[发明专利]流量异常检测方法、装置、设备及存储介质

说明书

本发明公开了一种流量异常检测方法、装置、设备及存储介质。其中，该方法包括：包括：获取预测样本，所述预测样本包括：基于时间先后顺序排列的m个单位时长的流量数据；对所述预测样本基于流量预测模型进行预测，得到目标单位时长对应的流量基线；基于所述流量基线对所述目标单位时长内的流量进行异常检测，得到所述目标单位时长内流量是否异常的检测结果。本发明实施例不需要人工设定阈值，且流量基线基于预测样本和流量预测模型生成，可以适应流量的变化，泛化能力强，检测速度快，且能够满足流量异常检测的检测精度要求。

技术领域

本发明涉及网络安全领域，尤其涉及一种流量异常检测方法、装置、设备及存储介质。

背景技术

流量是系统的重要指标之一，能够直观反映系统的运行状态。健康的系统流量通常平稳波动变化，当流量突然上涨或者下降时可能预示系统中存在故障。相关技术中，流量异常检测大多是基于阈值和统计的方法，也有少数基于深度学习的方法。

基于阈值的方法通常是计算同比、环比波动幅度，比如同比波动20％、环比波动10％则触发异常报警；或者是设置一个水位线，低于(或高于)水位，则触发异常报警。这种方式实现简单，然而实际应用中，效果却不理想，阈值的设置依赖人们的经验，而且由于静态阈值没有适应变化的能力，需要人工维护。

基于统计的方法往往假设数据服从正态分布或对数正态分布，通过计算均值和方差，把偏离均值n倍方差的流量视为异常。这种模型对数据的分布要求比较高，如果数据不服从假设的分布，则检测效果不好。有的统计方法是使用ARIMA模型(AutoregressiveIntegrated Moving Average model，差分整合移动平均自回归模型)，ARIMA模型能结合部分历史数据进行时间序列的趋势预测，然而也有很多不足，该算法的一个技术难点就是时间序列的平稳化，平稳化的时间序列对于预测结果的好坏起着至关重要的作用。

发明内容

有鉴于此，本发明实施例提供了一种流量异常检测方法、装置、设备及存储介质，旨在保证流量异常检测的检测精度的前提下，提高检测速度。

本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种流量异常检测方法，包括：

获取预测样本，所述预测样本包括：基于时间先后顺序排列的m个单位时长的流量数据；

对所述预测样本基于流量预测模型进行预测，得到目标单位时长对应的流量基线；

基于所述流量基线对所述目标单位时长内的流量进行异常检测，得到所述目标单位时长内流量是否异常的检测结果；

其中，m为大于或等于1的自然数。

本发明实施例还提供了一种流量异常检测装置，包括：

获取模块，用于获取预测样本，所述预测样本包括：基于时间先后顺序排列的m个单位时长的流量数据；

预测模块，用于对所述预测样本基于流量预测模型进行预测，得到目标单位时长对应的流量基线；

检测模块，用于基于所述流量基线对所述目标单位时长内的流量进行异常检测，得到所述目标单位时长内流量是否异常的检测结果；

其中，m为大于或等于1的自然数。

本发明实施例又提供了一种流量异常检测设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，其中，所述处理器，用于运行计算机程序时，执行本发明任一实施例所述方法的步骤。

本发明实施例还提供了一种存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时，实现本发明任一实施例所述方法的步骤。