1.一種流量數(shù)據(jù)監(jiān)測(cè)方法，其特征在于，所述方法包括：根據(jù)現(xiàn)有業(yè)務(wù)數(shù)據(jù)建立指標(biāo)基線；所述方法還包括：

對(duì)當(dāng)前監(jiān)測(cè)的流量數(shù)據(jù)與所述指標(biāo)基線進(jìn)行對(duì)比，確定所述流量數(shù)據(jù)的行為類型；

對(duì)非異常行為類型的流量數(shù)據(jù)，采用時(shí)間序列分析，確定所述非異常行為類型的流量數(shù)據(jù)的行為類型。

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述根據(jù)現(xiàn)有業(yè)務(wù)數(shù)據(jù)建立指標(biāo)基線，包括：

根據(jù)現(xiàn)有業(yè)務(wù)內(nèi)容和信息技術(shù)IT資源類型，確定指標(biāo)基線白名單；

其中，所述業(yè)務(wù)內(nèi)容包括：業(yè)務(wù)種類、敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)流程；所述IT資源類型包括：安全設(shè)備、網(wǎng)絡(luò)設(shè)備；

根據(jù)已知威脅信息，確定指標(biāo)基線黑名單；

其中，所述威脅信息包括：信譽(yù)信息、攻擊信息；所述信譽(yù)信息包括：惡意的互聯(lián)網(wǎng)協(xié)議IP地址、統(tǒng)一資源定位符URL和域名；所述攻擊信息包括：攻擊源、攻擊工具、利用的漏洞信息。

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述對(duì)當(dāng)前監(jiān)測(cè)的流量數(shù)據(jù)與所述指標(biāo)基線進(jìn)行對(duì)比，確定所述流量數(shù)據(jù)的行為類型，包括：

將屬于所述指標(biāo)基線黑名單的流量數(shù)據(jù)，確定為異常行為類型；

將屬于所述指標(biāo)基線白名單的流量數(shù)據(jù)，確定為非異常行為類型；

將不屬于所述指標(biāo)基線白名單和所述指標(biāo)基線黑名單的流量數(shù)據(jù)，確定為非異常行為類型。

4.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述對(duì)非異常行為的流量數(shù)據(jù)，采用時(shí)間序列分析，確定所述流量數(shù)據(jù)的行為類型；包括：

采用自回歸AR模型進(jìn)行時(shí)間序列分析；

根據(jù)預(yù)設(shè)的時(shí)間窗，確定AR預(yù)測(cè)模型；

根據(jù)所述AR預(yù)測(cè)模型，計(jì)算所述流量數(shù)據(jù)檢測(cè)點(diǎn)的觀測(cè)值與預(yù)測(cè)值的殘差；

根據(jù)所述殘差，確定決策函數(shù)，比較所述決策函數(shù)與單點(diǎn)閾值；所述決策函數(shù)超出單點(diǎn)閾值時(shí)，統(tǒng)計(jì)多點(diǎn)異常數(shù)據(jù)，將所述統(tǒng)計(jì)的多點(diǎn)異常數(shù)據(jù)與多點(diǎn)閾值比較；根據(jù)比較結(jié)果確定所述流量數(shù)據(jù)的行為類型；

預(yù)先根據(jù)歷史流量數(shù)據(jù)設(shè)定所述單點(diǎn)閾值。

5.根據(jù)權(quán)利要求4所述的方法，其特征在于，所述根據(jù)比較結(jié)果確定所述流量數(shù)據(jù)的行為類型，包括：

如果所述決策函數(shù)未超出單點(diǎn)閾值，則確定所述流量數(shù)據(jù)為正常行為類型，并根據(jù)所述流量數(shù)據(jù)更新所述歷史流量數(shù)據(jù)；

如果所述決策函數(shù)超出單點(diǎn)閾值，且所述多點(diǎn)異常數(shù)據(jù)超出多點(diǎn)閾值，則確定所述流量數(shù)據(jù)為異常行為類型；

如果所述決策函數(shù)超出單點(diǎn)閾值，所述多點(diǎn)異常數(shù)據(jù)未超出多點(diǎn)閾值，且所述流量數(shù)據(jù)屬于所述指標(biāo)基線白名單，則確定所述流量數(shù)據(jù)為正常行為類型，并根據(jù)所述流量數(shù)據(jù)更新所述單點(diǎn)閾值；

如果所述決策函數(shù)超出單點(diǎn)閾值，所述多點(diǎn)異常數(shù)據(jù)未超出多點(diǎn)閾值，且所述流量數(shù)據(jù)不屬于所述指標(biāo)基線白名單，則確定所述流量數(shù)據(jù)為異常行為類型。

6.根據(jù)權(quán)利要求3至5任一項(xiàng)所述的方法，其特征在于，所述方法還包括：上報(bào)所述異常行為類型，并根據(jù)所述流量數(shù)據(jù)是否屬于所述指標(biāo)基線白名單，確實(shí)異常行為的等級(jí)。

7.一種流量數(shù)據(jù)監(jiān)測(cè)裝置，其特征在于，所述裝置包括：基線建立模塊、第一確定模塊、第二確定模塊，其中，

所述基線建立模塊，用于根據(jù)現(xiàn)有業(yè)務(wù)數(shù)據(jù)建立指標(biāo)基線；

所述第一確定模塊，用于對(duì)當(dāng)前監(jiān)測(cè)的流量數(shù)據(jù)與所述指標(biāo)基線進(jìn)行對(duì)比，確定所述流量數(shù)據(jù)的行為類型；

所述第二確定模塊，用于對(duì)非異常行為類型的流量數(shù)據(jù)，采用時(shí)間序列分 析，確定所述非異常行為類型的流量數(shù)據(jù)的行為類型。

8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，所述基線建立模塊具體用于：

根據(jù)現(xiàn)有業(yè)務(wù)內(nèi)容和IT資源類型，確定指標(biāo)基線白名單；

其中，所述業(yè)務(wù)內(nèi)容包括：業(yè)務(wù)種類、敏感數(shù)據(jù)、關(guān)鍵業(yè)務(wù)流程；所述IT資源類型包括：安全設(shè)備、網(wǎng)絡(luò)設(shè)備；根據(jù)已知威脅信息，確定指標(biāo)基線黑名單；

其中，所述威脅信息包括信譽(yù)信息、攻擊信息；所述信譽(yù)信息包括：惡意的IP地址、URL和域名；所述攻擊信息包括：攻擊源、攻擊工具、利用的漏洞信息。