CN113179257A

CN113179257A - 阈值学习方法、装置、设备及计算机可读存储介质

Info

Publication number: CN113179257A
Application number: CN202110424129.5A
Authority: CN
Inventors: 欧阳文东; 王振; 叶倩
Original assignee: Hangzhou DPTech Technologies Co Ltd
Current assignee: Hangzhou DPTech Technologies Co Ltd
Priority date: 2021-04-20
Filing date: 2021-04-20
Publication date: 2021-07-27
Anticipated expiration: 2041-04-20
Also published as: CN113179257B

Abstract

本申请提供了一种阈值学习方法，该方法包括：在纵向学习周期内持续获取目标IP地址的网络流量，该纵向学习周期包括M天、且每一天包括N个横向学习周期，对于N个横向学习周期中的每一横向学习周期，根据M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值，然后，根据所述N个横向学习周期各自对应的目标参考值，确定N个横向学习周期各自对应的流量推荐阈值。本申请能够提升学习到的网络流量推荐阈值的准确性。本申请还提供了一种阈值学习装置、设备及计算机可读存储介质。

Description

阈值学习方法、装置、设备及计算机可读存储介质

技术领域

本申请涉及通信技术领域，特别涉及一种阈值学习方法、装置、设备及计算机可读存储介质。

背景技术

在分布式拒绝服务攻击(Distributed Denial Of Service，简称DDOS)防御中非常重要且非常基础的一个环节就是网络流量大小的监测，网络流量监测，即通过对网络数据连续采集来监测网络流量大小和网络协议组成。

在网络流量监测的基础上，网络管理员可以对感兴趣的网际互连协议(InternetProtocol，简称IP)地址对象设置流量阈值大小，若超过阀值上限则进行报警，帮助网络管理员发现网络中的DDOS攻击，具体地，目前主要采用基于恒定基线阈值检测方法实现网络流量监测，如果采集的流量数据超过其设定的网络流量恒定基线阈值，则认为流量异常，发出告警日志。其中，基线阈值的选定，依赖于网络管理员的经验和对历史监测数据的统计分析，主观选择性较大；恒定阈值检测方法的关键是对阈值的设置，如果基线阈值设置过高，则检测不到较小流量的DDOS攻击问题，设定的基线阈值失去意义；如果基线阈值设置过低，会产生误报警并且可能对正常的流量进行误拦截。可见，恒定阈值检测方法的缺点是难以设定恰当的阈值，难以发现细微的流量异常和DDOS攻击。

在现有的网络流量基线学习和阈值下发方案中，是以1-24小时内的某一时长作为学习周期，将该学习周期内学到的最大网络流量作为推荐阈值的参考值，基于该参考值通过一系列算法得到推荐阈值。但是，由于学习到的推荐阈值是上一时间段学习到的推荐阈值，上一时间段与当前时间段的网络流量情况可能不同，因此，如果使用上一时间段学习到的推荐阈值来判定当前时间段是否发生DDOS攻击，判定结果不够准确，可见，这种时间上的滞后性，导致学习到的推荐阈值不够准确。

发明内容

有鉴于此，本申请提供了一种阈值学习方法、装置、设备及计算机可读存储介质，能够提升学习到的网络流量推荐阈值的准确性。

具体地，本申请是通过如下技术方案实现的：

一种阈值学习方法，包括：

在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；

对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；

根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。

一种阈值学习装置，包括：

网络流量获取单元，用于在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；

参考值确定单元，用于对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；

推荐阈值确定单元，用于根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。

一种电子设备，包括：处理器、存储器；

所述存储器，用于存储计算机程序；

所述处理器，用于通过调用所述计算机程序，执行上述阈值学习方法。

一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述阈值学习方法。

在以上本申请提供的技术方案中，可以按照相同方式将纵向学习周期的M天中的每一天，划分为多个横向学习周期，并利用每一横向学习周期对应的M个相同时段的网络流量进行阈值学习，从而学习到每一横向学习周期的流量推荐阈值。基于此，在完成一轮纵向周期学习之后，便可以利用每一横向学习周期的流量推荐阈值，对属于该横向学习周期的当前网络流量是否属于攻击流量进行判断，由于使用的流量推荐阈值相对于当前网络流量不具有时间上的滞后性，因此，该流量推荐阈值相对于当前网络流量是相对准确的。

附图说明

图1为本申请示出的一种阈值学习方法的流程示意图；

图2为本申请示出的学习周期的曲线示意图；

图3为本申请示出的学习周期的表格示意图；

图4为本申请示出的确定目标参考值的流程示意图；

图5为本申请示出的一种阈值学习装置组成示意图；

图6为本申请示出的一种电子设备的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

参见图1，为本申请实施例提供的一种阈值学习方法的流程示意图，该方法包括以下步骤S101-S103：

S101：在纵向学习周期内持续获取目标IP地址的网络流量，其中，纵向学习周期包括M天，M天中的每一天包括N个横向学习周期，M＞1，N＞1。

在本申请实施例中，可以在网络架构中部署一台流量分析设备，该流量分析设备可以是在现网中专门部署的一台网络设备、也可以是现网中某一台具有其它功能的已有网络设备，对此，本申请实施例不做限制。

该流量分析设备具有流量推荐阈值的自学习功能，分为横向自学习功能和纵向自学习功能，两种自学习方式配合使用。

当该流量分析设备的自学习功能被开启后，需要设置纵向学习周期和横向学习周期。其中，纵向学习周期可以包括M天，对于这M天中的每一天，可以将按照相同的划分方式划分为N个横向学习周期，例如，参见图2所示的学习周期的曲线示意图，纵向学习周期为7-15天中的任一天数，比如M＝7，将每1小时作为一个横向学习周期，这样，每一天则有24个横向学习周期，即，每一横向学习周期对应7天的相同时段。

需要说明的是，纵向学习周期和横向学习周期的具体时长，可以由网络管理员预先设置，也可以根据需求进行修改。此外，网络管理员还可以选择感兴趣的一个或多个IP地址，分别作为目标IP地址，利用流量分析设备来学习目标IP地址的流量推荐阈值，以便基于该流量推荐阈值判断对应目的IP地址是否发生网络攻击(比如DDOS攻击)。

基于此，在实际的阈值学***台，由自学习平台根据流量分析设备上报的网络流量学习目标IP地址的流量推荐阈值。

S102：对于N个横向学习周期中的每一横向学习周期，根据M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值。

在本申请实施例中，对于N个横向学习周期中的每一横向学习周期，可以获取M天内属于该横向学习周期的M组网络流量，即，每一横向学习周期各自对应相同时段内的M组网络流量。例如，参见图3所示的学习周期的表格示意图，纵向学习周期为M＝7天，每一天包括24个横向学习周期，每一横向学习周期为1小时，那么，属于第1个横向学习周期的网络流量包括这7天第1个小时获取的目标IP地址的7组网络流量，属于第2个横向学习周期的网络流量包括这7天第2个小时获取的目标IP地址的7组网络流量，以此类推，这24个横向学习周期各自对应相同时段内的7组网络流量。

这样，对于每一横向学习周期，便可以根据M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值。例如，如图3所示，则可以确定24个横向学习周期各自对应的目标参考值，即，每一横向学习周期独自对应一个流量推荐阈值的目标参考值。

在本申请实施例的一种实现方式中，参见图4所示的确定目标参考值的流程示意图，S102中的“根据M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值”，可以包括以下步骤S1021-S1022：

S1021：对于M天分别获取到的属于该横向学习周期的M组网络流量，选择每组网络流量中的最大流量值，并将所选择的M个最大流量值，作为该横向学习周期对应的M个初始参考值。

举例说明，如图3所示，当纵向学习周期为7天、每1小时为一个横向学习周期时，可以将每一小时内的流量最大值，作为该小时的流量推荐阈值的初始参考值，在横向学习完24小时后，即完成一天的纵向学习周期，这样纵向学习24小时内，每个小时都有一个流量推荐阈值的初始参考值。可见，通过1轮的纵向学习周期的学习，即7天的学习后，每个横向学习周期对应7个初始参考值。比如，第1个横向学习周期对应的7个初始参考值包括C11、C21、C31、C41、C51、C61、C71。

S1022：从该横向学习周期对应的M个初始参考值中选择一个初始参考值，并基于所选择的初始参考值，确定该横向学习周期对应的流量推荐阈值的目标参考值。

对于每个横向学习周期来讲，如第1个横向学习周期，该第1个横向学习周期对应M个初始参考值，可以从中选择一个初始参考值，以便基于所选择的初始参考值，确定第1个横向学习周期对应的流量推荐阈值的目标参考值，进而可以基于该目标参考值确定该第1个横向学习周期的流量推荐阈值。

在本申请实施例的一种实现方式中，S1022中的“从该横向学习周期对应的M个初始参考值中选择一个初始参考值”，可以包括：将该横向学习周期对应的M个初始参考值，与其它横向学习周期的各个初始参考值进行比较，根据比较结果从该横向学习周期对应的M个初始参考值中选择一个初始参考值。

在本实现方式中，对于每一横向学习周期，可以结合该横向学习周期以外的其它横向学习周期各自对应的M个初始参考值，通过数值比较，判定是否满足一定的预设条件，根据判定结果从该横向学习周期对应的M个初始参考值中选取一个初始参考值。

对于每一横向学习周期，在从该横向学习周期对应的M个初始参考值中选择一个初始参考值时，具体可以在该横向学习周期对应的M个初始参考值中，确定小于或等于选定参考值的P个初始参考值，并从P个初始参考值中选择一个最大的初始参考值，其中，这里的选定参考值为其它横向学习周期对应的各个初始参考值中的最大值的n1倍，M≥P，n1＞1。

举例说明，如图3所示，以第1个横向学习周期为例，该第1个横向学习周期对应的7个初始参考值，包括C11、C21、C31、C41、C51、C61、C71，而其它横向学习周期对应的各个初始参考值则为这7个初始参考值以外的7*23个值，可以从其它7*23个值中选择一个最大值作为上述选定参考值，假设该选定参考值为C22，基于此，将C11、C21、C31、C41、C51、C61、C71与C22*n1进行比较。假设C11、C21、C31、C41、C51、C61、C71均小于或等于C22*n1，即P＝7，则选择C11、C21、C31、C41、C51、C61、C71中的最大值；假设C11、C21、C31、C41、C51、C61、C71不是均小于或等于C22*n1，比如C11、C21、C31、C41、C51、C61小于或等于C22*n1、且C71大于C22*n1，即P＝6，则判定C71的网络流量为发生网络攻击的流量，不能选择C71，而是选择C11、C21、C31、C41、C51、C61中的最大值。可见，通过上述方式，可以从第1个横向学习周期对应的7个初始参考值中选择一个初始参考值。

其中，n1的取值范围可以根据经验进行设定，比如n1的取值范围为1.2-2。另外，n1的具体取值可以基于网络流量类型(网络流量类型可以为包速率或带宽)以及选定参考值在该类型下的取值范围进行设定，具体的，可以将选定参考值的不同取值范围对应不同n1值。

例如，当网络流量类型为包速率时，当包速率的选定参考值<5000pps时，倍数n1为2；当5000pps≤包速率的选定参考值<30000pps时，倍数n1为1.8；当30000pps≤包速率的选定参考值<100000pps时，倍数n1为1.6；当100000pps≤包速率的选定参考值<300000pps时，倍数n1为1.4；当300000pps≤包速率的选定参考值<12000000pps时，倍数n1为1.2。

又例如，当网络流量类型为带宽时，当带宽的选定参考值<20Mbps时，倍数n1为2；当20Mbps≤带宽的选定参考值<100Mbps时，倍数n1为1.8；当100Mbps≤带宽的选定参考值<300Mbps时，倍数n1为1.6；当300Mbps≤带宽的选定参考值<1Gbps时，倍数n1为1.4；当1Gbps≤带宽的选定参考值<10Gbps时，倍数n1为1.2。

在本申请实施例的一种实现方式中，S1022中的“基于所选择的初始参考值，确定该横向学习周期对应的流量推荐阈值的目标参考值”，可以包括：将所选择的初始参考值的n2倍，作为该横向学习周期对应的流量推荐阈值的目标参考值，其中，n2＞1，n2的取值可以根据经验进行预先设定，比如n2为1.2。

在本实现方式中，对于每一横向学习周期，当从该横向学习周期对应的M个初始参考值中选择一个初始参考值后，可以将被选择的初始参考值的n2倍，作为该横向学习周期对应的流量推荐阈值的目标参考值，这样，N个横向学习周期各自对应一个目标参考值。例如，如图3所示，以第1个横向学习周期为例，假设从该第1个横向学习周期对应的7个初始参考值中选择的一个初始参考值为C71，则将C71*n2作为第1个横向学习周期对应的流量推荐阈值的目标参考值。

S103：根据N个横向学习周期各自对应的目标参考值，确定N个横向学习周期各自对应的流量推荐阈值。

在本申请实施例中，当完成一轮纵向学***台可以对这些目标参考值进行一系列计算，得到N个横向学习周期各自对应的流量推荐阈值，并将这N个流量推荐阈值下发给流量分析设备，以便流量分析设备基于这些流量推荐阈值对目标IP地址进行攻击判断。

进一步地，在完成一轮纵向周期学习后，还可以对上述学习到的N个横向学习周期对应的流量推荐阈值的目标参考值进行更新，并基于更新的目标参考值重新计算对应的横向学习周期的流量推荐阈值，从而实现对流量推荐阈值的更新。

在本申请实施例的一种实现方式中，可以在纵向学习周期之后的每一横向学习周期，持续获取目标IP地址的网络流量；对于该横向学习周期中的每一学习子周期，根据该学习子周期内学习到的流量推荐阈值的目标参考值，确定是否对该横向学习周期当前对应的流量推荐阈值的目标参考值进行更新。

具体来讲，在本实现方式中，在完成一轮纵向周期学习后，核心路由器仍持续将目的IP地址的网络流量发送给流量分析设备，并且，流量分析设备可以以预设的学习子周期为时间精度获取网络流量，当获取到某个学习子周期的网络流量后，需要确定该学习子周期属于上述纵向学习周期中的哪个横向学习周期，并可以按照上述确定该横向学习周期对应的流量推荐阈值的目标参考值的方式，来确定该学习子周期对应的流量推荐阈值的目标参考值，然后，将该学习子周期对应的目标参考值与该横向学习周期对应的目标参考值进行数值比较，从而确定是否对该横向学习周期对应的目标参考值进行更新。

其中，当根据该学习子周期内学习到的流量推荐阈值的目标参考值，确定是否对该横向学习周期当前对应的流量推荐阈值的目标参考值进行更新时，具体可以包括：

若该学习子周期内学习到的目标参考值小于或等于该横向学习周期当前对应的目标参考值，则使该横向学习周期当前对应的目标参考值保持不变；

若该学习子周期内学习到的目标参考值属于预设数值范围，则利用该学习子周期内学习到的目标参考值，更新该横向学习周期当前对应的目标参考值，其中，预设数值范围的上线值为该横向学习周期当前对应的目标参考值的n3倍，预设数值范围的下线值为该横向学习周期当前对应的目标参考值的n4倍，n3＞n4＞1。

在利用该学习子周期内学习到的目标参考值，更新该横向学习周期当前对应的目标参考值时，可以直接利用该学习子周期内学习到的目标参考值，替换该横向学习周期当前对应的目标参考值。

此外，若该学习子周期内学习到的目标参考值大于该横向学习周期当前对应的目标参考值的n3倍，则判定目标IP地址发生网络攻击。

需要说明的是，本申请实施例中的倍数n3和n4，可以根据经验进行预先设定，比如n3＝1.2、n4＝1.1。

举例说明，以图3所示的第1个横向学习周期为例，即，在一天的第1个小时，可以以该第1小时中的每5分钟作为一个学习子周期，并假设n3为1.2、n4为1.1。对于每5分钟的学习子周期学习到的流量推荐阈值的目标参考值，若当前5分钟学习到的目标参考值小于或者等于第1个横向学习周期当前对应的目标参考值，则第1个横向学习周期当前对应的目标参考值保持不变；若当前5分钟学习到的目标参考值属于第1个横向学习周期当前对应的目标参考值的1.1-1.2倍的范围内，则可以将当前5分钟学习到的目标参考值，替换为第1个横向学习周期当前对应的目标参考值；若当前5分钟学习到的目标参考值大于第1个横向学习周期当前对应的目标参考值的1.2倍，则判定发生网络攻击，不利用当前5分钟学习到的目标参考值进行更新操作。

在以上本申请实施例提供的阈值学习方法中，可以按照相同方式将纵向学习周期的M天中的每一天，划分为多个横向学习周期，并利用每一横向学习周期对应的M个相同时段的网络流量进行阈值学习，从而学习到每一横向学习周期的流量推荐阈值。基于此，在完成一轮纵向周期学习之后，便可以利用每一横向学习周期的流量推荐阈值，对属于该横向学习周期的当前网络流量是否属于攻击流量进行判断，由于使用的流量推荐阈值相对于当前网络流量不具有时间上的滞后性，因此，该流量推荐阈值相对于当前网络流量是相对准确的。

参见图5，为本申请实施例提供的一种阈值学习装置组成示意图，该装置包括：

网络流量获取单元510，用于在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；

参考值确定单元520，用于对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；

推荐阈值确定单元530，用于根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。

在本申请实施例的一种实现方式中，参考值确定单元520，包括：

第一选择子单元，用于对于所述M天分别获取到的属于该横向学习周期的M组网络流量，选择每组网络流量中的最大流量值，并将所选择的M个最大流量值，作为该横向学习周期对应的M个初始参考值；

第二选择子单元，用于从该横向学习周期对应的M个初始参考值中选择一个初始参考值；

参考值确定子单元，用于基于所选择的初始参考值，确定该横向学习周期对应的流量推荐阈值的目标参考值。

在本申请实施例的一种实现方式中，所述第二选择子单元，包括：

数值比较子单元，用于将该横向学习周期对应的M个初始参考值，与其它横向学习周期的各个初始参考值进行比较；

第三选择子单元，根据比较结果从该横向学习周期对应的M个初始参考值中选择一个初始参考值。

在本申请实施例的一种实现方式中，所述第三选择子单元，具体用于：

在该横向学习周期对应的M个初始参考值中，确定小于或等于选定参考值的P个初始参考值，并从P个初始参考值中选择一个最大的初始参考值；

其中，所述选定参考值为其它横向学习周期对应的各个初始参考值中的最大值的n1倍，M≥P，n1＞1。

在本申请实施例的一种实现方式中，所述参考值确定子单元，具体用于：

将所选择的初始参考值的n2倍，作为该横向学习周期对应的流量推荐阈值的目标参考值，其中，n2＞1。

在本申请实施例的一种实现方式中，所述装置还包括数值更新子单元；

所述网络流量获取单元510，还用于在所述纵向学习周期之后的每一横向学习周期，持续获取所述目标IP地址的网络流量；

所述数值更新子单元，用于对于该横向学习周期中的每一学习子周期，根据该学习子周期内学习到的流量推荐阈值的目标参考值，确定是否对该横向学习周期当前对应的流量推荐阈值的目标参考值进行更新。

在本申请实施例的一种实现方式中，所述数值更新子单元，具体用于：

若该学习子周期内学习到的目标参考值属于预设数值范围，则利用该学习子周期内学习到的目标参考值，更新该横向学习周期当前对应的目标参考值，其中，所述预设数值范围的上线值为该横向学习周期当前对应的目标参考值的n3倍，所述预设数值范围的下线值为该横向学习周期当前对应的目标参考值的n4倍，n3＞n4＞1。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本申请实施例还提供了一种电子设备，该电子设备的结构示意图如图6所示，该电子设备6000包括至少一个处理器6001、存储器6002和总线6003，至少一个处理器6001均与存储器6002电连接；存储器6002被配置用于存储有至少一个计算机可执行指令，处理器6001被配置用于执行该至少一个计算机可执行指令，从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种阈值学习方法的步骤。

进一步，处理器6001可以是FPGA(Field－Programmable Gate Array，现场可编程门阵列)或者其它具有逻辑处理能力的器件，如MCU(Microcontroller Unit，微控制单元)、CPU(Central Process Unit，中央处理器)。

应用本申请实施例，可以按照相同方式将纵向学习周期的M天中的每一天，划分为多个横向学习周期，并利用每一横向学习周期对应的M个相同时段的网络流量进行阈值学习，从而学习到每一横向学习周期的流量推荐阈值。基于此，在完成一轮纵向周期学习之后，便可以利用每一横向学习周期的流量推荐阈值，对属于该横向学习周期的当前网络流量是否属于攻击流量进行判断，由于使用的流量推荐阈值相对于当前网络流量不具有时间上的滞后性，因此，该流量推荐阈值相对于当前网络流量是相对准确的。

本申请实施例还提供了另一种计算机可读存储介质，存储有计算机程序，该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种阈值学习方法的步骤。

本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory，只读存储器)、RAM(RandomAccess Memory，随即存储器)、EPROM(Erasable Programmable Read-Only Memory，可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory，电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是，可读存储介质包括由设备(例如，计算机)以能够读的形式存储或传输信息的任何介质。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims

1.一种阈值学习方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值，包括：

对于所述M天分别获取到的属于该横向学习周期的M组网络流量，选择每组网络流量中的最大流量值，并将所选择的M个最大流量值，作为该横向学习周期对应的M个初始参考值；

从该横向学习周期对应的M个初始参考值中选择一个初始参考值，并基于所选择的初始参考值，确定该横向学习周期对应的流量推荐阈值的目标参考值。

3.根据权利要求2所述的方法，其特征在于，所述从该横向学习周期对应的M个初始参考值中选择一个初始参考值，包括：

将该横向学习周期对应的M个初始参考值，与其它横向学习周期的各个初始参考值进行比较，根据比较结果从该横向学习周期对应的M个初始参考值中选择一个初始参考值。

4.根据权利要求3所述的方法，其特征在于，所述根据比较结果从该横向学习周期对应的M个初始参考值中选择一个初始参考值，包括：

5.根据权利要求2所述的方法，其特征在于，所述基于所选择的初始参考值，确定该横向学习周期对应的流量推荐阈值的目标参考值，包括：

6.根据权利要求1-5任一项所述的方法，其特征在于，所述方法还包括：

在所述纵向学习周期之后的每一横向学习周期，持续获取所述目标IP地址的网络流量；

对于该横向学习周期中的每一学习子周期，根据该学习子周期内学习到的流量推荐阈值的目标参考值，确定是否对该横向学习周期当前对应的流量推荐阈值的目标参考值进行更新。

7.根据权利要求6所述的方法，其特征在于，所述根据该学习子周期内学习到的流量推荐阈值的目标参考值，确定是否对该横向学习周期当前对应的流量推荐阈值的目标参考值进行更新，包括：

8.一种阈值学习装置，其特征在于，包括：

9.一种电子设备，其特征在于，包括：处理器、存储器；

所述存储器，用于存储计算机程序；

所述处理器，用于通过调用所述计算机程序，执行如权利要求1-7中任一项所述的阈值学习方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1-7任一项所述的阈值学习方法。