[发明专利]异常流量检测的方法和装置

权利要求书

1.一种异常流量检测的方法，其特征在于，所述方法包括：

对设备中流量带宽进行多次采样，获得多个流量带宽采样值；

根据所获得的流量带宽采样值确定设备的流量带宽的可信区间；

对所述设备的流量带宽进行检测，判断检测到的流量带宽是否位于所述可信区间内；

当所检测到的流量带宽位于所述可信区间外时，将所述设备的流量识别为异常。

2.根据权利要求1所述的异常流量检测的方法，其特征在于，所述根据所获得的流量带宽采样值确定设备的流量带宽的可信区间包括：

计算多个流量采样值的标准差和均值中至少一者以及最大值和最小值；

根据所计算的标准差和均值中至少一者以及最大值和最小值确定可信区间的上限值和下限值。

3.根据权利要求2所述的异常流量检测的方法，其特征在于，所述根据所计算的标准差和均值中至少一者以及最大值和最小值确定可信区间的上限值和下限值包括：

确定可信区间的上限值为最大值加上标准差的2倍；

判断最小值是否大于2倍的标准差；

当最小值大于2倍的标准差时，可信区间的下限值为最小值减去标准差的2倍；

当最小值没有大于2倍的标准差时，可信区间的下限值为0。

4.根据权利要求2所述的异常流量检测的方法，其特征在于，所述根据所计算的标准差和均值中至少一者以及最大值和最小值确定可信区间的上限值和下限值包括：

确定可信区间的上限值为最大值加上1/2的均值；

判断最小值是否大于1/2的均值；

当最小值大于1/2的均值时，可信区间的下限值为最小值减去1/2的均值；

当最小值没有大于1/2的均值时，可信区间的下限值为0。

5.根据权利要求1至4任一所述的异常流量检测的方法，其特征在于，所述方法还包括：

当所检测到的流量带宽位于所述可信区间内时，将所述设备的流量识别为正常。

6.一种异常流量检测的装置，其特征在于，所述装置包括：

采样模块，用于对设备中流量带宽进行多次采样，获得多个流量带宽采样值；

确定模块，用于根据所获得的流量带宽采样值确定设备的流量带宽的可信区间；

判断模块，用于对所述设备的流量带宽进行检测，判断检测到的流量带宽是否位于所述可信区间内；

识别模块，用于当所检测到的流量带宽位于所述可信区间外时，将所述设备的流量识别为异常。

7.根据权利要求6所述的异常流量检测的装置，其特征在于，所述确定模块用于计算多个流量采样值的标准差和均值中至少一者以及最大值和最小值；根据所计算的标准差和均值中至少一者以及最大值和最小值确定可信区间的上限值和下限值。

8.根据权利要求7所述的异常流量检测的装置，其特征在于，所述确定模块用于确定可信区间的上限值为最大值加上标准差的2倍；判断最小值是否大于2倍的标准差；当最小值大于2倍的标准差时，可信区间的下限值为最小值减去标准差的2倍；当最小值没有大于2倍的标准差时，可信区间的下限值为0。

9.根据权利要求7所述的异常流量检测的装置，其特征在于，所述确定模块用于确定可信区间的上限值为最大值加上1/2的均值；判断最小值是否大于1/2的均值；当最小值大于1/2的均值时，可信区间的下限值为最小值减去1/2的均值；当最小值没有大于1/2的均值差时，可信区间的下限值为0。

10.根据权利要求6至9任一所述的异常流量检测的装置，其特征在于，所述识别模块还用于当所检测到的流量带宽位于所述可信区间内时，将所述设备的流量识别为正常。