异常网络流量检测方法、装置和存储介质制造方法及图纸

本发明专利技术实施例公开了一种异常网络流量检测方法、装置及存储介质，其中，方法包括：设置包含n个连续的检测时间点的观察窗；获取当前观察窗内每个检测时间点的网络流量值；分别计算所述当前观察窗内每两个相邻检测时间点的网络流量值的低频值和高频值；根据所述当前观察窗内至少一个低频值和至少一个高频值计算所述当前观察窗的流量决策值；以及判断所述当前观察窗的流量决策值是否超过一网络流量阈值，如果超过，则确认检测到异常网络流量。本发明专利技术实施例中的技术方案简单方便，能够快速地检测到异常网络流量，检测效率高；同时，引入低频值和高频值的概念，可以从数值水平和稳定水平两个方面来监测网络流量，监测更加全面准确。

Abnormal network traffic detection methods, devices and storage media

The embodiment of the invention discloses an anomalous network traffic detection method, device and storage medium, in which the method includes: setting an observation window containing n continuous detection time points; obtaining the network traffic value of each detection time point in the current observation window; calculating the low frequency value and high frequency value of network traffic value of each two adjacent detection time points in the current observation window respectively; According to at least one low frequency value and at least one high frequency value in the current observation window, the traffic decision value of the current observation window is calculated, and whether the traffic decision value of the current observation window exceeds a network traffic threshold is judged, if it exceeds, the abnormal network traffic is confirmed to be detected. The technical scheme in the embodiment of the present invention is simple and convenient, can detect abnormal network traffic quickly, and has high detection efficiency. Meanwhile, by introducing the concepts of low frequency value and high frequency value, network traffic can be monitored from two aspects of numerical level and stable level, and the monitoring is more comprehensive and accurate.

【技术实现步骤摘要】
异常网络流量检测方法、装置和存储介质
本专利技术涉及网络安全
，特别是一种异常网络流量检测方法、装置和存储介质。
技术介绍
随着互联网技术的不断发展，互联网越来越成为人们日常工作、生活、学习中必不可少的组成部分。无论是工业互联网还是人们日常使用的互联网，所面临的安全问题日益突出。特别是工业互联网由传统的封闭式系统变为非封闭系统，但目前还缺少完备的安全监视机制，所面临的安全威胁更大。网络故障和恶意攻击都会造成网络流量异常。一方面，这些异常流量严重威胁网络和主机的安全；另一方面，这些异常流量加重了网络设备的负担，浪费了网络资源。如何对互联网流量进行实时有效地监测，快速、准确地检测到网络异常流量，使得网络管理人员能够及时地采取措施以保证网络的正常运行，对提高网络的可控性和可管性具有十分重要的现实意义和实用价值。
技术实现思路
有鉴于此，本专利技术实施例中一方面提出了一种异常网络流量检测方法，另一方面提出了一种异常网络流量检测装置及计算机可读存储介质，用以提高检测效率。本专利技术实施例中提供的异常网络流量检测方法，包括：设置一观察窗，其中，所述观察窗包含n个连续的检测时间点，n是大于1的整数；获取当前观察窗内每个检测时间点的网络流量值；分别计算所述当前观察窗内每两个相邻检测时间点的网络流量值的低频值和高频值，其中，所述低频值用于指示网络流量在两个相邻检测时间点内的平均取值，所述高频值为网络流量在两个相邻检测时间点内的后一个时间点相对前一个时间点的流量差值；根据所述当前观察窗内至少一个低频值和至少一个高频值计算所述当前观察窗的流量决策值，其中，所述流量决策值用于衡量所述当前观察窗内是否出现异常网络流量；以及判断所述当前观察窗的流量决策值是否超过一网络流量阈值，如果超过，则确认检测到异常网络流量。本专利技术实施例提供的技术方案简单方便，能够快速地检测到异常网络流量，检测效率高；同时，引入低频值和高频值的概念，可以从数值水平和稳定水平两个方面来监测网络流量，监测更加全面准确。在一个实施例中，所述低频值为每两个相邻检测时间点的网络流量值的和的平均值；所述高频值为每两个相邻检测时间点的网络流量值的差的平均值。本专利技术实施例中每两个相邻检测时间点之间的低频值和高频值均使用简单的计算方法，降低了检测过程中的计算复杂度。在一个实施例中，所述根据所述当前观察窗内至少一个低频值和至少一个高频值计算所述当前观察窗的流量决策值包括：计算所述当前观察窗内所述至少一个低频值的平均值以及所述至少一个高频值的和，其中，所述高频值的和指所述当前观察窗内所述至少一个高频值及其绝对值的和；以及根据所述低频值的平均值和所述高频值的和，计算所述当前观察窗的流量决策值。本专利技术实施例中，计算所述高频值的和时使用了观察窗内高频值的绝对值，故而可以准确地指示网络流量波动的方向。在一个实施例中，该方法进一步包括：根据之前保存的设定数量个历史观察窗内低频值的信息和高频值的信息，确定所述网络流量阈值。本专利技术实施例中网络流量阈值可动态调整，能够更好地反映网络流量情况，提高了检测方法的有效性和准确性。在一个实施例中，所述之前保存的设定数量个历史观察窗内低频值的信息和高频值的信息为：之前保存的第一设定数量个历史观察窗内的低频值平均值和第二设定数量个历史观察窗内的高频值的和；所述根据之前保存的设定数量个历史观察窗内低频值的信息和高频值的信息，确定所述网络流量阈值包括：从所述第一设定数量个历史观察窗内的低频值平均值中选取最大的低频值平均值作为低频系数，从所述第二设定数量个历史观察窗内的高频值的和中选取最大的高频值的和作为高频系数；计算设定时间段内的历史检测时间点的网络流量值的平均值，以及设定时间段内的历史观察窗内的高频值的和的平均值；将所述低频系数与所述设定时间段内的历史检测时间点的网络流量值的平均值进行比较，将较大者确定为低频参考系数；将所述高频系数与所述设定时间段内的历史观察窗内的高频值的和的平均值进行比较，将较大者确定为高频参考系数；根据所述低频参考系数与所述高频参考系数，计算所述网络流量阈值。本专利技术实施例中在动态调整网络流量阈值时，同时兼顾了网络流量的低频值和高频值，因而能更好地反映整个检测时间段内的网络流量的数值水平以及稳定水平。在一个实施例中，所述第一设定数量个历史观察窗内的低频值平均值为：最小的i个历史观察窗内的低频值平均值，其中，i是大于2的整数；所述第二设定数量个历史观察窗内的高频值的和为：最小的j个历史观察窗内的高频值的和，其中，j是大于2的整数；所述从第一设定数量个历史观察窗内的低频值平均值中选取最大的低频值平均值作为低频系数包括：从所述最小的i个历史观察窗内的低频值平均值中选取最大的低频值平均值作为低频系数；所述从第二设定数量个历史观察窗内的高频值的和中选取最大的高频值的和作为高频系数包括：从所述最小的j个历史观察窗内的高频值的和中选取最大的高频值和作为高频系数。本专利技术实施例中不是保存所有的历史观察窗内的低频值平均值以及高频值的和，而是选取最小的i个历史观察窗内的低频值平均值以及最小的j个历史观察窗内的高频值的和，有效地节省了存储空间，降低了检测过程中的计算复杂度。本专利技术实施例中提供的异常网络流量检测装置，包括：一个设置模块，被配置为用于设置一观察窗，其中，所述观察窗包含n个连续的检测时间点，n是大于1的整数；一个获取模块，被配置为用于获取当前观察窗内每个检测时间点的网络流量值；一个第一计算模块，被配置为用于分别计算所述当前观察窗内每两个相邻检测时间点的网络流量值的低频值和高频值，其中，所述低频值用于指示网络流量在两个相邻检测时间点内的平均取值，所述高频值为网络流量在两个相邻检测时间点内的后一个时间点相对前一个时间点的流量差值；一个第二计算模块，被配置为用于根据所述当前观察窗内至少一个低频值和至少一个高频值计算所述当前观察窗的流量决策值，其中，所述流量决策值用于衡量所述当前观察窗内是否出现异常网络流量；以及一个判断模块，被配置为用于判断所述当前观察窗的流量决策值是否超过一网络流量阈值，如果超过，则确认检测到异常网络流量。本专利技术实施例提供的技术方案简单方便，能够快速地检测到异常网络流量，检测效率高；同时，引入低频值和高频值的概念，可以从数值水平和稳定水平两个方面来监测网络流量，监测更加全面准确。在一个实施例中，所述低频值为每两个相邻检测时间点的网络流量值的和的平均值；所述高频值为每两个相邻检测时间点的网络流量值的差的平均值。本专利技术实施例中每两个相邻检测时间点之间的低频值和高频值均使用简单的计算方法，降低了检测过程中的计算复杂度。在一个实施例中，所述第二计算模块进一步被配置为用于：计算所述当前观察窗内所述至少一个低频值的平均值以及所述至少一个高频值的和，其中，所述高频值的和指所述当前观察窗内所述至少一个高频值及其绝对值的和；以及根据所述低频值的平均值和所述高频值的和，计算所述当前观察窗的流量决策值。本专利技术实施例中，计算所述高频值的和时使用了观察窗内高频值的绝对值，故而可以准确地指示网络流量波动的方向。在一个实施例中，该装置进一步包括：确定模块，被配置为用于根据之前保存的设定数量个历史观察窗内低频值的信息和高频值的信息，确定所述网络流量阈值。本专利技术实施例中网本文档来自技高网...

【技术保护点】
1.一种异常网络流量检测方法，其特征在于，包括：设置一观察窗，其中，所述观察窗包含n个连续的检测时间点，n是大于1的整数；获取当前观察窗内每个检测时间点的网络流量值；分别计算所述当前观察窗内每两个相邻检测时间点的网络流量值的低频值和高频值，其中，所述低频值用于指示网络流量在两个相邻检测时间点内的平均取值，所述高频值为网络流量在两个相邻检测时间点内的后一个时间点相对前一个时间点的流量差值；根据所述当前观察窗内至少一个低频值和至少一个高频值计算所述当前观察窗的流量决策值，其中，所述流量决策值用于衡量所述当前观察窗内是否出现异常网络流量；以及判断所述当前观察窗的流量决策值是否超过一网络流量阈值，如果超过，则确认检测到异常网络流量。

【技术特征摘要】
1.一种异常网络流量检测方法，其特征在于，包括：设置一观察窗，其中，所述观察窗包含n个连续的检测时间点，n是大于1的整数；获取当前观察窗内每个检测时间点的网络流量值；分别计算所述当前观察窗内每两个相邻检测时间点的网络流量值的低频值和高频值，其中，所述低频值用于指示网络流量在两个相邻检测时间点内的平均取值，所述高频值为网络流量在两个相邻检测时间点内的后一个时间点相对前一个时间点的流量差值；根据所述当前观察窗内至少一个低频值和至少一个高频值计算所述当前观察窗的流量决策值，其中，所述流量决策值用于衡量所述当前观察窗内是否出现异常网络流量；以及判断所述当前观察窗的流量决策值是否超过一网络流量阈值，如果超过，则确认检测到异常网络流量。2.根据权利要求1所述的方法，其特征在于，所述根据所述当前观察窗内至少一个低频值和至少一个高频值计算所述当前观察窗的流量决策值包括：计算所述当前观察窗内所述至少一个低频值的平均值以及所述至少一个高频值的和，其中，所述高频值的和指所述当前观察窗内所述至少一个高频值及其绝对值的和；以及根据所述低频值的平均值和所述高频值的和，计算所述当前观察窗的流量决策值。3.根据权利要求1或2所述的方法，其特征在于，该方法进一步包括：根据之前保存的设定数量个历史观察窗内低频值的信息和高频值的信息，确定所述网络流量阈值。4.根据权利要求3所述的方法，其特征在于，所述之前保存的设定数量个历史观察窗内低频值的信息和高频值的信息为：之前保存的第一设定数量个历史观察窗内的低频值平均值和第二设定数量个历史观察窗内的高频值的和；所述根据之前保存的设定数量个历史观察窗内低频值的信息和高频值的信息，确定所述网络流量阈值包括：从所述第一设定数量个历史观察窗内的低频值平均值中选取最大的低频值平均值作为低频系数，从所述第二设定数量个历史观察窗内的高频值的和中选取最大的高频值的和作为高频系数；计算设定时间段内的历史检测时间点的网络流量值的平均值，以及设定时间段内的历史观察窗内的高频值的和的平均值；将所述低频系数与所述设定时间段内的历史检测时间点的网络流量值的平均值进行比较，将较大者确定为低频参考系数；将所述高频系数与所述设定时间段内的历史观察窗内的高频值的和的平均值进行比较，将较大者确定为高频参考系数；根据所述低频参考系数与所述高频参考系数，计算所述网络流量阈值。5.根据权利要求4所述的方法，其特征在于，所述第一设定数量个历史观察窗内的低频值平均值为：最小的i个历史观察窗内的低频值平均值，其中，i是大于2的整数；所述第二设定数量个历史观察窗内的高频值...

【专利技术属性】
技术研发人员：徐志浩，戴鹏，
申请(专利权)人：西门子中国有限公司，
类型：发明
国别省市：北京,11