基于异常流量样本增强的检测方法、系统、设备及介质

本发明涉及数字信息传输，尤其涉及一种基于异常流量样本增强的检测方法、系统、设备及介质。

背景技术：

1、随着数字信息传输技术的不断发展，网络安全问题受到人们越来越多的关注。在网络安全演习的攻防阶段，攻击团队发起的网络攻击复杂多样，相关的网络安全防御系统中的安全防御模型大多适用于典型的网络安全场景。但是在网络安全演习的不同阶段，可能会出现不同的网络安全情况，导致安全防御模型的防护水平会存在相应的波动；并且由于正常流量样本和异常流量样本的分布存在偏差，安全防御模型的动态机器学习检测方法只能学习有限的异常流量样本的特征，难以应对钻探过程中复杂的网络环境，阻碍了安全防御模型的有效利用。

2、因此，亟需一种能够提高安全防御模型的检测性能的方法。

技术实现思路

1、本发明实施例提供了一种基于异常流量样本增强的检测方法、系统、设备及介质，能够增加输入安全防御模型中的异常流量样本的数量，提高安全防御模型的检测性能。

2、第一方面，本发明实施例提供了一种基于异常流量样本增强的检测方法，包括：

3、获取第一预设时间段内的正常流量样本和异常流量样本；所述样本为数据样本；

4、将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型，得到所述异常流量生成模型输出的第一异常流量样本；其中，所述预设生成参数用于确定所述异常流量生成模型输出异常流量样本的规模和离散度；

5、根据所述第一异常流量样本，对第二预设时间段内的业务流量样本进行异常流量样本增强；

6、基于异常流量样本增强后的业务流量样本，训练安全防御模型，得到训练完成的安全防御模型；其中，训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。

7、在一种可能的实现方式中，所述基于异常流量样本增强后的业务流量样本，训练安全防御模型，得到训练完成的安全防御模型，包括：

8、将异常流量样本增强后的业务流量样本输入至安全防御模型，得到所述安全防御模型输出的第二异常流量样本；

9、基于所述第二异常流量样本，以及异常流量样本增强后的业务流量样本对应的异常流量样本，确定所述安全防御模型的检测准确率；

10、调整生成参数，并将调整后的生成参数作为所述预设生成参数，重新执行所述将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤，直至满足预设要求，得到最优生成参数和训练完成的安全防御模型；其中，所述预设要求根据所述检测准确率设置。

11、在一种可能的实现方式中，在所述基于异常流量样本增强后的业务流量样本，训练安全防御模型，得到训练完成的安全防御模型之后，还包括：

12、获取待识别流量样本，并根据所述待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、所述最优生成参数和所述异常流量生成模型，得到第三异常流量样本；

13、利用第三异常流量样本，对所述待识别流量样本进行异常流量样本增强，并将异常流量样本增强后的待识别流量样本输入至所述训练完成的安全防御模型，得到所述待识别流量样本中的异常流量样本。

14、在一种可能的实现方式中，所述方法还包括：

15、获取多个不同的预设生成参数，以及第四预设时间段内的正常流量样本和异常流量样本；

16、对于每个预设生成参数，执行所述将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型的步骤，得到在该预设生成参数下所述安全防御模型的检测准确率；

17、根据每个预设生成参数和对应的检测准确率，建立以预设生成参数为变量的所述安全防御模型的检测准确率的拟合函数；

18、基于所述拟合函数确定的检测准确率估计值和对应的安全防御模型的检测准确率之间的差值，设置所述预设要求。

19、在一种可能的实现方式中，所述调整生成参数，包括：

20、基于生成参数，判断是否满足所述预设要求；

21、若不满足所述预设要求，则根据梯度下降法和所述预设要求，调整所述拟合函数中的系数，根据调整后的系数确定拟合函数，并根据该拟合函数调整生成参数。

22、在一种可能的实现方式中，所述异常流量生成模型为预设的对抗生成网络模型，所述预设的对抗生成网络模型包括生成器和判别器，所述生成器根据一时间段内的正常流量样本和异常流量样本，生成初始的异常流量样本，所述判别器为基于残差网络的判别器，基于残差网络的判别器对初始的异常流量样本进行判别，基于判别结果和生成参数，得到最终的异常流量样本。

23、在一种可能的实现方式中，在获取待识别流量样本之后，还包括：

24、确定所述异常流量生成模型的运行状态；其中，所述运行状态包括跳过和工作；

25、若所述异常流量生成模型的运行状态为跳过，则将所述待识别流量样本输入至所述安全防御模型，得到所述待识别流量样本中的异常流量样本；

26、若所述异常流量生成模型的运行状态为工作，则执行所述根据所述待识别流量样本之前的第三预设时间段内的正常流量样本、异常流量样本、所述最优生成参数和所述异常流量生成模型，得到第三异常流量样本的步骤。

27、第二方面，本发明实施例提供了一种基于异常流量样本增强的检测系统，包括：

28、获取模块，用于获取第一预设时间段内的正常流量样本和异常流量样本；所述样本为数据样本；

29、生成模块，用于将所述正常流量样本、所述异常流量样本和预设生成参数输入至预设的异常流量生成模型，得到所述异常流量生成模型输出的第一异常流量样本；其中，所述预设生成参数用于确定所述异常流量生成模型输出异常流量样本的规模和离散度；

30、训练模块，用于根据所述第一异常流量样本，对第二预设时间段内的业务流量样本进行异常流量样本增强；以及基于异常流量样本增强后的业务流量样本，训练安全防御模型，得到训练完成的安全防御模型；其中，训练完成的安全防御模型用于对业务流量样本中的异常流量样本进行检测。

31、第三方面，本发明实施例提供了一种电子设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上第一方面或第一方面的任一种可能的实现方式所述的方法的步骤。

32、第四方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上第一方面或第一方面的任一种可能的实现方式所述的方法的步骤。

33、本发明实施例与现有技术相比存在的有益效果是：

34、本发明实施例通过将预设生成参数输入至预设的异常流量生成模型，可以得到异常流量生成模型输出的预设生成参数对应的第一异常流量样本，再通过第一异常流量样本和业务流量样本进行异常流量样本增强，从而对安全防御模型进行训练，得到训练完成的安全防御模型，可以增加训练安全防御模型的训练集中的异常流量样本，提高安全防御模型的检测能力和检测的准确率。