[发明专利]IP异常流量检测方法、系统、计算机设备及存储介质

说明书

本申请公开了一种IP异常流量检测方法、系统、计算机设备及存储介质，方法包括：获取平均流量次数步骤：统计任一IP在一个周期内的周期IP流量次数，根据所述周期IP流量次数获得周期内平均流量次数；获取理想平均流量次数步骤：对所述IP的其余周期进行采样获得采样数据，根据所述采样数据获得估计流量次数及理想平均流量次数；异常度获取步骤：根据所述理想平均流量次数及所述周期内平均流量次数对所述周期IP流量次数进行处理，根据处理后的所述周期IP流量次数及所述估计流量次数获得IP异常度；识别步骤：根据所述IP异常度识别IP异常流量。本发明能够去除流量正常波动的影响，进而得到了更准确的IP异常度的估计。

技术领域

本发明属于IP异常流量检测方法领域，具体涉及一种IP异常流量检测方法、系统、计算机设备及存储介质。

背景技术

每天互联网都会产生海量的网络数据，这些数据记录着民众日常生活、工作等各种信息，人们存储自己的隐私安全信息在互联网上。同时，这巨大的网络数据也带来了一个庞大的信息市场。其中，也有黑产市场在威胁着我们的网络安全。每天都会有蠕虫病毒攻击、DDoS攻击发生着，严重影响了日常的互联网使用体验。面对这些威胁，我们会监测IP的流量次数的波动来判断某个IP地址是否存在异常。但仅仅通过简单的监测流量次数的波动不足以应对黑客们复杂的攻击手段。本专利通过统计IP流量次数并建立模型计算IP流量次数的估计值，评估实际值与估计值的差异得到IP的异常度，用于识别IP异常流量。

目前使用统计方式对IP进行监测的技术有按照时间顺序观察IP的流量波动情况，IP流量在很短时间内产生波动是异常现象。还有些是通过计算熵值等统计量观察IP流量的不确定性，如果熵值很大证明IP的流量波动幅度大。还有就是对比数据包内容是否有一些已知的异常信息，或者使用包内字节数和ASCII码分布来区分正常流量和异常流量。

观察IP的流量波动，计算熵值这些统计量，都可以一定程度上来描述IP的流量变化。但是以上统计量没有考虑到IP的正常波动，没有消除IP正常波动对IP异常流量监测的影响。

使用包内容等方法可以有效的抓取特定的IP，但是这种信息的收集在大规模通信网络实施较困难，数据分析相对也困难。

本专利通过统计IP流量次数并建立模型计算IP流量次数的估计值，考虑了IP流量的正常波动，通过修正IP流量次数评估实际值与估计值的差异得到IP的异常度，用于识别IP异常流量。

发明内容

本申请实施例提供了一种IP异常流量检测方法、系统、计算机存储设备，以至少解决相关技术中主观因素影响的问题。

本发明提供了一种IP异常流量检测方法，其中，包括：

获取平均流量次数步骤：统计任一IP在一个周期内的周期IP流量次数，根据所述周期IP流量次数获得周期内平均流量次数；

获取理想平均流量次数步骤：对所述IP的其余周期进行采样获得采样数据，根据所述采样数据获得估计流量次数及理想平均流量次数；

异常度获取步骤：根据所述理想平均流量次数及所述周期内平均流量次数对所述周期IP流量次数进行处理，根据处理后的所述周期IP流量次数及所述估计流量次数获得IP异常度；

识别步骤：根据所述IP异常度识别IP异常流量

上述方法，其中，获取平均流量次数步骤包括构建第一函数，所述第一函数为离散函数，通过所述离散函数统计所述周期IP流量次数，根据所述周期IP流量次数获得所述IP在一个周期内的所述周期IP流量次数。

上述方法，其中，所述获取理想平均流量次数步骤包括：

异常值操作步骤：对所述IP的其余周期进行采样获得采样数据，并对所述采样数据进行去除异常值操作；