本公開實施例提供了一種流量數據的檢測方法及裝置、電子設備和存儲介質。該方法包括：獲取第一時長內的目標流量數據，目標流量數據包括目標源地址、目標目的地址、源端口號和時間戳；根據目標流量數據中的時間戳和源端口號，獲得第一時長內各預設時間段內目標源地址和目標目的地址的源端口特征值；獲得目標流量數據的特征數據時間序列，特征數據時間序列包括按序排列的各預設時間段對應的源端口特征值；對特征數據時間序列進行異常檢測，獲得目標流量數據中的異常流量數據，異常流量數據包括目標源地址中的可疑目標源地址。該方法能夠識別出攻擊者對目標機的攻擊行為，確定出攻擊者的目標源地址，可以降低誤報率，提高流量數據檢測的準確性。

技術領域

本公開涉及計算機安全技術領域，具體而言，涉及一種流量數據的檢測方法及裝置、電子設備和計算機可讀存儲介質。

背景技術

隨著計算機網絡技術的飛速發展，社會的信息化程度不斷提高，網絡在給人們帶來巨大的經濟效益和社會效益的同時，也面臨著日益嚴重的安全問題，針對網絡的攻擊層出不窮。攻擊數量、種類越來越多，攻擊越來越復雜，對依賴網絡的用戶危害也越來越大。

其中一種情況下，攻擊者會向目標機發送多次連接，在多次連接過程中，攻擊者會頻繁地更換源端口號，向目標機植入木馬或惡意程序，通過植入的木馬或惡意程序，建立與目標機的連接，從而控制目標機。

相關技術中，主要通過設定源端口號的閾值對流量數據進行檢測。例如，設定一分鐘內源端口號的閾值為A，將流量數據中一分鐘內源端口號的變化數量大于A的流量數據作為異常流量數據。由于閾值是人為設定的，且是靜態的，不會根據流量數據的時間特征和應用場景而變化，會存在大量的誤報和漏檢的情況。

因此，需要一種新的流量數據的檢測方法及裝置、電子設備和計算機可讀存儲介質。

需要說明的是，在上述背景技術部分公開的信息僅用于加強對本公開的背景的理解。

發明內容

本公開實施例提供一種流量數據的檢測方法及裝置、電子設備和計算機可讀存儲介質，能夠至少在一定程度上解決誤報率高、漏檢的問題，提高流量數據檢測的準確性。

本公開的其他特性和優點將通過下面的詳細描述變得顯然，或部分地通過本公開的實踐而習得。

本公開實施例提供一種流量數據的檢測方法，該方法包括：獲取第一時長內的目標流量數據，所述目標流量數據包括目標源地址、目標目的地址、源端口號和時間戳；根據所述目標流量數據中的時間戳和源端口號，獲得所述第一時長內各預設時間段內所述目標源地址和所述目標目的地址的源端口特征值；獲得所述目標流量數據的特征數據時間序列，所述特征數據時間序列包括按序排列的各預設時間段對應的源端口特征值；對所述特征數據時間序列進行異常檢測，獲得所述目標流量數據中的異常流量數據，所述異常流量數據包括所述目標源地址中的可疑目標源地址。

本公開實施例提供一種流量數據的檢測裝置，該裝置包括：目標流量數據獲取模塊，用于獲取目標流量數據，所述目標流量數據包括目標源地址、目標目的地址、源端口號和時間戳；源端口特征值獲得模塊，用于根據所述目標流量數據中的時間戳和源端口號，獲得各預設時間段內所述目標源地址和所述目標目的地址的源端口特征值；特征數據時間序列獲得模塊，用于獲得所述目標流量數據的特征數據時間序列，所述特征數據時間序列包括按序排列的各預設時間段對應的源端口特征值；異常檢測模塊，用于對所述特征數據時間序列進行異常檢測，獲得所述目標流量數據中的異常流量數據，所述異常流量數據包括異常目標源地址。