本技術(shù)涉及人工智能領(lǐng)域，具體涉及一種基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測方法及裝置。

背景技術(shù)：

1、在當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)流量異常檢測已成為網(wǎng)絡(luò)安全和性能監(jiān)控的關(guān)鍵任務(wù)?；谏疃葘W(xué)習(xí)的異常檢測方法，特別是結(jié)合bilstm和注意力機(jī)制的方法，在處理復(fù)雜的時序數(shù)據(jù)方面展現(xiàn)出了獨(dú)特優(yōu)勢。

2、當(dāng)前網(wǎng)絡(luò)流量異常檢測面臨著多個主要挑戰(zhàn)。首先是數(shù)據(jù)的多樣性和復(fù)雜性，網(wǎng)絡(luò)流量數(shù)據(jù)不僅包含流量信息，還涉及系統(tǒng)資源使用情況和服務(wù)調(diào)用關(guān)系等多個維度。這些數(shù)據(jù)之間存在復(fù)雜的相互關(guān)系，傳統(tǒng)的單一維度分析方法難以全面把握異常特征。

3、其次是實(shí)時性要求高。網(wǎng)絡(luò)環(huán)境下的異常情況往往需要快速響應(yīng)，延遲的檢測可能導(dǎo)致嚴(yán)重的后果。這要求檢測系統(tǒng)能夠在保證準(zhǔn)確性的同時，具備較高的處理效率。同時，檢測系統(tǒng)還需要能夠適應(yīng)網(wǎng)絡(luò)環(huán)境的動態(tài)變化，及時調(diào)整檢測策略。

4、隨著技術(shù)的不斷進(jìn)步，基于bilstm-attention的網(wǎng)絡(luò)流量異常檢測方法將繼續(xù)發(fā)展和完善，為網(wǎng)絡(luò)安全和性能監(jiān)控提供更可靠的技術(shù)支持。這需要研究人員在算法優(yōu)化、工程實(shí)現(xiàn)和實(shí)際應(yīng)用等多個方面繼續(xù)努力，推動該領(lǐng)域的技術(shù)創(chuàng)新。

技術(shù)實(shí)現(xiàn)思路

1、針對現(xiàn)有技術(shù)中的問題，本技術(shù)提供一種基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測方法及裝置，能夠有效提高基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測效率和準(zhǔn)確率。

2、為了解決上述問題中的至少一個，本技術(shù)提供以下技術(shù)方案：

3、第一方面，本技術(shù)提供一種基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測方法，包括：

4、獲取網(wǎng)絡(luò)流量時序數(shù)據(jù)、系統(tǒng)資源使用數(shù)據(jù)和服務(wù)調(diào)用拓?fù)鋽?shù)據(jù)，對所述網(wǎng)絡(luò)流量時序數(shù)據(jù)提取流量大小、請求數(shù)量和響應(yīng)時間特征形成流量特征子集，對所述系統(tǒng)資源使用數(shù)據(jù)提取cpu利用率、內(nèi)存占用和網(wǎng)絡(luò)帶寬特征形成資源特征子集，對所述服務(wù)調(diào)用拓?fù)鋽?shù)據(jù)提取服務(wù)依賴度、調(diào)用頻率和錯誤率特征形成服務(wù)特征子集，采用滑動時間窗口方法構(gòu)建多模態(tài)時序特征矩陣，通過信息增益算法計算所述流量特征子集、資源特征子集和服務(wù)特征子集中各特征的重要性得分，基于得分閾值篩選最具判別性的特征構(gòu)建融合特征子集；

5、將所述融合特征子集輸入設(shè)定的雙向長短期記憶-注意力網(wǎng)絡(luò)，所述雙向長短期記憶-注意力網(wǎng)絡(luò)的雙向長短期記憶單元通過輸入門控單元學(xué)習(xí)所述流量特征子集、資源特征子集和服務(wù)特征子集的重要程度，通過遺忘門控單元選擇性保留歷史狀態(tài)信息，通過輸出門控單元控制特征的輸出比例，對輸入的融合特征子集同時進(jìn)行正向和反向的特征提取，將提取的雙向特征進(jìn)行拼接融合，利用注意力機(jī)制自適應(yīng)計算不同時間步和不同特征維度的重要性權(quán)重，將所述重要性權(quán)重與拼接融合的特征進(jìn)行加權(quán)組合得到具有時序上下文信息的目標(biāo)特征；

