CN114095194A - 异常流量检测方法及装置 - Google Patents
异常流量检测方法及装置 Download PDFInfo
- Publication number
- CN114095194A CN114095194A CN202010859921.9A CN202010859921A CN114095194A CN 114095194 A CN114095194 A CN 114095194A CN 202010859921 A CN202010859921 A CN 202010859921A CN 114095194 A CN114095194 A CN 114095194A
- Authority
- CN
- China
- Prior art keywords
- flow
- target time
- target
- interval corresponding
- abnormal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种异常流量检测方法及装置,其中,该方法包括:获取目标时刻的流量;若判断获知目标时刻的流量在目标时刻对应的正常流量区间之外,则将目标时刻的流量检测为异常;其中,目标时刻对应的正常流量区间,是根据目标时刻的流量的历史同期数据获得的。本发明实施例提供的异常流量检测方法及装置,通过判断目标时刻的流量是否在根据目标时刻的流量的历史同期数据获得的目标时刻对应的正常流量区间之外,检测流量异常,能更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种异常流量检测方法及装置。
背景技术
对于一个长期稳定运行的通信网络,该网络的整体流量和骨干链路流量都应该是相对稳定,只在一定范围内波动。如果出现异常波动,则可能是突发性因素引起的,例如病毒、用户群体突然增多或新上线消耗流量的业务等。网络流量的异常波动需要引起重视,并需要进一步采取杀毒、流量控制或扩容等措施。
目前,异常流量检测方法都是根据从历史流量数据中任意选取的抽样数据,确定正常流量的区间范围,从而根据正常流量的区间范围判断当前流量是否异常。但如果抽样数据为明显高于或低于正常水平,会根据抽样数据所确定的正常流量的区间范围不准确,进而造成异常流量检测的结果不准确
发明内容
本发明实施例提供一种异常流量检测方法及装置,用以解决现有技术中检测结果不准确的缺陷,实现更准确的异常流量检测。
本发明实施例提供一种异常流量检测方法,包括:
获取目标时刻的流量;
若判断获知所述目标时刻的流量在所述目标时刻对应的正常流量区间之外,则将所述目标时刻的流量检测为异常;
其中,所述目标时刻对应的正常流量区间,是根据所述目标时刻的流量的历史同期数据获得的。
根据本发明一个实施例的异常流量检测方法,所述若判断获知所述目标时刻的流量在所述目标时刻对应的正常流量区间之外,则将所述目标时刻的流量检测为异常之前,还包括:
根据所述目标时刻的流量的历史同期数据,获取所述目标时刻对应的正常流量区间。
根据本发明一个实施例的异常流量检测方法,所述根据所述目标时刻的流量的历史同期数据,获取所述目标时刻对应的正常流量区间的具体步骤包括:
根据所述目标时刻的流量的历史同期数据,获取所述目标时刻对应的正常流量区间的上限和下限,获得所述目标时刻对应的正常流量区间。
根据本发明一个实施例的异常流量检测方法,所述根据所述目标时刻的流量的历史同期数据,获取所述目标时刻对应的正常流量区间的上限和下限的具体步骤包括:
获取所述目标时刻的流量的历史同期数据的平均值和标准差;
根据所述目标时刻的流量的历史同期数据的平均值和标准差,获取所述目标时刻对应的正常流量区间的上限和下限。
根据本发明一个实施例的异常流量检测方法,所述根据所述目标时刻的流量的历史同期数据的平均值和标准差,获取所述目标时刻对应的正常流量区间的上限和下限的具体步骤包括:
根据所述目标时刻的流量的历史同期数据的平均值和标准差,以及预设的倍数,获取所述目标时刻对应的正常流量区间的上限和下限。
根据本发明一个实施例的异常流量检测方法,所述根据所述目标时刻的流量的历史同期数据的平均值和标准差,以及预设的倍数,获取所述目标时刻对应的正常流量区间的上限和下限的具体步骤包括:
将所述目标时刻的流量的历史同期数据的平均值,加上所述倍数的所述目标时刻的流量的历史同期数据的标准差,获取所述目标时刻对应的正常流量区间的上限;
将所述目标时刻的流量的历史同期数据的平均值,减去所述倍数的所述目标时刻的流量的历史同期数据的标准差,获取所述目标时刻对应的正常流量区间的下限。
根据本发明一个实施例的异常流量检测方法,其特征在于,所述历史同期数据为不少于一年的历史同期数据。
本发明实施例还提供一种异常流量检测装置,包括:
获取模块,用于获取目标时刻的流量;
检测模块,用于若判断获知所述目标时刻的流量在所述目标时刻对应的正常流量区间之外,则将所述目标时刻的流量检测为异常;
其中,所述目标时刻对应的正常流量区间,是根据所述目标时刻的流量的历史同期数据获得的。
本发明实施例还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述异常流量检测方法的步骤。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述异常流量检测方法的步骤。
本发明实施例提供的异常流量检测方法及装置,通过判断目标时刻的流量是否在根据目标时刻的流量的历史同期数据获得的目标时刻对应的正常流量区间之外,检测流量异常,能更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种异常流量检测方法的流程示意图;
图2是本发明实施例提供的一种异常流量检测装置的结构示意图;
图3是本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明实施例的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明实施例和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明实施例的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明实施例的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明实施例中的具体含义。
为了克服现有技术的上述问题,本发明实施例提供一种异常流量检测方法及装置,其发明构思是,以根据目标时刻的流量的历史同期数据获取的目标时刻对应的正常流量区间为标准,进行目标时刻的流量是否异常的检测,可以考虑到流量的周期性规律,可以更精细、准确地确定正常流量区间,获得更准确的异常流量检测结果。
图1是本发明实施例提供的一种异常流量检测方法的流程示意图。下面结合图1描述本发明实施例的异常流量检测方法。如图1所示,该方法包括:步骤S101、获取目标时刻的流量。
具体地,对于目标时刻,获取该时刻的瞬时流量。
根据检测对象的不同,流量可以为某一网络设备的流量,或某个网络的流量。
步骤S102、若判断获知目标时刻的流量在目标时刻对应的正常流量区间之外,则将目标时刻的流量检测为异常。
其中,目标时刻对应的正常流量区间,是根据目标时刻的流量的历史同期数据获得的。
需要说明的是,由于流量可能随着时间的变化呈现出某种周期性的变化,例如每天的某个时刻会处于较高的水平,另一时刻会处于较低的水平,因而可能出现从整体而言该时刻的流量正常,但对该时刻而言,流量不正常的情况。
通常的异常流量检测方法,一般随机从历史流量中进行抽样,忽略了不同时刻的流量波动规律,获得的正常流量区间是普适性的,而不是针对某一具体时刻的,不能准确描述该时刻的情况,因而容易出现检测错误。
例如,某个学校每天上午10点与异地另一学校进行远程教学,因而上午10点该学校的出口网络设备的流量很大是正常的,其他时间该学校的出口网络设备的流量均较小;如果某天上午10点该学校的出口网络设备的流量很小,明显低于平时上午10点该学校的出口网络设备的流量,根据通常的异常流量检测方法,如果该流量不低于根据各时刻的历史数据确定的正常流量区间的下限,则不被检测为异常流量;但该流量明显低于正常情况下上午10点该学校的出口网络设备的流量,说明在本应进行远程教学的时刻未检测到较大的流量,显然存在异常。由此可见,应用通常的异常流量检测方法的检测结果并不准确。
本发明实施例中,根据目标时刻的流量的历史同期数据,获取不同时间周期(例如每天)内的同一时刻的流量变化规律;根据该变化规律,获取目标时刻对应的正常流量区间。
目标时刻的流量的历史同期数据,是指历史流量数据中,各时间周期内,与目标时刻在所属的时间周期内的位置相同的时刻的流量数据。
例如,如果目标时刻为当日下午15点,则以一日为时间周期,目标时刻的流量的历史同期数据可以为当日之前多日下午15点的流量数据;如果目标时刻为本周日晚21点,则以一周为时间周期,目标时刻的流量的历史同期数据可以为本周之前多个周日晚21点的流量数据。
目标时刻对应的正常流量区间,描述了目标时刻的流量的正常波动范围。
获取目标时刻的流量之后,判断该流量是否落在该目标时刻对应的正常流量区间之外,分析网络流量是否在合理范围内。
如果落在该目标时刻对应的正常流量区间之内(含该区间的下限和上限),说明该目标时刻的流量正常,在合理范围内。
如果落在该目标时刻对应的正常流量区间之外,说明该目标时刻的流量异常,不在合理范围内,检测结果为流量异常。
以上述某个学校每天上午10点与异地另一学校进行远程教学为例,根据本发明实施例提供的异常流量检测方法,由于上午10点的正常流量区间是根据上午10点的历史流量数据确定,如果某天上午10点该学校的出口网络设备的流量很小,可以发现该流量明显低于正常情况下上午10点该学校的出口网络设备的流量,从而检测出流量异常,检测结果是准确的。
本发明实施例通过判断目标时刻的流量是否在根据目标时刻的流量的历史同期数据获得的目标时刻对应的正常流量区间之外,检测流量异常,能更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
基于上述各实施例的内容,若判断获知目标时刻的流量在目标时刻对应的正常流量区间之外,则将目标时刻的流量检测为异常之前,还包括:根据目标时刻的流量的历史同期数据,获取目标时刻对应的正常流量区间。
具体地,可以均匀选取时间周期内的n个时刻(T1、T2、T3、…、Tn)。其中,n为正整数。
目标时刻为当前时间周期内的Tx时刻(x为正整数,1≤x≤n),则历史流量数据中,各时间周期内的Tx时刻的流量数据,为标时刻的流量的历史同期数据。
可以根据历史流量数据中,各时间周期内的Tx时刻的流量数据,获取Tx时刻的流量变化规律;根据Tx时刻的流量变化规律,可以获取目标时刻(即当前时间周期内的Tx时刻)对应的正常流量区间。
本发明实施例根据目标时刻的流量的历史同期数据,获取目标时刻对应的正常流量区间,能获得更准确的目标时刻的流量的理论范围,从而能基于该理论范围,更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
基于上述各实施例的内容,根据目标时刻的流量的历史同期数据,获取目标时刻对应的正常流量区间的具体步骤包括:根据目标时刻的流量的历史同期数据,获取目标时刻对应的正常流量区间的上限和下限,获得目标时刻对应的正常流量区间。
具体地,B时间周期Tx时刻对应的正常流量区间的下限和上限分别记为BDx和BUx。理论上在不超出网络带宽的前提下,B时间周期Tx时刻的流量BVx,在网络繁忙时不应超出上限BUx,网络空闲时不应低于下限BDx。其中,B时间周期为当前时间周期,B时间周期Tx时刻为目标时刻。
可以根据历史流量数据中,各时间周期内的Tx时刻的流量数据,获取Tx时刻的流量变化规律;根据Tx时刻的流量变化规律,可以获取目标时刻对应的正常流量区间的上限BUx和下限BDx。
例如,根据Tx时刻的流量变化规律,可以将历史同期数据中的最大值和最小值分别作为上限BUx和下限BDx;也可以基于数理统计方法,获取上限BUx和下限BDx;还可以将历史同期数据的平均值加上历史同期数据中的最大值的一半作为上限BUx,减去最小值的一半作为BDx。
根据目标时刻对应的正常流量区间的上限BUx和下限BDx,可以获取目标时刻对应的正常流量区间为[BDx,BUx]。
本发明实施例根据目标时刻的流量的历史同期数据,获取目标时刻对应的正常流量区间的上限和下限,获得目标时刻对应的正常流量区间,能获得更准确的目标时刻的流量的理论范围,从而能基于该理论范围,更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
基于上述各实施例的内容,根据目标时刻的流量的历史同期数据,获取目标时刻对应的正常流量区间的上限和下限的具体步骤包括:获取目标时刻的流量的历史同期数据的平均值和标准差。
具体地,理论上在不超出网络带宽的前提下,B时间周期Tx时刻的流量BVx应在平均值BPx附近摆动。
历史流量数据包括B时间周期之前y个时间周期(记为B1、B2、B3、…、By)的每个时刻的流量数据(记为B1H1、B1H2、B1H3、…、B1Hn、B2H1、B2H2、B2H3、…、B2Hn、…、ByH1、ByH2、ByH3、…、ByHn)。其中,y为正整数。
目标时刻为B时间周期Tx时刻,则历史同期数据为B1Hx、B2Hx、B3Hx、…、ByHx。
历史同期数据的平均值BPx的计算公式为
历史同期数据的平均值BPx,指B时间周期之前y个时间周期内Tx时刻的流量的平均值。
历史同期数据的标准差δx的计算公式为
历史同期数据的标准差δx,指B时间周期之前y个时间周期内Tx时刻的流量的标准差。
根据目标时刻的流量的历史同期数据的平均值和标准差,获取目标时刻对应的正常流量区间的上限和下限。
具体地,可以根据历史同期数据的平均值BPx和历史同期数据的标准差δx,确定上限BUx和下限BDx。
例如,可以根据数量统计方法,基于历史同期数据的平均值BPx和历史同期数据的标准差δx,以及某一种分布(例如正太分布),获取目标时刻的流量的置信区间,将置信区间的上限和下限分别作为上限BUx和下限BDx。
可以理解的是,通过BPx、BUx和BDx即可画出合理范围内的流量通道。
本发明实施例通过获取目标时刻的流量的历史同期数据的平均值和标准差,根据目标时刻的流量的历史同期数据的平均值和标准差,获取目标时刻对应的正常流量区间的上限和下限,能获得更准确的目标时刻的流量的理论范围,从而能基于该理论范围,更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
基于上述各实施例的内容,根据目标时刻的流量的历史同期数据的平均值和标准差,获取目标时刻对应的正常流量区间的上限和下限的具体步骤包括:根据目标时刻的流量的历史同期数据的平均值和标准差,以及预设的倍数,获取目标时刻对应的正常流量区间的上限和下限。
具体地,可以根据历史同期数据的平均值BPx和历史同期数据的标准差δx,以及预设的倍数a,获取上限BUx和下限BDx。其中,a为正数。
本发明实施例根据目标时刻的流量的历史同期数据的平均值和标准差,以及预设的倍数,获取目标时刻对应的正常流量区间的上限和下限,能获得更准确的目标时刻的流量的理论范围,从而能基于该理论范围,更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
基于上述各实施例的内容,根据目标时刻的流量的历史同期数据的平均值和标准差,以及预设的倍数,获取目标时刻对应的正常流量区间的上限和下限的具体步骤包括:将目标时刻的流量的历史同期数据的平均值,加上倍数的目标时刻的流量的历史同期数据的标准差,获取目标时刻对应的正常流量区间的上限。
具体地,上限BUx的计算公式为
BUx=BPx+a×δx
将目标时刻的流量的历史同期数据的平均值,减去倍数的目标时刻的流量的历史同期数据的标准差,获取目标时刻对应的正常流量区间的下限。
具体地,下限BDx的计算公式为
BDx=BPx-a×δx
可以理解的是,如果通过上述计算公式获得的下限BDx小于零,则将零作为下限BDx;如果通过上述计算公式获得的下限BDx大于或等于零,则将计算获得的值作为下限BDx。
优选地,a=2。此时,目标时刻对应的正常流量区间,为保利加通道(BollingerBand,又称布林通道、布林带或布林线)。
保利加通道是根据统计学中的标准差原理,设计出来的一种非常实用的技术指标。
此时,上限BUx的计算公式为
BUx=BPx+2×δx
下限BDx的计算公式为
BDx=BPx-2×δx。
本发明实施例根据目标时刻的流量的历史同期数据的平均值和标准差,以及预设的倍数,获取目标时刻对应的正常流量区间的上限和下限,能获得更准确的目标时刻的流量的理论范围,从而能基于该理论范围,更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
基于上述各实施例的内容,历史同期数据为不少于一年的历史同期数据。
具体地,为了保证异常流量的准确性,目标时刻对应的正常流量区间需要足够准确,因而需要根据足够多的历史同期数据,获取目标时刻对应的正常流量区间。
根据时间周期的时长,可以确定合适的历史同期数据对应的时长,以保证有足够多的历史同期数据。
例如,时间周期为少于或等于一天时,历史同期数据可以为当前时间周期之前不少于一年(365天)的历史同期数据;时间周期为一周时,历史同期数据也可以为当前时间周期之前不少于一年(52周)的历史同期数据;时间周期为一周时,历史同期数据也可以为当前时间周期之前不少于三年(36个月)的历史同期数据。
本方面实施例通过选择不少于一年的历史同期数据,能获取足够多的历史同期数据,从而能根据历史同期数据获取更准确的目标时刻对应的正常流量区间,能获得更准确的目标时刻的流量的理论范围,从而能基于该理论范围,更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
下面对本发明实施例提供的异常流量检测装置进行描述,下文描述的异常流量检测装置与上文描述的异常流量检测方法可相互对应参照。
图2是根据本发明实施例提供的异常流量检测装置的结构示意图。基于上述各实施例的内容,如图2所示,该装置包括获取模块201和检测模块202,其中:
获取模块201,用于获取目标时刻的流量;
检测模块202,用于若判断获知目标时刻的流量在目标时刻对应的正常流量区间之外,则将目标时刻的流量检测为异常;
其中,目标时刻对应的正常流量区间,是根据目标时刻的流量的历史同期数据获得的。
