CN114285612A - 一种异常数据检测的方法、系统、装置、设备及介质 - Google Patents
一种异常数据检测的方法、系统、装置、设备及介质 Download PDFInfo
- Publication number
- CN114285612A CN114285612A CN202111529714.8A CN202111529714A CN114285612A CN 114285612 A CN114285612 A CN 114285612A CN 202111529714 A CN202111529714 A CN 202111529714A CN 114285612 A CN114285612 A CN 114285612A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- ith
- time points
- traffic
- characterization function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种异常数据检测的方法、系统、装置、设备及介质,该方法包括:根据历史网络流量数据获取预测网络流量数据,其中,所述预测网络流量数据是预测的未来多个时间点的网络流量值;确认所述预测网络流量数据中存在多个异常流量时间点;从所述多个异常流量时间点中获取部分异常流量时间点作为异常分析点,并根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于异常流量。通过本申请的一些实施例能够对多个异常流量时间点进行进一步的异常判断,从而提升网络流量异常的识别准确率,减少误报和漏报的情况发生。
Description
技术领域
本申请实施例涉及网络流量异常数据检测领域,具体涉及一种异常数据检测的方法、系统、装置、设备及介质。
背景技术
相关技术中,随着网络设施覆盖的不断扩大,使得网络设备越来越多样化,随之网络流量异常的情况也频繁出现。为了对网络流量异常进行检测,通常使用机器学习的方法获得检测结果,但是,在检测过程中容易受到一些异常数据点的影响,导致检测结果不准确。
因此,如何提高异常数据检测的准确性成为亟待解决的问题。
发明内容
本申请实施例提供一种异常数据检测的方法、系统、装置、设备及介质,通过本申请的一些实施例至少能够对检测得到的异常点进行进一步判断,从而提升网络流量异常的识别准确率,减少误报和漏报的情况发生。
第一方面,本申请实施例提供了一种异常数据检测的方法,所述方法包括:根据历史网络流量数据获取安全网络流量范围,其中,位于所述安全网络流量范围内的网络流量数据为安全数据;确认所述安全网络流量范围之外存在多个异常流量时间点;从所述多个异常流量时间点中获取部分异常流量时间点作为异常分析点,并根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警异常流量。
因此,本申请实施例根据历史网络流量数据使用高斯过程获得安全网络流量范围,根据异常流量时间点周围数据进行进一步的异常判断,减小了离散异常流量时间点对异常检测的影响,从而提升网络流量异常的识别准确率,减少误报和漏报的情况发生。
结合第一方面,在本申请的一些实施方式中,所述根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警异常流量,包括:通过表征函数获取所述异常分析点的目标预测网络流量值;若确认所述目标预测网络流量值至少部分不位于所述安全网络流量范围内时,则将所述多个异常流量时间点所对应的流量判定为所述告警异常流量。
因此,本申请实施例通过获得能够表征多个异常流量时间点的表征函数,并且根据安全网络流量范围判断流量是否需要告警,能够找到长时间脱离安全网络流量范围的时间点,从而减少由于少量的脱离安全网络流量范围的时间点对异常检测带来的影响,从而减少异常检测的误判率,增加检测准确率。
结合第一方面,在本申请的一些实施方式中,所述表征函数是通过如下方法获得的:通过所述多个异常流量时间点中的任意两个时间点,建立第i候选表征函数,其中,i为大于1的整数;计算所述多个异常流量时间点中除所述任意两个时间点之外的剩余各时间点到所述第i候选表征函数之间的第i距离;根据所述第i距离获得第i计算结果值;重复上述过程直至所述第i计算结果值满足预设条件,则将所述第i候选表征函数作为所述表征函数。
因此,本申请实施例通过对多个异常流量时间点进行线性回归,能够得到表征多个异常流量时间点的表征函数,从而依据表征函数对多个异常流量时间点进行进一步的异常检测。另外,区别于现有技术中使用深度学习进行异常检测,本申请实施例中使用线性回归的方法,能够减轻网关设备的运行负担,从而提高检测速度同时保证检测的准确率。
结合第一方面,在本申请的一些实施方式中,所述根据所述第i距离获得第i计算结果值,包括:统计所述第i距离小于预设距离所对应时间点的个数,获得所述第i个数;所述重复上述过程直至所述第i计算结果值满足预设条件,则确定所述表征函数,包括:重复上述过程直至获得所述第i个数的最大值,则将所述第i候选表征函数作为所述表征函数。
因此,本申请实施例通过统计第i距离小于预设距离的个数,能够快速且高效的获得表征函数。
结合第一方面,在本申请的一些实施方式中,所述根据所述第i距离获得第i计算结果值,包括:根据所述第i距离和损失函数获得第i损失函数值;所述重复上述过程直至所述第i计算结果值满足预设条件,则确定所述表征函数,包括:重复上述步骤,直至得到第i损失函数值最小,则将所述第i候选表征函数作为所述表征函数。
因此,本申请实施例中基于现有技术中的损失函数,添加了影响系数p,并且将第i距离放在指数的位置,进一步的增加了异常分析点的权重,使得获得的表征函数更加的准确。另外,通过调整影响系数p的取值,还可以自由的控制不同异常流量时间点对表征函数的影响。
结合第一方面,在本申请的一些实施方式中,所述损失函数与影响系数相关,其中,所述影响系数用于调整不同异常流量时间点对所述表征函数的影响,所述影响系数与所述不同异常流量时间点对所述表征函数的影响呈正比。
结合第一方面,在本申请的一些实施方式中,所述损失函数如下所示:
其中,y表示各异常流量时间点的纵坐标值,f(x)表示各异常流量时间点的横坐标对应的第i候选表征函数值,φ表示所述第i损失函数值,p表示所述影响系数,p为大于1的正数,δ表示所述各异常流量时间点与所述第i候选表征函数之间的预设距离。
因此,本申请实施例中基于现有技术中的损失函数,添加了影响系数p,并且将第i距离放在指数的位置,进一步的增加了异常分析点的权重,使得获得的表征函数更加的准确。另外,通过调整影响系数p的取值,还可以自由的控制不同异常流量时间点对表征函数的影响。
结合第一方面,在本申请的一些实施方式中,在所述根据所述异常分析点确认所述告警异常流量所对应的流量属于异常流量之后,所述方法还包括:根据所述多个异常流量时间点生成告警信息并进行告警,以使运维人员根据所述告警信息进行运维。
第二方面,本申请实施例提供了一种异常数据检测的系统,所述系统包括:客户端,被配置发送网络流量数据;网关设备,被配置为通过获取的来自于所述客户端的网络流量数据执行如第一方面及其任意实施方式中所述的异常数据检测的方法。
第三方面,本申请实施例提供了一种异常数据检测的装置,所述装置包括:数据获取模块,被配置为根据历史网络流量数据获取安全网络流量范围,其中,位于所述安全网络流量范围内的网络流量数据为安全数据;时间点确认模块,被配置为确认所述安全网络流量范围之外存在多个异常流量时间点;异常分析模块,被配置为从所述多个异常流量时间点中获取部分异常流量时间点作为异常分析点,并根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警异常流量。
结合第三方面,在本申请的一些实施方式中,所述异常分析模块还被配置为:通过表征函数获取所述异常分析点的目标预测网络流量值;若确认所述目标预测网络流量值至少部分不位于安全网络流量范围内时,则将所述多个异常流量时间点所对应的流量判定为所述告警异常流量。
结合第三方面,在本申请的一些实施方式中,所述表征函数是通过如下方法获得的:通过所述多个异常流量时间点中的任意两个时间点,建立第i候选表征函数,其中,i为大于1的整数;计算所述多个异常流量时间点中除所述任意两个时间点之外的剩余各时间点到所述第i候选表征函数之间的第i距离;根据所述第i距离获得第i计算结果值;重复上述过程直至所述第i计算结果值满足预设条件,则将所述第i候选表征函数作为所述表征函数。
结合第三方面,在本申请的一些实施方式中,所述异常分析模块还被配置为:统计所述第i距离小于预设距离所对应时间点的个数,获得所述第i个数;重复上述过程直至获得所述第i个数的最大值,则将所述第i候选表征函数作为所述表征函数。
结合第三方面,在本申请的一些实施方式中,所述异常分析模块还被配置为:根据所述第i距离和损失函数获得第i损失函数值;重复上述步骤,直至得到第i损失函数值最小,则将所述第i候选表征函数作为所述表征函数。
结合第三方面,在本申请的一些实施方式中,所述损失函数与影响系数相关,其中,所述影响系数用于调整不同异常流量时间点对所述表征函数的影响,所述影响系数与所述不同异常流量时间点对所述表征函数的影响呈正比。
结合第三方面,在本申请的一些实施方式中,所述损失函数如下所示:
其中,y表示各异常流量时间点的纵坐标值,f(x)表示各异常流量时间点的横坐标对应的第i候选表征函数值,φ表示所述第i损失函数值,p表示所述影响系数,p为大于1的正数,δ表示所述各异常流量时间点与所述第i候选表征函数之间的预设距离。
结合第三方面,在本申请的一些实施方式中,所述异常分析模块还被配置为:根据所述告警异常流量生成告警信息并进行告警,以使运维人员根据所述告警信息进行运维。
第四方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线;所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如第一方面任意实施方式中所述的异常数据检测的方法。
第五方面,本申请实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时实现如第一方面任意实施方式中所述的异常数据检测的方法。
附图说明
图1为本申请实施例示出的一种异常数据检测的系统组成示意图;
图2为本申请实施例示出的一种异常数据检测方法的流程图;
图3为本申请实施例示出网络流量数据预测示意图之一;
图4为本申请实施例示出网络流量数据预测示意图之二;
图5为本申请实施例示出一种异常数据检测的装置组成框图;
图6为本申请实施例示出一种电子设备组成示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本申请的一部分实施例,而不是全部实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对附图中提供的本申请的实施例的详情描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护范围。
本申请实施例可以应用于需要对网络流量数据进行异常检测的场景中,为了改善背景技术在网络流量异常检测过程中存在的诸多问题和缺陷,在本申请的一些实施例中,通过对位于安全网络流量范围之外的多个异常流量时间点(或简称为异常点)进行进一步的异常检测,能更加准确的获取多个异常流量时间点所对应的流量是否为告警异常流量(即确定多个异常流量时间点中哪些时间点需要进行告警)。例如,在本申请的一些实施例中,通过表征函数获取多个异常流量时间点中异常分析点的目标预测网络流量值,之后若确认目标预测网络流量值不位于安全网络流量范围,则将多个异常流量时间点所对应的流量判断为异常流量。
需要说明的是,告警异常流量是对多个异常流量时间点进行进一步检测获得的,即判断多个异常流量时间点是否需要进行告警,若是则将多个异常流量时间点判断为告警异常流量时间点,将多个异常流量时间点所对应的流量判断为告警异常流量。
需要说明的是,安全网络流量范围是根据历史网络流量数据进行预测获得的安全流量的范围。多个异常流量时间点是不位于安全网络流量范围内的时间点。目标预测网络流量值是异常分析点的横坐标在表征函数上对应的纵坐标的值。
下面结合附图详细描述本申请实施例中的方法步骤。
图1提供了本申请一些实施例中的一种异常数据检测的系统组成示意图,该系统包括客户端110、网关设备120和网络130。具体的,首先,客户端110在访问网络130的过程中产生网络流量数据,并且网关设备获取设定时间段的历史网络流量数据。接着,网关设备120根据历史网络流量数据进行预测获得安全网络流量范围,并且确认安全网络流量范围之外存在多个异常流量时间点。最后,网关设备120通过表征函数获取目标预测网络流量值,之后确认目标预测网络流量值至少部分存在于安全网络流量范围,则将多个异常流量时间点所对应的流量判断为需要告警的异常流量。
与本申请实施例不同的是相关技术中,为了对网络流量异常进行检测,通常使用机器学习的方法获得检测结果,但是,在检测过程中容易受到一些异常数据点的影响,导致检测结果不准确。而本申请的实施例是将预测得到的多个异常流量时间点进行进一步的判断,确认多个异常流时间点是否需要进行告警,从而减少对于网络流量异常的误判。
下面以网关设备为例示例性阐述本申请一些实施例提供的异常数据检测方案。可以理解的是,本申请实施例的异常数据检测的方法的技术方案可以应用于任何安全设备上,例如,防火墙等安全类产品上。
至少为了解决上述问题,如图2所示,本申请一些实施例提供了一种异常数据检测的方法,该方法包括:
S210,根据历史网络流量数据获取安全网络流量范围。
在本申请的一些实施例中,S210所涉及的历史网络流量数据是网关设备获取的当前时刻之前设定时间段的多个被观测客户端的网络流量数据。S210获取的历史网络流量数据可用于预测安全网络流量范围,当获取实时的网络流量数据时,在安全网络流量范围内的实时网络流量数据是安全的,在安全网络流量范围外的实时网络流量数据是异常的。需要说明的是,设定时间段是获取历史网络流量数据的历史时间范围,设定时间段的长度可以是1天,也可以是4天等,且在设定时间段的对网络流量的检测频率也可以根据情况动态设置。例如,若设定时间段为4天,则可以每隔1分钟获取前4天的网络流量数据作为历史网络流量数据。本申请实施例不限于此。
在本申请的一些实施例中,如图3所示,图3展示了网络流量数据预测示意图,其中,横坐标为时间(单位为分钟),纵坐标为各时间点对应实时的网络流量数据(单位为Mbps),从横坐标的第3450s至第3465s所对应的虚线属于实时网络流量数据310,两条实线限定的第一范围是后续步骤涉及的安全网络流量范围320。S210所涉及的安全网络流量范围320是将历史网络流量数据建立的流量时间序列输入到预测模型中进行预测获得的,实时网络流量数据310中落在安全网络流量范围320内的点即为安全的数据流量。
例如,在本申请实施例使用高斯过程根据历史网络流量数据获得安全网络流量范围。
在本申请的一些实施例中,收集当前时刻之前设定时间段的历史网络流量,建立流量时间序列,之后选取径向基(RBF)核函数和周期(Periodic)核函数。
径向基(RBF)核函数如下所示:
其中,kRBF表示x1和x2的协方差,Θ表示长度标度参数。
周期(Periodic)核函数如下所示:
其中,kPeriodic表示x1和x2的协方差,λ表示长度尺度参数,p表示周期长度参数。
将流量时间序列输入到含有RBF核函数和Periodic核函数的预测模型中,使用对数边似然函数,采用梯度下降算法优化高斯过程参数,获得安全网络流量范围。其中,安全网络流量范围是一个期望值和方差。大部分的网络流量数据符合高斯过程,在安全网络流量范围内,有少部分的网络流量数据不存在安全网络流量范围内(即多个异常流量时间点)。由于少量时间点超出安全网络流量范围内属于正常情况,为避免误判,本申请实施例的目的为找到长时间脱离安全网络流量范围的时间点,将其判断为异常流量,从而提高检测的准确率。
S220,确认安全网络流量范围之外存在多个异常流量时间点。
在本申请的一些实施例中,如图3所示,两条垂直虚线以及从横坐标的第3456s至第3462s限定的第二范围属于多个异常流量时间点330。S220中所涉及的多个异常流量时间点330为不在安全网络流量范围320之内的点,本申请实施例中将对多个异常流量时间点进行进一步的检测。
需要说明的是,多个异常流量时间点可以是一个异常流量时间片段。作为本申请一具体实施例,在获得所有的异常流量时间点之后,以一个异常时间点为基准获取该时间点前一段时间的异常流量时间点,和后一段时间的异常流量时间点,组合成为多个异常流量时间点,例如:获取一个异常时间点前30分钟的异常流量时间点,和后30分钟的异常流量时间点,组合成为多个异常流量时间点。
S230,从多个异常流量时间点中获取部分异常流量时间点作为异常分析点。
在本申请的一些实施例中,图3的多个异常流量时间点如图4示出的所有点(包括黑点和白点),而S230中所涉及的异常分析点为图4中的黑色点,图4中的白色点为除异常分析点之外的离散点。
也就是说,本申请的一些实施例通过筛选获取部分异常流量时间点作为分析数据,这样一方面可以提升数据处理的速度,另一方面可以排除异常离散点对异常结果分析的影响。
S240,根据异常分析点确认多个异常流量时间点所对应的流量属于异常流量。
因此,本申请实施例根据历史网络流量数据使用高斯过程获得安全网络流量范围,根据异常流量时间点周围数据进行进一步的异常判断,减小了离散异常流量时间点对异常检测的影响,从而提升网络流量异常的识别准确率,减少误报和漏报的情况发生。
在本申请的一些实施例中,S240还包括:通过表征函数获取异常分析点的目标预测网络流量值,若确认目标预测网络流量值至少部分不位于安全网络流量范围内时,则将多个异常流量时间点所对应的流量判定为异常流量。
例如,通过对多个异常流量时间点进行线性回归,通过对不同组合的异常分析点的判断,获得能够表征多个异常流量时间点的函数即为表征函数,其中,表征函数附近的点即为异常分析点。在获得表征函数之后,将异常分析点做对应的横坐标代入到表征函数中,获得目标预测网络流量值,之后判断目标预测网络流量值是否位于安全网络流量范围内,若确认目标预测网络流量值全部位于安全网络流量范围内,则将多个异常流量时间点所对应的流量判定为无需告警的流量,若确认目标预测网络流量值全部或者部分位于安全网络流量范围之外,则将多个异常流量时间点所对应的流量判定为需要告警的异常流量。
需要说明的是,表征函数是能够表征多个异常流量时间点对应的网络流量值的函数,例如,该表征函数对应的图形是一条直线,即表征函数为直线方程,确定表征函数即确定目标直线方程。
因此,本申请实施例通过获得能够表征多个异常流量时间点的表征函数,并且根据安全网络流量范围判断流量异常,能够找到长时间脱离安全网络流量范围的时间点,从而减少由于少量的脱离安全网络流量范围的时间点对异常检测带来的影响,从而减少异常检测的误判率,增加检测准确率。
在本申请的一些实施例中,表征函数是通过如下方法获得的:通过多个异常流量时间点中的任意两个时间点,建立第i候选表征函数,其中,i为大于1的整数。计算多个异常流量时间点中除任意两个时间点之外的剩余各时间点到第i候选表征函数之间的第i距离。根据第i距离获得第i计算结果值。重复上述过程直至第i计算结果值满足预设条件,则将第i候选表征函数作为表征函数。
例如,第i候选表征函数的方程为y=x+1,除任意两个时间点之外的点为(1,1)和(1,4),则(1,1)到直线y=x+1的距离(即第i距离)为1,(1,4)到直线y=x+1的距离为2。
也就是说,如图4所示,建立多个异常流量时间点中的任意两个时间点(例如:第一时间点410和第二时间点440)之间的连接线所对应的函数,作为第i候选表征函数,之后计算除了上述的两个时间点之外的所有时间点与第i候选表征函数之间的距离,即为第i距离。最后,根据计算获得的第i距离获得第i计算结果值。
重复上述过程,即建立多个异常流量时间点中的任意两个时间点之间的连接线所对应的函数,作为第i+1候选表征函数,之后计算除了建立连接线以外两个点以外,其他所有点到第i+1候选表征函数之间的距离,即为第i+1距离。然后,根据计算获得的第i+1距离获得第i+1计算结果值。在第i+n计算结果值满足预设条件的情况下,将相对应的第i+n候选表征函数作为表征函数。其中,n为循环的次数,n为大于或等于1的整数。
例如,如图4所示,建立第一时间点410和第二时间点440之间的连接线430,同时获得相对应的第i候选表征函数,之后过第三时间点450做垂线,取垂线与第i候选表征函数的交点的纵坐标与第三时间点450的纵坐标之间的距离,即为第i距离。
因此,本申请实施例通过对多个异常流量时间点进行线性回归,能够得到表征多个异常流量时间点的表征函数,从而依据表征函数对多个异常流量时间点进行进一步的异常检测。另外,区别于现有技术中使用深度学习进行异常检测,本申请实施例中使用线性回归的方法,能够减轻网关设备的运行负担,从而提高检测速度同时保证检测的准确率。
在本申请的一些实施例中,获得上述第i计算结果值的方法分别为:
方法一:统计第i距离小于预设距离所对应时间点的个数,获得第i个数,重复上述过程直至获得第i个数的最大值,则将第i候选表征函数作为表征函数。
也就是说,为了尽量去除离群点(例如图4中的第三时间点450)对表征函数的影响,设置一个预设距离,将第i距离与预设距离进行比较,在第i距离小于预设距离的情况下,统计个数,从而获得第i距离小于预设距离所对应时间点的个数。在找到小于预设距离的时间点个数最多的情况下,将相对应的候选表征函数作为表征函数,该表征函数能够表征多个异常流量时间点。
例如:第10候选表征函数所对应的小于预设距离所对应时间点的个数为5,第50候选表征函数所对应的小于预设距离所对应时间点的个数为20,第100候选表征函数所对应的小于预设距离所对应时间点的个数为50,则将第100候选表征函数作为表征函数。
需要说明的是,预设距离是根据实际情况设置的一个超参数,用于衡量多个异常流量时间点到候选表征函数之间的距离。预设距离可以是0.1,可以是0.5,也可以是1。本申请实施例不限于此。
因此,本申请实施例通过统计第i距离小于预设距离的个数,能够快速且高效的获得表征函数。
方法二:根据第i距离和损失函数获得第i损失函数值,重复上述步骤,直至得到第i损失函数值最小,则将第i候选表征函数作为表征函数。
也就是说,在本申请实施例中使用损失函数判断第i候选表征函数是否为最合适的函数,在获得的损失函数值最小的情况下,表示该表征函数能够表征多个异常流量时间点。
需要说明的是,预设条件是结束循环得到表征函数的终止条件。在上述方法一中,预设条件是获得第i个数的最大值。在上述方法二中,预设条件是得到第i损失函数值最小。
在本申请的一些实施例中,损失函数与影响系数相关,其中,影响系数用于调整不同异常流量时间点对表征函数的影响,影响系数与不同异常流量时间点对表征函数的影响呈正比。
也就是说,为了增加异常分析点(即第i距离小于预设距离的点)对表征函数的影响权重,在本申请的一些实施例中,在损失函数中增加了一个能够影响表征函数的影响系数,结合本申请中需要增加异常分析点的权重的场景,需要增大影响系数的值。
本申请实施例中损失函数如下所示:
其中,y表示各异常流量时间点的纵坐标值,f(x)表示各异常流量时间点的横坐标对应的第i候选表征函数值,φ表示第i损失函数值,p表示影响系数,p为大于1的正数,δ表示各异常流量时间点与第i候选表征函数之间的预设距离。
例如:若p的取值为e,则损失函数为y=e|x|-1。若p的取值为1.5,则损失函数为y=1.5|x|-1。
因此,本申请实施例中基于现有技术中的损失函数,添加了影响系数p,并且将第i距离放在指数的位置,进一步的增加了异常分析点的权重,使得获得的表征函数更加的准确。另外,通过调整影响系数p的取值,还可以自由的控制不同异常流量时间点对表征函数的影响。
在本申请的一些实施例中,在S240之后,根据多个异常流量时间点生成告警信息并进行告警,以使运维人员根据告警信息进行运维。
也就是说,在上述步骤中获得异常流量之后,将异常流量对应的时间点相对应的异常流量值生成告警信息,将告警信息发送至运维人员规定的平台,运维人员在看到告警信息之后对出现异常流量的主机进行运维。
上文描述了本申请的一种异常数据检测的方法,下文将描述一种异常数据检测的装置。
如图5所示,本申请的一些实施例提供一种异常数据检测的装置500,包括:数据获取模块510、时间点确认模块520和异常分析模块530。
本申请实施例提供了一种异常数据检测的装置500,所述装置包括:数据获取模块510,被配置为根据历史网络流量数据获取安全网络流量范围,其中,位于所述安全网络流量范围内的网络流量数据为安全数据;时间点确认模块520,被配置为确认所述安全网络流量范围之外存在多个异常流量时间点;异常分析模块530,被配置为从所述多个异常流量时间点中获取部分异常流量时间点作为异常分析点,并根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警异常流量。
在本申请的一些实施方式中,所述异常分析模块530还被配置为:通过表征函数获取所述异常分析点的目标预测网络流量值;若确认所述目标预测网络流量值至少部分不位于安全网络流量范围内时,则将所述多个异常流量时间点所对应的流量判定为所述告警异常流量。
在本申请的一些实施方式中,所述表征函数是通过如下方法获得的:通过所述多个异常流量时间点中的任意两个时间点,建立第i候选表征函数,其中,i为大于1的整数;计算所述多个异常流量时间点中除所述任意两个时间点之外的剩余各时间点到所述第i候选表征函数之间的第i距离;根据所述第i距离获得第i计算结果值;重复上述过程直至所述第i计算结果值满足预设条件,则将所述第i候选表征函数作为所述表征函数。
在本申请的一些实施方式中,所述异常分析模块530还被配置为:统计所述第i距离小于预设距离所对应时间点的个数,获得所述第i个数;重复上述过程直至获得所述第i个数的最大值,则将所述第i候选表征函数作为所述表征函数。
在本申请的一些实施方式中,所述异常分析模块530还被配置为:根据所述第i距离和损失函数获得第i损失函数值;重复上述步骤,直至得到第i损失函数值最小,则将所述第i候选表征函数作为所述表征函数。
在本申请的一些实施方式中,所述损失函数与影响系数相关,其中,所述影响系数用于调整不同异常流量时间点对所述表征函数的影响,所述影响系数与所述不同异常流量时间点对所述表征函数的影响呈正比。
在本申请的一些实施方式中,所述损失函数如下所示:
其中,y表示各异常流量时间点的纵坐标值,f(x)表示各异常流量时间点的横坐标对应的第i候选表征函数值,φ表示所述第i损失函数值,p表示所述影响系数,p为大于1的正数,δ表示所述各异常流量时间点与所述第i候选表征函数之间的预设距离。
在本申请的一些实施方式中,所述异常分析模块530还被配置为:根据所述告警异常流量生成告警信息并进行告警,以使运维人员根据所述告警信息进行运维。
在本申请实施例中,图5所示模块能够实现图1至图4方法实施例中的各个过程。图5中的各个模块的操作和/或功能,分别为了实现图1至图4中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
如图6所示,本申请实施例提供一种电子设备600,包括:处理器610、存储器620和总线630,所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如上述所有实施例中任一项所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
其中,总线用于实现这些组件直接的连接通信。其中,本申请实施例中处理器可以是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。存储器中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,可以执行上述实施例中所述的方法。
可以理解,图6所示的结构仅为示意,还可包括比图6中所示更多或者更少的组件,或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被服务器执行时实现上述所有实施方式中任一所述的方法,具体可参见上述方法实施例中的描述,为避免重复,此处适当省略详细描述。
以上所述仅为本申请的优选实施例而已,并不用于限制本申请,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
Claims (12)
1.一种异常数据检测的方法,其特征在于,所述方法包括:
根据历史网络流量数据获取安全网络流量范围,其中,位于所述安全网络流量范围内的网络流量数据为安全数据;
确认所述安全网络流量范围之外存在多个异常流量时间点;
从所述多个异常流量时间点中获取部分异常流量时间点作为异常分析点,并根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警异常流量。
2.根据权利要求1所述的方法,其特征在于,所述根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警异常流量,包括:
通过表征函数获取所述异常分析点的目标预测网络流量值;
若确认所述目标预测网络流量值至少部分不位于所述安全网络流量范围内时,则将所述多个异常流量时间点所对应的流量判定为所述告警异常流量。
3.根据权利要求2所述的方法,其特征在于,所述表征函数是通过如下方法获得的:
通过所述多个异常流量时间点中的任意两个时间点,建立第i候选表征函数,其中,i为大于1的整数;
计算所述多个异常流量时间点中除所述任意两个时间点之外的剩余各时间点到所述第i候选表征函数之间的第i距离;
根据所述第i距离获得第i计算结果值;
重复上述过程直至所述第i计算结果值满足预设条件,则将所述第i候选表征函数作为所述表征函数。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第i距离获得第i计算结果值,包括:
统计所述第i距离小于预设距离所对应时间点的个数,获得第i个数;
所述重复上述过程直至所述第i计算结果值满足预设条件,则确定所述表征函数,包括:
重复上述过程直至获得所述第i个数的最大值,则将所述第i候选表征函数作为所述表征函数。
5.根据权利要求3所述的方法,其特征在于,所述根据所述第i距离获得第i计算结果值,包括:
根据所述第i距离和损失函数获得第i损失函数值;
所述重复上述过程直至所述第i计算结果值满足预设条件,则确定所述表征函数,包括:
重复上述步骤,直至得到第i损失函数值最小,则将所述第i候选表征函数作为所述表征函数。
6.根据权利要求5所述的方法,其特征在于,所述损失函数与影响系数相关,其中,所述影响系数用于调整不同异常流量时间点对所述表征函数的影响,所述影响系数与所述不同异常流量时间点对所述表征函数的影响呈正比。
7.根据权利要求6所述的方法,其特征在于,所述损失函数如下所示:
其中,y表示各异常流量时间点的纵坐标值,f(x)表示各异常流量时间点的横坐标对应的第i候选表征函数值,φ表示所述第i损失函数值,p表示所述影响系数,p为大于1的正数,δ表示所述各异常流量时间点与所述第i候选表征函数之间的预设距离。
8.根据权利要求1-7任一项所述的方法,其特征在于,在所述根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警异常流量之后,所述方法还包括:
根据所述告警异常流量生成告警信息并进行告警,以使运维人员根据所述告警信息进行运维。
9.一种异常数据检测的系统,其特征在于,所述系统包括:
客户端,被配置发送网络流量数据;
网关设备,被配置为通过获取的来自于所述客户端的网络流量数据执行如权利要求1-8任一项所述的异常数据检测的方法。
10.一种异常数据检测的装置,其特征在于,所述装置包括:
数据获取模块,被配置为根据历史网络流量数据获取安全网络流量范围,其中,位于所述安全网络流量范围内的网络流量数据为安全数据;
时间点确认模块,被配置为确认所述安全网络流量范围之外存在多个异常流量时间点;
异常分析模块,被配置为从所述多个异常流量时间点中获取部分异常流量时间点作为异常分析点,并根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警异常流量。
11.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器通过所述总线与所述存储器相连,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,用于实现如权利要求1-8任一项所述方法。
12.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被执行时实现如权利要求1-8任一项所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111529714.8A CN114285612B (zh) | 2021-12-14 | 2021-12-14 | 一种异常数据检测的方法、系统、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111529714.8A CN114285612B (zh) | 2021-12-14 | 2021-12-14 | 一种异常数据检测的方法、系统、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114285612A true CN114285612A (zh) | 2022-04-05 |
| CN114285612B CN114285612B (zh) | 2023-09-26 |
Family
ID=80872204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111529714.8A Active CN114285612B (zh) | 2021-12-14 | 2021-12-14 | 一种异常数据检测的方法、系统、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285612B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174254A (zh) * | 2022-07-22 | 2022-10-11 | 科来网络技术股份有限公司 | 流量异常告警方法、装置、电子设备及存储介质 |
| CN116389313A (zh) * | 2023-05-26 | 2023-07-04 | 深圳市斯帕克电气有限公司 | 可实时、远程检测线路的检测系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102014031A (zh) * | 2010-12-31 | 2011-04-13 | 湖南神州祥网科技有限公司 | 一种网络流量异常检测方法及系统 |
| WO2011086805A1 (ja) * | 2010-01-14 | 2011-07-21 | 株式会社日立製作所 | 異常検知方法及び異常検知システム |
| CN102724059A (zh) * | 2012-03-31 | 2012-10-10 | 常熟市支塘镇新盛技术咨询服务有限公司 | 基于MapReduce的网站运行状态监控与异常检测 |
| US20180316707A1 (en) * | 2017-04-26 | 2018-11-01 | Elasticsearch B.V. | Clustering and Outlier Detection in Anomaly and Causation Detection for Computing Environments |
| US10129277B1 (en) * | 2015-05-05 | 2018-11-13 | F5 Networks, Inc. | Methods for detecting malicious network traffic and devices thereof |
| CN109639734A (zh) * | 2019-01-24 | 2019-04-16 | 大连理工大学 | 一种具有计算资源自适应性的异常流量检测方法 |
| WO2021008296A1 (zh) * | 2019-07-16 | 2021-01-21 | 中兴通讯股份有限公司 | 一种流量异常检测方法、装置、网络设备及存储介质 |
| CN112637021A (zh) * | 2020-12-31 | 2021-04-09 | 中国建设银行股份有限公司 | 一种基于线性回归算法的动态流量监控方法和装置 |
| CN113708987A (zh) * | 2020-05-22 | 2021-11-26 | 浙江大学 | 网络异常检测方法及装置 |
-
2021
- 2021-12-14 CN CN202111529714.8A patent/CN114285612B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011086805A1 (ja) * | 2010-01-14 | 2011-07-21 | 株式会社日立製作所 | 異常検知方法及び異常検知システム |
| US20120316835A1 (en) * | 2010-01-14 | 2012-12-13 | Shunji Maeda | Anomaly detection method and anomaly detection system |
| CN102014031A (zh) * | 2010-12-31 | 2011-04-13 | 湖南神州祥网科技有限公司 | 一种网络流量异常检测方法及系统 |
| CN102724059A (zh) * | 2012-03-31 | 2012-10-10 | 常熟市支塘镇新盛技术咨询服务有限公司 | 基于MapReduce的网站运行状态监控与异常检测 |
| US10129277B1 (en) * | 2015-05-05 | 2018-11-13 | F5 Networks, Inc. | Methods for detecting malicious network traffic and devices thereof |
| US20180316707A1 (en) * | 2017-04-26 | 2018-11-01 | Elasticsearch B.V. | Clustering and Outlier Detection in Anomaly and Causation Detection for Computing Environments |
| CN109639734A (zh) * | 2019-01-24 | 2019-04-16 | 大连理工大学 | 一种具有计算资源自适应性的异常流量检测方法 |
| WO2021008296A1 (zh) * | 2019-07-16 | 2021-01-21 | 中兴通讯股份有限公司 | 一种流量异常检测方法、装置、网络设备及存储介质 |
| CN113708987A (zh) * | 2020-05-22 | 2021-11-26 | 浙江大学 | 网络异常检测方法及装置 |
| CN112637021A (zh) * | 2020-12-31 | 2021-04-09 | 中国建设银行股份有限公司 | 一种基于线性回归算法的动态流量监控方法和装置 |
Non-Patent Citations (4)
| Title |
|---|
| WANG X 等: ""Exact variable-length anomaly detection algorithm for univariate and multivariate time series"", 《DATA MINING AND KNOWLEDGE DISCOVERY》 * |
| 吕军晖;周刚;金毅;: "一种基于时间序列的自适应网络异常检测算法", 北京航空航天大学学报 * |
| 崔艳娜;: "一种网络流量异常检测模型", 计算机与现代化 * |
| 龙颖;何加龙;胡雪;: "聚类算法在流量分析中的应用", 电子技术与软件工程 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115174254A (zh) * | 2022-07-22 | 2022-10-11 | 科来网络技术股份有限公司 | 流量异常告警方法、装置、电子设备及存储介质 |
| CN115174254B (zh) * | 2022-07-22 | 2023-10-31 | 科来网络技术股份有限公司 | 流量异常告警方法、装置、电子设备及存储介质 |
| CN116389313A (zh) * | 2023-05-26 | 2023-07-04 | 深圳市斯帕克电气有限公司 | 可实时、远程检测线路的检测系统 |
| CN116389313B (zh) * | 2023-05-26 | 2023-08-01 | 深圳市斯帕克电气有限公司 | 可实时、远程检测线路的检测系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114285612B (zh) | 2023-09-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114285612B (zh) | 一种异常数据检测的方法、系统、装置、设备及介质 | |
| CN110286656B (zh) | 一种错误数据容忍的虚警过滤方法和装置 | |
| EP2950177A1 (en) | Asset condition monitoring | |
| US10670648B2 (en) | Systems and methods for determining whether a circuit is operating properly | |
| EP3314762B1 (en) | Adaptive filtering based network anomaly detection | |
| CN112162878A (zh) | 数据库故障发现方法、装置、电子设备及存储介质 | |
| US9524223B2 (en) | Performance metrics of a computer system | |
| CN110678820B (zh) | 异常重要度计算系统及异常重要度计算装置 | |
| CN113986693A (zh) | 告警响应级别确定方法、装置、电子设备及存储介质 | |
| US7949497B2 (en) | Machine condition monitoring using discontinuity detection | |
| WO2021064144A1 (en) | Method and system for continuous estimation and representation of risk | |
| CN114547145B (zh) | 一种时序数据异常检测方法、系统、存储介质及设备 | |
| CN114844762B (zh) | 告警真实性检测方法和装置 | |
| CN112380073B (zh) | 一种故障位置的检测方法、装置及可读存储介质 | |
| US20170346834A1 (en) | Relating to the monitoring of network security | |
| US10360249B2 (en) | System and method for creation and detection of process fingerprints for monitoring in a process plant | |
| EP2998814A1 (en) | System for predicting abnormality occurrence using plc log data | |
| US10295965B2 (en) | Apparatus and method for model adaptation | |
| CN114928467A (zh) | 一种网络安全运维关联分析方法及系统 | |
| CN113434823B (zh) | 数据采集任务异常预警方法、装置、计算机设备和介质 | |
| EP3457609B1 (en) | System and method for computing of anomalies based on frequency driven transformation and computing of new features based on point anomaly density | |
| CN109842586B (zh) | 异常网络流量检测方法、装置和存储介质 | |
| JP2020009325A (ja) | 異常検知プログラム、異常検知方法及び異常検知装置 | |
| US20220188401A1 (en) | Anomaly detection apparatus, anomaly detection method, and non-transitory storage medium | |
| US20220334030A1 (en) | Time series data processing method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |