异常流量检测方法、装置和计算机设备与流程

本技术涉及网络安全，特别是涉及一种异常流量检测方法、装置和计算机设备。

背景技术：

1、随着互联网的普及和计算机网络的广泛应用，网络攻击和安全威胁也日益增多。此外，网络性能问题如带宽管理、拥塞控制和质量服务也称为关注的焦点，为了解决这些问题，网络流量检测技术应运而生。随着网络攻击的复杂性和频率的增加，保护计算机网络免受恶意活动的侵害变得至关重要。网络流量检测通过监测和分析网络数据流，可以及早发现和应对网络入侵、恶意软件、数据泄露等安全威胁，利用网络流量检测技术来检测和识别可能的网络入侵行为，也可以通过对网络流量进行实时分析来及时发现潜在的攻击，并采取措施进行阻止或响应。

2、现有的异常流量检测方式，主要是通过基于已知攻击模式或特定特征的方法，使用的是预定义的规则、模式或特征匹配来检测网络流量中的恶意活动，这些特征或攻击模式可以是已知的攻击代码，特定协议的异常行为等，这种检测方法简单直接，可以快速识别已知的攻击，但对于未知的攻击无法进行有效检测。

3、目前，针对异常流量检测的灵活度以及效率较低的问题，尚未提出有效的解决方案。

技术实现思路

1、基于此，有必要针对上述技术问题，提供一种异常流量检测方法、装置和计算机设备。

2、第一方面，本技术提供了一种异常流量检测方法。该方法包括：

3、获取待检测流量数据，其中，待检测流量数据包括用户数据以及待检测流量信息；

4、基于待检测流量信息进行特征提取处理，得到哈希结果，并基于哈希结果与预设的基因库进行匹配处理，得到流量检测结果；基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测，得到用户行为检测结果；

5、基于流量检测结果以及用户行为检测结果，得到针对待检测流量数据的异常检测结果。

6、在其中一个实施例中，获取基因库包括：

7、获取已检测流量信息；

8、基于已检测流量信息进行特征提取处理得到第一已检测哈希结果，并根据第一已检测哈希结果进行编码处理得到第二已检测哈希结果；

9、基于第二已检测哈希结果对第一已检测哈希结果进行分桶处理，得到至少一个分桶哈希数据；其中，分桶哈希数据与第二已检测哈希结果为一一对应关系；

10、基于至少一个分桶哈希数据得到所述基因库。

11、在其中一个实施例中，待检测哈希结果包括第一哈希结果以及第二哈希结果；第二哈希结果对应于至少一个第一哈希结果；基于哈希结果与预设的基因库进行匹配处理，得到流量检测结果，包括：

12、基于至少一条待检测流量信息的得到对应的第二哈希结果以及第一哈希结果；

13、基于第二哈希结果与第二已检测哈希结果进行匹配处理；

14、在第二哈希结果与第二已检测哈希结果匹配成功的情况下，在分桶哈希数据中获取与第二已检测哈希结果对应的目标分桶哈希数据，基于目标分桶哈希数据中的目标第一已检测哈希结果与第一哈希结果进行相似度计算，得到第一流量检测结果；

15、在第二哈希结果与第二已检测哈希结果匹配失败的情况下，得到第二流量检测结果；

16、基于第一流量检测结果或第二流量检测结果得到流量检测结果。

17、在其中一个实施例中，得到针对待检测流量数据的异常检测结果之后，该方法还包括：

18、基于异常检测结果以及待检测流量信息得到正常流量信息；

19、根据正常流量信息得到对应的第一正常哈希结果，并根据第一正常哈希结果进行编码处理，得到第二正常哈希结果；

20、将第二正常哈希结果与第二已检测哈希结果进行匹配处理；

21、在第二正常哈希结果与第二已检测哈希结果匹配成功的情况下，在分桶哈希数据中获取与第二正常哈希结果对应的目标分桶哈希数据，基于目标分桶哈希数据中的中心结果与第一正常哈希结果进行相似度计算，得到相似度结果；

22、在相似度结果大于或等于预设的相似度阈值的情况下，将正常流量信息归入目标分桶哈希数据中，得到最终分桶哈希数据；

23、在相似度小于相似度阈值的情况下，和/或，在第二正常哈希结果与第二已检测哈希结果匹配失败的情况下，基于正常流量信息新建一个初始分桶哈希数据，并将第一正常哈希结果作为与初始分桶哈希数据对应的初始中心结果；

24、基于最终分桶哈希数据以及初始分桶哈希数据，对基因库进行更新处理，得到新的基因库。

25、在其中一个实施例中，建立用户行为模型，包括：

26、基于至少一个计算机序列获取对应的已检测用户数据；其中，已检测用户数据包括至少一种已检测用户数据统计结果；

27、以计算机序列为主键，对已检测用户数据统计结果进行保存处理，得到用户行为模型。

28、在其中一个实施例中，用户数据包括用户行为类别以及用户行为特征；用户数据统计结果包括用户统计类别以及用户统计特征；基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测，得到用户行为检测结果，包括：

29、基于用户统计类别对用户行为类别进行匹配检测；

30、在用户统计类别与用户行为类别匹配成功的情况下，基于用户统计特征对用户行为特征进行检测，得到第一检测结果；或者，基于预设的类别阈值对用户行为类别进行检测，得到第二检测结果；

31、在用户统计类别与用户行为类别匹配不成功的情况下，得到第三检测结果；

32、基于第一检测结果、第二检测结果或第三检测结果，得到用户行为检测结果。

33、在其中一个实施例中，得到针对待检测流量数据的检测结果之后，该方法还包括：

34、基于检测结果以及预设的时间周期得到正常用户数据；其中，正常用户数据包括至少一种正常用户数据统计结果；

35、基于时间周期在已检测用户数据统计结果中筛选出历史用户数据统计结果并进行删除处理，得到已删除用户数据统计结果；

36、将已删除用户数据统计结果与正常用户数据统计结果进行相加处理，得到目标用户数据统计结果；

37、基于目标用户数据统计结果完成对于用户行为模型的更新，得到新的用户行为模型。

38、在其中一个实施例中，得到针对待检测流量数据的检测结果之后，方法还包括：

39、获取预设的黑名单数据库，并基于检测结果获取待检测流量数据中的异常流量数据；

40、将异常流量数据与黑名单数据库进行匹配处理，得到异常流量匹配结果；

41、基于异常流量匹配结果得到最终检测结果。

42、第二方面，本技术还提供了一种异常流量检测装置。该装置包括：

43、获取模块，用于获取待检测流量数据，其中，待检测流量数据包括用户数据以及待检测流量信息；

44、计算模块，用于基于待检测流量信息进行特征提取处理，得到哈希结果，并基于哈希结果与预设的基因库进行匹配处理，得到流量检测结果；基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测，得到用户行为检测结果；

45、生成模块，用于基于流量检测结果以及用户行为检测结果，得到针对待检测流量数据的异常检测结果。

46、第三方面，本技术还提供了一种计算机设备。所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现以下步骤：

47、获取待检测流量数据，其中，待检测流量数据包括用户数据以及待检测流量信息；

48、基于待检测流量信息进行特征提取处理，得到哈希结果，并基于哈希结果与预设的基因库进行匹配处理，得到流量检测结果；基于预设的用户行为模型中的用户数据统计结果对用户数据进行检测，得到用户行为检测结果；

49、基于流量检测结果以及用户行为检测结果，得到针对待检测流量数据的异常检测结果。

50、上述异常流量检测方法、装置和计算机设备，一方面，以用户为单位将上述用户数据与预设的用户行为模型中的用户数据统计结果进行比对，得到的用户行为检测结果反映了该用户的习惯行为；另一方面，将待检测流量信息基于哈希结果与预设的基因库进行匹配，得到的流量检测结果反映了该流量信息是否为常见流量，本技术基于用户的习惯行为以及流量信息是否为常见流量两个方面，将上述用户行为检测结果以及上述流量检测结果综合起来以得到更准确的流量检测结果。