本發(fā)明屬于流量檢測(cè)技術(shù)領(lǐng)域，為了解決基于深度學(xué)習(xí)方法提取出的特征有效性差，影響流量異常檢測(cè)的效率的問(wèn)題，提供了一種基于訪(fǎng)問(wèn)基線(xiàn)的主機(jī)異常流量檢測(cè)方法、系統(tǒng)及設(shè)備。其中，該方法包括獲取預(yù)設(shè)時(shí)間段內(nèi)主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)，并基于定量分析基線(xiàn)和定性分析基線(xiàn)分別對(duì)應(yīng)進(jìn)行定量分析和定性分析；其中，定量分析基線(xiàn)和定性分析基線(xiàn)是基于設(shè)定歷史時(shí)間段內(nèi)的主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)而構(gòu)建的；基于定量分析和定性分析兩者的結(jié)果來(lái)判定主機(jī)流量的異常性：若定量分析和定性分析兩者中存在任一者判定主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)為異常流量，則認(rèn)定存在主機(jī)異常流量。其可在多維度、多場(chǎng)景，并根據(jù)不同篩選條件確定基線(xiàn)，具有檢測(cè)準(zhǔn)確度更高、覆蓋場(chǎng)景多、基線(xiàn)確定精確的優(yōu)點(diǎn)。

技術(shù)領(lǐng)域

本發(fā)明屬于流量檢測(cè)技術(shù)領(lǐng)域，尤其涉及一種基于訪(fǎng)問(wèn)基線(xiàn)的主機(jī)異常流量檢測(cè)方法、系統(tǒng)及設(shè)備。

背景技術(shù)

本部分的陳述僅僅是提供了與本發(fā)明相關(guān)的背景技術(shù)信息，不必然構(gòu)成在先技術(shù)。

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，主機(jī)每日的網(wǎng)絡(luò)訪(fǎng)問(wèn)流量逐步增長(zhǎng)。先前基于人工判斷主機(jī)訪(fǎng)問(wèn)是否異常的方式已變得不再可能。因此如何從海量的主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)中進(jìn)行異常流量檢測(cè)面臨巨大挑戰(zhàn)。

現(xiàn)階段主機(jī)異常流量檢測(cè)主要包含以下方法：（1）基于規(guī)則：通過(guò)程序開(kāi)發(fā)完成檢測(cè)規(guī)則的設(shè)計(jì)，在獲取主機(jī)流量數(shù)據(jù)后進(jìn)行規(guī)則匹配和篩選。通過(guò)篩選的則被判定為異常流量數(shù)據(jù)。基于規(guī)則的異常流量檢測(cè)方法由于規(guī)則相對(duì)固定、流程相對(duì)固定，存在靈活性、擴(kuò)展性不強(qiáng)的問(wèn)題。且由于規(guī)則存在嚴(yán)格的條件限制，也會(huì)包含較高的誤判率。對(duì)于數(shù)據(jù)量較大的情況，對(duì)性能也是一個(gè)極大的挑戰(zhàn)。（2）基于統(tǒng)計(jì)或機(jī)器學(xué)習(xí)方法：利用統(tǒng)計(jì)學(xué)方法或傳統(tǒng)機(jī)器學(xué)習(xí)方法建立流量訪(fǎng)問(wèn)基線(xiàn)或均值，并建立誤差區(qū)間。最后對(duì)需要檢測(cè)的數(shù)據(jù)進(jìn)行聚合或分組操作，與基線(xiàn)進(jìn)行對(duì)比判定，若不存在誤差區(qū)間內(nèi)則被判定為異常流量數(shù)據(jù)。基于統(tǒng)計(jì)或機(jī)器學(xué)習(xí)方法可較好實(shí)現(xiàn)異常流量檢測(cè)，但是在大數(shù)據(jù)的前提下，傳統(tǒng)方法則較難提取出數(shù)據(jù)中的共性特征，對(duì)檢測(cè)準(zhǔn)確度會(huì)有較大不利影響。（3）基于深度學(xué)習(xí)方法：隨著流量數(shù)據(jù)的指數(shù)增長(zhǎng)，利用深度學(xué)習(xí)方法進(jìn)行異常流量檢測(cè)則變得越來(lái)越流行，通過(guò)構(gòu)造數(shù)據(jù)集、模型搭建和訓(xùn)練、結(jié)果預(yù)測(cè)的方式完成對(duì)異常流量的檢測(cè)。該方法相比統(tǒng)計(jì)或機(jī)器學(xué)習(xí)方法檢測(cè)準(zhǔn)確度較高，但對(duì)訓(xùn)練數(shù)據(jù)有較高要求。由于主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)區(qū)別與傳統(tǒng)文本，不存在語(yǔ)義及上下文信息，因此基于深度學(xué)習(xí)方法提取出的特征有效性差，進(jìn)而影響流量異常檢測(cè)的效率。

發(fā)明內(nèi)容

為了解決上述背景技術(shù)中存在的技術(shù)問(wèn)題，本發(fā)明提供一種基于訪(fǎng)問(wèn)基線(xiàn)的主機(jī)異常流量檢測(cè)方法、系統(tǒng)及設(shè)備，其可在多維度、多場(chǎng)景，并根據(jù)不同篩選條件確定基線(xiàn)，具有檢測(cè)準(zhǔn)確度更高、覆蓋場(chǎng)景多、基線(xiàn)確定精確的優(yōu)點(diǎn)。

為了實(shí)現(xiàn)上述目的，本發(fā)明采用如下技術(shù)方案：

本發(fā)明的第一個(gè)方面提供一種基于訪(fǎng)問(wèn)基線(xiàn)的主機(jī)異常流量檢測(cè)方法，其包括：

獲取預(yù)設(shè)時(shí)間段內(nèi)主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)，并基于定量分析基線(xiàn)和定性分析基線(xiàn)分別對(duì)應(yīng)進(jìn)行定量分析和定性分析；其中，定量分析基線(xiàn)和定性分析基線(xiàn)是基于設(shè)定歷史時(shí)間段內(nèi)的主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)而構(gòu)建的；

基于定量分析和定性分析兩者的結(jié)果來(lái)判定主機(jī)流量的異常性：若定量分析和定性分析兩者中存在任一者判定主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)為異常流量，則認(rèn)定存在主機(jī)異常流量。

作為一種實(shí)施方式，在基于定量分析基線(xiàn)進(jìn)行定量分析的過(guò)程中，對(duì)主機(jī)訪(fǎng)問(wèn)數(shù)據(jù)進(jìn)行聚合和分組之后，判斷是否落在定量分析基線(xiàn)的誤差區(qū)間內(nèi)，若落在誤差區(qū)間外，則被判定為異常流量。

作為一種實(shí)施方式，定量分析基線(xiàn)的誤差區(qū)間為[平均值-標(biāo)準(zhǔn)差,平均值+標(biāo)準(zhǔn)差]。

作為一種實(shí)施方式，在確定定量分析基線(xiàn)的誤差區(qū)間之前進(jìn)行噪音數(shù)據(jù)排除處理。這樣能夠有效完成異常流量檢測(cè)。