(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111370704.4 (22)申请日 2021.11.18 (71)申请人 北京明略软件系统有限公司 地址 100084 北京市海淀区中关村东路1号 院1号楼10层A10 02 (72)发明人 杨康　王硕　姜娜　孙泽懿　 (74)专利代理 机构 北京华夏泰和知识产权代理 有限公司 1 1662 代理人 杜欣 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/36(2019.01) G06N 3/04(2006.01) (54)发明名称 异常流量检测方法、 装置、 存储介质以及电 子设备 (57)摘要 本发明公开了一种异常流量检测方法、 装 置、 存储介质以及电子设备。 该方法包括： 获取用 户目标时间段内的网站访问数据； 筛选网站访问 数据， 得到筛选数据， 其中筛选数据包括用户的 id字段， 网站ip地址， id字段访问网站ip地址的 访问时间和访 问次数， id字段为用户的ip地址； 根据筛选 数据构建id字段的访问知 识图谱； 利用 目标神经网络模 型识别访问知识图谱的特征， 得 到id字段在 目标时间段内访问网站ip地址所产 生的流量是正常流量或异常流量的目标结果。 本 发明解决了无法有效通过一条异常流量捕捉整 个异常流 量簇的技 术问题。 权利要求书2页 说明书9页 附图3页 CN 114143049 A 2022.03.04 CN 114143049 A 1.一种异常流 量检测方法， 其特 征在于， 包括： 获取用户目标时间段内的网站访问数据； 筛选所述网站访问数据， 得到筛选数据， 其中所述筛选数据包括所述用户的id字段， 网 站ip地址， 所述id字段访问所述网站ip地址的访问时间和访问次数， 所述id字段为所述用 户的ip地址； 根据所述筛 选数据构建所述 id字段的访问知识图谱； 利用目标神经网络模型识别所述访问知识图谱的特征， 得到所述id字段在所述目标时 间段内访问所述网站ip地址所产生的流 量是正常流 量或异常流 量的目标 结果。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述筛选数据构建所述id字段的 访问知识图谱 包括： 使用所述 id字段作为所述访问知识图谱的中心 节点的字段； 使用所述网站ip地址作为所述中心 节点的关联节点； 使用所述访问时间和所述访问次数作为所述中心节点到对应的所述关联节点的边属 性。 3.根据权利要求1所述的方法， 其特征在于， 所述利用目标神经网络模型识别所述访问 知识图谱的特征， 得到所述id字段在所述目标时间段内访问所述网站 ip地址所产生的流量 是正常流 量或异常流 量的目标 结果包括： 由所述目标神经网络模型识别所述访问知识图谱， 得到所述访问知识图谱的图谱特 征； 对所述图谱特征进行识别， 得到识别结果， 其中， 所述识别结果用于指示所述id字段访 问所述网站ip地址的行为 正常或异常； 根据所述识别结果， 确定所述目标 结果。 4.根据权利要求3所述的方法， 其特征在于， 所述由所述目标神经网络模型识别所述访 问知识图谱， 得到所述访问知识图谱的图谱特 征包括： 将所述访问知识图谱中每一个关联节点映射 为第一维度的特 征向量； 统一所述访问知识图谱中每一个边属性的特 征维度为第二维度； 将所述访问知识图谱中每一个边属性的特征维度映射为一个所述第一维度乘所述第 二维度的特 征矩阵； 将所述特征矩阵与 所述访问知识图谱中每一个关联节点的特征向量相乘， 得到所述访 问知识图谱中每一个关联节点的第一隐藏向量； 将所述第一隐藏向量进行非线性变换后再拼接， 得到所述 id字段的第二隐藏向量； 将所述第二隐藏向量确定为所述图谱特 征。 5.根据权利要求3所述的方法， 其特征在于， 所述对所述图谱特征进行识别， 得到识别 结果包括： 将所述图谱特 征输入到全连接层， 映射到第三维度； 通过全连接层输出 所述id字段访问所述网站ip地址的行为 正常或异常的识别结果。 6.根据权利要求3所述的方法， 其特征在于， 所述根据所述识别结果， 确定所述目标结 果包括： 在所述识别结果为正常的情况下， 则所述目标结果为所述id字段在所述目标时间段内权　利　要　求　书 1/2 页 2 CN 114143049 A 2访问的所述网站ip地址所产生的所有流 量皆为正常流量； 在所述识别结果为异常的情况下， 则所述目标结果为所述id字段在所述目标时间段内 访问的所述网站ip地址所产生的所有流 量皆为异常流 量。 7.一种异常流 量检测装置， 其特 征在于， 包括： 获取模块， 用于获取用户目标时间段内的网站访问数据； 筛选模块， 用于筛选所述网站访问数据， 得到筛选数据， 其中所述筛选数据包括所述用 户的id字段， 网站ip地址， 所述id字段访问所述网站 ip地址的访问时间和访问次数， 所述id 字段为所述用户的ip地址； 构建模块， 用于根据所述筛 选数据构建所述 id字段的访问知识图谱； 识别模块， 用于利用目标神经网络模型识别所述访 问知识图谱的特征， 得到所述id字 段在所述 目标时间段内访问所述网站ip地址所产生的流量是正常流量或异常流量的目标 结果。 8.根据权利要求7 所述的装置， 其特 征在于， 所述构建模块包括： 第一处理单元， 用于使用所述 id字段作为所述访问知识图谱的中心 节点的字段； 第二处理单元， 用于使用所述网站ip地址作为所述中心 节点的关联节点； 第三处理单元， 用于使用所述访问时间和所述访问次数作为所述中心节点到对应的所 述关联节点的边属性。 9.一种计算机可读的存储介质， 所述计算机可读的存储介质存储有计算机程序， 其特 征在于， 所述计算机程序被处 理器运行时执 行所述权利要求1至 6任一项中所述的方法。 10.一种电子设备， 包括存储器和 处理器， 其特征在于， 所述存储器中存储有计算机程 序， 所述处理器被设置为通过所述计算机程序执行所述权利要求1至6任一项中所述的方 法。权　利　要　求　书 2/2 页 3 CN 114143049 A 3