6、對所述目標(biāo)特征進(jìn)行多層次分析，基于流量特征子集中的流量大小、請求數(shù)量和響應(yīng)時間特征計算統(tǒng)計指標(biāo)識別異常區(qū)間，結(jié)合資源特征子集中的cpu利用率、內(nèi)存占用、網(wǎng)絡(luò)帶寬特征和服務(wù)特征子集中的服務(wù)依賴度、調(diào)用頻率、錯誤率特征對所述異常區(qū)間進(jìn)行精確定位和分類，采用基于置信度的多視角決策融合方法對檢測結(jié)果進(jìn)行綜合評估，生成包含異常等級、異常類型和異常原因的檢測報告。

7、進(jìn)一步地，所述采用滑動時間窗口方法構(gòu)建多模態(tài)時序特征矩陣，通過信息增益算法計算所述流量特征子集、資源特征子集和服務(wù)特征子集中各特征的重要性得分，包括：

8、設(shè)定滑動窗口大小為n個時間步長，窗口滑動步長為1，對每個時間窗口內(nèi)的流量特征子集、資源特征子集和服務(wù)特征子集進(jìn)行時序采樣，將采樣數(shù)據(jù)按時間順序排列形成特征序列，對特征序列進(jìn)行歸一化處理消除量綱影響，將處理后的特征序列重構(gòu)為m×n維度的時序特征矩陣，其中m為特征維度數(shù)，n為時間步長數(shù)；

9、對時序特征矩陣中的特征按照信息增益算法計算互信息值，計算每個特征與類別標(biāo)簽之間的信息熵和條件熵，將信息熵與條件熵的差值作為特征的重要性得分，對得分進(jìn)行歸一化處理得到標(biāo)準(zhǔn)化重要性權(quán)重，設(shè)定重要性閾值λ，保留權(quán)重大于λ的特征構(gòu)建具有顯著判別能力的融合特征子集。

10、進(jìn)一步地，所述將所述融合特征子集輸入設(shè)定的雙向長短期記憶-注意力網(wǎng)絡(luò)，所述雙向長短期記憶-注意力網(wǎng)絡(luò)的雙向長短期記憶單元通過輸入門控單元學(xué)習(xí)所述流量特征子集、資源特征子集和服務(wù)特征子集的重要程度，包括：

11、將融合特征子集映射到d維的隱層空間形成輸入特征向量，對特征向量通過前向傳播和反向傳播兩個子網(wǎng)絡(luò)分別進(jìn)行特征提取，每個子網(wǎng)絡(luò)包含多個循環(huán)神經(jīng)網(wǎng)絡(luò)單元，每個單元由門控機(jī)制控制信息傳遞，利用輸入門控制當(dāng)前時刻的輸入信息流入，遺忘門控制歷史信息的遺忘程度，輸出門控制單元狀態(tài)向外部的輸出比例，對門控信息進(jìn)行非線性變換得到當(dāng)前時刻的記憶狀態(tài)；

12、將流量特征子集、資源特征子集和服務(wù)特征子集分別通過獨(dú)立的輸入門控單元進(jìn)行特征重要性學(xué)習(xí)，計算當(dāng)前特征與歷史狀態(tài)的關(guān)聯(lián)程度，利用sigmoid函數(shù)將關(guān)聯(lián)值映射到0-1區(qū)間得到輸入門控信號，根據(jù)門控信號的大小控制不同特征子集的信息流入比例，對輸入的特征信息進(jìn)行選擇性過濾和重要性學(xué)習(xí)，保留對異常檢測任務(wù)貢獻(xiàn)度高的有效特征信息。

13、進(jìn)一步地，?所述通過遺忘門控單元選擇性保留歷史狀態(tài)信息，通過輸出門控單元控制特征的輸出比例，包括：

14、將當(dāng)前時刻的輸入特征與前一時刻的隱層狀態(tài)向量拼接構(gòu)成遺忘門的輸入，通過權(quán)重矩陣對輸入進(jìn)行線性變換并經(jīng)過sigmoid函數(shù)得到遺忘門控信號，遺忘門控信號與前一時刻的單元狀態(tài)進(jìn)行逐元素相乘運(yùn)算控制歷史信息的保留比例，將保留的歷史信息與當(dāng)前時刻經(jīng)輸入門過濾后的新信息進(jìn)行加權(quán)組合得到更新后的單元狀態(tài)；

15、利用當(dāng)前時刻的輸入特征與隱層狀態(tài)計算輸出門控信號，將輸出門控信號與更新后的單元狀態(tài)進(jìn)行組合運(yùn)算得到輸出向量，通過tanh激活函數(shù)對單元狀態(tài)進(jìn)行非線性變換將取值壓縮到-1到1區(qū)間，輸出門控信號與變換后的單元狀態(tài)進(jìn)行逐元素相乘運(yùn)算得到當(dāng)前時刻的隱層輸出，以對不同特征維度輸出比例的自適應(yīng)調(diào)節(jié)。

16、進(jìn)一步地，所述對輸入的融合特征子集同時進(jìn)行正向和反向的特征提取，將提取的雙向特征進(jìn)行拼接融合，利用注意力機(jī)制自適應(yīng)計算不同時間步和不同特征維度的重要性權(quán)重，將所述重要性權(quán)重與拼接融合的特征進(jìn)行加權(quán)組合得到具有時序上下文信息的目標(biāo)特征，包括：

17、將融合特征子集按照時間序列順序輸入正向長短期記憶網(wǎng)絡(luò)提取從前向后的時序特征，同時將特征子集按照逆序輸入反向長短期記憶網(wǎng)絡(luò)提取從后向前的時序特征，對正向網(wǎng)絡(luò)和反向網(wǎng)絡(luò)的隱層狀態(tài)序列進(jìn)行拼接操作形成包含雙向上下文信息的特征矩陣，通過線性映射層將拼接后的特征矩陣轉(zhuǎn)換到統(tǒng)一的特征空間得到雙向融合特征；

18、利用自注意力機(jī)制計算雙向融合特征矩陣中不同時間步特征之間的相關(guān)性得分，將相關(guān)性得分通過softmax函數(shù)歸一化得到注意力權(quán)重，基于注意力權(quán)重對特征矩陣的時間維度進(jìn)行加權(quán)求和得到時序上下文向量，將上下文向量與原始特征進(jìn)行非線性變換和殘差連接得到包含全局依賴關(guān)系的目標(biāo)特征表示。

19、進(jìn)一步地，所述基于流量特征子集中的流量大小、請求數(shù)量和響應(yīng)時間特征計算統(tǒng)計指標(biāo)識別異常區(qū)間，結(jié)合資源特征子集中的cpu利用率、內(nèi)存占用、網(wǎng)絡(luò)帶寬特征和服務(wù)特征子集中的服務(wù)依賴度、調(diào)用頻率、錯誤率特征對所述異常區(qū)間進(jìn)行精確定位和分類，包括：

20、對目標(biāo)特征中的流量大小、請求數(shù)量和響應(yīng)時間特征計算滑動均值和標(biāo)準(zhǔn)差作為統(tǒng)計基線，利用z-score標(biāo)準(zhǔn)化方法計算當(dāng)前觀測值與基線的偏差程度，設(shè)定偏差閾值α，將連續(xù)多個時間點(diǎn)的偏差值均超過閾值α的時間段標(biāo)記為候選異常區(qū)間，對候選異常區(qū)間應(yīng)用動態(tài)時間規(guī)整算法計算與歷史正常模式的相似度，基于相似度閾值β過濾掉誤報區(qū)間得到最終的異常區(qū)間；

21、在確定的異常區(qū)間內(nèi)提取cpu利用率、內(nèi)存占用、網(wǎng)絡(luò)帶寬、服務(wù)依賴度、調(diào)用頻率和錯誤率特征構(gòu)建異常特征向量，將特征向量輸入預(yù)訓(xùn)練的多層感知機(jī)分類器計算異常類型的概率分布，根據(jù)各維度特征的貢獻(xiàn)度識別異常的根因特征，利用層次聚類方法對異常模式進(jìn)行自動分組得到異常類別標(biāo)簽，結(jié)合異常程度和影響范圍確定異常的嚴(yán)重等級。

22、進(jìn)一步地，所述采用基于置信度的多視角決策融合方法對檢測結(jié)果進(jìn)行綜合評估，生成包含異常等級、異常類型和異常原因的檢測報告，包括：

23、對基于流量特征的檢測結(jié)果計算置信度得分s1，對基于資源特征的檢測結(jié)果計算置信度得分s2，對基于服務(wù)特征的檢測結(jié)果計算置信度得分s3，將三個置信度得分通過加權(quán)平均方法融合得到綜合置信度得分，對置信度低于閾值γ的檢測結(jié)果進(jìn)行二次驗(yàn)證和修正，根據(jù)修正后的檢測結(jié)果對異常事件的類型標(biāo)簽和嚴(yán)重程度進(jìn)行更新；

24、將異常檢測的時間點(diǎn)、異常類型、異常程度和影響范圍等信息提取為結(jié)構(gòu)化數(shù)據(jù)，對檢測到的異常特征進(jìn)行重要性排序得到異常原因的歸因結(jié)果，將多維異常指標(biāo)映射到預(yù)定義的等級評分體系確定最終的異常等級，按照報告模板規(guī)范將異常事件的關(guān)鍵信息和詳細(xì)分析結(jié)果寫入檢測報告文檔進(jìn)行輸出存檔。

