一种异常网络数据检测方法及系统与流程

本技术涉及人工智能，具体而言，涉及一种异常网络数据检测方法及系统。

背景技术：

1、随着当前互联网信息化建设的推进，网络基础设施的不断完善和各种网络应用的普及给用户的生活带来诸多便利的同时，也存在诸多的网络异常行为。网络异常行为检测有利于及时地对异常情况进行预警和响应，避免或降低异常行为所带来的各种连锁问题。相关技术中通常是通过结合人工智能模型进行训练从而获得可执行网络异常行为检测功能的神经网络模型，然而，如何提高可靠性能更佳的网络异常行为检测模型，是本领域亟待研究的技术方向。

技术实现思路

1、有鉴于此，本技术的目的在于提供一种异常网络数据检测方法及系统，通过网络异常行为检测模型输出的估计异常行为分布及预置异常拓扑位置代价函数，生成网络异常行为检测模型的异常拓扑位置的异常行为估计代价信息，进一步通过异常拓扑位置的异常行为估计代价信息对网络异常行为检测模型进行模型迭代更新，由此可以生成可靠性能的网络异常行为检测模型，从而提高异常行为检测的精度。

2、依据本技术的第一方面，提供一种异常网络数据检测方法，应用于异常网络数据检测系统，所述方法包括：

3、基于预置的网络异常行为检测模型中每个目标异常拓扑位置对模板网络行为数据进行异常行为估计，生成每个所述目标异常拓扑位置对应的估计异常行为分布，所述模板网络行为数据包含多个异常拓扑位置的异常行为；

4、基于每个所述目标异常拓扑位置对应的估计异常行为分布及预置异常拓扑位置代价函数，生成一个或多个估计代价信息；

5、基于所有所述估计代价信息及各个所述估计代价信息对应的代价注意力系数，生成所述网络异常行为检测模型的异常拓扑位置的异常行为估计代价信息。

6、在第一方面的一种可能的实施方式中，所述预置异常拓扑位置代价函数的数量为多个；

7、以及，所述基于每个所述目标异常拓扑位置对应的估计异常行为分布及预置异常拓扑位置代价函数，生成一个或多个估计代价信息，包括：

8、针对每个预置异常拓扑位置代价函数，基于每个所述目标异常拓扑位置对应的估计异常行为分布及该预置异常拓扑位置代价函数，生成该目标异常拓扑位置对应的位置估计代价信息；

9、基于所有所述位置估计代价信息及各个所述位置估计代价信息对应的代价注意力系数，生成该预置异常拓扑位置代价函数对应的参考估计代价信息；

10、将所有所述预置异常拓扑位置代价函数对应的参考估计代价信息作为一个或多个估计代价信息。

11、在第一方面的一种可能的实施方式中，所述基于每个所述目标异常拓扑位置对应的估计异常行为分布及该预置异常拓扑位置代价函数，生成该目标异常拓扑位置对应的位置估计代价信息，包括：

12、当该预置异常拓扑位置代价函数的类别包括复合模态代价类别时，基于每个所述目标异常拓扑位置对应的估计异常行为分布，生成两个邻接的所述目标异常拓扑位置所对应的第一代价比较信息；

13、基于所有所述第一代价比较信息，确定所有所述目标异常拓扑位置对应的位置估计代价信息；

14、当该预置异常拓扑位置代价函数的类别包括单模态代价类别时，针对每个目标异常拓扑位置，基于每个所述目标异常拓扑位置对应的估计异常行为分布、每个所述目标异常拓扑位置对应的目标异常行为信息及预置的单模态代价函数，确定该目标异常拓扑位置对应的第二代价比较信息；

15、基于所有所述第二代价比较信息，确定所有所述目标异常拓扑位置对应的位置估计代价信息。

16、在第一方面的一种可能的实施方式中，所述基于每个所述目标异常拓扑位置对应的估计异常行为分布，生成两个邻接的所述目标异常拓扑位置所对应的第一代价比较信息，包括：

17、当所述复合模态代价类别包括行为有向图比较挖掘类别时，生成各所述目标异常拓扑位置对应的网络行为有向图；

18、对于两个邻接的所述目标异常拓扑位置，基于该两个邻接的所述目标异常拓扑位置所对应的网络行为有向图及预置的有向图代价计算函数，生成该两个邻接的所述目标异常拓扑位置所对应的第一代价比较信息；

19、当所述复合模态代价类别包括关联异常行为比较类别时，生成各所述目标异常拓扑位置对应的相关性比较参数；

20、对于两个邻接的所述目标异常拓扑位置，基于该两个邻接的所述目标异常拓扑位置对应的估计异常行为分布，确定该两个邻接的所述目标异常拓扑位置对应的关联异常行为比较信息，并基于该两个邻接的所述目标异常拓扑位置所对应的所述相关性比较参数、所述关联异常行为比较信息及预置的关联异常行为代价计算函数，生成该两个邻接的所述目标异常拓扑位置所对应的第一代价比较信息；

21、其中，所述生成各所述目标异常拓扑位置对应的网络行为有向图，包括：

22、将所述模板网络行为数据加载到所述网络异常行为检测模型涵盖的所有特征提取单元及所有特征还原单元中进行异常检测，生成各所述目标异常拓扑位置对应的网络行为有向图；

23、或者，针对每个所述目标异常拓扑位置，基于该目标异常拓扑位置对应的估计异常行为分布、全连接单元、特征提取单元及特征还原单元，生成该目标异常拓扑位置对应的网络行为有向图。

24、在第一方面的一种可能的实施方式中，所述方法还包括：

25、在对针对所述网络异常行为检测模型的模型迭代更新的流程中，基于前一估计代价信息，判断所述网络异常行为检测模型是否符合代价更新要求；所述前一估计代价信息包括前一估计代价信息和/或前一异常拓扑位置的异常行为估计代价信息；

26、在确定出所述网络异常行为检测模型符合所述代价更新要求时，基于所述预置异常拓扑位置代价函数，对所有所述目标异常拓扑位置执行代价更新操作及代价计算操作，生成后一估计代价信息，并基于所述后一估计代价信息继续执行相应的代价计算操作。

27、在第一方面的一种可能的实施方式中，述基于所述预置异常拓扑位置代价函数，对所有所述目标异常拓扑位置执行代价更新操作及代价计算操作，生成后一估计代价信息，包括：

28、当所述预置异常拓扑位置代价函数的类别包括行为有向图比较挖掘类别时，依次对两个邻接的所述目标异常拓扑位置执行下述步骤：

29、固定该两个邻接的所述目标异常拓扑位置的下一级位置的所述目标异常拓扑位置的模型网络功能层数据不变，并将下一级位置的所述目标异常拓扑位置的网络行为有向图作为模型训练监督信息，通过预置的梯度下降算法，确定上一级位置的所述目标异常拓扑位置的模型网络功能层数据；

30、依据所述上一级位置的所述目标异常拓扑位置的模型网络功能层数据更新上一级位置的所述目标异常拓扑位置的网络行为有向图；

31、基于更新后的上一级位置的所述目标异常拓扑位置的网络行为有向图及下一级位置的所述目标异常拓扑位置的网络行为有向图，计算该两个邻接的所述目标异常拓扑位置所对应的第一代价比较信息，作为后一估计代价信息；

32、当所述预置异常拓扑位置代价函数的类别包括单模态代价类别时，对所有所述目标异常拓扑位置执行下述步骤：

33、基于设定函数周期，对各所述目标异常拓扑位置对应的初始影响力系数执行动态更新，生成动态更新后的各所述目标异常拓扑位置对应的更新影响力系数；

34、依据动态更新后的各所述目标异常拓扑位置对应的更新影响力系数，对各所述目标异常拓扑位置执行异常拓扑位置更新操作，生成异常拓扑位置更新后的所有所述目标异常拓扑位置；

35、针对每个异常拓扑位置更新后的所述目标异常拓扑位置，基于每个异常拓扑位置更新后的所述目标异常拓扑位置对应的估计异常行为分布、每个异常拓扑位置更新后的所述目标异常拓扑位置对应的目标异常行为信息及预置的单模态代价函数，确定该目标异常拓扑位置对应的第二代价比较信息，作为后一估计代价信息。

36、在第一方面的一种可能的实施方式中，所述方法包括：

37、将待检测网络行为数据加载到完成训练的网络异常行为检测模型中进行异常检测，生成所述待检测网络行为数据对应的异常行为检测数据；

38、以及，在所述将待检测网络行为数据加载到完成训练的网络异常行为检测模型中进行异常检测，生成所述待检测网络行为数据对应的异常行为检测数据之前，所述方法还包括：

39、计算待检测网络行为数据涵盖的所有网络行为数据片段对应的行为状态迁移数量；

40、当所述行为状态迁移数量不小于门限数量时，对所述待检测网络行为数据涵盖的所有所述网络行为数据片段进行基于典型关联分析的融合，生成基于典型关联分析的融合后的所述待检测网络行为数据；

41、将基于典型关联分析的融合后的所述待检测网络行为数据加载到完成训练的网络异常行为检测模型中进行异常检测，生成所述待检测网络行为数据对应的异常行为检测数据；

42、当所述行为状态迁移数量小于门限数量时，执行所述的将待检测网络行为数据加载到完成训练的网络异常行为检测模型中进行异常检测，生成所述待检测网络行为数据对应的异常行为检测数据的操作。

43、依据本技术的第二方面，提供一种服务器，所述服务器包括包括机器可读存储介质及处理器，所述机器可读存储介质存储有机器可执行指令，所述处理器在执行所述机器可执行指令的情况下，该服务器实现前述的异常网络数据检测方法。

44、依据本技术的第三方面，提供提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可执行指令，当所述计算机可执行指令被执行的情况下，实现前述的异常网络数据检测方法。

45、依据上述各个方面，本技术分别基于预置的网络异常行为检测模型中每个目标异常拓扑位置对模板网络行为数据进行异常行为估计，生成每个该目标异常拓扑位置对应的估计异常行为分布，该模板网络行为数据包含多个异常拓扑位置的异常行为；基于每个该目标异常拓扑位置对应的估计异常行为分布及预置异常拓扑位置代价函数，生成一个或多个估计代价信息；基于所有该估计代价信息及各个该估计代价信息对应的代价注意力系数，生成该网络异常行为检测模型的异常拓扑位置的异常行为估计代价信息。由此，通过网络异常行为检测模型输出的估计异常行为分布及预置异常拓扑位置代价函数，生成网络异常行为检测模型的异常拓扑位置的异常行为估计代价信息，进一步通过异常拓扑位置的异常行为估计代价信息对网络异常行为检测模型进行模型迭代更新，由此可以生成可靠性能的网络异常行为检测模型，从而提高异常行为检测的精度。