CN116055196A - 一种业务检测方法、装置、电子设备及存储介质 - Google Patents
一种业务检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116055196A CN116055196A CN202310056884.1A CN202310056884A CN116055196A CN 116055196 A CN116055196 A CN 116055196A CN 202310056884 A CN202310056884 A CN 202310056884A CN 116055196 A CN116055196 A CN 116055196A
- Authority
- CN
- China
- Prior art keywords
- time period
- historical time
- service
- target service
- real
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
- G06F17/10—Complex mathematical operations
- G06F17/18—Complex mathematical operations for evaluating statistical data, e.g. average values, frequency distributions, probability functions, regression analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Mathematical Analysis (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Pure & Applied Mathematics (AREA)
- Computational Mathematics (AREA)
- Computing Systems (AREA)
- Mathematical Optimization (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Evolutionary Biology (AREA)
- Operations Research (AREA)
- Probability & Statistics with Applications (AREA)
- Bioinformatics & Computational Biology (AREA)
- Algebra (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种业务检测方法、装置、电子设备及存储介质,涉及网络技术领域,方法包括:获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目;基于第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目的变化趋势,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一预测数目;若第一真实数目位于预测数目区间之外,则确定目标业务在第一历史时间段内异常;其中,预测数目区间的中心点为基于第一预测数目确定的。如此,能够提高业务检测的准确度。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种业务检测方法、装置、电子设备及存储介质。
背景技术
随着网络技术的发展,为用户提供服务的网络服务器能够提供多个业务。网络服务器维护自身的网络安全时,需要判断各业务是否异常。例如,当非法用户对某一业务进行攻击时,会导致针对该业务的业务请求的数目增多。
相关技术中,针对某一业务,当检测到针对该业务的业务请求的数目发生较大的变化时,表示该业务可能受到非法用户的攻击,则可以确定该业务异常。然而,针对某一业务,在未受到攻击的情况下,一些季节性、周期性的事件也会导致针对该业务的业务请求的数目发生较大的变化。例如,当有新的电影上映时,此时,针对电影搜索业务的业务请求的数目也会在短时间内增大,使得该业务的业务请求的数目发生较大的变化。此时,由于相关技术中仅将业务请求的数目作为检测业务是否异常的标准,可能会判定该业务受到非法用户的攻击,即判定该业务异常,相应的,也就会导致业务的检测结果的准确度不高。
发明内容
本发明实施例的目的在于提供一种业务检测方法、装置、电子设备及存储介质,以提高业务检测的准确度。具体技术方案如下:
在本发明实施的第一方面,首先提供了一种业务检测方法,所述方法包括:
获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目;
基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
若所述第一真实数目位于预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常;其中,所述预测数目区间的中心点为基于所述第一预测数目确定的。
在一些实施例中,所述基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目,包括:
基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
其中,所述第一历史时间段对应的同比真实数目表示:在所述第一历史时间段对应的各同比历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各同比历史时间段位于所述第一历史时间段所属的检测周期之前的其他检测周期内,且与所述第一历史时间段在各自所属的检测周期中的相对时序位置相同;
所述第一历史时间段对应的环比真实数目表示:在所述第一历史时间段对应的各环比历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各环比历史时间段位于所述第一历史时间段之前,且与所述第一历史时间段相邻。
在一些实施例中,所述预测数目区间包括:第一预测数目区间和第二预测数目区间;所述第一预测数目包括:第一同比预测数目和第一环比预测数目;
所述第一预测数目区间的中心点表示:所述第一同比预测数目和各第二同比预测数目的平均水平;所述第一同比预测数目为:基于所述第一历史时间段对应的同比真实数目进行预测,得到的所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各第二同比预测数目为:预测得到的所述各同比历史时间段内,针对所述目标业务存在风险的业务请求的数目;
所述第二预测数目区间的中心点表示:所述第一环比预测数目和各第二环比预测数目的平均水平;所述第一环比预测数目为:基于所述第一历史时间段对应的环比真实数目进行预测,得到的所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各第二环比预测数目为:预测得到的所述各环比历史时间段内,针对所述目标业务存在风险的业务请求的数目;
所述若所述第一真实数目位于预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常,包括:
若所述第一真实数目位于第一预测数目区间之外,且位于第二预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常。
在一些实施例中,所述第一预测数目区间的中心点为所述第一同比预测数目和所述各第二同比预测数目的均值,且所述第一预测数目区间的大小为:第一标准差的第一指定倍数;其中,所述第一标准差为所述第一同比预测数目和所述各第二同比预测数目的标准差;
和/或,所述第二预测数目区间的中心点为所述第一环比预测数目和所述各第二环比预测数目的均值,且所述第二预测数目区间的大小为:第二标准差的第二指定倍数;其中,所述第二标准差为所述第一环比预测数目和所述各第二环比预测数目的标准差。
在一些实施例中,所述基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目,包括:
基于所述第一真实数目,以及所述第一历史时间段对应的同比真实数目进行预测,得到所述第一同比预测数目和所述各第二同比预测数目;
基于所述第一真实数目,以及所述第一历史时间段对应的环比真实数目进行预测,得到所述第一环比预测数目和所述各第二环比预测数目。
在一些实施例中,所述基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目,包括:
将所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目,输入至用于预测业务请求的数目的时间序列模型,得到所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目。
在一些实施例中,在所述基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目之前,所述方法还包括:
判断所述第一真实数目是否满足预设筛选条件中任一项;
其中,所述预设筛选条件包括:所述第一真实数目位于第一真实数目区间内、所述第一真实数目位于第二真实数目区间内,以及所述第一真实数目小于预设阈值;所述第一真实数目区间的中心点为所述第一历史时间段对应的同比真实数目的均值,且所述第一真实数目区间的大小为:第三标准差的第三指定倍数;所述第三标准差为所述第一历史时间段对应的同比真实数目的标准差;所述第二真实数目区间的中心点为所述第一历史时间段对应的环比真实数目的均值,且所述第二真实数目区间的大小为:第四标准差的第四指定倍数;所述第四标准差为所述第一历史时间段对应的环比真实数目的标准差;
若否,则执行所述基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目的步骤。
在一些实施例中,所述方法还包括:
若所述第一真实数目位于所述预测数目区间之外,则显示所述第一真实数目。
在本发明实施的第二方面,还提供了一种业务检测装置,所述装置包括:
第一真实数目获取模块,用于获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目;
第一预测数目获取模块,用于基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
异常检测模块,用于若所述第一真实数目位于预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常;其中,所述预测数目区间的中心点为基于所述第一预测数目确定的。
在一些实施例中,所述第一预测数目获取模块,包括:
第一预测子模块,用于基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
其中,所述第一历史时间段对应的同比真实数目表示:在所述第一历史时间段对应的各同比历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各同比历史时间段位于所述第一历史时间段所属的检测周期之前的其他检测周期内,且与所述第一历史时间段在各自所属的检测周期中的相对时序位置相同;
所述第一历史时间段对应的环比真实数目表示:在所述第一历史时间段对应的各环比历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各环比历史时间段位于所述第一历史时间段之前,且与所述第一历史时间段相邻。
在一些实施例中,所述预测数目区间包括:第一预测数目区间和第二预测数目区间;所述第一预测数目包括:第一同比预测数目和第一环比预测数目;
所述第一预测数目区间的中心点表示:所述第一同比预测数目和各第二同比预测数目的平均水平;所述第一同比预测数目为:基于所述第一历史时间段对应的同比真实数目进行预测,得到的所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各第二同比预测数目为:预测得到的所述各同比历史时间段内,针对所述目标业务存在风险的业务请求的数目;
所述第二预测数目区间的中心点表示:所述第一环比预测数目和各第二环比预测数目的平均水平;所述第一环比预测数目为:基于所述第一历史时间段对应的环比真实数目进行预测,得到的所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各第二环比预测数目为:预测得到的所述各环比历史时间段内,针对所述目标业务存在风险的业务请求的数目;
所述异常检测模块,具体用于:若所述第一真实数目位于第一预测数目区间之外,且位于第二预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常。
在一些实施例中,所述第一预测数目区间的中心点为所述第一同比预测数目和所述各第二同比预测数目的均值,且所述第一预测数目区间的大小为:第一标准差的第一指定倍数;其中,所述第一标准差为所述第一同比预测数目和所述各第二同比预测数目的标准差;
和/或,所述第二预测数目区间的中心点为所述第一环比预测数目和所述各第二环比预测数目的均值,且所述第二预测数目区间的大小为:第二标准差的第二指定倍数;其中,所述第二标准差为所述第一环比预测数目和所述各第二环比预测数目的标准差。
在一些实施例中,所述第一预测子模块,包括:
第一预测单元,用于基于所述第一真实数目,以及所述第一历史时间段对应的同比真实数目进行预测,得到所述第一同比预测数目和所述各第二同比预测数目;
第二预测单元,用于基于所述第一真实数目,以及所述第一历史时间段对应的环比真实数目进行预测,得到所述第一环比预测数目和所述各第二环比预测数目。
在一些实施例中,所述第一预测数目获取模块,具体用于:
将所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目,输入至用于预测业务请求的数目的时间序列模型,得到所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目。
在一些实施例中,所述装置还包括:
筛选模块,用于在所述基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目之前,判断所述第一真实数目是否满足预设筛选条件中任一项;
其中,所述预设筛选条件包括:所述第一真实数目位于第一真实数目区间内、所述第一真实数目位于第二真实数目区间内,以及所述第一真实数目小于预设阈值;所述第一真实数目区间的中心点为所述第一历史时间段对应的同比真实数目的均值,且所述第一真实数目区间的大小为:第三标准差的第三指定倍数;所述第三标准差为所述第一历史时间段对应的同比真实数目的标准差;所述第二真实数目区间的中心点为所述第一历史时间段对应的环比真实数目的均值,且所述第二真实数目区间的大小为:第四标准差的第四指定倍数;所述第四标准差为所述第一历史时间段对应的环比真实数目的标准差;
若否,则触发所述第一预测子模块。
在一些实施例中,所述装置还包括:
显示模块,用于若所述第一真实数目位于所述预测数目区间之外,则显示所述第一真实数目。
在本发明实施的第三方面,还提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一所述的业务检测方法。
在本发明实施的又一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述的业务检测方法。
在本发明实施的又一方面,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任一所述的业务检测方法。
本发明实施例提供了一种业务检测方法,该方法包括:获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目;基于第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目的变化趋势,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一预测数目;若第一真实数目位于预测数目区间之外,则确定目标业务在第一历史时间段内异常;其中,预测数目区间的中心点为基于第一预测数目确定的。
基于上述处理,第一预测数目是基于第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目的变化趋势预测得到的。且预测数目区间的中心点为基于第一预测数目确定的,因此,预测数目区间体现了第一历史时间段内针对目标业务存在风险的业务请求的数目在正常的变化趋势下的合理范围。当第一真实数目位于预测数目区间之外,则表明第一历史时间段内针对目标业务存在风险的业务请求的数目不符合正常的变化趋势,也就是说,第一历史时间段内存在针对目标业务的恶意攻击,进而,可以确定目标业务在第一历史时间段内异常。相对于相关技术,本申请是基于存在风险的业务请求的数目进行检测,存在风险的业务请求的数目相对于总的业务请求的数目来说,更能够体现业务是否异常。另外,由于考虑了第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目的变化趋势,因此,也就能避免未受到攻击的情况下,由于季节性、周期性的事件导致检测的结果不准确。进而,能够提高业务检测的准确度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1为本发明实施例提供的一种业务检测方法的流程图;
图2为本发明实施例提供的另一种业务检测方法的流程图;
图3为本发明实施例提供的又一种业务检测方法的流程图;
图4为本发明实施例提供的一种基于第一预测数目区间和第二预测数目区间进行检测的流程图;
图5为本发明实施例提供的再一种业务检测方法的流程图;
图6为本发明实施例提供的一种显示检测结果的效果图;
图7为本发明实施例提供的一种业务检测方法的系统框图;
图8为本发明实施例提供的一种业务检测装置的结构示意图;
图9为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行描述。
随着网络技术的发展,为用户提供服务的网络服务器能够提供多个业务。例如,针对某论坛,论坛的服务器需要为用户提供注册、登陆和搜索等业务。网络服务器维护自身的网络安全时,可以对接收到的针对各业务的业务请求进行统计,进而判断各业务是否异常。例如,当非法用户对某一业务进行攻击时,会导致该业务的业务请求在短时间内增大,进而,可以判断该业务异常。其中,上述非法用户的攻击行为也可以称为黑产攻击。
相关技术中,针对某一业务,当检测到针对该业务的业务请求的数目发生较大的变化时,表示该业务可能受到非法用户的攻击,则可以确定该业务异常。然而,针对某一业务,在未受到攻击的情况下,一些季节性、周期性的事件也会导致针对该业务的业务请求的数目发生较大的变化。
例如,网站的运营商为了提高用户量,会每隔一段时间,推出一系列吸引新用户的活动,使得在活动时间内,针对注册业务的业务请求的数目发生较大的变化。再例如,当有新的电影上映时,用户会在网站搜索该电影,此时,针对搜索业务的业务请求的数目也会在短时间内增大。
因此,基于相关技术对业务进行检测时,可能在周期性或是业务关联性事件导致针对该业务的业务请求的数目发生较大的变化的情况下,判定该业务异常,相应的,也就会导致业务的检测结果的准确度不高。
为了解决上述问题,本发明实施例提供了一种业务检测方法。该方法可以应用于电子设备。例如,电子设备可以为运营商提供的服务的网络服务器。该网络服务器能够与客户端网络互通,为用户提供所需业务。相应的,当用户需要请求某业务时,可以通过客户端向该网络服务器发送针对该业务的业务请求,该网络服务器在接收到客户端发送的业务请求后,可以向用户提供相应的服务。针对每一业务,网络服务器能够获取一个时间段内针对该业务的业务请求的数目,且能够确定其中存在风险的业务请求的数目,进而,也就可以基于本发明实施例提供的业务检测方法进行处理,确定在该时间段内该业务是否异常。或者,该电子设备也可以为除网络服务器以外的其他设备,该电子设备能够与网络服务器进行通信,以获取上述网络服务器接收到的业务请求,并基于发明实施例提供的业务检测方法进行处理,确定业务是否异常。
参见图1,图1为本发明实施例提供的一种业务检测方法的流程图,该方法可以包括以下步骤:
S101:获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目。
S102:基于第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目的变化趋势,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一预测数目。
S103:若第一真实数目位于预测数目区间之外,则确定目标业务在第一历史时间段内异常。
其中,预测数目区间的中心点为基于第一预测数目确定的。
基于上述处理,第一预测数目是基于第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目的变化趋势预测得到的。且预测数目区间的中心点为基于第一预测数目确定的,因此,预测数目区间体现了第一历史时间段内针对目标业务存在风险的业务请求的数目在正常的变化趋势下的合理范围。当第一真实数目位于预测数目区间之外,则表明第一历史时间段内针对目标业务存在风险的业务请求的数目不符合正常的变化趋势,也就是说,第一历史时间段内存在针对目标业务的恶意攻击,进而,可以确定目标业务在第一历史时间段内异常。相对于相关技术,本申请是基于存在风险的业务请求的数目进行检测,存在风险的业务请求的数目相对于总的业务请求的数目来说,更能够体现业务是否异常。另外,由于考虑了第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目的变化趋势,因此,也就能避免未受到攻击的情况下,由于季节性、周期性的事件导致检测的结果不准确。进而,能够提高业务检测的准确度。
针对步骤S101,目标业务可以为电子设备提供的所有业务中的任一业务。
电子设备可以基于预设的检测周期和检测时间段对业务进行检测。一个检测周期包含至少一个检测时间段。例如,检测周期的时长可以为1天(24小时),即从0点至24点,检测时间段的时长可以为1小时,也就是说,一个检测周期包含24个检测时间段。相应的,当达到一个检测时间段的结束时刻时,针对每一业务,电子设备可以基于该检测时间段内,针对该业务的业务请求的数目,对该业务进行检测,确定该业务在该检测时间段内是否异常。
第一历史时间段可以为当前时刻之前的任一检测时间段。
例如,第一历史时间段可以为以当前时刻为结束时刻的检测时间段。基于此,能够实现在每一检测时间段结束后,对业务在该检测时间段内的状态进行检测,进而,也就能够实现对业务的实时检测,提高检测的及时性。如,当前时刻为6点,检测时间段的时长为1小时,则第一历史时间段可以为5点至当前时刻(6点)。
在接收到用户发送的针对某一业务的业务请求后,可以获取业务请求中包含的信息,包括:业务线,端维度和时间戳等。其中,业务线表示该业务请求所属的业务的类型,例如,业务线可以为:注册业务、登陆业务或搜索业务等;端维度表示发送该业务请求的客户端类型,例如,端维度可以为:PC(Personal Computer)个人计算机端或移动端等;时间戳可以为用户发送该业务请求的发送时刻或电子设备接收到该业务请求的接收时刻。
在本申请中,针对某一业务的业务请求,也可以称为针对该业务的流量。电子设备在接收到任一业务请求后,可以判断该业务请求是否存在风险,即,对该业务请求的风险类型进行判断。例如,风险类型可以包括高风险流量类型、中风险流量类型和低风险流量类型。针对接收到的任一业务请求,能够获取该业务请求中携带的信息,例如,电话号码、客户端的IP(Internet Protocol,互联网协议)地址和客户端的设备型号等。相应的,电子设备可以基于预设的风险检测规则,对该业务请求进行检测。例如,针对电话号码,可以确定电话号码为真实号码或是虚拟号码;针对客户端的IP地址,可以获取该IP地址的所属地,判断该IP地址的所属地为海外地区或国内区域;针对客户端的设备型号,可以判断该业务请求中携带的客户端的设备型号是否为该电话号码对应的常用设备型号。针对上述每一项检测规则,可以基于检测结果,确定该项检测规则的风险评估值,进而,得到该业务请求对应的总的风险评估值。另外,确定该风险评估值所属的风险评估值范围,确定出该业务请求的风险类型。
例如,若风险类型包括高风险流量类型、中风险流量类型和低风险流量类型,则存在风险的业务请求可以包括:高风险流量类型和中风险流量类型的业务请求。
电子设备可以记录接收到的每一存在风险的业务请求的基本信息。例如,业务请求的基本信息可以包括:业务线,端维度,时间戳和风险类型。相应的,电子设备也就能够获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目。
针对步骤S102和步骤S103,第一历史时间段之前的其他历史时间段包含至少一个检测时间段。
本申请中,第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目,也可以称为第一参考数目。电子设备可以基于第一参考数目的变化趋势,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目(即第一预测数目)。具体地,将在后续实施例中详细说明。
在一些实施例中,电子设备可以基于预设的检测周期和检测时间段,确定用于计算第一预测数目的其他历史时间段内针对目标业务存在风险的业务请求的数目。参见图2,图2为本发明实施例提供的另一种业务检测方法的流程图,在图1的基础上,步骤S102,包括:
S1021:基于第一历史时间段对应的同比真实数目,和/或,第一历史时间段对应的环比真实数目,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一预测数目。
其中,第一历史时间段对应的同比真实数目表示:在第一历史时间段对应的各同比历史时间段内,针对目标业务存在风险的业务请求的数目;各同比历史时间段位于第一历史时间段所属的检测周期之前的其他检测周期内,且与第一历史时间段在各自所属的检测周期中的相对时序位置相同。
第一历史时间段对应的环比真实数目表示:在第一历史时间段对应的各环比历史时间段内,针对目标业务存在风险的业务请求的数目;各环比历史时间段位于第一历史时间段之前,且与第一历史时间段相邻。
第一历史时间段与对应的同比历史时间段分别位于不同检测周期,且在各自的检测周期中的相对时序位置相同。第一历史时间段对应的同比历史时间段的个数(T1)大于等于1。
例如,各同比历史时间段所属的检测周期与第一历史时间段所属的检测周期相邻。如,检测周期的时长为1天(24小时),即从0点至24点,检测时间段的时长为1小时,T1为2。若第一历史时间段为7月20日的3点至4点,则第一历史时间段对应的各同比历史时间段包括:7月19日的3点至4点和7月18日的3点至4点。第一历史时间段对应的同比真实数目包括:7月19日的3点至4点内,针对目标业务存在风险的业务请求的数目,以及7月18日的3点至4点内,针对目标业务存在风险的业务请求的数目。
第一历史时间段对应的环比历史时间段位于第一历史时间段之前,且与第一历史时间段相邻。第一历史时间段对应的环比历史时间段的个数(T2)大于等于1。
例如,检测周期的时长为1天(24小时),即从0点至24点,检测时间段的时长为1小时,T2为3。若第一历史时间段为7月20日的2点至3点,则第一历史时间段对应的各环比历史时间段包括:7月20日的1点至2点,7月20日的0点至1点,以及7月19日的23点至24点。第一历史时间段对应的环比真实数目包括:7月20日的1点至2点内,针对目标业务存在风险的业务请求的数目,7月20日的0点至1点内,针对目标业务存在风险的业务请求的数目,以及7月19日的23点至24点内,针对目标业务存在风险的业务请求的数目。
一种实现方式中,可以基于第一真实数目和第一历史时间段对应的同比真实数目,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目,得到第一预测数目,此时,第一预测数目可以为后文中的第一同比预测数目,预测数目区间的中心点可以为第一同比预测数目。
或者,也可以基于第一真实数目和第一历史时间段对应的环比真实数目,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目,得到第一预测数目,此时,第一预测数目可以为后文中的第一环比预测数目,预测数目区间的中心点可以为第一环比预测数目。
或者,也可以基于第一真实数目和第一历史时间段对应的同比真实数目,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目,得到第一同比预测数目,并基于第一真实数目和第一历史时间段对应的环比真实数目,计算第一历史时间段内,针对目标业务存在风险的业务请求的数目,得到第一环比预测数目。进而,结合第一同比预测数目和第一环比预测数目,得到第一预测数目。例如,第一预测数目包含第一同比预测数目和第一环比预测数目。或者,基于第一同比预测数目和第一环比预测数目进行计算,得到第一预测数目。如,第一预测数目可以为第一同比预测数目和第一环比预测数目的均值。
当第一预测数目包括第一同比预测数目和第一环比预测数目时,预测数目区间的中心点为基于第一同比预测数目和第一环比预测数目确定的,具体确定预测数目区间的中心点的过程将在后续实施例中详细介绍。
若第一真实数目位于预测数目区间之外,表明第一历史时间段内针对目标业务存在风险的业务请求不符合正常的变化趋势,也就是说,第一历史时间段内存在针对目标业务的恶意攻击,进而,可以确定目标业务在第一历史时间段内异常。
在一些实施例中,预测数目区间包括:第一预测数目区间和第二预测数目区间;第一预测数目包括:第一同比预测数目和第一环比预测数目。
第一预测数目区间的中心点表示:第一同比预测数目和各第二同比预测数目的平均水平;第一同比预测数目为:基于第一历史时间段对应的同比真实数目进行预测,得到的第一历史时间段内,针对目标业务存在风险的业务请求的数目;各第二同比预测数目为:预测得到的各同比历史时间段内,针对目标业务存在风险的业务请求的数目。
第二预测数目区间的中心点表示:第一环比预测数目和各第二环比预测数目的平均水平;第一环比预测数目为:基于第一历史时间段对应的环比真实数目进行预测,得到的第一历史时间段内,针对目标业务存在风险的业务请求的数目;各第二环比预测数目为:预测得到的各环比历史时间段内,针对目标业务存在风险的业务请求的数目。
相应的,如图3所示,图3为本发明实施例提供的又一种业务检测方法的流程图,在图2的基础上,步骤S103,包括:
S1031:若第一真实数目位于第一预测数目区间之外,且位于第二预测数目区间之外,则确定目标业务在第一历史时间段内异常。
一种实现方式中,电子设备可以得到第一历史时间段对应的各同比真实数目对应的拟合曲线,并确定该拟合曲线对应的函数,基于该函数计算第一历史时间段内,针对目标业务存在风险的业务请求的数目(即,第一同比预测数目)。
或者,电子设备可以计算第一历史时间段对应的同比真实数目的均值,将该均值作为第一同比预测数目。
再或,电子设备可以基于时间序列模型,得到第一同比预测数目,具体基于时间序列模型进行预测的过程,将在后续实施例中详细说明。
相应的,电子设备可以得到第一历史时间段对应的各环比真实数目对应的拟合曲线,并确定该拟合曲线对应的函数,基于该函数计算第一历史时间段内,针对目标业务存在风险的业务请求的数目(即,第一环比预测数目)。
或者,电子设备可以计算第一历史时间段对应的环比真实数目的均值,将该均值作为第一环比预测数目。
再或,电子设备可以基于时间序列模型,得到第一环比预测数目,具体基于时间序列模型进行预测的过程,将在后续实施例中详细说明。
第二同比预测数目的个数与第一历史时间段对应的同比历史时间段的个数(T1)一致。
例如,第一历史时间段为7月20日的3点至4点,第一历史时间段对应的各同比历史时间段包括:7月19日的3点至4点和7月18日的3点至4点,则第一同比预测数目表示计算得到的7月20日的3点至4点内,针对目标业务存在风险的业务请求的数目;第二同比预测数目包括:计算得到的7月19日的3点至4点内,针对目标业务存在风险的业务请求的数目,以及计算得到的7月18日的3点至4点内,针对目标业务存在风险的业务请求的数目。
相应的,第二环比预测数目的个数与第一历史时间段对应的环比历史时间段的个数(T2)一致。
例如,第一历史时间段为7月20日的2点至3点,第一历史时间段对应的各环比历史时间段包括:7月20日的1点至2点,7月20日的0点至1点,以及7月19日的23点至24点,则第一环比预测数目表示计算得到的7月20日的2点至3点内,针对目标业务存在风险的业务请求的数目;第二环比预测数目包括:计算得到的7月20日的1点至2点内,针对目标业务存在风险的业务请求的数目,计算得到的7月20日的0点至1点内,针对目标业务存在风险的业务请求的数目,以及计算得到的7月19日的23点至24点内,针对目标业务存在风险的业务请求的数目。
针对步骤S1031,若第一真实数目位于第一预测数目区间之外,表明第一历史时间段内针对目标业务存在风险的业务请求不符合正常的同比变化趋势。若第一真实数目位于第二预测数目区间之外,表明第一历史时间段内针对目标业务存在风险的业务请求不符合正常的环比变化趋势。
因此,若第一真实数目位于第一预测数目区间之外,且位于第二预测数目区间之外,表明第一真实数目既不符合正常的同比变化趋势,也不符合正常的环比变化趋势。也就说明,第一历史时间段内存在针对目标业务的恶意攻击,进而,可以确定目标业务在第一历史时间段内异常。
基于上述处理,基于第一历史时间段对应的同比真实数目对第一历史时间段内业务请求的数目进行预测,能够考虑到周期性的因素对业务检测结果产生的影响。基于第一历史时间段对应的环比真实数目对第一历史时间段内业务请求的数目进行预测,能够考虑到业务关联性的因素对业务检测结果产生的影响。进而,也就能提高业务检测的准确度。
在一些实施例中,电子设备确定第一预测数目区间和第二预测数目区间的中心点的方式有多种。具体地,电子设备可以参考下列方式中的任一种,确定第一预测数目区间和第二预测数目区间的中心点。
方式一:
电子设备可以预先设置第一同比预测数目和各第二同比预测数目的权重,计算第一同比预测数目和各第二同比预测数目的加权和的值,作为第一预测数目区间的中心点。或者,可以确定第一同比预测数目和各第二同比预测数目的中位数,作为第一预测数目区间的中心点。
同理,电子设备可以预先设置第一环比预测数目和各第二环比预测数目的权重,计算第一环比预测数目和各第二环比预测数目的加权和的值,作为第二预测数目区间的中心点。或者,可以确定第一同比预测数目和各第二同比预测数目的中位数,作为第二预测数目区间的中心点。
方式二:
第一预测数目区间的中心点为第一同比预测数目和各第二同比预测数目的均值,且第一预测数目区间的大小为:第一标准差的第一指定倍数。其中,第一标准差为第一同比预测数目和各第二同比预测数目的标准差。
和/或,第二预测数目区间的中心点为第一环比预测数目和各第二环比预测数目的均值,且第二预测数目区间的大小为:第二标准差的第二指定倍数。其中,第二标准差为第一环比预测数目和各第二环比预测数目的标准差。
电子设备可以计算第一同比预测数目和各第二同比预测数目的均值(μ1),作为第一预测数目区间的中心点。
另外,可以基于n-sigma准则确定第一预测数目区间的大小,即,计算第一同比预测数目和各第二同比预测数目的标准差(σ1)(即本申请中第一标准差),基于第一指定倍数与标准差的乘积确定第一预测数目区间的大小。第一预测数目区间可以表示为:[μ1-n1×σ1,μ1+n1×σ1]。其中,n1表示第一指定倍数的一半。例如,n1可以为2或者3。
同理,电子设备可以计算第一环比预测数目和各第二环比预测数目的均值(μ2),作为第一预测数目区间的中心点。
另外,可以基于n-sigma准则确定第二预测数目区间的大小,即,计算第一环比预测数目和各第二环比预测数目的标准差(σ2)(即本申请中第二标准差),基于第二指定倍数与标准差的乘积确定第二预测数目区间的大小。第二预测数目区间可以表示为:[μ2-n2×σ2,μ2+n2×σ2]。其中,n2表示第二指定倍数的一半。例如,n2可以为2或者3。
基于上述处理,能够基于n-sigma准则确定出第一预测数目区间和第二预测数目区间,后续,基于第一预测数目区间和第二预测数目区间判断目标业务在第一历史时间段内是否异常。能够筛除变化较小的第一真实数目,提高检测的准确度,减少误报情况。
如图4所示,图4为本发明实施例提供的一种基于第一预测数目区间和第二预测数目区间进行检测的流程图。
步骤S401:开始。
步骤S402:选择并获取目标数据。
即,获取第一历史时间段内,针对目标业务存在风险的业务请求的数目(即第一真实数目),第一历史时间段对应的同比真实数目,以及第一历史时间段对应的环比真实数目。
步骤S403:第一预测数目区间。
即,基于第一真实数目和第一历史时间段对应的同比真实数目,得到第一同比预测数目和各第二同比预测数目,进而,得到第一预测数目区间。
步骤S404:第二预测数目区间。
即,基于第一真实数目和第一历史时间段对应的环比真实数目,得到第一环比预测数目和各第二环比预测数目,进而,得到第二预测数目区间。
步骤S405:结合。
即判断第一真实数目是否位于第一预测数目区间之外,且位于第二预测数目区间之外。
若是,则确定目标业务在第一历史时间段内异常;若否,则确定目标业务在第一历史时间段内正常。
步骤S406:输出结果。
即,输出表示目标业务在第一历史时间段内是否异常的检测结果。
在一些实施例中,步骤S102,包括:
将第一历史时间段之前的其他历史时间段内,针对目标业务存在风险的业务请求的数目,输入至用于预测业务请求的数目的时间序列模型,得到第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一预测数目。
一种实现方式中,电子设备可以将第一参考数目和第一真实数目,输入至用于预测业务请求的数目的时间序列模型,得到第一历史时间段内针对目标业务存在风险的业务请求的预测值(即第一预测数目),以及第一历史时间段之前的其他历史时间段内针对目标业务存在风险的业务请求的预测值。
例如,用于预测业务请求的数目的时间序列模型可以为EWMA(ExponentiallyWeighted Moving Average,指数加权移动平均)模型,或ARIMA(AutoregressiveIntegrated Moving Average,自回归移动平均)模型。
如此,可以通过时间序列模型得到第一预测数目,能够提高检测的准确度。
在一些实施例中,步骤S1021,包括:
步骤1:基于第一真实数目,以及第一历史时间段对应的同比真实数目进行预测,得到第一同比预测数目和各第二同比预测数目。
步骤2:基于第一真实数目,以及第一历史时间段对应的环比真实数目进行预测,得到第一环比预测数目和各第二环比预测数目。
一种实现方式中,电子设备可以将第一历史时间段对应的同比真实数目,以及第一真实数目,输入至用于预测业务请求的数目的时间序列模型(即第一时间序列模型),得到第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一同比预测数目,以及各同比历史时间段内,针对目标业务存在风险的业务请求的数目,作为第二同比预测数目。
相应的,电子设备第一历史时间段对应的环比真实数目,以及第一真实数目,输入至用于预测业务请求的数目的时间序列模型(即第二时间序列模型),得到第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一环比预测数目,以及各环比历史时间段内,针对目标业务存在风险的业务请求的数目,作为第二环比预测数目。
例如,第一时间序列模型可以为EWMA模型,或ARIMA模型。第二时间序列模型也可以为EWMA模型,或ARIMA模型。
电子设备可以将第一历史时间段对应的同比真实数目,以及第一真实数目,输入至EWMA模型,并设置EWMA模型中的权重参数α1(衰减因子)和span1(跨度),比较各同比真实数目所属的同比历史时间段与第一历史时间段的时间距离,对各同比真实数目的权重进行调整。
相应的,可以将第一历史时间段对应的环比真实数目,以及第一真实数目,输入至EWMA模型,并设置EWMA模型中的权重参数α2(衰减因子)和span2(跨度),比较各环比真实数目所属的环比历史时间段与第一历史时间段的时间距离,对各环比真实数目的权重进行调整。
基于上述处理,可以通过EWMA模型得到目标业务在第一历史时间段、第一历史时间段对应的各同比历史时间段,以及第一历史时间段对应的各环比历史时间段内的业务请求的数目。通过设置EWMA模型中的参数,提高距离第一历史时间段较近的检测时间段的权重,能够对短时间内突发的存在风险的业务请求的变化进行捕捉,提高检测的准确度。
在一些实施例中,如图5所示,图5为本发明实施例提供的再一种业务检测方法的流程图,在图2的基础上,在步骤S1021之前,该方法还包括:
S104:判断第一真实数目是否满足预设筛选条件中任一项;若否,则执行步骤S1021。
其中,预设筛选条件包括:第一真实数目位于第一真实数目区间内、第一真实数目位于第二真实数目区间内,以及第一真实数目小于预设阈值。
第一真实数目区间的中心点为第一历史时间段对应的同比真实数目的均值,且第一真实数目区间的大小为:第三标准差的第三指定倍数;第三标准差为第一历史时间段对应的同比真实数目的标准差。
第二真实数目区间的中心点为第一历史时间段对应的环比真实数目的均值,且第二真实数目区间的大小为:第四标准差的第四指定倍数;第四标准差为第一历史时间段对应的环比真实数目的标准差。
基于第一真实数目和各同比真实数目,得到第一真实数目区间的方式与上述基于第一同比预测数目和各第二同比预测数目,得到第一预测数目区间的方式一致。
相应的,基于第一真实数目和各环比真实数目,得到第二真实数目区间的方式也与上述基于第一同比预测数目和各第二同比预测数目,得到第一预测数目区间的方式一致。
第一真实数目位于第一真实数目区间内,表明第一历史时间段内针对目标业务存在风险的业务请求符合正常的同比变化趋势,进而,可以确定目标业务在第一历史时间段内正常。
同理,第一真实数目位于第二真实数目区间内,表明第一历史时间段内针对目标业务存在风险的业务请求符合正常的环比变化趋势,进而,可以确定目标业务在第一历史时间段内正常。
预设阈值为技术人员根据业务需求预先设置的。由于在受到非法攻击时,产生的存在风险的业务请求较大,因此,若第一真实数目小于预设阈值,表明该第一真实数目的量级较小,也就表明目标业务在第一历史时间段内正常。
若第一真实数目不满足预设筛选条件中任一项,表明需要基于上述步骤S102-S103对目标业务进行进一步检测。
基于上述处理,能够基于第一历史时间段对应的同比真实数目,和第一历史时间段对应的环比真实数目,对目标业务在不同检测时间段的第一真实数目进行初步筛选。另外,能够对小量级的存在风险的业务请求进行筛选。若第一真实数目符合正常的同比变化趋势或环比变化趋势,再或第一真实数目的值较少,则不需要再计算第一历史时间段内的针对目标业务存在风险的业务请求的数目。也就能够减少计算量,降低计算成本。
在一些实施例中,该方法还包括:
若第一真实数目位于预测数目区间之外,则显示第一真实数目。
第一真实数目位于预测数目区间之外,即目标业务在第一历史时间段内异常。进而,电子设备显示第一真实数目,或者,也可以显示第一真实数目和第一预测数目。例如,电子设备可以通过可视化图表进行显示,或者,也可以通过邮件、报警等方式向维护人员发送目标业务在第一历史时间段内的第一真实数目。
基于上述处理,当检测到目标业务在第一历史时间段内异常时,能够以可视化的方式进行告警,以使相关技术人员能更好分析异常情况和造成异常的原因。后续,可以优化相关的防控策略,完善风险防控体系。
如图6所示,图6为本发明实施例提供的一种显示检测结果的效果图。
图6中,横轴表示检测时间,纵轴表示业务请求的数目。不带圆点的折线表示不同检测时间段内,针对目标业务存在风险的业务请求的数目,带圆点的折线表示在每一检测时间段的结束时刻,基于上述步骤S101-S102计算得到的第一预测数目。圆点表示目标业务在该检测时间段内异常。
如图7所示,图7为本发明实施例提供的一种业务检测方法的系统框图。
步骤S701:在流量数据库中记录。
即,电子设备可以在流量数据库中记录历史时间段内的各业务的业务请求。
步骤S702:获取当前时段高风险流量信息。
即,能够对流量数据库中的数据进行小时级计算,获取当前的检测时间段内,接收到的业务请求的数目(即本申请中第一真实数目),以及每一业务请求的基本信息。
步骤S703:写入高风险流量表A。
即,将上述当前时段内,风险类型为高风险流量的业务请求的基本信息写入高风险流量表A中。高风险流量表A中可以记录存在风险的业务请求的基本信息。例如,业务线,端维度,时间戳和风险类型。
步骤S704:获取同比数据。
即,获取当前的检测时间段对应的同比真实数目。
步骤S705:获取环比数据。
即,获取当前的检测时间段对应的环比真实数目。
上述步骤S701-S705,可以表示对数据进行获取与存储的过程。
步骤S706:过滤不必要预测流量。
即,判断第一真实数目是否满足本申请中预设筛选条件中任一项。预设筛选条件包括:第一真实数目位于第一真实数目区间内、第一真实数目位于第二真实数目区间内,以及第一真实数目小于预设阈值。
若第一真实数目满足预设筛选条件中任一项,则表示目标业务在当前的检测时间段内正常;
若第一真实数目不满足预设筛选条件中任一项,则表示目标业务在当前的检测时间段内可能异常,电子设备可以执行步骤S707以判断目标业务在当前的检测时间段内是否异常。
步骤S707:输入EWMA模型。
步骤S708:得到最近T个预测值。
即,将第一真实数目,以及当前的检测时间段对应的同比真实数目,输入至EWMA模型中,得到当前的检测时间段内,针对目标业务存在风险的业务请求的数目,作为第一同比预测数目,以及各同比历史时间段内,针对目标业务存在风险的业务请求的数目,作为第二同比预测数目。
将第一真实数目,以及当前的检测时间段对应的环比真实数目,输入至EWMA模型中,得到当前的检测时间段内,针对目标业务存在风险的业务请求的数目,作为第一环比预测数目,以及各环比历史时间段内,针对目标业务存在风险的业务请求的数目,作为第二环比预测数目。
上述步骤S706-S708,可以表示基于EWMA模型进行训练和预测的过程。
步骤S709:判断是否超出nσ范围。
即,基于n-sigma准则,对上述第一同比预测数目和第二同比预测数目进行处理,得到第一预测数目区间;基于n-sigma准则,对上述第一环比预测数目和第二环比预测数目进行处理,得到第二预测数目区间。
判断第一真实数目是否位于第一预测数目区间之外,且位于第二预测数目区间之外。若是,执行步骤S710;若否,执行步骤S711。
步骤S710:确定异常点。
即,确定目标业务在当前的检测时间段内异常,并执行步骤S712。
步骤S711:结束。
即,目标业务在当前的检测时间段内正常。
步骤S712:写入高风险异常流量表B。
即,将第一真实数目对应的业务请求的基本信息写入高风险异常流量表B。
步骤S713:报警。
即,显示第一真实数目。
上述步骤S709-S713,可以表示对目标业务进行异常判断的过程。
本发明实施例还提供了一种业务检测装置,参见图8,图8为本发明实施例提供的一种业务检测装置的结构示意图,该装置包括:
第一真实数目获取模块801,用于获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目;
第一预测数目获取模块802,用于基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
异常检测模块803,用于若所述第一真实数目位于预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常;其中,所述预测数目区间的中心点为基于所述第一预测数目确定的。
在一些实施例中,所述第一预测数目获取模块802,包括:
第一预测子模块,用于基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
其中,所述第一历史时间段对应的同比真实数目表示:在所述第一历史时间段对应的各同比历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各同比历史时间段位于所述第一历史时间段所属的检测周期之前的其他检测周期内,且与所述第一历史时间段在各自所属的检测周期中的相对时序位置相同;
所述第一历史时间段对应的环比真实数目表示:在所述第一历史时间段对应的各环比历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各环比历史时间段位于所述第一历史时间段之前,且与所述第一历史时间段相邻。
在一些实施例中,所述预测数目区间包括:第一预测数目区间和第二预测数目区间;所述第一预测数目包括:第一同比预测数目和第一环比预测数目;
所述第一预测数目区间的中心点表示:所述第一同比预测数目和各第二同比预测数目的平均水平;所述第一同比预测数目为:基于所述第一历史时间段对应的同比真实数目进行预测,得到的所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各第二同比预测数目为:预测得到的所述各同比历史时间段内,针对所述目标业务存在风险的业务请求的数目;
所述第二预测数目区间的中心点表示:所述第一环比预测数目和各第二环比预测数目的平均水平;所述第一环比预测数目为:基于所述第一历史时间段对应的环比真实数目进行预测,得到的所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各第二环比预测数目为:预测得到的所述各环比历史时间段内,针对所述目标业务存在风险的业务请求的数目;
所述异常检测模块803,具体用于:若所述第一真实数目位于第一预测数目区间之外,且位于第二预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常。
在一些实施例中,所述第一预测数目区间的中心点为所述第一同比预测数目和所述各第二同比预测数目的均值,且所述第一预测数目区间的大小为:第一标准差的第一指定倍数;其中,所述第一标准差为所述第一同比预测数目和所述各第二同比预测数目的标准差;
和/或,所述第二预测数目区间的中心点为所述第一环比预测数目和所述各第二环比预测数目的均值,且所述第二预测数目区间的大小为:第二标准差的第二指定倍数;其中,所述第二标准差为所述第一环比预测数目和所述各第二环比预测数目的标准差。
在一些实施例中,所述第一预测子模块,包括:
第一预测单元,用于基于所述第一真实数目,以及所述第一历史时间段对应的同比真实数目进行预测,得到所述第一同比预测数目和所述各第二同比预测数目;
第二预测单元,用于基于所述第一真实数目,以及所述第一历史时间段对应的环比真实数目进行预测,得到所述第一环比预测数目和所述各第二环比预测数目。
在一些实施例中,所述第一预测数目获取模块802,具体用于:
将所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目,输入至用于预测业务请求的数目的时间序列模型,得到所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目。
在一些实施例中,所述装置还包括:
筛选模块,用于在所述基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目之前,判断所述第一真实数目是否满足预设筛选条件中任一项;
其中,所述预设筛选条件包括:所述第一真实数目位于第一真实数目区间内、所述第一真实数目位于第二真实数目区间内,以及所述第一真实数目小于预设阈值;所述第一真实数目区间的中心点为所述第一历史时间段对应的同比真实数目的均值,且所述第一真实数目区间的大小为:第三标准差的第三指定倍数;所述第三标准差为所述第一历史时间段对应的同比真实数目的标准差;所述第二真实数目区间的中心点为所述第一历史时间段对应的环比真实数目的均值,且所述第二真实数目区间的大小为:第四标准差的第四指定倍数;所述第四标准差为所述第一历史时间段对应的环比真实数目的标准差;
若否,则触发所述第一预测子模块。
在一些实施例中,所述装置还包括:
显示模块,用于若所述第一真实数目位于所述预测数目区间之外,则显示所述第一真实数目。
本发明实施例还提供了一种电子设备,如图9所示,包括处理器901、通信接口902、存储器903和通信总线904,其中,处理器901,通信接口902,存储器903通过通信总线904完成相互间的通信,
存储器903,用于存放计算机程序;
处理器901,用于执行存储器903上所存放的程序时,实现上述任一所述的业务检测方法。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述实施例中任一所述的业务检测方法。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的业务检测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机可读存储介质,以及计算机程序产品实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (11)
1.一种业务检测方法,其特征在于,所述方法包括:
获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目;
基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
若所述第一真实数目位于预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常;其中,所述预测数目区间的中心点为基于所述第一预测数目确定的。
2.根据权利要求1所述的方法,其特征在于,所述基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目,包括:
基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
其中,所述第一历史时间段对应的同比真实数目表示:在所述第一历史时间段对应的各同比历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各同比历史时间段位于所述第一历史时间段所属的检测周期之前的其他检测周期内,且与所述第一历史时间段在各自所属的检测周期中的相对时序位置相同;
所述第一历史时间段对应的环比真实数目表示:在所述第一历史时间段对应的各环比历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各环比历史时间段位于所述第一历史时间段之前,且与所述第一历史时间段相邻。
3.根据权利要求2所述的方法,其特征在于,所述预测数目区间包括:第一预测数目区间和第二预测数目区间;所述第一预测数目包括:第一同比预测数目和第一环比预测数目;
所述第一预测数目区间的中心点表示:所述第一同比预测数目和各第二同比预测数目的平均水平;所述第一同比预测数目为:基于所述第一历史时间段对应的同比真实数目进行预测,得到的所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各第二同比预测数目为:预测得到的所述各同比历史时间段内,针对所述目标业务存在风险的业务请求的数目;
所述第二预测数目区间的中心点表示:所述第一环比预测数目和各第二环比预测数目的平均水平;所述第一环比预测数目为:基于所述第一历史时间段对应的环比真实数目进行预测,得到的所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目;所述各第二环比预测数目为:预测得到的所述各环比历史时间段内,针对所述目标业务存在风险的业务请求的数目;
所述若所述第一真实数目位于预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常,包括:
若所述第一真实数目位于第一预测数目区间之外,且位于第二预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常。
4.根据权利要求3所述的方法,其特征在于,所述第一预测数目区间的中心点为所述第一同比预测数目和所述各第二同比预测数目的均值,且所述第一预测数目区间的大小为:第一标准差的第一指定倍数;其中,所述第一标准差为所述第一同比预测数目和所述各第二同比预测数目的标准差;
和/或,所述第二预测数目区间的中心点为所述第一环比预测数目和所述各第二环比预测数目的均值,且所述第二预测数目区间的大小为:第二标准差的第二指定倍数;其中,所述第二标准差为所述第一环比预测数目和所述各第二环比预测数目的标准差。
5.根据权利要求3所述的方法,其特征在于,所述基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目,包括:
基于所述第一真实数目,以及所述第一历史时间段对应的同比真实数目进行预测,得到所述第一同比预测数目和所述各第二同比预测数目;
基于所述第一真实数目,以及所述第一历史时间段对应的环比真实数目进行预测,得到所述第一环比预测数目和所述各第二环比预测数目。
6.根据权利要求1所述的方法,其特征在于,所述基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目,包括:
将所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目,输入至用于预测业务请求的数目的时间序列模型,得到所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目。
7.根据权利要求2所述的方法,其特征在于,在所述基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目之前,所述方法还包括:
判断所述第一真实数目是否满足预设筛选条件中任一项;
其中,所述预设筛选条件包括:所述第一真实数目位于第一真实数目区间内、所述第一真实数目位于第二真实数目区间内,以及所述第一真实数目小于预设阈值;所述第一真实数目区间的中心点为所述第一历史时间段对应的同比真实数目的均值,且所述第一真实数目区间的大小为:第三标准差的第三指定倍数;所述第三标准差为所述第一历史时间段对应的同比真实数目的标准差;所述第二真实数目区间的中心点为所述第一历史时间段对应的环比真实数目的均值,且所述第二真实数目区间的大小为:第四标准差的第四指定倍数;所述第四标准差为所述第一历史时间段对应的环比真实数目的标准差;
若否,则执行所述基于所述第一历史时间段对应的同比真实数目,和/或,所述第一历史时间段对应的环比真实数目,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目的步骤。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述第一真实数目位于所述预测数目区间之外,则显示所述第一真实数目。
9.一种业务检测装置,其特征在于,所述装置包括:
第一真实数目获取模块,用于获取第一历史时间段内,针对目标业务存在风险的业务请求的数目,作为第一真实数目;
第一预测数目获取模块,用于基于所述第一历史时间段之前的其他历史时间段内,针对所述目标业务存在风险的业务请求的数目的变化趋势,计算所述第一历史时间段内,针对所述目标业务存在风险的业务请求的数目,作为第一预测数目;
异常检测模块,用于若所述第一真实数目位于预测数目区间之外,则确定所述目标业务在所述第一历史时间段内异常;其中,所述预测数目区间的中心点为基于所述第一预测数目确定的。
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-8任一所述的方法步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-8任一所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310056884.1A CN116055196A (zh) | 2023-01-16 | 2023-01-16 | 一种业务检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310056884.1A CN116055196A (zh) | 2023-01-16 | 2023-01-16 | 一种业务检测方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116055196A true CN116055196A (zh) | 2023-05-02 |
Family
ID=86116167
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310056884.1A Pending CN116055196A (zh) | 2023-01-16 | 2023-01-16 | 一种业务检测方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116055196A (zh) |
-
2023
- 2023-01-16 CN CN202310056884.1A patent/CN116055196A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11848966B2 (en) | Parametric analysis of integrated operational technology systems and information technology systems | |
US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
US8191149B2 (en) | System and method for predicting cyber threat | |
CN109729094B (zh) | 恶意攻击检测方法、系统、计算机装置及可读存储介质 | |
CN108429651A (zh) | 流量数据检测方法、装置、电子设备及计算机可读介质 | |
CN111193728B (zh) | 网络安全评估方法、装置、设备及存储介质 | |
KR100892415B1 (ko) | 사이버위협 예보 시스템 및 방법 | |
CN107305611B (zh) | 恶意账号对应的模型建立方法和装置、恶意账号识别的方法和装置 | |
CN107748790B (zh) | 一种线上服务系统、数据加载方法、装置及设备 | |
CN109428857B (zh) | 一种恶意探测行为的检测方法和装置 | |
CN109067794B (zh) | 一种网络行为的检测方法和装置 | |
CN115190108B (zh) | 一种检测被监控设备的方法、装置、介质及电子设备 | |
CN107306200B (zh) | 网络故障预警方法和用于网络故障预警的网关 | |
CN111740865B (zh) | 一种流量波动趋势预测方法、装置及电子设备 | |
CN114338372A (zh) | 网络信息安全监控方法及系统 | |
CN114301800A (zh) | 一种网络设备质差分析方法及装置 | |
CN110971435A (zh) | 一种报警方法及装置 | |
KR101959213B1 (ko) | 침해 사고 예측 방법 및 그 장치 | |
CN110443451B (zh) | 事件定级方法、装置、计算机设备和存储介质 | |
CN116055196A (zh) | 一种业务检测方法、装置、电子设备及存储介质 | |
CN113079153B (zh) | 网络攻击类型的预测方法、装置及存储介质 | |
CN113239407B (zh) | 区块链决策点的选择方法、装置、电子设备及存储介质 | |
Fatkieva | Systems of Information Security Indicators for Industrial Enterprises | |
CN112988504A (zh) | 一种报警策略的设定方法、装置、电子设备及存储介质 | |
CN115587374B (zh) | 一种基于信任值的动态访问控制方法及其控制系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |