(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115941218A(43)申请公布日2023.04.07(21)申请号202110975446.6G06N3/08(2023.01)(22)申请日2021.08.24(71)申请人中兴通讯股份有限公司地址518057广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦申请人北京邮电大学(72)发明人谷勇浩张晓青徐昊黄泽祺王翼翡王继刚田甜马苏安王静付鹏(74)专利代理机构上海晨皓知识产权代理事务所(普通合伙)31260专利代理师成丽杰(51)Int.Cl.H04L9/40(2022.01)G06N3/0455(2023.01)权利要求书2页说明书8页附图6页(54)发明名称流量检测方法、装置、电子设备和存储介质(57)摘要本发明实施例涉及网络安全技术领域，特别涉及一种流量检测方法、装置、电子设备及存储介质。该方法包括：获取网络流量数据；将网络流量数据输入到n层自编码器的第i层自编码器进行重构处理获取重构流量数据；根据网络流量数据和重构流量数据获取重构误差；将重构误差大于第i层自编码器的误差阈值的网络流量数据称为可疑流量；将可疑流量输入到第i+1层自编码器进行重构处理获取可疑重构流量；根据可疑流量和可疑重构流量获取可疑流量的可疑重构误差；当第i+1层自编码器为第n层自编码器时，若可疑流量的可疑重构误差大于第n层自编码器的误差阈值，则可疑流量为网络流量数据中的异常流量。解决了现有的流量检测难度大、检测准确度低的问题。CN115941218ACN115941218A权利要求书1/2页1.一种流量检测方法，其特征在于，包括：获取网络流量数据；将所述网络流量数据输入到预设的n层自编码器的第i层自编码器进行重构处理获取重构流量数据，并根据所述网络流量数据和所述重构流量数据获取重构误差；其中，所述n为大于1的整数，所述i为大于0小于所述n的整数；将所述重构误差大于所述第i层自编码器的预设误差阈值的所述网络流量数据称为可疑流量，并将所述可疑流量输入到第i+1层自编码器进行重构处理获取所述可疑流量的可疑重构误差，并根据所述可疑流量和所述可疑重构流量获取可疑重构误差；当所述第i+1层自编码器为第n层自编码器时，若所述可疑流量的可疑重构误差大于所述第n层自编码器的预设误差阈值，则所述可疑流量为所述网络流量数据中的异常流量。2.根据权利要求1所述的流量检测方法，其特征在于，所述获取网络流量数据之前还包括：获取流量训练集，其中，所述流量训练集包含若干个正常流量数据；将所述流量训练集输入到所述第i层自编码器进行重构处理获取重构流量集，并利用预设的损失函数训练所述第i层自编码器；其中，所述重构流量集包括若干个重构流量，每个所述正常流量数据经重构处理后得到一个所述重构流量；当所述第i层自编码器收敛时，根据所述重构流量集获取所述流量训练集中各正常流量数据的重构误差，并根据所述各正常流量数据的重构误差和预设的数据划分比例确定所述第i层自编码器的误差阈值，从所述流量训练集中筛选出所述重构误差大于所述第i层自编码器的误差阈值的所述正常流量数据作为可疑流量数据集；将所述可疑流量数据集输入到所述第i+1层自编码器进行重构处理获取可疑重构流量集，并利用所述损失函数训练所述第i+1层自编码器直至收敛，根据所述可疑重构流量集获取所述可疑流量数据集中各正常流量数据的可疑重构误差，并根据所述各正常流量数据的可疑重构误差和所述数据划分比例确定所述第i+1层自编码器的误差阈值；当所述第i+1层自编码器为所述第n层自编码器时，则生成所述n层自编码器。3.根据权利要求2所述的流量检测方法，其特征在于，所述损失函数为所述流量训练集中各所述正常流量数据和所述重构流量集中各所述重构流量数据的均方误差；所述利用预设的损失函数训练所述第i层自编码器包括：当所述损失函数的值不满足预设的收敛条件时，使用预设的优化器计算所述损失函数的梯度，并根据所述梯度调整所述第i层自编码器的自编码参数。4.根据权利要求1所述的流量检测方法，其特征在于，所述网络流量数据携带有五元组信息，所述五元组信息包含源IP、目的IP、源端口、目的端口和协议信息；所述获取网络流量数据之后还包括：根据所述源IP、所述目的IP、所述源端口和所述目的端口确定所述网络流量数据的流量方向；根据所述流量方向和所述协议信息对所述网络流量数据进行特征提取，获取所述网络流量数据的统计特征数据。5.根据权利要求4所述的流量检测方法，其特征在于，所述获取所述网络流量数据的统计特征数据之后还包括对所述统计特征数据进行数据清洗处理和数据归一化处理。2CN115941218A权利要求书2/2页6.根据权利要求1所述的流量检测方法，其特征在于，所述将所述网络流量数据输入到预设的n层自编码器的第i层自