确定网络流量异常行为的方法、系统、介质及设备技术方案

本发明专利技术提供了一种确定网络流量异常行为的方法、系统、介质及设备，所述方法，包括：判断特定时间段对应的日期是工作日还是非工作日；根据判断结果，获取所述特定时间段内的待检测流量数据和相应的历史流量数据；基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常。相比于传统的网络流量异常检测方法，本发明专利技术采用基于时间窗的时间序列分析方法，能处理工作日和非工作日两种模式，且本发明专利技术同时考虑流量变化的横向对比和纵向对比，从而更精确的识别出流量是否偏离历史模式。

Method, System, Media and Equipment for Determining Abnormal Behavior of Network Traffic

The invention provides a method, system, medium and equipment for determining abnormal behavior of network traffic, which includes: judging whether the corresponding date of a specific time period is a working day or a non-working day; acquiring the traffic data to be detected and the corresponding historical traffic data in the specified time period according to the judgment results; Based on the traffic data to be detected and the historical traffic data, the time window algorithm is used to detect whether the traffic data to be detected is abnormal. Compared with the traditional network traffic anomaly detection method, the time series analysis method based on time window can deal with two modes of working day and non-working day, and the horizontal and vertical comparisons of traffic changes are taken into account simultaneously, so as to more accurately identify whether the traffic deviates from the historical mode.

【技术实现步骤摘要】
确定网络流量异常行为的方法、系统、介质及设备
本专利技术涉及信息安全
，具体涉及一种确定网络流量异常行为的方法、系统、介质及设备。
技术介绍
随着计算机和互联网络技术的快速发展与广泛应用，计算机网络系统的安全受到严重的挑战，来自计算机病毒和黑客攻击及其它方面的威胁越来越大，因此检测网络流量异常行为是非常有必要的。现有技术中主要采用描述性方法来分析网络流量，或者，利用规则或策略来判断网络流量是否异常，较机械，且检测的准确度较差。
技术实现思路
针对现有技术中的缺陷，本专利技术提供一种确定网络流量异常行为的方法、系统、介质及设备，能够处理工作日和非工作日两种模式，能够自动的、更精确的识别出流量是否偏离历史模式。第一方面，本专利技术提供了一种确定网络流量异常行为的方法，包括：判断特定时间段对应的日期是工作日还是非工作日；根据判断结果，获取所述特定时间段内的待检测流量数据和相应的历史流量数据；基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常。可选的，在根据判断结果，获取所述特定时间段内的待检测流量数据和历史流量数据的步骤之前，还包括：实时采集用户终端的流量数据；按预设时间间隔对所述流量数据进行汇总并存储，形成历史流量数据。可选的，若所述判断结果为特定时间段对应的日期是工作日，则根据判断结果，获取所述特定时间段的待检测流量数据和相应的历史流量数据，包括：获取用户终端在特定时间段对应的当前时间窗口的第一数据；其中，第一数据包含特定时间段内的待检测流量数据；获取用户终端在特定时间段对应的上一周期时间窗口的第二数据；获取用户终端在上一个工作日的当前时间窗口的第三数据；获取用户终端在上一个工作日的上一周期时间窗口的第四数据；所述基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常，包括：根据所述第一数据、第二数据、第三数据和第四数据，检测所述待检测流量数据是否存在异常。可选的，若所述判断结果为特定时间段对应的日期是非工作日，则根据判断结果，获取所述特定时间段内的待检测流量数据和相应的历史流量数据，包括：获取用户终端在特定时间段对应的当前时间窗口的第一数据；其中，第一数据包含特定时间段内的待检测流量数据；获取用户终端在特定时间段对应的上一周期时间窗口的第二数据；获取用户终端在上一个非工作日的当前时间窗口的第三数据；获取用户终端在上一个非工作日的上一周期时间窗口的第四数据；所述基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常，包括：根据所述第一数据、第二数据、第三数据和第四数据，检测所述待检测流量数据是否存在异常。可选的，所述根据所述第一数据、第二数据、第三数据和第四数据，检测所述待检测流量数据是否存在异常，包括：对所述第一数据和第三数据进行时间窗纵向比较，获得第一纵向比较结果；对所述第二数据和第四数据进行时间窗纵向比较，获得第二纵向比较结果；根据所述第一纵向比较结果和第二纵向比较结果，判断所述待检测流量数据是否存在异常。可选的，所述根据所述第一纵向比较结果和第二纵向比较结果，判断所述待检测流量数据是否存在异常，包括：对所述第一纵向比较结果和第二纵向比较结果进行横向对比，获得对比比值；判断所述对比比值是否大于预设阈值；若是，则判断所述待检测流量数据为异常流量；若否，则判断所述待检测流量数据正常。可选的，所述特定时间段为当日当前预设时间段。第二方面，本专利技术提供一种确定网络流量异常行为的系统，包括：日期判断模块，用于判断特定时间段对应的日期是工作日还是非工作日；流量获取模块，用于根据判断结果，获取所述特定时间段内的待检测流量数据和相应的历史流量数据；流量检测模块，用于基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常。第三方面，本专利技术提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现第一方面中的一种确定网络流量异常行为的方法。第四方面，本专利技术提供一种确定网络流量异常行为的设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现第一方面中的一种确定网络流量异常行为的方法。本专利技术通过判断特定时间段对应的日期是工作日还是非工作日，根据判断结果，获取特定时间段内的待检测流量数据和相应的历史流量数据；基于待检测流量数据和历史流量数据，利用时间窗口算法能够检测待检测流量数据是否存在异常，相比于传统的网络流量异常检测方法，本专利技术采用基于时间窗的时间序列分析方法，能处理工作日和非工作日两种模式，且本专利技术同时考虑流量变化的横向对比和纵向对比，从而更精确的识别出流量是否偏离历史模式。本专利技术提供的一种确定网络流量异常行为的系统、一种计算机可读存储介质和一种确定网络流量异常行为的设备，与上述一种确定网络流量异常行为的方法出于相同的专利技术构思，具有相同的有益效果。附图说明为了更清楚地说明本专利技术具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。图1为本专利技术提供的一种确定网络流量异常行为的方法的流程图；图2为本专利技术提供的一种确定工作日网络流量异常行为的方法的流程图；图3为本专利技术提供的一种获取的流量数据的示意图；图4为本专利技术提供的一种确定网络流量异常行为的系统的示意图。具体实施方式下面将结合附图对本专利技术技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，因此只是作为示例，而不能以此来限制本专利技术的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本专利技术所属领域技术人员所理解的通常意义。本专利技术提供了一种确定网络流量异常行为的方法、系统、介质及设备。下面结合附图对本专利技术的实施例进行说明。请参考图1，图1为本专利技术具体实施例提供的一种确定网络流量异常行为的方法的流程图，本实施例提供的一种确定网络流量异常行为的方法，包括：步骤S101：判断特定时间段对应的日期是工作日还是非工作日。步骤S102：根据判断结果，获取所述特定时间段内的待检测流量数据和相应的历史流量数据。步骤S103：基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常。其中，特定时间段可以是当日当前预设时间段，也可以是任意一个特定时间段段，这都在本专利技术的保护范围内。通过判断特定时间段对应的日期是工作日还是非工作日，能够很好地区分工作日和非工作日的流量数据，进而提高检测的准确性。确定工作日网络流量异常行为的方法如图2所示。其中，流量数据可以包括：内网或者外网的流量数据，上传或下载的流量数据。其中，待检测流量数据是指在特定时间段内用户终端的流量数据。特定时间段可以是1分钟、2分钟等任意时间段。其中，特定时间段可以为当日当前预设时间段。若为当日当前预设时间段，则可以实时对用户终端的流量数据进行检测。本专利技术通过判断特定时间段对应的日期是工作日还是非工作日，根据判断结果，获取特定时间段内的待检测流量数据和相应的历史流量数据；基于待检测流量数据和历史流量数本文档来自技高网...

【技术保护点】
1.一种确定网络流量异常行为的方法，其特征在于，包括：判断特定时间段对应的日期是工作日还是非工作日；根据判断结果，获取所述特定时间段内的待检测流量数据和相应的历史流量数据；基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常。

【技术特征摘要】
1.一种确定网络流量异常行为的方法，其特征在于，包括：判断特定时间段对应的日期是工作日还是非工作日；根据判断结果，获取所述特定时间段内的待检测流量数据和相应的历史流量数据；基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常。2.根据权利要求1所述的方法，其特征在于，在根据判断结果，获取所述特定时间段内的待检测流量数据和历史流量数据的步骤之前，还包括：实时采集用户终端的流量数据；按预设时间间隔对所述流量数据进行汇总并存储，形成历史流量数据。3.根据权利要求1所述的方法，其特征在于，若所述判断结果为特定时间段对应的日期是工作日，则根据判断结果，获取所述特定时间段的待检测流量数据和相应的历史流量数据，包括：获取用户终端在特定时间段对应的当前时间窗口的第一数据；其中，第一数据包含特定时间段内的待检测流量数据；获取用户终端在特定时间段对应的上一周期时间窗口的第二数据；获取用户终端在上一个工作日的当前时间窗口的第三数据；获取用户终端在上一个工作日的上一周期时间窗口的第四数据；所述基于所述待检测流量数据和历史流量数据，利用时间窗口算法检测所述待检测流量数据是否存在异常，包括：根据所述第一数据、第二数据、第三数据和第四数据，检测所述待检测流量数据是否存在异常。4.根据权利要求1所述的方法，其特征在于，若所述判断结果为特定时间段对应的日期是非工作日，则根据判断结果，获取所述特定时间段内的待检测流量数据和相应的历史流量数据，包括：获取用户终端在特定时间段对应的当前时间窗口的第一数据；其中，第一数据包含特定时间段内的待检测流量数据；获取用户终端在特定时间段对应的上一周期时间窗口的第二数据；获取用户终端在上一个非工作日的当前时间窗口的第三数据；获取用户终端在上一个非工作日的上一周期时间窗口的第四数...

【专利技术属性】
技术研发人员：郭景楠，王建磊，何华荣，王志，
申请(专利权)人：深圳市联软科技股份有限公司，
类型：发明
国别省市：广东,44