阈值学习方法、装置、设备及计算机可读存储介质制造方法及图纸

本申请提供了一种阈值学习方法，该方法包括：在纵向学习周期内持续获取目标IP地址的网络流量，该纵向学习周期包括M天、且每一天包括N个横向学习周期，对于N个横向学习周期中的每一横向学习周期，根据M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值，然后，根据所述N个横向学习周期各自对应的目标参考值，确定N个横向学习周期各自对应的流量推荐阈值。本申请能够提升学习到的网络流量推荐阈值的准确性。本申请还提供了一种阈值学习装置、设备及计算机可读存储介质。

【技术实现步骤摘要】
阈值学习方法、装置、设备及计算机可读存储介质
本申请涉及通信
，特别涉及一种阈值学习方法、装置、设备及计算机可读存储介质。
技术介绍
在分布式拒绝服务攻击(DistributedDenialOfService，简称DDOS)防御中非常重要且非常基础的一个环节就是网络流量大小的监测，网络流量监测，即通过对网络数据连续采集来监测网络流量大小和网络协议组成。在网络流量监测的基础上，网络管理员可以对感兴趣的网际互连协议(InternetProtocol，简称IP)地址对象设置流量阈值大小，若超过阀值上限则进行报警，帮助网络管理员发现网络中的DDOS攻击，具体地，目前主要采用基于恒定基线阈值检测方法实现网络流量监测，如果采集的流量数据超过其设定的网络流量恒定基线阈值，则认为流量异常，发出告警日志。其中，基线阈值的选定，依赖于网络管理员的经验和对历史监测数据的统计分析，主观选择性较大；恒定阈值检测方法的关键是对阈值的设置，如果基线阈值设置过高，则检测不到较小流量的DDOS攻击问题，设定的基线阈值失去意义；如果基线阈值设置过低，会产生误报警并且可能对正常的流量进行误拦截。可见，恒定阈值检测方法的缺点是难以设定恰当的阈值，难以发现细微的流量异常和DDOS攻击。在现有的网络流量基线学习和阈值下发方案中，是以1-24小时内的某一时长作为学习周期，将该学习周期内学到的最大网络流量作为推荐阈值的参考值，基于该参考值通过一系列算法得到推荐阈值。但是，由于学习到的推荐阈值是上一时间段学习到的推荐阈值，上一时间段与当前时间段的网络流量情况可能不同，因此，如果使用上一时间段学习到的推荐阈值来判定当前时间段是否发生DDOS攻击，判定结果不够准确，可见，这种时间上的滞后性，导致学习到的推荐阈值不够准确。
技术实现思路
有鉴于此，本申请提供了一种阈值学习方法、装置、设备及计算机可读存储介质，能够提升学习到的网络流量推荐阈值的准确性。具体地，本申请是通过如下技术方案实现的：一种阈值学习方法，包括：在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。一种阈值学习装置，包括：网络流量获取单元，用于在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；参考值确定单元，用于对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；推荐阈值确定单元，用于根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。一种电子设备，包括：处理器、存储器；所述存储器，用于存储计算机程序；所述处理器，用于通过调用所述计算机程序，执行上述阈值学习方法。一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述阈值学习方法。在以上本申请提供的技术方案中，可以按照相同方式将纵向学习周期的M天中的每一天，划分为多个横向学习周期，并利用每一横向学习周期对应的M个相同时段的网络流量进行阈值学习，从而学习到每一横向学习周期的流量推荐阈值。基于此，在完成一轮纵向周期学习之后，便可以利用每一横向学习周期的流量推荐阈值，对属于该横向学习周期的当前网络流量是否属于攻击流量进行判断，由于使用的流量推荐阈值相对于当前网络流量不具有时间上的滞后性，因此，该流量推荐阈值相对于当前网络流量是相对准确的。附图说明图1为本申请示出的一种阈值学习方法的流程示意图；图2为本申请示出的学习周期的曲线示意图；图3为本申请示出的学习周期的表格示意图；图4为本申请示出的确定目标参考值的流程示意图；图5为本申请示出的一种阈值学习装置组成示意图；图6为本申请示出的一种电子设备的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。参见图1，为本申请实施例提供的一种阈值学习方法的流程示意图，该方法包括以下步骤S101-S103：S101：在纵向学习周期内持续获取目标IP地址的网络流量，其中，纵向学习周期包括M天，M天中的每一天包括N个横向学习周期，M＞1，N＞1。在本申请实施例中，可以在网络架构中部署一台流量分析设备，该流量分析设备可以是在现网中专门部署的一台网络设备、也可以是现网中某一台具有其它功能的已有网络设备，对此，本申请实施例不做限制。该流量分析设备具有流量推荐阈值的自学习功能，分为横向自学习功能和纵向自学习功能，两种自学习方式配合使用。当该流量分析设备的自学习功能被开启后，需要设置纵向学习周期和横向学习周期。其中，纵向学习周期可以包括M天，对于这M天中的每一天，可以将按照相同的划分方式划分为N个横向学习周期，例如，参见图2所示的学习周期的曲线示意图，纵向学习周期为7-15天中的任一天数，比如M＝7，将每1小时作为一个横向学习周期，这样，每一天则有24个横向学习周期，即，每一横向学习周期对应7天的相同时段。需要说明的是，纵向学习周期和横向学习周期的具体时长，可以由网络管理员预先设置，也可以根据需求进行修改。此外，网络管理员还可以选择感兴趣的一个或多个IP地址，分别作为目标IP地址，利用流量分析设备来学习目标IP地址的流量推荐阈值，以便基于该流量推荐阈值判断对应目的IP地址是否发生网络攻击(比如DDOS攻击)。基于此，在实际的阈值学习过程中，本文档来自技高网...

【技术保护点】
1.一种阈值学习方法，其特征在于，包括：/n在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；/n对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；/n根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。/n

【技术特征摘要】
1.一种阈值学习方法，其特征在于，包括：
在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；
对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；
根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。


2.根据权利要求1所述的方法，其特征在于，所述根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值，包括：
对于所述M天分别获取到的属于该横向学习周期的M组网络流量，选择每组网络流量中的最大流量值，并将所选择的M个最大流量值，作为该横向学习周期对应的M个初始参考值；
从该横向学习周期对应的M个初始参考值中选择一个初始参考值，并基于所选择的初始参考值，确定该横向学习周期对应的流量推荐阈值的目标参考值。


3.根据权利要求2所述的方法，其特征在于，所述从该横向学习周期对应的M个初始参考值中选择一个初始参考值，包括：
将该横向学习周期对应的M个初始参考值，与其它横向学习周期的各个初始参考值进行比较，根据比较结果从该横向学习周期对应的M个初始参考值中选择一个初始参考值。


4.根据权利要求3所述的方法，其特征在于，所述根据比较结果从该横向学习周期对应的M个初始参考值中选择一个初始参考值，包括：
在该横向学习周期对应的M个初始参考值中，确定小于或等于选定参考值的P个初始参考值，并从P个初始参考值中选择一个最大的初始参考值；
其中，所述选定参考值为其它横向学习周期对应的各个初始参考值中的最大值的n1倍，M≥P，n1＞1。


5.根据权利要求2所述的方法，其特征在于，所述基于所选择的初始参考值，确定该横向学习周期对应的流量推荐阈值的目标参考值，包括：
将所选择的初始参考值的n2倍，作为该横向学习周期对应的流量推荐阈值的目标参考值，其中，n2＞1。<...

【专利技术属性】
技术研发人员：欧阳文东，王振，叶倩，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江;33