CN115426161B 异常设备识别方法、装置、设备、介质和程序产品 （中国工商银行股份有限公司）

待检测设备对应的网络流量数据；判断第i台设备是否属于白名单设备或黑名单设备；当第i台i台设备对应的网络流量数据提取与第i台设备对应的异常识别特征信息；将与第i台设备对应的异常识别特征信息输入网络流量时序预测模网络流量时序预测结果与同时点的网络流量观大于第二阈值时，判定所述第i台设备为可疑异常设备。本公开还提供了一种异常设备识别装2配置设备指纹库，在所述设备指纹库中存储白名单设备列表和黑名单设备列表信息，将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序预测模型，获取大于或等于2的整数；其中，所述网络流量时序预测模型基于长短期记忆神经网络训练得计算所述网络流量时序预测结果与同时点的网络流量观测数据采集模块，配置为提取与待检测设备对应的网络流量数述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常模型预测模块，配置为将所述与所述第i台设备对应的异常识别特征信息输入网络流异常判定模块，配置为计算所述网络流量时序预测结果与同3结果处理模块，配置为当判断所述第i台设备为可疑异常其中，当所述一个或多个程序被所述一个或多个处理器执8.一种计算机可读存储介质，其上存储有可执行指9.一种计算机程序产品，包括计算机程序，所述计4台设备对应的异常识别特征信息；将所述与所述第i台设备对应的异常识别特征信息输入[0009]根据本公开的实施例，当判定所述第i台设备为可疑异常设备后，所述方法还包5型预测模块，配置为将所述与所述第i台设备对应的异常识别特征信息输入网络流量时序块被配置为当判断第i台设备为可疑异常设备时将第i台设备[0020]本公开的第四方面还提供了一种计算机可读存储介质，络预测流量是否异常。进一步通过测定多个时点的网络流量的异常情况判定设备是否异6[0032]图9示意性示出了根据本公开实施例的适于实现异常设备识别方法的电子设备的[0035]在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的[0038]LSTM：是深度学习中的一种神经网络，全称为长短期记忆神经网络LongShort_7[0044]针对现有技术中存在的上述问题，本公开的实施例提供了一种异常设备识别方络预测流量是否异常。进一步通过测定多个时点的网络流量的异常情况判定设备是否异[0047]以下将结合附图及其说明文字围绕实现本公开的至少一个目的的上述操作进行8户请求等数据进行分析等处理，并将处理结果[0053]需要说明的是，本公开实施例所提供的异常设备识别方法一般可以由服务器105公开实施例所提供的异常设备识别方法也可以由不同于服务器105且能够与终端设备101、[0055]以下将基于图1描述的场景，通过图2～图4对公开实施例的异常设备识别方法进9[0068]在一个具体的示例中，以5分钟为时间间隔统计待检测设备访问不同目的IP的数[0071]在操作S240，将所述与所述第i台设备对应的异常识别特征信息输入网络流量时度，当相似度小于第一阈值的时点数大于第二阈值时，判定所述第i台设备为可疑异常设以基于异常识别的标准和准确度需求设置第一阈值，优选的，可以设置第一阈值为50%,5560657075％等。可以为在本公开的实施例中，可以在获取多个时点的相似度的计算公式计算实际观测的特征向量和通过网络流量时序预测模型预测的预测向量的[0082]在本公开的实施例中，网络流量时序预测模型基于长短期记忆神经网络训练得[0089]基于所采集到的样本数据利用LSTM算法即可构建本公开实施例的网络流量时序[0092]在本公开的实施例中，基于AutoML模型参数调优法调整训练过程中的超参数。[0098]数据采集模块510被配置为提取与待检测设备对应的网络流量数据，所述待检测[0099]判断模块520被配置为判断第i台设备是否属于白名单设备或黑名单设备其中，i[0100]特征提取模块530被配置为当所述第i台设备不属于白名基于与所述第i台设备对应的网络流量数据提取与所述第i台设备对应的异常识别特征信[0101]模型预测模块540被配置为将所述与所述第i台设备对应的异常识别特征信息输[0102]异常判定模块550被配置为计算所述网络流量时序预测结果与同时点的网络流量[0106]其中，结果处理模块560被配置为当判断第i台设备为可疑异常设备时将第i台设[0114]放行模块580被配置为当第i台设备属于白名单设备时，判定所述第i台设备为正者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结模块560、阻断模块570和放行模块580中的至少一个可以至少被部分地实现为计算机程序[0116]图9示意性示出了根据本公开实施例的适于实现异常设备识别方法的电子设备的只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程例的方法流程的不同动作的单一处理单元或902以及RAM903通过总线904彼此相连。处理器901通过执行ROM902和/或RAM903中的程ROM902和RAM903以外的一个或多个存储器中。处理器901也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法ROM902和/或RAM903和/或ROM902和RAM903以外的一包含用于执行流程图所示的方法的程序代码。当计算机程序产品在计算机系统中运行时，[0123]在该计算机程序被处理器901执行时执行本公开实施例的系统/装置中限定的上[0128]本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可