[发明专利]基于统计的异常流量监测方法、装置、设备及存储介质

说明书

本发明公开了一种基于统计的异常流量监测方法，包括：收集预设时间段内的用户访问日志记录并进行清洗与变换处理，生成标准用户访问数据；统计标准用户访问数据对应的统计特征分别在不同时间维度上的分布；将统计特征在不同时间维度上的分布映射成对应的多元高斯分布并分别进行参数估计；计算当前网络流量对应的统计特征在各时间维度内分别对应的高斯分布概率值；判断高斯分布概率值是否小于当前网络流量所在时间维度内的预置告警阈值；若是，则判定当前网络流量为异常流量。本发明还公开了一种基于统计的异常流量监测装置、设备及存储介质。本发明易于部署且实施成本低，并可灵活应对不同时间周期不同业务场景的异常流量实时告警。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于统计的异常流量监测方法、装置、设备及存储介质。

背景技术

随着信息时代的到来，网络异常流量监测一直是信息安全领域的重要一环。网络异常流量指网络中流量不规则地显著变化。针对网络流量在短时间内可能发生的突变异常，其背后可能存在高频操作、异常时段访问、文件异常或者访问对象异常等问题。无论是哪类问题都可能面临服务质量下降影响正常用户访问以及网络安全问题。

目前异常流量监测通常都是基于机器学习方式来进行实现，这不仅需要搭建相应的技术系统以及部署监测模型，还需要专业的算法技术人员进行运维，实现起来有些复杂且成本较高。

发明内容

本发明的主要目的在于提供一种基于统计的异常流量监测方法、装置、设备及存储介质，旨在解决现有网络异常流量监测部署繁琐且实现成本高的技术问题。

为实现上述目的，本发明提供一种基于统计的异常流量监测方法，所述异常流量监测方法包括以下步骤：

基于预置埋点，收集预设时间段内的用户访问日志记录；

对所述用户访问日志记录中的原始数据进行清洗与变换处理，生成符合统计要求的标准用户访问数据；

分别按照天、周、月对应的时间窗口进行滑动，统计标准用户访问数据对应的统计特征分别在不同时间维度上的分布；

将所述统计特征在不同时间维度上的分布映射成对应的多元高斯分布并分别进行参数估计，得到对应的多元高斯分布密度函数；

根据所述多元高斯分布密度函数，计算当前网络流量对应的用户访问日志记录的统计特征在各时间维度内分别对应的高斯分布概率值；

判断所述高斯分布概率值是否小于当前网络流量所在时间维度内的预置告警阈值；

若所述高斯分布概率值小于当前网络流量所在时间维度内的预置告警阈值，则判定当前网络流量为异常流量。

可选地，所述将所述统计特征在不同时间维度上的分布映射成对应的多元高斯分布并分别进行参数估计，得到对应的多元高斯分布密度函数包括：

对不同时间维度内对应的所述统计特征分别进行归一化处理或者数据变换处理，以将所述统计特征在不同时间维度上的分布映射成对应的多元高斯分布；

以各多元高斯分布对应数据为样本，采用最大似然估计求解各多元高斯分布各自对应的均值估计量和协差阵估计量；

基于各多元高斯分布各自对应的均值估计量和协差阵估计量，生成各多元高斯分布各自对应的多元高斯分布密度函数。

可选地，通过以下公式对所述统计特征对应的原始数据集进行归一化处理：

其中，μ、σ分别为原始数据集的均值和方差，S为归一化后的数据；

通过以下公式对所述统计特征对应的原始数据集进行对数变换处理：

y＝log_c(1+λx)；