[发明专利]异常流量检测方法、装置及电子设备

权利要求书

1.一种异常流量检测方法，其特征在于，包括：

获取待检测流量的指标数据，所述指标数据包括源IP地址、目的IP地址和通信时间中的一种或多种；

根据所述指标数据和预先建立的流量数据库中存储的指标统计信息，确定所述待检测流量对应的目标流量特征；

根据所述目标流量特征和预先建立的异常检测模型，确定所述待检测流量的异常检测结果；

所述异常检测模型包括与所述源IP地址对应的异常概率模型；所述根据所述目标流量特征和预先建立的异常检测模型，确定所述待检测流量的异常检测结果，包括：

将所述目标流量特征输入与所述源IP地址对应的异常概率模型中，得到所述目标流量特征对应的概率值；

根据所述目标流量特征对应的概率值确定所述待检测流量的异常检测结果。

2.根据权利要求1所述的方法，其特征在于，所述指标数据包括源IP地址、目的IP地址、通信时间和目的端口号，所述指标统计信息包括所述待检测流量的上一个流量对应的目标指标的统计信息；

所述根据所述指标数据和预先建立的流量数据库中存储的指标统计信息，确定所述待检测流量对应的目标流量特征，包括：

从预先建立的流量数据库中存储的指标统计信息中提取所述上一个流量对应的目标指标的统计信息，并将提取到的统计信息作为所述待检测流量对应的基础统计信息；其中，所述目标指标包括所述源IP地址、所述目的IP地址、所述源IP地址和所述目的IP地址的组合以及所述目的端口号；所述基础统计信息包括预设时间段内具有所述源IP地址的第一流量数量、所述预设时间段内具有所述目的IP地址的第二流量数量、所述预设时间段内具有所述源IP地址和所述目的IP地址的第三流量数量、以及所述预设时间段内具有所述目的端口号的第四流量数量；

根据所述通信时间确定所述待检测流量与所述上一个流量的差异检测时间段；

获取所述差异检测时间段内所述目标指标的统计信息，并将获取到的统计信息作为差异统计信息；

根据所述基础统计信息和所述差异统计信息确定所述待检测流量对应的目标流量特征。

3.根据权利要求2所述的方法，其特征在于，所述指标数据还包括通信输入包的大小和通信输入包的数量；所述根据所述基础统计信息和所述差异统计信息确定所述待检测流量对应的目标流量特征，包括：

将相同所述目标指标的所述基础统计信息和所述差异统计信息进行求和或求差运算，得到所述待检测流量对应的目标统计信息；

将所述目标统计信息、所述通信输入包的大小、所述通信输入包的数量和所述通信时间的小时数确定为所述待检测流量对应的目标流量特征。

4.根据权利要求1所述的方法，其特征在于，所述指标数据包括源IP地址、目的IP地址、通信时间、目的端口号、通信输入包的大小和通信输入包的数量，所述指标统计信息包括预设的多个自然时间段内目标指标的统计信息；

所述根据所述指标数据和预先建立的流量数据库中存储的指标统计信息，确定所述待检测流量对应的目标流量特征，包括：

根据所述通信时间确定所述待检测流量所属的目标自然时间段；

从预先建立的流量数据库中存储的指标统计信息中提取所述目标自然时间段内目标指标的统计信息，并将提取到的统计信息作为所述待检测流量对应的目标统计信息；其中，所述目标指标包括所述源IP地址、所述目的IP地址、所述源IP地址和所述目的IP地址的组合以及所述目的端口号；

将所述目标统计信息、所述通信输入包的大小、所述通信输入包的数量和所述通信时间的小时数确定为所述待检测流量对应的目标流量特征。

5.根据权利要求1所述的方法，其特征在于，所述根据所述目标流量特征对应的概率值确定所述待检测流量的异常检测结果，包括：

通过以下公式计算所述待检测流量的异常得分：

其中，score(x)表示待检测流量的异常得分，M表示所述目标流量特征的数量，w_i表示编号为i的目标流量特征对应的权重，p(x⁽ⁱ⁾)表示待检测流量的编号为i的目标流量特征对应的概率值；

通过比较所述异常得分与预设的得分阈值的大小关系，确定所述待检测流量的异常检测结果。