[发明专利]用于检测流量的方法和装置

说明书

本申请实施例公开了用于检测流量的方法和装置。该方法的一具体实施方式包括：获取目标IP至少两个维度的流量信息；确定至少两个维度的流量信息中是否存在超过目标IP对应维度的异常流量阈值的流量信息；若至少两个维度的流量信息中存在超过对应维度的异常流量阈值的流量信息，确定目标IP流量异常。该实施方式提高了异常流量的检出率。

技术领域

本申请实施例涉及计算机技术领域，具体涉及用于检测流量的方法和装置。

背景技术

随着社会的发展，网络应用领域的不断普及，网络的发展给人们带来极大方便的同时，也带来更多安全隐患。因此，能够准确、及时地检测出网络异常，识别攻击并清洗，保障业务使用的可靠性尤为重要。

异常流量的识别是检测攻击的前提，只有在识别出流量异常的情况下，才需要进一步分析是否为真实攻击。

在一些相关技术中，通常采用提取流量特征值与事先建立的特征库进行匹配的方式来检测当前流量是否异常。

发明内容

本申请实施例提出了用于检测流量的方法和装置。

第一方面，本申请实施例提供了一种用于检测流量的方法，该方法包括：获取目标IP至少两个维度的流量信息；确定至少两个维度的流量信息中是否存在超过目标IP对应维度的异常流量阈值的流量信息；若至少两个维度的流量信息中存在超过对应维度的异常流量阈值的流量信息，确定目标IP流量异常。

在一些实施例中，至少两个维度的流量信息包括以下至少两种：单位时间传输的比特数、单位时间传输的数据包数、单位时间请求数、单位时间连接数。

在一些实施例中，在确定至少两个维度的流量信息中是否存在超过目标IP对应维度的异常流量阈值的流量信息之前，该方法还包括：周期性地采集目标IP的流量信息；从采集的流量信息中剔除超出预设取值范围的异常流量信息；基于剔除异常流量信息后的流量信息确定目标IP的异常流量阈值。

在一些实施例中，周期性地采集目标IP的流量信息，包括：以预设频率对目标IP进行流量采集；对于每次采集的样本数据，确定该样本数据所处的区间范围，将该区间范围内的预设值确定为该次采集的流量信息。

在一些实施例中，从采集的流量信息中剔除超出预设取值范围的异常流量信息，包括：从采集的流量信息中剔除超出第一取值范围的异常流量信息，得到初步筛选后的流量信息；基于初步筛选后的流量信息确定第二取值范围，第二取值范围小于第一取值范围；从初步筛选后的流量信息中剔除超出第二取值范围的异常流量信息。

在一些实施例中，基于剔除异常流量信息后的流量信息确定目标IP的异常流量阈值，包括：获取当前周期内得到的、剔除异常流量信息后的流量信息的集合；确定集合中预设比例的流量信息所处的区间范围，将区间范围的上限作为参考阈值；将参考阈值放大预设倍数得到目标IP的异常流量阈值。

在一些实施例中，基于剔除异常流量信息后的流量信息确定目标IP的异常流量阈值，包括：获取多个周期内得到的、剔除异常流量信息后的流量信息的集合，多个周期包括当前周期和多个历史周期；对于每个周期得到的流量信息的集合，确定该集合中预设比例的流量信息所处的区间范围，将确定出的区间范围的上限作为该周期对应的参考阈值；基于多个周期对应的参考阈值和相应的权重确定最终阈值；将最终阈值放大预设倍数得到目标IP的异常流量阈值。

在一些实施例中，多个周期的权重通过如下方式之一确定：每个周期的权重相同；距离当前周期的近的周期的权重大于距离当前周期远的周期的权重；基于流量信息的稳定程度确定每个周期的权重。