(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114143049A(43)申请公布日2022.03.04(21)申请号202111370704.4(22)申请日2021.11.18(71)申请人北京明略软件系统有限公司地址100084北京市海淀区中关村东路1号院1号楼10层A1002(72)发明人杨康王硕姜娜孙泽懿(74)专利代理机构北京华夏泰和知识产权代理有限公司11662代理人杜欣(51)Int.Cl.H04L9/40(2022.01)G06F16/36(2019.01)G06N3/04(2006.01)权利要求书2页说明书9页附图3页(54)发明名称异常流量检测方法、装置、存储介质以及电子设备(57)摘要本发明公开了一种异常流量检测方法、装置、存储介质以及电子设备。该方法包括：获取用户目标时间段内的网站访问数据；筛选网站访问数据，得到筛选数据，其中筛选数据包括用户的id字段，网站ip地址，id字段访问网站ip地址的访问时间和访问次数，id字段为用户的ip地址；根据筛选数据构建id字段的访问知识图谱；利用目标神经网络模型识别访问知识图谱的特征，得到id字段在目标时间段内访问网站ip地址所产生的流量是正常流量或异常流量的目标结果。本发明解决了无法有效通过一条异常流量捕捉整个异常流量簇的技术问题。CN114143049ACN114143049A权利要求书1/2页1.一种异常流量检测方法，其特征在于，包括：获取用户目标时间段内的网站访问数据；筛选所述网站访问数据，得到筛选数据，其中所述筛选数据包括所述用户的id字段，网站ip地址，所述id字段访问所述网站ip地址的访问时间和访问次数，所述id字段为所述用户的ip地址；根据所述筛选数据构建所述id字段的访问知识图谱；利用目标神经网络模型识别所述访问知识图谱的特征，得到所述id字段在所述目标时间段内访问所述网站ip地址所产生的流量是正常流量或异常流量的目标结果。2.根据权利要求1所述的方法，其特征在于，所述根据所述筛选数据构建所述id字段的访问知识图谱包括：使用所述id字段作为所述访问知识图谱的中心节点的字段；使用所述网站ip地址作为所述中心节点的关联节点；使用所述访问时间和所述访问次数作为所述中心节点到对应的所述关联节点的边属性。3.根据权利要求1所述的方法，其特征在于，所述利用目标神经网络模型识别所述访问知识图谱的特征，得到所述id字段在所述目标时间段内访问所述网站ip地址所产生的流量是正常流量或异常流量的目标结果包括：由所述目标神经网络模型识别所述访问知识图谱，得到所述访问知识图谱的图谱特征；对所述图谱特征进行识别，得到识别结果，其中，所述识别结果用于指示所述id字段访问所述网站ip地址的行为正常或异常；根据所述识别结果，确定所述目标结果。4.根据权利要求3所述的方法，其特征在于，所述由所述目标神经网络模型识别所述访问知识图谱，得到所述访问知识图谱的图谱特征包括：将所述访问知识图谱中每一个关联节点映射为第一维度的特征向量；统一所述访问知识图谱中每一个边属性的特征维度为第二维度；将所述访问知识图谱中每一个边属性的特征维度映射为一个所述第一维度乘所述第二维度的特征矩阵；将所述特征矩阵与所述访问知识图谱中每一个关联节点的特征向量相乘，得到所述访问知识图谱中每一个关联节点的第一隐藏向量；将所述第一隐藏向量进行非线性变换后再拼接，得到所述id字段的第二隐藏向量；将所述第二隐藏向量确定为所述图谱特征。5.根据权利要求3所述的方法，其特征在于，所述对所述图谱特征进行识别，得到识别结果包括：将所述图谱特征输入到全连接层，映射到第三维度；通过全连接层输出所述id字段访问所述网站ip地址的行为正常或异常的识别结果。6.根据权利要求3所述的方法，其特征在于，所述根据所述识别结果，确定所述目标结果包括：在所述识别结果为正常的情况下，则所述目标结果为所述id字段在所述目标时间段内2CN114143049A权利要求书2/2页访问的所述网站ip地址所产生的所有流量皆为正常流量；在所述识别结果为异常的情况下，则所述目标结果为所述id字段在所述目标时间段内访问的所述网站ip地址所产生的所有流量皆为异常流量。7.一种异常流量检测装置，其特征在于，包括：获取模块，用于获取用户目标时间段内的网站访问数据；筛选模块，用于筛选所述网站访问数据，得到筛选数据，其中所述筛选数据包括所述用户的id字段，网站ip地址，所述id字段访问所述网站ip地址的访问时间和访问次数，所述id字段为所述用户的ip地址；构建模块，用于根据所述筛选数据构建所述id字段的访问知识图谱；识别模块，用于利用目标神经网络模型识别所述访问知识图谱的特征，得到所述id字段在所述目标时间段内访问所述网站ip地址所产生的流量是正常