[发明专利]IP异常流量检测方法、系统、计算机设备及存储介质

权利要求书

1.一种IP异常流量检测方法，其特征在于，包括：

获取平均流量次数步骤：统计任一IP在一个周期内的周期IP流量次数，根据所述周期IP流量次数获得周期内平均流量次数；

获取理想平均流量次数步骤：对所述IP的其余周期进行采样获得采样数据，根据所述采样数据获得估计流量次数及理想平均流量次数；

异常度获取步骤：根据所述理想平均流量次数及所述周期内平均流量次数对所述周期IP流量次数进行处理，根据处理后的所述周期IP流量次数及所述估计流量次数获得IP异常度；

识别步骤：根据所述IP异常度识别IP异常流量；

其中，所述异常度获取步骤包括：

修改步骤：根据以下公式对所述周期IP流量次数进行修改：

其中，f(t)为周期IP流量次数，avg_e为理想平均流量次数，avg为周期内平均流量次数，f^*(t_k)为处理后的周期IP流量次数；

IP异常度计算步骤：根据以下公式获得IP异常度：

其中，diff为IP异常度，f^*(t)为处理后的周期IP流量次数，F^*(t)为估计流量次数，f(t)(t∈[0,T₀])为某IP在t时刻的流量次数，f(t)为离散函数，以Δt为时间间隔统计IP在一个周期T₀内的流量次数f(t_k)(k∈[0,T₀/Δt])。

2.如权利要求1所述的IP异常流量检测方法，其特征在于，

获取平均流量次数步骤包括：构建第一函数，所述第一函数为离散函数，通过所述离散函数统计所述周期IP流量次数，根据所述周期IP流量次数获得所述IP在一个周期内的所述周期IP流量次数。

3.如权利要求1所述的IP异常流量检测方法，其特征在于，所述获取理想平均流量次数步骤包括：

异常值操作步骤：对所述IP的其余周期进行采样获得采样数据，并对所述采样数据进行去除异常值操作；

估计流量次数获得步骤：根据去除异常值后的所述采样数据获得正常网络IP的任一时间点的估计流量次数；

理想平均流量次数计算步骤：根据所述估计流量次数获得所述理想平均流量次数。

4.一种IP异常流量检测系统，其特征在于，包括：

获取平均流量次数模块，所述获取平均流量次数模块统计任一IP在一个周期内的周期IP流量次数，根据所述周期IP流量次数获得周期内平均流量次数；

获取理想平均流量次数模块，所述获取理想平均流量次数模块对所述IP的其余周期进行采样获得采样数据，根据所述采样数据获得估计流量次数及理想平均流量次数；

异常度获取步骤模块，所述异常度获取步骤模块根据所述理想平均流量次数及所述周期内平均流量次数对所述周期IP流量次数进行处理，根据处理后的所述周期IP流量次数及所述估计流量次数获得IP异常度；

识别模块，所述识别模块根据所述IP异常度识别IP异常流量；

其中，所述异常度获取模块包括：

修改单元，所述修改单元根据以下公式对所述周期IP流量次数进行修改：

其中，f(t)为周期IP流量次数，avg_e为理想平均流量次数，avg为周期内平均流量次数，f^*(t_k)为处理后的周期IP流量次数；

IP异常度计算单元，所述IP异常度计算单元根据以下公式获得IP异常度：

其中，diff为IP异常度，f^*(t)为处理后的周期IP流量次数，F^*(t)为估计流量次数，f(t)(t∈[0,T₀])为某IP在t时刻的流量次数，f(t)为离散函数，以Δt为时间间隔统计IP在一个周期T₀内的流量次数f(t_k)(k∈[0,T₀/Δt])。