CN112134723A - 网络异常监测方法、装置、计算机设备和存储介质 - Google Patents

Abstract

本申请提出一种网络异常监测方法、装置、计算机设备和存储介质，其中，方法包括：监测网络运行数据，其中，网络运行数据包括用户个体访问数据和用户群体访问数据；确定用户个体访问数据相对用户个体基准值的第一偏离度指示值；确定用户群体访问数据相对用户群体基准值的第二偏离度指示值；根据第二偏离度指示值，对第一偏离度指示值修正，以生成偏离度检测值；根据偏离度检测值进行网络异常报警。该方法能够提升异常报警的准确率。

Description

网络异常监测方法、装置、计算机设备和存储介质

技术领域

本申请涉及互联网安全技术领域，尤其涉及一种网络异常监测方法、装置、计算机设备和存储介质。

背景技术

随着互联网技术的发展，数据安全越来越受到人们的重视。基于网络流量和日志的数据异常流动检测技术，可以有效的帮助企业了解内部数据流动状态，及时发现异常数据流动事件。

相关技术中，通过建立个体用户数据访问行为基线，来进行数据异常流动检测。当个体用户的数据访问行为相对于个体用户数据访问行为基线存在偏离时，进行网络异常报警。

这种方式下，仅针对个体用户建立基线，可能存在漏报或误报的情况，即异常数据流动事件的检测结果的准确率较低，从而导致异常报警的准确率较低。

发明内容

本申请旨在至少在一定程度上解决相关技术中的技术问题之一。

为此，本申请在于提出一种网络异常监测方法、装置、计算机设备和存储介质，以实现提升异常报警的准确率。

本申请第一方面实施例提出了一种网络异常监测方法，包括：

监测网络运行数据，其中，所述网络运行数据包括用户个体访问数据和用户群体访问数据；

确定所述用户个体访问数据相对用户个体基准值的第一偏离度指示值；

确定所述用户群体访问数据相对用户群体基准值的第二偏离度指示值；

根据所述第二偏离度指示值，对所述第一偏离度指示值修正，以生成偏离度检测值；

根据所述偏离度检测值进行网络异常报警。

本申请实施例的网络异常监测方法，通过监测网络运行数据，其中，网络运行数据包括用户个体访问数据和用户群体访问数据；确定用户个体访问数据相对用户个体基准值的第一偏离度指示值，并确定用户群体访问数据相对用户群体基准值的第二偏离度指示值，之后，根据第二偏离度指示值，对第一偏离度指示值修正，以生成偏离度检测值，最后，根据偏离度检测值进行网络异常报警。本申请中，根据用户群体访问数据相对于用户群体基准值的第二偏离度指示值，对用户个体访问数据相对用户个体基准值的第一偏离度指示值进行修正，以生成偏离度检测值，可以提升偏离度检测值计算结果的准确性，从而提升异常报警的准确率，也就是说，同时根据用户个体基准值和用户群体基线，来进行异常数据流动事件的检测，确定用户个体访问数据是否为正常的网络访问行为数据，可以提升确定结果的准确性，从而提升异常报警的准确率。

本申请第二方面实施例提出了一种网络异常监测装置，包括：

监测模块，用于监测网络运行数据，其中，所述网络运行数据包括用户个体访问信息和用户群体访问信息；

确定模块，用于确定所述用户个体访问数据相对用户个体基准值的第一偏离度指示值；确定所述用户群体访问数据相对用户群体基准值的第二偏离度指示值；

处理模块，用于根据所述第二偏离度指示值，对所述第一偏离度指示值修正，以生成偏离度检测值；

报警模块，用于根据所述偏离度检测值进行网络异常报警。

本申请实施例的网络异常监测装置，通过监测网络运行数据，其中，网络运行数据包括用户个体访问数据和用户群体访问数据；确定用户个体访问数据相对用户个体基准值的第一偏离度指示值，并确定用户群体访问数据相对用户群体基准值的第二偏离度指示值，之后，根据第二偏离度指示值，对第一偏离度指示值修正，以生成偏离度检测值，最后，根据偏离度检测值进行网络异常报警。本申请中，根据用户群体访问数据相对于用户群体基准值的第二偏离度指示值，对用户个体访问数据相对用户个体基准值的第一偏离度指示值进行修正，以生成偏离度检测值，可以提升偏离度检测值计算结果的准确性，从而提升异常报警的准确率，也就是说，同时根据用户个体基准值和用户群体基线，来进行异常数据流动事件的检测，确定用户个体访问数据是否为正常的网络访问行为数据，可以提升确定结果的准确性，从而提升异常报警的准确率。

本申请第三方面实施例提出了一种计算机设备，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现如本申请第一方面实施例提出的网络异常监测方法。

本申请第四方面实施例提出了一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本申请第一方面实施例提出的网络异常监测方法。

本申请第五方面实施例提出了一种计算机程序产品，当所述计算机程序产品中的指令处理器执行时，实现如本申请第一方面实施例提出的网络异常监测方法。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本申请实施例一所提供的网络异常监测方法的流程示意图；

图2为本申请实施例二所提供的网络异常监测方法的流程示意图；

图3为本申请实施例三所提供的网络异常监测方法的流程示意图；

图4为本申请实施例四所提供的网络异常监测方法的流程示意图；

图5为本申请实施例五所提供的网络异常监测装置的结构示意图；

图6为本申请实施例六所提供的网络异常监测装置的结构示意图；

图7示出了适于用来实现本申请实施方式的示例性计算机设备的框图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

现有技术中，仅针对个体用户建立基线，当个体用户的数据访问行为相对于个体用户数据访问行为基线存在偏离时，进行网络异常报警。其中，个体用户数据访问行为基线可以包括：数据访问量、访问频率、下载速率、访问路径等。

这种方式下，可能存在漏报和/或误报的情况，即异常数据流动事件的检测结果的准确率较低，从而导致异常报警的准确率较低。

举例而言，当通过源网络地址(比如IP地址)代理池或者多个用户账号，进行相对缓慢的数据爬取时，从单个IP地址或者用户账号的访问行为来看，所有的用户数据访问行为都是正常的，均未偏离个体用户数据访问行为基线。但是，上述多个用户缓慢读取数据是非正常的，属于异常数据流动事件。因此，上述通过针对个体用户建立基线的方式，无法识别多个用户缓慢读取数据，而导致总数据流量上升的异常数据流动事件，从而无法进行异常报警，存在漏报的情况。

