CN110300123A - 异常流量识别方法、装置、电子设备及存储介质 - Google Patents
异常流量识别方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110300123A CN110300123A CN201910688288.9A CN201910688288A CN110300123A CN 110300123 A CN110300123 A CN 110300123A CN 201910688288 A CN201910688288 A CN 201910688288A CN 110300123 A CN110300123 A CN 110300123A
- Authority
- CN
- China
- Prior art keywords
- target device
- network
- access
- temporal information
- access data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/025—Services making use of location information using location based information parameters
- H04W4/027—Services making use of location information using location based information parameters using movement velocity, acceleration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种异常流量识别方法、装置、电子设备及存储介质,涉及计算机软件技术领域。其中,该方法通过获取目标设备的网络访问数据,根据网络访问数据所包括的目标设备的设备标识、目标设备访问网络时对应的至少2个时间信息、以及每个时间信息对应的位置信息,可以计算目标设备的移动速率,通过对移动速率以及预设阈值进行比较,可以确认目标设备的网络访问数据是否为异常访问,进而可以根据该异常访问所对应的网络访问数据识别网络访问过程中的异常流量。
Description
技术领域
本发明涉及计算机软件技术领域,特别涉及一种异常流量识别方法、装置、电子设备及存储介质。
背景技术
广告投放是互联网最常见的信息传播方式之一,越来越多的广告主趋向于通过网络媒体向用户展示广告,并通过相应的第三方监测服务商监测其广告流量。
现有广告流量的监测方式主要是通过预设的监控程序监测,即主要是通过监测访问广告的设备IP来确定该广告对应的广告流量。
但现有的监测方式中,由于设备的IP可以通过特定的恶意程序模拟,当采用该模拟设备的IP访问广告时,其对应的广告流量实则为异常流量,而该异常流量无法被识别出来。
发明内容
本发明的目的在于,针对上述现有技术中的不足,提供一种异常流量识别方法、装置、电子设备及存储介质,可以在访问网络的过程中识别网络中的异常流量。
为实现上述目的,本发明实施例采用的技术方案如下:
第一方面,本发明实施例提供了一种异常流量识别方法,包括:获取目标设备的网络访问数据,网络访问数据包括目标设备的设备标识、目标设备访问网络时对应的至少2个时间信息、以及每个时间信息对应的位置信息;根据网络访问数据,计算目标设备的移动速率;
根据移动速率以及第一预设阈值,确认目标设备的网络访问数据是否为异常访问。
可选地,上述根据网络访问数据,计算目标设备的移动速率,包括:
根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;根据位置差值和时间差值,计算获取目标设备的移动速率。
可选地,若至少2个位置信息大于2个,上述根据网络访问数据,计算目标设备的移动速率,包括:
根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;根据位置差值和所述时间差值,计算获取目标设备的第一移动速率;若第一移动速率大于第二预设阈值,则根据时间信息的前后顺序,选择至少3个时间信息对应的位置信息,其中,至少3个时间信息中存在2个时间信息之间不相邻;根据至少3个时间信息对应的位置信息、以及至少3个时间信息,计算获取第二移动速率,将第二移动速率作为移动速率。
可选地,上述获取目标设备的网络访问数据,包括:获取目标设备的访问行为数据,访问行为数据包括:目标设备的设备标识、目标设备访问网络时对应的时间信息;根据目标设备访问网络时对应的时间信息,获取预设时间范围内目标设备所接入的局域网、以及接入局域网的其他设备的访问数据,访问数据包含其他设备中至少一个设备的位置信息;根据其他设备中至少一个设备的位置信息,确定目标设备接入局域网时的位置信息。
可选地,上述根据移动速率以及第一预设阈值,确认目标设备的网络访问数据是否为异常访问之前,还包括:根据所述时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息;根据每两个相邻时间对应的2个位置信息,确定对应的预设场景;获取预设场景对应的第一预设阈值。
第二方面,本发明实施例提供了一种异常流量识别装置,包括:第一获取模块、计算模块及确认模块。
第一获取模块,用于获取目标设备的网络访问数据,网络访问数据包括目标设备的设备标识、目标设备访问网络时对应的至少2个时间信息、以及每个时间信息对应的位置信息;计算模块,用于根据网络访问数据,计算目标设备的移动速率;确认模块,用于根据移动速率以及第一预设阈值,确认目标设备的网络访问数据是否为异常访问。
