CN111092849A - 基于流量的分布式拒绝服务的检测方法及装置 - Google Patents

Abstract

本申请公开了一种基于流量的分布式拒绝服务的检测方法及装置。该方法通过第一时间段内各时刻的真实流量值和相应的预测流量值，确定流量值误差系数；基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；并获取当前时刻的异常累加和或初始时刻到当前时刻的时间段内的异常累加和，通过比较获取的异常累加和与异常累加和阈值，判断当前时刻的真实流量值是否存在异常。可见，该方法通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和来判断当前时刻的真实流量值是否异常，从而降低了误报率。

Description

基于流量的分布式拒绝服务的检测方法及装置

技术领域

本申请涉及网络入侵检测领域，尤其涉及一种基于流量的分布式拒绝服务的检测方法及装置。

背景技术

网络入侵检测是企业、园区网重要的安全防护措施。基于入侵检测系统，可以有效地识别网络攻击，从而保护企业、园区网内安全。然而，近些年来，有效的网络入侵检测己越来越困难，主要原因在于网络带宽不断增长，实时检测大量的数据存在性能瓶颈。

目前，为了解决对大量数据的检测，传统采取Netflow的分布式拒绝服务(Distributed Denial of Service，DDOS)攻击检测方法来识别网络是否收到攻击。其中，DDOS通过大量消耗受害服务节点的各种资源(如带宽、CPU及主存储器)，使其对其它节点的正常服务请求无法响应或延迟响应。Netflow是一种流量统计协议，其工作原理是：利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。该检测方法为根据平时流量大小、网络环境，人为设置该网络的静态流量值阈值，若当前时刻的流量超过设置的静态流量值阈值，则进行告警。

然而，对于静态流量值阈值的设置，若设置过高，则不能检测出一些相对小范围的DDOS攻击；若设置过低，则会引起大量DDOS攻击误报，降低了检测的准确性。

发明内容

本申请实施例提供一种基于流量的分布式拒绝服务的检测方法及装置，以提高检测的准确性。

第一方面，提供了一种基于流量的分布式拒绝服务的检测方法，该方法包括：

基于第一时间段内各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，第一时间段为当前时刻之前的时间段；

基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；

当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；

当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，时间段内的异常累加和为时间段内每个时刻的真实流量值与相应流量阈值的差值的和；

将获取的异常累加和与异常累加和阈值进行比较；若当前时刻的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常，异常累加和阈值是由流量值误差系数和第一预设常数确定的。

可见，该方法通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和来判断当前时刻的真实流量值当前网络是否被攻击，从而降低了误报率。

在一个可选的实现中，确定流量值误差系数之前，该方法还包括：

对第一时间段内第一时刻的真实流量值和第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在第一时刻为初始时刻时，初始时刻的预测流量值与初始时刻的真实流量值相等，第一时刻为第二时刻的前一时刻；

第二时刻的预测流量值采用如下表达式得到：

其中，

为第二时刻的预测流量值，x_t0-1为第一时刻的真实流量值，

为第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。

上述实施方式可以依据每一时刻的真实流量值，获取相应时刻的预测流量值。

在一个可选的实现中，基于各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，包括：

在第一时间段内且经第二时间段后，按照时间的先后顺序，从第二时间段的终止时刻起，以预设数量个时刻为步长，依次计算每个第二时间段内各时刻的预设误差的标准差，各时刻的预设误差为各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值，第二时间段小于第一时间段；

将至少一个预测误差的标准差的中位数确定为流量值误差系数。

上述实施方式获取的流量值误差系数用于表示整个网络的真实流量值与预测流量值的误差幅度，可作为后续检测的标准参数。

在一个可选的实现中，基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值，包括：

将流量值误差系数与第三预设常数的乘积和当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数。

上述实施方式能够获取各个时刻对应的流量阈值，进一步提高了检测的准确性。

在一个可选的实现中，基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值，包括：

从当前时刻的预设最小误差阈值和流量值误差系数与第三预设常数的乘积中选取最大值；

将选取的最大值与当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数，max(,)为取最大值运算，M_min为预设最小误差阈值，且M_min为大于零的常数。

在一个可选的实现中，在当前时刻为初始时刻时，当前时刻的异常累加和采用如下表达式得到：

S_t＝max((x_t-Th_flow,t),0)

在当前时刻不为初始时刻时，初始时刻到当前时刻的时间段内的异常累加和采用如下表达式得到：

S_t＝max(S_t-1+(x_t-Th_flow,t),0)

其中，S_t为初始时刻到当前时刻的时间段内的异常累加和，S_t-1为初始时刻到当前时刻的前一时刻的异常累加和，x_t为当前时刻的真实流量值，max(,)为取最大值运算，Th_flow,t为异常累加和阈值。

