流量检测的方法、装置、电子设备及计算机可读存储介质制造方法及图纸

本申请属于网络安全技术领域，公开了流量检测的方法、装置、电子设备及计算机可读存储介质，该方法包括，基于待检测的传输数据的网络地址信息以及端口信息，构建拓扑图，拓扑图中的网络节点是根据网络地址信息以及端口信息构建的；根据各传输数据的传输关联信息，生成拓扑图中各边对应的边特征向量；拓扑图中的边是基于各网络节点之间的连接生成的；根据拓扑图、各边特征向量，以及预先训练好的流量检测模型，获得拓扑图中各边分别对应的流量检测结果，流量检测模型是基于图神经网络以及残差连接构建的。这样，采用拓扑图，可以根据各网络节点及其依赖关系进行流量检测，提高了流量检测的准确度。测的准确度。测的准确度。

【技术实现步骤摘要】
流量检测的方法、装置、电子设备及计算机可读存储介质


[0001]本申请涉及网络安全
，具体而言，涉及流量检测的方法、装置、电子设备及计算机可读存储介质。

技术介绍

[0002]随着物联网以及通信技术的发展，网络中的设备越来越多。例如，物联网网络中包括多个互联的设备(如，摄像头、温度传感器、智能电视以及无线打印机等边缘设备)。随着网络中设备增多，网络攻击频率也在显著上升，网络攻击的复杂度也越来越高。
[0003]现有技术下，通常采用基于签名的被动式入侵检测系统进行检测，但是，采用这种方式，仅能对已知攻击进行有效检测，若出现新的攻击，则检测效果较差。

技术实现思路

[0004]本申请实施例的目的在于提供流量检测的方法、装置、电子设备及计算机可读存储介质，用以在进行流量检测时，提高流量检测结果的精确度。
[0005]一方面，提供一种流量检测的方法，包括：
[0006]基于待检测的传输数据的网络地址信息以及端口信息，构建拓扑图，拓扑图中的网络节点是根据网络地址信息以及端口信息构建的；
[0007]根据各传输数据的传输关联信息，生成拓扑图中各边对应的边特征向量；拓扑图中的边是基于各网络节点之间的连接生成的；
[0008]根据拓扑图、各边特征向量，以及预先训练好的流量检测模型，获得拓扑图中各边分别对应的流量检测结果，流量检测模型是基于图神经网络以及残差连接构建的。
[0009]在上述实现过程中，基于传输数据以及传输关联数据，构建拓扑图及其对应的边特征向量，从而可以根据各网络节点及其依赖关系进行流量检测，提高了流量检测的准确度。
[0010]一种实施方式中，网络地址信息包括源互联网协议IP地址和目的IP地址，端口信息包括源端口和目的端口，网络节点包括源节点和目的节点，基于待检测的传输数据的网络地址信息以及端口信息，构建拓扑图，包括：
[0011]根据各传输数据中的源IP地址和源端口，构建各传输数据分别对应的源节点；
[0012]根据各传输数据中的目的IP地址和目的端口，构建各传输数据对应的目的节点；
[0013]将各传输数据对应的源节点和目的节点连接，获得拓扑图。
[0014]在上述实现过程中，可以分别针对每一组IP地址和端口，构建网络节点，从而可以根据IP地址和端口进行节点划分。
[0015]一种实施方式中，流量检测模型是采用以下步骤训练获得的：
[0016]基于训练数据，构建拓扑图样本以及拓扑图样本中各边对应的边特征向量；
[0017]将拓扑图样本以及各边特征向量，输入图神经网络模型，获得拓扑图中各边分别对应的流量检测结果；
[0018]根据训练数据，获得各边的样本标签；
[0019]根据各边分别对应的流量检测结果和样本标签，确定模型损失；
[0020]根据模型损失，调整图神经网络模型的参数，直至获得符合训练条件的流量检测模型。
[0021]在上述实现过程中，基于图神经网络模型进行训练，获得流量检测模型。
[0022]一种实施方式中，将拓扑图样本以及各边特征向量，输入图神经网络模型，获得拓扑图中各边分别对应的流量检测结果，包括：
[0023]基于拓扑图样本中各网络节点对应的IP地址和端口，生成各网络节点分别对应的节点特征向量；
[0024]基于各节点特征向量，以及各边特征向量，进行卷积运算，获得卷积运算后的各边特征向量；
[0025]根据卷积运算后的各边特征向量，获得各边的恶意流量概率；
[0026]根据各边的恶意流量概率，获得各边的流量检测结果。
[0027]在上述实现过程中，对节点特征向量以及边特征向量，进行卷积运算，以获得检测结果。
[0028]一种实施方式中，基于各节点特征向量，以及各边特征向量，进行卷积运算，获得卷积运算后的各边特征向量，包括：
[0029]循环执行以下步骤，直至达到卷积运算条件：
[0030]针对各节点中的目标节点，基于目标节点与相邻节点对应的边特征向量，生成目标节点的聚合向量，目标节点为各节点中的任一节点；
[0031]根据目标节点的节点特征向量和聚合向量，获得目标节点的新的节点特征向量；
[0032]针对各节点中的第一节点和第二节点，基于第一节点的新的节点特征向量，第二节点的新的节点特征向量，以及第一节点和第二节点对应的边特征向量，获得第一节点和第二节点对应的新的边特征向量；第一节点和第二节点为各节点中任意相邻的两个网络节点。
[0033]在上述实现过程中，循环多次进行卷积运算。
[0034]一种实施方式中，基于目标节点与相邻节点对应的边特征向量，生成目标节点的聚合向量，包括：
[0035]从目标节点的相邻节点中，筛选出设定数量的相邻节点；
[0036]对目标节点与筛选出的相邻节点对应的边特征向量，进行平均运算，获得聚合向量。
[0037]在上述实现过程中，通过平均运算，获得聚合向量。
[0038]一种实施方式中，根据目标节点的节点特征向量和聚合向量，获得目标节点的新的节点特征向量，包括：
[0039]将目标节点的节点特征向量和聚合向量进行串联，获得第一串联向量；
[0040]基于第一串联向量，获得新的节点特征向量。
[0041]在上述实现过程中，通过向量串联，更新节点特征向量。
[0042]一种实施方式中，基于第一节点的新的节点特征向量，第二节点的新的节点特征向量，以及第一节点和第二节点对应的边特征向量，获得第一节点和第二节点对应的新的
边特征向量，包括：
[0043]将第一节点的新的节点特征向量，第二节点的新的节点特征向量，以及第一节点和第二节点对应的边特征向量进行串联，获得第二串联向量；
[0044]根据第二串联向量，获得新的边特征向量。
[0045]在上述实现过程中，通过向量串联，更新边特征向量。
[0046]一方面，提供一种流量检测的装置，包括：
[0047]构建单元，用于基于待检测的传输数据的网络地址信息以及端口信息，构建拓扑图，拓扑图中的网络节点是根据网络地址信息以及端口信息构建的；
[0048]生成单元，用于根据各传输数据的传输关联信息，生成拓扑图中各边对应的边特征向量；拓扑图中的边是基于各网络节点之间的连接生成的；
[0049]获得单元，用于根据拓扑图、各边特征向量，以及预先训练好的流量检测模型，获得拓扑图中各边分别对应的流量检测结果，流量检测模型是基于图神经网络以及残差连接构建的。
[0050]一种实施方式中，网络地址信息包括源互联网协议IP地址和目的IP地址，端口信息包括源端口和目的端口，网络节点包括源节点和目的节点，构建单元用于：
[0051]根据各传输数据中的源IP地址和源端口，构建各传输数据分别对应的源节点；
[0052]根据各传输数据中的目的IP地址和目的端口，构建各传输数据对应的目本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流量检测的方法，其特征在于，包括：基于待检测的传输数据的网络地址信息以及端口信息，构建拓扑图，所述拓扑图中的网络节点是根据所述网络地址信息以及所述端口信息构建的；根据各传输数据的传输关联信息，生成所述拓扑图中各边对应的边特征向量；所述拓扑图中的边是基于各网络节点之间的连接生成的；根据所述拓扑图、各边特征向量，以及预先训练好的流量检测模型，获得所述拓扑图中各边分别对应的流量检测结果，所述流量检测模型是基于图神经网络以及残差连接构建的。2.如权利要求1所述的方法，其特征在于，所述网络地址信息包括源互联网协议IP地址和目的IP地址，所述端口信息包括源端口和目的端口，所述网络节点包括源节点和目的节点，所述基于待检测的传输数据的网络地址信息以及端口信息，构建拓扑图，包括：根据各传输数据中的源IP地址和源端口，构建各传输数据分别对应的源节点；根据各传输数据中的目的IP地址和目的端口，构建各传输数据对应的目的节点；将各传输数据对应的源节点和目的节点连接，获得所述拓扑图。3.如权利要求2所述的方法，其特征在于，所述流量检测模型是采用以下步骤训练获得的：基于训练数据，构建拓扑图样本以及所述拓扑图样本中各边对应的边特征向量；将所述拓扑图样本以及各边特征向量，输入图神经网络模型，获得所述拓扑图中各边分别对应的流量检测结果；根据所述训练数据，获得各边的样本标签；根据各边分别对应的流量检测结果和样本标签，确定模型损失；根据所述模型损失，调整所述图神经网络模型的参数，直至获得符合训练条件的流量检测模型。4.如权利要求3所述的方法，其特征在于，所述将所述拓扑图样本以及各边特征向量，输入图神经网络模型，获得所述拓扑图中各边分别对应的流量检测结果，包括：基于所述拓扑图样本中各网络节点对应的IP地址和端口，生成各网络节点分别对应的节点特征向量；基于各节点特征向量，以及各边特征向量，进行卷积运算，获得卷积运算后的各边特征向量；根据卷积运算后的各边特征向量，获得各边的恶意流量概率；根据各边的恶意流量概率，获得各边的流量检测结果。5.如权利要求4所述的方法，其特征在于，所述基于各节点特征向量，以及各边特征向量，进行卷积运算，获得卷积运算后的各边特征向量，包括：循环执行以下步骤，直至达到卷积运算条件：针对各节点中的目标节点，基于所述目标节点与相邻节点对应的边特征向量，生成所述目标节点的聚合向量，所述目标节点为各节点中的任一节点；根据所述目标节点的节点特征向量和聚合向量，获得所述目标节点的新的节点特征向量；针对各节点中的第一节点和第二节点，基于所述第一节点的新的节点特征向量，所述
第二节点的新的节点特征向量，以及所述第一节点和所述第二节点对应的边特征向量，获得所述第一节点和所述第二节点对应的新的边特征向量；所述第一节点和所述第二节点为各节点中任意相邻的两个网络节点。6.如权利要求5所述的方法，其特征在于，所述基于所述目标节点与相邻节点对应的边特征向量，生成所述目标节点的聚合向量，包括：从所述目标节点的相邻节点中，筛选出设定数量的相邻节点；对所述目标节点与筛选出的相邻节点对应的边特征向量，进行平均运算，获得所述聚合向量。7.如权利要求5或6所述的方法，其特征在于，所述根据所述目标节点的节点特征向量和聚合向量，获得所述目标节点的新的节点特征向量，包括：将所述目标节点的节点特征向量和聚合向量进行串联，获得第一串联向量；基于所述第一串联向量，获得所述新的节点特征向量。8.如权利要求5或6所述的方法，其特征在于，所述基于所述第一节点的新的节点特征向量，所述第二节点的新的节点特征向量，以及所述第一节点和所述第二节点对应的边特征向量，获得所述第一节点和所述第二节点对应的新的边特征向量，包括：将所述第一节点的新的节点特征向量，所述第二节点的新的节点特征向量，以及所述第一节点和所述第二节点对应的边特征向量进行串联，获得第二串联向量；根据所述第二串联向量...

【专利技术属性】
技术研发人员：安晓宁，吴亚飚，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：