一种网络异常检测方法、装置、设备和介质

本申请涉及网络异常检测领域，尤其是涉及一种网络异常检测方法、装置、设备和介质。

背景技术：

1、传统的方法基于预定义的规则和模式，使用规则引擎或模式匹配算法来检测网络异常，这可能涉及设定阈值、定义规则，或者使用统计学方法来识别异常模式。传统的方法有较多缺点，比如：传统规则和模式匹配方法通常较为刚性，难以适应复杂和变化多端的网络环境；需要人工设定规则和阈值，对于大规模网络或者频繁变化的网络环境，这可能导致不够灵活和高效。对于未知的异常模式，传统方法可能无法有效检测，因为它们缺乏学习和适应性，依赖人工操作的方法可能导致响应速度较慢，因为人工介入通常需要一定的时间。

2、一些现代方法使用机器学习(如支持向量机、决策树、随机森林等)来构建异常检测模型。通常这种方法也有缺点，包括：机器学习方法通常需要大量标记数据来进行训练，而在真实场景中获取足够的标记数据可能是困难的；随着网络环境的变化，模型可能需要频繁重新训练以适应新的模式，这对系统维护和管理提出了挑战；部分机器学习模型可能难以解释，这在一些应用场景中是不可接受的，尤其是在对异常进行后续分析时；部分传统的机器学习方法对关键信息的关注程度较低，可能导致对异常的敏感性不足。

3、因此，亟需解决传统规则和模式匹配方法通常过于刚性，难以适应网络环境的变化的问题。

技术实现思路

1、本申请提供了一种网络异常检测方法，能够自动关注网络数据中的关键信息，提高检测方法对动态网络环境的适应性，以及更好地捕捉未知的异常模式，提高检测方法的鲁棒性。

2、为了实现上述目的，本发明采用了如下技术方案：

3、第一方面，本发明提供一种网络异常检测方法，所述方法包括：

4、步骤s1，使用标准化的接口协议获取网络数据；

5、步骤s2，使用多级注意力模型提取所述网络数据中的信息，得到一级数据，所述多级注意力模型为：

6、qmatrix＝wqxnoml+β；

7、kmatrix＝wkxnoml+α；

8、其中，xnoml表示经过平滑处理之后的所述网络数据，xnoml的初始维度给定为(n，h)，wq、wk表示基于线性公式的分解因子，用于分解原数据的内容，qmatrix表示经过提取之后的q矩阵，分解后其维度大小为(n/wq，h/wq)，kmatrix表示经过提取之后的k矩阵，分解后其维度大小为(n/wk，h/wk)，β和α表示可学习的一组超参数，用于对输出的维度进行统一，使用自注意力模型提取所述一级数据中的信息，得到二级数据；

9、步骤s3，使用linear操作对所述二级数据进行线性转换，得到转换后的数据，将所述转换后的数据进行qrelu操作，得到qrelu操作后的数据，对所述qrelu操作后的数据进行dropout操作，得到异常检测结果。

10、在本申请一较佳的示例中可以进一步设置为，所述平滑处理，包括：

11、

12、其中，p表示用于协调数据大小的超参数，初始值为0.5，后续基于反向梯度传播自行学习调整，x表示网络数据，xmin表示网络数据中的最小者，xi表示当前第i条样本，xmax表示网络数据中的最大者，表示防止分母出现0的超参数。

13、在本申请一较佳的示例中可以进一步设置为，包括：

14、对同一所述网络数据重复三次上述步骤s1至s3的检测过程，得到三个所述异常检测结果；

15、选取三个所述异常检测结果中的最大值，得到最大值结果；

16、转换所述最大值结果的维度，得到输出结果。

17、在本申请一较佳的示例中可以进一步设置为，包括：

18、根据严重程度或紧急程度分类所述输出结果的异常类型，得到所述异常类型对应的等级；

19、根据所述等级触发对应的预设响应措施。

20、在本申请一较佳的示例中可以进一步设置为，包括：

21、自动化记录检测和响应的相关数据；

22、基于所述相关数据，建立对应的异常事件日志。

23、在本申请一较佳的示例中可以进一步设置为，所述相关数据至少包括：异常检测结果、异常类型、预设响应措施和受影响范围。

24、在本申请一较佳的示例中可以进一步设置为，包括：

25、基于预设的业务规范和安全标准，定期检查和更新规则引擎、算法和数据处理模型。

26、第二方面，本申请提供一种变电站巡视质量评估装置，所述装置包括：

27、数据获取模块，用于使用标准化的接口协议获取网络数据；

28、提取模块，用于使用多级注意力模型提取所述网络数据中的信息，得到一级数据，所述多级注意力模型为：

29、qmatrix＝wqxnoml+β；

30、kmatrix＝wkxnoml+α；

31、其中，xnoml表示经过平滑处理之后的所述网络数据，xnoml的初始维度给定为(n，h)，wq、wk表示基于线性公式的分解因子，用于分解原数据的内容，qmatrix表示经过提取之后的q矩阵，分解后其维度大小为(n/wq，h/wq)，kmatrix表示经过提取之后的k矩阵，分解后其维度大小为(n/wk，h/wk)，β和α表示可学习的一组超参数，用于对输出的维度进行统一，使用自注意力模型提取所述一级数据中的信息，得到二级数据；

32、异常检测模块，用于使用linear操作对所述二级数据进行线性转换，得到转换后的数据，将所述转换后的数据进行qrelu操作，得到qrelu操作后的数据，对所述qrelu操作后的数据进行dropout操作，得到异常检测结果。

33、第三方面，本申请提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述任一项所述的网络异常检测方法的步骤。

34、第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质上存储有程序，其中所述程序被处理器执行时，实现如上述任一项所述的网络异常检测方法。

35、综上，与现有技术相比，本申请实施例提供的技术方案带来的有益效果至少包括：

36、本申请提供的一种网络异常检测方法，通过步骤s1，使用标准化的接口协议获取网络数据；步骤s2，使用多级注意力模型提取所述网络数据中的信息，得到一级数据；步骤s3，使用linear操作对所述二级数据进行线性转换，得到转换后的数据，将所述转换后的数据进行qrelu操作，得到qrelu操作后的数据，对所述qrelu操作后的数据进行dropout操作，得到异常检测结果。实现了检测方法自动关注网络数据中的关键信息，提高了检测方法对动态网络环境的适应性，以及更好地捕捉了未知的异常模式，提高了检测方法的鲁棒性。

技术特征：

1.一种网络异常检测方法，其特征在于，包括：

2.根据权利要求1所述的网络异常检测方法，其特征在于，所述平滑处理，包括：

3.根据权利要求1所述的网络异常检测方法，其特征在于，包括：

4.根据权利要求3所述的网络异常检测方法，其特征在于，包括：

5.根据权利要求4所述的网络异常检测方法，其特征在于，包括：

6.根据权利要求5所述的网络异常检测方法，其特征在于，所述相关数据至少包括：异常检测结果、异常类型、预设响应措施和受影响范围。

7.根据权利要求1所述的网络异常检测方法，其特征在于，包括：

8.一种网络异常检测装置，其特征在于，包括：

9.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的网络异常检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有程序，其中所述程序被处理器执行时，实现如权利要求1至7中任一项所述的网络异常检测方法。

技术总结
本申请涉及网络异常检测领域，尤其是涉及一种网络异常检测方法、装置、设备和介质，通过步骤S1,使用标准化的接口协议获取网络数据；步骤S2,使用多级注意力模型提取所述网络数据中的信息，得到一级数据；步骤S3,使用Linear操作对所述二级数据进行线性转换，得到转换后的数据,将所述转换后的数据进行QRelu操作，得到QRelu操作后的数据,对所述QRelu操作后的数据进行Dropout操作，得到异常检测结果。实现了自动关注网络数据中的关键信息，提高了检测方法对动态网络环境的适应性，以及更好地捕捉了未知的异常模式，提高了检测方法的鲁棒性。

技术研发人员：何海涛,罗霖,关伟豪
受保护的技术使用者：中山大学
技术研发日：
技术公布日：2024/5/10