可选地,上述计算模块,具体用于根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;根据位置差值和时间差值,计算获取目标设备的移动速率。
可选地,若至少2个位置信息大于2个,上述计算模块,具体用于根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;根据位置差值和时间差值,计算获取目标设备的第一移动速率;若第一移动速率大于第二预设阈值,则根据时间信息的前后顺序,选择至少3个时间信息对应的位置信息,其中,至少3个时间信息中存在2个时间信息之间不相邻;根据至少3个时间信息对应的位置信息、以及至少3个时间信息,计算获取第二移动速率,将第二移动速率作为所述移动速率。
可选地,上述第一获取模块,具体用于获取目标设备的访问行为数据,访问行为数据包括:目标设备的设备标识、目标设备访问网络时对应的时间信息;目标设备访问网络时对应的时间信息,获取预设时间范围内目标设备所接入的局域网、以及接入局域网的其他设备的访问数据,访问数据包含其他设备中至少一个设备的位置信息;根据其他设备中至少一个设备的位置信息,确定目标设备接入局域网时的位置信息。
可选地,上述装置还包括:第二获取模块、确定模块及第三获取模块。
第二获取模块,用于根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息;确定模块,用于根据每两个相邻时间对应的2个位置信息,确定对应的预设场景;第三获取模块,用于获取预设场景对应的第一预设阈值。
第三方面,本发明实施例提供了一种电子设备,包括:处理器、存储介质和总线,存储介质存储有处理器可执行的机器可读指令,当电子设备运行时,处理器与存储介质之间通过总线通信,处理器执行机器可读指令,以执行上述第一方面的异常流量识别方法的步骤。
第四方面,本发明实施例提供了一种存储介质,存储介质上存储有计算机程序,计算机程序被处理器运行时执行如执行上述第一方面的异常流量识别方法的步骤。
本发明的有益效果是:
本发明实施例提供的异常流量识别方法、装置、电子设备及存储介质中,通过获取目标设备的网络访问数据,根据网络访问数据所包括的目标设备的设备标识、目标设备访问网络时对应的至少2个时间信息、以及每个时间信息对应的位置信息,可以计算目标设备的移动速率,通过对移动速率以及预设阈值进行比较,可以确认目标设备的网络访问数据是否为异常访问,进而可以根据该异常访问所对应的网络访问数据识别网络访问过程中的异常流量。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例提供的一种异常流量识别方法的流程示意图;
图2为本发明实施例提供的另一种异常流量识别方法的流程示意图;
图3为本发明实施例提供的又一种异常流量识别方法的流程示意图;
图4为本发明实施例提供的另一种异常流量识别方法的流程示意图;
图5为本发明实施例提供的又一种异常流量识别方法的流程示意图;
图6为本发明实施例提供的一种异常流量识别装置的结构示意图;
图7为本发明实施例提供的另一种异常流量识别装置的结构示意图;
图8为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
图1为本发明实施例提供的一种异常流量识别方法的流程示意图。该方法的执行主体可以是计算机、服务器、处理器等可以与目标设备进行数据交互的设备,目标设备可以是手机、计算机、平板电脑、穿戴设备等各类可以进行网络访问的设备,本申请在此不作限定,如图1所示,该方法,包括:
S101、获取目标设备的网络访问数据,网络访问数据包括目标设备的设备标识、目标设备访问网络时对应的至少2个时间信息、以及每个时间信息对应的位置信息。
可选地,网络访问数据可以通过预设的第三方网络监测设备获取,或通过文件导入的方式获取,本申请在此并不对目标设备的网络访问数据的获取方式进行限定。
其中,网络访问数据可以是目标设备通过网络访问广告、视频、网页等产生的数据;目标设备的设备标识可以包括目标设备的设备ID、生产序列号、设备接入网络的IP、iOS系统使用的广告标识符(Identifier For Advertising,IDFA)、安卓系统使用的谷歌广告标识符(Google Advertising ID,GAID)等或其的任意组合;目标设备访问网络时每个时间信息对应的位置信息可以通过全球定位系统(Global Positioning System,GPS)、北斗系统、或无线保真(Wireless Fidelity,WiFi)定位技术所获取,本申请在此均不作限定。根据不同的应用场景,可以选择相应的定位技术获取目标设备当时的位置信息。
S102、根据网络访问数据,计算目标设备的移动速率。
可选地,通过网络访问数据中访问网络时的时间信息、以及每个时间信息对应的位置信息,可以计算该目标设备的位置信息差值与时间信息差值的比值,即可计算得到目标设备在单位时间内的移动速率。当然,也可以通过其他计算速率的算法计算获取移动速率,在此不作限制。
S103、根据移动速率以及第一预设阈值,确认目标设备的网络访问数据是否为异常访问。
第一预设阈值可以为预设场景下,目标设备物理位移的最大可能速率,根据不同的预设场景可以对应不同的第一预设阈值,可选地,该预设场景可以根据移动距离、可能的交通工具等相关因素决定,例如可以包括市内场景、跨省场景以及跨国场景等,其中,市内场景一般可能的交通方式为汽车、电动车等,第一预设阈值可以为120km/h-180km/h,跨省场景的一般可能的交通方式为高铁、飞机等,第一预设阈值可以为350m/h-800km/h,跨国场景一般可能的交通方式为飞机,第一预设阈值可以为800km/h以上。当然,本申请在此不对第一预设阈值作具体限制。
其中,将移动速率与第一预设阈值进行比较,可以判断目标设备的移动是否存在异常,进而可以确认目标设备的网络访问数据是否为异常访问。可选地,比如,移动速率为A,第一预设阈值为B,若移动速率A大于第一预设阈值B,即可以认为目标设备的移动为异常移动,对应的,该目标设备的网络访问数据是异常访问,该异常访问所对应的网络流量为异常流量。
综上所述,本申请所提供的异常流量识别方法中,通过获取目标设备的网络访问数据,根据网络访问数据所包括的目标设备的设备标识、目标设备访问网络时对应的至少2个时间信息、以及每个时间信息对应的位置信息,可以计算目标设备的移动速率,通过对移动速率以及第一预设阈值进行比较,可以确认目标设备的网络访问数据是否为异常访问,进而可以根据该异常访问所对应的网络访问数据识别网络访问过程中的异常流量。
图2为本发明实施例提供的另一种异常流量识别方法的流程示意图。可选地,如图2所示,上述根据网络访问数据,计算目标设备的移动速率,包括:
S201、根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值。
S202、根据位置差值和时间差值,计算获取目标设备的移动速率。
其中,在计算得到每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值后,通过计算位置差值与时间差值的比值,即可计算获取到目标设备在该两个相邻时间之间的移动速率。
比如:将网络访问数据所包括的内容以下述方式进行表示:设备标识-时间信息-位置信息,则对设备标识为Device1的目标设备,若网络访问数据包括三个时间信息对应的网络访问数据时,对应的可以记为:Device1-T1-P1、Device1-T2-P2及Device1-T3-P3,其中,T1<T2<T3,则目标设备在T1~T2时间段内的移动速率v的值可以表示为:v=(P2-P1)/(T2-T1),通过对比该移动速率v与第一预设阈值的关系,即可确认目标设备的网络访问数据是否为异常访问。
需要说明的是,采用两个相邻时间对应的2个位置信息的位置差值、以及2个相邻时间的时间差值能更好地判断目标设备是否异常,但不以此为限,也可以选择一定时间范围内2个位置信息的位置差值、2个时间的时间差值来进行判断等。
图3为本发明实施例提供的又一种异常流量识别方法的流程示意图。可选地,如图3所示,若至少2个位置信息大于2个,为了更准确地判断异常,上述根据网络访问数据,计算目标设备的移动速率,可以包括:
S301、根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值。
S302、根据位置差值和时间差值,计算获取目标设备的第一移动速率。
其中,S301和S302中目标设备第一移动速率的计算可参见上述的相关部分进行计算,本申请在此不作赘述。
通过判断第一移动速率与第一预设阈值的关系,可以确定目标设备的移动速率的计算方式,可选地,若第一移动速率小于或等于第二预设阈值,则将第一移动速率作为目标设备的移动速率,或者,若第一移动速率小于或等于第二预设阈值,也可以认为目标设备的网络访问数据不异常;若第一移动速率大于第二预设阈值,可参见下述S303和S304步骤中的方式计算第二移动速率,将第二移动速率作为目标设备的移动速率。
S303、若第一移动速率大于第二预设阈值,则根据时间信息的前后顺序,选择至少3个时间信息对应的位置信息,其中,至少3个时间信息中存在2个时间信息之间不相邻。
S304、根据至少3个时间信息对应的位置信息、以及至少3个时间信息,计算获取第二移动速率,将第二移动速率作为移动速率。
可选地,第二预设阈值可以大于等于第一预设阈值,通过将第一移动速率与第二预设阈值进行比较,可以初步确认目标设备的网络访问数据是否为异常访问,但由于获取的目标设备访问网络时每个时间信息对应的位置信息可能存在短时间漂移,导致所获取的位置信息并不准确,因此,若第一移动速率大于第二预设阈值,初步确认目标设备的网络访问数据为异常访问时,则可根据上述303步骤计算第二移动速率,即根据网络访问数据中所包括的至少3个时间信息以及对应的位置信息,通过计算不相邻两个时间信息对应的位置信息的位置差值,以及不相邻两个时间信息的时间差值,根据该位置信息与时间差值的比值即可计算获取到第二移动速率,计算得到的第二移动速率可以与第一预设阈值再进行比较,通过比较可以进一步确认目标设备的网络访问数据是否为异常访问,避免目标设备位置信息的短时间漂移,提高确认目标设备的网络访问数据是否为异常访问的准确性。
比如,第一预设阈值为800km/h,第二预设阈值可以为850km/h,若目标设备的第一移动速率为900km/h,则第一移动速率大于第二预设阈值,初步确认该目标设备的网络访问数据为异常访问;进一步地,可以计算目标设备的第二移动速率,将第二移动速率作为移动速率,若计算得到的第二移动速率为700km/h,则将该第二移动速率作为目标设备的移动速率时,该移动速率小于第一预设阈值,则进一步确认得到目标设备的网络访问数据没有异常。
可选地,第一预设阈值与第二预设阈值可以相同,本申请不作具体限制,可以根据实际应用进行设定。
其中,不相邻两个时间信息对应的位置信息之间间隔的位置信息可以为一个,也可以为多个,本申请在此并不对该间隔的位置信息的个数进行限定,根据不同的应用场景可以间隔相应数量个位置信息。
例如,表1为获取的目标设备的网络访问数据,本申请在此下述表1中的内容为例,进行说明,其中,为了便于计算,本申请在此以目标设备的设备标识为设备ID与设备接入网络的IP的组合,目标设备所在的位置均为北纬45度,该纬度上经度1度的差异对应78.6km,预设场景为跨国场景,对应的第一预设阈值为800km/h,第二预设阈值为850km/h为例进行说明。
表1
| 序号 | ID | IP | 时间(单位:小时) | 位置 |
| 1 | Device1 | 1.2.3.4 | 0:00 | 105E 45N |
| 2 | Device1 | 1.2.3.4 | 1:00 | 105E 45N |
| 3 | Device1 | 1.2.3.6 | 3:00 | 106E 45N |
| 4 | Device1 | 1.2.3.7 | 4:00 | 118E 45N |
| 5 | Device1 | 1.2.3.6 | 5:00 | 106E 45N |
| 6 | Device1 | 1.2.3.4 | 6:00 | 105E 45N |
如表1所示,根据上述S301和S302步骤,在0:00~1:00时间段内,目标设备的第一移动速率为:(105E 45N-105E 45N)*78.6km/(1:00-0:00)=0km/h;如上所述,可以分别计算得到1:00~3:00、3:00~4:00、4:00~5:00及5:00~6:00时间段内目标设备的第一移动速率分别为:39.3km/h、943.2km/h、943.2km/h及78.6km/h。
其中,由上述计算的各第一移动速率和第二预设阈值比较可知,在0:00~1:00、1:00~3:00和5:00~6:00时间周期内,第一移动速率小于或等于第二预设阈值,则将第一移动速率作为移动速率;在3:00~4:00和4:00~5:00时间周期内,第一移动速率大于第二预设阈值850km/h,则进一步计算获取第二移动速率,本申请在此以间隔1个时间信息对应的位置信息为例进行说明,根据上述序号1与序号3所对应的网络访问数据,所获取的第二移动速率为:(106E 45N-105E 45N)*78.6km/(3:00-0:00)=26.2km/h;如上所述,可以分别计算得到序号2与序号4、序号3与序号5、序号4与序号6所对应的第二移动速率为340.6km/h、0km/h及510.9km/h,将该第二移动速率作为目标设备的移动速率时,其中,上述移动速率均小于第一预设阈值800km/h,可以确认目标设备的网络访问数据为正常访问,没有异常,此外,其他预设场景移动速率的确定可参见上述所述,本申请在此不再赘述。
图4为本发明实施例提供的另一种异常流量识别方法的流程示意图。可选地,如图4所示,上述获取目标设备的网络访问数据,包括:
S401、获取目标设备的访问行为数据,访问行为数据包括:目标设备的设备标识、目标设备访问网络时对应的时间信息。
其中,访问行为数据为目标设备访问网络所产生的行为数据,可以包括目标设备的设备标识,目标设备访问网络时对应的时间信息等,本申请在此不对访问行为数据所包括的内容进行限定。
S402、根据目标设备访问网络时对应的时间信息,获取预设时间范围内目标设备所接入的局域网、以及接入局域网的其他设备的访问数据,访问数据包含其他设备中至少一个设备的位置信息。
S403、根据其他设备中至少一个设备的位置信息,确定目标设备接入局域网时的位置信息。
其中,以目标设备访问网络时对应的时间信息作为参考值,通过获取预设时间范围内目标设备所接入的局域网、以及接入局域网的其他设备的访问数据,可以根据与目标设备接入同一局域网的其他设备的位置信息确定目标设备接入该局域网的位置信息。可选地,该预设时间范围可以是2h、5h或10h等,根据不同的应用场景,可自行选择相应的预设时间范围,本申请在此并不对预设时间范围的长短进行限定。或者,也可以假定某一局域网的位置信息不变,不考虑时间范围,本申请在此不作限制。
例如,表2为获取的目标设备的访问行为数据,如下表2所示,本申请在此以预设时间范围为10h为例进行说明。
表2
| 序号 | ID | IP | 时间(单位:小时) | 位置 |
| 1 | Device1 | 1.2.3.4 | 0:00 | 105E 45N |
| 2 | Device1 | 1.2.3.4 | 1:00 | 105E 45N |
| 3 | Device1 | 1.2.3.5 | 2:00 | 无 |
| 4 | Device1 | 1.2.3.6 | 3:00 | 无 |
| 5 | Device1 | 1.2.3.7 | 4:00 | 118E 45N |
| 6 | Device1 | 1.2.3.6 | 5:00 | 106E 45N |
| 7 | Device1 | 1.2.3.4 | 6:00 | 无 |
| 8 | Device2 | 1.2.3.5 | 2:00 | 106E 45N |
如表2所示,若Device1为目标设备的设备ID,序号为3对应的访问行为数据中,包括目标设备的设备标识、目标设备访问网络时对应的时间信息,但不一定能获取到目标设备访问网络时每个时间信息对应的位置信息,则根据目标设备所接入的局域网、以及接入局域网的其他设备的访问数据确定目标设备接入序号为3中局域网时的位置信息。更准确地,根据预设时间范围(10h)内目标设备所接入的局域网、以及接入局域网的其他设备的访问数据,确定目标设备接入序号为3中局域网时的位置信息,具体确定方式为:
由于1~8号访问行为数据中,在预设时间范围(10h)内,存在与目标设备Device1中3号访问行为数据中接入网络IP相同的其他设备Device2的访问行为数据,可以根据Device2设备已存在的访问行为数据,确定目标设备Device1接入序号为3中网络时的位置信息分别为106E 45N,得到补充后的目标设备的行为数据如表3所示。
表3
| 序号 | ID | IP | 时间(单位:小时) | 位置 |
| 1 | Device1 | 1.2.3.4 | 0:00 | 105E 45N |
| 2 | Device1 | 1.2.3.4 | 1:00 | 105E 45N |
| 3 | Device1 | 1.2.3.5 | 2:00 | 106E 45N |
| 4 | Device1 | 1.2.3.6 | 3:00 | 无 |
| 5 | Device1 | 1.2.3.7 | 4:00 | 118E 45N |
| 6 | Device1 | 1.2.3.6 | 5:00 | 106E 45N |
| 7 | Device1 | 1.2.3.4 | 6:00 | 无 |
| 8 | Device2 | 1.2.3.5 | 2:00 | 106E 45N |
可选地,还是假定同一局域网的位置不变,也可以通过获取预设时间范围内目标设备某些时间段接入某局域网的位置信息,获取到目标设备其他时间段接入该局域网的位置信息,例如目标设备某个时间接入该局域网时获取到了该目标设备的位置信息,但是该目标设备另一时间接入该局域网时没有获取到该目标设备的位置信息,那么也可以确定目标设备另一时间接入该局域网时的位置信息。
如表3所示,序号为4和7对应的访问行为数据中,包括目标设备的设备标识、目标设备访问网络时对应的时间信息,但并不包括目标设备访问网络时每个时间信息对应的位置信息,则根据预设时间范围(10h)内目标设备访问同一网络IP时的位置信息,即可确定目标设备接入序号为4和7中各局域网时的位置信息,具体确定方式为:
1~8号访问行为数据中,在预设时间范围(10h)内,存在分别与4号和7号的访问行为数据中局域网IP相同的6号和2号访问行为数据,可以分别根据6号和2号访问行为数据,确定目标设备接入序号4号和7号各局域网时的位置信息分别为106E 45N和105E 45N,得到补充后的目标设备的行为数据如表4所示。
表4
| 序号 | ID | IP | 时间(单位:小时) | 位置 |
| 1 | Device1 | 1.2.3.4 | 0:00 | 105E 45N |
| 2 | Device1 | 1.2.3.4 | 1:00 | 105E 45N |
| 3 | Device1 | 1.2.3.5 | 2:00 | 106E 45N |
| 4 | Device1 | 1.2.3.6 | 3:00 | 106E 45N |
| 5 | Device1 | 1.2.3.7 | 4:00 | 118E 45N |
| 6 | Device1 | 1.2.3.6 | 5:00 | 106E 45N |
| 7 | Device1 | 1.2.3.4 | 6:00 | 105E 45N |
| 8 | Device2 | 1.2.3.5 | 2:00 | 106E 45N |
通过上述表4中的内容,即可获取到目标设备的网络访问数据,具体内容可参见上述所述,本申请在此不再赘述。
图5为本发明实施例提供的又一种异常流量识别方法的流程示意图。可选地,如图5所示,上述根据移动速率以及预设阈值,确认目标设备的网络访问数据是否为异常访问之前,还包括:
S501、根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息。
S502、根据每两个相邻时间对应的2个位置信息,确定对应的预设场景。
S503、获取预设场景对应的第一预设阈值。
其中,通过获取每两个相邻时间对应的2个位置信息,可以确定目标设备对应的预设场景。可选地,该预设场景可参见上述相关部分,例如,市内场景的第一预设阈值可以为120km/h-180km/h,跨省场景的第一预设阈值可以为350m/h-800km/h,跨国场景的第一预设阈值可以为800km/h以上,本申请在此并不对预设场景和每一预设场景的第一预设阈值作具体限定,根据实际的应用场景可进行设定。
比如,根据T3和T4两个相邻时间对应的2个位置信息,可以确定其对应的预设场景为市内场景,获取该市内场景对应的第一预设阈值为120km/h-180km/h,根据目标设备两个相邻时间对应的2个位置信息以及该第一预设阈值,可以确定目标设备的网络访问数据是否为异常,使得对于不同的应用场景可以选择对应的第一预设阈值,提高该异常流量识别方法的适应性和准确性。
图6为本发明实施例提供的一种异常流量识别装置的结构示意图。该装置基本原理及产生的技术效果与前述对应的方法实施例相同,为简要描述,本实施例中未提及部分,可参考方法实施例中的相应内容。如图6所示,该装置:第一获取模块110、计算模块120及确认模块130。
第一获取模块110,用于获取目标设备的网络访问数据,网络访问数据包括目标设备的设备标识、目标设备访问网络时对应的至少2个时间信息、以及每个时间信息对应的位置信息;计算模块120,用于根据网络访问数据,计算目标设备的移动速率;确认模块130,用于根据移动速率以及第一预设阈值,确认目标设备的网络访问数据是否为异常访问。
可选地,上述计算模块120,具体用于根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;根据位置差值和时间差值,计算获取目标设备的移动速率。
可选地,若至少2个位置信息大于2个,上述计算模块120,具体用于根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;根据位置差值和时间差值,计算获取目标设备的第一移动速率;若第一移动速率大于所述第二预设阈值,则根据时间信息的前后顺序,选择至少3个时间信息对应的位置信息,其中,至少3个时间信息中存在2个时间信息之间不相邻;根据至少3个时间信息对应的位置信息、以及至少3个时间信息,计算获取第二移动速率,将第二移动速率作为所述移动速率。
可选地,上述第一获取模块110,具体用于获取目标设备的访问行为数据,访问行为数据包括:目标设备的设备标识、目标设备访问网络时对应的时间信息;目标设备访问网络时对应的时间信息,获取预设时间范围内目标设备所接入的局域网、以及接入局域网的其他设备的访问数据,访问数据包含其他设备中至少一个设备的位置信息;根据其他设备中至少一个设备的位置信息,确定目标设备接入局域网时的位置信息。
图7为本发明实施例提供的另一种异常流量识别装置的结构示意图。可选地,如图7所示,上述装置还包括:第二获取模块140、确定模块150及第三获取模块160。
第二获取模块140,用于根据时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息;确定模块150,用于根据每两个相邻时间对应的2个位置信息,确定对应的预设场景;第三获取模块160,用于获取预设场景对应的第一预设阈值。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(Digital Signal Processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
图8为本发明实施例提供的一种电子设备结构示意图。可选地,如图8所示,该电子设备,包括:处理器210、存储介质220和总线230,存储介质220存储有处理器210可执行的机器可读指令,当主机运行时,处理器210与存储介质220之间通过总线通信,处理器210执行机器可读指令,以执行时执行上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本发明还提供一种存储介质,该存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种异常流量识别方法,其特征在于,包括:
获取目标设备的网络访问数据,所述网络访问数据包括所述目标设备的设备标识、所述目标设备访问网络时对应的至少2个时间信息、以及每个所述时间信息对应的位置信息;
根据所述网络访问数据,计算所述目标设备的移动速率;
根据所述移动速率以及第一预设阈值,确认所述目标设备的网络访问数据是否为异常访问。
2.根据权利要求1所述的方法,其特征在于,所述根据所述网络访问数据,计算所述目标设备的移动速率,包括:
根据所述时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;
根据所述位置差值和所述时间差值,计算获取所述目标设备的移动速率。
3.根据权利要求1所述的方法,其特征在于,若至少2个所述位置信息大于2个,所述根据所述网络访问数据,计算所述目标设备的移动速率,包括:
根据所述时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;
根据所述位置差值和所述时间差值,计算获取所述目标设备的第一移动速率;
若所述第一移动速率大于第二预设阈值,则根据所述时间信息的前后顺序,选择至少3个时间信息对应的位置信息,其中,所述至少3个时间信息中存在2个时间信息之间不相邻;
根据所述至少3个时间信息对应的位置信息、以及所述至少3个时间信息,计算获取第二移动速率,将所述第二移动速率作为所述移动速率。
4.根据权利要求1所述的方法,其特征在于,所述获取目标设备的网络访问数据,包括:
获取所述目标设备的访问行为数据,所述访问行为数据包括:所述目标设备的设备标识、所述目标设备访问网络时对应的时间信息;
所述目标设备访问网络时对应的时间信息,获取预设时间范围内所述目标设备所接入的局域网、以及接入所述局域网的其他设备的访问数据,所述访问数据包含所述其他设备中至少一个设备的位置信息;
根据所述其他设备中至少一个设备的位置信息,确定所述目标设备接入所述局域网时的位置信息。
5.根据权利要求1所述的方法,其特征在于,所述根据所述移动速率以及第一预设阈值,确认所述目标设备的网络访问数据是否为异常访问之前,还包括:
根据所述时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息;
根据所述每两个相邻时间对应的2个位置信息,确定对应的预设场景;
获取所述预设场景对应的所述第一预设阈值。
6.一种异常流量识别装置,其特征在于,包括:第一获取模块、计算模块及确认模块;
所述第一获取模块,用于获取目标设备的网络访问数据,所述网络访问数据包括所述目标设备的设备标识、所述目标设备访问网络时对应的至少2个时间信息、以及每个所述时间信息对应的位置信息;
所述计算模块,用于根据所述网络访问数据,计算所述目标设备的移动速率;
所述确认模块,用于根据所述移动速率以及第一预设阈值,确认所述目标设备的网络访问数据是否为异常访问。
7.根据权利要求6所述的装置,其特征在于,若至少2个所述位置信息大于2个,所述计算模块,具体用于根据所述时间信息的前后顺序,获取每两个相邻时间对应的2个位置信息的位置差值、以及两个相邻时间的时间差值;
根据所述位置差值和所述时间差值,计算获取所述目标设备的第一移动速率;
若所述第一移动速率大于第二预设阈值,则根据所述时间信息的前后顺序,选择至少3个时间信息对应的位置信息,其中,所述至少3个时间信息中存在2个时间信息之间不相邻;
根据所述至少3个时间信息对应的位置信息、以及所述至少3个时间信息,计算获取第二移动速率,将所述第二移动速率作为所述移动速率。
8.根据权利要求6所述的装置,其特征在于,所述第一获取模块,具体用于获取所述目标设备的访问行为数据,所述访问行为数据包括:所述目标设备的设备标识、所述目标设备访问网络时对应的时间信息;
所述目标设备访问网络时对应的时间信息,获取预设时间范围内所述目标设备所接入的局域网、以及接入所述局域网的其他设备的访问数据,所述访问数据包含所述其他设备中至少一个设备的位置信息;
根据所述其他设备中至少一个设备的位置信息,确定所述目标设备接入所述局域网时的位置信息。
9.一种电子设备,其特征在于,包括:处理器、存储介质和总线,所述存储介质存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储介质之间通过总线通信,所述处理器执行所述机器可读指令,以执行如权利要求1-5任一所述异常流量识别方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1-5任一所述异常流量识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910688288.9A CN110300123A (zh) | 2019-07-26 | 2019-07-26 | 异常流量识别方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910688288.9A CN110300123A (zh) | 2019-07-26 | 2019-07-26 | 异常流量识别方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110300123A true CN110300123A (zh) | 2019-10-01 |
Family
ID=68032089
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910688288.9A Pending CN110300123A (zh) | 2019-07-26 | 2019-07-26 | 异常流量识别方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110300123A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110781605A (zh) * | 2019-11-05 | 2020-02-11 | 恩亿科(北京)数据科技有限公司 | 广告投放模型测试方法、装置、计算机设备及存储介质 |
| CN111199417A (zh) * | 2019-11-29 | 2020-05-26 | 北京深演智能科技股份有限公司 | 虚假设备id的识别方法及装置 |
| CN112039861A (zh) * | 2020-08-20 | 2020-12-04 | 咪咕文化科技有限公司 | 风险识别方法、装置、电子设备和计算机可读存储介质 |
| CN113438201A (zh) * | 2021-05-17 | 2021-09-24 | 北京达佳互联信息技术有限公司 | 设备识别方法、装置、设备及存储介质 |
| CN114285648A (zh) * | 2021-12-27 | 2022-04-05 | 中国工商银行股份有限公司 | 一种网络访问数据处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150254279A1 (en) * | 2000-11-06 | 2015-09-10 | Nant Holdings Ip, Llc | Image Capture and Identification System and Process |
| CN107395608A (zh) * | 2017-08-03 | 2017-11-24 | 北京奇安信科技有限公司 | 一种网络访问异常检测方法及装置 |
| CN108009844A (zh) * | 2017-11-20 | 2018-05-08 | 北京智钥科技有限公司 | 确定广告作弊行为的方法、装置及云服务器 |
| CN109146546A (zh) * | 2018-07-23 | 2019-01-04 | 广州至真信息科技有限公司 | 一种作弊行为检测的方法及装置 |
| CN109413103A (zh) * | 2018-12-11 | 2019-03-01 | 泰康保险集团股份有限公司 | 虚假用户识别的处理方法、装置、设备及存储介质 |
-
2019
- 2019-07-26 CN CN201910688288.9A patent/CN110300123A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150254279A1 (en) * | 2000-11-06 | 2015-09-10 | Nant Holdings Ip, Llc | Image Capture and Identification System and Process |
| CN107395608A (zh) * | 2017-08-03 | 2017-11-24 | 北京奇安信科技有限公司 | 一种网络访问异常检测方法及装置 |
| CN108009844A (zh) * | 2017-11-20 | 2018-05-08 | 北京智钥科技有限公司 | 确定广告作弊行为的方法、装置及云服务器 |
