一种复杂网络环境下异常流量检测方法与流程

1.本发明涉及一种异常流量检测方法，特别涉及一种复杂网络环境下异常流量检测方法，属于计算机网络领域。


背景技术：

2.在现有的流量异常检测方法中，通常选取网站地址的请求数量、流量、服务器的处理时间等指标作为分析网站流量异常的指标。在该方法中，简单的设定闽值，如果上述指标超过设定的闽值则认为网站流量异常。在上述方法中，设定的闽值没有概率统计的基础，均为程序员人为设置，随意性很大，结果不可靠。并且指标本身是随时间变化的，譬如在工作日和节假日，流量本身就不一样；晚上九点钟的流量和凌晨四点的流量，也不一样。而设定一定闽值来判断网站的流量是否异常必然带来误判。针对上述的问题，目前尚未提出有效的解决方案。


技术实现要素：

3.本发明为了解决上述现有技术中存在问题，提供一种复杂网络环境下异常流量检测方法，以解决现在的技术问题。
4.本发明解决其技术问题所采用的技术方案是：
5.本发明提供了一种复杂网络环境下异常流量检测方法，包括：
6.信息采集：
7.以预设的时间段为周期，采集若干周期中各个浏览器的流量建立数据库，对数据库中的数据进行加权平均计算数据库中的每个浏览器的平均流量；
8.异常检测：
9.计算下一个周期中各个浏览器的流量，与所述数据库中的平均流量进行除法运算，运算结果与预设的阈值进行比较，若运算结果超过阈值，则为异常流量，若运算结果不超过阈值，则更新所述数据库，继续计算下一个周期中各个浏览器的流量。
10.优选的，所述数据库中包括每个浏览器在各个周期中的流量、每个浏览器的周期数目、每个浏览器的平均流量和常用浏览器代号，所述常用浏览器代号为平均流量最多的浏览器的代号。
11.优选的，所述阈值包括常用浏览器阈值和其他阈值。
12.优选的，更新所述数据库包括：
13.添加数据：
14.将本周期中的流量数据添加到数据库中，数据库中的周期数目加1；
15.更新平均流量：
16.将本周期中的流量数据乘以权重t，然后与平均流量取加权平均值作为新的平均流量；
17.更新常用浏览器代号：
18.重新比较各个浏览器的平均流量，取平均流量最大的浏览器作为常用浏览器。
19.优选的，所述信息采集阶段中的每个浏览器的平均流量的计算方法为各个周期中流量的算术平均值。
20.本发明的有益效果是：本技术文件通过监测浏览器的流量来确定流量异常的浏览器，进而根据这个浏览器的访问数据来监测异常网站，相对于现有的依赖人工排查异常网站的方法，达到了快速并准确检测流量异常网站的目的，进而解决了现有技术中检测网站流量异常准确率较低的技术问题，从而实现了提高流量异常网站检测效率的技术效果。
附图说明
21.本发明的上述的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解，其中：
22.图1是本发明实施例的复杂网络环境下异常流量检测方法的流程框图图。
具体实施方式
23.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
24.本发明提供了一种复杂网络环境下异常流量检测方法，包括：
25.信息采集：
26.以预设的时间段为周期，采集若干周期中各个浏览器的流量建立数据库，对数据库中的数据进行加权平均计算数据库中的每个浏览器的平均流量；
27.异常检测：
28.计算下一个周期中各个浏览器的流量，与数据库中的平均流量进行除法运算，运算结果与预设的阈值进行比较，若运算结果超过阈值，则为异常流量，若运算结果不超过阈值，则更新数据库，继续计算下一个周期中各个浏览器的流量。
29.其中，信息采集的作用是建立初始数据库，其中预设的周期长度可以选择10min，20min，30min等，根据需要选择，此步骤中的平均流量的计算采用算术平均方法，即权重相同的加权平均；信息采集的总时间一般可以选择1-10天左右，不应该少于一天，异常检测的作用是检测流量异常的浏览器。
30.数据库中包括每个浏览器在各个周期中的流量、每个浏览器的周期数目、每个浏览器的平均流量和常用浏览器代号，常用浏览器代号为平均流量最多的浏览器的代号。
31.阈值包括常用浏览器阈值m和其他阈值n，常用浏览器的阈值为常用浏览器阈值m，其他浏览器的阈值为其他阈值n，其中，常用浏览器由于经常使用，其流量波动较小，其阈值m可以取2-10，其他浏览器由于不常使用，其流量波动一般较大，其阈值n可以取10-20，阈值的选择也需要根据周期长度来选择，一般周期长度越长，其阈值也相应的要选择越小的。
32.更新数据库包括：
33.添加数据：
34.将本周期中的流量数据添加到数据库中，数据库中的周期数目加1；将每个周期中
的流量数据添加到数据库中的好处是可以保存原始数据，方便以后其他流量检测算法的开发，特别的，在存储空间有限的情况下，可以定期删除原始数据。
35.更新平均流量：
36.将本周期中的流量数据乘以权重t，然后与平均流量取加权平均值作为新的平均流量；权重t的设置的作用是使最新的数据具有更高权重，t的取值一般可以取2-10，某个浏览器的新的平均流量的计算公式为其中，l
*
为本浏览器的原平均流量，x为本次更新之前的数据库中的本浏览器的周期数目，ln为本浏览器的当前周期中的流量。
37.更新常用浏览器代号：
38.重新比较各个浏览器的平均流量，取平均流量最大的浏览器作为常用浏览器。
39.信息采集阶段中的每个浏览器的平均流量的计算方法为各个周期中流量的算术平均值。
40.如图1所示，具体步骤为：
41.s101：以预设的时间段为周期，采集若干周期中各个浏览器的流量建立数据库，同时计算周期数目，其中，各个浏览器包括被监测设备所安装的全部浏览器，每个浏览器设置一个代号；
42.s102：计算数据库中的各个浏览器的平均流量，此步骤使用算术平均方法进行计算，通过平均流量确定常用浏览器；
43.s103：计算下一个周期中各个浏览器的流量，使用这个流量值除以平均流量，每个浏览器会得到一个计算结果；
44.s104：将这些计算结果分别与相应的阈值进行比较，若有任一一个结果比其相应的阈值大，则执行s201，若所有结果都小于等于相应的阈值，则执行s105；
45.s201：输出流量异常警报。
46.s105：将本周期中的流量数据添加到数据库中，数据库中的周期数目加1；
47.s106：将本周期中的流量数据乘以权重t，然后与平均流量取加权平均值作为新的平均流量；
48.s107：重新比较各个浏览器的平均流量，取平均流量最大的浏览器作为常用浏览器
49.s108：使用更新后的数据库替换原数据库，继续执行s103。
50.本技术文件通过监测浏览器的流量来确定流量异常的浏览器，进而根据这个浏览器的访问数据来监测异常网站，相对于现有的依赖人工排查异常网站的方法，达到了快速并准确检测流量异常网站的目的，进而解决了现有技术中检测网站流量异常准确率较低的技术问题，从而实现了提高流量异常网站检测效率的技术效果。
51.最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。