该方式为一种当前时刻的异常累加和的表达方式。

在一个可选的实现中，确定当前时刻的真实流量值存在异常之后，该方法还包括：

查找当前时刻之前的时刻中，存在正常真实流量值，且与当前时刻最近的时刻；

将查找到的时刻的预测流量值确定为当前时刻的下一时刻的预测流量值，并返回执行基于当前时刻的预测流量值和流量值误差系数，采用预设求和算法，得到当前时刻的流量阈值的步骤。

当前时刻的真实流量值存在异常时，通过查找存在正常真实流量值，且与当前时刻最近的时刻，可以进一步提高了检测的准确性。

在一个可选的实现中，异常累加和阈值采用如下表达式得到：

Th_sum＝c_sum*σ_e

其中，Th_sum为异常累加和阈值，σ_e为流量值误差系数，c_sum为第一预设常数，且c_sum＞0。

第二方面，提供了一种检测装置，该装置包括：确定单元、获取单元和比较单元；

确定单元，用于基于第一时间段内各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，第一时间段为当前时刻之前的时间段；

获取单元，用于基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；

当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，时间段内的异常累加和为时间段内每个时刻的真实流量值与相应流量阈值的差值的和；

比较单元，用于将获取的异常累加和与异常累加和阈值进行比较；

确定单元，还用于若获取的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常，异常累加和阈值是由流量值误差系数和第一预设常数确定的。

在一个可选的实现中，该装置还包括运算单元；

运算单元，用于对第一时间段内第一时刻的真实流量值和第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在第一时刻为初始时刻时，初始时刻的预测流量值与初始时刻的真实流量值相等，第一时刻为第二时刻的前一时刻；

第二时刻的预测流量值采用如下表达式得到：

其中，

为第二时刻的预测流量值，x_t0-1为第一时刻的真实流量值，

为第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。

在一个可选的实现中，确定单元，具体用于在第一时间段内且经第二时间段后，按照时间的先后顺序，从第二时间段的终止时刻起，以预设数量个时刻为步长，依次计算每个第二时间段内各时刻的预设误差的标准差，各时刻的预设误差为各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值，第二时间段小于第一时间段；

将至少一个预测误差的标准差的中位数确定为流量值误差系数。

在一个可选的实现中，获取单元，具体用于将流量值误差系数与第三预设常数的乘积和当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数。

在一个可选的实现中，该装置还包括选取单元；

选取单元，具体用于从当前时刻的预设最小误差阈值和流量值误差系数与第三预设常数的乘积中选取最大值；

获取单元，具体用于将选取的最大值与当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数，max(,)为取最大值运算，M_min为预设最小误差阈值，且M_min为大于零的常数。

在一个可选的实现中，在当前时刻为初始时刻时，当前时刻的异常累加和采用如下表达式得到：

S_t＝max((x_t-Th_flow,t),0)

在当前时刻不为初始时刻时，初始时刻到当前时刻的时间段内的异常累加和采用如下表达式得到：

S_t＝max(S_t-1+(x_t-Th_flow,t),0)

其中，S_t为初始时刻到当前时刻的时间段内的异常累加和，S_t-1为初始时刻到当前时刻的前一时刻的异常累加和，x_t为当前时刻的真实流量值，max(,)为取最大值运算，Th_flow,t为异常累加和阈值。

在一个可选的实现中，该装置还包括查找单元；

查找单元，用于查找当前时刻之前的时刻中，存在正常真实流量值，且与当前时刻最近的时刻；

确定单元，用于将查找到的时刻的预测流量值确定为当前时刻的下一时刻的预测流量值，并返回执行基于当前时刻的预测流量值和流量值误差系数，采用预设求和算法，得到当前时刻的流量阈值的步骤。

在一个可选的实现中，异常累加和阈值采用如下表达式得到：

Th_sum＝c_sum*σ_e

其中，Th_sum为异常累加和阈值，σ_e为流量值误差系数，c_sum为第一预设常数，且c_sum＞0。

第三方面，提供了一种电子设备，该电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述第一方面中任一所述的方法步骤。

第四方面，提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述第一方面中任一所述的方法步骤。

该方法基于第一时间段内的各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数；基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；之后当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，时间段内的异常累加和为时间段内每个时刻的真实流量值与相应流量阈值的差值的和，并将获取的异常累加和与异常累加和阈值进行比较；若获取的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常，异常累加和阈值是由流量值误差系数和第一预设常数确定的。可见，该方法通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和来判断当前时刻的真实流量值当前网络是否被攻击，从而降低了误报率。

附图说明

图1为本发明实施例提供的一种基于流量的分布式拒绝服务的检测方法的流程示意图；

图2为本发明实施例提供的一种时间轴的示意图；

图3为本发明实施例提供的一种检测装置的结构示意图；

图4为本发明实施例提供的一种电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，并不是全部的实施例。基于本申请实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本发明实施例提供的基于流量的分布式拒绝服务的检测方法可以应用在待检测网络中的具有流量统计协议Netflow的服务器或终端上。为了保证检测的精确性，服务器是具有较强计算能力的应用服务器或云服务器；终端可以是具有较强计算能力的用户设备(User Equipment，UE)、具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备、移动台(Mobile station，MS)等。

