生成器生成的异常网络流标记为1，将从源域提取的正常网络流标记为0，这和通常GAN中的交叉熵函数中默认将真实样本标记为1，生成样本标记为0是刚好相反。因此，C _s对应的分类损失函数如公式(1)所示。

其中，

为分类损失函数，γ是超参数，X _i为X _n或者X _a，

为第二子网络根据从源域提取的正常网络流或者异常网络流X _a得到的分数，当输入为从源域提取的正常网络流时X _n，

为第一检测分数，当输入为从源域提取的异常网络流X _a时，

为第二检测分数；

为第二子网络根据向量生成器G _θ生成的异常网络流得G _θ(Z _i)到的分数。

在本发明实施例中，根据分类损失函数计算得到的分类损失函数值修改第一子网络和第二子网络的网络参数，直至满足第一预设条件，以得到已训练的第一网络模型，所述已训练的第一网络模型包括第一子网络对应的源域特征提取器E _S，以及第二子网络对应的分类器C _s。

在本发明实施例中，当所述训练数据中来自源域中异常网络流不足时，使用向量生成器生成的异常网络流。为了使得向量生成器能够生成围绕在真实数据(从源域提取的网络流)周围的异常网络流，在本发明实施例中，对向量生成器进行训练。

训练向量生成器的目标是，使得C _s可以很好的区分正常网络流和异常网络流，向量生成器生成的异常网络流会紧密分布在正常网络流周围，但不是同分布。理想的情况是C _s能将同分布的网络流识别为正常网络流，将不同分布的网络流识别为异常网络流。若异常网络流不是紧密分布在正常网络流的周围，分类器C _s会容易区分，例如，对于第一异常网络流A和第二异常网络流B，若A分布在正常网络流附近，而B分布在离正常网络流很远的位置，则相比B而言，C _s更容易区分出A是异常网络流。为了使得向量生成器能够生成围绕在真实数据(从源域提取的网络流)周围的异常网络流，通过环绕损失和弥散损失对向量生成器进行训练，使得向量生成器能够生成围绕在真实数据(从源域提取的网络流)周围的异常网络流。

具体的，将向量生成器生成的异常网络流输入第一网络模型，通过第一网络模型得到生成分数，根据所述生成分数对所述向量生成器进行训练，以得到已训练的向量生成器。所述生成分数用于表示第二子网络根据向量生成器生成的异常网络流得到的分数。

具体的，根据生成分数计算环绕损失值，通过如公式(2)可以计算环绕损失值

其中，G _θ(Z _i)是向量生成器G _θ生成的异常网络流，

是第二子网络根据向量生成器G _θ生成的异常网络流G _θ(Z _i)得到的分数，即生成分数，α为超参数，α∈(0,1]。

通过离散损失可以使生成的异常网络流尽可能的分散开来，通过生成的异常网络流的数据点与其质心之间的距离最大，从而鼓励数据点覆盖整个边界。通过公式(3)计算离散损失值DL(G _θ,Z)。

其中，μ是生成的异常网络流对应的质心，G _θ(Z _i)是向量生成器G _θ生成的异常网络流。

综合考虑环绕损失和弥散损失，向量生成器对应的损失函数可以通过公式(4)描述。

其中，

是向量生成器对应的损失函数值，β是超参数，用于调整环绕损失和弥散损失的权重。

在本发明实施例中，在训练过程中，通过分类损失函数值修改第一子网络和第二子网络的网络参数，同时通过向量生成器对应的损失函数值修改向量生成器的网络参数，直至满足第一预设条件，以得到源域特征提取器、分类器和已训练的向量生成器。

在本发明实施例中，所述第一预设条件包括分类损失函数值满足预设要求，或者训练次数达到预设次数。所述预设要求可以是根据分类器的精度来确定，这里不做详细说明，所述预设次数可以为第二子网络的最大训练次数，例如，4000次等。由此，计算分类损失函数值后，判断所述分类损失函数值是否满足预设要求，若分类损失函数值满足预设要求，则结束训练；若分类损失函数值不满足预设要求，则判断所述第二子网络的训练次数是否达到预测次数，若未达到预设次数，则通过分类损失函数值修改第一子网络和第二子网络的网络参数，同时通过向量生成器对应的损失函数值修改向量生成器的网络参数；若达到预设次数，则结束训练。这样通过分类损失函数值和训练次数来判断训练是否结束，可以避免因分类损失函数值无法达到预设要求而造成训练进入死循环。

