一种流量异常评估方法及装置、电子设备和存储介质制造方法及图纸

本申请实施例公开了一种流量异常评估方法及装置、电子设备和存储介质，涉及计算机技术领域，能够自动筛选出可能存在异常的流量，减少人工成本，提高流量检测效率与准确率。具体方案包括：获取待评估流量数据、第一样本流量数据、待评估流量数据的时间戳和第一样本流量数据的时间戳，根据待评估流量数据、第一样本流量数据、待评估流量数据的时间戳和第一样本流量数据的时间戳，计算第一相似度与第二相似度，根据第一相似度与第二相似度确定待评估流量数据的异常结果。流量数据的异常结果。流量数据的异常结果。

【技术实现步骤摘要】
一种流量异常评估方法及装置、电子设备和存储介质


[0001]本申请涉及计算机领域，尤其涉及一种流量异常评估方法及装置、电子设备和存储介质。

技术介绍

[0002]随着互联网技术的发展，DDoS(distributed denial of service attack，分布式拒绝服务)等网络恶意攻击行为日益增多，互联网服务提供商、因特网内容提供商、互联网数据中心等运营商面临的安全和运营挑战不断加剧。为保障网络安全，需要对网络的流量数据进行检测，以确定其是否为网络恶意攻击行为时的异常流量。除此之外，服务器可能因为链路故障等原因造成流量异常减少，给企业或用户带来不便。
[0003]相关技术中，通常通过人工检测流量数据来判定流量是否为遭到攻击的异常流量。在检测到流量数据中包含异常流量数据的情况下，判定该异常流量数据为网络恶意攻击行为产生的流量数据，从而将该对象产生的流量识别为异常流量。然而，由于网络中的流量数据通常比较多，如果全部采用人工判定会导致效率低、成本高，且人工判定异常流量可能会出现误判，准确率不能保证。

技术实现思路

[0004]本申请实施例提供一种流量异常评估方法，能够由自动筛选出可能存在异常的流量，提高流量检测效率与准确率。
[0005]为达到上述目的，本申请的实施例采用如下技术方案：
[0006]第一方面，提供一种流量异常评估方法。该方法包括：获取待评估流量数据、第一样本流量数据、待评估流量数据的时间戳和第一样本流量数据的时间戳；其中，待评估流量数据为第一流量周期的流量数据，第一样本流量数据为第一流量周期之前的第二流量周期的流量数据，第一样本流量数据无异常；待评估流量数据的数据源与第一样本流量数据的数据源相同；根据待评估流量数据、第一样本流量数据、待评估流量数据的时间戳和第一样本流量数据的时间戳，计算第一相似度与第二相似度；其中，第一相似度用于表征待评估流量数据与第一样本流量数据的相似程度，第二相似度用于表征待评估流量数据与第一样本流量数据变化趋势的相似程度；根据第一相似度与第二相似度确定待评估流量数据的异常结果；其中，异常结果包括异常、正常和不确定。
[0007]结合第一方面，在另一种可能的实现方式中，根据待评估流量数据、第一样本流量数据、待评估流量数据的时间戳和第一样本流量数据的时间戳，计算第一相似度与第二相似度，包括：根据待评估流量数据与待评估流量数据的时间戳确定第一多维向量；根据第一样本流量数据与第一样本流量数据的时间戳确定第二多维向量；其中，第一多维向量与第二多维向量的维度相同；基于第一多维向量与第二多维向量，计算第一相似度与第二相似度。
[0008]结合第一方面，在另一种可能的实现方式中，基于第一多维向量与第二多维向量，
计算第一相似度与第二相似度，包括：计算第一多维向量与第二多维向量的欧几里得距离；计算第一多维向量与第二多维向量的夹角余弦值；基于欧几里得距离确定第一相似度；基于夹角余弦值确定第二相似度。
[0009]结合第一方面，在另一种可能的实现方式中，根据第一相似度与第二相似度确定待评估流量数据的异常结果，包括：在第一相似度大于等于第一阈值的情况下，确定待评估流量数据的异常结果为正常；在第一相似度小于第一阈值且第二相似度大于等于第二阈值的情况下，确定待评估流量数据的异常结果为不确定；在第一相似度小于第一阈值且第二相似度小于第二阈值的情况下，确定待评估流量数据的异常结果为异常。
[0010]结合第一方面，在另一种可能的实现方式中，在确定待评估流量数据的异常结果为不确定之后，方法还包括：将待评估流量数据发送至检测终端；接收检测终端返回的检测建议；其中，检测建议包括待评估流量数据为正常数据或待评估流量数据为异常数据；根据检测建议更新异常结果。
[0011]结合第一方面，在另一种可能的实现方式中，在根据第一相似度与第二相似度评估待评估流量数据的异常结果之前，计算第一阈值与第二阈值，方法还包括：获取至少一个第三流量周期的第二样本流量数据和第二样本流量数据的时间戳；其中，第三流量周期为第一流量周期之间的流量周期，第二样本流量数据无异常；根据第一样本流量数据、第一样本流量数据的时间戳、第二样本流量数据和第二样本流量数据的时间戳计算至少一个第三相似度与至少一个第四相似度；其中，第三相似度用于表征第一样本流量数据与第二样本流量数据的相似程度，第四相似度用于表征第一样本流量数据与第二样本流量数据变化趋势的相似程度；计算至少一个第三相似度的平均值作为第一阈值；计算至少一个第四相似度的平均值作为第二阈值。
[0012]结合第一方面，在另一种可能的实现方式中，在获取待评估流量数据、第一样本流量数据、待评估流量数据的时间戳和第一样本流量数据的时间戳之前，方法还包括：获取预设过滤规则；其中，预设过滤规则用于从初始流量数据中获取待评估流量数据，预设过滤规则包括非空检查、重复剔除、格式不对放弃、关联验证、逻辑错误放弃中的至少一种；获取初始流量数据；根据预设过滤规则对初始流量数据进行过滤，得到待评估流量数据。
[0013]第二方面，提供一种流量异常评估设备，该流量异常评估设备具有实现上述第一方面的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。
[0014]第三方面，提供一种流量异常评估装置，该流量异常评估装置包括数据获取模块，用于获取待评估流量数据、第一样本流量数据、待评估流量数据的时间戳和第一样本流量数据的时间戳；其中，待评估流量数据为第一流量周期的流量数据，第一样本流量数据为第一流量周期之前的第二流量周期的流量数据，第一样本流量数据无异常；待评估流量数据的数据源与第一样本流量数据的数据源相同；相似度计算模块，用于根据数据获取模块获取的待评估流量数据、第一样本流量数据、待评估流量数据的时间戳和第一样本流量数据的时间戳，计算第一相似度与第二相似度；其中，第一相似度用于表征待评估流量数据与第一样本流量数据的相似程度，第二相似度用于表征待评估流量数据与第一样本流量数据变化趋势的相似程度；异常评估模块，用于根据相似度计算模块计算得到的第一相似度与第二相似度确定待评估流量数据的异常结果；其中，异常结果包括异常、正常和不确定。
[0015]第四方面，提供了一种流量异常评估设备，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该第一设备运行时，该处理器执行该存储器存储的该计算机执行指令，以使该第一设备执行如上述第一方面中任一项提供的流量异常评估方法。
[0016]第五方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面中任一项提供的流量异常评估方法。
[0017]第六方面，提供了一种包含指令的计算机程序产品，当其在流量异常评估设备上运行时，使得流量异常评估设备可以执行上述第一方面中任一项提供的流量异常评估方法。
[0018]第七方面，提供了一种装置(例如，该装置可以是芯片系统)，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种流量异常评估方法，其特征在于，所述方法包括：获取待评估流量数据、第一样本流量数据、所述待评估流量数据的时间戳和所述第一样本流量数据的时间戳；其中，所述待评估流量数据为第一流量周期的流量数据，所述第一样本流量数据为所述第一流量周期之前的第二流量周期的流量数据，所述第一样本流量数据无异常；所述待评估流量数据的数据源与所述第一样本流量数据的数据源相同；根据所述待评估流量数据、第一样本流量数据、所述待评估流量数据的时间戳和所述第一样本流量数据的时间戳，计算第一相似度与第二相似度；其中，所述第一相似度用于表征所述待评估流量数据与所述第一样本流量数据的相似程度，所述第二相似度用于表征所述待评估流量数据与所述第一样本流量数据变化趋势的相似程度；根据所述第一相似度与所述第二相似度确定所述待评估流量数据的异常结果；其中，所述异常结果包括异常、正常和不确定。2.根据权利要求1所述的流量异常评估方法，其特征在于，所述根据所述待评估流量数据、第一样本流量数据、所述待评估流量数据的时间戳和所述第一样本流量数据的时间戳，计算第一相似度与第二相似度，包括：根据所述待评估流量数据与所述待评估流量数据的时间戳确定第一多维向量；根据所述第一样本流量数据与所述第一样本流量数据的时间戳确定第二多维向量；其中，所述第一多维向量与所述第二多维向量的维度相同；基于所述第一多维向量和所述第二多维向量，计算所述第一相似度与第二相似度。3.根据权利要求2所述的流量异常评估方法，其特征在于，所述基于所述第一多维向量和所述第二多维向量，计算所述第一相似度与第二相似度，包括：计算所述第一多维向量与所述第二多维向量的欧几里得距离；计算所述第一多维向量与所述第二多维向量的夹角余弦值；基于所述欧几里得距离确定所述第一相似度；基于所述夹角余弦值确定所述第二相似度。4.根据权利要求1所述的流量异常评估方法，其特征在于，所述根据所述第一相似度与所述第二相似度确定所述待评估流量数据的异常结果，包括：在所述第一相似度大于等于第一阈值的情况下，确定所述待评估流量数据的异常结果为正常；在所述第一相似度小于所述第一阈值且所述第二相似度大于等于第二阈值的情况下，确定所述待评估流量数据的异常结果为不确定；在所述第一相似度小于所述第一阈值且所述第二相似度小于所述第二阈值的情况下，确定所述待评估流量数据的异常结果为异常。5.根据权利要求4所述的流量异常评估方法，其特征在于，在所述确定所述待评估流量数据的异常结果为不确定之后，所述方法还包括：将所述待评估流量数据发送至检测终端；接收所述检测终端返回的检测建议；其中，所述检测建议包括所述待评估流量数据为正常数据或所述待评估流量数据为异常数据；根据所述检测建议更新所述异常结果。6.根据权利要求1所述的流量异常评估方法，其特征在于，在所述根据所述第一相似度
与所述第二相似度评估所述待评估流量数据的异...

【专利技术属性】
技术研发人员：郑文军，
申请(专利权)人：北京安博通科技股份有限公司，
类型：发明
国别省市：