以下结合说明书附图对本申请的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

下面以该检测方法用于在服务器为例，进行详细说明。

图1为本发明实施例提供的一种基于流量的分布式拒绝服务的检测方法的流程示意图。如图1所示，该方法可以包括：

步骤110、对第一时间段内第一时刻的真实流量值和第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，第一时刻为第二时刻的前一时刻。

服务器基于Netflow可以得到每个时刻的真实流量值。每个时刻可以是指每秒、每分钟或每小时，本发明实施例在此不做限制。

在执行该步骤前，服务器首先对该网络的数据流量进行一段时间的流量学习，设流量学习的时间段为第一时间段T_study(如24小时)，由此可以统计得到第一时间段T_study内各时刻的真实流量值。

设第一时刻为第一时间段T_study内的任意时刻，第二时刻为第一时刻的后一时刻。对第一时刻的真实流量值和第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，具体为：

若第一时刻为初始时刻，则第一时刻的预测流量值与第一时刻的真实流量值相等，此时第二时刻的预测流量值与第一时刻的预测流量值相等，或第二时刻的预测流量值与第一时刻的真实流量值相等。

若第一时刻不为初始时刻，则第二时刻的预测流量值可以由第一时刻的真实流量值和第一时刻的预测流量值进行预设的加权平均运算得到。

可选地，第二时刻的预测流量值可以采用如下表达式得到：

其中，

为第二时刻的预测流量值，

为第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。

步骤120、基于第一时间段内各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数。

流量值误差系数(或称“震荡系数”)用于表示整个网络的震荡幅度，或者说，用于表示整个网络的真实流量值与预测流量值的误差幅度。可以理解的是，网络在稳定时的流量值误差系数小于网络受到攻击(或称“不稳定”)时的流量值误差系数。

在第一时间段T_study内且经第二时间段T_var的流量学习后，基于公式1可以获取到第二时间段T_var内各个时刻的真实流量值与预测流量值。其中，第二时间段小于第一时间段，或者说，第一时间段包括至少一个第二时间段。

之后，按照时间的先后顺序，从第二时间段的终止时刻起，以预设数量个(如一个)时刻为步长，依次计算每个第二时间段内各时刻的预设误差。各时刻的预设误差为各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值。各时刻中当前时刻的预设误差可表示为：

其中，e_t为当前时刻的预设误差，x_t为当前时刻的真实流量值，

为当前时刻的预测流量值。

基于每个第二时间段内各时刻的预设误差，采用预设标准差算法，得到每个第二时间段的预设误差的标准差σ_e，以获取至少一个预测误差的标准差。

若第二时间段的初始时刻与第一时间段的初始时刻相同，在经第二时间段的流量学习后，且该第二时间段的终止时刻为t时刻。服务器可获取t时刻前的第二时间段(或称“以t时刻为终止时刻的第二时间段”)中各时刻的预测误差，并对该各时刻的预测误差进行预设标准差运算，得到该t时刻对应的第二时间段的预测误差的标准差σ_e1。

经流量学习时刻后移一个步长，即学习时刻后移至t+1时刻后，服务器可获取t+1时刻前的第二时间段中各时刻的预测误差，并对该各时刻的预测误差进行预设标准差运算，得到该t+1时刻对应的第二时间段的预测误差的标准差σ_e2。

以此类推，直至得到第一时间段的终止时刻对应的第二时间段的预测误差的标准差σ_en，以获取至少一个预测误差的标准差。

可以理解的是，服务器一共可以学习到(T_study-T_var)个时刻的预测误差的标准差。

例如，在图2所示的时间轴中，t0至t8为第一时间段T_study，t0至t3为第二时间段T_var。在经第二时间段学习后，按照时间的先后顺序，从第二时间段的终止时刻t3起，以一个时刻为步长，可以得到t0至t3的第二时间段、t1至t4的第二时间段、t2至t5的第二时间段、……和t5至t8的第二时间段。

以t0至t3的第二时间段为例，t0至t3的第二时间段得到的信息可以如表1所示。

表1

由表1所示，服务器基于统计得到的t0、t1、t2和t3的真实流量值分别为x0、x1、x2、x3。t1、t2和t3的真实流量值采用公式1可以得到相应时刻的预测流量值分别为y1、y2、y3。由于t0为初始时刻，该时刻的真实流量值与预测流量值相同均为x0，即此时不需要采用公式1进行计算。

基于t0、t1、t2和t3的真实流量值和相应时刻的预测流量值，采用公式2可以得到相应时刻的预测误差分别为0、e1、e2、e3。

基于t0、t1、t2和t3的预测误差，采用预设标准差算法可以得到t0至t3的第二时间段的预测误差的标准差σ_e1。

进一步的，为了最大程度的避免突发性流量变化的影响，使学习结果相对稳定，本发明实施例通过选取中位数，来获取最佳预测误差的标准差，具体的：

将获取的至少一个预测误差的标准差，按照标准差的大小进行升序或降序排列，选取排序后的至少一个预测误差的标准差的中位数作为流量值误差系数。其中，若预测误差的标准差的数量为奇数个时，选取最中间的预测误差的标准差作为中位数，即作为流量值误差系数；若预测误差的标准差的数量为偶数个时，选取最中间的两个标准差的平均数作为中位数，即作为流量值误差系数。

可以理解的是，对于同一个网络，由于网络的数据流量存在不同的周期，如工作日周期和休息日周期，不同的周期中网络流量可能存在较大差异，故在进行流量学习时，需要分别计算不同周期中每个周期的流量值误差系数。

步骤130、基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值。

服务器在经过第一时间段的流量学习后，对当前时刻进行DDOS检测，在检测过程中根据公式1可以得到当前时刻的真实流量值与当前时刻的预测流量值。

将当前时刻的预测流量值和流量值误差系数与第三预设常数的乘积进行采用求和运算，得到当前时刻的流量阈值；其中，流量值误差系数与第三预设常数的乘积可以表示当前时刻的最大流量误差阈值。第三预设常数为大于零的自然数，如可以为3。若第三预设常数为3，则流量值误差系数与第三预设常数的乘积为三倍标准差，表示为3σ_e。

当前时刻的流量阈值可以采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数。

可选地，在网络比较稳定时，流量值误差系数σ_e较小，这样得到的当前时刻的流量阈值较低，为了避免当前时刻的流量阈值过低，提高检测的精确性，需要预设最小误差阈值，以使当前时刻的流量阈值能够高于当前时刻的预测流量值。

从当前时刻的预设最小误差阈值和流量值误差系数与第三预设常数的乘积中选取最大值；

将选取的最大值与当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值可以采用如下表达式得到：

其中，max(,)为取最大值运算，M_min为预设最小误差阈值，且M_min为大于零的常数。

可见，本发明上述实施例能够依据网络环境在每一时刻生成对应的流量阈值，提高了检测的准确性。

进一步的，在现有技术中，在当前时刻的真实流量值不大于当前时刻的流量阈值时，服务器确定当前时刻的流量无异常，确定此时网络一定未被攻击。但当前时刻的真实流量值大于当前时刻的流量阈值时，常会产生误报，导致检测的准确性不高。而本发明实施例为了提高检测的准确性，通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和，来判断当前网络是否被攻击，从而降低了误报率，具体步骤如下：

步骤140、获取当前时刻的异常累加和或初始时刻到当前时刻的时间段内的异常累加和。

当当前时刻为初始时刻时，获取当前时刻的异常累加和，该当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；

当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，该时间段内的异常累加和为该时间段内每个时刻的真实流量值与相应时刻的流量阈值的差值的和。

例如，在当前时刻为初始时刻，如t时刻时，t时刻的异常累加和为t时刻的真实流量值与t时刻的流量阈值的差值。

在当前时刻为t+1时刻时，即t时刻的下一时刻，t+1时刻的异常累加和为t+1时刻的真实流量值与t+1时刻的流量阈值的差值和t时刻的异常累加和，即t+1时刻的真实流量值与t+1时刻的流量阈值的差值和t时刻的真实流量值与t时刻的流量阈值的差值的和。

在当前时刻为t+2时刻时，即t+1时刻的下一时刻，t+2时刻的异常累加和为t+2时刻的真实流量值与t+2时刻的流量阈值的差值和t+1时刻的异常累加和，即t+2时刻的真实流量值与t+2时刻的流量阈值的差值、t+1时刻的真实流量值与t+1时刻的流量阈值的差值，以及t时刻的真实流量值与t时刻的流量阈值的差值的和。

以此类推，在当前时刻为t+n时刻时，即t+(n-1)时刻的下一时刻，t+n时刻的异常累加和为t+n时刻的真实流量值与t+n时刻的流量阈值的差值和t+(n-1)时刻的异常累加和。

可选地，在当前时刻为初始时刻时，当前时刻的异常累加和采用如下表达式得到：

S_t＝max((x_t-Th_flow,t),0) (公式5A)

在当前时刻不为初始时刻时，初始时刻到当前时刻的时间段内的异常累加和采用如下表达式得到：

S_t＝max(S_t-1+(x_t-Th_flow,t),0) (公式5B)

其中，S_t为初始时刻到所述当前时刻的时间段内的异常累加和，S_t-1为初始时刻到当前时刻的前一时刻的异常累加和，x_t为当前时刻的真实流量值，Th_flow,t为异常累加和阈值，max(,)为取最大值运算，Th_flow,t为异常累加和阈值。

步骤150、将获取的异常累加和与异常累加和阈值进行比较，若获取的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常。

将流量值误差系数与第一预设常数进行相乘，得到的乘积为异常累加和阈值。可见，当第一预设常数固定时，异常累加和阈值是一个与当前网络环境相关的定值。第一预设常数为大于零的自然数，如可以为6。

异常累加和阈值可以采用如下表达式得到：

Th_sum＝c_sum*σ_e (公式6)

其中，Th_sum为异常累加和阈值，σ_e为流量值误差系数，c_sum为第一预设常数，且c_sum＞0。

若获取的异常累加和大于累加和阈值，则确定当前时刻的真实流量值存在异常，此时网络被攻击。

若获取的异常累加和不大于累加和阈值，则确定当前时刻的真实流量值不存在异常，此时网络未被攻击。

可选地，确定当前时刻的真实流量值存在异常之后，若要继续对当前时刻的下一时刻进行检测。

由于当前时刻的真实流量值存在异常，故查找当前时刻之前的时刻中，存在正常真实流量值，且与当前时刻最近的时刻，并将该时刻的预测流量值作为当前时刻的下一时刻的预测流量值，之后返回步骤130。

可以理解的是，对于同一个网络，由于网络的数据流量在不同时间段，络的数据流量可能存在差异，故为了使上述检测方法能够适应网络流量的变化，需要每隔预设时间段重新进行流量学习，计算不同预设时间段的流量值误差系数，以提高检测的准确性。

该方法基于第一时间段内的各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数；基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；之后当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，时间段内的异常累加和为时间段内每个时刻的真实流量值与相应流量阈值的差值的和，并将获取的异常累加和与异常累加和阈值进行比较；若获取的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常，异常累加和阈值是由流量值误差系数和第一预设常数确定的。可见，该方法通过获取当前时刻之前一段时间内的真实流量值与流量阈值的差值累加和流量值的异常累加和来判断当前时刻的真实流量值当前网络是否被攻击，从而降低了误报率。

与上述方法对应的，本发明实施例还提供一种检测装置，如图3所示，该检测装置包括：确定单元310、获取单元320和比较单元330；

确定单元310，用于基于第一时间段内各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，第一时间段为当前时刻之前的时间段；

获取单元320，用于在所述第一时间段后，基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；

当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，时间段内的异常累加和为时间段内每个时刻的真实流量值与相应流量阈值的差值的和；

比较单元330，用于将获取的异常累加和与异常累加和阈值进行比较；

确定单元310，还用于若获取的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常，异常累加和阈值是由流量值误差系数和第一预设常数确定的。

在一个可选的实现中，该装置还包括运算单元340；

运算单元340，用于对第一时间段内第一时刻的真实流量值和第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在第一时刻为初始时刻时，初始时刻的预测流量值与初始时刻的真实流量值相等，第一时刻为第二时刻的前一时刻；

第二时刻的预测流量值采用如下表达式得到：

其中，

为第二时刻的预测流量值，x_t0-1为第一时刻的真实流量值，

为第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。

在一个可选的实现中，确定单元310，具体用于在第一时间段内且经第二时间段后，按照时间的先后顺序，从第二时间段的终止时刻起，以预设数量个时刻为步长，依次计算每个第二时间段内各时刻的预设误差的标准差，各时刻的预设误差为各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值，第二时间段小于第一时间段；

将至少一个预测误差的标准差的中位数确定为流量值误差系数。

在一个可选的实现中，获取单元320，具体用于将流量值误差系数与第三预设常数的乘积和当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数。

在一个可选的实现中，该装置还包括选取单元350；

选取单元350，具体用于从当前时刻的预设最小误差阈值和流量值误差系数与第三预设常数的乘积中选取最大值；

获取单元320，具体用于将选取的最大值与当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数，max(,)为取最大值运算，M_min为预设最小误差阈值，且M_min为大于零的常数。

在一个可选的实现中，在当前时刻为初始时刻时，当前时刻的异常累加和采用如下表达式得到：

S_t＝max((x_t-Th_flow,t),0)

在当前时刻不为初始时刻时，初始时刻到当前时刻的时间段内的异常累加和采用如下表达式得到：

S_t＝max(S_t-1+(x_t-Th_flow,t),0)

其中，S_t为初始时刻到当前时刻的时间段内的异常累加和，S_t-1为初始时刻到当前时刻的前一时刻的异常累加和，x_t为当前时刻的真实流量值，max(,)为取最大值运算，Th_flow,t为异常累加和阈值。

在一个可选的实现中，该装置还包括查找单元360；

查找单元360，用于查找当前时刻之前的时刻中，存在正常真实流量值，且与当前时刻最近的时刻；

确定单元310，用于将查找到的时刻的预测流量值确定为当前时刻的下一时刻的预测流量值，并返回执行基于当前时刻的预测流量值和流量值误差系数，采用预设求和算法，得到当前时刻的流量阈值的步骤。

在一个可选的实现中，异常累加和阈值采用如下表达式得到：

Th_sum＝c_sum*σ_e

其中，Th_sum为异常累加和阈值，σ_e为流量值误差系数，c_sum为第一预设常数，且c_sum＞0。

本发明上述实施例提供的检测装置的各功能单元的功能，可以通过上述各方法步骤来实现，因此，本发明实施例提供的检测装置中的各个单元的具体工作过程和有益效果，在此不复赘述。

本发明实施例还提供了一种电子设备，如图4所示，包括处理器410、通信接口420、存储器430和通信总线440，其中，处理器410，通信接口420，存储器430通过通信总线440完成相互间的通信。

存储器430，用于存放计算机程序；

处理器410，用于执行存储器430上所存放的程序时，实现如下步骤：

基于第一时间段内各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，第一时间段为当前时刻之前的时间段；

基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值；

当当前时刻为初始时刻时，获取当前时刻的异常累加和，当前时刻的异常累加和为当前时刻的真实流量值与当前时刻的流量阈值的差值；

当当前时刻不为初始时刻时，获取初始时刻到当前时刻的时间段内的异常累加和，时间段内的异常累加和为时间段内每个时刻的真实流量值与相应流量阈值的差值的和；

将获取的异常累加和与异常累加和阈值进行比较；若获取的异常累加和大于异常累加和阈值，则确定当前时刻的真实流量值存在异常，异常累加和阈值是由流量值误差系数和第一预设常数确定的。

在一个可选的实现中，确定流量值误差系数之前，对第一时间段内第一时刻的真实流量值和第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在所述第一时刻为初始时刻时，初始时刻的预测流量值与初始时刻的真实流量值相等，第一时刻为所述第二时刻的前一时刻；

第二时刻的预测流量值采用如下表达式得到：

其中，

为所述第二时刻的预测流量值，x_t0-1为第一时刻的真实流量值，

为第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。

在一个可选的实现中，基于各时刻的真实流量值和各时刻的预测流量值，确定流量值误差系数，包括：

在第一时间段内且经第二时间段后，按照时间的先后顺序，从第二时间段的终止时刻起，以预设数量个时刻为步长，依次计算每个第二时间段内各时刻的预设误差的标准差，各时刻的预设误差为各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值，第二时间段小于第一时间段；

将至少一个预测误差的标准差的中位数确定为流量值误差系数。

在一个可选的实现中，基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值，包括：

将流量值误差系数与第三预设常数的乘积和当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数。

在一个可选的实现中，基于当前时刻的预测流量值和流量值误差系数，获取当前时刻的流量阈值，包括：

从当前时刻的预设最小误差阈值和流量值误差系数与第三预设常数的乘积中选取最大值；

将选取的最大值与当前时刻的预测流量值采用求和运算，得到当前时刻的流量阈值；

当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t当前时刻的流量阈值，

为当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为流量值误差系数，max(,)为取最大值运算，M_min为预设最小误差阈值，且M_min为大于零的常数。

在一个可选的实现中，在当前时刻为初始时刻时，当前时刻的异常累加和采用如下表达式得到：

S_t＝max((x_t-Th_flow,t),0)

在当前时刻不为初始时刻时，初始时刻到当前时刻的时间段内的异常累加和采用如下表达式得到：

S_t＝max(S_t-1+(x_t-Th_flow,t),0)

其中，S_t为初始时刻到当前时刻的时间段内的异常累加和，S_t-1为初始时刻到的前一时刻的异常累加和，x_t为当前时刻的真实流量值，max(,)为取最大值运算，Th_flow,t为异常累加和阈值。

在一个可选的实现中，确定当前时刻的真实流量值存在异常之后，该方法还包括：

查找当前时刻之前的时刻中，存在正常真实流量值，且与当前时刻最近的时刻；

将查找到的时刻的预测流量值确定为当前时刻的下一时刻的预测流量值，并返回执行基于当前时刻的预测流量值和流量值误差系数，采用预设求和算法，得到当前时刻的流量阈值的步骤。

在一个可选的实现中，异常累加和阈值采用如下表达式得到：

Th_sum＝c_sum*σ_e

其中，Th_sum为异常累加和阈值，σ_e为流量值误差系数，c_sum为第一预设常数，且c_sum＞0。

上述提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

由于上述实施例中电子设备的各器件解决问题的实施方式以及有益效果可以参见图1所示的实施例中的各步骤来实现，因此，本发明实施例提供的电子设备的具体工作过程和有益效果，在此不复赘述。

在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的检测方法。

在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的检测方法。

本领域内的技术人员应明白，本申请实施例中的实施例可提供为方法、系统、或计算机程序产品。因此，本申请实施例中可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例中可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请实施例中是参照根据本申请实施例中实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请实施例中的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请实施例中范围的所有变更和修改。

显然，本领域的技术人员可以对本申请实施例中实施例进行各种改动和变型而不脱离本申请实施例中实施例的精神和范围。这样，倘若本申请实施例中实施例的这些修改和变型属于本申请实施例中权利要求及其等同技术的范围之内，则本申请实施例中也意图包含这些改动和变型在内。

Claims (18)

1.一种基于流量的分布式拒绝服务的检测方法，其特征在于，所述方法包括：

基于第一时间段内各时刻的真实流量值和所述各时刻的预测流量值，确定流量值误差系数；

基于当前时刻的预测流量值和所述流量值误差系数，获取所述当前时刻的流量阈值，所述当前时刻为所述第一时间段之后的时刻；

当所述当前时刻为初始时刻时，获取所述当前时刻的异常累加和，所述当前时刻的异常累加和为所述当前时刻的真实流量值与所述当前时刻的流量阈值的差值；

当所述当前时刻不为初始时刻时，获取所述初始时刻到所述当前时刻的时间段内的异常累加和，所述时间段内的异常累加和为所述时间段内每个时刻的真实流量值与相应时刻的流量阈值的差值的和；

将获取的异常累加和与异常累加和阈值进行比较；若所述获取的异常累加和大于所述异常累加和阈值，则确定所述当前时刻的真实流量值存在异常，所述异常累加和阈值是由所述流量值误差系数和第一预设常数确定的。

2.如权利要求1所述的方法，其特征在于，确定流量值误差系数之前，所述方法还包括：

对第一时间段内第一时刻的真实流量值和所述第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在所述第一时刻为初始时刻时，所述初始时刻的预测流量值与所述初始时刻的真实流量值相等，所述第一时刻为所述第二时刻的前一时刻；

所述第二时刻的预测流量值采用如下表达式得到：

其中，

为所述第二时刻的预测流量值，x_t0-1为所述第一时刻的真实流量值，

为所述第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。

3.如权利要求1所述的方法，其特征在于，基于各时刻的真实流量值和所述各时刻的预测流量值，确定流量值误差系数，包括：

在所述第一时间段内且经第二时间段后，按照时间的先后顺序，从所述第二时间段的终止时刻起，以预设数量个时刻为步长，依次计算每个第二时间段内各时刻的预设误差的标准差，所述各时刻的预设误差为所述各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值，所述第二时间段小于所述第一时间段；

将至少一个预测误差的标准差的中位数确定为所述流量值误差系数。

4.如权利要求1所述的方法，其特征在于，基于所述当前时刻的预测流量值和所述流量值误差系数，获取所述当前时刻的流量阈值，包括：

将所述流量值误差系数与第三预设常数的乘积和所述当前时刻的预测流量值采用求和运算，得到所述当前时刻的流量阈值；

所述当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t所述当前时刻的流量阈值，

为所述当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为所述流量值误差系数。

5.如权利要求1所述的方法，其特征在于，基于所述当前时刻的预测流量值和所述流量值误差系数，获取所述当前时刻的流量阈值，包括：

从所述当前时刻的预设最小误差阈值和所述流量值误差系数与第三预设常数的乘积中选取最大值；

将选取的最大值与所述当前时刻的预测流量值采用求和运算，得到所述当前时刻的流量阈值；

所述当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t所述当前时刻的流量阈值，

为所述当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为所述流量值误差系数，max(,)为取最大值运算，M_min为所述预设最小误差阈值，且M_min为大于零的常数。

6.如权利要求1所述的方法，其特征在于，在所述当前时刻为初始时刻时，所述当前时刻的异常累加和采用如下表达式得到：

S_t＝max((x_t-Th_flow,t),0)

在当前时刻不为初始时刻时，所述初始时刻到所述当前时刻的时间段内的异常累加和采用如下表达式得到：

S_t＝max(S_t-1+(x_t-Th_flow,t),0)

其中，S_t为所述初始时刻到所述当前时刻的时间段内的异常累加和，S_t-1为所述初始时刻到所述当前时刻的前一时刻的异常累加和，x_t为所述当前时刻的真实流量值，max(,)为取最大值运算，Th_flow,t为所述异常累加和阈值。

7.如权利要求1所述的方法，其特征在于，确定所述当前时刻的真实流量值存在异常之后，所述方法还包括：

查找所述当前时刻之前的时刻中，存在正常真实流量值，且与所述当前时刻最近的时刻；

将查找到的所述时刻的预测流量值确定为所述当前时刻的下一时刻的预测流量值，并返回执行基于所述当前时刻的预测流量值和所述流量值误差系数，采用预设求和算法，得到所述当前时刻的流量阈值的步骤。

8.如权利要求6所述的方法，其特征在于，所述异常累加和阈值采用如下表达式得到：

Th_sum＝c_sum*σ_e

其中，Th_sum为所述异常累加和阈值，σ_e为所述流量值误差系数，c_sum为所述第一预设常数，且c_sum＞0。

9.一种检测装置，其特征在于，所述装置包括：确定单元、获取单元和比较单元；

所述确定单元，用于基于第一时间段内各时刻的真实流量值和所述各时刻的预测流量值，确定流量值误差系数，所述第一时间段为当前时刻之前的时间段；

所述获取单元，用于在所述第一时间段后，基于当前时刻的预测流量值和所述流量值误差系数，获取所述当前时刻的流量阈值；

当所述当前时刻为初始时刻时，获取所述当前时刻的异常累加和，所述当前时刻的异常累加和为所述当前时刻的真实流量值与所述当前时刻的流量阈值的差值；当所述当前时刻不为初始时刻时，获取所述初始时刻到所述当前时刻的时间段内的异常累加和，所述时间段内的异常累加和为所述时间段内每个时刻的真实流量值与相应流量阈值的差值的和；

所述比较单元，用于将获取的异常累加和与异常累加和阈值进行比较；

所述确定单元，还用于若所述获取的异常累加和大于所述异常累加和阈值，则确定所述当前时刻的真实流量值存在异常，所述异常累加和阈值是由所述流量值误差系数和第一预设常数确定的。

10.如权利要求9所述的装置，其特征在于，所述装置还包括运算单元；

所述运算单元，用于对第一时间段内第一时刻的真实流量值和所述第一时刻的预测流量值，采用预设的加权平均算法，得到第二时刻的预测流量值，其中，在所述第一时刻为初始时刻时，所述初始时刻的预测流量值与所述初始时刻的真实流量值相等，所述第一时刻为所述第二时刻的前一时刻；

所述第二时刻的预测流量值采用如下表达式得到：

其中，

为所述第二时刻的预测流量值，x_t0-1为所述第一时刻的真实流量值，

为所述第一时刻的预测流量值，α为第二预设常数，且0＜α＜1。

11.如权利要求9所述的装置，其特征在于，所述确定单元，具体用于在所述第一时间段内且经第二时间段后，按照时间的先后顺序，从所述第二时间段的终止时刻起，以预设数量个时刻为步长，依次计算每个第二时间段内各时刻的预设误差的标准差，所述各时刻的预设误差为所述各时刻中每个时刻的真实流量值和相应时刻的预测流量值的差值，所述第二时间段小于所述第一时间段；

将至少一个预测误差的标准差的中位数确定为所述流量值误差系数。

12.如权利要求9所述的装置，其特征在于，所述获取单元，具体用于将所述流量值误差系数与第三预设常数的乘积和所述当前时刻的预测流量值采用求和运算，得到所述当前时刻的流量阈值；

所述当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t所述当前时刻的流量阈值，

为所述当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为所述流量值误差系数。

13.如权利要求9所述的装置，其特征在于，所述装置还包括选取单元；

所述选取单元，具体用于从所述当前时刻的预设最小误差阈值和所述流量值误差系数与第三预设常数的乘积中选取最大值；

所述获取单元，具体用于将选取的最大值与所述当前时刻的预测流量值采用求和运算，得到所述当前时刻的流量阈值；

所述当前时刻的流量阈值采用如下表达式得到：

其中，Th_flow,t所述当前时刻的流量阈值，

为所述当前时刻的预测流量值，c_flow为第三预设常数，且c_flow＞0，σ_e为所述流量值误差系数，max(,)为取最大值运算，M_min为所述预设最小误差阈值，且M_min为大于零的常数。

14.如权利要求9所述的装置，其特征在于，在所述当前时刻为初始时刻时，所述当前时刻的异常累加和采用如下表达式得到：

S_t＝max((x_t-Th_flow,t),0)

在当前时刻不为初始时刻时，所述初始时刻到所述当前时刻的时间段内的异常累加和采用如下表达式得到：

S_t＝max(S_t-1+(x_t-Th_flow,t),0)

其中，S_t为所述初始时刻到所述当前时刻的时间段内的异常累加和，S_t-1为所述初始时刻到所述当前时刻的前一时刻的异常累加和，x_t为所述当前时刻的真实流量值，max(,)为取最大值运算，Th_flow,t为所述异常累加和阈值。

15.如权利要求9所述的装置，其特征在于，所述装置还包括查找单元；

所述查找单元，用于查找所述当前时刻之前的时刻中，存在正常真实流量值，且与所述当前时刻最近的时刻；

所述确定单元，用于将查找到的所述时刻的预测流量值确定为所述当前时刻的下一时刻的预测流量值，并返回执行基于所述当前时刻的预测流量值和所述流量值误差系数，采用预设求和算法，得到所述当前时刻的流量阈值的步骤。

16.如权利要求14所述的装置，其特征在于，所述异常累加和阈值采用如下表达式得到：

Th_sum＝c_sum*σ_e

其中，Th_sum为所述异常累加和阈值，σ_e为所述流量值误差系数，c_sum为所述第一预设常数，且c_sum＞0。

17.一种电子设备，其特征在于，所述电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存储的程序时，实现权利要求1-8任一所述的方法步骤。

18.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现权利要求1-8任一所述的方法步骤。

Images