CN110830314B - 一种异常流量的确定方法及装置 - Google Patents
一种异常流量的确定方法及装置 Download PDFInfo
- Publication number
- CN110830314B CN110830314B CN201911316709.1A CN201911316709A CN110830314B CN 110830314 B CN110830314 B CN 110830314B CN 201911316709 A CN201911316709 A CN 201911316709A CN 110830314 B CN110830314 B CN 110830314B
- Authority
- CN
- China
- Prior art keywords
- identification
- identification code
- abnormal
- determining
- category
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
Abstract
本申请涉及计算机网络技术领域,尤其涉及一种异常流量的确定方法及装置,本申请通过从获取到的多个日志信息中,提取出多个标识码,并确定每个标识码属于的设备标识类别,从多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,若该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码,进而确定与第一异常标识码关联的日志信息为异常日志,并将异常日志对应的流量,确定为异常流量。基于上述方式,可以确定出异常的标识码,进而识别出异常流量,可以提高异常流量的识别率。
Description
技术领域
本申请涉及计算机网络技术领域,尤其涉及一种异常流量的确定方法及装置。
背景技术
为了提高在大众的辨识度和口碑,资源投放方会在各个媒体平台上对资源进行投放,以便大众获取更多的资源信息,资源投放方可以通过大众点击资源产生的流量,统计出大众对该资源的兴趣度,但是在实际投放中,会有伪造的虚假流量来提高资源投放方监测到的曝光数、点击数等指标。
通常,通过判断同一设备在预置时间内的访问次数,来判定该设备为异常设备,进而判定异常流量,但是在异常流量的造假过程中,存在持续更换不同的标识码信息,从而无法识别出异常流量是否来自同一设备,故采用上述方法无法准确地识别出异常流量。
发明内容
有鉴于此,本申请实施例的目的在于提供一种异常流量的确定方法及装置,通过从获取到的多个日志信息中,提取出多个标识码,并确定每个标识码属于的设备标识类别,从多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,若该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码,进而确定与第一异常标识码关联的日志信息为异常日志,并将异常日志对应的流量,确定为异常流量。基于上述方式,可以确定出异常的标识码,进而识别出异常流量,可以提高异常流量的识别率。
主要包括以下几个方面:
第一方面,本申请实施例提供一种异常流量的确定方法,所述确定方法包括:
从获取到的终端设备进行网络访问时产生的多个日志信息中,提取出所述终端设备的多个标识码,并确定所述多个标识码中每个标识码属于的设备标识类别;
针对每个标识码,根据所述多个日志信息,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量;
若确定出的与该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码;
确定所述第一异常标识码关联的日志信息为异常日志,并将所述异常日志对应的终端设备进行网络访问时产生的流量,确定为异常流量。
在一种可能的实施方式中,所述设备标识类别包括以下类别中的至少一种:
无线网卡地址、国际移动设备识别码、广告标识符以及设备序列号。
在一种可能的实施方式中,所述从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量之前,还包括:
从所述多个日志信息中提取出至少一个互联网协议地址;
针对每个标识码,根据所述多个日志信息,从所述至少一个互联网协议地址中,确定出与该标识码位于同一日志信息中的互联网协议地址的第二数量;
若确定出的所述第二数量大于或等于第二预设阈值,确定该标识码为第二异常标识码;
所述从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,包括:
针对所述多个标识码中除所述第二异常标识码之外的每个标识码,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量。
在一种可能的实施方式中,所述根据所述第一异常标识码,确定所述第一异常标识码关联的日志信息为异常日志,包括:
判断所述第一异常标识码是否属于预设设备标识类别;
若所述第一异常标识码属于所述预设设备标识类别,则将所述多个日志信息中带有所述第一异常标识码的日志,确定为异常日志。
在一种可能的实施方式中,所述判断所述第一异常标识码是否属于预设设备标识类别之后,还包括:
若所述第一异常标识码不属于所述预设设备标识类别,确定所述第一异常标识码关联的属于预设设备标识类别的目标标识码,并将所述多个日志信息中,带有所述目标标识码的日志,确定为异常日志。
在一种可能的实施方式中,所述确定所述第一异常标识关联的属于预设设备标识类别的目标标识码,包括:
根据所述第一异常标识码,从获取到的多个日志信息中找出带有所述第一异常标识码的至少一个日志信息;
从所述至少一个日志信息中,获取属于所述预设设备标识类别的所述目标标识码。
第二方面,本申请实施例还提供一种异常流量的确定装置,所述确定装置包括:
第一提取模块,用于从获取到的终端设备进行网络访问时产生的多个日志信息中,提取出所述终端设备的多个标识码,并确定所述多个标识码中每个标识码属于的设备标识类别;
第一确定模块,用于针对每个标识码,根据所述多个日志信息,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量;
第二确定模块,用于若确定出的与该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码;
第三确定模块,用于确定所述第一异常标识码关联的日志信息为异常日志,并将所述异常日志对应的终端设备进行网络访问时产生的流量,确定为异常流量。
在一种可能的实施方式中,所述设备标识类别包括以下类别中的至少一种:
无线网卡地址、国际移动设备识别码、广告标识符以及设备序列号。
在一种可能的实施方式中,所述确定装置,还包括:
第二提取模块,用于从所述多个日志信息中提取出至少一个互联网协议地址;
第四确定模块,用于针对每个标识码,根据所述多个日志信息,从所述至少一个互联网协议地址中,确定出与该标识码位于同一日志信息中的互联网协议地址的第二数量;
第五确定模块,用于若确定出的所述第二数量大于或等于第二预设阈值,确定该标识码为第二异常标识码;
所述第一提取模块具体用于:
针对所述多个标识码中除所述第二异常标识码之外的每个标识码,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量。
在一种可能的实施方式中,所述第二确定模块,包括:
判断单元,判断所述第一异常标识码是否属于预设设备标识类别;
第一确定单元,用于若所述第一异常标识码属于所述预设设备标识类别,则将所述多个日志信息中带有所述第一异常标识码的日志,确定为异常日志。
在一种可能的实施方式中,所述第二确定模块,还包括:
第二确定单元,用于若所述第一异常标识码不属于所述预设设备标识类别,确定所述第一异常标识码关联的属于预设设备标识类别的目标标识码;
第三确定单元,用于将所述多个日志信息中,带有所述目标标识码的日志,确定为异常日志。
在一种可能的实施方式中,所述第二确定单元,用于根据以下步骤确定所述第一异常标识关联的属于预设设备标识类别的目标标识码:
根据所述第一异常标识码,从获取到的多个日志信息中找出带有所述第一异常标识码的至少一个日志信息;
从所述至少一个日志信息中,获取属于所述预设设备标识类别的所述目标标识码。
第三方面,本申请实施例还提供一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过所述总线进行通信,所述机器可读指令被所述处理器运行时执行上述第一方面或第一方面中任一种可能的实施方式中所述的异常流量的确定方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述第一方面或第一方面中任一种可能的实施方式中所述的异常流量的确定方法的步骤。
本申请实施例中,通过从获取到的多个日志信息中,提取出多个标识码,并确定每个标识码属于的设备标识类别,从多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,若该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码,进而确定与第一异常标识码关联的日志信息为异常日志,并将异常日志对应的流量,确定为异常流量。基于上述方式,可以确定出异常的标识码,进而识别出异常流量,可以提高异常流量的识别率。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例所提供的一种异常流量的确定方法的流程图;
图2示出了本申请实施例所提供的一种异常流量的确定装置的结构示意图之一;
图3示出了本申请实施例所提供的一种异常流量的确定装置的结构示意图之二;
图4示出了本申请实施例所提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,应当理解,本申请中的附图仅起到说明和描述的目的,并不用于限定本申请的保护范围。另外,应当理解,示意性的附图并未按实物比例绘制。本申请中使用的流程图示出了根据本申请的一些实施例实现的操作。应当理解,流程图的操作可以不按顺序实现,没有逻辑的上下文关系的步骤可以反转顺序或者同时实施。此外,本领域技术人员在本申请内容的指引下,可以向流程图添加一个或多个其他操作,也可以从流程图中移除一个或多个操作。
另外,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的全部其他实施例,都属于本申请保护的范围。
值得注意的是,在本申请提出之前,现有技术中,通常,通过判断同一设备在预置时间内的访问次数,来判定该设备为异常设备,进而判定异常流量,但是在异常流量的造假过程中,存在持续更换不同的标识码信息,从而无法识别出异常流量是否来自同一设备,故采用上述方法无法准确地识别出异常流量。
针对上述问题,本申请通过从获取到的多个日志信息中,提取出多个标识码,并确定每个标识码属于的设备标识类别,从多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,若该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码,进而确定与第一异常标识码关联的日志信息为异常日志,并将异常日志对应的流量,确定为异常流量。基于上述方式,可以确定出异常的标识码,进而识别出异常流量,可以提高异常流量的识别率。
为便于对本申请进行理解,下面结合具体实施例对本申请提供的技术方案进行详细说明。
图1为本申请实施例一所提供的一种异常流量的确定方法的流程图。
所述确定方法,包括以下步骤:
S101:从获取到的终端设备进行网络访问时产生的多个日志信息中,提取出所述终端设备的多个标识码,并确定所述多个标识码中每个标识码属于的设备标识类别。
该步骤中,在一个预设的时间段内,获取多个终端设备网络访问同一目标网络所产生的多个日志信息,从获取到的多个日志信息中提取出包含终端设备的多个标识码,并且确定出每个标识码属于的设备标识类别,得到至少一个设备标识类别,以及每个设备标识类别对应的标识码,其中,预设时间是一段较短的时间。
可选地,至少一个设备标识类别包括无线网卡地址(Media Access Control,MAC)和国际移动设备识别码(International Mobile Equipment Identity,IMEI)等,每个设备标识类别对应的标识码为该设备标识类别在对应的日志中,具体表现出的标识码。
需要说明的是,目标网络可以是需要进行流量分析的用户或者机构的网络,假设目标网络可以是资源投放方A的运营的网络,终端设备包括但不限于移动电话、智能手机、平板计算机、笔记本电脑、台式计算机、媒体播放器、游戏控制台、电视机、掌上型计算机以及导航设备。
还需要说明的是,终端设备网络访问产生日志信息,是通过终端设备点击或者曝光目标网络产生流量时,生成的日志信息,日志信息是用来记录当前终端设备信息、搜索记录、时间地点信息以及互联网协议地址信息等。
S102:针对每个标识码,根据所述多个日志信息,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量。
该步骤中,根据从多个日志信息中,提取出的多个标识码,针对多个标识码中的每个标识码,从确定出的多个设备标识类别中除了该标识码所属的设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,所以对于在预设时间内获取到的所有标识码中的每个标识码,都要确定出该标识码与每个其他设备标识类别中每个标识码位于同一日志信息中的第一数量,所以每个标识码对应多个其他设备标识类别得到多个第一数量。
一示例中,假设在预设的一段时间,获取终端设备在进行网络访问时产生的日志数量有六个,假设A,B,C为三个不同的设备标识类别,则从这六个日志中提取出的每个设备标识类别对应的标识码如下:
日志1:A=A1,B=B1,C=C1;
日志2:A=A1,C=C1;
日志3:A=A1,B=B3;
日志4:A=A1,B=B3;
日志5:A=A2,B=B3,C=C1;
日志6:A=A1,B=B4,C=C4;
则确定出与标识码A1所属设备标识类别之外的其他设备标识类别B位于同一日志信息中的标识码为B1、B3和B4,则与A1的一个第一数量为3,确定出与标识码A1所属设备标识类别之外的其他设备标识类别C对应的标识码为C1和C4,则与A1的另一个第一数量为2。
S103:若确定出的与该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码。
该步骤中,根据每个标识码确定出的多个第一数量中,如果存在数量值大于或等于第一预设阈值的第一数量,则该标识码就确定为第一异常标识码,这里,第一预设阈值是一个很小的数,可以根据实际情况而定。
需要说明的是,确定出与该标识码对应的第一数量为多个,只要该标识码对应的多个第一数量中,有大于或等于第一预设阈值的第一数量,就确认该标识码为第一异常标识码。
还需要说明的是,这里针对其中一个标识码的多个第一数量进行说明,对于获取到的多个标识码,每个标识码都会对应多个第一数量,这里每个标识码对应的多个第一数量都要与第一预设阈值进行比较,从而判断出多个标识码中的第一异常标识码。
一示例中,假设确定出与标识码A1所属设备标识类别之外的其他设备标识类别B位于同一日志信息中的标识码为B1、B3和B4,则A1的一个第一数量为3,确定出与标识码A1所属设备标识类别之外的其他设备标识类别C位于同一日志信息中的标识码为C1,则A1的另一个第一数量为1,假设第一预设阈值为2,则标识码A1对应的多个第一数量中,一个第一数量为3,3大于2,标识码A1的另一个第一数量为1,1小于2,则确认标识码A1为第一异常标识码。
S104:确定所述第一异常标识码关联的日志信息为异常日志,并将所述异常日志对应的终端设备进行网络访问时产生的流量,确定为异常流量。
该步骤中,根据确认出的第一异常标识码,从获取的多个日志信息中,选出带有第一异常标识码的日志信息,根据带有第一异常标识码的日志信息,确认出异常日志,则异常日志对应的终端设备进行网络访问时产生的流量,确定为异常流量。
在本申请实施例中,通过从获取到的多个日志信息中,提取出多个标识码,并确定每个标识码属于的设备标识类别,从多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,若该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码,进而确定与第一异常标识码关联的日志信息为异常日志,并将异常日志对应的流量,确定为异常流量。基于上述方式,可以确定出异常的标识码,进而识别出异常流量,可以提高异常流量的识别率。
在一种可能的实施方式中,所述设备标识类别包括以下类别中的至少一种:
无线网卡地址、国际移动设备识别码、广告标识符以及设备序列号。
该步骤中,从多个日志信息中提取的设备标识类别包括以下类别中的至少一种:MAC、IMEI、广告标识符(Identifier For Advertising,IDFA)以及设备序列号(SerialNumber,SN)。
需要说明的是,在正常情况下,终端设备在进行网络访问时,每个设备标识类别对应的标识码,在预设的时间段内是基本不会改变的,但也会有改变的时候,例如IDFA会在关机的时候刷新出新的IDFA对应的标识码,IMEI可以通过模拟器修改对应的标识码,所以一旦一个标识码在预设的一段时间内,关联的其他设备标识类别对应的标识码过多,则该标识码是一个异常的标识码,对应的流量就是异常的流量。
还需要说明的是,从多个日志信息中每个日志信息提取出的设备标识类别的数目不是统一的,也就是说,在一个日志信息中记录的设备标识类别可以是包括全部的设备标识类别,也可以是只有上述的设备标识类别中的几个设备标识类别。
在一种可能的实施方式中,在S102中所述从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量之前,还包括:
步骤(1):从所述多个日志信息中提取出至少一个互联网协议地址。
该步骤中,在一个预设的时间段内,根据获取到多个日志信息,从多个日志信息中提取出包含终端设备的至少一个互联网协议(Internet Protocol,IP)地址,其中,预设时间是一段较短的时间。
其中,IP地址是IP协议提供的一种统一的地址格式,它为互联网上的每一个网络和每一台主机分配一个逻辑地址,实现了连接到网上的所有计算机网络的相互通信。
步骤(2):针对每个标识码,根据所述多个日志信息,从所述至少一个互联网协议地址中,确定出与该标识码位于同一日志信息中的互联网协议地址的第二数量。
该步骤中,根据从多个日志信息中,提取出的多个标识码以及至少一个IP地址,针对每个标识码,确定出与该标识码位于同一日志信息中的互联网协议地址的第二数量。
一示例中,在预设的一段时间,获取终端设备在进行网络访问产生的日志数量有六个,从六个日志信息中提取出的每个设备标识类别对应的标识码,以及IP地址如下:
日志1:A=A1,B=B1,C=C1,IP=IP1;
日志2:A=A1,C=C1,IP=IP2;
日志3:A=A1,B=B3,IP=IP2;
日志4:A=A1,B=B3,IP=IP2;
日志5:A=A2,B=B3,C=C1,IP=IP3;
日志6:A=A1,B=B4,C=C4,IP=IP4;
则确定出与标识码A1位于同一日志信息中的IP地址为IP1、IP2和IP4,则标识码A1的第二数量为3。
步骤(3):若确定出的所述第二数量大于或等于第二预设阈值,确定该标识码为第二异常标识码。
该步骤中,在确定出的每个标识码的第二数量之后,若第二数量大于或等于第二预设阈值,则该第二数量对应的标识码确定为第二异常标识码,这里,第二预设阈值是一个很小的数,可以根据实际情况而定。
需要说明的是,这里第二异常标识码与上述第一异常标识码都是异常标识码,是一样的概念,只是通过不同的方法确认出的异常标识码,这里的第一和第二只作为区分,没有区别。
还需要说明的是,IP地址表征的是终端设备的上网地址,在短时间内,终端设备的IP地址是基本不会变的,但也会有改变的情况,例如当终端设备从一种无线网换成另一种无线网,或者从无线网换成移动数据的时候,会改变终端设备的IP地址,所以在短时间内,一旦一个标识码关联的IP地址过多,则该标识码是异常的标识码。
一示例中,假设确定出与标识码A1位于同一日志信息中的IP地址为IP1、IP2和IP4,则标识码A1的第二数量为3,假设第二预设阈值为2,3大于2,所以确认标识码A1为第二异常标识码。
所述从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,包括:
针对所述多个标识码中除所述第二异常标识码之外的每个标识码,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量。
该步骤中,针对从所述多个日志信息中获取到的多个标识码中,确定每个标识码的多个第一数量之前,将第二异常标识码剔除,确定除第二异常标识码之外,其余标识码中每个标识码的多个第一数量。
需要说明的是,第二异常标识码的判定方法比第一异常标识码的判定方法要简单些,也就是说,在预设的时间段内,关联IP地址过多的标识码一定是异常的标识码,所以这类标识码就不用再去通过统计和判断第一数量的大小而判定是否是异常的标识码,所以将第二异常标识码剔除后,再确其余标识码中每个标识码的多个第一数量,也就是对其余的标识码做下一步的判断。
在一种可能的实施方式中,在S104中所述根据所述第一异常标识码,确定所述多个日志信息中的异常日志,包括以下步骤:
步骤(A):判断所述第一异常标识码是否属于预设设备标识类别。
该步骤中,判断第一异常标识码是否属于预设的设备标识类别,预设的设备标识类别表示为,该设备标识类别对应的终端设备的唯一设备标识类别,也就是说,这个预设设备标识类别代表了一台终端设备。
需要说明的是,预设设备标识类别是根据人为来确定,也就是说,可以通过每个设备标识类别的优先级来确定出预设设备标识类别,假设规定优先级的顺序为:IMEI>IDFA>MAC,则在每一个日志中提取出的设备标识类别按照上述优先级确定出预设设备标识类别,也就是说,假设在一个日志中提取出的设备标识类别中有IMEI,则IMEI就作为预设设备标识类别,如果没有IMEI,则看该日志中提取出的设备标识类别是否有IDFA,如果有,则IDFA就作为预设设备标识类别,以此类推。
步骤(B):若所述第一异常标识码属于所述预设设备标识类别,则将所述多个日志信息中带有所述第一异常标识码的日志,确定为异常日志。
该步骤中,如果第一异常标识码属于预设设备标识类别,则在预设的时间段内获取到的多个日志信息中,找出带有第一异常标识码的日志,则该日志就确定为异常日志。
一示例中,在预设的一段时间,获取终端设备在进行网络访问产生的日志数量有六个,从六个日志中提取出的每个设备标识类别对应的标识码如下:
日志1:A=A1,B=B1,C=C1;
日志2:A=A1,C=C1;
日志3:A=A1,B=B3;
日志4:A=A1,B=B3;
日志5:A=A2,B=B3,C=C1;
日志6:A=A1,B=B4,C=C4;
则通过判断,确定出标识码A1是第一异常标识码,也判断出设备标识类别A是预设设备标识类别,也就是A1属于预设设备标识类别,则在上述六个日志中,找出带有标识码A1的日志,也就是日志1、日志2、日志3、日志4和日志6,确定为异常日志。
在一种可能的实施方式中,在步骤(A)之后,还包括:
若所述第一异常标识码不属于所述预设设备标识类别,确定所述第一异常标识码关联的属于预设设备标识类别的目标标识码;
将所述多个日志信息中,带有所述目标标识码的日志,确定为异常日志。
该步骤中,如果第一异常标识码不属于预设设备标识类别,则从与第一异常标识码关联的每个其他设备标识类别对应的标识码中,确定出属于预设设备标识类别的目标标识码,并从获取到的多个日志中,找出带有目标标识码的日志,并将带有目标标识码的日志,确定为异常日志。
在一种可能的实施方式中,所述确定所述第一异常标识关联的属于预设设备标识类别的目标标识码,包括以下步骤:
步骤(a):根据所述第一异常标识码,从获取到的多个日志信息中找出带有所述第一异常标识码的至少一个日志信息。
该步骤中,在预设的一段时间内获取到的多个日志信息中,根据从多个日志信息的每个日志信息中,提取出的至少一个设备标识类别的标识码,从多个日志信息中,找出带有第一异常标识码的至少一个日志信息。
步骤(b):从所述至少一个日志信息中,获取属于所述预设设备标识类别的所述目标标识码。
该步骤中,根据带有第一异常标识码的至少一个日志信息,以及从每个日志信息中提取出的至少一个设备标识类别的标识码,确认出每个带有第一异常标识码的每个日志信息中,属于预设设备标识类别的目标标识码。
一示例中,在预设的一段时间,获取终端设备在进行网络访问产生的日志数量有六个,从每个日志中提取出的每个设备标识类别对应的标识码如下:
日志1:A=A1,B=B1,C=C1;
日志2:A=A1,C=C1;
日志3:A=A1,B=B3;
日志4:A=A1,B=B3;
日志5:A=A2,B=B3,C=C1;
日志6:A=A1,B=B4,C=C4;
则通过判断,确定出标识码A1是第一异常标识码,所以从上述六个日志中,找出带有第一异常标识码A1的日志,也就是日志1、日志2、日志3、日志4和日志6,假设设备标识类别C是预设设备标识类别,所以经过判断,第一异常标识码A1不属于预设设备标识类别,所以分别在日志1、日志2、日志3、日志4和日志6中,获取属于预设设备标识类别的目标标识码,也就是C1和C4,所以日志1、日志2和日志6是异常日志。
进一步的,通过上述方法,在预设的时间段内通过判断与每个标识码关联的每个其他设备标识类别的标识码的多个第一数量,来确定出的第一异常标识码,如果第一异常标识码属于预设设备标识类别,则除了可以判断在预设的时间段内获取到的多个日志信息是否是异常日志之外,在其他任意时间段内,只要获取到某个日志信息中带有第一异常标识码,则该日志就是异常日志,如果第一异常标识码不属于预设设备标识类别,则通过从获取到的多个日志信息中,提取出多个标识码,并确定每个标识码属于的设备标识类别,从多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,若该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码,进而确定与第一异常标识码关联的日志信息为异常日志,并将异常日志对应的流量,确定为异常流量。基于上述方式,可以确定出异常的标识码,进而识别出异常流量,可以提高异常流量的识别率。
基于同一申请构思,本申请实施例中还提供了与上述实施例提供的异常流量的确定方法对应的异常流量的确定装置,由于本申请实施例中的装置解决问题的原理与本申请上述实施例的异常流量的确定方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参见图2所示,为本申请实施例提供的一种异常流量的确定装置200的结构示意图之一,参见图3所示,为本申请实施例提供的一种异常流量的确定装置200的结构示意图之二,其中,如图2和图3所示,本申请实施例提供的异常流量的确定装置200,包括:
第一提取模块210,用于从获取到的终端设备进行网络访问时产生的多个日志信息中,提取出所述终端设备的多个标识码,并确定所述多个标识码中每个标识码属于的设备标识类别;
第一确定模块220,用于针对每个标识码,根据所述多个日志信息,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量;
第二确定模块230,用于若确定出的与该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码;
第三确定模块240,用于确定所述第一异常标识码关联的日志信息为异常日志,并将所述异常日志对应的终端设备进行网络访问时产生的流量,确定为异常流量。
本申请通过第一提取模块210从获取到的多个日志信息中,提取出多个标识码,并确定每个标识码属于的设备标识类别,再根据第一确定模块220从多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,再根据第二确定模块230若该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,再根据第二确定模块230确定该标识码为第一异常标识码,再根据第三确定模块240确定与第一异常标识码关联的日志信息为异常日志,并将异常日志对应的流量,确定为异常流量。基于上述方式,可以确定出异常的标识码,进而识别出异常流量,可以提高异常流量的识别率。
在一种可能的实施方式中,所述设备标识类别包括以下类别中的至少一种:
无线网卡地址、国际移动设备识别码、广告标识符以及设备序列号。
在一种可能的实施方式中,如图3所示,所述异常流量的确定装置200,还包括:
第二提取模块250,用于从所述多个日志信息中提取出至少一个互联网协议地址;
第四确定模块260,用于针对每个标识码,根据所述多个日志信息,从所述至少一个互联网协议地址中,确定出与该标识码位于同一日志信息中的互联网协议地址的第二数量;
第五确定模块270,用于若确定出的所述第二数量大于或等于第二预设阈值,确定该标识码为第二异常标识码;
所述第一确定模块220具体用于:
针对所述多个标识码中除所述第二异常标识码之外的每个标识码,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量。
在一种可能的实施方式中,所述第二确定模块230,包括:
判断单元231,用于判断所述第一异常标识码是否属于预设设备标识类别;
第一确定单元232,用于若所述第一异常标识码属于所述预设设备标识类别,则将所述多个日志信息中带有所述第一异常标识码的日志,确定为异常日志。
在一种可能的实施方式中,所述第二确定模块230,还包括:
第二确定单元233,用于若所述第一异常标识码不属于所述预设设备标识类别,确定所述第一异常标识码关联的属于预设设备标识类别的目标标识码;
第三确定单元234,用于将所述多个日志信息中,带有所述目标标识码的日志,确定为异常日志。
在一种可能的实施方式中,所述第二确定单元233,用于根据以下步骤确定所述第一异常标识关联的属于预设设备标识类别的目标标识码:
根据所述第一异常标识码,从获取到的多个日志信息中找出带有所述第一异常标识码的至少一个日志信息;
从所述至少一个日志信息中,获取属于所述预设设备标识类别的所述目标标识码。
基于同一申请构思,参见图4所示,为本申请实施例提供的一种电子设备400的结构示意图,包括:处理器410、存储器420和总线430,所述存储器420存储有所述处理器410可执行的机器可读指令,当电子设备400运行时,所述处理器410与所述存储器420之间通过所述总线430进行通信,所述机器可读指令被所述处理器410运行时执行如上述实施例中任一所述的异常流量的确定方法的步骤。
具体地,所述机器可读指令被所述处理器410执行时可以执行如下处理:
从获取到的终端设备进行网络访问时产生的多个日志信息中,提取出所述终端设备的多个标识码,并确定所述多个标识码中每个标识码属于的设备标识类别;
针对每个标识码,根据所述多个日志信息,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量;
若确定出的与该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码;
确定所述第一异常标识码关联的日志信息为异常日志,并将所述异常日志对应的终端设备进行网络访问时产生的流量,确定为异常流量。
本申请实施例中,通过从获取到的多个日志信息中,提取出多个标识码,并确定每个标识码属于的设备标识类别,从多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,若该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码,进而确定与第一异常标识码关联的日志信息为异常日志,并将异常日志对应的流量,确定为异常流量。基于上述方式,可以确定出异常的标识码,进而识别出异常流量,可以提高异常流量的识别率。
基于同一申请构思,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述实施例中提供的异常流量的确定方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应所述理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者所述技术方案的部分可以以软件产品的形式体现出来,所述计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种异常流量的确定方法,其特征在于,所述确定方法包括:
从获取到的终端设备进行网络访问时产生的多个日志信息中,提取出所述终端设备的多个标识码,并确定所述多个标识码中每个标识码属于的设备标识类别;
针对每个标识码,根据所述多个日志信息,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量;
若确定出的与该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码;
确定所述第一异常标识码关联的日志信息为异常日志,并将所述异常日志对应的终端设备进行网络访问时产生的流量,确定为异常流量。
2.根据权利要求1所述的确定方法,其特征在于,所述设备标识类别包括以下类别中的至少一种:
无线网卡地址、国际移动设备识别码、广告标识符以及设备序列号。
3.根据权利要求1所述的确定方法,其特征在于,所述从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量之前,还包括:
从所述多个日志信息中提取出至少一个互联网协议地址;
针对每个标识码,根据所述多个日志信息,从所述至少一个互联网协议地址中,确定出与该标识码位于同一日志信息中的互联网协议地址的第二数量;
若确定出的所述第二数量大于或等于第二预设阈值,确定该标识码为第二异常标识码;
所述从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量,包括:
针对所述多个标识码中除所述第二异常标识码之外的每个标识码,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量。
4.根据权利要求1所述的确定方法,其特征在于,所述确定所述第一异常标识码关联的日志信息为异常日志,包括:
判断所述第一异常标识码是否属于预设设备标识类别;
若所述第一异常标识码属于所述预设设备标识类别,则将所述多个日志信息中带有所述第一异常标识码的日志,确定为异常日志。
5.根据权利要求4所述的确定方法,其特征在于,所述判断所述第一异常标识码是否属于预设设备标识类别之后,还包括:
若所述第一异常标识码不属于所述预设设备标识类别,确定所述第一异常标识码关联的属于预设设备标识类别的目标标识码;
将所述多个日志信息中,带有所述目标标识码的日志,确定为异常日志。
6.根据权利要求5所述的确定方法,其特征在于,所述确定所述第一异常标识关联的属于预设设备标识类别的目标标识码,包括:
根据所述第一异常标识码,从获取到的多个日志信息中找出带有所述第一异常标识码的至少一个日志信息;
从所述至少一个日志信息中,获取属于所述预设设备标识类别的所述目标标识码。
7.一种异常流量的确定装置,其特征在于,所述确定装置包括:
第一提取模块,用于从获取到的终端设备进行网络访问时产生的多个日志信息中,提取出所述终端设备的多个标识码,并确定所述多个标识码中每个标识码属于的设备标识类别;
第一确定模块,用于针对每个标识码,根据所述多个日志信息,从确定出的多个设备标识类别中除该标识码所属设备标识类别之外的每个其他设备标识类别中,确定出与该标识码位于同一日志信息中的标识码的第一数量;
第二确定模块,用于若确定出的与该标识码对应的多个第一数量中,存在数量值大于或等于第一预设阈值的第一数量,确定该标识码为第一异常标识码;
第三确定模块,用于确定所述第一异常标识码关联的日志信息为异常日志,并将所述异常日志对应的终端设备进行网络访问时产生的流量,确定为异常流量。
8.根据权利要求7所述的确定装置,其特征在于,所述设备标识类别包括以下类别中的至少一种:
无线网卡地址、国际移动设备识别码、广告标识符以及设备序列号。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1至6任一所述的异常流量的确定方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如权利要求1至6任一所述的异常流量的确定方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911316709.1A CN110830314B (zh) | 2019-12-19 | 2019-12-19 | 一种异常流量的确定方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911316709.1A CN110830314B (zh) | 2019-12-19 | 2019-12-19 | 一种异常流量的确定方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110830314A CN110830314A (zh) | 2020-02-21 |
| CN110830314B true CN110830314B (zh) | 2022-05-17 |
Family
ID=69545862
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911316709.1A Active CN110830314B (zh) | 2019-12-19 | 2019-12-19 | 一种异常流量的确定方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110830314B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491660A (zh) * | 2020-12-07 | 2021-03-12 | 北京明略昭辉科技有限公司 | 异常流量的识别方法、装置、电子设备及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9225736B1 (en) * | 2013-06-27 | 2015-12-29 | Symantec Corporation | Techniques for detecting anomalous network traffic |
| CN105634874A (zh) * | 2016-01-28 | 2016-06-01 | 北京百度网讯科技有限公司 | 流量上报信息校验方法和装置 |
| CN106453392A (zh) * | 2016-11-14 | 2017-02-22 | 中国人民解放军防空兵学院 | 基于流量特征分布的全网络异常流识别方法 |
| CN107819750A (zh) * | 2017-10-27 | 2018-03-20 | 北京趣拿软件科技有限公司 | 请求消息的处理方法、装置、存储介质、处理器及系统 |
-
2019
- 2019-12-19 CN CN201911316709.1A patent/CN110830314B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9225736B1 (en) * | 2013-06-27 | 2015-12-29 | Symantec Corporation | Techniques for detecting anomalous network traffic |
| CN105634874A (zh) * | 2016-01-28 | 2016-06-01 | 北京百度网讯科技有限公司 | 流量上报信息校验方法和装置 |
| CN106453392A (zh) * | 2016-11-14 | 2017-02-22 | 中国人民解放军防空兵学院 | 基于流量特征分布的全网络异常流识别方法 |
| CN107819750A (zh) * | 2017-10-27 | 2018-03-20 | 北京趣拿软件科技有限公司 | 请求消息的处理方法、装置、存储介质、处理器及系统 |
Non-Patent Citations (2)
| Title |
|---|
| 基于W-Kmeans算法的DNS流量异常检测;林成虎等;《计算机工程与设计》;20130616(第06期);全文 * |
| 多节点系统异常日志流量模式检测方法;王晓东等;《软件学报》(第10期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110830314A (zh) | 2020-02-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108009844B (zh) | 确定广告作弊行为的方法、装置及云服务器 | |
| CN105791255B (zh) | 基于账户聚类的计算机风险识别方法及其系统 | |
| CN106301980B (zh) | 一种刷量工具检测方法和装置 | |
| CN110033302B (zh) | 恶意账户识别方法及装置 | |
| CN106886906B (zh) | 一种设备识别方法和装置 | |
| CN110689084B (zh) | 一种异常用户识别方法及装置 | |
| CN110661794B (zh) | 流量识别方法、装置、电子设备及可读存储介质 | |
| CN113412607B (zh) | 内容推送方法、装置、移动终端及存储介质 | |
| US20200004785A1 (en) | Automatic grouping based on user behavior | |
| CN112511535A (zh) | 一种设备检测方法、装置、设备及存储介质 | |
| CN110300089B (zh) | 目标帐号的处理方法、装置、存储介质及电子装置 | |
| CN113726783A (zh) | 异常ip地址识别方法、装置、电子设备及可读存储介质 | |
| CN110830314B (zh) | 一种异常流量的确定方法及装置 | |
| CN110188276B (zh) | 数据发送装置、方法、电子设备及计算机可读存储介质 | |
| CN110365682B (zh) | 一种反作弊方法及装置 | |
| CN111767481B (zh) | 访问处理方法、装置、设备和存储介质 | |
| CN110943989A (zh) | 一种设备鉴别方法、装置、电子设备及可读存储介质 | |
| CN107491332B (zh) | 识别应用程序虚假安装的方法、装置及服务器 | |
| CN111343240A (zh) | 一种服务请求的处理方法、装置、电子设备及存储介质 | |
| CN105681097B (zh) | 获取终端设备更换周期的方法和装置 | |
| CN111127094B (zh) | 一种账户匹配方法、装置、电子设备和存储介质 | |
| CN110891097B (zh) | 一种跨设备用户识别方法及装置 | |
| CN114329449A (zh) | 系统安全检测方法和装置、存储介质及电子装置 | |
| CN109391626B (zh) | 一种判定网络攻击结果未遂的方法和相关装置 | |
| CN113886506A (zh) | 客户归属管理的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |