流量异常检测方法、装置、计算机设备及可读存储介质制造方法及图纸

技术编号：40071863 阅读：7 留言：0更新日期：2024-01-17 00:18

本发明专利技术提供了一种流量异常检测方法、装置、计算机设备及可读存储介质，方法包括：获取业务流量数据并接入流数据处理平台；解析流数据处理平台的实时日志，从被监控接口中解析得到观察业务数据；对观察业务数据进行异常检测得到异常数据点；对异常数据点进行异常数据校验，存储通过校验的数据并推送到即时消息沟通软件。该方法通过考察监控单个业务接口的方式检测风险，异常检测是在传统的STL分解算法的基础上引入多模型，对每个模型的输出进行融合，通过多数投票或加权投票机制生成最终的异常检测结果，减少了误报率和漏报率，还可以根据实际业务需求对不同的接口调整监控时间窗口的长短和经验阈值，设置更加灵活。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络安全，尤其涉及一种流量异常检测方法、装置、计算机设备及可读存储介质。

技术介绍

1、随着互联网行业的公司规模的不断扩大，企业的公网和内网的业务快速迭代，网络流量呈现爆发式增长，管理的难度成倍增加。某些团队利用管理上的弱势，通过自行编写计算机程序对企业的业务发起恶意攻击，不仅给公司的服务器造成的巨大的压力也伤害了正常用户的正常使用。因此越来越多的公司开始投入大量的资源维护网络安全。web应用防火墙（web application firewall简称waf），是一种对app或网站的恶意流量、威胁进行识别并监控、拦截的网络应用。针对海量的流量攻击请求，waf一般具备web防护攻击、cc攻击防护、访问控制等功能，并能够通过开源组件对不同粒度的流量可视化。而对于流量的波动，如何检测周期性流量波动中的异常流量，传统地通过同比、环比或极值法等指标难以检测时序流量中的异常波动，因此，我们需要一种检测流量周期性波动的方法以辨别正常还是异常的流量波动。

技术实现思路

1、本专利技术的目的在于提供一种流量异常检测方法、装置、计算机设备及计算机可读存储介质，旨在解决现有的业务流量周期性波动中异常流量检测问题，检测易损接口中潜在的波动，以提前发现隐匿在流量波动中的攻击行为。

2、第一方面，本专利技术提供了一种流量异常检测方法，包括：

3、s101、获取业务流量数据并接入流数据处理平台；

4、s102、解析流数据处理平台的实时日志，从被监控接口中解析得到观察业务数据；

5、s103、对观察业务数据进行异常检测得到异常数据点；

6、s104、对异常数据点进行异常数据校验，存储通过校验的数据并推送到即时消息沟通软件。

7、第二方面，本专利技术提供了一种流量异常检测装置，包括：

8、数据获取模块，用于获取业务流量数据并接入流数据处理平台；

9、解析模块，用于解析流数据处理平台的实时日志，从被监控接口中解析得到观察业务数据；

10、异常检测模块，用于对观察业务数据进行异常检测得到异常数据点；

11、异常校验模块，用于对异常数据点进行异常数据校验，存储通过校验的数据并推送到即时消息沟通软件。

12、第三方面，本专利技术提供了一种计算机设备，包括：

13、一个或多个处理器；

14、存储器；以及一个或多个计算机程序，所述处理器和所述存储器通过总线连接，其中所述一个或多个计算机程序被存储在所述存储器中，并且被配置成由所述一个或多个处理器执行，所述处理器执行所述计算机程序时实现如上所述流量异常检测方法的步骤。

15、第四方面，本专利技术提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如上所述的流量异常检测方法的步骤。

16、在本专利技术中提供了一种流量异常检测方法，通过考察监控单个业务接口的方式检测风险，对时序特征数据观察业务数据的异常检测是在传统的stl分解算法的基础上，通过对n个特征分别构建m个时间窗口模型，引入m*n多个模型，结合多个维度建立多个模型，对每个模型的输出进行融合，对单模型的特征和/或多模型的输出结果通过多数投票或加权投票机制生成最终的异常检测结果，相比之下可以减少误报率和漏报率。另外，可以根据实际业务需求对不同的接口调整监控时间窗口的长短和经验阈值，设置更加灵活。

本文档来自技高网...

【技术保护点】

1.一种流量异常检测方法，其特征在于，所述方法包括：

2.如权利要求1所述的方法，其特征在于，获取业务流量数据后由WAF网关做多维度检测与防护后接入流数据处理平台。

3.如权利要求1所述的方法，其特征在于，所述被监控接口是根据业务需要指定的。

4.如权利要求1所述的方法，其特征在于，所述从被监控接口中解析得到观察业务数据，包括：

5.如权利要求4所述的方法，其特征在于，所述M个监控时间窗口的时长分别是5分钟、10分钟、和15分钟，所述N个特征是请求频次、响应时间、和响应数据包特征。

6.如权利要求1所述的方法，其特征在于，对所述观察业务数据进行异常检测得到异常数据点，包括：

7.如权利要求4所述的方法，其特征在于，对所述异常数据点进行异常数据校验包括：

8.一种流量异常检测装置，其特征在于，所述装置包括：

9.一种计算机设备，包括：

10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的流量异常检测方法的步骤。

...

【技术特征摘要】

1.一种流量异常检测方法，其特征在于，所述方法包括：

2.如权利要求1所述的方法，其特征在于，获取业务流量数据后由waf网关做多维度检测与防护后接入流数据处理平台。

3.如权利要求1所述的方法，其特征在于，所述被监控接口是根据业务需要指定的。

4.如权利要求1所述的方法，其特征在于，所述从被监控接口中解析得到观察业务数据，包括：

5.如权利要求4所述的方法，其特征在于，所述m个监控时间窗口的时长分别是5分钟、10分钟、和15分钟，所述n个特征是请求频次、响应...

【专利技术属性】
技术研发人员：李彬，
申请(专利权)人：深圳依时货拉拉科技有限公司，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人