CN112383554B - 接口流量异常检测方法、装置、终端设备及存储介质 - Google Patents

接口流量异常检测方法、装置、终端设备及存储介质 Download PDF

Info

Publication number
CN112383554B
CN112383554B CN202011281595.4A CN202011281595A CN112383554B CN 112383554 B CN112383554 B CN 112383554B CN 202011281595 A CN202011281595 A CN 202011281595A CN 112383554 B CN112383554 B CN 112383554B
Authority
CN
China
Prior art keywords
image
interface
segmentation
flow
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011281595.4A
Other languages
English (en)
Other versions
CN112383554A (zh
Inventor
王有金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN202011281595.4A priority Critical patent/CN112383554B/zh
Publication of CN112383554A publication Critical patent/CN112383554A/zh
Priority to PCT/CN2021/091088 priority patent/WO2022100028A1/zh
Application granted granted Critical
Publication of CN112383554B publication Critical patent/CN112383554B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请适用于人工智能技术领域,提供了一种接口流量异常检测方法、装置、终端设备及存储介质,该方法包括:获取待检测接口的流量数据,并根据流量数据绘制接口访问图像;对接口访问图像进行分割,直至每个图像点均被孤立,得到每个图像点对应的分割路径;根据分割路径的长度计算对应图像点的异常指数;若任一图像点对应的异常指数大于异常阈值,则判定待检测接口在图像点对应时间段内的流量是异常流量。本申请基于接口访问图像的绘制、图像点的孤立和异常指数的计算,能自动对待检测接口进行接口流量异常的检测,无需依赖人工经验设置流量检测阈值,方便了用户的操作,提高了接口流量异常检测的准确性。此外,本申请还涉及区块链技术。

Description

接口流量异常检测方法、装置、终端设备及存储介质
技术领域
本申请涉及人工智能领域,尤其涉及一种接口流量异常检测方法、装置、终端设备及存储介质。
背景技术
随着海量数据时代的来临,各公司意识到了数据驱动业务带来的巨大优势,业务系统流量达到每秒上亿级别,随着系统中接口访问流量的剧增,如何从海量的接口流量中识别出恶意流量或异常流量的问题越来越受人们所重视。
现有的接口流量异常检测,均是依赖人工经验的方式设置流量检测阈值,基于流量检测阈值判断系统接口的接口流量是否是异常流量,但由于依赖人工经验的方式设置流量检测阈值,导致用户操作繁琐,且接口流量异常检测准确性低下。
发明内容
有鉴于此,本申请实施例提供了一种接口流量异常检测方法、装置、终端设备及存储介质,以解决现有技术的流量异常检测过程中,由于依赖人工经验设置流量检测阈值,所导致的接口流量异常检测准确性低下的问题。
本申请实施例的第一方面提供了一种接口流量异常检测方法,包括:
获取待检测接口的流量数据,并根据所述流量数据绘制接口访问图像,所述接口访问图像包括所述流量数据中不同时间段与对应接口流量之间所形成的图像点;
对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径,所述分割路径的长度用于表征孤立对应所述图像点的难易程度;
根据所述分割路径的长度计算对应所述图像点的异常指数,所述异常指数用于表征所述图像点的异常程度;
若任一所述图像点对应的所述异常指数大于异常阈值,则判定所述待检测接口在所述图像点对应时间段内的流量是异常流量。
进一步地,所述根据所述流量数据绘制接口访问图像,包括:
根据预设时间间隔对所述流量数据中的时间参数进行分割,得到不同时间段,并分别获取不同日期中相同所述时间段对应的所述接口流量;
针对同一所述时间段,将对应获取到的所述接口流量为纵坐标值、所述接口流量对应的日期为横坐标值进行坐标点绘制,得到所述图像点。
进一步地,所述对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径,包括:
计算所述待检测接口的接口总流量,所述接口总流量为所述待检测接口在不同日期中相同所述时间段之间对应接口流量的和;
根据所述接口总流量计算所述时间段对应的流量平均值;
根据所述流量平均值生成所述接口访问图像的图像分割线,并根据所述图像分割线对所述接口访问图像进行图像分割,得到访问分割图像;
分别计算所述访问分割图像中不同时间段对应接口流量的和,并根据所述访问分割图像中不同时间段对应接口流量的和计算所述访问分割图像的流量平均值;
根据所述访问分割图像的流量平均值生成对应所述访问分割图像中的图像分割线,并根据所述访问分割图像中的图像分割线对所述访问分割图像进行图像分割,得到分割子图像;
若所述分割子图像中的所述图像点的数量大于数量阈值,则分别计算所述分割子图像中不同时间段对应接口流量的和,并根据所述分割子图像中不同时间段对应接口流量的和计算所述分割子图像的流量平均值;
根据所述分割子图像的流量平均值生成对应所述分割子图像中的图像分割线,并根据所述分割子图像中的图像分割线对所述分割子图像进行图像分割;
若所述分割子图像中的所述图像点的数量小于或等于数量阈值,则停止所述分割子图像的分割;
若分割后所述分割子图像中的所述图像点的数量大于数量阈值,则持续对分割后所述分割子图像进行图像分割,直至分割后所述分割子图像中的所述图像点的数量小于或等于数量阈值;
根据所述图像分割线生成对应所述图像点的所述分割路径。
进一步地,所述根据所述图像分割线生成对应所述图像点的所述分割路径,包括:
获取用于孤立所述图像点的所述图像分割线,并将获取到的所述图像分割线进行矢量合并,得到所述分割路径。
进一步地,所述判定所述待检测接口在所述图像点对应时间段内的流量是异常流量之后,所述方法还包括:
获取所述异常流量对应的请求对象,并对获取到的所述请求对象进行异常标记;
若所述请求对象在预设时间内的异常标记次数大于次数阈值,则获取所述异常流量对应的访问地址,并在预设时间间隔内禁止所述请求对象对所述访问地址的访问。
进一步地,所述根据所述分割路径的长度计算对应所述图像点的异常指数所采用的计算公式为:
Figure BDA0002780988050000031
其中,E(h(x))是第x个所述图像点对应的所述分割路径的长度,c(Ψ)是预设分割路径的长度,s(x,Ψ)是第x个所述图像点对应的所述异常指数。
进一步地,所述对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径之后,还包括:
计算所述分割路径的长度的算术平均值和标准差,并根据计算到的所述算术平均值和所述标准差对所述分割路径进行标准化处理;
所述根据所述算术平均值和所述标准差对所述分割路径进行标准化处理所采用的标准化公式为:
A=(B-C)/D;
其中,A是标准化处理后的所述分割路径的长度,B是标准化处理前的所述分割路径的长度,C是所述算术平均值,D是所述标准差。
本申请实施例的第二方面提供了一种接口流量异常检测装置,包括:
访问图像绘制单元,用于获取待检测接口的流量数据,并根据所述流量数据绘制接口访问图像,所述接口访问图像包括所述流量数据中不同时间段与对应接口流量之间所形成的图像点;
图像分割单元,用于对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径,所述分割路径的长度用于表征孤立对应所述图像点的难易程度;
异常指数计算单元,用于根据所述分割路径的长度计算对应所述图像点的异常指数,所述异常指数用于表征所述图像点的异常程度;
异常判定单元,用于若任一所述图像点对应的所述异常指数大于异常阈值,则判定所述待检测接口在所述图像点对应时间段内的流量是异常流量。
本申请实施例的第三方面提供了一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在终端设备上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方案提供的接口流量异常检测方法的各步骤。
本申请实施例的第四方面提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现第一方案提供的接口流量异常检测方法的各步骤。
本申请实施例提供的一种接口流量异常检测方法、装置、终端设备及存储介质具有以下有益效果:通过获取待检测接口的流量数据,并根据流量数据绘制接口访问图像,能有效的生成表征待检测接口在不同时间段与接口流量之间对应关系的接口访问图像,通过对接口访问图像进行分割,直至每个图像点均被孤立,能有效的得到孤立图像点的过程所形成的分割路径,基于该分割路径能有效的区分不同图像点之间被孤立的难易程度,通过根据分割路径计算对应图像点的异常指数,基于异常指数能有效的图像点的异常程度,若任一图像点对应的异常指数大于异常阈值,则判定待检测接口在图像点对应时间段内的流量是异常流量,本申请实施例基于接口访问图像的绘制、图像点的孤立和异常指数的计算,能自动对待检测接口进行接口流量异常的检测,无需依赖人工经验设置流量检测阈值,方便了用户的操作,提高了接口流量异常检测的准确性。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例提供的一种接口流量异常检测方法的实现流程图;
图2是本申请另一实施例提供的一种接口流量异常检测方法的实现流程图;
图3是图2实施例提供的接口访问图像的结构示意图;
图4是本申请再一实施例提供的一种接口流量异常检测方法的实现流程图;
图5是本申请实施例提供的一种接口流量异常检测装置的结构框图;
图6是本申请实施例提供的一种终端设备的结构框图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例所涉及的接口流量异常检测方法,可以由控制设备或终端(以下称“移动终端”)执行。
请参阅图1,图1示出了本申请实施例提供的一种接口流量异常检测方法的实现流程图,包括:
步骤S10,获取待检测接口的流量数据,并根据所述流量数据绘制接口访问图像。
其中,通过获取待检测接口在预设时间内每天的访问流量,以得到流量数据,该预设时间可以根据需求进行设置,例如,该预设时间可以设置为3天、10天、20天或60天等。
该步骤中,当该预设时间设置为3天时,则获取待检测接口在当前时间前3天内的访问流量,得到该流量数据。
具体的,该步骤中,该接口访问图像包括流量数据中不同时间段与对应接口流量之间所形成的图像点,该时间段由预设时间间隔分割得到。
可选的,该步骤中,可以同时获取多个不同待检测接口的流量数据,并根据流量数据绘制对应待检测接口的接口访问图像。
具体的,该步骤中,所述根据所述流量数据绘制接口访问图像,包括:
根据预设时间间隔对所述流量数据中的时间参数进行分割,得到不同时间段,并分别获取不同日期中相同所述时间段对应的所述接口流量;
针对同一所述时间段,将对应获取到的所述接口流量为纵坐标值、所述接口流量对应的日期为横坐标值进行坐标点绘制,得到所述图像点;
其中,该预设时间间隔可以根据需求进行设置例如,该预设时间间隔设置为12小时时,则该时间段包括0点至12点和12点至24点,该预设时间间隔设置为6小时,则该时间段包括0点至6点、6点至12点、12点至18点和18点至24点。
具体的,该步骤中,通过分别获取不同日期中相同时间段对应的接口流量,有效的保障了不同时间段对应图像点的绘制,以生成不同时间段对应的接口访问图像,例如,当该待检测接口的流量数据包括1月1日和1月2日的访问流量,该预设时间间隔设置为12小时时,则获取1月1日中0点至12点、12点至24点对应的接口流量,得到接口流量a1和接口流量a2,获取1月2日中0点至12点、12点至24点对应的接口流量,得到接口流量a3和接口流量a4,并针对时间段0点至12点,以接口流量a1为纵坐标值、日期1月1日为横坐标值进行坐标点绘制,得到图像点b1,以接口流量a3为纵坐标值、日期1月2日为横坐标值进行坐标点绘制,得到图像点b2,且该图像点b1和图像点b2所形成的图像为时间段0点至12点对应的接口访问图像c1;
进一步地,针对时间段12点至24点,以接口流量a2为纵坐标值、日期1月1日为横坐标值进行坐标点绘制,得到图像点b3,以接口流量a4为纵坐标值、日期1月2日为横坐标值进行坐标点绘制,得到图像点b4,且该图像点b3和图像点b4所形成的图像为时间段12点至24点对应的接口访问图像c2。
步骤S20,对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径。
其中,该分割路径的长度用于表征孤立对应图像点的难易程度,当该分割路径的长度越长时,则孤立该图像点的分割次数越多,该图像点越难孤立,即在接口访问图像中该图像点与其他图像点之间的距离越近,该接口访问图像在该图像点对应时间段内的接口流量越正常;
该步骤中,当该分割路径的长度越短时,则孤立该图像点的分割次数越少,该图像点越容易孤立,即在接口访问图像中该图像点与其他图像点之间的距离越远,该接口访问图像在该图像点对应时间段内的接口流量越异常。
具体的,该步骤中,通过持续分割该接口访问图像,直至分割到每个图像点均被孤立时,才停止该接口访问图像的分割,可选的,该步骤中可以基于孤立森林算法(iForest)构建异常检测模型,并根据该异常检测模型可以直接获取每个图像点对应的分割路径。
步骤S30,根据所述分割路径的长度计算对应所述图像点的异常指数。
其中,该异常指数用于表征图像点的异常程度,例如,图像点b1经过分割路径d1分割后达到孤立时,则根据分割路径d1的长度计算得到该图像点b1对应的异常指数e1,当该异常指数e1越大时,则该待检测接口在图像点b1对应时间段内接口流量的异常程度越大,即该待检测接口在1月1日中的0点至12点内接口流量的异常程度越大。
具体的,该步骤中,所述根据所述分割路径的长度计算对应所述图像点的异常指数所采用的计算公式为:
Figure BDA0002780988050000081
其中,E(h(x))是第x个图像点对应的分割路径的长度,c(Ψ)是预设分割路径的长度,s(x,Ψ)是第x个图像点对应的异常指数。
步骤S40,若任一所述图像点对应的所述异常指数大于异常阈值,则判定所述待检测接口在所述图像点对应时间段内的流量是异常流量。
其中,该异常阈值可以根据需求进行设置,该异常阈值用于判断图像点对应时间段内的流量是否是异常流量,当图像点对应的异常指数大于异常阈值时,则判定待检测接口在图像点对应时间段内的流量是异常流量。
可选的,该步骤中,若检测到待检测接口在任一图像点对应的时间段内存在流量异常时,则根据该图像点对应的时间段生成流量异常提示,并查询该待检测接口对应的异常提示地址;
将该流量异常提示发送至待检测接口对应的异常提示地址,以及时的提醒对应的工作人员该待检测接口在对应的时间段内存在异常;可选的,该步骤中,该流量异常提示可以采用语音、文字或图像的方式对工作人员进行提醒
本实施例中,通过获取待检测接口的流量数据,并根据流量数据绘制接口访问图像,能有效的生成表征待检测接口在不同时间段与接口流量之间对应关系的接口访问图像,通过对接口访问图像进行分割,直至每个图像点均被孤立,能有效的得到孤立图像点的过程所形成的分割路径,基于该分割路径能有效的区分不同图像点之间被孤立的难易程度,通过根据分割路径计算对应图像点的异常指数,基于异常指数能有效的图像点的异常程度,若任一图像点对应的异常指数大于异常阈值,则判定待检测接口在图像点对应时间段内的流量是异常流量,本申请实施例基于接口访问图像的绘制、图像点的孤立和异常指数的计算,能自动对待检测接口进行接口流量异常的检测,无需依赖人工经验设置流量检测阈值,方便了用户的操作,提高了接口流量异常检测的准确性。
请参阅图2,图2是本申请另一实施例提供的一种接口流量异常检测方法的实现流程图。相对于图1对应的实施例,本实施例提供的接口流量异常检测方法是对图1对应的实施例中步骤S20的进一步细化,包括:
步骤S21,计算所述待检测接口的接口总流量,并根据所述接口总流量计算所述时间段对应的流量平均值。
其中,该接口总流量为待检测接口在不同日期中相同时间段之间对应接口流量的和。
例如,当该待检测接口的流量数据包括1月1日和1月2日的访问流量,该预设时间间隔设置为12小时时,则获取1月1日和1月2日中0点至12点对应接口流量的和,得到接口总流量f1,并获取1月1日和1月2日中12点至24点对应接口流量的和,得到接口总流量f2。
具体的,该步骤中,分别计算接口总流量f1、接口总流量f2与时间段数量之间的商值,得到该流量平均值,即由于预设时间间隔设置为12小时,因此,时间段数量为2,则分别计算接口总流量f1、接口总流量f2与数值2之间的商值,得到该待检测接口在时间段0点至12点对应的流量平均值g1和在时间段12点至24点对应的流量平均值g2。
可以理解的,当该预设时间间隔设置为6小时,则该时间段数量为4,因此,分别计算接口总流量f1、接口总流量f2与数值4之间的商值,得到该待检测接口在对应时间段内的流量平均值。
步骤S22,根据所述流量平均值生成所述接口访问图像的图像分割线,并根据所述图像分割线对所述接口访问图像进行图像分割,得到访问分割图像。
其中,请参阅图3,是图2实施例提供的接口访问图像的结构示意图,图像分割线L与接口访问图像中的横坐标X相平行,该接口访问图像包括图像点a、图像点b和图像点c,该图像分割线L用于对接口访问图像中的图像点a、图像点b和图像点c进行孤立分割,该步骤中,以流量平均值以纵坐标参数值平行于横坐标绘制分割线,以得到该图像分割线。
该步骤中,根据该图像分割线对接口访问图像进行图像分割,得到两个访问分割图像,当该接口访问图像的数量为n时,则得到的访问分割图像的总数为2n。
具体的,该步骤中,所述根据所述图像分割线对所述接口访问图像进行图像分割,得到访问分割图像之后,还包括:
分别获取所述访问分割图像中图像点的数量,并判断所述访问分割图像中图像点的数量是否大于数量阈值;
若所述访问分割图像中图像点的数量大于数量阈值,则执行步骤S23,若所述访问分割图像中图像点的数量小于或等于数量阈值,则停止对该访问分割图像的分割。
步骤S23,分别计算所述访问分割图像中不同时间段对应接口流量的和,并根据所述访问分割图像中不同时间段对应接口流量的和计算所述访问分割图像的流量平均值。
其中,通过分别计算访问分割图像中不同时间段对应接口流量的和,并根据访问分割图像中不同时间段对应接口流量的和计算访问分割图像的流量平均值,以得到不同访问分割图像对应图像分割线的纵坐标参数值,进而提高了后续对访问分割图像分割的准确性。
步骤S24,根据所述访问分割图像的流量平均值生成对应所述访问分割图像中的图像分割线,并根据所述访问分割图像中的图像分割线对所述访问分割图像进行图像分割,得到分割子图像。
其中,该访问分割图像中的图像分割线与接口访问图像中的图像分割线的生成方式相同,均是基于流量平均值的方式生成对应的图像分割线,该访问分割图像中生成的图像分割线用于对访问分割图像进行分割,得到分割子图像,即该访问分割图像中生成的图像分割线用于对访问分割图像中的图像点进行分割孤立。
步骤S25,若所述分割子图像中的所述图像点的数量大于数量阈值,则分别计算所述分割子图像中不同时间段对应接口流量的和,并根据所述分割子图像中不同时间段对应接口流量的和计算所述分割子图像的流量平均值。
其中,该数量阈值可以根据需求进行设置,本实施例中的数量阈值设置为1,即该步骤中,若分割子图像中的图像点的数量大于1,则该分割子图像中的图像点不是孤立状态,需要对该分割子图像中的图像点再次进行分割,当分割子图像中仅存在1个图像点时,则该图像点是孤立状态,停止对对应分割子图像的分割。
该步骤中,通过分别计算分割子图像中不同时间段对应接口流量的和,并根据分割子图像中不同时间段对应接口流量的和计算分割子图像的流量平均值,以保障对该分割子图像中图像点的再次分割操作。
步骤S26,根据所述分割子图像的流量平均值生成对应所述分割子图像中的图像分割线,并根据所述分割子图像中的图像分割线对所述分割子图像进行图像分割。
其中,通过根据分割子图像的流量平均值生成对应分割子图像中的图像分割线,并根据分割子图像中的图像分割线对分割子图像进行图像分割,以达到对该分割子图像中图像点的再次分割孤立的效果。
该步骤中,若分割后所述分割子图像中的所述图像点的数量大于数量阈值,则返回执行步骤S26,直至分割后所述分割子图像中的所述图像点的数量小于或等于数量阈值。
步骤S27,若所述分割子图像中的所述图像点的数量小于或等于数量阈值,则停止所述分割子图像的分割。
其中,若分割子图像中的图像点的数量小于或等于数量阈值,则判定该分割子图像中的图像点处于孤立状态,无需再次对该分割子图像进行分割操作。
步骤S28,根据所述图像分割线生成对应所述图像点的所述分割路径。
具体的,该步骤中,所述根据所述图像分割线生成对应所述图像点的所述分割路径,包括:
获取用于孤立所述图像点的所述图像分割线,并将获取到的所述图像分割线进行矢量合并,得到所述分割路径,其中,通过将获取到的图像分割线进行矢量合并,以得到孤立对应图像点的分割路径。
例如,当图像点b1是经过图像分割线h1、图像分割线h2和图像分割线h3分割后处于孤立状态,则将图像分割线h1、图像分割线h2和图像分割线h3进行矢量合并,以得到该图像点b1对应的分割路径。
本实施例中,通过根据接口总流量计算时间段对应的流量平均值,并根据流量平均值生成接口访问图像的图像分割线,有效的保障了对接口访问图像的图像分割,以达到对该接口访问图像中图像点的孤立分割操作,通过根据访问分割图像的流量平均值生成对应访问分割图像中的图像分割线,并根据访问分割图像中的图像分割线对访问分割图像进行图像分割,有效的保障了对访问分割图像的图像分割,以达到对该访问分割图像中图像点的孤立分割操作,通过根据图像分割线生成对应图像点的分割路径,有效的保障了图像点对应异常指数的计算。
请参阅图4,图4是本申请另一实施例提供的一种接口流量异常检测方法的实现流程图。相对于图1对应的实施例,本实施例提供的接口流量异常检测方法在步骤S40之后,包括:
步骤S50,获取所述异常流量对应的请求对象,并对获取到的所述请求对象进行异常标记。
其中,该请求对象为该异常流量对应的访问用户,该步骤中,通过对获取到的请求对象进行异常标记,有效的提高了后续对请求对象禁止进行地址访问的准确性。
步骤S60,若所述请求对象在预设时间内的异常标记次数大于次数阈值,则获取所述异常流量对应的访问地址,并在预设时间间隔内禁止所述请求对象对所述访问地址的访问。
其中,该预设时间、次数阈值和预设时间间隔均可以根据需求进行设置,例如,该预设时间可以设置为1小时、10小时或1天等,该次数阈值可以设置为5次、10次或20次等,该预设时间间隔可以设置为1小时、10小时或1天等。
具体的,该步骤中,若请求对象在预设时间内的异常标记次数大于次数阈值,则判定该请求对象为异常访问对象,通过获取异常流量对应的访问地址,并在预设时间间隔内禁止请求对象对访问地址的访问,有效的防止了该异常访问对象对异常流量对应访问地址的网络攻击,提高了待检测接口上数据访问的安全性。
可选的,针对图1中的步骤S20,所述对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径之后,还包括:
计算所述分割路径的长度的算术平均值和标准差,并根据计算到的所述算术平均值和所述标准差对所述分割路径进行标准化处理;
所述根据所述算术平均值和所述标准差对所述分割路径进行标准化处理所采用的标准化公式为:
A=(B-C)/D;
其中,A是标准化处理后的所述分割路径的长度,B是标准化处理前的所述分割路径的长度,C是所述算术平均值,D是所述标准差。
本实施例中,通过获取异常流量对应的请求对象,并对获取到的请求对象进行异常标记,提高了对请求对象禁止进行地址访问的准确性,若请求对象在预设时间内的异常标记次数大于次数阈值,通过获取异常流量对应的访问地址,并在预设时间间隔内禁止请求对象对访问地址的访问,有效的防止了异常访问对象对异常流量对应访问地址的网络攻击。
在本申请的所有实施例中,基于分割路径得到图像点的异常指数,具体来说,图像点的异常指数由分割路径得到。将图像点的异常指数上传至区块链可保证其安全性和对用户的公正透明性。用户设备可以从区块链中下载得到该图像点的异常指数,以便查证图像点的异常指数是否被篡改。本示例所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
请参阅图5,图5是本申请实施例提供的一种接口流量异常检测装置100的结构框图。本实施例中该接口流量异常检测装置100包括的各单元用于执行图1、图2、图4对应的实施例中的各步骤。具体请参阅图1、图2、图4以及图1、图2、图4所对应的实施例中的相关描述。为了便于说明,仅示出了与本实施例相关的部分。参见图5,接口流量异常检测装置100包括:访问图像绘制单元10、图像分割单元11、异常指数计算单元12和异常判定单元13,其中:
访问图像绘制单元10,用于获取待检测接口的流量数据,并根据所述流量数据绘制接口访问图像,所述接口访问图像包括所述流量数据中不同时间段与对应接口流量之间所形成的图像点。
其中,访问图像绘制单元10还用于:根据预设时间间隔对所述流量数据中的时间参数进行分割,得到不同时间段,并分别获取不同日期中相同所述时间段对应的所述接口流量;
针对同一所述时间段,将对应获取到的所述接口流量为纵坐标值、所述接口流量对应的日期为横坐标值进行坐标点绘制,得到所述图像点。
图像分割单元11,用于对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径,所述分割路径的长度用于表征孤立对应所述图像点的难易程度。
其中,图像分割单元11还用于:计算所述待检测接口的接口总流量,所述接口总流量为所述待检测接口在不同日期中相同所述时间段之间对应接口流量的和;
根据所述接口总流量计算所述时间段对应的流量平均值;
根据所述流量平均值生成所述接口访问图像的图像分割线,并根据所述图像分割线对所述接口访问图像进行图像分割,得到访问分割图像;
分别计算所述访问分割图像中不同时间段对应接口流量的和,并根据所述访问分割图像中不同时间段对应接口流量的和计算所述访问分割图像的流量平均值;
根据所述访问分割图像的流量平均值生成对应所述访问分割图像中的图像分割线,并根据所述访问分割图像中的图像分割线对所述访问分割图像进行图像分割,得到分割子图像;
若所述分割子图像中的所述图像点的数量大于数量阈值,则分别计算所述分割子图像中不同时间段对应接口流量的和,并根据所述分割子图像中不同时间段对应接口流量的和计算所述分割子图像的流量平均值;
根据所述分割子图像的流量平均值生成对应所述分割子图像中的图像分割线,并根据所述分割子图像中的图像分割线对所述分割子图像进行图像分割;
若所述分割子图像中的所述图像点的数量小于或等于数量阈值,则停止所述分割子图像的分割;
若分割后所述分割子图像中的所述图像点的数量大于数量阈值,则持续对分割后所述分割子图像进行图像分割,直至分割后所述分割子图像中的所述图像点的数量小于或等于数量阈值;
根据所述图像分割线生成对应所述图像点的所述分割路径。
可选的,图像分割单元11还用于:获取用于孤立所述图像点的所述图像分割线,并将获取到的所述图像分割线进行矢量合并,得到所述分割路径。
进一步地,图像分割单元11还用于:计算所述分割路径的长度的算术平均值和标准差,并根据计算到的所述算术平均值和所述标准差对所述分割路径进行标准化处理;
所述根据所述算术平均值和所述标准差对所述分割路径进行标准化处理所采用的标准化公式为:
A=(B-C)/D;
其中,A是标准化处理后的所述分割路径的长度,B是标准化处理前的所述分割路径的长度,C是所述算术平均值,D是所述标准差。
异常指数计算单元12,用于根据所述分割路径的长度计算对应所述图像点的异常指数,所述异常指数用于表征所述图像点的异常程度。
其中,所述根据所述分割路径的长度计算对应所述图像点的异常指数所采用的计算公式为:
Figure BDA0002780988050000161
其中,E(h(x))是第x个所述图像点对应的所述分割路径的长度,c(Ψ)是预设分割路径的长度,s(x,Ψ)是第x个所述图像点对应的所述异常指数。
异常判定单元13,用于若任一所述图像点对应的所述异常指数大于异常阈值,则判定所述待检测接口在所述图像点对应时间段内的流量是异常流量。
其中,异常判定单元13还用于:获取所述异常流量对应的请求对象,并对获取到的所述请求对象进行异常标记;
若所述请求对象在预设时间内的异常标记次数大于次数阈值,则获取所述异常流量对应的访问地址,并在预设时间间隔内禁止所述请求对象对所述访问地址的访问。
本实施例中,通过获取待检测接口的流量数据,并根据流量数据绘制接口访问图像,能有效的生成表征待检测接口在不同时间段与接口流量之间对应关系的接口访问图像,通过对接口访问图像进行分割,直至每个图像点均被孤立,能有效的得到孤立图像点的过程所形成的分割路径,基于该分割路径能有效的区分不同图像点之间被孤立的难易程度,通过根据分割路径计算对应图像点的异常指数,基于异常指数能有效的图像点的异常程度,若任一图像点对应的异常指数大于异常阈值,则判定待检测接口在图像点对应时间段内的流量是异常流量,本申请实施例基于接口访问图像的绘制、图像点的孤立和异常指数的计算,能自动对待检测接口进行接口流量异常的检测,无需依赖人工经验设置流量检测阈值,方便了用户的操作,提高了接口流量异常检测的准确性。
图6是本申请另一实施例提供的一种终端设备2的结构框图。如图6所示,该实施例的终端设备2包括:处理器20、存储器21以及存储在所述存储器21中并可在所述处理器20上运行的计算机程序22,例如接口流量异常检测方法的程序。处理器20执行所述计算机程序23时实现上述各个接口流量异常检测方法各实施例中的步骤,例如图1所示的S10至S40,或者图2所示的S21至S28,或者图4所示的S50至S60。或者,所述处理器20执行所述计算机程序22时实现上述图5对应的实施例中各单元的功能,例如,图5所示的单元10至13的功能,具体请参阅图6对应的实施例中的相关描述,此处不赘述。
示例性的,所述计算机程序22可以被分割成一个或多个单元,所述一个或者多个单元被存储在所述存储器21中,并由所述处理器20执行,以完成本申请。所述一个或多个单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序22在所述终端设备2中的执行过程。例如,所述计算机程序22可以被分割成访问图像绘制单元10、图像分割单元11、异常指数计算单元12和异常判定单元13,各单元具体功能如上所述。
所述终端设备可包括,但不仅限于,处理器20、存储器21。本领域技术人员可以理解,图6仅仅是终端设备2的示例,并不构成对终端设备2的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称处理器20可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器21可以是所述终端设备2的内部存储单元,例如终端设备2的硬盘或内存。所述存储器21也可以是所述终端设备2的外部存储设备,例如所述终端设备2上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器21还可以既包括所述终端设备2的内部存储单元也包括外部存储设备。所述存储器21用于存储所述计算机程序以及所述终端设备所需的其他程序和数据。所述存储器21还可以用于暂时地存储已经输出或者将要输出的数据。
以上所述实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围,均应包含在本申请的保护范围之内。

Claims (9)

1.一种接口流量异常检测方法,其特征在于,包括:
获取待检测接口的流量数据,并根据所述流量数据绘制接口访问图像,所述接口访问图像包括所述流量数据中不同时间段与对应接口流量之间所形成的图像点;
对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径,所述分割路径的长度用于表征孤立对应的所述图像点的难易程度,其中,所述分割路径的长度越长,则孤立对应的图像点的分割次数越多,图像点越难被孤立;
根据所述分割路径的长度计算对应所述图像点的异常指数,所述异常指数用于表征所述图像点的异常程度;
若任一所述图像点对应的所述异常指数大于异常阈值,则判定所述待检测接口在所述图像点对应时间段内的流量是异常流量;
所述根据所述流量数据绘制接口访问图像,包括:
根据预设时间间隔对所述流量数据中的时间参数进行分割,得到不同时间段,并分别获取不同日期中相同时间段对应的所述接口流量;
针对同一所述时间段,将对应获取到的所述接口流量为纵坐标值、所述接口流量对应的日期为横坐标值进行坐标点绘制,得到所述图像点。
2.根据权利要求1所述的接口流量异常检测方法,其特征在于,所述对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径,包括:
计算所述待检测接口的接口总流量,所述接口总流量为所述待检测接口在不同日期中相同时间段之间对应接口流量的和;
根据所述接口总流量计算所述时间段对应的流量平均值;
根据所述流量平均值生成所述接口访问图像的图像分割线,并根据所述图像分割线对所述接口访问图像进行图像分割,得到访问分割图像;
分别计算所述访问分割图像中不同时间段对应接口流量的和,并根据所述访问分割图像中不同时间段对应接口流量的和计算所述访问分割图像的流量平均值;
根据所述访问分割图像的流量平均值生成对应所述访问分割图像中的图像分割线,并根据所述访问分割图像中的图像分割线对所述访问分割图像进行图像分割,得到分割子图像;
若所述分割子图像中的所述图像点的数量大于数量阈值,则分别计算所述分割子图像中不同时间段对应接口流量的和,并根据所述分割子图像中不同时间段对应接口流量的和计算所述分割子图像的流量平均值;
根据所述分割子图像的流量平均值生成对应所述分割子图像中的图像分割线,并根据所述分割子图像中的图像分割线对所述分割子图像进行图像分割;
若所述分割子图像中的所述图像点的数量小于或等于数量阈值,则停止所述分割子图像的分割;
若分割后所述分割子图像中的所述图像点的数量大于数量阈值,则持续对分割后所述分割子图像进行图像分割,直至分割后所述分割子图像中的所述图像点的数量小于或等于数量阈值;
根据所述图像分割线生成对应所述图像点的所述分割路径。
3.根据权利要求2所述的接口流量异常检测方法,其特征在于,所述根据所述图像分割线生成对应所述图像点的所述分割路径,包括:
获取用于孤立所述图像点的所述图像分割线,并将获取到的所述图像分割线进行矢量合并,得到所述分割路径。
4.根据权利要求1所述的接口流量异常检测方法,其特征在于,所述判定所述待检测接口在所述图像点对应时间段内的流量是异常流量之后,所述方法还包括:
获取所述异常流量对应的请求对象,并对获取到的所述请求对象进行异常标记;
若所述请求对象在预设时间内的异常标记次数大于次数阈值,则获取所述异常流量对应的访问地址,并在预设时间间隔内禁止所述请求对象对所述访问地址的访问。
5.根据权利要求1所述的接口流量异常检测方法,其特征在于,所述根据所述分割路径的长度计算对应所述图像点的异常指数所采用的计算公式为:
Figure FDA0003993597800000031
其中,E(h(x))是第x个所述图像点对应的所述分割路径的长度,c(Ψ)是预设分割路径的长度,s(x,Ψ)是第x个所述图像点对应的所述异常指数。
6.根据权利要求1所述的接口流量异常检测方法,其特征在于,所述对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径之后,还包括:
计算所述分割路径的长度的算术平均值和标准差,并根据计算到的所述算术平均值和所述标准差对所述分割路径进行标准化处理;
所述根据所述算术平均值和所述标准差对所述分割路径进行标准化处理所采用的标准化公式为:
A=(B-C)/D;
其中,A是标准化处理后的所述分割路径的长度,B是标准化处理前的所述分割路径的长度,C是所述算术平均值,D是所述标准差。
7.一种接口流量异常检测装置,其特征在于,包括:
访问图像绘制单元,用于获取待检测接口的流量数据,并根据所述流量数据绘制接口访问图像,所述接口访问图像包括所述流量数据中不同时间段与对应接口流量之间所形成的图像点;
图像分割单元,用于对所述接口访问图像进行分割,直至每个所述图像点均被孤立,得到每个所述图像点对应的分割路径,所述分割路径的长度用于表征孤立对应所述图像点的难易程度;
异常指数计算单元,用于根据所述分割路径的长度计算对应所述图像点的异常指数,所述异常指数用于表征所述图像点的异常程度;
异常判定单元,用于若任一所述图像点对应的所述异常指数大于异常阈值,则判定所述待检测接口在所述图像点对应时间段内的流量是异常流量;
所述访问图像绘制单元,具体用于:
根据预设时间间隔对所述流量数据中的时间参数进行分割,得到不同时间段,并分别获取不同日期中相同时间段对应的所述接口流量;
针对同一所述时间段,将对应获取到的所述接口流量为纵坐标值、所述接口流量对应的日期为横坐标值进行坐标点绘制,得到所述图像点。
8.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至6任一项所述方法的步骤。
9.一种存储介质,所述存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述方法的步骤。
CN202011281595.4A 2020-11-16 2020-11-16 接口流量异常检测方法、装置、终端设备及存储介质 Active CN112383554B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202011281595.4A CN112383554B (zh) 2020-11-16 2020-11-16 接口流量异常检测方法、装置、终端设备及存储介质
PCT/CN2021/091088 WO2022100028A1 (zh) 2020-11-16 2021-04-29 接口流量异常检测方法、装置、终端设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011281595.4A CN112383554B (zh) 2020-11-16 2020-11-16 接口流量异常检测方法、装置、终端设备及存储介质

Publications (2)

Publication Number Publication Date
CN112383554A CN112383554A (zh) 2021-02-19
CN112383554B true CN112383554B (zh) 2023-04-18

Family

ID=74585602

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011281595.4A Active CN112383554B (zh) 2020-11-16 2020-11-16 接口流量异常检测方法、装置、终端设备及存储介质

Country Status (2)

Country Link
CN (1) CN112383554B (zh)
WO (1) WO2022100028A1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112383554B (zh) * 2020-11-16 2023-04-18 平安科技(深圳)有限公司 接口流量异常检测方法、装置、终端设备及存储介质
CN115208797A (zh) * 2022-09-16 2022-10-18 深圳行云创新科技有限公司 一种基于服务网格技术的接口流量检测方法
CN116545650B (zh) * 2023-04-03 2024-01-30 中国华能集团有限公司北京招标分公司 一种网络动态防御方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101219538B1 (ko) * 2009-07-29 2013-01-08 한국전자통신연구원 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법
FR3076384A1 (fr) * 2017-12-28 2019-07-05 Worldline Detection d'anomalies par une approche combinant apprentissage supervise et non-supervise
US20190347808A1 (en) * 2018-05-09 2019-11-14 Ford Global Technologies, Llc Monocular Visual Odometry: Speed And Yaw Rate Of Vehicle From Rear-View Camera
CN109802960A (zh) * 2019-01-08 2019-05-24 深圳中兴网信科技有限公司 防火墙策略处理方法及装置、计算机设备和存储介质
CN110032480B (zh) * 2019-01-17 2024-02-06 创新先进技术有限公司 一种服务器异常检测方法、装置及设备
CN109658699A (zh) * 2019-02-20 2019-04-19 张家港江苏科技大学产业技术研究院 确定异常车流量数据的方法和装置
CN111526119B (zh) * 2020-03-19 2022-06-14 北京三快在线科技有限公司 异常流量检测方法、装置、电子设备和计算机可读介质
CN112383554B (zh) * 2020-11-16 2023-04-18 平安科技(深圳)有限公司 接口流量异常检测方法、装置、终端设备及存储介质

Also Published As

Publication number Publication date
WO2022100028A1 (zh) 2022-05-19
CN112383554A (zh) 2021-02-19

Similar Documents

Publication Publication Date Title
CN112383554B (zh) 接口流量异常检测方法、装置、终端设备及存储介质
CN108416343B (zh) 一种人脸图像识别方法及装置
CN112102959B (zh) 一种服务器、数据处理方法、装置及可读存储介质
CN113705462B (zh) 人脸识别方法、装置、电子设备及计算机可读存储介质
CN112200081A (zh) 异常行为识别方法、装置、电子设备及存储介质
CN111079816A (zh) 图像的审核方法、装置和服务器
CN105956469A (zh) 文件安全性识别方法和装置
CN113887408B (zh) 活化人脸视频的检测方法、装置、设备及存储介质
CN112214402B (zh) 一种代码验证算法的选择方法、装置及存储介质
WO2019056496A1 (zh) 图片复审概率区间生成方法及图片复审判定方法
CN114297665A (zh) 基于深度学习的智能合约漏洞检测方法和装置
CN111783812A (zh) 违禁图像识别方法、装置和计算机可读存储介质
CN115358914B (zh) 用于视觉检测的数据处理方法、装置、计算机设备及介质
CN110969640A (zh) 视频图像的分割方法、终端设备以及计算机可读存储介质
CN115658976A (zh) 基于局部敏感哈希的设备指纹分析方法及系统
CN114066664A (zh) 基于行为画像的风险等级评估方法、装置、设备及介质
CN113989901A (zh) 人脸识别方法、装置、客户端及存储介质
CN113761576A (zh) 隐私保护方法、装置、存储介质及电子设备
CN113284141A (zh) 用于缺陷检测的模型确定方法、装置和设备
CN113034337B (zh) 图像检测方法及相关装置
CN117456574A (zh) 一种检测对抗攻击的方法及装置
CN117315678B (zh) 一种数字图像篡改识别方法、系统、设备和存储介质
CN116911883B (zh) 基于ai鉴真技术和溯源量化的农产防伪溯源方法及云平台
CN112101279B (zh) 目标物异常检测方法、装置、电子设备及存储介质
CN117113439B (zh) 一种行车记录仪数据安全防篡改存储方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant