CN111756706A - 一种异常流量检测方法、装置及存储介质 - Google Patents

一种异常流量检测方法、装置及存储介质 Download PDF

Info

Publication number
CN111756706A
CN111756706A CN202010504612.XA CN202010504612A CN111756706A CN 111756706 A CN111756706 A CN 111756706A CN 202010504612 A CN202010504612 A CN 202010504612A CN 111756706 A CN111756706 A CN 111756706A
Authority
CN
China
Prior art keywords
sub
detected
target
flow
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010504612.XA
Other languages
English (en)
Inventor
董善东
张戎
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN202010504612.XA priority Critical patent/CN111756706A/zh
Publication of CN111756706A publication Critical patent/CN111756706A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种异常流量检测方法、装置及存储介质,该方法包括:获取各个待检测子对象的网络互连协议信息和标识信息;基于各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象在目标时间段内的目标流量数据和历史时间段内的历史流量数据;对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果;基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象。本发明能够实现在低成本的情况下,对异常流量进行监控,并快速定位到流量异常的异常机器。

Description

一种异常流量检测方法、装置及存储介质
技术领域
本发明属于异常流量检测技术领域,具体涉及一种异常流量检测方法、装置及存储介质。
背景技术
网络异常流量突增是企业信息部门中常见的现象,其可以由访问人数突然增加导致,也可以由异常的网络事件(如拒绝服务(Denial of Service,DoS)攻击、蠕虫等)导致。异常流量突增会对业务***和整个网络造成巨大的伤害。因此,如何快速地定位到异常机器,对于网络流量管理和监控有着重要的意义。
常规的网络管理和流量监控***可以监控每个母机网络互连协议(InternetProtocol,IP)机器下的流量走势情况。运维人员基于运维的经验和策略可以进行规则配置,从而发现流量异常走势。但是随着业务的不断扩展,每个母机下的子机数量飞速增加,不断的规则阈值配置将变得越来越复杂。现有技术中还认为网络流量具有一定的周期性,异常流量则会打破这种规律使流量产生异常波动,因此采用基于网络流量(NetFlow)时间序列滑动窗口检测网络异常,但对于很多业务***,周期性是一个很长的时间范围,无法在一个周期内快速检测流量异常。此外,现有技术还采用挖掘和提取网络流量的基本特征数据以构建流量检测的流量模型,但对存在着大量的IP网络流量的业务***而言,构建特征成本较高,实时性较低,无法实现对异常流量的实时快速检测。
发明内容
为了实现在低成本的情况下,快速定位到流量异常的异常机器,本发明提出一种异常流量检测方法、装置及存储介质。
一方面,本发明提出了一种异常流量检测方法,所述方法包括:
获取各个待检测子对象的网络互连协议信息和标识信息;
基于各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象在目标时间段内的目标流量数据和历史时间段内的历史流量数据;
对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果;
基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象。
另一方面,本发明提出了一种异常流量检测装置,所述装置包括:
信息获取模块,用于获取各个待检测子对象的网络互连协议信息和标识信息;
流量数据获取模块,用于基于各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象在目标时间段内的目标流量数据和历史时间段内的历史流量数据;
流量检测分析模块,用于对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果;
目标子对象确定模块,用于基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象。
另一方面,本发明提出了一种电子设备,该电子设备包括处理器和存储器,存储器中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现如上述所述的异常流量检测方法。
另一方面,本发明提出了一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如上述所述的异常流量检测方法。
本发明实施例提出一种异常流量检测方法、装置及存储介质,通过各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象的流量时间序列数据(包括在目标时间段内的目标流量数据和历史时间段内的历史流量数据),接着对目标流量数据和历史流量数据进行检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果,最后根据异常流量分析结果,定位出存在异常流量的目标子对象。本发明实施例在确定存在异常流量的目标子对象的过程中,不需要人工查找异常原因,也不需要对网络流量数据进行特征标注以及特征提取,人力成本较低,时效性较好,从而可以实现在低成本的情况下,快速定位到流量异常的异常机器。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案和优点,下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它附图。
图1是本发明实施例提供的一种异常流量检测***的架构图。
图2是本发明实施例提供的一种异常流量检测方法的实施环境示意图。
图3是本发明实施例提供的一种异常流量检测方法的流程示意图。
图4是本发明实施例提供的另一种异常流量检测方法的流程示意图。
图5是本发明实施例提供的另一种异常流量检测方法的流程示意图。
图6是本发明实施例提供的信息输入界面的一种示意图。
图7是本发明实施例提供的目标母对象对应的波动值序列示意图。
图8是本发明实施例提供的另一种异常流量检测方法的流程示意图。
图9是本发明实施例提供的目标时间段的目标流量数据和目标时间段之前三小时的历史流量数据的示意图。
图10是本发明实施例提供的3σ准则的原理示意图。
图11是本发明实施例提供的另一种异常流量检测方法的流程示意图。
图12是本发明实施例提供的另一种异常流量检测方法的流程示意图。
图13是本发明实施例提供的一种异常流量序列的示意图。
图14是本发明实施例提供的区块链***的一个可选的结构示意图。
图15是本发明实施例提供的区块结构一个可选的示意图。
图16是本发明实施例提供的一种异常流量检测装置的结构示意图。
图17是本发明实施例提供的服务器结构示意图。
具体实施方式
随着人工智能(Artificial Intelligence,AI)的研究和进步,AI在多个领域展开研究和应用。AI是计算机科学的一个综合技术,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器。
具体地,本申请实施例提供的方案涉及人工智能的机器学习(Machine Learning,ML)技术。ML是门多领域交叉学科,涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科,其专门研究计算机怎样模拟或实现人类的学习行为,以获取新的知识或技能,重新组织已有的知识结构使之不断改善自身的性能。ML通常包括深度学习、增强学习、迁移学习、归纳学习、示教学习等技术。
具体地,本发明实施例提供的基于流量机器学习模型,对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果的过程涉及ML中的深度学习技术等。
云技术(Cloud technology)是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来,实现数据的计算、储存、处理和共享的一种托管技术。
云技术是基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称,可以组成资源池,按需所用,灵活便利。技术网络***的后台服务需要大量的计算、存储资源,如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用,将来每个物品都有可能存在自己的识别标志,都需要传输到后台***进行逻辑处理,不同程度级别的数据将会分开处理,各类行业数据皆需要强大的***后盾支撑,只能通过云计算来实现。具体地,云技术包括安全、大数据、数据库、行业应用、网络、存储、管理工具、计算等技术领域。
具体地,本发明实施例涉及云技术中的管理工具技术领域。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或服务器不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
图1是本发明实施例提供的一种异常流量检测***的架构图,该异常流量检测***可以作为异常流量检测方法的一种实施环境。如图1所示,该***至少可以包括:应用层、算法层、数据层。
具体地,该数据层用于通过母对象IP进行波动值检测,初步筛选有异常的母对象IP,通过有异常的母对象IP获得子对象的IP和标识信息,该标识信息可以为通用唯一识别码(Universally Unique Identifier,UUID)。通过UUID可以获取到该子对象的流量时间序列数据。数据层保证了流量时序数据可以快速的获取和处理。
具体地,该算法层用于对待检测母对象(比如,有异常的母对象)下的各个子对象进行流量突增检测,并将异常子对象按照异常值进行排序。
具体地,该应用层用于快速地定位到异常子对象。
需要说明的是,图1仅仅是一种示例。
图2是本发明实施例提供的一种异常流量检测方法的实施环境示意图。如图2所示,该实施环境至少可以包括第一终端01、服务器02和第二终端03。
第一终端01可以为部署在第二终端03下单租户环境,具有独立IP的终端,第二终端03可以是为第一终端01提供服务的多用户计算机或软件,或一台提供较小或较少能力的计算机设备。具体地,第一终端01可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能穿戴设备等,但并不局限于此。
具体地,第一终端01、第二终端03以及服务器02可以通过有线或无线通信方式进行直接或间接地连接,本发明在此不做限制。
具体地,服务器02可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式***,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。
需要说明的是,图2仅仅是一种示例。
图3是本发明实施例提供的一种异常流量检测方法的流程示意图,本说明书提供了如实施例或流程图所述的方法操作步骤,但基于常规或者无创造性的劳动可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式,不代表唯一的执行顺序。在实际中的***或服务器产品执行时,可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境)。具体的如图3所示,所述方法可以包括:
S101.获取各个待检测子对象的网络互连协议信息和标识信息。
随着业务的不断扩展,每个母对象下的子对象数量也是飞速增加。本发明实施例可以用于从母对象下飞速增加的子对象中,快速定位出网络异常流量突增的子对象的场景中。基于此,在S101之前,所述方法还可以包括:S100.对母对象进行异常检测。具体地,如图4所示,S100可以包括:
S1001.响应于在信息输入界面输入的母对象检测参数信息,对待检测母对象在所述目标时间段内的流量进行流量波动值检测,所述母对象检测参数信息至少包括所述待检测母对象的属性信息和所述目标时间段。
S1003.将流量波动值大于预设波动阈值的待检测母对象,确定为存在异常流量的目标母对象。
S1005.基于所述目标母对象对应的流量波动值对所述目标母对象进行排序,得到所述目标母对象对应的波动值序列。
S1007.基于母对象展示界面,对所述波动值序列进行展示。
相应地,如图4所示,S101可以包括:
S10101.获取所述目标母对象的网络互连协议信息。
S10103.基于所述目标母对象的网络互连协议信息,获取从属于所述目标母对象的各个待检测子对象的网络互连协议信息和标识信息。
本发明实施例中的待检测子对象可以为图1中的第一终端,其包括但不限于智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能穿戴设备等。从功能上来说,该待检测子对象包括但不限于具有电传功能的电传终端或具有视频播放功能的视频终端等。
本发明实施例中的母对象可以是为待检测子对象提供服务的多用户计算机或软件,或一台提供较小或较少能力的计算机设备。比如,当待检测子对象为电传终端或视频终端时,该母对象可以是为电传终端或视频终端提供服务的一台大型计算机。
本发明实施例中的待检测子对象部署在母对象的单租户环境中,待检测子对象具有独立的IP。其中,单租户环境是指:为每个客户单独创建各自的软件应用和支撑环境。通过单租户模式,每个用客户都有一份分别存储在独立的服务器上的数据库和操作***,或者每个用户的数据库和操作***存储在使用强的安全措施进行隔离的虚拟网络环境中。
以下,以网络互连协议信息为IP,标识信息为UUID,母对象为某一网络运维模块下的某个用户计算机设备(简称母机),待检测子对象为该部署在该母机的单租户环境中的终端设备(简称子机)为例,对S100-S101进行详细说明,图5所示为相应的流程示意图,如图5所示,S100-S101可以包括:
1)首先用户进入如图6所示的信息输入界面,在该信息输入界面中输入母对象检测参数信息,进行初始化。该母对象检测参数信息包括但不限于:待检测母机的属性信息(名称、编号、网卡、入流量、出流量、入包量、出包量等)、目标时间段(待检测开始时间到结束时间)、待检测母机的数量等。在信息输入完成之后,用户点击界面中的“查询”,以向后台服务器提交所输入的信息。
2)如S1001-S1007所述,后台服务器响应于用户在信息输入界面的信息输入,对待检测母机在所述目标时间段内的流量进行流量波动值检测,将流量波动值大于预设波动阈值的待检测母机,确定为存在异常流量的目标母机,基于目标母机对应的流量波动值对所述目标母机进行排序,得到所述目标母对象对应的波动值序列。如图7所示,该波动值序列可以为对流量波动值进行逆序排序的序列,该波动值序列可以以目标母机的IP进行体现,比如,将波动值最大的目标母机的IP排列在最前面,将波动值最小的目标母机的IP排列在最后面,从而形成如图7所示母机列表。最后在母对象展示界面,对母机IP列表进行展示。该母机IP列表中还可以包括“查看视图”选项,可以通过在母对象展示界面中点击“查看视图”选项从而查看相应的母机IP下的流量情况。
其中,对待检测母机在目标时间段内的流量进行流量波动值检测指的是,对待检测母机下的总流量进行波动值检测,如果该波动值大于预波动阈值,则初步确定该母机为存在流量异常的母机。而事先通过波动值检测来确定可能存在异常流量的母机,使得后续的子机检测范围被限制在该存在异常流量的母机下,避免对网络运维模块下的所有子机进行检测,减少***计算量,提高定位到异常子机的速率和准确率。
此外,该波动值序列可以通过目标母机的其他属性信息来体现,比如将波动值最大的目标母机的名称(或ID)排列在最前面,将波动值最小的目标母机的名称(或ID)排列在最后面,从而形成相应的母机列表。
3)如S10101-S10103所述,用户在展示界面中的母机列表中选择需要进行子机异常流量检测的目标母机(一个或多个),后台服务器响应于用户的操作,根据用户选择的目标母机的IP,获取从属于该目标母机下的各个待检测子机的IP和UUID。由于母机IP和子机IP之间存在相应的映射关系,因此,根据该映射关系可以获取相应的各个子机的IP,从而获取各个子机的UUID。
S103.基于各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象在目标时间段内的目标流量数据和历史时间段内的历史流量数据。
其中,所述历史时间段为所述目标时间段之前预设时间的时间段。
本发明实施例中,S103可以包括:
基于各个待检测子对象的网络互连协议信息和标识信息,从预设数据库中拉取各个待检测子对象在所述目标时间段内的目标流量数据和历史时间段内的历史流量数据。
本发明实施例中,在后台服务器获取到各个待检测子对象的IP和UUID之后,可以根据IP和UUID这两个字段到相应的存储流量信息的预设数据库中,拉取各个待检测子对象对应的流量数据。该流量数据包括用户在信息输入界面中输入的目标时间段内的流量数据以及历史时间段内的流量数据,该流量数据包括但不限于:入流量,出流量,入包量和出包量等。
本发明实施例通过IP和UUID这两个字段拉取各个待检测子对象对应的流量数据,由于每个待检测子对象具有独立的IP和唯一的UUID,通过IP和UUID的共同作用,使得流量数据的拉取准确率较高,且流量数据包括目标时间段内的流量数据以及历史时间段内的流量数据,通过历史时间段内的流量数据对目标时间段内的异常流量进行预估,提高目标时间段内异常流量检测的准确率,从而进一步提高异常子对象定位的准确率。
S105.对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果。
在一个可行的实施例中,S105可以通过数学统计方法来实现,该统计方法包括但不限于拉依达准则(3σ准则)、指数加权移动平均值的控制图(Exponentially WeightedMoving-Average,EWMA)。具体地,如图8所示,S105可以包括:
S10501.将所述目标时间段按照预设时间粒度进行划分,得到多个目标时间点。
S10503.将所述历史时间段按照所述预设时间粒度进行划分,得到多个历史时间点。
S10505.基于各个待检测子对象的目标流量数据和相应的目标时间点,确定各个待检测子对象各自对应的目标流量数据点。
S10507.基于各个待检测子对象的历史流量数据和相应的历史时间点,确定各个待检测子对象各自对应的历史流量数据点。
S10509.基于各个待检测子对象各自对应的历史流量数据点,确定各个待检测子对象各自对应的流量均值和流量方差。
S105011.基于各个待检测子对象各自对应的流量均值和流量方差,从各个待检测子对象各自对应的目标流量数据点中,确定出各个待检测子对象各自对应的异常流量数据点。
S105013.基于各个待检测子对象各自对应的异常流量数据点和相应的目标流量数据点,确定各个待检测子对象各自对应的异常流量值。
S105015.将各个待检测子对象各自对应的异常流量值,作为各个待检测子对象在所述目标时间段内的异常流量分析结果。
以下,以母对象为某一网络运维模块下的某个用户计算机设备(简称母机),待检测子对象为该部署在该母机的单租户环境中的终端设备(简称子机),统计方法为正向的3σ准则,历史时间段为三小时为例,对S10501-S105015进行详细说明,继续如图5所示,S10501-S105015可以包括:
1)数据预处理
对各个待检测子机的目标流量数据和历史流量数据,进行数据预处理,该数据预处理包括但不限于:去除没有流量数据的待检测子机,如果流量数据里存在非数(Not ANumber,NAN),则该值NAN用流量数据的均值来代替。
2)如S10501-S10509所述,计算前三小时流量数据的平均值和方差
图9所示为目标时间段的目标流量数据和目标时间段之前三小时的历史流量数据的示意图,如图9所示,对于前三小时的历史流量数据,按照预设时间粒度(比如,一分钟的时间粒度)对前三小时进行划分,则前三小时有180个历史时间点,每个历史时间点对应一个流量数据,形成一个流量数据点,则前三小时内有180个历史流量数据点,计算前三小时内180个历史流量数据点的流量均值μ和方差σ2,计算公式如下:
Figure BDA0002526084130000111
Figure BDA0002526084130000112
其中,n为历史流量数据点的个数,xi为每一个历史流量数据点对应的流量值。
3)如S105011所述,根据得到的流量均值和方差,利用正向的3σ准则,来评估目标时间段内,每一个目标流量数据点是否异常。图10所示为3σ的原理示意图,如图10所示,3σ准则的理论依据是,在距离均值3σ的范围内,包含了99.7%的数据分布。如果某个值距离分布的μ超过了3σ,那么这个值就可以被简单的标记为一个异常点。为了判断流量突增,正向3σ的判断公式如下:
正常点:xi-μ<3σ,
异常点:xi-μ>3σ,
其中,xi为目标时间段内的每一个目标流量数据点对应的流量值。
通过上述公式,可以从各个待检测子对象各自对应的目标流量数据点中,确定出各个待检测子对象各自对应的异常流量数据点。
4)计算异常流量值
如S105013-S105015所述,可以根据各个待检测子对象各自对应的异常流量数据点的数量和相应的目标流量数据点的总数量,确定各个待检测子对象各自对应的异常流量值,并将各个待检测子对象各自对应的异常流量值作为各个待检测子对象在所述目标时间段内的异常流量分析结果,计算公式如下:
Figure BDA0002526084130000121
由于本发明实施例的应用场景为异常流量突增检测的场景,因此本发明实施例使用正向的3σ准则,通过正向的3σ准则对异常流量进行检查,可以准确检测出流量突增的情况,而忽略掉流量降低的情况,进一步提高异常流量检测的准确率,此外,由于正向的3σ准则不需要人工对异常机器进行排查,也不需要对流量数据进行标注或特征提取,可以有效提高对存在着大量的IP网络流量的业务***的异常流量监测的效率,实现秒级定位到异常子机。
在另一个可行的实施例中,S105还可以通过机器学习的方法进行流量检测,比如,可以基于流量机器学习模型,对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果。具体地,如图11所示,S105还可以包括:
S10502.获取各个样本子对象的样本网络互连协议信息和样本标识信息。
S10504.基于各个样本子对象的样本网络互连协议信息和样本标识信息,获取各个样本子对象在目标样本时间段内的目标样本流量数据和历史样本时间段内的历史样本流量数据。所述历史样本时间段为所述目标样本时间段之前预设时间的时间段。
S10506.基于各个样本子对象的目标样本流量数据和历史样本流量数据,对预设机器学习模型进行异常流量学习训练,将学习训练得到的模型确定为所述流量机器学习模型。
在实际应用中,由于有监督机器学***均自回归模型(Autoregressive Integrated Moving Average model,ARIMA)、时间序列预测模型(fbProphet)等。
S107.基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象。
本发明实施例中,如图12所示,S107可以包括:
S10701.将各个待检测子对象各自对应的异常流量值与预设流量阈值进行比较。
S10703.将异常流量值大于所述预设流量阈值的待检测子对象,确定为所述目标子对象。
本发明实施例中,在得到各个待检测子对象各自对应的异常流量值,可以将异常流量值与预设流量阈值进行比较,如果大于预设流量阈值,则表明该待检测子对象为存在流量异常的目标子对象。
在实际应用中,如果待检测子对象各自对应的异常流量数据点的数量为0,则相应的异常流量值为0,因此,可以认为只要存在异常流量值的待检测子对象均为目标子对象。
此外,本发明实施例中的“确定出存在异常流量的目标子对象”包括但不限于:定位出存在异常流量的目标子对象的位置(比如所在的区域等)、该目标子对象的IP、该目标子对象的UUID、该目标子对象中的应用程序(Application,APP)的身份标识号(IdentityDocument,ID)、该目标子对象所属的虚拟私有云(Vpc)的ID等。
本发明实施例中,继续如图12所示,在S107之后,所述方法还可以包括:
S109.基于所述目标子对象对应的异常流量值,对所述目标子对象进行排序,得到目标子对象对应的异常流量序列。
S1011.基于子对象展示界面,展示所述异常流量序列。
本发明实施例中,在得到目标子对象之后,可以根据目标子对象对应的异常流量值,对所述目标子对象进行逆序排序,即将异常流量值最大的目标子对象排列在最前面,将异常流量值最小的目标子对象排列在最后面,从而得到目标子对象对应的异常流量序列,并将该异常流量序列在对象展示界面中进行展示(当然也可以对目标子对象进行顺序排序)。
图13为以母对象为某一网络运维模块下的某个用户计算机设备(简称母机),待检测子对象为该部署在该母机的单租户环境中的终端设备(简称子机)为例的一种异常流量序列的示意图,该异常流量序列以子机IP来体现,即将异常流量值最大的目标子机的IP排列在最前面,将异常流量值最小的目标子机的IP排列在最前面。如图13所示,该异常流量序列中展示的信息包括但不限于:存在异常流量的目标子机的IP、目标子机所在的区域、目标子机的UUID、目标子机中的APP的ID、目标子机所属的Vpc的ID、目标子机所述的母机的IP、相应的操作等。其中,相应的操作可以为对目标子机进行的操作,比如对目标子机的流量进行限速操作等。
此外,该异常流量序列还可以通过目标子机的其他属性信息来体现,比如,将异常流量值最大的目标子机的名称(或ID)排列在最前面,将异常流量值最小的目标子机的名称(或ID)排列在最前面,从而形成相应的异常流量序列。
而对于无异常流量值存在的待检测子对象,可以计算无异常流量值存在的待检测子对象在目标时间段内的流量波动值,按照流量波动值对无异常流量值存在的待检测子对象进行排序,并对排序好的无异常流量值存在的待检测子对象进行展示并输出(可以通过相应的IP进行展示,也可以通过其他属性信息进行展示)。
本发明实施例中,对异常子机按照异常值进行排序并展示之后,后台服务器还可以根据目标子对象对应的异常流量值还可以判断引起该异常流量突增的原因,该引起常流量突增的原因包括但不限于:访问人数突然增加、异常的网络事件(如拒绝服务(Denial ofService,DoS)攻击、蠕虫等)等。
在实际应用中,因为异常的网络事件导致的流量突增比访问人数突然增加导致的流量突增的后果更严重,异常的网络事件对应的异常流量值也比访问人数突然增加对应的异常流量值要大,因此,可以对目标子对象对应的异常流量值进行再次判断,当目标子对象对应的异常流量值大于预设异常阈值时,可以初步判断该目标子对象的异常流量突增是由于异常的网络事件引起的,反之则可以认为是由于访问人数突然增加引起的。
进一步地,在确定出引起该异常流量突增的原因之后,还可以向用户展示告警提示信息,该告警提示信息可以包括但不限于:异常子机IP、异常流量突增的原因、处理该异常流量突增的原因的策略等。
本发明实施例中,不仅可以向用户展示异常子机,还可以展示异常原因以及相应的解决策略,从而便于用户根据相应的异常情况采取相应的处理措施,智能性较高,用户体验较好。
在一个可行的实施例中,S101中的网络互连协议信息和标识信息、S103中的目标流量数据和历史流量数据、S105中的异常流量分析结果或S10509中的流量均值和流量方差中的至少在一个可以存储于区块链***中。参见图14,图14所示是本发明实施例提供的区块链***的一个可选的结构示意图,多个节点之间形成组成的点对点(P2P,Peer To Peer)网络,P2P协议是一个运行在传输控制协议(TCP,Transmission Control Protocol)协议之上的应用层协议。在区块链***中,任何机器如服务器、终端都可以加入而成为节点,节点包括硬件层、中间层、操作***层和应用层。
参见图14示出的区块链***中各节点的功能,涉及的功能包括:
1)路由,节点具有的基本功能,用于支持节点之间的通信。
节点除具有路由功能外,还可以具有以下功能:
2)应用,用于部署在区块链中,根据实际业务需求而实现特定业务,记录实现功能相关的数据形成记录数据,在记录数据中携带数字签名以表示任务数据的来源,将记录数据发送到区块链***中的其他节点,供其他节点在验证记录数据来源以及完整性成功时,将记录数据添加到临时区块中。
3)区块链,包括一系列按照产生的先后时间顺序相互接续的区块(Block),新区块一旦加入到区块链中就不会再被移除,区块中记录了区块链***中节点提交的记录数据。
参见图15,图15为本发明实施例提供的区块结构(Block Structure)一个可选的示意图,每个区块中包括本区块存储交易记录的哈希值(本区块的哈希值)、以及前一区块的哈希值,各区块通过哈希值连接形成区块链。另外,区块中还可以包括有区块生成时的时间戳等信息。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块。
本发明实施例通过各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象的流量时间序列数据包括在目标时间段内的目标流量数据和历史时间段内的历史流量数据),接着对目标流量数据和历史流量数据进行检测出的分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果,最后根据异常流量分析结果,从成百上千的子机ip列表中,快速的筛选出了有流量异常突增的目标子对象,大大缩小了定位异常和解决问题的时间。此外,该方法免除了预处理,特征工程等繁琐工作,成本较低,时效较好。
如图16所示,本发明实施例提供了一种异常流量检测装置,该装置可以包括:
信息获取模块201,可以用于获取各个待检测子对象的网络互连协议信息和标识信息。
流量数据获取模块203,可以用于基于各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象在目标时间段内的目标流量数据和历史时间段内的历史流量数据。
具体地,流量数据获取模块203可以用于基于各个待检测子对象的网络互连协议信息和标识信息,从预设数据库中拉取各个待检测子对象在所述目标时间段内的目标流量数据和所述历史时间段内的历史流量数据。
流量检测分析模块205,可以用于对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果。
具体地,流量检测分析模块205可以包括:
目标时间点确定单元,可以用于将所述目标时间段按照预设时间粒度进行划分,得到多个目标时间点。
历史时间点确定单元,可以用于将所述历史时间段按照所述预设时间粒度进行划分,得到多个历史时间点。
目标流量数据点确定单元,可以用于基于各个待检测子对象的目标流量数据和相应的目标时间点,确定各个待检测子对象各自对应的目标流量数据点。
历史流量数据点确定单元,可以用于基于各个待检测子对象的历史流量数据和相应的历史时间点,确定各个待检测子对象各自对应的历史流量数据点。
均值方差确定单元,可以用于基于各个待检测子对象各自对应的历史流量数据点,确定各个待检测子对象各自对应的流量均值和流量方差。
异常流量数据点确定单元,可以用于基于各个待检测子对象各自对应的流量均值和流量方差,从各个待检测子对象各自对应的目标流量数据点中,确定出各个待检测子对象各自对应的异常流量数据点。
异常流量值确定单元,可以用于基于各个待检测子对象各自对应的异常流量数据点和相应的目标流量数据点,确定各个待检测子对象各自对应的异常流量值。
异常流量分析结果确定单元,可以用于将各个待检测子对象各自对应的异常流量值,作为各个待检测子对象在所述目标时间段内的异常流量分析结果。
目标子对象确定模块207,可以用于基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象。
具体地,目标子对象确定模块207可以包括:
比较单元,可以用于将各个待检测子对象各自对应的异常流量值与预设流量阈值进行比较。
目标子对象获取单元,可以用于将异常流量值大于所述预设流量阈值的待检测子对象,确定为所述目标子对象。
进一步地,所述装置还可以包括:
异常流量序列获取模块,可以用于基于所述目标子对象对应的异常流量值,对所述目标子对象进行排序,得到目标子对象对应的异常流量序列。
异常流量序列展示模块,可以用于基于子对象展示界面,展示所述异常流量序列。
进一步地,所述装置还可以包括:
响应模块,可以用于响应于在信息输入界面输入的母对象检测参数信息,对待检测母对象在所述目标时间段内的流量进行流量波动值检测,所述母对象检测参数信息至少包括所述待检测母对象的属性信息和所述目标时间段。
目标母对象确定模块,可以用于将流量波动值大于预设波动阈值的待检测母对象,确定为存在异常流量的目标母对象;
波动值序列确定模块,可以用于基于所述目标母对象对应的流量波动值对所述目标母对象进行排序,得到所述目标母对象对应的波动值序列。
波动值序列展示模块,可以用于基于母对象展示界面,对所述波动值序列进行展示。
相应地,信息获取模块201可以包括:
第一信息获取单元,可以用于获取所述目标母对象的网络互连协议信息。
第二信息获取单元,可以用于基于所述目标母对象的网络互连协议信息,获取从属于所述目标母对象的各个待检测子对象的网络互连协议信息和标识信息。
具体地,所述流量检测分析模块205可以用于基于流量机器学习模型,对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果。
相应地,所述装置还可以包括流量机器学习模型获取模块,所述流量机器学习模型获取模块可以包括:
样本信息获取单元,获取各个样本子对象的样本网络互连协议信息和样本标识信息。
样本流量数据获取单元,可以用于基于各个样本子对象的样本网络互连协议信息和样本标识信息,获取各个样本子对象在目标样本时间段内的目标样本流量数据和历史样本时间段内的历史样本流量数据。
学习训练单元,可以用于基于各个样本子对象的目标样本流量数据和历史样本流量数据,对预设机器学习模型进行异常流量学习训练,将学习训练得到的模型确定为所述流量机器学习模型。
需要说明的是,本发明实施例提供的装置实施例与上述方法实施例基于相同的发明构思。
本发明实施例还提供了一种异常流量检测的电子设备,该电子设备包括处理器和存储器,存储器中存储有至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现如上述方法实施例提供的异常流量检测方法。
本发明的实施例还提供了一种计算机可读存储介质,该计算机可读存储介质可设置于终端之中以保存用于实现方法实施例中一种异常流量检测方法相关的至少一条指令或至少一段程序,至少一条指令或至少一段程序由处理器加载并执行以实现如上述方法实施例提供的异常流量检测方法。
可选地,在本说明书实施例中,存储介质可以位于计算机网络的多个网络服务器中的至少一个网络服务器。可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
本说明书实施例存储器可用于存储软件程序以及模块,处理器通过运行存储在存储器的软件程序以及模块,从而执行各种功能应用程序以及数据处理。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作***、功能所需的应用程序等;存储数据区可存储根据设备的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器还可以包括存储器控制器,以提供处理器对存储器的访问。
本发明实施例所提供的异常流量检测方法实施例可以在终端、计算机终端、服务器或者类似的运算装置中执行。以运行在服务器上为例,图17是本发明实施例提供的一种异常流量检测方法的服务器的硬件结构框图。如图17所示,该服务器300可因配置或性能不同而产生比较大的差异,可以包括一个或一个以***处理器(Central ProcessingUnits,CPU)310(处理器310可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器330,一个或一个以上存储应用程序323或数据322的存储介质320(例如一个或一个以上海量存储设备)。其中,存储器330和存储介质320可以是短暂存储或持久存储。存储在存储介质320的程序可以包括一个或一个以上模块,每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器310可以设置为与存储介质320通信,在服务器300上执行存储介质320中的一系列指令操作。服务器300还可以包括一个或一个以上电源360,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口340,和/或,一个或一个以上操作***321,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
输入输出接口340可以用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器300的通信供应商提供的无线网络。在一个实例中,输入输出接口340包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,输入输出接口340可以为射频(RadioFrequency,RF)模块,其用于通过无线方式与互联网进行通讯。
本领域普通技术人员可以理解,图17所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,服务器300还可包括比图17中所示更多或者更少的组件,或者具有与图17所示不同的配置。
需要说明的是:上述本发明实施例先后顺序仅仅为了描述,不代表实施例的优劣。且上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置和服务器实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种异常流量检测方法,其特征在于,所述方法包括:
获取各个待检测子对象的网络互连协议信息和标识信息;
基于各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象在目标时间段内的目标流量数据和历史时间段内的历史流量数据;
对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果;
基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象。
2.根据权利要求1所述的方法,其特征在于,所述基于各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象在目标时间段内的目标流量数据和历史时间段内的历史流量数据,包括:
基于各个待检测子对象的网络互连协议信息和标识信息,从预设数据库中拉取各个待检测子对象在所述目标时间段内的目标流量数据和所述历史时间段内的历史流量数据。
3.根据权利要求1所述的方法,其特征在于,所述对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果,包括:
将所述目标时间段按照预设时间粒度进行划分,得到多个目标时间点;
将所述历史时间段按照所述预设时间粒度进行划分,得到多个历史时间点;
基于各个待检测子对象的目标流量数据和相应的目标时间点,确定各个待检测子对象各自对应的目标流量数据点;
基于各个待检测子对象的历史流量数据和相应的历史时间点,确定各个待检测子对象各自对应的历史流量数据点;
基于各个待检测子对象各自对应的历史流量数据点,确定各个待检测子对象各自对应的流量均值和流量方差;
基于各个待检测子对象各自对应的流量均值和流量方差,从各个待检测子对象各自对应的目标流量数据点中,确定出各个待检测子对象各自对应的异常流量数据点;
基于各个待检测子对象各自对应的异常流量数据点和相应的目标流量数据点,确定各个待检测子对象各自对应的异常流量值;
将各个待检测子对象各自对应的异常流量值,作为各个待检测子对象在所述目标时间段内的异常流量分析结果。
4.根据权利要求3所述的方法,其特征在于,所述基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象,包括:
将各个待检测子对象各自对应的异常流量值与预设流量阈值进行比较;
将异常流量值大于所述预设流量阈值的待检测子对象,确定为所述目标子对象。
5.根据权利要求4所述的方法,其特征在于,在所述基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象之后,所述方法还包括:
基于所述目标子对象对应的异常流量值,对所述目标子对象进行排序,得到目标子对象对应的异常流量序列;
基于子对象展示界面,展示所述异常流量序列。
6.根据权利要求1所述的方法,其特征在于,在所述获取各个待检测子对象的网络互连协议信息和标识信息之前,所述方法还包括:
响应于在信息输入界面输入的母对象检测参数信息,对待检测母对象在所述目标时间段内的流量进行流量波动值检测,所述母对象检测参数信息至少包括所述待检测母对象的属性信息和所述目标时间段;
将流量波动值大于预设波动阈值的待检测母对象,确定为存在异常流量的目标母对象;
基于所述目标母对象对应的流量波动值对所述目标母对象进行排序,得到所述目标母对象对应的波动值序列;
基于母对象展示界面,对所述波动值序列进行展示。
7.根据权利要求6所述的方法,其特征在于,所述获取各个待检测子对象的网络互连协议信息和标识信息,包括:
获取所述目标母对象的网络互连协议信息;
基于所述目标母对象的网络互连协议信息,获取从属于所述目标母对象的各个待检测子对象的网络互连协议信息和标识信息。
8.根据权利要求1所述的方法,其特征在于,所述对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果,包括:
基于流量机器学习模型,对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果;
相应地,所述方法还包括获取所述流量机器学习模型的步骤,所述获取流量机器学习模型包括:
获取各个样本子对象的样本网络互连协议信息和样本标识信息;
基于各个样本子对象的样本网络互连协议信息和样本标识信息,获取各个样本子对象在目标样本时间段内的目标样本流量数据和历史样本时间段内的历史样本流量数据;
基于各个样本子对象的目标样本流量数据和历史样本流量数据,对预设机器学习模型进行异常流量学习训练,将学习训练得到的模型确定为所述流量机器学习模型。
9.一种异常流量检测装置,其特征在于,所述装置包括:
信息获取模块,用于获取各个待检测子对象的网络互连协议信息和标识信息;
流量数据获取模块,用于基于各个待检测子对象的网络互连协议信息和标识信息,获取各个待检测子对象在目标时间段内的目标流量数据和历史时间段内的历史流量数据;
流量检测分析模块,用于对各个待检测子对象的目标流量数据和历史流量数据进行流量检测分析,得到各个待检测子对象在所述目标时间段内的异常流量分析结果;
目标子对象确定模块,用于基于各个待检测子对象在所述目标时间段内的异常流量分析结果,从所述各个待检测子对象中确定出存在异常流量的目标子对象。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有至少一条指令或至少一段程序,所述至少一条指令或所述至少一段程序由处理器加载并执行以实现如权利要求1至8任一所述的异常流量检测方法。
CN202010504612.XA 2020-06-05 2020-06-05 一种异常流量检测方法、装置及存储介质 Pending CN111756706A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010504612.XA CN111756706A (zh) 2020-06-05 2020-06-05 一种异常流量检测方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010504612.XA CN111756706A (zh) 2020-06-05 2020-06-05 一种异常流量检测方法、装置及存储介质

Publications (1)

Publication Number Publication Date
CN111756706A true CN111756706A (zh) 2020-10-09

Family

ID=72674743

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010504612.XA Pending CN111756706A (zh) 2020-06-05 2020-06-05 一种异常流量检测方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN111756706A (zh)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112383116A (zh) * 2020-11-27 2021-02-19 国网北京市电力公司 充电设备的状态确定方法、***以及装置
CN112615752A (zh) * 2020-12-29 2021-04-06 中通天鸿(北京)通信科技股份有限公司 一种通过聚合分析定位云通讯平台流量异变节点的***
CN112994978A (zh) * 2021-02-25 2021-06-18 网宿科技股份有限公司 一种网络流量监测方法及装置
CN113037595A (zh) * 2021-03-29 2021-06-25 北京奇艺世纪科技有限公司 异常设备检测方法、装置、电子设备及存储介质
CN113595784A (zh) * 2021-07-26 2021-11-02 招商银行股份有限公司 网络流量检测方法、装置、设备、存储介质及程序产品
CN113992396A (zh) * 2021-10-26 2022-01-28 深信服科技股份有限公司 一种流量检测方法、装置及电子设备和存储介质
CN115208741A (zh) * 2022-07-06 2022-10-18 中国联合网络通信集团有限公司 一种基于网络设备的故障监控方法、装置、设备及介质
CN115589310A (zh) * 2022-09-23 2023-01-10 中国电信股份有限公司 攻击检测方法、装置及相关设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8204720B2 (en) * 2007-06-01 2012-06-19 Alcatel Lucent Graph-based modeling apparatus and techniques
CN106209404A (zh) * 2015-04-30 2016-12-07 华为技术有限公司 网络异常流量分析方法及***
CN107483455A (zh) * 2017-08-25 2017-12-15 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和***
CN110210508A (zh) * 2018-12-06 2019-09-06 北京奇艺世纪科技有限公司 模型生成方法、异常流量检测方法、装置、电子设备、计算机可读存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8204720B2 (en) * 2007-06-01 2012-06-19 Alcatel Lucent Graph-based modeling apparatus and techniques
CN106209404A (zh) * 2015-04-30 2016-12-07 华为技术有限公司 网络异常流量分析方法及***
CN107483455A (zh) * 2017-08-25 2017-12-15 国家计算机网络与信息安全管理中心 一种基于流的网络节点异常检测方法和***
CN110210508A (zh) * 2018-12-06 2019-09-06 北京奇艺世纪科技有限公司 模型生成方法、异常流量检测方法、装置、电子设备、计算机可读存储介质

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112383116A (zh) * 2020-11-27 2021-02-19 国网北京市电力公司 充电设备的状态确定方法、***以及装置
CN112615752A (zh) * 2020-12-29 2021-04-06 中通天鸿(北京)通信科技股份有限公司 一种通过聚合分析定位云通讯平台流量异变节点的***
CN112994978A (zh) * 2021-02-25 2021-06-18 网宿科技股份有限公司 一种网络流量监测方法及装置
CN112994978B (zh) * 2021-02-25 2023-01-24 网宿科技股份有限公司 一种网络流量监测方法及装置
CN113037595A (zh) * 2021-03-29 2021-06-25 北京奇艺世纪科技有限公司 异常设备检测方法、装置、电子设备及存储介质
CN113037595B (zh) * 2021-03-29 2022-11-01 北京奇艺世纪科技有限公司 异常设备检测方法、装置、电子设备及存储介质
CN113595784A (zh) * 2021-07-26 2021-11-02 招商银行股份有限公司 网络流量检测方法、装置、设备、存储介质及程序产品
CN113595784B (zh) * 2021-07-26 2024-05-31 招商银行股份有限公司 网络流量检测方法、装置、设备、存储介质及程序产品
CN113992396A (zh) * 2021-10-26 2022-01-28 深信服科技股份有限公司 一种流量检测方法、装置及电子设备和存储介质
CN113992396B (zh) * 2021-10-26 2024-05-28 深信服科技股份有限公司 一种流量检测方法、装置及电子设备和存储介质
CN115208741A (zh) * 2022-07-06 2022-10-18 中国联合网络通信集团有限公司 一种基于网络设备的故障监控方法、装置、设备及介质
CN115589310A (zh) * 2022-09-23 2023-01-10 中国电信股份有限公司 攻击检测方法、装置及相关设备

Similar Documents

Publication Publication Date Title
CN111756706A (zh) 一种异常流量检测方法、装置及存储介质
US11522881B2 (en) Structural graph neural networks for suspicious event detection
US10002144B2 (en) Identification of distinguishing compound features extracted from real time data streams
US10469344B2 (en) Systems and methods for monitoring and analyzing performance in a computer system with state distribution ring
US10205643B2 (en) Systems and methods for monitoring and analyzing performance in a computer system with severity-state sorting
US10439922B2 (en) Service analyzer interface
US10177998B2 (en) Augmenting flow data for improved network monitoring and management
US10592666B2 (en) Detecting anomalous entities
US20170277582A1 (en) Identification of distinguishable anomalies extracted from real time data streams
US10938683B2 (en) Highly scalable distributed connection interface for data capture from multiple network service sources
US11074652B2 (en) System and method for model-based prediction using a distributed computational graph workflow
JP5933463B2 (ja) ログ生起異常検知装置及び方法
CN111090807B (zh) 一种基于知识图谱的用户识别方法及装置
US11469974B1 (en) Analytics for edge devices to intelligently throttle data reporting
US10320877B2 (en) Systems and methods for indicating deployment of application features
CN109815085B (zh) 告警数据的分类方法、装置和电子设备及存储介质
Vernekar et al. MapReduce based log file analysis for system threats and problem identification
CN112367337A (zh) 一种网络安全攻防方法、装置及介质
Lee et al. ATMSim: An anomaly teletraffic detection measurement analysis simulator
US11005797B2 (en) Method, system and server for removing alerts
CN112437034A (zh) 虚假终端检测方法和装置、存储介质及电子装置
Lee et al. Detecting anomaly teletraffic using stochastic self-similarity based on Hadoop
CN111666501A (zh) 异常社团识别方法、装置、计算机设备和存储介质
CN113553370A (zh) 异常检测方法、装置、电子设备及可读存储介质
WO2021055964A1 (en) System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201009