一种网络拓扑结构的异常检测方法、装置、设备及介质与流程

本技术涉及网络安全，尤其涉及一种网络拓扑结构的异常检测方法、装置、设备及介质。

背景技术：

1、内网承载了企业的大量核心资源和机密信息，若企业的边界设备被攻破，内网便会很容易被入侵，内网的大量核心资源和机密信息一旦被泄露，将给企业带来极大的损失，因此，企业对内网安全的异常检测方案需求越来越大，对异常检测方案的检测结果要求也越来越高。

2、随着数据挖掘技术的快速发展，在内网的异常检测方案中出现了一种基于图(graph)的异常检测方案，相比于传统的异常检测方案，基于图(graph)的异常检测方案具有信息涵盖更全面、可解释性更强、易于可视化等诸多优势。

3、然而，现有的大部分基于图的异常检测方案，更多是聚焦于内网中的节点或边部署，缺少内网的全局结构信息，因此无法发现内网的宏观结构层面的异常情况。

技术实现思路

1、本技术实施例提供一种网络拓扑结果的异常检测方法、装置、设备及介质，用以解决现有内网的异常检测方案无法检测出内网的宏观结构层面的异常情况的问题。

2、本技术实施例提供的具体技术方案如下：

3、第一方面，本技术实施例提供一种网络拓扑结构的异常检测方法，包括：

4、基于待检测网络的目标图数据和预设子图集，得到所述子图集包括的每个子图对应的子图比剖面srp数值，其中，所述目标图数据包括所述待检测网络的拓扑结构信息；每个子图的节点总数小于所述待检测网络包括的节点总数，以及每个子图包括的各节点之间具有不同的连接关系；所述srp数值越大表征对应子图在所述待检测网络的拓扑结构中出现的频率越高；

5、基于每个子图对应的srp数值，得到所述目标图数据对应的表征向量，并基于所述表征向量和基准向量，确定偏差值，其中，所述基准向量表征所述基准向量对应的网络的拓扑结构无异常；

6、基于所述偏差值和预设的偏差阈值的比对结果，确定所述待检测网络的拓扑结构检测结果。

7、上述方法，由于基于复杂网络理论可知复杂网络具有全局结构特征，而具有类似全局结构特征的网络通常会因功能特性或生成机理不同，表现出不同的局部微观结构；因此，本技术中预先配置子图集，其中，子图集包括的每个子图的节点总数小于待检测网络包括的节点总数，以及每个子图包括的各节点之间具有不同的连接关系，然后，基于每个子图和待检测网络的目标图数据，得到每个子图对应的srp数值，并基于每个子图对应的srp数值得到表征向量，这样，可以通过子图集将结构、大小不同的待检测网络的图数据转化为维度相同的表征向量，从而增加了本技术方案的适用范围。

8、同时，通过子图集得到的表征向量包括从局部微观结构刻画出的待检测网络的全局结构特征信息，即本技术更加关注于待检测网络的整图结构层面；那么，基于表征向量、基准向量和偏差阈值，得到的待检测网络的拓扑结构检测结果，也是基于更加关注于待检测网络的全局结构层面信息得到的，因此，可以准确判断出该待检测网络是否存在拓扑结构异常及其相关问题。

9、在一些实施例中，在所述基于待检测网络的目标图数据和预设子图集，得到所述子图集包括的每个子图对应的子图比剖面srp数值之前，还包括：

10、获取所述待检测网络中预设时间段内的内网访问流量；

11、基于所述内网访问流量，得到所述待检测网络的目标图数据。

12、在一些实施例中，所述基于待检测网络的目标图数据和预设子图集，得到所述子图集包括的每个子图对应的子图比剖面srp数值，包括：

13、基于所述待检测网络的目标图数据，统计所述子图集中每个子图在所述待检测网络中的目标出现次数；

14、基于目标子图的目标出现次数和参考出现次数，以及预设修正值，得到所述目标子图的出现频率，其中，所述目标子图是所述子图集中的任一子图，所述参考出现次数是所述目标子图在参考图数据对应的参考网络中出现的统计次数，所述参考图数据是基于所述待检测网络的节点总数随机生成的；

15、基于所述目标子图的出现频率，以及每个子图的出现频率，得到所述目标子图对应的srp数值。

16、在一些实施例中，通过如下方式得到所述基准向量：

17、将所述表征向量输入自编码器，得到所述基准向量；

18、其中，所述自编码器是基于所述待检测网络的多个标准图数据对应的标准向量训练得到的，所述标准图数据是基于所述待检测网络中的不同时间段内的无异常样本流量得到的。

19、在一些实施例中，在所述基于所述偏差值和预设的偏差阈值的比对结果，确定所述待检测网络的拓扑结构检测结果之后，还包括：

20、若确定所述待检测网络的拓扑结构检测结果为拓扑结构存在异常，则输出异常提示信息；

21、若所述异常提示信息为误报信息，则将所述目标图数据作为新的标准图数据，并基于所述新的标准图数据和所述多个标准图数据，对所述自编码器进行优化训练。

22、第二方面，本技术实施例提供一种网络拓扑结构的异常检测装置，包括：

23、得到模块，用于基于待检测网络的目标图数据和预设子图集，得到所述子图集包括的每个子图对应的子图比剖面srp数值，其中，所述目标图数据包括所述待检测网络的拓扑结构信息；每个子图的节点总数小于所述待检测网络包括的节点总数，以及每个子图包括的各节点之间具有不同的连接关系；所述srp数值越大表征对应子图在所述待检测网络的拓扑结构中出现的频率越高；

24、偏差确定模块，用于基于每个子图对应的srp数值，得到所述目标图数据对应的表征向量，并基于所述表征向量和基准向量，确定偏差值，其中，所述基准向量表征所述基准向量对应的网络的拓扑结构无异常；

25、比对模块，用于基于所述偏差值和预设的偏差阈值的比对结果，确定所述待检测网络的拓扑结构检测结果。

26、在一些实施例中，所述得到模块还用于：

27、在所述基于待检测网络的目标图数据和预设子图集，得到所述子图集包括的每个子图对应的子图比剖面srp数值之前，获取所述待检测网络中预设时间段内的内网访问流量；

28、基于所述内网访问流量，得到所述待检测网络的目标图数据。

29、在一些实施例中，所述得到模块具体用于：

30、基于所述待检测网络的目标图数据，统计所述子图集中每个子图在所述待检测网络中的目标出现次数；

31、基于目标子图的目标出现次数和参考出现次数，以及预设修正值，得到所述目标子图的出现频率，其中，所述目标子图是所述子图集中的任一子图，所述参考出现次数是所述目标子图在参考图数据对应的参考网络中出现的统计次数，所述参考图数据是基于所述待检测网络的节点总数随机生成的；

32、基于所述目标子图的出现频率，以及每个子图的出现频率，得到所述目标子图对应的srp数值。

33、在一些实施例中，所述偏差确定模块用于通过如下方式得到所述基准向量：

34、将所述表征向量输入自编码器，得到所述基准向量；

35、其中，所述自编码器是基于所述待检测网络的多个标准图数据对应的标准向量训练得到的，所述标准图数据是基于所述待检测网络中的不同时间段内的无异常样本流量得到的。

36、在一些实施例中，所述比对模块还用于：

37、在所述基于所述偏差值和预设的偏差阈值的比对结果，确定所述待检测网络的拓扑结构检测结果之后，若确定所述待检测网络的拓扑结构检测结果为拓扑结构存在异常，则输出异常提示信息；

38、若所述异常提示信息为误报信息，则将所述目标图数据作为新的标准图数据，并基于所述新的标准图数据和所述多个标准图数据，对所述自编码器进行优化训练。

39、第三方面，本技术实施例提供一种电子设备，包括：

40、存储器，用于存储程序指令；

41、处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面中任一项的方法。

42、第四方面，本技术实施例提供一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行上述第一方面中任一项所述的方法。