本申請公開了一種異常流量告警日志檢測方法、裝置、設備、介質，該方法包括：分別根據第一預設告警規則和第二預設告警規則生成原始流量包對應的第一流量告警日志和第二流量告警日志，其中，第一預設告警規則的精度高于第二預設告警規則；對所述第一流量告警日志打標簽，并根據所述第一流量告警日志中的標簽對所述第二流量告警日志打標簽；將帶有標簽的所述第二流量告警日志作為樣本數據，并利用所述樣本數據訓練預設的流量告警日志分類模型；利用訓練后流量告警日志分類模型對獲取到的待檢測流量告警日志進行分類，以確定所述待檢測流量告警日志是否為異常流量告警日志。這樣可以提高檢測準確率，降低誤報率，增強流量威脅檢測能力。

技術領域

本申請涉及計算機技術領域，特別涉及一種異常流量告警日志檢測方法、裝置、設備、介質。

背景技術

流量告警數據是指通過抓取網絡訪問流量數據并進行檢測后，通過網絡流量分析系統以一定的規則提取出的數據。在云互聯網時代通常會有黑客等攻擊者利用漏洞攻擊等威脅手段對企業網站及業務系統進行流量層面上的攻擊。所以可以對流量對應的流量告警日志進行相應的檢測，以便確定是否存在異常告警，以便對企業網站或業務系統的管理。而在對流量告警日志檢測的過程中，可以通過機器學習的方法訓練模型，以對流量告警日志進行檢測，以便根據檢測結果對網絡或系統進行管理。而在機器學習的過程中需要大量的流量告警日志的樣本數據進行訓練，在樣本準備階段會存在樣本量不足的情況，樣本量過小容易出現過擬合的情況，導致檢測準確率較低，存在較多誤報。

發明內容

有鑒于此，本申請的目的在于提供一種異常流量告警日志檢測方法、裝置、設備、介質，能夠提高檢測準確率，降低誤報率。其具體方案如下：

第一方面，本申請公開了一種異常流量告警日志檢測方法，包括：

分別根據第一預設告警規則和第二預設告警規則生成原始流量包對應的第一流量告警日志和第二流量告警日志，其中，所述第一預設告警規則的精度高于第二預設告警規則；

對所述第一流量告警日志打標簽，并根據所述第一流量告警日志中的標簽對所述第二流量告警日志打標簽；

將帶有標簽的所述第二流量告警日志作為樣本數據，并利用所述樣本數據訓練預設的流量告警日志分類模型；

利用訓練后流量告警日志分類模型對獲取到的待檢測流量告警日志進行分類，以確定所述待檢測流量告警日志是否為異常流量告警日志。

可選地，所述分別根據第一預設告警規則和第二預設告警規則生成原始流量包對應的第一流量告警日志和第二流量告警日志之后，還包括：

分別將所述第一流量告警日志和所述第二流量告警日志中不屬于預設告警類型的流量告警日志刪除；

將保留下的第一流量告警日志和第二流量告警日志中滿足預設要求的流量告警日志刪除，其中，所述預設要求包括流量告警日志中的數據無法解析和/或流量告警日志對應的訪問地址為預設訪問地址。

可選地，所述對所述第一流量告警日志打標簽之前，還包括：

判斷所述第一流量告警日志的告警數量是否小于或等于所述第二流量告警日志的告警數量；

如果所述第一流量告警日志的告警數量小于或等于所述第二流量告警日志的告警數量，則對所述第一流量告警日志打標簽。

可選地，所述對所述第一流量告警日志打標簽，包括

獲取所述第一流量告警日志的標簽信息，其中，所述標簽信息包括誤報標簽和非誤報標簽；

根據所述標簽信息對所述第一流量告警日志打標簽。

可選地，所述分別根據第一預設告警規則和第二預設告警規則生成原始流量包對應的第一流量告警日志和第二流量告警日志，包括：