| CN109146546A (zh) * | 2018-07-23 | 2019-01-04 | 广州至真信息科技有限公司 | 一种作弊行为检测的方法及装置 |
| CN109413103A (zh) * | 2018-12-11 | 2019-03-01 | 泰康保险集团股份有限公司 | 虚假用户识别的处理方法、装置、设备及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110781605A (zh) * | 2019-11-05 | 2020-02-11 | 恩亿科(北京)数据科技有限公司 | 广告投放模型测试方法、装置、计算机设备及存储介质 |
| CN110781605B (zh) * | 2019-11-05 | 2023-08-25 | 恩亿科(北京)数据科技有限公司 | 广告投放模型测试方法、装置、计算机设备及存储介质 |
| CN111199417A (zh) * | 2019-11-29 | 2020-05-26 | 北京深演智能科技股份有限公司 | 虚假设备id的识别方法及装置 |
| CN112039861A (zh) * | 2020-08-20 | 2020-12-04 | 咪咕文化科技有限公司 | 风险识别方法、装置、电子设备和计算机可读存储介质 |
| CN113438201A (zh) * | 2021-05-17 | 2021-09-24 | 北京达佳互联信息技术有限公司 | 设备识别方法、装置、设备及存储介质 |
| CN113438201B (zh) * | 2021-05-17 | 2023-03-28 | 北京达佳互联信息技术有限公司 | 设备识别方法、装置、设备及存储介质 |
| CN114285648A (zh) * | 2021-12-27 | 2022-04-05 | 中国工商银行股份有限公司 | 一种网络访问数据处理方法及装置 |
| CN114285648B (zh) * | 2021-12-27 | 2024-01-30 | 中国工商银行股份有限公司 | 一种网络访问数据处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110300123A (zh) | 异常流量识别方法、装置、电子设备及存储介质 | |
| US9092532B2 (en) | Method and server for searching for nearby user in social networking services | |
| CN112069235B (zh) | 用于呈现目标区域人口数据的方法、设备和存储介质 | |
| WO2016063424A1 (ja) | 人口推定装置、プログラム及び人口推定方法 | |
| CN108696558B (zh) | 位置信息处理方法和装置 | |
| Mohamed et al. | Accurate and efficient map matching for challenging environments | |
| CN108986512A (zh) | 一种公交车到站时间查询方法及装置 | |
| CN111739299A (zh) | 稀疏轨迹的车辆排队长度确定方法、装置、设备及介质 | |
| CN109005497B (zh) | 确定信号盲区的方法、确定用户位置的方法及装置 | |
| CN103546583A (zh) | 群智感知系统及群智感知方法 | |
| CN108875066A (zh) | 电子书推荐方法、服务器及计算机存储介质 | |
| CN113837383A (zh) | 模型训练方法、装置、电子设备及存储介质 | |
| CN113159457A (zh) | 一种智能路径规划的方法、系统及电子设备 | |
| CN110910054A (zh) | 轨迹的确定方法和装置、时间的推荐方法和装置 | |
| CN104599161A (zh) | 基于客户端的gps坐标点对订单进行计价的方法和设备 | |
| CN108763374B (zh) | 一种行驶路径展示方法、装置及设备 | |
| CN109271438A (zh) | 一种数据库访问方法及其系统 | |
| CN104956420B (zh) | 用于列车晚点的腕表通知 | |
| CN105043377A (zh) | 一种跑步路线记录方法、装置、以及一种电子设备 | |
| CN109410626A (zh) | 站点标示方法、装置、电子设备及计算机可读存储介质 | |
| CN106781470B (zh) | 城市道路的运行速度的处理方法及装置 | |
| JP5901392B2 (ja) | 情報処理システム、及び情報処理方法 | |
| CN115412852A (zh) | 移动终端的运动轨迹确定方法及系统 | |
| Saleem et al. | Road segment partitioning towards anomalous trajectory detection for surveillance applications | |
| CN112419128B (zh) | 一种线路规划方法以及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191001 |
|
| RJ01 | Rejection of invention patent application after publication |