异常流量检测方法、装置、电子设备及介质与流程

本技术涉及计算机网络安全的领域，尤其是涉及一种异常流量检测方法、装置、电子设备及介质。

背景技术：

1、随着视频监控网络的规模不断扩大，越来越多的视频监控的关联应用，其web访问由http过度到更安全的https，网络中的加密流量持续增加；同时随着非标准端口的使用在增加，多协议混合流量也在增加，这使得传统的网络异常流量识别方法(如基于端口的、基于深度数据包检查(dpi)的方法和基于统计的)不再适用。

2、目前，相关技术中主流的异常流量识别方法包括直接提取网络流量特征或将原始流量转化为灰度图作为网络流量的特征，然后通过对应的识别模型进行异常流量识别。但是，将流量转化为灰度图后，可解释性较低，并且可能存在灰度图没有截取到有用信息的情况，这就会导致相关技术中对异常流量识别的准确度较低。

技术实现思路

1、为了提高对异常流量识别的准确度，本技术提供一种异常流量检测方法、装置、电子设备及介质。

2、第一方面，本技术提供一种流量检测异常流量检测方法，采用如下的技术方案：

3、一种流量检测异常流量检测方法，包括：

4、获取待检测的目标流量；

5、对所述目标流量进行特征提取，得到流量特征，并将所述流量特征生成灰度图像，以所述灰度图像作为待识别数据；

6、将所述待识别数据输入异常流量识别模型进行识别，得到识别结果，所述异常流量识别模型是基于多个训练样本得到的，训练样本是对网络流量进行特征提取得到流量特征，并基于流量特征生成的灰度图像。

7、通过采用上述技术方案，由于用于训练得到异常流量识别模型的训练样本是基于对网络流量提取的流量特征生成的灰度图像，因此，在对某一段目标流量进行识别时，是先提取目标流量中的流量特征然后基于流量特征生成灰度图像并基于异常流量识别模型进行识别。与相关技术相比，本技术的方案中，能够使得目标流量较多的有用信息被充分包含在灰度图像中，同时提高了灰度图像的可解释性，因而，能够提高对异常流量识别的准确度。

8、在一种可能实现的方式中，异常流量识别模型的训练步骤包括：

9、获取训练用的多组网络流量，并对所述多组网络流量进行特征提取，得到所述多组网络流量各自对应的流量特征，并将所述多组网络流量各自对应的流量特征生成所述多组网络流量各自对应的灰度图像，其中包含有异常流量的网络流量对应的灰度图像为初始负样本，未包含有异常流量的网络流量对应的灰度图像为正样本；

10、基于所述初始负样本以及训练完成的扩散模型生成多个补充负样本，以使得所述正样本和负样本的比例达到预设比例，所述负样本包括补充负样本和初始负样本；

11、构建基于迁移学习的图像识别模型；

12、将所述正样本和所述负样本做为训练集对所述图像识别模型进行训练，得到异常流量识别模型。

13、在一种可能实现的方式中，所述构建基于迁移学习的图像识别模型，包括：

14、确定迁移学习的初始网络模型，并确定训练权重；

15、获取目标数据集，所述目标数据集为公开的图像分类数据集；

16、将所述目标数据集作为训练样本集对所述初始网络模型进行训练，得到基于迁移学习的图像识别模型。

17、在一种可能实现的方式中，所述将所述正样本和所述负样本做为训练集对所述图像识别模型进行训练，得到异常流量识别模型，包括：

18、确定冻结层，所述冻结层为所述图像识别模型中不用参与训练的层结构；

19、将所述图像识别模型中的冻结层进行冻结，得到预训练模型；

20、基于衰减算法确定对所述预训练模型的训练过程中的训练速率；

21、将所述正样本和所述负样本做为训练集并基于所述训练速度对所述预训练模型进行训练，得到异常流量识别模型。

22、在一种可能实现的方式中，所述将所述待识别数据输入异常流量识别模型进行识别，得到识别结果，包括：

23、将所述识别数据输入异常流量识别模型进行识别，得到输出结果，将所述输出结果转化为概率分布并进行归一化处理，得到输出值；

24、基于所述输出值和所述预测模型得到识别结果，所述识别结果是基于所述异常流量识别模型的历史识别数据构建的，所述历史识别数据包括所述异常流量识别模型对每次输入的待识别数据进行识别得到的输出值。

25、在一种可能实现的方式中，构建预测模型包括：

26、基于所述异常流量识别模型的历史识别数据和函数f(x)构建预测模型；

27、其中：

28、α、α1、α2为常数，x为历史识别数据中的输出值，n为历史识别数据的顺位。

29、在一种可能实现的方式中，所述将所述流量特征生成灰度图像，包括：

30、对所述流量特征进行归一化处理和独热编码处理，得到预处理数据；

31、将所述预处理数据构建特征矩阵，将所述特征矩阵转化成相同大小的灰度图。

32、第二方面，本技术提供一种异常流量识别装置，采用如下的技术方案：

33、一种异常流量识别装置，包括：

34、目标流量获取模块，用于获取待检测的目标流量；

35、特征提取模块，用于对所述目标流量进行特征提取，得到流量特征，并将所述流量特征生成灰度图像，以所述灰度图像作为待识别数据；

36、识别模块，用于将所述待识别数据输入异常流量识别模型进行识别，得到识别结果，所述异常流量识别模型是基于多个训练样本得到的，训练样本是对网络流量进行特征提取得到流量特征，并基于流量特征生成的灰度图像。

37、通过采用上述技术方案，由于用于训练得到异常流量识别模型的训练样本是基于对网络流量提取的流量特征生成的灰度图像，因此，在对某一段目标流量进行识别时，是先提取目标流量中的流量特征然后基于流量特征生成灰度图像并基于异常流量识别模型进行识别。与相关技术相比，本技术的方案中，能够使得目标流量较多的有用信息被充分包含在灰度图像中，同时提高了灰度图像的可解释性，因而，能够提高对异常流量识别的准确度。

38、在一种可能实现的方式中，所述装置还包括对异常流量识别模型的训练装置，训练装置具体用于：

39、获取训练用的多组网络流量，并对所述多组网络流量进行特征提取，得到所述多组网络流量各自对应的流量特征，并将所述多组网络流量各自对应的流量特征生成所述多组网络流量各自对应的灰度图像，其中包含有异常流量的网络流量对应的灰度图像为初始负样本，未包含有异常流量的网络流量对应的灰度图像为正样本；

40、基于所述初始负样本以及训练完成的扩散模型生成多个补充负样本，以使得所述正样本和负样本的比例达到预设比例，所述负样本包括补充负样本和初始负样本；

41、构建基于迁移学习的图像识别模型；

42、将所述正样本和所述负样本做为训练集对所述图像识别模型进行训练，得到异常流量识别模型。

43、在一种可能实现的方式中，训练装置在构建基于迁移学习的图像识别模型时，具体用于：

44、确定迁移学习的初始网络模型，并确定训练权重；

45、获取目标数据集，所述目标数据集为公开的图像分类数据集；

46、将所述目标数据集作为训练样本集对所述初始网络模型进行训练，得到基于迁移学习的图像识别模型在一种可能实现的方式中，训练装置将所述正样本和所述负样本做为训练集对所述图像识别模型进行训练，得到异常流量识别模型时，具体用于：

47、确定冻结层，所述冻结层为所述图像识别模型中不用参与训练的层结构；

48、将所述图像识别模型中的冻结层进行冻结，得到预训练模型；

49、基于衰减算法确定对所述预训练模型的训练过程中的训练速率；

50、将所述正样本和所述负样本做为训练集并基于所述训练速度对所述预训练模型进行训练，得到异常流量识别模型。

51、在一种可能实现的方式中，识别模块将所述待识别数据输入异常流量识别模型进行识别，得到识别结果时，具体用于：

52、将所述识别数据输入异常流量识别模型进行识别，得到输出结果，将所述输出结果转化为概率分布并进行归一化处理，得到输出值；

53、基于所述输出值和所述预测模型得到识别结果，所述识别结果是基于所述异常流量识别模型的历史识别数据构建的，所述历史识别数据包括所述异常流量识别模型对每次输入的待识别数据进行识别得到的输出值。

54、在一种可能的实现方式中，还包括构建预测模型模块，构建预测模型模块具体用于：

55、基于所述异常流量识别模型的历史识别数据和函数f(x)构建预测模型；

56、其中：α、α1、α2为常数，x为历史识别数据中的输出值，n为历史识别数据的顺位。

57、在一种可能实现的方式中，特征提取模块在将所述流量特征生成灰度图像时，具体用于：

58、对所述流量特征进行归一化处理和独热编码处理，得到预处理数据；

59、将所述预处理数据构建特征矩阵，将所述特征矩阵转化成相同大小的灰度图。

60、第三方面，本技术提供一种电子设备，采用如下的技术方案：

61、一种电子设备，该电子设备包括：

62、至少一个处理器；

63、存储器；

64、至少一个应用程序，其中所述至少一个应用程序被存储在存储器中并被配置为由至少一个处理器执行，所述至少一个应用程序配置用于：执行上述异常流量识别装置方法。

65、第四方面，本技术提供一种计算机可读存储介质，采用如下的技术方案：

66、一种计算机可读存储介质，包括：存储有能够被处理器加载并执行上述异常流量识别装置方法的计算机程序。

67、综上所述，本技术包括以下至少一种有益技术效果：

68、1.由于用于训练得到异常流量识别模型的训练样本是基于对网络流量提取的流量特征生成的灰度图像，因此，在对某一段目标流量进行识别时，是先提取目标流量中的流量特征然后基于流量特征生成灰度图像并基于异常流量识别模型进行识别。与相关技术相比，本技术的方案中，能够使得目标流量较多的有用信息被充分包含在灰度图像中，同时提高了灰度图像的可解释性，因而，能够提高对异常流量识别的准确度。