S2、基于目标域、所述源域、所述源域特征提取器和判别器对第二网络模型进行训练，以得到目标域特征提取器。

在本发明实施例中，所述源域和目标域的本质都是网络流，源域中的网络流是有标签的网络流，目标域中的网络流是没有标签的网络流；现有的异常检测方法，模型训练和模型检测是在同一个数据集上进行的，只能说明在某个数据集上训练的模型，对针对这个数据集的检测是有效的。在新的场景下需要使用对模型进行调整，而对模型进行调整依赖大量有标记的数据，因此，不适用于在数据少、无标签的环境。本发明实施例中，用于训练的目标域中的数据没有标签。

在本发明实施例中，通过源域提取的训练数据训练分类器，将分类器迁移到目标域中，以对目标域进行异常检测；也就是说，域的迁移是通过潜在特征的映射来完成的，而潜在特征的映射又是通过目标域特征提取器来完成的，而目标域特征提取器是通过对抗式训练的过程来优化的。在步骤S2中，通过对抗式训练，使得目标域特征提取器在目标域中提取到的特征，与源域特征提取器在源域中提取的特征相似。

参见图12，对第二网络模型进行训练的过程包括：源域特征提取器E _S从源域提取源域特征向量，第二网络模型从目标域提取目标域特征向量，将源域特征向量和目标域特征向量输入判别器D _d，通过判别器D _d输出预测分数，预测分数包括：源域特征向量对应的第一预测分数，以及目标域特征向量对应的第二预测分数，再根据第一预测分数和第二预测分数修改第二网络模型的模型参数，以得到目标域特征提取器E _t。

在本发明实施例中，源域特征提取器E _S是通过步骤S1训练第一子网络得到的。在开始训练时，所述第二网络模型的初始模型参数与所述源域特征提取器的模型参数相同，所述第二网络模型的结构与所述源域特征提取器的结构相同。所述第二网络模型的初始模型参数是第二网络模型未经训练时的模型参数，也就是说，采用源域特征提取器E _S的模型参数对第二网络模型进行参数初始化，在训练过程中，源域特征提取器E _S的参数固定，仅仅更新第二网络模型的模型参数。所述第一预测分数用于表示判别器输出的源域特征向量对应的源域特征分数，所述第二预测分数用于表示判别器输出的目标域特征向量对应的目标域特征分数。

具体的，步骤S2包括：

S21、所述源域特征提取器提取所述源域对应的源域特征向量。

在本发明实施例中，所述源域特征提取器E _S提取源域特征向量的过程，与第一子网络提取正常流特征向量的步骤一致(与第一子网络提取异常流特征向量的步骤一致)。具体的，从源域中获取一个网络流，从获取的网络流中提取预设大小的三维张量，源域特征提取器E _S根据提取的三维张量输出源域特征向量。

S22、所述第二网络模型提取目标域对应的目标域特征向量。

在本发明实施例中，所述源域特征提取器包括CNN和GRU，同样的，所述第二网络模型也包括CNN和GRU，具体的，CNN包括三个卷积层、两个池化层和一个线形层，GRU包括两个GRU层和一个Flatten层，CNN的网络结构参见图8，GRU的网络结构参见图9，将CNN和GRU级联，即得到第二网络模型。

在本发明实施例中，所述第二网络模型与源域特征提取器E _S结构相同，同样的，从目标域中获取一个网络流，从目标域对应的网络流提取预设大小的三维张量，第二网络模型根据来自目标域的三维张量输出目标域特征向量。

S23、将所述源域特征向量和所述目标域特征向量输入所述判别器，以生成所述源域特征向量对应的第一预测分数，以及所述目标域特征向量对应的第二预测分数。

在本发明实施例中，判别器D _d的目标是将来自源域和目标域的特征进行区分，也就是说，判别器的D _d目标是区分源域特征向量和目标域特征向量。源域特征向量被标记为1，目标域特征向量被标记为0。所述第一预测分数用于表示判别器输出的源域特征向量对应的源域特征分数，所述第二预测分数用于表示判别器输出的目标域特征向量对应的目标域特征分数，判别器D _d可以区分输入的特征来自目标域还是源域。

S24、基于所述第一预测分数和第二预测分数对所述第二网络模型进行训练，直至满足第二预设条件，以得到目标域特征提取器。

在本发明实施例中，通过第一预测分数和第二预测分数计算第二网络模型对应的目标域损失函数值，根据目标域损失函数值调整第二网络模型的参数，直至满足第二预设条件，以得到目标域特征提取器E _t。

在本发明实施例中，目标域损失函数值可以通过公式(5)计算得到。

其中，X _s是源域中提取的三维张量，X _t是目标域中提取的三维张量，M _t(X _t)是目标域特征向量，D(M _t(x _t))是第二检测分数，即目标域特征向量对应的目标域特征分数，D是判别器。

在本发明实施例中，在训练第二网络模型的过程中，判别器的模型参数也会被更新。具体的，通过第一预测分数和第二预测分数计算判别器D _d对应的判别损失函数值，根据判别损失函数值调整第二网络模型的参数，直至满足第二预设条件，以得到目标域特征提取器E _t。

在本发明实施例中，判别器D _d对应的判别损失函数如公式(6)所示。

其中，X _S是源域中提取的三维张量，M _S(X _S)是源域特征向量，D(M _s(x _s))是第一检测分数，即源域特征向量对应的源域特征分数，X _t是目标域中提取的三维张量，M _t(X _t)是目标域特征向量，D(M _t(x _t))是第二检测分数，即目标域特征向量对应的目标域特征分数。

在本发明实施例中，输入到E _S中的数据是源域中提取的三维张量(包括对应正常网络流的第一三维张量，以及对应异常网络流的第二三维张量)，输入第二网络模型的是来自目标域的无标签的三维张量，再将第二网络模型输出的目标域特征向量，以及源域特征提取器输出的源域特征向量输入判别器D _s。通过对抗式训练，让第二网络模型尝试从目标域中提取和E _S从源域提取类似的特征来欺骗判别器，经过对抗式优化，使得D(M _s(x _s))和D(M _t(x _t))都趋近于0.5，即当判别器D _s无法区分一个被提取的特征是来自源域还是目标域时，就说明训练过程完毕。

S3、根据所述目标域特征提取器和所述分类器生成网络流异常检测模型。

在本发明实施例中，参见图13，网络流异常检测模型包括：目标域特征提取器和分类器，分类器是经过步骤S1训练得到的，目标域特征提取器是经过步骤S2训练得到的。

参见图14，具体实施时，一种网络流异常检测模型的生成方法可以分为三个阶段。第一阶段，基于源域训练分类器C _S以及源域特征提取器E _S，考虑到来自源域的正常网络流和异常网络流的数量不平衡，当来自源域的异常网络流不足时，通过高斯噪声和向量生成器生成异常网络流，从而是输入到源域特征提取器的正常网络流和异常网络流平衡，防止分类器C _S出现正常样本数据偏差(Bias)导致极低的异常检测率。第二阶段，使用对抗式域适应的方法，训练目标域对应的目标域特征提取器E _t，将目标域上的数据映射到源域相似的特征空间，以实现最小化目标域的特征空间和源域的特征之间的空间距离，使得目标域特征提取器在目标域上提取到的特征，与源域特征提取器在源域上提取的特征相似，从而完成源域到目标域的适应过程。第三阶段，将第一阶段训练好的分类器C _S和第二阶段训练好的目标域特征提取器E _t级联，最终实现一个可以在目标域上进行异常检测的网络流异常检测模型。

本发明实施例中，基于源域对第一网络模型进行训练，以得到已训练的第一网络模型，其中，所述已训练的第一网络模型包括源域特征提取器和分类器；基于目标域、所述源域、所述源域特征提取器和判别器对第二网络模型进行训练，以得到目标域特征提取器；根据所述目标域特征提取器和所述分类器生成网络流异常检测模型。目标域中的数据没有标签，通过生成对抗的方式训练第二网络模型，得到目标域特征提取器，使得目标域特征提取器可以将目标域上的数据映射到源域相似的特征空间，以实现最小化目标域的特征空间和源域的特征之间的空间距离，使得目标域特征提取器在目标域上提取到的特征，与源域特征提取器在源域上提取的特征相似，从而完成源域到目标域的适应过程；进而，在新场景下使用通过源域训练得到的分类器时，不需要新场景具有大量有标签的数据进行二次训练。本发明中的网络流异常检测模型中基于源域训练得到的分类器，可以对目标域进行异常检测，且准确性高。

基于上述一种网络流异常检测模型的生成方法，本发明还提供了一种网络流的异常检测方法，所述一种网络流的异常检测方法应用如上述实施例所述的网络流异常检测模型的生成方法得到的网络流异常检测模型，所述网络流异常检测模型包括目标域特征提取器和分类器，如图15所示，所述网络流的异常检测方法，包括：

K1、所述网络流异常检测模型获取目标域中的待检测网络流。

K2、所述目标域特征提取器提取所述待检测网络流对应的待检测特征向量，其中，所述目标域特征提取器是上述一种网络流的异常检测方法中的目标域特征提取器；

K3、所述分类器对所述待检测特征向量进行分类，以得到所述待检测特征向量对应的异常检测结果，其中，所述分类器是上述一种网络流的异常检测方法中的分类器。

在本发明实施例中，首先对目标域进行预处理，以得到待检测网络流，对目标域进行预处理，以得到待检测网络流的过程与步骤M1至步骤M3中基于源域得到正常网络流和异常网络流的过程相同，进而，“对目标域进行预处理，以得到待检测网络流”的具体过程，可以参考步骤M1至步骤M3中的描述。

在本发明实施例中，具体实施时，参见图16，通过目标域特征提取器提取待检测网络流的时空特征，以得到待检测特征向量，将待检测特征向量输入分类器，所述分类器输出是一个[0,1]的浮点类型数，所述浮点类型数通过binary函数即可得到用于表示异常检测结果的标签。通过binary函数，小于或等于0.5的浮点类型数对应的标签为0，大于0.5的浮点类型数对应的标签为1，标签为0表示待检测网络流的异常检测结果为正常，标签为1表示待检测网络流的异常检测结果为异常。

在本发明实施例中，由于目标域特征提取器在目标域上提取到的特征，与源域特征提取器在源域上提取的特征相似，因此，通过源域训练的分类器可以对目标域进行异常检测，且准确性高。

在一个实施例中，本发明提供了一种计算机设备，该设备可以是终端，内部结构如图17所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络模型接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络模型接口用于与外部的终端通过网络模型连接通信。该计算机程序被处理器执行时以实现一种网络流异常检测模型的生成方法，或者一种网络流的异常检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图17所示的仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本发明实施例提供了一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现以下步骤：

所述目标域特征提取器提取所述待检测网络流对应的待检测特征向量，其中，所述目标域特征提取器是上述一种网络流的异常检测方法中的目标域特征提取器；

所述分类器对所述待检测特征向量进行分类，以得到所述待检测特征向量对应的异常检测结果，其中，所述分类器是上述一种网络流的异常检测方法中的分类器。

本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现以下步骤：

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims

一种网络流异常检测模型的生成方法，其特征在于，包括：

基于源域对第一网络模型进行训练，以得到已训练的第一网络模型，其中，所述已训练的第一网络模型包括源域特征提取器和分类器；

基于目标域、所述源域、所述源域特征提取器和判别器对第二网络模型进行训练，以得到目标域特征提取器；

根据所述目标域特征提取器和所述分类器生成网络流异常检测模型。
根据权利要求1所述的网络流异常检测模型的生成方法，其特征在于，所述基于源域对第一网络模型进行训练，以得到已训练的第一网络模型，具体包括：

将训练数据中的正常网络流和所述训练数据中的异常网络流输入所述第一网络模型，通过所述第一网络模型生成所述正常网络流对应的第一检测分数和所述异常网络流对应的第二检测分数，其中，所述训练数据包括多个训练组，每个训练组包括来自源域的正常网络流和来自源域的异常网络流；

根据所述第一检测分数和所述第二检测分数对所述第一网络模型进行训练，直至满足第一预设条件，以得到已训练的第一网络模型。
根据权利要求2所述的网络流异常检测模型的生成方法，其特征在于，所述第一网络根据训练数据中的正常网络流生成第一检测分数之前，还包括：