具体地,获取模块201和检测模块202电连接。
对于目标时刻,获取模块201获取该时刻的瞬时流量。
根据检测对象的不同,流量可以为某一网络设备的流量,或某个网络的流量。
检测模块202判断该流量是否落在该目标时刻对应的正常流量区间之外,分析网络流量是否在合理范围内。
如果落在该目标时刻对应的正常流量区间之内(含该区间的下限和上限),说明该目标时刻的流量正常,在合理范围内。
如果落在该目标时刻对应的正常流量区间之外,说明该目标时刻的流量异常,不在合理范围内,检测结果为流量异常。
本发明实施例提供的异常流量检测装置,用于执行本发明上述各实施例提供的异常流量检测方法,该异常流量检测装置包括的各模块实现相应功能的具体方法和流程详见上述异常流量检测方法的实施例,此处不再赘述。
该异常流量检测装置用于前述各实施例的异常流量检测方法。因此,在前述各实施例中的异常流量检测方法中的描述和定义,可以用于本发明实施例中各执行模块的理解。
本发明实施例通过判断目标时刻的流量是否在根据目标时刻的流量的历史同期数据获得的目标时刻对应的正常流量区间之外,检测流量异常,能更准确地检测出目标时刻的流量异常,能获得更准确的检测结果。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)301、存储器(memory)302和总线303;其中,处理器301和存储器302通过总线303完成相互间的通信;处理器301用于调用存储在存储器302中并可在处理器301上运行的计算机程序指令,以执行上述各方法实施例提供的异常流量检测方法,该方法包括:获取目标时刻的流量;若判断获知目标时刻的流量在目标时刻对应的正常流量区间之外,则将目标时刻的流量检测为异常;其中,目标时刻对应的正常流量区间,是根据目标时刻的流量的历史同期数据获得的。
此外,上述的存储器302中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的异常流量检测方法,该方法包括:获取目标时刻的流量;若判断获知目标时刻的流量在目标时刻对应的正常流量区间之外,则将目标时刻的流量检测为异常;其中,目标时刻对应的正常流量区间,是根据目标时刻的流量的历史同期数据获得的。
又一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的异常流量检测方法,该方法包括:获取目标时刻的流量;若判断获知目标时刻的流量在目标时刻对应的正常流量区间之外,则将目标时刻的流量检测为异常;其中,目标时刻对应的正常流量区间,是根据目标时刻的流量的历史同期数据获得的。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种异常流量检测方法,其特征在于,包括:
获取目标时刻的流量;
若判断获知所述目标时刻的流量在所述目标时刻对应的正常流量区间之外,则将所述目标时刻的流量检测为异常;
其中,所述目标时刻对应的正常流量区间,是根据所述目标时刻的流量的历史同期数据获得的。
2.根据权利要求1所述的异常流量检测方法,其特征在于,所述若判断获知所述目标时刻的流量在所述目标时刻对应的正常流量区间之外,则将所述目标时刻的流量检测为异常之前,还包括:
根据所述目标时刻的流量的历史同期数据,获取所述目标时刻对应的正常流量区间。
3.根据权利要求2所述的异常流量检测方法,其特征在于,所述根据所述目标时刻的流量的历史同期数据,获取所述目标时刻对应的正常流量区间的具体步骤包括:
根据所述目标时刻的流量的历史同期数据,获取所述目标时刻对应的正常流量区间的上限和下限,获得所述目标时刻对应的正常流量区间。
4.根据权利要求3所述的异常流量检测方法,其特征在于,所述根据所述目标时刻的流量的历史同期数据,获取所述目标时刻对应的正常流量区间的上限和下限的具体步骤包括:
获取所述目标时刻的流量的历史同期数据的平均值和标准差;
根据所述目标时刻的流量的历史同期数据的平均值和标准差,获取所述目标时刻对应的正常流量区间的上限和下限。
5.根据权利要求4所述的异常流量检测方法,其特征在于,所述根据所述目标时刻的流量的历史同期数据的平均值和标准差,获取所述目标时刻对应的正常流量区间的上限和下限的具体步骤包括:
根据所述目标时刻的流量的历史同期数据的平均值和标准差,以及预设的倍数,获取所述目标时刻对应的正常流量区间的上限和下限。
6.根据权利要求5所述的异常流量检测方法,其特征在于,所述根据所述目标时刻的流量的历史同期数据的平均值和标准差,以及预设的倍数,获取所述目标时刻对应的正常流量区间的上限和下限的具体步骤包括:
将所述目标时刻的流量的历史同期数据的平均值,加上所述倍数的所述目标时刻的流量的历史同期数据的标准差,获取所述目标时刻对应的正常流量区间的上限;
将所述目标时刻的流量的历史同期数据的平均值,减去所述倍数的所述目标时刻的流量的历史同期数据的标准差,获取所述目标时刻对应的正常流量区间的下限。
7.根据权利要求1至6任一所述的异常流量检测方法,其特征在于,所述历史同期数据为不少于一年的历史同期数据。
8.一种异常流量检测装置,其特征在于,包括:
获取模块,用于获取目标时刻的流量;
检测模块,用于若判断获知所述目标时刻的流量在所述目标时刻对应的正常流量区间之外,则将所述目标时刻的流量检测为异常;
其中,所述目标时刻对应的正常流量区间,是根据所述目标时刻的流量的历史同期数据获得的。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任一项所述的异常流量检测方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至7任一项所述的异常流量检测方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010859921.9A CN114095194A (zh) | 2020-08-24 | 2020-08-24 | 异常流量检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010859921.9A CN114095194A (zh) | 2020-08-24 | 2020-08-24 | 异常流量检测方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114095194A true CN114095194A (zh) | 2022-02-25 |
Family
ID=80295708
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010859921.9A Pending CN114095194A (zh) | 2020-08-24 | 2020-08-24 | 异常流量检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114095194A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114741377A (zh) * | 2022-04-01 | 2022-07-12 | 深圳市爱路恩济能源技术有限公司 | 识别天然气异常数据并对其处理的方法和装置 |
CN116642138A (zh) * | 2023-05-25 | 2023-08-25 | 大连智水慧成科技有限责任公司 | 一种供水管网新增漏损检测方法 |
CN116738351A (zh) * | 2023-08-10 | 2023-09-12 | 重庆华悦生态环境工程研究院有限公司深圳分公司 | 排水设施检测方法及装置 |
CN116938769A (zh) * | 2023-09-15 | 2023-10-24 | 深圳开鸿数字产业发展有限公司 | 流量异常检测方法、电子设备和计算机可读存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110839040A (zh) * | 2019-11-20 | 2020-02-25 | 北京天融信网络安全技术有限公司 | 一种流量的监控方法、模型的训练方法、装置及存储介质 |
CN111338878A (zh) * | 2020-02-21 | 2020-06-26 | 平安科技(深圳)有限公司 | 异常检测方法、装置、终端设备及存储介质 |
-
2020
- 2020-08-24 CN CN202010859921.9A patent/CN114095194A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110839040A (zh) * | 2019-11-20 | 2020-02-25 | 北京天融信网络安全技术有限公司 | 一种流量的监控方法、模型的训练方法、装置及存储介质 |
CN111338878A (zh) * | 2020-02-21 | 2020-06-26 | 平安科技(深圳)有限公司 | 异常检测方法、装置、终端设备及存储介质 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114741377A (zh) * | 2022-04-01 | 2022-07-12 | 深圳市爱路恩济能源技术有限公司 | 识别天然气异常数据并对其处理的方法和装置 |
CN114741377B (zh) * | 2022-04-01 | 2023-07-21 | 深圳市爱路恩济能源技术有限公司 | 识别天然气异常数据并对其处理的方法和装置 |
CN116642138A (zh) * | 2023-05-25 | 2023-08-25 | 大连智水慧成科技有限责任公司 | 一种供水管网新增漏损检测方法 |
CN116738351A (zh) * | 2023-08-10 | 2023-09-12 | 重庆华悦生态环境工程研究院有限公司深圳分公司 | 排水设施检测方法及装置 |
CN116738351B (zh) * | 2023-08-10 | 2023-11-21 | 重庆华悦生态环境工程研究院有限公司深圳分公司 | 排水设施检测方法及装置 |
CN116938769A (zh) * | 2023-09-15 | 2023-10-24 | 深圳开鸿数字产业发展有限公司 | 流量异常检测方法、电子设备和计算机可读存储介质 |
CN116938769B (zh) * | 2023-09-15 | 2023-12-05 | 深圳开鸿数字产业发展有限公司 | 流量异常检测方法、电子设备和计算机可读存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114095194A (zh) | 异常流量检测方法及装置 | |
CN111984503A (zh) | 一种监控指标数据异常数据识别的方法及装置 | |
CN107423141B (zh) | 信息处理方法及装置 | |
CN108696368B (zh) | 一种网元健康状态的检测方法及设备 | |
US10268836B2 (en) | System and method for detecting sensitivity content in time-series data | |
CN109375151B (zh) | 电能表计量误差在线监测技术的监测通道调度方法及装置 | |
CN112597263B (zh) | 管网检测数据异常判断方法及系统 | |
AU2011352299A1 (en) | Validation of electric power system monitoring systems | |
EP2613263B1 (en) | Operations management device, operations management method, and program | |
CN109617758B (zh) | 节点网络质量计算方法及装置、服务器、计算机存储介质 | |
CN112542034B (zh) | 一种智能燃气表微小流泄漏的识别方法、系统及设备 | |
CN109840185A (zh) | 一种指标关联方法及装置 | |
EP3883190B1 (en) | Detection device, detection method, and detection program | |
CN111198891A (zh) | 数据源融合方法、电子设备及非暂态计算机可读存储介质 | |
CN114301803A (zh) | 网络质量检测方法、装置、电子设备及存储介质 | |
CN113159463A (zh) | 业务量监控方法和装置 | |
CN110673973A (zh) | 应用程序编程接口api的异常确定方法和装置 | |
CN105101276B (zh) | 一种移动网络信号稳定性的监控方法及装置 | |
CN109001548A (zh) | 一种基于计量集抄终端数据的配变电流不平衡判断方法 | |
US10320647B2 (en) | Evaluation of network conditions | |
CN114418427A (zh) | 一种燃气表选配方法及系统 | |
CN109004659A (zh) | 一种基于计量集抄终端数据的配变有功负载不平衡判断方法 | |
CN112053009A (zh) | 一种故障预测方法、装置、系统及存储介质 | |
US20200256903A1 (en) | Voltage rating validator for advanced metering | |
CN111367640B (zh) | 数据统计周期确定方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |