本申请涉及计算机技术领域,具体而言,涉及一种异常流量检测方法、装置、电子设备及存储介质。
背景技术:
基于互联网技术传播信息时,有些用户为了提高信息的传播度,会重复地访问某一条信息,造成该条信息的访问量统计结果不准确,并且,占用统计资源,造成资源的浪费,比如,“刷单”、“异常流量”等异常访问现象。
现阶段,检测异常访问流量的方式为:根据搜集到的异常访问流量具备的特征,人工定期对异常流量进行筛查。
但是,该种检测方法耗费大量的人力资源,造成人力资源的浪费,并且,人工筛查的周期较长,异常流量检测的效率较低。
技术实现要素:
有鉴于此,本申请实施例的目的在于提供一种异常流量检测方法、装置、电子设备及存储介质,使用服务器对异常访问流量进行检测,提高了检测效率。
第一方面,本申请实施例提供了一种异常流量检测方法,所述方法包括:
获取第一预设时间段内目标对象对应的至少一条访问流量;其中,每条所述访问流量包括用户标识和访问时间;
根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值;
根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值;
基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量。
在一种可能的实施方式中,在所述从所述至少一条访问流量中选取异常访问流量之后,所述方法还包括:
基于所述至少一条访问流量中除所述异常访问流量之外的其他访问流量,生成所述目标对象对应的服务信息。
在一种可能的实施方式中,在所述从所述至少一条访问流量中选取异常访问流量之后,所述方法还包括:
在第二预设时间段内暂停响应所述异常访问流量包括的用户标识对应的终端设备针对所述目标对象发送的访问请求。
在一种可能的实施方式中,所述根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值,包括:
针对所述第一预设时间段包括的每个子时间段,根据每个所述用户标识对应的用户针对所述目标对象的所述访问时间,确定每个所述子时间段内每个所述用户标识对应的用户针对所述目标对象的访问次数;
针对每一个用户标识,根据每个所述子时间段内所述用户标识对应的用户针对所述目标对象的访问次数,得到所述用户标识对应的第一访问分值。
在一种可能的实施方式中,所述根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值,包括:
根据每一条所述访问流量对应的流量特征、该条访问流量包括的用户标识对应的第一访问分值以及该条访问流量包括的用户标识在每个所述子时间段内针对所述目标对象的访问次数,得到每一条所述访问流量对应的第二访问分值。
在一种可能的实施方式中,所述访问流量对应的流量特征包括第一流量特征和第二流量特征,通过如下方法确定所述流量特征:
获取所述访问流量对应的第一候选特征,根据所述第一候选特征和所述第一流量特征之间的映射关系,确定所述访问流量对应的第一流量特征;
获取所述访问流量对应的第二候选特征,根据对应有所述第二候选特征的所述访问流量的个数,确定所述访问流量对应的第二流量特征。
在一种可能的实施方式中,所述基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量,包括:
若所述访问流量对应的第二访问分值大于预设阈值,则将该访问流量确定为所述异常访问流量。
第二方面,本申请实施例提供了一种异常流量检测装置,所述装置包括:
第一获取模块,用于获取第一预设时间段内目标对象对应的至少一条访问流量;其中,每条所述访问流量包括用户标识和访问时间;
第一确定模块,用于根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值;
第二确定模块,用于根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值;
选取模块,用于基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量。
第三方面,本申请实施例提供了一种电子设备,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述处理器执行所述机器可读指令,以执行第一方面任一项所述的异常流量检测方法的步骤。
第四方面,本申请实施例提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行第一方面任一项所述的异常流量检测方法的步骤。
本申请实施例提供的异常流量检测方法、装置、电子设备及存储介质,根据访问流量的访问时间确定用户标识对应的第一访问分值,第一访问分值作为新的特征,与访问流量的流量特征确定访问流量的第二访问分值,根据第二访问分值从访问流量中查找异常访问流量,与现有技术中人工定期对异常访问流量进行筛查相比,使用服务器对异常访问流量进行检测,提高了检测效率。
进一步,本申请实施例提供的异常流量检测方法、装置、电子设备及存储介质,无需对异常访问流量的特征进行标注,当异常访问流量的特征发生变化时,不会影响检测结果的准确性,该种检测方法的适应性更强,保证了检测结果的准确性。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本申请实施例提供的一种异常流量检测方法的流程图;
图2示出了本申请实施例提供的异常流量检测方法中,确定第一访问分值的方法的流程图;
图3示出了本申请实施例提供的一种异常流量检测装置的结构示意图;
图4示出了本申请实施例提供的一种电子设备的示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
现阶段,对异常访问流量进行检测时,通常根据搜集到的异常访问流量的特征,人工定期对异常访问流量进行筛查。比如,将每小时内访问次数大于预设阈值、夜间访问次数与白天访问次数的差值大于预设阈值或者在凌晨访问次数大于预设阈值的访问流量确定为异常访问流量。
但是,这种检测方法耗费大量的人力资源,造成人力资源的浪费,并且,人工筛查的周期较长,异常访问流量检测的效率较低。
基于上述问题,本申请实施例提供了一种异常流量检测方法、装置、电子设备及存储介质,服务器根据访问流量的访问时间确定用户标识对应的第一访问分值,第一访问分值作为新的特征,与访问流量的流量特征确定访问流量的第二访问分值,根据第二访问分值从访问流量中查找异常访问流量,使用服务器对异常访问流量进行检测,提高了检测效率。
针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本申请针对上述问题所提出的解决方案,都应该是发明人在本申请过程中对本申请做出的贡献。
下面将结合本申请中附图,对本申请中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
为便于对本实施例进行理解,首先对本申请实施例所公开的一种异常流量检测方法进行详细介绍。
参见图1所示,图1为本申请实施例提供的异常流量检测方法的流程图,该方法具体包括以下步骤:
s101、获取第一预设时间段内目标对象对应的至少一条访问流量;其中,每条所述访问流量包括用户标识和访问时间。
本申请实施例中,用户基于终端设备对目标对象进行访问时,会生成针对目标对象的访问流量,每访问一次目标对象,就生成一条针对目标对象的访问流量,每条访问流量至少包括用户标识和访问时间。获取访问时间处于第一预设时间段内的针对目标对象的访问流量,比如,获取访问时间介于2010年1月1日零点至2010年1月2日零点时间范围内的针对目标对象的访问流量,符合条件的访问流量可能是一条也可能是多条。
其中,目标对象可以是任一在互联网中传播的信息,比如,视频、图片、文字,这里不对目标对象进行限定。
这里,服务器可以周期性地获取目标对象对应的访问流量,第一预设时间段的长度等于获取访问流量的周期,比如,每隔一天获取一次针对目标对象的访问流量,对这一天内的访问流量进行检测,此时,第一预设时间段的长度等于一天。
s102、根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值。
本申请实施例中,用户基于同一访问标识可以对目标对象进行多次访问,即每个用户标识可以对应多个访问时间,以用户标识作为检测对象,用户标识对应的多个访问时间作为待检测的特征,确定每个用户标识对应的第一访问分值。
这里,根据每个用户标识对应的多个访问时间与其他用户标识对应的多个访问时间的相似程度,确定该用户标识对应的第一访问分值,如果相似程度高,则第一访问分值小,如果相似程度低,则第一访问分值大。
举例来讲,访问标识一对应的访问时间分别为:09:30、11:30;访问标识二对应的访问时间分别为:10:50、13:30;访问标识三对应的访问时间分别为:02:01、02:02、02:03、02:04;访问标识一和访问标识二对应的访问时间均位于09:00-14:00时间段内,而访问标识三对应的访问时间位于02:00-03:00时间段内,访问标识一与访问标识二对应的访问时间的相似度较高,而访问时间三与访问标识一(访问标识二)对应的访问时间的相似度较低,则访问时间三对应的第一访问分值大于访问标识一(访问标识二)对应的第一访问分值。
s103、根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值。
本申请实施例中,访问流量作为检测对象,每条访问流量对应的流量特征和第一访问分值作为待检测的特征,确定每个访问流量对应的第二访问分值。
其中,流量特征可以是以下特征中的一种或多种:终端设备类型、终端设备系统、网络类型、在第一预设时间段内针对目标对象的访问次数、在第一预设时间段内位置信息出现的次数等。
在一种可能的实施方式中,流量特征是数值类特征,比如,访问流量一对应的流量特征为:010(台式电脑)、0010(安卓)、01(wifi)、25(在第一预设时间段内针对目标对象的访问次数),0.7(第一访问分值),访问流量一对应的特征向量为(0,1,0,0,0,1,0,0,1,2,5,0.7)。
在一种可能的实施方式中,基于孤立森林算法确定访问流量对应的第二访问分值,具体步骤包括:
(1)x={x1,……,xn}为目标对象对应的n条访问流量,每条访问流量xi对应有d个维度的特征,即xi=(xi1,……,xid),从x中随机抽取ψ条访问流量,构成子集x1,放入根节点。
这里,维度个数d等于流量特征的个数加一(第一访问分值),ψ是一个随机数,并且0≤ψ<n。
(2)从d个维度中随机指定一个维度q,在维度q对应的多个流量特征中随机产生一个割点p,并且min(xij,j=q,xij∈x1)<p<max(xij,j=q,xij∈x1)。
这里,xij为(xi1,……,xid)中的任一个特征。
比如,维度q对应的是网络类型,网络类型包括:0001(ios)、0010(安卓)、0100(windowsphone)、1000(其他),随机指定维度q(网络类型)对应的割点p为0010(安卓);或者,维度q对应的是第一访问分值,假定第一访问分值的最大值为1,最小值为0,随机指定维度q(第一访问分值)对应的割点p为0.6。
(3)割点p生成了一个超平面,将访问流量划分成两个子空间,维度q对应的流量特征小于割点p的访问流量放入左子节点,维度q对应的流量特征大于等于割点p的访问流量放入右子节点。
(4)递归上述(2)和(3),不断构造新的子节点,直至子节点中只有一条访问流量,或者子节点距离树根的距离已达到树的指定高度hmax。
(5)循环上述(1)和(4),直到生成t个树。
(6)对于每一个访问流量xi,另其遍历每一颗树,得到每一个访问流量在每棵树中的高度h(xi),并计算每一个访问流量在t棵树中的平均高度e(h(xi)),根据如下公式确定每个访问流量对应的第二访问分值:
h(ψ-1)=ln(ψ) a;
其中,s(xi,ψ)为访问流量xi对应的第二访问分值,a是欧拉常数。
基于该种方法确定访问流量对应的第二访问分值,是基于异常访问流量具备的特征与正常访问流量具备的特征存在差异性的原理,并且异常访问流量的条数远远小于正常访问流量的条数,如果某条访问流量具备的特征与大多数流量具备的特征不同,则确定该条访问流量是异常访问流量,无需预先对异常访问流量具备的特征进行标注,这样,即使异常访问流量具备的特征发生变化,也能够准确确定异常访问流量。
s104、基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量。
本申请实施例中,根据访问流量对应的第二访问分值,判断每一条访问流量是正常访问流量还是异常访问流量。
在一种可能的实施方式中,若所述访问流量对应的第二访问分值大于预设阈值,则将该访问流量确定为所述异常访问流量。
这里,预设阈值可以是一个经验值,或者将至少一条异常访问流量对应的第二访问分值的平均值确定为预设阈值,除了平均值以外,还可以是最大值、最小值、中间值等。
在一种可能的实施方式中,基于孤立森林算法确定访问流量对应的第二访问分值时,0<s(xi,ψ)≤1,若s(xi,ψ)<<0.5,则该访问流量为正常访问流量,若s(xi,ψ)非常接近1,表明该访问流量是离群点,该访问流量为异常访问流量,即第二访问分值非常接近1时,访问流量为异常访问流量。
本申请实施例提供的异常流量检测方法,根据访问流量的访问时间确定用户标识对应的第一访问分值,第一访问分值作为新的特征,与访问流量的流量特征确定访问流量的第二访问分值,根据第二访问分值确定异常访问流量,使用服务器对异常访问流量进行检测,提高了检测效率,并且,使用该种检测方法,无需对异常访问流量的特征进行标注,当异常访问流量的特征发生变化时,不会影响检测结果的准确性,该种检测方法的适应性更强,保证了检测结果的准确性。
进一步的,本申请实施例提供的异常流量检测方法中,在所述从所述至少一条访问流量中选取异常访问流量之后,所述方法还包括:
基于所述至少一条访问流量中除所述异常访问流量之外的其他访问流量,生成所述目标对象对应的服务信息。
本申请实施例中,目标对象对应的正常访问流量的条数与该目标对象对应的服务信息相关,目标对象对应的所有访问流量的条数与异常访问流量的条数的差值等于正常访问流量的条数。
比如,目标对象是某产品的广告,该产品的广告费等于正常访问流量的条数与单位价值的乘积。
进一步的,本申请实施例提供的异常流量检测方法中,在所述从所述至少一条访问流量中选取异常访问流量之后,所述方法还包括:
在第二预设时间段内暂停响应所述异常访问流量包括的用户标识对应的终端设备针对所述目标对象发送的访问请求。
本申请实施例中,为了防止异常访问流量的产生,将异常访问流量包括的用户标识确定为异常用户标识,异常用户标识可以对应一个终端设备,也可以对应多个终端设备,暂停响应异常用户标识对应的每个终端设备对目标对象的访问请求,从源头上减少异常访问流量的产生。
这里,第二预设时间段可以是连续的一段时间,比如,在一个星期内暂停响应上述终端设备对目标对象的访问请求,第二预设时间段也可以是一天内的某一段时间,比如,在每天的23:00-05:00时间段内暂停响应上述终端设备对目标对象的访问请求。
进一步的,参见图2所示,本申请实施例提供的异常流量检测方法中,所述根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值,包括:
s201、针对所述第一预设时间段包括的每个子时间段,根据每个所述用户标识对应的用户针对所述目标对象的所述访问时间,确定每个所述子时间段内每个所述用户标识对应的用户针对所述目标对象的访问次数。
举例来讲,第一预设时间段为2010年1月1日零点至2010年1月2日零点,子时间段分别为:2010年1月1日的00:00-01:00、01:00-02:00、……、23:00-24:00,用户标识一对应的访问时间包括:2010年1月1日的01:05、02:03、03:30、03:35,则用户标识一在每个子时间段内的访问次数为:(1、1、2、0、……、0)。
s202、针对每一个用户标识,根据每个所述子时间段内所述用户标识对应的用户针对所述目标对象的访问次数,得到所述用户标识对应的第一访问分值。
本申请实施例中,以用户标识作为检测对象,用户标识在每个子时间段内的访问次数作为待检测的特征,确定每个用户标识对应的第一访问分值。
在一种可能的实施方式中,基于孤立森林算法确定用户标识对应的第一访问分值,确定第一访问分值的方法参见步骤103中确定第二访问分值的方法,重复之处不再赘述。
进一步的,本申请实施例提供的异常流量检测方法中,所述根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值,包括:
根据每一条所述访问流量对应的流量特征、该条访问流量包括的用户标识对应的第一访问分值以及该条访问流量包括的用户标识在每个所述子时间段内针对所述目标对象的访问次数,得到每一条所述访问流量对应的第二访问分值。
本申请实施例中,访问流量作为检测对象,每条访问流量对应的流量特征、第一访问分值以及该条访问流量包括的用户标识在每个子时间段内针对目标对象的访问次数作为待检测的特征,确定每个访问流量对应的第二访问分值。
举例来讲,访问流量一对应的流量特征分别为:010(台式电脑)、0010(安卓)、01(wifi)、25(在第一预设时间段内针对目标对象的访问次数),第一访问分值为0.7,用户标识一在每个子时间段内的访问次数为:(1、1、2、0、……、0),则访问流量一对应的特征向量为(0,1,0,0,0,1,0,0,1,2,5,0.7,1,1,2,0,……,0)。
在一种可能的实施方式中,基于孤立森林算法确定访问流量对应的第二访问分值,具体实施方法参见步骤103,重复之处不再赘述。
进一步的,本申请实施例提供的异常流量检测方法中,所述访问流量对应的流量特征包括第一流量特征和第二流量特征,通过如下方法确定所述流量特征:
获取所述访问流量对应的第一候选特征,根据所述第一候选特征和所述第一流量特征之间的映射关系,确定所述访问流量对应的第一流量特征。
获取所述访问流量对应的第二候选特征,根据对应有所述第二候选特征的所述访问流量的个数,确定所述访问流量对应的第二流量特征。
本申请实施例中,第一候选特征是固定取值类特征,比如,网络类型包括:0001(ios)、0010(安卓)、0100(windowsphone)、1000(其他),服务器本地预存有第一候选特征与第一流量特征的映射关系,ios与0001对应、安卓与0010对应、windowsphone与0100对应、其他与1000对应,基于映射关系,查找第一候选特征对应的第一流量特征。
第二候选特征是不定取值类特征,比如,用户标识对应的访问时间,用户标识一在第一预设时间段内对应的访问时间分别为:09:30、11:30,则用户标识一在第一预设时间段内的访问次数为2次,“访问次数为2次”是访问流量一对应的第二流量特征。
基于同一发明构思,本申请实施例中还提供了与异常流量检测方法对应的异常流量检测装置,由于本申请实施例中的装置解决问题的原理与本申请实施例上述异常流量检测方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图3所示,图3为本申请一实施例提供的一种异常流量检测装置的结构示意图,该异常流量检测装置300包括:
第一获取模块301,用于获取第一预设时间段内目标对象对应的至少一条访问流量;其中,每条所述访问流量包括用户标识和访问时间;
第一确定模块302,用于根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值;
第二确定模块303,用于根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值;
选取模块304,用于基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量。
在一种可能的实施方式中,上述异常流量检测装置300还包括:
生成模块,用于基于所述至少一条访问流量中除所述异常访问流量之外的其他访问流量,生成所述目标对象对应的服务信息。
在一种可能的实施方式中,上述异常流量检测装置300还包括:
响应模块,用于在第二预设时间段内暂停响应所述异常访问流量包括的用户标识对应的终端设备针对所述目标对象发送的访问请求。
在一种可能的实施方式中,第一确定模块302,在根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值时,包括:
针对所述第一预设时间段包括的每个子时间段,根据每个所述用户标识对应的用户针对所述目标对象的所述访问时间,确定每个所述子时间段内每个所述用户标识对应的用户针对所述目标对象的访问次数;
针对每一个用户标识,根据每个所述子时间段内所述用户标识对应的用户针对所述目标对象的访问次数,得到所述用户标识对应的第一访问分值。
在一种可能的实施方式中,第二确定模块303,在根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值时,包括:
根据每一条所述访问流量对应的流量特征、该条访问流量包括的用户标识对应的第一访问分值以及该条访问流量包括的用户标识在每个所述子时间段内针对所述目标对象的访问次数,得到每一条所述访问流量对应的第二访问分值。
在一种可能的实施方式中,所述访问流量对应的流量特征包括第一流量特征和第二流量特征,上述异常流量检测装置300还包括:
第二获取模块,用于获取所述访问流量对应的第一候选特征;
第三确定模块,用于根据所述第一候选特征和所述第一流量特征之间的映射关系,确定所述访问流量对应的第一流量特征;
第三获取模块,用于获取所述访问流量对应的第二候选特征;
第四确定模块,用于根据对应有所述第二候选特征的所述访问流量的个数,确定所述访问流量对应的第二流量特征。
在一种可能的实施方式中,选取模块304,在基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量时,包括:
若所述访问流量对应的第二访问分值大于预设阈值,则将该访问流量确定为所述异常访问流量。
本申请实施例提供的异常流量检测装置,根据访问流量的访问时间确定用户标识对应的第一访问分值,第一访问分值作为新的特征,与访问流量的流量特征确定访问流量的第二访问分值,根据第二访问分值确定异常访问流量,使用服务器对异常访问流量进行检测,提高了检测效率,并且,使用该种检测方法,无需对异常访问流量的特征进行标注,当异常访问流量的特征发生变化时,不会影响检测结果的准确性,该种检测方法的适应性更强,保证了检测结果的准确性。
参见图4所示,图4为本申请实施例提供的一种电子设备400,该电子设备400包括:处理器401、存储器402和总线,所述存储器402存储有所述处理器401可执行的机器可读指令,当电子设备运行时,所述处理器401与所述存储器402之间通过总线通信,所述处理器401执行所述机器可读指令,以执行如上述异常流量检测方法的步骤。
具体地,上述存储器402和处理器401能够为通用的存储器和处理器,这里不做具体限定,当处理器401运行存储器402存储的计算机程序时,能够执行上述异常流量检测方法。
对应于上述异常流量检测方法,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行上述异常流量检测方法的步骤。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本申请的具体实施方式,用以说明本申请的技术方案,而非对其限制,本申请的保护范围并不局限于此,尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
1.一种异常流量检测方法,其特征在于,所述方法包括:
获取第一预设时间段内目标对象对应的至少一条访问流量;其中,每条所述访问流量包括用户标识和访问时间;
根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值;
根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值;
基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量。
2.根据权利要求1所述的异常流量检测方法,其特征在于,在所述从所述至少一条访问流量中选取异常访问流量之后,所述方法还包括:
基于所述至少一条访问流量中除所述异常访问流量之外的其他访问流量,生成所述目标对象对应的服务信息。
3.根据权利要求1所述的异常流量检测方法,其特征在于,在所述从所述至少一条访问流量中选取异常访问流量之后,所述方法还包括:
在第二预设时间段内暂停响应所述异常访问流量包括的用户标识对应的终端设备针对所述目标对象发送的访问请求。
4.根据权利要求1所述的异常流量检测方法,其特征在于,所述根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值,包括:
针对所述第一预设时间段包括的每个子时间段,根据每个所述用户标识对应的用户针对所述目标对象的所述访问时间,确定每个所述子时间段内每个所述用户标识对应的用户针对所述目标对象的访问次数;
针对每一个用户标识,根据每个所述子时间段内所述用户标识对应的用户针对所述目标对象的访问次数,得到所述用户标识对应的第一访问分值。
5.根据权利要求4所述的异常流量检测方法,其特征在于,所述根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值,包括:
根据每一条所述访问流量对应的流量特征、该条访问流量包括的用户标识对应的第一访问分值以及该条访问流量包括的用户标识在每个所述子时间段内针对所述目标对象的访问次数,得到每一条所述访问流量对应的第二访问分值。
6.根据权利要求1所述的异常流量检测方法,其特征在于,所述访问流量对应的流量特征包括第一流量特征和第二流量特征,通过如下方法确定所述流量特征:
获取所述访问流量对应的第一候选特征,根据所述第一候选特征和所述第一流量特征之间的映射关系,确定所述访问流量对应的第一流量特征;
获取所述访问流量对应的第二候选特征,根据对应有所述第二候选特征的所述访问流量的个数,确定所述访问流量对应的第二流量特征。
7.根据权利要求1所述的异常流量检测方法,其特征在于,所述基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量,包括:
若所述访问流量对应的第二访问分值大于预设阈值,则将该访问流量确定为所述异常访问流量。
8.一种异常流量检测装置,其特征在于,所述装置包括:
第一获取模块,用于获取第一预设时间段内目标对象对应的至少一条访问流量;其中,每条所述访问流量包括用户标识和访问时间;
第一确定模块,用于根据每个所述用户标识对应的用户针对所述目标对象的访问时间,确定每个所述用户标识对应的第一访问分值;
第二确定模块,用于根据每一条所述访问流量对应的流量特征和该条访问流量包括的用户标识对应的第一访问分值,得到每一条所述访问流量对应的第二访问分值;
选取模块,用于基于每一条所述访问流量对应的第二访问分值,从所述至少一条访问流量中选取异常访问流量。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述处理器执行所述机器可读指令,以执行如权利要求1至7任一项所述的异常流量检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至7任一项所述的异常流量检测方法的步骤。
技术总结