(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111382366.6 (22)申请日 2021.11.22 (65)同一申请的已公布的文献号 申请公布号 CN 114257517 A (43)申请公布日 2022.03.29 (73)专利权人 中国科学院计算 技术研究所 地址 100190 北京市海淀区中关村科 学院 南路6号 (72)发明人 梁志民　孟绪颖　王淼　张玉军　 (74)专利代理 机构 北京泛华伟业知识产权代理 有限公司 1 1280 专利代理师 王勇 (51)Int.Cl. H04L 41/12(2022.01) H04L 41/14(2022.01)H04L 41/28(2022.01) H04L 45/85(2022.01) H04L 9/40(2022.01) G06K 9/62(2022.01) (56)对比文件 US 201724 4745 A1,2017.08.24 CN 113572771 A,2021.10.2 9 CN 113408609 A,2021.09.17 审查员 苗亚丽 (54)发明名称 一种生成用 于检测网络节点的状态的训练 集的方法 (57)摘要 本发明提供一种生成用于检测网络节点的 状态的训练集的方法， 包括： 构建多个网络 结构， 其彼此在网络规模和/或网络拓扑方面存在不 同； 根据构建的每种网络结构进行基于IS ‑IS路 由协议的状态模拟， 其中， 分别通过多种引发异 常的手段在预定时段模拟各种异常状态， 其余时 段模拟正常状态； 获取在各状态模拟时从相应的 网络节点采集的数据包并基于指定的时间窗口 构建多个样 本及其标签， 获得训练集， 其中， 样本 的输入特征包含基础特征和统计特征， 标签指示 样本对应的网络节点的状态是否异常。 本发明通 过该训练集训练获得的节点异常检测模型， 有效 提升检测效果。 权利要求书2页 说明书10页 附图2页 CN 114257517 B 2022.11.29 CN 114257517 B 1.一种生成用于检测网络节点的状态的训练集的方法， 其特 征在于， 包括： 构建多个网络结构， 使其彼此在网络规模和/或网络 拓扑方面存在不同； 根据构建的每种网络结构进行基于IS ‑IS路由协议的状态模拟， 其中， 分别通过多种引 发异常的手段在预定时段模拟各种异常状态， 其 余时段模拟正常状态； 获取在各状态模拟时从相应的网络节点采集的数据包并基于指定的时间窗口构建多 个样本及其标签， 获得训练集， 其中， 样本的输入特征包含基础特征和统计特征， 标签指示 与样本对应的网络节点的状态是否异常； 其中， 基础特征包括网络配置的基础特征和各类报文的基础特征， 统计特征包括各类 报文关键 字段的统计特 征； 所述网络配置的基础特 征包括： 网络节点总数、 链路总数； 各类报文的基础特征包括： 不同级别的心跳报文的数量、 链路状态报文的数量、 全时序 协议数据报文的数量和部分时序数据报文的数量； 各类报文关键字段的统计特征包括： 链路状态报文的序列号字段的方差和极差、 最大 序列号字段的个数、 每种序列号字段的个数、 记录的链路总数、 剩余时间字段为0的链路状 态报文总 数、 部分时序数据报文的序列号字段方差和极差、 以及全部心跳报文中的不同的 最大传输单 元值的数量。 2.根据权利要求1所述的方法， 其特征在于， 所述通过多种引发异常的手段在预定时段 模拟各种异常状态的步骤 包括： 通过多种网络配置错 误的手段， 模拟配置错 误状态； 以及 通过多种攻击网络节点的手段， 模拟攻击网络节点时的状态。 3.根据权利要求1所述的方法， 其特征在于， 所述样本的输入特征基于指定的时间窗口 内的数据包生成基础特 征和统计特 征的步骤 包括： 解析数据包， 获得指定的时间窗口 的配置信息和报文信息； 提取配置信息和报文信息的特 征， 获得网络配置和各类报文的基础特 征； 按照指定的统计项目对各类报文信 息的特征进行统计， 获得各类报文关键字段的统计 特征； 对网络配置的基础特征、 所述各类报文的基本特征和所述各类报文关键字段的统计特 征进行拼接， 得到所述输入特 征。 4.根据权利要求1到3任一项所述的方法， 其特征在于， 还包括对所述多个样本进行标 签清洗， 包括筛 选出被标注为 正常的样本中可能被错 误标注的样本 。 5.根据权利要求4所述的方法， 其特征在于， 利用基准模型对多个样本进行标签清洗， 其包括： 获取多个样本， 包括标签为 正常的正样本和标签为异常的负 样本； 利用多个样本对基准模型进行多轮迭代， 每轮迭代结束获得多个样本的异常概率值， 并基于异常概率值和样本标签计算的第一总损失更新基准模型参数， 基于异常概率值和 动 态阈值清洗正样本的错误标签， 直至当轮基于全部正样本的异常概率值 获得的标准差小于 预设阈值， 停止更新， 获得训练集。 6.根据权利要求5所述的方法， 其特征在于， 所述基于异常概率值和动态阈值清洗正样 本的错误标签的步骤 包括：权　利　要　求　书 1/2 页 2 CN 114257517 B 2通过异常概率值和动态阈值的对比结果， 筛选出异常概率值高于动态阈值对应的正样 本； 将异常概 率值高于动态阈值的正样本的标签重新标注为异常。 7.根据权利要求5所述的方法， 其特征在于， 所述动态阈值随着迭代次数增多， 多个样 本中错误标签的样本数目下降而动态变化， 其中， 动态阈值的计算方式如下： φ＝ μ+ η σ， 其中， φ为动态阈值， η≥0， 为当轮正样本的异常概率值的平均值， 为标准差， Pi表示当轮第i个正样本的异常概率值， N表示当轮的正 样本总数。 8.一种节点异常检测模型的训练方法， 其特征在于， 包括按照以下方式对所述节点异 常检测模型进行迭代训练直至模型收敛： 利用根据权利要求1 ‑7任一项所述方法获得的训练集训练节点异常检测模型， 根据输 入特征判断对应网络节点的状态是否异常， 获得每 个样本的异常概 率值； 利用全部样本的异常概 率值和对应的样本标签 计算第二总损失； 基于第二总损失更新节点异常检测模型参数， 获得 经训练的节点异常检测模型。 9.一种网络节点异常检测方法， 其特 征在于， 包括： 获取对被检测的网络中相应的网络节点提取的输入特征， 该输入特征是根据一个时间 周期从所述网络节点嗅探到的所有数据包构建得到的， 输入特征包含基础特征和统计特 征； 利用根据权利要求8所述训练方法得到的节点异常检测模型根据输入特征判断对应网 络节点的状态是否异常， 得到检测结果。 10.一种计算机可读存储介质， 其特征在于， 其上包含有计算机程序， 所述计算机程序 可被处理器执行以实现权利要求1 ‑9中任一项所述方法的步骤。 11.一种电子设备， 其特 征在于， 包括： 一个或多个处 理器； 以及 存储器， 其中存 储器用于存 储一个或多个可 执行指令； 所述一个或多个处理器被配置为经由执行所述一个或多个可执行指令以实现权利要 求1‑9中任一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114257517 B 3