[发明专利]基于深度学习的网络异常检测方法、装置、设备及介质

权利要求书

1.一种基于深度学习的网络异常检测方法，其特征在于，所述方法包括：

响应接收到的初始日志数据，根据预设常量事件模板，对所述初始日志数据进行提取规则，以生成模板符序列；

根据预设滑动窗口通过设定滑动规则，对所述模板符序列进行分割，以生成目标日志序列和标签模板符，其中，所述标签模板符为所述模板符序列中所述目标日志序列之后的下一个模板符；

根据预设异常检测模型对所述目标日志序列进行检测，以生成所述目标日志序列对应的目标模板符；

在所述目标模板符与所述标签模板符不匹配的情况下，确定所述初始日志数据对应的网络行为异常。

2.根据权利要求1所述的方法，其特征在于，所述预设异常检测模型，通过以下步骤生成：

获取所述预设异常检测模型的模板符训练序列，所述模板符训练序列中包括多个模板符；

根据所述预设滑动窗口通过所述设定滑动规则，对所述模板符训练序列进行分割，以生成训练日志序列和训练标签模板符，其中，所述训练标签模板符为所述模板符训练序列中所述训练日志序列之后的下一个模板符；

对所述训练日志序列进行特征提取，以生成所述训练日志序列对应的序列向量和计数向量；

根据所述序列向量、所述计数向量和所述训练标签模板符，对所述预设异常检测模型进行模型训练，以生成训练后的所述预设异常检测模型。

3.根据权利要求2所述的方法，其特征在于，所述根据所述序列向量、所述计数向量和所述训练标签模板符，对所述预设异常检测模型进行模型训练，以生成训练后的所述预设异常检测模型，包括：

根据所述序列向量，生成第一目标向量，以及根据所述计数向量，生成第二目标向量；

将所述第一目标向量和所述训练标签模板符输入至所述预设异常检测模型的时间卷积神经网络模块，以生成第一隐藏向量；

将所述第二目标向量和所述训练标签模板符输入至所述预设异常检测模型的环状卷积神经网络模块，以生成第二隐藏向量；

根据所述第一隐藏向量和所述第二隐藏向量，对所述预设异常检测模型进行模型训练，以生成训练后的所述预设异常检测模型。

4.根据权利要求3所述的方法，其特征在于，所述根据所述第一隐藏向量和所述第二隐藏向量，对所述预设异常检测模型进行模型训练，以生成训练后的所述预设异常检测模型，包括：

将所述第一隐藏向量和所述第二隐藏向量输入至所述预设异常检测模型的全连接神经网络模块，以生成神经网络输出结果；

将所述神经网络输出结果传输至所述预设异常检测模型的输出层，生成训练后的所述预设异常检测模型。

5.根据权利要求1所述的方法，其特征在于，所述响应接收到的初始日志数据，根据预设常量事件模板，对所述初始日志数据进行提取规则，以生成模板符序列，包括：

根据所述预设常量事件模板，对所述初始日志数据进行提取规则，生成所述初始日志数据对应的事件数据库；

根据所述事件数据库在所述初始日志数据中的先后顺序，生成所述模板符序列。

6.根据权利要求1所述的方法，其特征在于，所述根据预设滑动窗口通过设定滑动规则，对所述模板符序列进行分割，以生成目标日志序列和标签模板符，包括：

获取所述预设滑动窗口的窗口长度和滑动步长；

根据所述窗口长度和所述滑动步长对所述模板符序列进行分割，以生成所述目标日志序列和所述标签模板符。

7.根据权利要求1所述的方法，其特征在于，所述根据预设异常检测模型对所述目标日志序列进行检测，以生成所述目标日志序列对应的目标模板符，包括：

根据所述预设异常检测模型对所述目标日志序列进行检测，确定多个初始候选模板符；

从所述多个初始候选模板符中确定概率最高的多个候选模板符，作为所述目标模板符。