一种网络数据威胁检测模型训练方法、威胁检测方法及装置

本发明提供一种网络数据威胁检测模型训练方法、威胁检测方法及装置，对每条样本流截取前设定数量个字节范围内的网络流前端数据并做分词得到单词；以单词独热向量为字节节点，以该流各单词TF‑IDF序列为网络流节点。设置第一类边权重为TF‑IDF值以实现字节‑流关联；用预训练双向LSTM提取所有字节节点的语义嵌入，对余弦相似度高于阈值的字节对建立第二类边，并以全局共现统计计算其权重，形成无需拓扑的语义关联图。构建含双层GCN及Softmax的初始模型，以带威胁类型标签的图数据为训练集，通过最小化交叉熵损失更新参数，得到网络威胁数据检测模型。本发明能提升泛化能力，在图数据拓扑不完整时有效构建能够表征行为关联关系的图结构提升网络数据威胁的检出能力。