基于所述源域确定各异常网络流和各正常网络流；

所述基于所述源域确定各异常网络流和各正常网络流，具体包括：

提取所述源域中的各第一网络流和各第二网络流；

根据所述各第一网络流生成预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流；

根据所述各第二网络流生成所述预设大小的各第二三维张量，并将所述各第二三维张量作为所述各异常网络流。
根据权利要求3所述的网络流异常检测模型的生成方法，其特征在于，所述根据所述各第一网络流生成预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流，具体包括：

对于每个第一网络流，提取所述第一网络流对应的各第一网络数据包；

根据各第一网络数据包得到所述第一网络流对应的预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流。
根据权利要求4所述的网络流异常检测模型的生成方法，其特征在于，根据各第一网络数据包得到所述第一网络流对应的预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流，具体包括：

对每个第一网络数据包进行序列化处理，以得到各第一网络数据包各自分别对应的第一字符串；

根据各第一字符串生成预设大小的各第一三维张量，并将所述各第一三维张量作为所述各正常网络流。
根据权利要求3所述的网络流异常检测模型的生成方法，其特征在于，所述根据所述各第二网络流生成所述预设大小的各第二三维张量，并将所述各第二三维张量作为所述各异常网络流，具体包括：

对于每个第二网络流，提取所述第二网络流对应的各第二网络数据包；

根据各第二网络数据包得到所述第二网络流对应的预设大小的第二三维张量，并将所述各第二三维张量作为所述各异常网络流。
根据权利要求6所述的网络流异常检测模型的生成方法，其特征在于，所述根据各第二网络数据包得到所述第二网络流对应的预设大小的第二三维张量，并将所述各第二三维张量作为所述各异常网络流，具体包括：

对每个第二网络数据包进行序列化处理，以得到各第二网络数据包各自分别对应的第二字符串；

根据各第二字符串生成所述预设大小的各第二三维张量，并将所述各第二三维张量作为所述各异常网络流。
根据权利要求3所述的网络流异常检测模型的生成方法，其特征在于，所述第一网络模型包括向量生成器；

当所述源域中的异常网络流不足时，所述基于所述源域确定异常网络流和正常网络流，还包括：

将随机噪声输入所述向量生成器，以得到异常网络流。
根据权利要求1所述的网络流异常检测模型的生成方法，其特征在于，所述基于目标域、所述源域、所述源域特征提取器和判别器对第二网络模型进行训练，以得到目标域特征提取器，具体包括：

所述源域特征提取器提取所述源域对应的源域特征向量；

所述第二网络模型提取目标域对应的目标域特征向量；

将所述源域特征向量和所述目标域特征向量输入所述判别器，以生成所述源域特征向量对应的第一预测分数，以及所述目标域特征向量对应的第二预测分数；

基于所述第一预测分数和第二预测分数对所述第二网络模型进行训练，直至满足第二预设条件，以得到目标域特征提取器。
根据权利要求9所述的网络流异常检测模型的生成方法，其特征在于，所述第二网络模型的初始模型参数与所述源域特征提取器的模型参数相同，所述第二网络模型的结构与所述源域特征提取器的结构相同，所述第二网络模型的初始模型参数是所述第二网络模型未经训练时的模型参数。
一种网络流的异常检测方法，其特征在于，应用于网络流异常检测模型，所述网络流异常检测模型包括目标域特征提取器和分类器，所述网络流的异常检测方法，具体包括：

所述网络流异常检测模型获取目标域中的待检测网络流；

所述目标域特征提取器提取所述待检测网络流对应的待检测特征向量，其中，所述目标域特征提取器是权利要求1-10中任意一项所述的目标域特征提取器；

所述分类器对所述待检测特征向量进行分类，以得到所述待检测特征向量对应的异常检测结果，其中，所述分类器是权利要求1-10中任意一项所述的分类器。
一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至10中任意一项所述的网络流异常检测模型的生成方法或者权利要求11所述的网络流的异常检测方法中的步骤。
一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1至10中任意一项所述的网络流异常检测模型的生成方法或者权利要求11所述的网络流的异常检测方法中的步骤。