一种基于知识图谱的网络流量异常检测方法及系统

本发明涉及网络安全技术领域，公开了一种基于知识图谱的网络流量异常检测方法及系统，其中，网络流量异常检测方法包括以下步骤：协议感知元数据特征提取：通过深度包检测技术从加密网络流量中提取不涉及内容隐私的元数据特征，包括流量统计特征、时间序列特征和连接关系特征；多层级知识图谱构建：基于提取的元数据特征，根据网络架构，在设备层、网关层和云层分别构建对应的知识图谱，分别表示设备行为、网络活动和全局安全信息；本方法不依赖于流量解密操作，仅通过分析网络流量的元数据特征，实现了对加密流量中异常行为的有效识别，从而提高了检测准确率。