25、第二方面，本技術(shù)提供一種基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測裝置，包括：

26、數(shù)據(jù)處理模塊，用于獲取網(wǎng)絡(luò)流量時序數(shù)據(jù)、系統(tǒng)資源使用數(shù)據(jù)和服務(wù)調(diào)用拓?fù)鋽?shù)據(jù)，對所述網(wǎng)絡(luò)流量時序數(shù)據(jù)提取流量大小、請求數(shù)量和響應(yīng)時間特征形成流量特征子集，對所述系統(tǒng)資源使用數(shù)據(jù)提取cpu利用率、內(nèi)存占用和網(wǎng)絡(luò)帶寬特征形成資源特征子集，對所述服務(wù)調(diào)用拓?fù)鋽?shù)據(jù)提取服務(wù)依賴度、調(diào)用頻率和錯誤率特征形成服務(wù)特征子集，采用滑動時間窗口方法構(gòu)建多模態(tài)時序特征矩陣，通過信息增益算法計算所述流量特征子集、資源特征子集和服務(wù)特征子集中各特征的重要性得分，基于得分閾值篩選最具判別性的特征構(gòu)建融合特征子集；

27、特征處理模塊，用于將所述融合特征子集輸入設(shè)定的雙向長短期記憶-注意力網(wǎng)絡(luò)，所述雙向長短期記憶-注意力網(wǎng)絡(luò)的雙向長短期記憶單元通過輸入門控單元學(xué)習(xí)所述流量特征子集、資源特征子集和服務(wù)特征子集的重要程度，通過遺忘門控單元選擇性保留歷史狀態(tài)信息，通過輸出門控單元控制特征的輸出比例，對輸入的融合特征子集同時進(jìn)行正向和反向的特征提取，將提取的雙向特征進(jìn)行拼接融合，利用注意力機(jī)制自適應(yīng)計算不同時間步和不同特征維度的重要性權(quán)重，將所述重要性權(quán)重與拼接融合的特征進(jìn)行加權(quán)組合得到具有時序上下文信息的目標(biāo)特征；

28、特征分析模塊，用于對所述目標(biāo)特征進(jìn)行多層次分析，基于流量特征子集中的流量大小、請求數(shù)量和響應(yīng)時間特征計算統(tǒng)計指標(biāo)識別異常區(qū)間，結(jié)合資源特征子集中的cpu利用率、內(nèi)存占用、網(wǎng)絡(luò)帶寬特征和服務(wù)特征子集中的服務(wù)依賴度、調(diào)用頻率、錯誤率特征對所述異常區(qū)間進(jìn)行精確定位和分類，采用基于置信度的多視角決策融合方法對檢測結(jié)果進(jìn)行綜合評估，生成包含異常等級、異常類型和異常原因的檢測報告。

29、第三方面，本技術(shù)提供一種電子設(shè)備，包括存儲器、處理器及存儲在存儲器上并可在處理器上運(yùn)行的計算機(jī)程序，所述處理器執(zhí)行所述程序時實(shí)現(xiàn)所述的基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測方法的步驟。

30、第四方面，本技術(shù)提供一種計算機(jī)可讀存儲介質(zhì)，其上存儲有計算機(jī)程序，該計算機(jī)程序被處理器執(zhí)行時實(shí)現(xiàn)所述的基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測方法的步驟。

31、第五方面，本技術(shù)提供一種計算機(jī)程序產(chǎn)品，包括計算機(jī)程序/指令，該計算機(jī)程序/指令被處理器執(zhí)行時實(shí)現(xiàn)所述的基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測方法的步驟。

32、由上述技術(shù)方案可知，本技術(shù)提供一種基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測方法及裝置，通過獲取網(wǎng)絡(luò)流量時序數(shù)據(jù)、系統(tǒng)資源使用數(shù)據(jù)和服務(wù)調(diào)用拓?fù)鋽?shù)據(jù)，采用滑動時間窗口方法構(gòu)建多模態(tài)時序特征矩陣，通過信息增益算法計算流量特征子集、資源特征子集和服務(wù)特征子集中各特征的重要性得分，基于得分閾值篩選最具判別性的特征構(gòu)建融合特征子集；將融合特征子集輸入設(shè)定的雙向長短期記憶-注意力網(wǎng)絡(luò)，?對目標(biāo)特征進(jìn)行多層次分析，采用基于置信度的多視角決策融合方法對檢測結(jié)果進(jìn)行綜合評估，生成包含異常等級、異常類型和異常原因的檢測報告，由此能夠有效提高基于bilstm-att網(wǎng)絡(luò)的網(wǎng)絡(luò)流量異常監(jiān)測效率和準(zhǔn)確率。