[发明专利]阈值学习方法、装置、设备及计算机可读存储介质

说明书

本申请提供了一种阈值学习方法，该方法包括：在纵向学习周期内持续获取目标IP地址的网络流量，该纵向学习周期包括M天、且每一天包括N个横向学习周期，对于N个横向学习周期中的每一横向学习周期，根据M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值，然后，根据所述N个横向学习周期各自对应的目标参考值，确定N个横向学习周期各自对应的流量推荐阈值。本申请能够提升学习到的网络流量推荐阈值的准确性。本申请还提供了一种阈值学习装置、设备及计算机可读存储介质。

技术领域

本申请涉及通信技术领域，特别涉及一种阈值学习方法、装置、设备及计算机可读存储介质。

背景技术

在分布式拒绝服务攻击(Distributed Denial Of Service，简称DDOS)防御中非常重要且非常基础的一个环节就是网络流量大小的监测，网络流量监测，即通过对网络数据连续采集来监测网络流量大小和网络协议组成。

在网络流量监测的基础上，网络管理员可以对感兴趣的网际互连协议(InternetProtocol，简称IP)地址对象设置流量阈值大小，若超过阀值上限则进行报警，帮助网络管理员发现网络中的DDOS攻击，具体地，目前主要采用基于恒定基线阈值检测方法实现网络流量监测，如果采集的流量数据超过其设定的网络流量恒定基线阈值，则认为流量异常，发出告警日志。其中，基线阈值的选定，依赖于网络管理员的经验和对历史监测数据的统计分析，主观选择性较大；恒定阈值检测方法的关键是对阈值的设置，如果基线阈值设置过高，则检测不到较小流量的DDOS攻击问题，设定的基线阈值失去意义；如果基线阈值设置过低，会产生误报警并且可能对正常的流量进行误拦截。可见，恒定阈值检测方法的缺点是难以设定恰当的阈值，难以发现细微的流量异常和DDOS攻击。

在现有的网络流量基线学习和阈值下发方案中，是以1-24小时内的某一时长作为学习周期，将该学习周期内学到的最大网络流量作为推荐阈值的参考值，基于该参考值通过一系列算法得到推荐阈值。但是，由于学习到的推荐阈值是上一时间段学习到的推荐阈值，上一时间段与当前时间段的网络流量情况可能不同，因此，如果使用上一时间段学习到的推荐阈值来判定当前时间段是否发生DDOS攻击，判定结果不够准确，可见，这种时间上的滞后性，导致学习到的推荐阈值不够准确。

发明内容

有鉴于此，本申请提供了一种阈值学习方法、装置、设备及计算机可读存储介质，能够提升学习到的网络流量推荐阈值的准确性。

具体地，本申请是通过如下技术方案实现的：

一种阈值学习方法，包括：

在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；

对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；

根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。

一种阈值学习装置，包括：

网络流量获取单元，用于在纵向学习周期内持续获取目标IP地址的网络流量，所述纵向学习周期包括M天，所述M天中的每一天包括N个横向学习周期，M＞1，N＞1；

参考值确定单元，用于对于所述N个横向学习周期中的每一横向学习周期，根据所述M天分别获取到的属于该横向学习周期的M组网络流量，确定该横向学习周期对应的流量推荐阈值的目标参考值；

推荐阈值确定单元，用于根据所述N个横向学习周期各自对应的目标参考值，确定所述N个横向学习周期各自对应的流量推荐阈值。

一种电子设备，包括：处理器、存储器；