本技术涉及互联网,尤其涉及一种流量异常检测方法及装置、可读存储介质、程序产品。
背景技术:
1、随着互联网技术的飞速发展,网络流量呈现出爆炸式增长的趋势。在这个过程中,异常流量也随之而来,给网络安全带来了极大的挑战。异常流量可能包括恶意攻击、非法访问、数据泄露等多种形式,如果不加以有效检测和控制,可能会对网络系统的稳定性和安全性造成严重影响。
2、目前的异常流量检测方法包括规则匹配技术,主要基于预设的规则对流量数据进行匹配。这种方法操作简单,但对于复杂的网络环境和多变的攻击手法,规则的制定和更新变得异常困难。此外,规则匹配往往只能识别已知的异常流量,对于未知的新型攻击则无能为力。
3、如何提出一种流量异常检测方法,实现对检测网站各种类型的流量异常进行准确检测,从而提高网络的安全性,是目前需要解决的问题。
技术实现思路
1、本技术实施例的目的是提供一种流量异常检测方法及装置、可读存储介质、程序产品,用以解决现有网站流量异常检测准确性低的问题。
2、为了解决上述技术问题,本说明书是这样实现的:
3、第一方面,提供了一种流量异常检测方法,包括:
4、获取目标网站的各访问请求对应的流量数据;
5、分别对各访问请求的流量数据中的关键网络信息进行编码,以得到各访问请求对应的编码特征,所述关键网络信息包括访问请求的ip地址、访问时间、url、请求头信息和响应状态码;
6、将各编码特征构建的构图分别输入图神经网络模型进行分类,所述图神经网络模型以历史访问请求的流量数据对应的编码特征构建的构图为样本、以流量数据对应的状态类型为标签训练得到的,所述状态类型包括异常和正常,所述构图以各访问请求的流量数据对应的编码特征为节点、以各节点之间的相关性为边;
7、基于所述图神经网络模型输出的分类结果,检测所述目标网站的异常流量。
8、可选地,所述分别对各访问请求的流量数据中的关键网络信息进行编码,以得到各访问请求对应的编码特征,包括:
9、基于目标访问请求的流量数据,确定所述目标访问请求中的关键网络信息,包括所述目标访问请求的ip地址、访问时间、url、请求头信息和响应状态码;
10、分别对所述目标访问请求的ip地址、访问时间、url、请求头信息和响应状态码一一对应进行编码;
11、将所述ip地址、访问时间、url、请求头信息和响应状态码各自对应的编码进行融合,以得到所述目标访问请求对应的编码特征。
12、可选地,所述分别对所述目标访问请求的ip地址、访问时间、url、请求头信息和响应状态码一一对应进行编码,包括:
13、将所述ip地址中的数字序列编码为第一维度值;
14、基于所述访问时间分别与第一预设时间、第二预设时间之间的时间差值,编码得到所述访问时间对应的第二维度值,所述第一预设时间与第二预设时间不同;
15、通过量化所述url,编码得到所述url对应的第三维度值;
16、通过量化所述请求头信息,编码得到所述请求头信息对应的第四维度值;
17、通过量化所述请响应状态码,编码得到所述响应状态码对应的第五维度值。
18、可选地,所述基于所述访问时间分别与第一预设时间、第二预设时间之间的时间差值,编码得到所述访问时间对应的第二维度值,包括:
19、分别确定所述访问时间与第一预设时间之间的第一时间差值和所述访问时间与第二预设时间之间的第二时间差值;
20、将所述第一时间差值编码为第一数值以及将所述第二时间差值编码为第二数值;
21、通过拼接所述第一数值和所述第二数值,得到所述访问时间对应的第二维度值。
22、可选地,所述将各编码特征构建的构图分别输入图神经网络模型进行分类之前,还包括:
23、基于访问时间和ip地址,分别确定目标ip地址对应的访问频率指数,所述访问频率指数为所述目标ip地址在预设时间段中第一时间间隔内访问所述目标网站的次数以及在所述预设时间段中第二时间间隔内访问所述目标网站的次数之和,所述第一时间间隔与所述第二时间间隔不同;
24、如果所述访问频率指数大于预设阈值,则确定所述目标ip地址对应的各访问请求存在流量异常;或者
25、如果所述访问频率指数不大于所述预设阈值,则将所述目标ip地址对应的各访问请求的流量数据对应的编码特征构建的构图输入到所述图神经网络模型中,以确定所述目标ip地址对应的访问请求是否存在流量异常。
26、可选地,所述将各编码特征构建的构图分别输入图神经网络模型进行分类之前,还包括:
27、分别以各历史访问请求的流量数据对应的编码特征为节点,以各历史访问请求对应节点之间的相关性为边,构建得到对应的构图;
28、以所述构图为样本、以流量数据对应的状态类型为标签,训练得到所述图神经网络模型。
29、可选地,所述分别以各历史访问请求的流量数据对应的编码特征为节点,以各历史访问请求对应节点之间的相关性为边,构建得到对应的构图,包括:
30、以各历史访问请求的流量数据对应的编码特征为节点,以各各历史访问请求对应节点之间的相关性为边,构建无向图g={v,a},其中,v表示节点集合,a表示节点对应的邻接矩阵,ai,j=corr(xi,xj),ai,j表示邻接矩阵a中的第i行j列的元素,corr(xi,xj)为xi和xj之间的相关系数,i,j∈[1,t],t表示历史访问请求的数量,xi和xj是节点的编码特征;
31、通过设置所述邻接矩阵中的各元素在所述图神经网络模型训练的过程中保持不变,得到各历史访问请求对应的静态无向图;
32、通过设置所述邻接矩阵中的各元素在所述图神经网络模型训练的过程中动态变化,得到各历史访问请求对应的动态无向图;
33、将所述静态无向图和所述动态无向图并行,以得到所述构图。
34、可选地,所述图神经网络模型包括图卷积层、图注意力层、特征融合层,
35、所述以所述构图为样本、以流量数据对应的状态类型为标签,训练得到所述图神经网络模型,包括:
36、将所述静态无向图输入所述图卷积层,以得到第一特征;
37、将所述动态无向图输入所述图注意力层,以得到第二特征;
38、将所述第一特征和所述第二特征输入所述特征融合层,以得到融合特征;
39、计算所述融合特征对应流量数据的分类结果与对应标签之间的损失;
40、基于所述损失调整所述图神经网络模型的参数,直至所述图神经网络模型的分类结果和对应标签的损失收敛,以训练得到所述图神经网络模型。
41、第二方面,提供了一种流量异常检测装置,包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如第一方面所述的方法的步骤。
42、第三方面,提供了一种可读存储介质,该可读存储介质上存储有程序或指令,所述程序或指令被处理器执行时实现如第一方面所述的方法的步骤。
43、第四方面,提供了一种计算机程序产品,该计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,所述计算机程序可操作来使计算机执行如第一方面所述的方法的步骤。
44、在本技术实施例中,通过获取目标网站的各访问请求对应的流量数据;分别对各访问请求的流量数据中的关键网络信息进行编码,以得到各访问请求对应的编码特征,所述关键网络信息包括访问请求的ip地址、访问时间、url、请求头信息和响应状态码;将各编码特征构建的构图分别输入图神经网络模型进行分类,所述图神经网络模型以历史访问请求的流量数据对应的编码特征构建的构图为样本、以流量数据对应的状态类型为标签训练得到的,所述状态类型包括异常和正常,所述构图以各访问请求的流量数据对应的编码特征为节点、以各节点之间的相关性为边;基于所述图神经网络模型输出的分类结果,检测所述目标网站的异常流量,由此采用了多维数据融合编码的方式,充分利用了数据的互补性,对网络流量特性进行全面、综合地分析,提升了流量异常检测的敏感性和特异性,从而能够更准确地识别不同类型的异常流量,实现了流量异常检测的全面性和高效性,为网络安全的维护提供了强有力的技术支持。
1.一种流量异常检测方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述分别对各访问请求的流量数据中的关键网络信息进行编码,以得到各访问请求对应的编码特征,包括:
3.根据权利要求2所述的方法,其特征在于,所述分别对所述目标访问请求的ip地址、访问时间、url、请求头信息和响应状态码一一对应进行编码,包括:
4.根据权利要求3所述的方法,其特征在于,所述基于所述访问时间分别与第一预设时间、第二预设时间之间的时间差值,编码得到所述访问时间对应的第二维度值,包括:
5.根据权利要求1所述的方法,其特征在于,所述将各编码特征构建的构图分别输入图神经网络模型进行分类之前,还包括:
6.根据权利要求1所述的方法,其特征在于,所述将各编码特征构建的构图分别输入图神经网络模型进行分类之前,还包括:
7.根据权利要求6所述的方法,其特征在于,所述分别以各历史访问请求的流量数据对应的编码特征为节点,以各历史访问请求对应节点之间的相关性为边,构建得到对应的构图,包括:
8.根据权利要求7所述的方法,其特征在于,所述图神经网络模型包括图卷积层、图注意力层、特征融合层,
9.一种流量异常检测装置,其特征在于,包括处理器和存储器,所述存储器存储可在所述处理器上运行的程序或指令,所述程序或指令被所述处理器执行时实现如权利要求1-8中任一项所述的方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储程序或指令,所述程序或指令被处理器执行时实现如权利要求1-8中任一项所述的方法的步骤。
11.一种计算机程序产品,其特征在于,所述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,所述计算机程序可操作来使计算机执行时实现如权利要求1至8中任一项所述的方法的步骤。
