[发明专利]异常流量检测装置及其异常流量检测方法

权利要求书

1.一种异常流量检测装置，其特征在于，该异常流量检测装置包括：

一存储器；

一网络接口；以及

一处理器，电性连接该存储器及该网络接口，用以执行以下操作：

通过该网络接口，撷取一第一时间区间自一内部网络传送至一外部网络的多个第一输出封包；

解析多个该第一输出封包，以产生多个输出流量数据，其中各该输出流量数据具有多个输出特征；

基于一降维算法，计算多个该输出流量数据，以自多个该输出特征中选取出至少一关键输出特征，并产生对应至多个该输出流量数据的多个输出训练数据；

将多个该输出训练数据作为一双向生成式对抗网络的多个第一输入样本，并根据多个该第一输入样本训练该双向生成式对抗网络，以生成一输出流量辨识模型；

通过该网络接口，撷取一第二时间区间自该内部网络传送至该外部网络的多个第二输出封包；

解析多个该第二输出封包，以产生多个待辨识输出流量数据，其中各该待辨识输出流量数据具有该至少一关键输出特征；以及

将各该待辨识输出流量数据输入至该输出流量辨识模型，以判断多个该第二输出封包是否产生一异常输出流量；

其中该输出流量辨识模型包括一第一生成器及一第一判别器，以及该处理器针对各该待辨识输出流量数据，更执行以下操作：

计算该第一生成器所产生的一第一仿数据与该待辨识输出流量数据间的一第一差异值；

计算该第一判别器针对该待辨识输出流量数据与该第一仿数据所产生的两个判别值间的一第二差异值；

计算该第一差异值乘上一第一权重值与该第二差异值乘上一第二权重值的一第一总和值；

判断该第一总和值是否大于一第一总和门槛值；以及

当该第一总和值大于该第一总和门槛值时，判断对应至该待辨识输出流量数据的该第二输出封包产生该异常输出流量。

2.如权利要求1所述的异常流量检测装置，其特征在于，该处理器更依据各该第一输出封包的一来源端信息，将多个该第一输出封包划分成多个内部群组，并解析各该内部群组中的多个该第一输出封包，以产生多个该输出流量数据。

3.如权利要求1所述的异常流量检测装置，其特征在于，多个该输出特征包括一网际协议特征、一超文本传输协议特征及一流量比例特征。

4.如权利要求1所述的异常流量检测装置，其特征在于，该处理器更执行以下操作：

通过该网络接口，撷取一第三时间区间自该外部网络传送至该内部网络的多个第一输入封包；

解析多个该第一输入封包，以产生多个输入流量数据，其中各该输入流量数据具有多个输入特征；

基于该降维算法，计算多个该输入流量数据，以自多个该输入特征中选取出至少一关键输入特征，并产生对应至多个该输入流量数据的多个输入训练数据；

将多个该输入训练数据作为该双向生成式对抗网络的多个第二输入样本，并根据该第二输入样本训练该双向生成式对抗网络，以生成一输入流量辨识模型；

通过该网络接口，撷取一第四时间区间自该外部网络传送至该内部网络的多个第二输入封包；

解析多个该第二输入封包，以产生多个待辨识输入流量数据，其中各该待辨识输入流量数据具有该至少一关键输入特征；以及

将各该待辨识输入流量数据输入至该输入流量辨识模型，以判断多个该第二输入封包是否产生一异常输入流量。

5.如权利要求4所述的异常流量检测装置，其特征在于，该输入流量辨识模型包括一第二生成器及一第二判别器，以及该处理器针对各该待辨识输入流量数据，更执行以下操作：

计算该第二生成器所产生的一第二仿数据与该待辨识输入流量数据间的一第三差异值；

计算该第二判别器针对该待辨识输入流量数据与该第二仿数据所产生的两个判别值间的一第四差异值；

计算该第三差异值乘上一第三权重值与该第四差异值乘上一第四权重值的一第二总和值；

判断该第二总和值是否大于一第二总和门槛值；以及

当该第二总和值大于该第二总和门槛值时，判断对应至该待辨识输入流量数据的该第二输入封包产生该异常输入流量。