[发明专利]流量检测方法及装置、电子设备和计算机可读存储介质

权利要求书

1.一种流量检测方法，其特征在于，包括：

获取目标端口的流量使用信息；

按照预处理规则，对所述流量使用信息进行预处理；

基于预处理后的流量使用信息和异常流量检测模型，确定所述目标端口的流量异常度；

若所述流量异常度处于指定异常范围内，确定所述目标端口发生异常流量；

所述基于预处理后的流量使用信息和异常流量检测模型，确定所述目标端口的流量异常度，包括：

基于预处理后的流量使用信息和多个所述异常流量检测模型，确定每个所述异常流量检测模型的流量异常度，并将多个所述异常流量检测模型的流量异常度的集合确定为所述目标端口的流量异常度；

所述若所述流量异常度处于指定异常范围内，确定所述目标端口发生异常流量，包括：

基于多个所述异常流量检测模型的置信度，确定多个所述异常流量检测模型各自对应的流量异常度的权重，对多个所述异常流量检测模型各自对应的流量异常度进行加权处理，得到加权异常度集合；

若所述加权异常度集合中每两个元素的差值均小于指定差值，且所述加权异常度集合中全部元素的均值大于或等于指定均值，确定所述目标端口发生异常流量；

否则，判断所述加权异常度集合中全部元素中的最大值是否大于或等于所述指定均值，若所述最大值大于或等于所述指定均值，确定所述目标端口发生异常流量。

2.根据权利要求1所述的流量检测方法，其特征在于，所述流量使用信息包括以下信息中的一项或者多项：

所述目标端口的端口号、所述目标端口所连接的应用、所述应用的类型、与所述应用的连接时长、在所述连接时长内的流量大小、从所述应用所获取数据的关键字，以及

所述目标端口在若干个相邻时段或若干个指定时段内的流量大小、所述目标端口在若干个相邻时段或若干个指定时段内所传输数据的类型、所述目标端口在若干个相邻时段或若干个指定时段内所传输数据的关键字。

3.根据权利要求1所述的流量检测方法，其特征在于，所述按照预处理规则，对所述流量使用信息进行预处理，包括：

对于所获取的所述目标端口的每一项所述流量使用信息，判断每一项所述流量使用信息是否符合对应的异常流量识别条件；

若所述流量使用信息不符合对应的异常流量识别条件时，执行所述确定所述目标端口的流量异常度。

4.根据权利要求1所述的流量检测方法，其特征在于，所述按照预处理规则，对所述流量使用信息进行预处理，包括：

对于所获取的所述目标端口的每一项所述流量使用信息，判断每一项所述流量使用信息是否符合对应的异常流量识别条件；

若某项所述流量使用信息符合对应的异常流量识别条件时，增大该项所述流量使用信息相对于所述目标端口的所有流量使用信息的相对权重。

5.根据权利要求1所述的流量检测方法，其特征在于，所述按照预处理规则，对所述流量使用信息进行预处理，包括：

对所述目标端口的全部流量使用信息进行特征值转换；

对于所获取的所述目标端口的每一项所述流量使用信息，判断每一项所述流量使用信息是否符合对应的异常流量识别条件；

若某项所述流量使用信息符合对应的异常流量识别条件，将该项所述流量使用信息的特征值增大指定倍数。