或者，当业务变更时，个体用户行为发生突变，比如，商户进行促销活动，而导致访问流量增大，个体用户频繁请求数据获取接口，此时，个体用户的数据访问行为相对于个体用户数据访问行为基线存在偏离，将进行网络异常报警。但是上述却是正常的用户行为，属于误报。

因此，本申请主要针对现有技术中异常报警的准确率较低的技术问题，提供一种网络异常监测方法。本申请实施例中的网络异常监测方法，通过建立多维度基准值，根据多维度基准值，来进行异常数据流动事件的检测，可正确识别用户个体访问数据是否为正常的网络访问行为数据，可以有效降漏报和误报率，从而在用户个体访问数据为非正常的网络访问行为数据时，进行网络异常报警，可以提升异常报警的准确率。

下面参考附图描述本申请实施例的网络异常监测方法、装置、计算机设备和存储介质。

图1为本申请实施例一所提供的网络异常监测方法的流程示意图。

本申请实施例以该网络异常监测方法被配置于网络异常监测装置中来举例说明。该网络异常监测装置可以设置在网络侧，以对网络进行异常监测。

其中，网络用于在应用程序(Application，简称APP)或客户端，和服务器之间提供传输链路的介质，网络可以包括各种连接类型，例如有线、无线传输链路或者光纤电缆等等，本申请对此并不作限制。

如图1所示，该网络异常监测方法包括以下步骤：

步骤101，监测网络运行数据，其中，网络运行数据包括用户个体访问数据和用户群体访问数据。

本申请实施例中，网络异常监测装置可以在网络侧监测网络运行数据。其中，网络运行数据可以包括用户个体访问数据和用户群体访问数据。

其中，用户个体访问数据，是对单个用户对象访问设定应用程序进行监测得到的访问量、访问频率和下载速率中的至少一个，或者，是对单个用户对象访问设定接口进行监测得到的访问量、访问频率和下载速率中的至少一个。其中，用户对象是根据源网络地址(比如IP地址)、用户账号和设备指纹中的至少一个进行识别得到的。其中，设备指纹是指唯一标识设备的设备特征或者设备标识，比如当设备为手机时，设备指纹可以为国际移动设备标识(International Mobile Equipment Identity，简称IMEI)，或者，当设备为电脑时，设备指纹可以为物理地址(Media Access Control，简称MAC地址)。

举例而言，若预设时间段内，比如一个小时内，通过识别源IP地址、用户账号或设备指纹，确定用户A通过设定接口获取了10条信息，则用户个体访问数据可以为访问频率，即10个/小时。

其中，用户群体访问数据，是对多个用户对象访问设定应用程序进行监测得到的访问量均值、访问频率均值、下载速率均值、访问量标准差、访问频率标准差、下载速率标准差中的至少一个，或者，是对多个用户对象访问设定接口进行监测得到的访问量均值、访问频率均值、下载速率均值、访问量标准差、访问频率标准差、下载速率标准差中的至少一个。

举例而言，若预设时间段内，比如一个小时内，1000个用户通过设定接口获取了10000条信息，则用户群体访问数据可以为访问频率均值，即10个/小时。

本申请实施例中，上述设定应用程序可以为预先设定的任一应用程序，设定接口可以为预先设定的任一可获取数据的接口，比如应用程序接口(Application ProgrammingInterface，简称API)。其中，应用程序可以指运行在计算设备上的软件程序，计算设备可以为个人电脑(Personal Computer，简称PC)、云端设备、移动设备、车载设备等，移动设备例如可以为手机、平板电脑、个人数字助理、穿戴式设备等具有各种操作系统、触摸屏和/或显示屏的硬件设备。或者，应用程序还可以为服务器的网络地址、网站、应用系统等，本申请对此并不作限制。

步骤102，确定用户个体访问数据相对用户个体基准值的第一偏离度指示值。

本申请实施例中，用户个体基准值为预先设定的，例如，可以根据人工经验，设定上述用户个体基准值，或者，还可以根据历史访问数据，设定上述用户个体基准值，本申请对此并不作限制。其中，该用户个体基准值可以包括基于设定应用程序的用户个体基准值和基于设定接口的用户个体基准值。

其中，基于设定应用程序的用户个体基准值可以包括单个用户对象访问设定应用程序对应的访问量、访问频率、下载速率中的至少一个对应的基准值。基于设定接口的用户个体基准值可以包括单个用户对象访问设定接口对应的访问量、访问频率、下载速率中的至少一个对应的基准值。

本申请实施例中，当网络异常监测装置在监测到网络运行数据后，可以将网络运行数据中的用户个体访问数据与用户个体基准值进行比对，以确定用户个体访问数据相对用户个体基准值的第一偏离度指示值。

其中，用户个体基准值与用户个体访问数据是对应设置的，比如，当用户个体访问数据为单个用户对象访问设定应用程序对应的访问量时，用户个体基准值可为单个用户对象访问设定应用程序对应的访问量的基准值，或者，当用户个体访问数据为单个用户对象访问设定接口对应的访问频率时，用户个体基准值可为单个用户对象访问设定接口对应的访问频率的基准值。

本申请实施例中，可以根据用户个体访问数据与用户个体基准值之间的差值，确定第一偏离度指示值。

作为一种示例，可以将用户个体访问数据与用户个体基准值进行比较，确定用户个体访问数据是否超过用户个体基准值，在用户个体访问数据未超过用户个体基准值时，确定用户个体访问数据相对于用户个体基准值未存在偏离，此时，第一偏离度指示值可以为0，而当用户个体访问数据超过用户个体基准值时，确定用户个体访问数据相对于用户个体基准值存在偏离，此时，可以根据用户个体访问数据与用户个体基准值之间的差值，确定用户个体访问数据与用户个体基准值之间的第一偏离等级，例如，可以根据差值所属取值区间，确定对应的第一偏离等级，之后，根据第一偏离等级，确定第一偏离度指示值。

其中，用户个体访问数据与用户个体基准值之间的差值越小，第一偏离等级越小，用户个体访问数据与用户个体基准值之间的差值越大，第一偏离等级越大。其中，第一偏离等级的级数可为预先设置的，比如可以为n级。

例如，标记用户个体访问数据与用户个体基准值之间的第一偏离等级为As，1≤As≤n，则第一偏离度指示值可以为：As*a，其中，a表示用户个体访问数据相对于用户个体基准值是否存在偏离，当用户个体访问数据相对于用户个体基准值存在偏离时，a＝1，而当用户个体访问数据相对于用户个体基准值未存在偏离时，a＝0。

进一步地，还可以设置用户个体基准值对应的权重，根据用户个体基准值对应的权重，修正第一偏离度指示值。比如，标记用户个体基准值对应的权重为x，x≥1，则第一偏离度指示值可以为：a*x*As。

步骤103，确定用户群体访问数据相对用户群体基准值的第二偏离度指示值。

本申请实施例中，用户群体基准值为预先设定的，例如，可以根据人工经验，设定上述用户群体基准值，或者，还可以根据历史访问数据，设定上述用户群体基准值，本申请对此并不作限制。其中，该用户群体基准值可以包括基于设定应用程序的用户群体基准值和基于设定接口的用户群体基准值。

其中，基于设定应用程序的用户群体基准值可以包括多个用户对象访问设定应用程序对应的访问量均值、访问频率均值、下载速率均值、访问量标准差、访问频率标准差、下载速率标准差中的至少一个对应的基准值。基于设定接口的用户群体基准值可以包括多个用户对象访问设定接口对应的访问量均值、访问频率均值、下载速率均值、访问量标准差、访问频率标准差、下载速率标准差中的至少一个对应的基准值。

本申请实施例中，当网络异常监测装置在监测到网络运行数据后，可以将网络运行数据中的用户群体访问数据与用户群体基准值进行比对，以确定用户群体访问数据相对用户群体基准值的第二偏离度指示值。

其中，用户群体基准值与用户群体访问数据是对应设置的，比如，当用户群体访问数据为多个用户对象访问设定应用程序对应的访问量均值时，用户群体基准值可为多个用户对象访问设定应用程序对应的访问量均值的基准值，或者，当用户群体访问数据为多个用户对象访问设定接口对应的访问频率均值时，用户群体基准值可为多个用户对象访问设定接口对应的访问频率的基准值。

本申请实施例中，同样可以根据用户群体访问数据与用户群体基准值之间的差值，确定第二偏离度指示值。

作为一种示例，可以将用户群体访问数据与用户群体基准值进行比较，确定用户群体访问数据是否超过用户群体基准值，在用户群体访问数据未超过用户群体基准值时，确定用户群体访问数据相对于用户群体基准值未存在偏离，此时，第二偏离度指示值可以为0，而当用户群体访问数据超过用户群体基准值时，确定用户群体访问数据相对于用户群体基准值存在偏离，此时，可以根据用户群体访问数据与用户群体基准值之间的差值，确定用户群体访问数据与用户群体基准值之间的第二偏离等级，例如，可以根据差值所属取值区间，确定对应的第二偏离等级，之后，根据第二偏离等级，确定第二偏离度指示值。

其中，用户群体访问数据与用户群体基准值之间的差值越小，第二偏离等级越小，用户群体访问数据与用户群体基准值之间的差值越大，第二偏离等级越大。其中，第二偏离等级的级数可为预先设置的，比如可以为n级。需要说明的是，上述仅以第二偏离等级与第一偏离等级的级数相同进行示例，实际应用时，第二偏离等级也可以与第一偏离等级的级数不同，本申请对此并不作限制。

例如，标记用户群体访问数据与用户群体基准值之间的第二偏离等级为Ag，1≤Ag≤n，则第二偏离度指示值可以为：b*Ag，其中，b表示用户群体访问数据相对于用户群体基准值是否存在偏离，当用户群体访问数据相对于用户群体基准值存在偏离时，b＝1，而当用户群体访问数据相对于用户群体基准值未存在偏离时，b＝0。

进一步地，还可以设置用户群体基准值对应的权重，根据用户群体基准值对应的权重，修正第二偏离度指示值。比如，标记用户群体基准值对应的权重为y，y≥1，则第二偏离度指示值可以为：b*y*Ag。

需要说明的是，本申请中仅以步骤103在步骤102之后执行进行示例，实际应用时，步骤103还可以在步骤102之前执行，或者，步骤103还可以与步骤102并列执行，本申请对此并不做限制。

步骤104，根据第二偏离度指示值，对第一偏离度指示值修正，以生成偏离度检测值。

应当理解的是，当业务变更时，用户对象的网络访问行为可能发生突变，比如，商户进行促销活动，将导致访问流量增大，大量用户对象将频繁请求设定应用程序或者设定接口，来获取数据，此时，大量用户的用户个体访问数据相对于用户群体基准值均存在偏离，因此，可确定上述为群体效应，为正常的用户访问行为，即群体访问行为，因此，在这种情况下，可以将第二偏离度指示值作为逆变量，根据第二偏离度指示值，降低第一偏离度指示值，以生成偏离度检测值。

而当只有少量用户对象访问设定应用程序或者设定接口，则为非群体效应，上述为非正常的用户访问行为，因此，在这种情况下，可以将第二偏离度指示值作为正变量，根据第二偏离度指示值，调高第一偏离度指示值，以生成偏离度检测值。

步骤105，根据偏离度检测值进行网络异常报警。

本申请实施例中，在生成偏离度检测值后，可以根据偏离度检测值进行网络异常报警。例如，可以根据偏离度检测值，确定对应的异常等级，根据异常等级，发出对应的报警信息。其中，偏离度检测值越大，异常等级越高，反之，偏离度检测值越小，异常等级越低。

可以理解的是，根据用户群体访问数据相对于用户群体基准值的第二偏离度指示值，对用户个体访问数据相对用户个体基准值的第一偏离度指示值进行修正，以生成偏离度检测值，当偏离度检测值为0时，表明用户个体访问数据为正常的网络访问行为数据，可以不进行网络异常报警，而当偏离度检测值不为0时，表明用户个体访问数据为非正常的网络访问行为数据，可以进行网络异常报警。并且，为了便于及时对各类异常进行处理，可根据异常等级，发出对应的报警信息，其中，当异常等级不同时，对应的报警信息可以不同。

由此，同时根据用户个体基准值和用户群体基线，来进行异常数据流动事件的检测，确定用户个体访问数据是否为正常的网络访问行为数据，可以提升确定结果的准确性，从而提升异常报警的准确率。

本申请实施例的网络异常监测方法，通过监测网络运行数据，其中，网络运行数据包括用户个体访问数据和用户群体访问数据；确定用户个体访问数据相对用户个体基准值的第一偏离度指示值，并确定用户群体访问数据相对用户群体基准值的第二偏离度指示值，之后，根据第二偏离度指示值，对第一偏离度指示值修正，以生成偏离度检测值，最后，根据偏离度检测值进行网络异常报警。本申请中，根据用户群体访问数据相对于用户群体基准值的第二偏离度指示值，对用户个体访问数据相对用户个体基准值的第一偏离度指示值进行修正，以生成偏离度检测值，可以提升偏离度检测值计算结果的准确性，从而提升异常报警的准确率，也就是说，同时根据用户个体基准值和用户群体基线，来进行异常数据流动事件的检测，确定用户个体访问数据是否为正常的网络访问行为数据，可以提升确定结果的准确性，从而提升异常报警的准确率。

由上可知，步骤104可根据用户个体访问数据相对用户群体基准值存在偏离的用户数量，来确定第二偏离度指示值为正变量还是逆变量，从而可根据确定结果，来对第一偏离度指示值进行降低或者调高处理。下面结合实施例二，对上述过程进行详细说明。

图2为本申请实施例二所提供的网络异常监测方法的流程示意图。

如图2所示，该网络异常监测方法可以包括以下步骤：

步骤201，监测网络运行数据，其中，网络运行数据包括用户个体访问数据和用户群体访问数据。

步骤202，确定用户个体访问数据相对用户个体基准值的第一偏离度指示值。

步骤203，确定用户群体访问数据相对用户群体基准值的第二偏离度指示值。

步骤201至203的执行过程可以参见上述实施例中步骤101至103的执行过程，在此不做赘述。

步骤204，根据多个用户的用户个体访问数据，确定多个用户中用户个体访问数据相对用户群体基准值存在偏离的用户数量占比。

本申请实施例中，可对网络运行数据进行实时监测，获取多个用户的用户个体访问数据，例如标记用户个数为C1，C1个用户中用户个体访问数据相对用户群体基准值存在偏离的用户个数为C2，则上述多个用户中用户个体访问数据相对用户群体基准值存在偏离的用户数量占比为：C2/C1。

步骤205，判断用户数量占比是否大于比例阈值，若是，执行步骤206，若否，执行步骤207。

本申请实施例中，比例阈值可根据经验值设定，例如该比例阈值可为20％。

步骤206，根据第二偏离度指示值，降低第一偏离度指示值，以生成偏离度检测值。

本申请实施例中，当用户数量占比大于比例阈值时，可认为是群体访问行为，此时，可以根据第二偏离度指示值，降低第一偏离度指示值，以生成偏离度检测值。由此，可以有效降低异常数据流动事件的误报率。

在本申请实施例的一种可能的实现方式中，可以将第二偏离度指示值与第一偏离度指示值之间的差值的绝对值，确定为修正后的第一偏离度指示值，根据修正后的第一偏离度指示值，生成偏离度检测值。

步骤207，根据第二偏离度指示值，调高第一偏离度指示值，以生成偏离度检测值。

本申请实施例中，当用户数量占比小于或者等于比例阈值时，可认为是非群体访问行为，此时，可以根据第二偏离度指示值，调高第一偏离度指示值，以生成偏离度检测值。

在本申请实施例的一种可能的实现方式中，可以将第二偏离度指示值与第一偏离度指示值的和值的绝对值，确定为修正后的第一偏离度指示值，根据修正后的第一偏离度指示值，生成偏离度检测值。

步骤208，根据偏离度检测值进行网络异常报警。

步骤208的执行过程可以参见上述实施例中步骤105的执行过程，在此不做赘述。

本申请实施例的网络异常监测方法，通过根据多个用户的用户个体访问数据，确定多个用户中用户个体访问数据相对用户群体基准值存在偏离的用户数量占比，并判断用户数量占比是否大于比例阈值，若是，则根据第二偏离度指示值，降低第一偏离度指示值，以生成偏离度检测值，若否，则根据第二偏离度指示值，调高第一偏离度指示值，以生成偏离度检测值。由此，可以提升偏离度检测值计算结果的准确性，从而提升异常报警的准确率。

需要说明的是，当通过源网络地址代理池或者多个用户账号，进行相对缓慢的数据爬取时，从单个IP或者用户账号的访问行为来看，所有的用户数据访问行为都是正常的，均未偏离用户个体基准值。但是，上述多个用户缓慢读取数据是非正常的，属于异常数据流动事件。

因此，为了准确识别多个用户缓慢读取数据，而导致总数据流量上升的异常数据流动事件，从而进行网络异常报警，本申请中，网络运行数据还可以包括数据流量，还可根据数据流量相对于流量基准值的第三偏离度指示值，以及第二偏离度指示值，对第一偏离度指示值进行修正，以得到偏离度检测值。由此，可以有效降低异常数据流动事件的漏报率。

下面结合实施例三，对上述过程进行详细说明。

图3为本申请实施例三所提供的网络异常监测方法的流程示意图。

如图3所示，该网络异常监测方法可以包括以下步骤：

步骤301，监测网络运行数据，其中，网络运行数据包括用户个体访问数据、用户群体访问数据和数据流量。

本申请实施例中，数据流量，用于指示数据流出速率和/或数据流出量。数据流量，可以是对设定应用程序进行流出数据监测得到的，或者，是对设定接口进行流出数据监测得到的。

本申请实施例中，网络异常监测装置可以从网络侧监测并获取网络运行数据。

步骤302，确定用户个体访问数据相对用户个体基准值的第一偏离度指示值。

步骤303，确定用户群体访问数据相对用户群体基准值的第二偏离度指示值。

步骤301至303的执行过程可以参见上述实施例中步骤101至103的执行过程，在此不做赘述。

步骤304，确定数据流量相对流量基准值的第三偏离度指示值。

本申请实施例中，流量基准值为预先设定的，例如，可以根据人工经验，设定上述流量基准值，或者，还可以根据历史流量数据，设定上述流量基准值，本申请对此并不作限制。其中，该流量基准值可以包括基于设定应用程序的流量基准值和基于设定接口的流量基准值。

其中，基于设定应用程序的流量基准值可以包括设定应用程序对应的数据流出速率、数据流出量中的至少一个对应的基准值，基于设定接口的流量基准值可以包括设定接口对应的数据流出速率、数据流出量中的至少一个对应的基准值。

本申请实施例中，当网络异常监测装置在监测到网络运行数据后，可以将网络运行数据中的数据流量与流量基准值进行比对，以确定数据流量相对流量基准值的第三偏离度指示值。

其中，流量基准值与数据流量是对应设置的，比如，当数据流量为对设定应用程序进行流出数据监测得到的，用于指示数据流出速率时，流量基准值可以为设定应用程序对应的数据流出速率对应的基准值，或者，当数据流量为对设定接口进行流出数据监测得到的，用于指示数据流出量时，流量基准值可以为设定接口对应的数据流出速率对应的基准值。

本申请实施例中，可以根据数据流量与流量基准值之间的差值，确定第三偏离度指示值。

作为一种示例，可以将数据流量与流量基准值进行比较，确定数据流量是否超过流量基准值，在数据流量未超过流量基准值时，确定数据流量相对于流量基准值未存在偏离，此时，第三偏离度指示值可以为0，而当数据流量超过流量基准值时，确定数据流量相对于流量基准值存在偏离，此时，可以根据数据流量与流量基准值之间的差值，确定数据流量与流量基准值之间的第三偏离等级，例如，可以根据差值所属取值区间，确定对应的第三偏离等级，之后，根据第三偏离等级，确定第三偏离度指示值。

其中，数据流量与流量基准值之间的差值越小，第三偏离等级越小，数据流量与流量基准值之间的差值越大，第三偏离等级越大。其中，第三偏离等级的级数可为预先设置的，比如可以为n级。需要说明的是，上述仅以第三偏离等级、第二偏离等级和第一偏离等级的级数相同进行示例，实际应用时，第三偏离等级、第二偏离等级以及第一偏离等级的级数可以相同，也可以不同，本申请对此并不作限制。

例如，标记数据流量与流量基准值之间的第三偏离等级为Aa，1≤Aa≤n，则第三偏离度指示值可以为：c*As，其中，c表示数据流量相对于流量基准值是否存在偏离，当数据流量相对于流量基准值存在偏离时，c＝1，而当数据流量相对于流量基准值未存在偏离时，c＝0。

进一步地，还可以设置流量基准值对应的权重，根据流量基准值对应的权重，修正第三偏离度指示值。比如，标记流量基准值对应的权重为z，z≥1，则第三偏离度指示值可以为：c*z*Aa。

需要说明的是，本申请中仅以步骤304在步骤303之后执行进行示例，实际应用时，步骤304还可以在步骤303之前执行，或者，步骤304还可以在步骤302之前执行，或者，步骤304还可以与步骤302和303并列执行，本申请对此并不做限制。

步骤305，根据第二偏离度指示值，对第一偏离度指示值修正。

本申请实施例中，可以根据多个用户的用户个体访问数据，确定多个用户中用户个体访问数据相对用户群体基准值存在偏离的用户数量占比，当用户数量占比大于比例阈值时，根据第二偏离度指示值，降低第一偏离度指示值，以生成偏离度检测值。例如，可以将第二偏离度指示值与第一偏离度指示值之间的差值的绝对值，确定为修正后的第一偏离度指示值。

而当用户数量占比小于或等于比例阈值时，根据第二偏离度指示值，调高第一偏离度指示值，以生成偏离度检测值。例如，可以将第二偏离度指示值与第一偏离度指示值的和值的绝对值，确定为修正后的第一偏离度指示值。

步骤306，将修正后的第一偏离度指示值与第三偏离度指示值加权求和，以得到偏离度检测值。

本申请实施例中，可以将修正后的第一偏离度指示值与第三偏离度指示值加权求和，以得到偏离度检测值。

例如，标记偏离度检测值为W，上述用户数量占比为m，比例阈值为r，则可以根据下述公式计算偏离度检测值W：

可以理解的是，当每个用户读取的数据均很少，即数据流量均很低时，从于服务器和应用程序来看，上述访问行为是不正常的，因此，为了避免用户缓慢读取数据而导致总数据流量上升的情况，可以将第三偏离度指示值作为正变量，可以有效降低漏报率。

本申请中，建立了六种基准值，分别为：基于设定应用程序的用户个体基准值、基于设定接口的用户个体基准值、基于设定应用程序的用户群体基准值、基于设定接口的用户群体基准值、基于设定应用程序的流量基准值和基于设定接口的流量基准值，可以将上述六种基准值分为两类，一类为与设定应用程序相关的基准值，一类为与设定接口相关的基准值。其中，与设定应用程序相关的基准值为：基于设定应用程序的用户个体基准值、基于设定应用程序的用户群体基准值、基于设定应用程序的流量基准值，与设定接口相关的基准值为：基于设定接口的用户个体基准值、基于设定接口的用户群体基准值、基于设定接口的流量基准值。

针对与设定应用程序相关的基准值，以及与设定接口相关的基准值，均可以采用公式(1)，计算对应的偏离度检测值W。也就是说，本申请中，当用户个体访问数据是对单个用户对象访问设定应用程序监测得到的访问量、访问频率和下载速率中的至少一个，且，用户群体访问数据是对多个用户对象访问设定应用程序进行监测得到的访问量均值、访问频率均值、下载速率均值、访问量标准差、访问频率标准差、下载速率标准差中的至少一个时，可以根据与设定应用程序相关的三种的基准值，以及公式(1)，计算得到对应的偏离度检测值W。当用户个体访问数据是对单个用户对象访问设定接口进行监测得到的访问量、访问频率和下载速率中的至少一个，且，用户群体访问数据是对多个用户对象访问设定接口进行监测得到的访问量均值、访问频率均值、下载速率均值、访问量标准差、访问频率标准差、下载速率标准差中的至少一个时，可以根据与设定接口相关的三种的基准值，以及公式(1)，计算得到对应的偏离度检测值W。

例如，本申请中可以以与设定应用程序相关的基准值为例来具体描述公式(1)。

假设与设定应用程序相关三种的基准值对应的偏离等级均为n级，其中，1级最低，n级最高。并假设基于设定应用程序的用户个体基准值的权重为x，其中，x≥1，用户个体访问数据与基于设定应用程序的用户个体基准值之间的第一偏离等级为As，则第一偏离度指示值可以为：a*x*As。其中，As为小于等于n的正整数。

基于设定应用程序的用户群体基准值的权重为y，其中，y≥1，用户群体访问数据与基于设定应用程序的用户群体基准值之间的第二偏离等级为Ag，则第二偏离度指示值可以为：b*y*Ag。其中，Ag为小于等于n的正整数。

基于设定应用程序的流量基准值对应的权重为z，其中，z≥1，数据流量与基于设定应用程序的流量基准值之间的第三偏离等级为Aa，则第三偏离度指示值可以为：c*z*Aa。

则偏离度检测值W：

假设x、y、z均为1，并以r为20％示例，则偏离度检测值W的计算结果可以如表1所示：

其中，√表示偏离基准值，×表示未偏离基准值。

步骤307，根据偏离度检测值进行网络异常报警。

本申请实施例中，当计算得到偏离度检测值后，可以根据偏离度检测值进行网络异常报警。例如，可以根据偏离度检测值，确定对应的异常等级，根据异常等级，发出对应的报警信息。

本申请实施例的网络异常监测方法，通过建立多维度基准值，根据多维度基准值，来进行异常数据流动事件的检测，可正确识别用户个体访问数据是否为正常的网络访问行为数据，可以有效降异常数据流动事件的漏报率和误报率，从而在用户个体访问数据为非正常的网络访问行为数据时，进行网络异常报警，可以提升异常报警的准确率。

在本申请实施例的一种可能的实现方式中，可以根据偏离度检测值所属的取值区间，确定对应的异常等级，从而可以发出异常等级对应的报警信息。下面结合实施例四，对上述过程进行详细说明。

图4为本申请实施例四所提供的网络异常监测方法的流程示意图。

如图4所示，该网络异常监测方法可以包括以下步骤：

步骤401，监测网络运行数据，其中，网络运行数据包括用户个体访问数据和用户群体访问数据。

进一步地，网络运行数据还可以包括数据流量。

步骤402，确定用户个体访问数据相对用户个体基准值的第一偏离度指示值。

步骤403，确定用户群体访问数据相对用户群体基准值的第二偏离度指示值。

进一步地，还可以确定数据流量相对流量基准值的第三偏离度指示值。

步骤404，根据第二偏离度指示值，对第一偏离度指示值修正，以生成偏离度检测值。

在本申请实施例的一种可能的实现方式中，可以根据第二偏离度指示值，对第一偏离度指示值修正；将修正后的第一偏离度指示值与第三偏离度指示值加权求和，以得到偏离度检测值。

步骤401至404的执行过程可以参见上述实施例中图1至图3的执行过程，在此不做赘述。

步骤405，根据偏离度检测值所属取值区间，确定对应的异常等级。

本申请实施例中，可以预先设置异常等级的级数，以及各级异常等级对应的取值范围，从而，本申请中，在确定偏离度检测值后，可以查询各级异常等级对应的取值范围，确定该偏离度检测值对应的异常等级。

仍以图3中步骤306的例子示例，假设异常等级的级数为n，每个级别的间隔距离为D，则D＝(max(W)-min(W))/n。

则1级异常等级的取值范围可以为[0,T1]，其中T1＝D*1；

2级异常等级的取值范围可以为(T1,T2]，其中T2＝D*2；

3级异常等级的取值范围可以为(T2,T3]，其中T3＝D*3；

……；

n级异常等级的取值范围可以为(T2,max(W)]。

一般情况下，设置三级异常等级即可满足使用需求，以n＝3，max(W)＝3n，min(W)＝0为例，此时D＝3，则1级异常等级(低危)的取值范围可以为[0,3]，2级异常等级(中危)的取值范围可以为(3,6]；3级异常等级(高危)的取值范围可以为(6,9]。

需要说明的是，上述仅以n＝3，max(W)＝3n，min(W)＝0进行示例，实际应用时，可以根据应用场景和需求，设置各参数对应的取值，本申请对此并不做限制。

步骤406，发出异常等级对应的报警信息。

本申请实施例中，为了便于及时对各类异常进行处理，当异常等级不同时，对应的报警信息可以不同。可以设置各异常等级与报警信息之间的对应关系，在确定异常等级后，可以查询上述对应关系，确定对应的报警信息，并发出对应的报警信息。

作为一种可能的实现方式，可以通过扬声器以语音播报的方式，将报警消息进行播报出来。

作为另一种可能的实现方式，可以通过指示灯可视化地显示异常等级的报警信息，比如，当异常等级较低时，可以以黄色进行提示，当异常等级中度时，可以以绿色进行提示，当异常等级较高时，可以以红色进行提示，等等，对此不作限制。由此，通过多色点亮指示灯的方式，进行报警提醒，可以使得相关人员可更加直观化地获知当前的异常等级。

需要说明的是，上述仅以三个等级示例，实际应用时，还可以更加细粒度化地对异常等级进行划分，并且，上述仅以黄绿红三种颜色示例，实际应用时，可以根据应用场景和需求，对每种异常等级和对应的颜色进行设置，对此不作限制。

作为又一种可能的实现方式，可以通过显示屏显示异常等级的报警信息。例如，可以以数字、文字、图像、视频中的至少一种方式，对异常等级进行显示。举例而言，当异常等级较低时，可以以数字1进行提示，当异常等级中度时，可以以数字2进行提示，当异常等级较高时，可以以数字3进行提示，同时以文字信息“异常严重”进行提示，等等，对此不作限制。

作为再一种可能的实现方式，还可以通过蜂鸣器、振动电机等，以声音、振动等方式，发出异常等级对应的报警信息，本申请对此并不做限制。

需要说明的是，上述仅以偏离度检测值为0时，属于1级进行示例，实际应用时，当偏离度检测值为0时，还可以不进行网络异常报警，本申请对此并不作限制。

作为一种应用场景，网络攻击者使用IP代理池，从设定接口进行相对缓慢的数据爬取，其中，IP代理池中包括1000个不同的IP。在1个小时内，通过遍历getUserInfo？id＝1000接口的id参数，平均1个IP获取10条信息，1000个IP总共获取10000条信息。假设基于设定接口的用户个体基准值为10个/小时，基于设定接口的用户群体基准值为12个/小时，基于设定接口的流量基准值为5000个/小时。在该场景下，用户的个体访问行为未偏离基于设定接口的用户个体基准值和基于设定接口的用户群体基准值，但是，对设定应用程序进行流出数据监测得到数据流量偏离了基于设定接口的流量基准值(10000远大于5000)，则触发基于设定接口的流量基准值的高危报警，比如数据流量与流量基准值之间的第三偏离等级Aa为n，以n＝3示例，则W＝0+3＝3，将触发低危告警。

相对于现有技术中，仅针对个体用户建立基线，不会触发任何告警的方式，本申请中，当多个用户缓慢读数据导致总数据流量上升时，同样可以触发对应的报警信息，可以在数据异常流动检测场景下，有效降低漏报率，精确产生告警事件。

作为另一种应用场景，由于业务量突然增加，大部分用户均需多次调用getUserInfo？id＝1000接口，获取敏感信息，此时50％的个体获取敏感数据数量为100个/小时，接口流出敏感数据为100000个/小时。其中，敏感数据可以为容易被网络攻击的内容，比如优惠券，商品购买，验证码查询等数据。

假设用户个体基准值为30个/小时，用户群体基准值为40个/小时，流量基准值为40000个/小时。在该场景下，个体的访问行为严重偏离了上述三种基准值。假设用户个体基准值、用户群体基准值和流量基准值，均触发高危告警。根据公式(1)计算得到W＝|3-3|+3＝3，将触发低危告警。

相对于现有技术中，仅针对个体用户建立基线，针对于群体访问行为将触发高危告警，而本申请中，仅触发了低危告警，可以在敏感数据异常流动检测场景下，有效降低误报率，精确产生告警事件。

本申请实施例的网络异常监测装置，通过对用户个体基准值、用户群体基准值和流量基准值的综合判断，重新定义异常等级，将精确产生告警事件，并有效降低漏报率和误报率。

为了实现上述实施例，本申请还提出一种网络异常监测装置。

图5为本申请实施例五所提供的网络异常监测装置的结构示意图。

如图5所示，该网络异常监测装置100包括：监测模块110、确定模块120、处理模块130以及报警模块140。

其中，监测模块110，用于监测网络运行数据，其中，网络运行数据包括用户个体访问信息和用户群体访问信息。

确定模块120，用于确定用户个体访问数据相对用户个体基准值的第一偏离度指示值；确定用户群体访问数据相对用户群体基准值的第二偏离度指示值。

处理模块130，用于根据第二偏离度指示值，对第一偏离度指示值修正，以生成偏离度检测值。

报警模块140，用于根据偏离度检测值进行网络异常报警。

进一步地，在本申请实施例的一种可能的实现方式中，参见图6，在图5所示实施例的基础上，该处理模块130，可以包括：

确定单元131，用于根据多个用户的用户个体访问数据，确定多个用户中用户个体访问数据相对用户群体基准值存在偏离的用户数量占比。

降低单元132，用于若用户数量占比大于比例阈值，则根据第二偏离度指示值，降低第一偏离度指示值，以生成偏离度检测值。

作为一种可能的实现方式，降低单元132，具体用于：将第二偏离度指示值与第一偏离度指示值之间的差值的绝对值，确定为修正后的第一偏离度指示值；根据修正后的第一偏离度指示值，生成偏离度检测值。

调高单元133，用于若用户数量占比小于或等于比例阈值，则根据第二偏离度指示值，调高第一偏离度指示值，以生成偏离度检测值。

作为一种可能的实现方式，用户个体访问数据，是对单个用户对象访问设定应用程序或者设定接口进行监测得到的访问量、访问频率和下载速率中的一个或多个组合；其中，用户对象是根据源网络地址、用户账号和设备指纹中的一个或多个组合进行识别得到的；用户群体访问数据，是对多个用户对象访问设定应用程序或者设定接口进行监测得到的访问量均值、访问频率均值、下载速率均值、访问量标准差、访问频率标准差、下载速率标准差中的一个或多个组合。

作为一种可能的实现方式，网络运行数据还包括：数据流量，确定模块120，还用于：确定数据流量相对流量基准值的第三偏离度指示值。

处理模块130，具体用于：根据第二偏离度指示值，对第一偏离度指示值修正；将修正后的第一偏离度指示值与第三偏离度指示值加权求和，以得到偏离度检测值。

作为一种可能的实现方式，数据流量，是对设定应用程序或者设定接口进行流出数据监测得到的，用于指示数据流出速率和/或数据流出量。

作为一种可能的实现方式，报警模块140，具体用于：根据偏离度检测值所属取值区间，确定对应的异常等级；发出异常等级对应的报警信息。

需要说明的是，前述对网络异常监测方法实施例的解释说明也适用于该实施例的网络异常监测装置100，此处不再赘述。

本申请实施例的网络异常监测装置，通过监测网络运行数据，其中，网络运行数据包括用户个体访问数据和用户群体访问数据；确定用户个体访问数据相对用户个体基准值的第一偏离度指示值，并确定用户群体访问数据相对用户群体基准值的第二偏离度指示值，之后，根据第二偏离度指示值，对第一偏离度指示值修正，以生成偏离度检测值，最后，根据偏离度检测值进行网络异常报警。本申请中，根据用户群体访问数据相对于用户群体基准值的第二偏离度指示值，对用户个体访问数据相对用户个体基准值的第一偏离度指示值进行修正，以生成偏离度检测值，可以提升偏离度检测值计算结果的准确性，从而提升异常报警的准确率，也就是说，同时根据用户个体基准值和用户群体基线，来进行异常数据流动事件的检测，确定用户个体访问数据是否为正常的网络访问行为数据，可以提升确定结果的准确性，从而提升异常报警的准确率。

为了实现上述实施例，本申请还提出一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现如本申请前述实施例提出的网络异常监测方法。

为了实现上述实施例，本申请还提出一种非临时性计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本申请前述实施例提出的网络异常监测方法。

为了实现上述实施例，本申请还提出一种计算机程序产品，当所述计算机程序产品中的指令处理器执行时，执行如本申请上述实施例提出的网络异常监测方法。

图7示出了适于用来实现本申请实施方式的示例性计算机设备的框图。图7显示的计算机设备12仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图7所示，计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理单元16)的总线18。

总线18表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture；以下简称：ISA)总线，微通道体系结构(Micro Channel Architecture；以下简称：MAC)总线，增强型ISA总线、视频电子标准协会(Video Electronics StandardsAssociation；以下简称：VESA)局域总线以及外围组件互连(Peripheral ComponentInterconnection；以下简称：PCI)总线。

计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(Random Access Memory；以下简称：RAM)30和/或高速缓存存储器32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图7未显示，通常称为“硬盘驱动器”)。尽管图7中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如：光盘只读存储器(Compact Disc Read OnlyMemory；以下简称：CD-ROM)、数字多功能只读光盘(Digital Video Disc Read OnlyMemory；以下简称：DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本申请各实施例的功能。

具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本申请所描述的实施例中的功能和/或方法。

计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该计算机设备12交互的设备通信，和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且，计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(Local Area Network；以下简称：LAN)，广域网(Wide Area Network；以下简称：WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白，尽管图中未示出，可以结合计算机设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

处理单元16通过运行存储在系统存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现前述实施例中提及的方法。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本申请的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本申请的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，"计算机可读介质"可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。如，如果用硬件来实现和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本申请各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

上述提到的存储介质可以是只读存储器，磁盘或光盘等。尽管上面已经示出和描述了本申请的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本申请的限制，本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (11)

1.一种网络异常监测方法，其特征在于，包括：

监测网络运行数据，其中，所述网络运行数据包括用户个体访问数据和用户群体访问数据；

确定所述用户个体访问数据相对用户个体基准值的第一偏离度指示值；

确定所述用户群体访问数据相对用户群体基准值的第二偏离度指示值；

根据所述第二偏离度指示值，对所述第一偏离度指示值修正，以生成偏离度检测值；

根据所述偏离度检测值进行网络异常报警。

2.根据权利要求1所述的网络异常监测方法，其特征在于，所述根据所述第二偏离度指示值，对所述第一偏离度指示值修正，包括：

根据多个用户的所述用户个体访问数据，确定所述多个用户中所述用户个体访问数据相对所述用户群体基准值存在偏离的用户数量占比；

若所述用户数量占比大于比例阈值，则根据所述第二偏离度指示值，降低所述第一偏离度指示值，以生成所述偏离度检测值。

3.根据权利要求2所述的网络异常监测方法，其特征在于，所述根据所述第二偏离度指示值，降低所述第一偏离度指示值，以生成所述偏离度检测值，包括：

将所述第二偏离度指示值与所述第一偏离度指示值之间的差值的绝对值，确定为修正后的第一偏离度指示值；

根据所述修正后的第一偏离度指示值，生成所述偏离度检测值。

4.根据权利要求2所述的网络异常监测方法，其特征在于，所述根据多个用户的所述用户个体访问数据，确定所述多个用户中所述用户个体访问数据相对所述用户群体基准值存在偏离的用户数量占比之后，还包括：

若所述用户数量占比小于或等于所述比例阈值，则根据所述第二偏离度指示值，调高所述第一偏离度指示值，以生成所述偏离度检测值。

5.根据权利要求1所述的网络异常监测方法，其特征在于，

所述用户个体访问数据，是对单个用户对象访问设定应用程序或者设定接口进行监测得到的访问量、访问频率和下载速率中的一个或多个组合；其中，所述用户对象是根据源网络地址、用户账号和设备指纹中的一个或多个组合进行识别得到的；

所述用户群体访问数据，是对多个用户对象访问设定应用程序或者设定接口进行监测得到的访问量均值、访问频率均值、下载速率均值、访问量标准差、访问频率标准差、下载速率标准差中的一个或多个组合。

6.根据权利要求1-5任一项所述的网络异常监测方法，其特征在于，所述网络运行数据还包括：数据流量；所述监测网络运行数据之后，还包括：

确定所述数据流量相对流量基准值的第三偏离度指示值；

所述根据所述第二偏离度指示值，对所述第一偏离度指示值修正，以生成偏离度检测值，包括：

根据所述第二偏离度指示值，对所述第一偏离度指示值修正；

将修正后的第一偏离度指示值与所述第三偏离度指示值加权求和，以得到所述偏离度检测值。

7.根据权利要求6所述的网络异常监测方法，其特征在于，

所述数据流量，是对设定应用程序或者设定接口进行流出数据监测得到的，用于指示数据流出速率和/或数据流出量。

8.根据权利要求1-5任一项所述的网络异常监测方法，其特征在于，所述根据所述偏离度检测值进行网络异常报警，包括：

根据所述偏离度检测值所属取值区间，确定对应的异常等级；

发出所述异常等级对应的报警信息。

9.一种网络异常监测装置，其特征在于，包括：

监测模块，用于监测网络运行数据，其中，所述网络运行数据包括用户个体访问信息和用户群体访问信息；

确定模块，用于确定所述用户个体访问数据相对用户个体基准值的第一偏离度指示值；确定所述用户群体访问数据相对用户群体基准值的第二偏离度指示值；

处理模块，用于根据所述第二偏离度指示值，对所述第一偏离度指示值修正，以生成偏离度检测值；

报警模块，用于根据所述偏离度检测值进行网络异常报警。

10.一种计算机设备，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时，实现如权利要求1-8中任一所述的网络异常监测方法。

11.一种非临时性计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1-8中任一所述的网络异常监测方法。

Images