异常流量检测方法、DDoS攻击检测方法、装置和电子设备与流程

异常流量检测方法、ddos攻击检测方法、装置和电子设备
技术领域
1.本技术实施例涉及计算机技术领域，特别是涉及一种异常流量检测方法、ddos攻击检测方法、装置和电子设备。


背景技术：

2.随着互联网技术的发展，ddos(distributed denial of service attack，分布式拒绝服务攻击)等网络恶意攻击行为日益增多，互联网服务提供商、因特网内容提供商、互联网数据中心等运营商面临的安全和运营挑战不断加剧。为保障网络安全，需要对网络流量进行检测，以确定其是否为网络恶意攻击行为时的异常流量。
3.现有技术中，通常通过人工设定固定的流量阈值，当网络中某一用户产生的流量超过该流量阈值时，判定遭受网络恶意攻击，从而将该用户产生的流量识别为异常流量。然而，由于每个用户的访问习惯以及访问的服务各不相同，对所有用户采用通用的流量阈值规则容易造成误检和漏检，导致异常流量检测的准确性较低。


技术实现要素：

4.本技术实施例提出了异常流量检测方法、ddos攻击检测方法、装置和电子设备，以提高异常流量检测结果的准确性。
5.第一方面，本技术实施例提供了一种异常流量检测方法，包括：获取实时流量的流量成分数据；确定所述实时流量的来源用户，并获取所述来源用户的流量成分画像，其中，所述流量成分画像基于所述来源用户的历史正常流量成分数据预先生成；检测所述实时流量的流量成分数据与所述流量成分画像的相似度；基于所述相似度，确定所述实时流量是否为异常流量。
6.第二方面，本技术实施例提供了一种异常流量检测方法，包括：第一获取单元，被配置成获取实时流量的流量成分数据；第二获取单元，被配置成确定所述实时流量的来源用户，并获取所述来源用户的流量成分画像，其中，所述流量成分画像基于所述来源用户的历史正常流量成分数据预先生成；检测单元，被配置成检测所述实时流量的流量成分数据与所述流量成分画像的相似度；确定单元，被配置成基于所述相似度，确定所述实时流量是否为异常流量。
7.第三方面，本技术实施例还提供了一种ddos攻击检测方法，包括：获取实时流量的流量成分数据；确定所述实时流量的来源用户，并获取所述来源用户的流量成分画像，其中，所述流量成分画像基于所述来源用户的历史正常流量成分数据预先生成，所述历史正常流量成分数据不含ddos攻击流量的流量成分数据；检测所述实时流量的流量成分数据与所述流量成分画像的相似度；基于所述相似度，确定是否遭受ddos攻击。
8.第四方面，本技术实施例还提供了一种ddos攻击检测装置，包括：第一获取单元，被配置成获取实时流量的流量成分数据；第二获取单元，被配置成确定所述实时流量的来源用户，并获取所述来源用户的流量成分画像，其中，所述流量成分画像基于所述来源用户
的历史正常流量成分数据预先生成，所述历史正常流量成分数据不含ddos攻击流量的流量成分数据；检测单元，被配置成检测所述实时流量的流量成分数据与所述流量成分画像的相似度；确定单元，被配置成基于所述相似度，确定是否遭受ddos攻击。
9.第五方面，本技术实施例还提供了一种流量成分画像生成方法，包括：通过时间序列分解算法对用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，其中，所述历史正常流量成分数据包含多种流量成分的值；基于所述时间序列分解结果，确定每种流量成分的基准值；将所述每种流量成分的基准值汇总，得到所述用户的流量成分画像。
10.第六方面，本技术实施例还提供了一种流量成分画像生成装置，包括：分解单元，被配置成通过时间序列分解算法对用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，其中，所述历史正常流量成分数据包含多种流量成分的值；确定单元，被配置成基于所述时间序列分解结果，确定每种流量成分的基准值；汇总单元，被配置成将所述每种流量成分的基准值汇总，得到所述用户的流量成分画像。
11.第七方面，本技术实施例还提供了一种电子设备，包括：处理器；以及存储器，其上存储有可执行代码，当所述可执行代码被执行时，使得所述处理器执行如本技术实施例中一个或多个所述的异常流量检测方法。
12.第八方面，本技术实施例还提供了一个或多个机器可读介质，其上存储有可执行代码，当所述可执行代码被执行时，使得处理器执行如本技术实施例中一个或多个所述的异常流量检测方法。
13.与现有技术相比，本技术实施例包括以下优点：
14.在本技术实施例中，通过获取实时流量的流量成分数据，检测该流量成分数据与该实时流量的来源用户的流量成分画像的相似度，并基于该相似度，确定该实时流量是否为异常流量，从而能够实时地针对用户产生的流量进行个性化地检测，实时发现流量异常。由于流量成分画像是基于历史正常流量成分数据生成，能够表征用户产生的正常流量的特征，因而基于实时流量成分数据与该流量成分画像的相似度进行异常流量的判定，能够降低异常流量检测的漏检率和误检率，从而提升异常流量检测结果的准确性。
15.在ddos攻击检测场景中，通过获取实时流量的流量成分数据，检测该流量成分数据与产生该实时流量的来源用户的流量成分画像的相似度，并基于该相似度，确定是否遭受ddos攻击，从而能够实时地针对不同用户产生的流量进行个性化地检测，实时发现ddos攻击。由于产生该实时流量的来源用户的流量成分画像是基于来源用户的历史正常流量成分数据生成，且历史正常流量成分数据不含ddos攻击流量的流量成分数据，因而能够表征用户产生的正常流量的特征，因而基于实时流量成分数据与该流量成分画像的相似度进行ddos攻击的判定，能够降低ddos攻击的漏检率和误检率，从而提升ddos攻击检测结果的准确性。
附图说明
16.通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本技术的其它特征、目的和优点将会变得更明显：
17.图1a是本技术的异常流量检测方法的一个应用场景的示意图；
18.图1b是本技术的异常流量检测方法的一个实施例的流程图；
19.图2是本技术的流量成分画像生成过程的流程图；
20.图3是本技术实施例的时间序列分解结果的示意图；
21.图4是本技术中基于相似度确定实时流量是否为异常流量的流程图；
22.图5是本技术的异常流量检测方法的又一个实施例的流程图；
23.图6是本技术的异常流量检测装置的一个实施例的结构示意图；
24.图7是本技术的ddos攻击检测方法的一个实施例的流程图；
25.图8是本技术的ddos攻击检测装置的一个实施例的流程图；
26.图9是本技术的流量成分画像生成方法的一个实施例的流程图；
27.图10是本技术的流量成分画像生成装置的一个实施例的流程图；
28.图11是本技术一实施例提供的装置的结构示意图。
具体实施方式
29.下面结合附图和实施例对本技术作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。
30.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
31.本技术实施例可应用于异常流量检测场景，如ddos(distributed denial of service attack，分布式拒绝服务攻击)下的攻击流量检测场景、暴力破解场景、恶意挖矿场景、恶意扫描和爬虫场景等。其中，ddos是一种攻击方式，其通过向服务器发送大量的正常访问请求来攻击服务器，以达到占用甚至耗尽服务器的服务资源的目的。当服务器遭受ddos流量攻击时，会导致合法用户无法得到服务器的响应，甚至导致服务器的瘫痪。为保证云上各个用户网络安全，需要秒级识别海量用户的ddos攻击，防止ddos攻击流量太大影响合法用户的正常访问。在暴力破解场景中，同一ip(internet protocol address，互联网协议)地址会持续多次异常登录，导致占用较多的带宽资源，同时对服务器安全产生威胁。因而，需要检测出暴力破解场景下的异常流量，保证合法用户的正常访问。此外，在恶意挖矿、恶意扫描和爬虫等场景中，也存在服务器资源被大量占用的情况，因此，恶意挖矿、恶意扫描和爬虫等场景也需要进行异常流量检测。需要说明的是，本技术实施例可应用于的异常流量检测场景不限于上述列举。因异常流量与正常流量在流量成分的维度通常存在区别，故本技术实施例以基于历史正常流量成分数据生成的流量成分画像作为比对基础，通过将实时流量的流量成分数据与实时流量的来源用户的流量成分画像进行相似度计算，判定实时流量是否为异常流量，从而实时且个性化地异常流量检测，可降低异常流量检测的漏检率和误检率，提升异常流量检测结果的准确性。
32.图1a为本技术的异常流量检测方法的一个应用场景的示意图。在图1a中，异常流量检测方法的执行装置(如服务器等电子设备)可预先存储海量用户的流量成分画像。如用户a的流量成分画像、用户b的流量成分画像、用户c的流量成分画像等。需要说明的是，此处的用户可以是单一的某个具体用户，也可以是某个用户群体或公用某台服务器资源的用户集群。上述执行装置可实时进行网络流量中的流量成分数据的采集。对于实时检测到的访
问流量，可选取该访问流量的来源用户的流量成分画像，将该访问流量的流量成分数据与所选取的流量成分画像进行相似度计算。如图1a所示，当前访问的用户包括用户b，上述执行装置可以从所存储的海量用户的流量成分画像中读取用户b的流量成分画像，将当前用户b的流量成分数据与用户b的流量成分画像进行相似度计算，从而基于相似度计算结果确定用户b的访问流量是否为异常流量。
33.图1b为本技术的异常流量检测方法的一个实施例的流程图。具体的处理过程包括以下步骤：
34.步骤101，获取实时流量的流量成分数据。
35.在本实施例中，异常流量检测方法的执行装置(如服务器等电子设备)可将针对某目标服务器或目标服务器集群的实时访问流量作为待检测的实时流量，获取该实时流量的流量成分数据。
36.实践中，可在各个机房入口部署流量成分数据采集器，通过流量成分数据采集器，可秒级采集多种流量成分数据，并实时记录于日志中。可实时将日志中的流量成分数据进行汇总，并传输至异常流量检测方法的执行装置，使上述执行装置得到实时流量的流量成分数据。
37.其中，流量成分数据可包含多种流量成分的值。流量成分可以包括但不限于比特率(bytes per second，bps)、包转发率(packet per second，pps)、用户数据报协议(user datagram protocol，udp)流量、因特网控制报文协议(internet control message protocol，icmp)流量、同步序列编号(synchronize sequence numbers，syn)流量、确认字符(acknowledge character，ack)流量、超文本传输协议(hypertext transfer protocol，http)请求流量、超文本传输协议应答流量、域名系统(domain name system，dns)流量等。
38.步骤102，确定实时流量的来源用户，并获取来源用户的流量成分画像。
39.在本实施例中，上述执行装置可通过访问流量中所携带的源ip地址，确定上述实时流量的来源用户。例如可直接使用源ip地址表征来源用户。所述执行装置可从预先生成的海量用户的流量成分画像中选取该来源用户的流量成分画像。
40.此处，每个用户的流量成分画像可基于该用户的历史正常流量成分数据预先生成。例如，可通过离线方式预先生成，以避免影响对线上访问请求的响应速度。具体地，可对该用户的历史正常流量成分数据按照各种规则进行统计，得到每种流量成分的基准值，从而将各种流量成分的基准值汇总，得到该用户的流量成分画像。
41.每个用户的历史正常流量成分数据可以是该用户的历史流量的流量成分数据中的非异常数据，具体可是该用户的目标历史时段(如前一周)的历史流量的流量成分数据中的非异常数据，以保证流量成分画像基于近期数据得到，使流量成分画像尽可能保持最新。其中，异常数据可以是ddos等攻击时的流量成分数据。历史正常流量成分数据可包含多种流量成分的值，例如，此处所涉及的流量成分与上述实时流量的流量成分数据涉及的流量成分相同，也可包括但不限于上述实时流量的流量成分数据涉及的流量成分。
42.每个用户的流量成分画像可包含各个流量成分(如比特率、包转发率、用户数据报协议流量、因特网控制报文协议流量、同步序列编号流量、确认字符流量、超文本传输协议请求流量、超文本传输协议应答流量、域名系统流量等)的基准值，用以作为比较基础。
43.在一些可选的实现方式中，参见图2，来源用户的流量成分画像可通过如下子步骤
s11至子步骤s13预先生成：
44.子步骤s11，通过时间序列分解算法对来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果。
45.具体地，可首先获取来源用户的历史正常流量成分数据；而后，采用时间序列分解算法，如stl(seasonal-trend decomposition procedure based on loess，基于局部多项式回归拟合的时间序列分解)算法，分别对每种历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果。
46.以stl算法为例，stl算法能够基于loess(locally weighted scatterplot smoothing，局部多项式回归拟合)，将某时间点的数据y分解为趋势分量(trend component)、周期分量(seasonal component)和残差分量(remainder component)，依次记为s、t和r。对于一个时间序列y(t)，则可以分解成s(t)、t(t)和r(t)，其中，y(t)＝s(t) t(t) r(t)。s(t)为时间序列y(t)的趋势分量，t(t)为时间序列y(t)的周期分量，r(t)为时间序列y(t)的残差分量。s(t)、t(t)和r(t)均为时间序列。其中，时间序列也称动态数列，是指将同一统计指标的数值按其发生的时间先后顺序排列而成的数列。
47.由此，针对每种历史正常流量成分数据，通过stl算法分别对该种历史正常流量成分数据进行分解，即可得到包含趋势分量、周期分量和残差分量的时间序列分解结果。例如，若历史正常流量成分数据包括比特率、包转发率、用户数据报协议流量和因特网控制报文协议流量四种流量成分的数据，则可分别得到与比特率对应的时间序列分解结果、与包转发率对应的时间序列分解结果、与用户数据报协议流量对应的时间序列分解结果和与因特网控制报文协议流量对应的时间序列分解结果。
48.在一些示例中，在获取来源用户的历史正常流量成分数据时，可首先获取来源用户在目标历史时段(如最近一周)内的历史流量的流量成分数据。而后过滤历史流量的流量成分数据中的异常数据，得到上述来源用户的历史正常流量成分数据。此处的异常数据可包括历史网络攻击(如ddos)时所采集的流量成分数据。通过过滤历史流量的流量成分数据中的异常数据，能够防止历史网络攻击时的异常数据对后续计算流量成分画像中的基准值时产生影响，从而保证流量成分画像的准确性。
49.在一些示例中，在过滤历史流量的流量成分数据中的异常数据时，可按照拉依达准则执行。拉依达准则的执行原理为，假设一组检测数据只含有随机误差，对其进行计算处理得到标准偏差，按一定概率确定一个区间，将超过这个区间的误差视为粗大误差，将含有粗大误差的数据剔除。
50.将拉依达准则应用于过滤历史流量的流量成分数据中的异常数据的过程，可参见如下步骤：首先，对历史流量的流量成分数据进行统计，得到每种流量成分的标准偏差。而后，基于所得到的标准偏差，确定每种流量成分的误差区间。例如，可将大于或等于0且小于或等于3倍的标准偏差的数值区间作为误差区间。之后，对于每种流量成分，从历史流量的该种流量成分对应的流量成分数据中，查找剩余误差位于该种流量成分的误差区间以外的异常数据。最后，过滤所查找到的异常数据，得到来源用户的历史正常流量成分数据。通过上述步骤，可有效地过滤历史流量的流量成分数据中的异常数据，保证后续所计算出的流量成分画像的准确性。
51.在一些示例中，采用时间序列分解算法分别对每种历史正常流量成分数据进行分
解，具体可按照如下步骤执行：首先，按照历史时间点(具体可以按照历史时间点由先到后的次序)，分别将每种流量成分对应的历史正常流量成分数据汇总为时间序列。而后，通过时间序列分解算法，如上述stl算法，分别对每种流量成分对应的时间序列进行分解，得到不同流量成分对应的时间序列分解结果。作为示例，图3示出了一个时间序列分解结果的示意图。如图3所示，对某种流量成分对应的时间序列进行分解后，所得到不同流量成分对应的时间序列分解结果可包括趋势分量、周期分量和残差分量，且趋势分量、周期分量和残差分量均为时间序列。
52.子步骤s12，基于时间序列分解结果，确定每种流量成分的基准值。
53.此处，每种流量成分对应的时间序列，能够反映该种流量成分的数值的变化趋势。可预先设定周期长度(如一周)，则每种流量成分对应的时间序列能够反映该种流量成分的数值在预设周期长度内的变化趋势。鉴于此，可首先从历史时间点中选取目标历史时间点。该目标历史时间点可以是周期中与检测时间点对应的历史时间点。由于流量实时采集并实时检测，因而检测时间点可以是当前时间点。而后，基于该目标历史时间点的时间序列分解结果确定每种流量成分的基准值。
54.在选取目标历史时间点时，可首先确定检测时间点将位于周期中的次序，而后将周期内相同次序的历史时间点作为目标历史时间点。下面以一比特率为例进行说明，比特率的时间序列是以每一天作为一个历史时间点，将各历史时间点的来源用户所产生的历史流量的比特率进行汇总后生成。预先设定一周为一个周期，若检测时间点为周二，则目标历史时间点即为最近一周中的周二，即上周二。此时，可基于上周二的时间序列分解结果(如上周二的趋势分量、周期分量和残差分量)，确定比特率的基准值。
55.在基于目标历史时间点的时间序列分解结果确定每种流量成分的基准值时，可采用多种预设的计算方式计算。作为一个示例，针对每种流量成分，可首先读取该种流量成分的时间序列中的目标历史时间点的时间序列分解结果。而后将目标历史时间点的时间序列分解结果中的各项相加或加权求和。最后将相加结果或者加权求和结果作为该种流量成分的基准值。作为又一示例，针对每种流量成分，可首先从该种流量成分的时间序列中获取历史峰值，并读取该种流量成分的时间序列中的目标历史时间点的时间序列分解结果。而后将历史峰值与目标历史时间点的时间序列分解结果中的各项相加或者加权求和。最后将相加结果或者加权求和结果作为该种流量成分的基准值。由于这种方式考虑了时间序列中的峰值，因此减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，提高了异常流量检测的准确性。
56.在一些可选的实现方式中，基于流量成分的时间序列分解结果，可通过如下步骤确定基准值：
57.第一步，选取目标历史时间点。此步骤可参见上文描述，这里不再赘述。在执行第一步后，可分别对于每种流量成分，执行如下第二步至第五步的操作。
58.第二步，从该种流量成分对应的时间序列中，选取历史峰值(记为peak)。
59.第三步，基于该种流量成分对应的时间序列中的数值，计算该种流量成分的波动系数序列(记为pi)，i表示历史时间点的次序。可将该种流量成分对应的时间序列中的数值表示为ni。此时，pi可通过如下公式求取：
60.pi＝log(ni 平滑系数)
–
log(n
i-1
平滑系数)
61.其中，平滑系数为预设值，可根据经验预先设定。
62.第四步，从波动系数序列中选取目标历史时间点对应的目标波动系数(记为p*)，并分别从趋势分量、周期分量和残差分量选取目标历史时间点对应的目标趋势值(记为s*)、目标周期值(记为t*)和目标残差值(记为r*)。
63.第五步，基于历史峰值、目标波动系数、目标趋势值、目标周期值和目标残差值，确定该种流量成分的基准值。
64.例如，可将上述各项相加，得到基准值。
65.再例如，可以首先对历史峰值、目标趋势值、目标周期值和预设倍数(记为m)的目标残差值求和，得到第一求和结果。而后将第一求和结果与目标波动系数的乘积作为该种流量成分的基准值。参见如下公式：
66.基准值＝(peak s* m
×
r* t*)
×
p*
67.由于这种方式考虑了时间序列中的峰值，因此减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，提高了异常流量检测的准确性。此外，由于这种方式考虑了波动系数，因而考虑到了前后的流量波动情况，进一步提高了异常流量检测的准确性。
68.子步骤s13，将每种流量成分的基准值汇总，得到来源用户的流量成分画像。
69.此处，可将每种流量成分的基准值汇总为一个多维向量，得到来源用户的流量成分画像。此处，可对所得到的流量成分画像直接进行存储，还可通过可视化的方式将流量成分画像进行呈现。例如，可以图表等形式呈现在界面上，以供技术人员查看和分析等。
70.需要说明的是，由于流量成分画像中的每种流量成分的基准值是基于检测时间点对应的目标历史时间点的时间序列分解结果得到，因而当检测时间点更新时，目标历史时间点随之变化，序列分解结果也随之变化，因而流量成分画像随之更新，实现了流量成分画像的自适应更新。
71.由此，通过时间序列分解算法分解对用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，并基于时间序列分解结果得到来源用户的流量成分画像，一方面，能够实现流量成分画像的自适应更新，使得流量成分画像针对来源用户的网络访问情况自适应变化，减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，提高了异常流量检测的准确性。另一方面，针对不同用户能够得到个性化的流量成分画像，相较于使用固定阈值进行异常流量检测，能够降低异常流量检测的漏检率和误检率，从而提升异常流量检测结果的准确性。
72.步骤103，检测实时流量的流量成分数据与流量成分画像的相似度。
73.在本实施例中，所述执行装置可以检测实时流量的流量成分数据与实时流量的来源用户的流量成分画像的相似度。需要说明的是，由于同一时间通常存在大量用户的访问流量，因而上述实时流量的来源用户可以是多个。此时，可分别对于每一个来源用户，检测该来源用户所产生的实时流量的流量成分数据与该来源用户的流量成分画像的相似度，分别得到与不同来源用户对应的相似度计算结果。
74.在检测实时流量的流量成分数据与来源用户的流量成分画像的相似度时，可通过余弦相似度算法、欧氏距离、杰卡德(jaccard)相似度算法等各种常用的相似度算法实现，对此不作具体限定。
75.在一些可选的实现方式中，流量成分画像可表示为一个多维向量。此时，以采用余弦相似度算法为例，可首先将实时流量的流量成分数据汇总为待测向量。而后，通过余弦相似度算法，计算该待测向量与来源用户的流量成分画像的相似度。
76.其中，流量成分画像中的每一个元素对应一种流量成分。在将实时流量的流量成分数据汇总为待测向量时，可首先按照流量成分画像中的各元素对应的流量成分的次序，对实时流量的流量成分数据进行排序；而后按照排序结果将实时流量的流量成分数据汇总为待测向量。由此，使待测向量与流量成分画像中的元素一一对应，便于进行相似度计算。
77.步骤104，基于相似度，确定实时流量是否为异常流量。
78.在本实施例中，执行装置可以基于上述步骤中所计算出的相似度，确定实时流量是否为异常流量。例如，若相似度小于预设阈值，可将实时流量确定为异常流量；若相似度大于或等于预设预支，可将实时流量确定为正常流量。可选的，在检测出来源用户产生的流量为异常流量，还可以对该实时流量进行清洗，如限流、拦截等。
79.需要说明的是，若存在多个来源用户，则对于每一个来源用户，可基于该来源用户产生的实时流量的流量成分数据与该来源用户的流量成分画像的相似度，确定该来源用户产生的实时流量是否为异常流量。
80.在一些可选的实现方式中，如图4所示，基于相似度，还可通过如下子步骤s21至子步骤s23确定实时流量是否为异常流量：
81.子步骤s21，基于实时流量的流量成分数据，确定每种流量成分的异常系数。
82.此处，异常系数可以通过预设的各种计算方式计算得到，在一些示例中，对于每种流量成分，可直接将该种流量成分在流量成分画像中的元素值与实时流量的流量成分数据中的该项流量成分对应的数值的比值，作为该种流量成分的异常系数。
83.在另一些示例中，对于每种流量成分，可首先将该种流量成分在流量成分画像中的元素值(可记为train)与预设的平滑参数(可记为smoothness)求和，得到第二求和结果。而后，将实时流量的流量成分数据中的该项流量成分对应的数值(可记为original)与平滑参数求和，得到第三求和结果。最后，将第二求和结果与第三求和结果的比值，确定为该种流量成分的异常系数。具体参见如下公式：
84.异常系数＝(smoothness train)/(smoothness original)
85.子步骤s22，从所确定的异常系数中选取最小异常系数，并确定最小异常系数与相似度的乘积。
86.子步骤s23，基于乘积与预设阈值的比较，确定实时流量是否为异常流量。
87.此处，响应于上述乘积小于预设阈值，可将实时流量确定为异常流量；响应于上述乘积大于或等于预设预支，可将实时流量确定为正常流量。
88.通过计算每种流量成分的异常系数，并从中选取最小异常系数对相似度进行修正，放大了攻击导致单种成分异常的情况，更容易区分正常流量和异常流量，进一步提升了异常流量检测的准确性。
89.本技术实施例所提供的异常流量检测方法，通过获取实时流量的流量成分数据，检测该流量成分数据与产生该实时流量的来源用户的流量成分画像的相似度，并基于该相似度，确定实时流量是否为异常流量，从而能够实时地针对不同用户产生的流量进行个性化地检测，实时发现流量异常。由于产生该实时流量的来源用户的流量成分画像是基于来
源用户的历史正常流量成分数据生成，能够表征用户产生的正常流量的特征，因而基于实时流量成分数据与该流量成分画像的相似度进行异常流量的判定，能够降低异常流量检测的漏检率和误检率，从而提升异常流量检测结果的准确性。
90.进一步地，通过时间序列分解算法分解对来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，并基于时间序列分解结果得到来源用户的流量成分画像，能够实现流量成分画像的自适应更新，使流量成分画像针对来源用户的网络访问情况实时变化，减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，避免正常流量误检，进一步提高了异常流量检测的准确性。
91.更进一步地，通过计算每种流量成分的异常系数，并从中选取最小异常系数对相似度进行修正，放大了攻击导致单种成分异常的情况，更容易区分正常流量和异常流量，进一步提升了异常流量检测的准确性。
92.继续参考图5，示出了本技术的异常流量检测方法的一个实施例的流程图。该异常流量检测方法的流程，包括以下步骤：
93.步骤501，获取实时流量的流量成分数据。
94.在本实施例中，异常流量检测方法的执行装置(如服务器等电子设备)可将针对某目标服务器或目标服务器集群的实时访问流量作为待检测的实时流量，通过部署流量成分数据采集器获取该实时流量的流量成分数据。其中，流量成分数据可包含多种流量成分的值。流量成分可以包括但不限于比特率、包转发率、用户数据报协议流量、因特网控制报文协议流量、同步序列编号流量、确认字符流量、超文本传输协议请求流量、超文本传输协议应答流量、域名系统流量等。
95.本实施例的步骤501与上述实施例对应步骤101的描述类似，具体可参见上述实施例的描述，此处不再赘述。
96.步骤502，确定实时流量的来源用户，并获取来源用户的流量成分画像。
97.在本实施例中，上述执行装置可以通过访问流量中所携带的源ip地址，确定实时流量的来源用户。而后，从预先存储的海量用户的流量成分画像中，读取来源用户的流量成分画像。
98.其中，来源用户的流量成分画像可基于来源用户的历史正常流量成分数据预先生成。例如，可通过离线方式预先生成，以避免影响对线上访问请求的响应速度。具体地，可对该用户的历史正常流量成分数据按照各种规则进行统计，得到每种流量成分的基准值，从而将各种流量成分的基准值汇总，得到该用户的流量成分画像。
99.历史正常流量成分数据可以是来源用户的历史流量的流量成分数据中的非异常数据，具体可是来源用户的目标历史时段(如前一周)的历史流量的流量成分数据中的非异常数据，以保证流量成分画像基于近期数据得到，使流量成分画像尽可能保持最新。历史正常流量成分数据可包含多种流量成分的值，例如，所对应的流量成分与上述实时流量的流量成分数据对应的流量成分相同，也可包括但不限于上述实时流量的流量成分数据对应的流量成分。
100.在一些可选的实现方式中，来源用户的流量成分画像可通过如下步骤预先生成：通过时间序列分解算法对来源用户的历史正常流量成分数据进行分解，得到不同流量成分
对应的时间序列分解结果；基于时间序列分解结果，确定每种流量成分的基准值；将每种流量成分的基准值汇总，得到来源用户的流量成分画像。
101.在一些可选的实现方式中，历史正常流量成分数据可以通过如下步骤获取：获取来源用户在目标历史时段内产生的历史流量的流量成分数据；过滤历史流量的流量成分数据中的异常数据，得到来源用户的历史正常流量成分数据。
102.在一些可选的实现方式中，上述过滤历史流量的流量成分数据中的异常数据，得到来源用户的历史正常流量成分数据，可以包括：对历史流量的流量成分数据进行统计，得到每种流量成分的标准偏差；基于所得到的标准偏差，确定每种流量成分的误差区间；对于每种流量成分，从历史流量的该种流量成分对应的流量成分数据中，查找剩余误差位于该种流量成分的误差区间以外的异常数据；过滤所查找到的异常数据，得到来源用户的历史正常流量成分数据。
103.在一些可选的实现方式中，上述通过时间序列分解算法对来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，可以包括：按照历史时间点，分别将每种流量成分对应的历史正常流量成分数据汇总为时间序列；通过时间序列分解算法分别对每种流量成分对应的时间序列进行分解，得到不同流量成分对应的时间序列分解结果。
104.在一些可选的实现方式中，时间序列分解结果包括趋势分量、周期分量和残差分量。以及，上述基于时间序列分解结果，确定每种流量成分的基准值，可以包括：选取目标历史时间点，并对于每种流量成分，执行如下步骤：从该种流量成分对应的时间序列中，选取历史峰值；基于该种流量成分对应的时间序列中的数值，计算该种流量成分的波动系数序列；从波动系数序列中选取目标历史时间点对应的目标波动系数，并分别从趋势分量、周期分量和残差分量选取目标历史时间点对应的目标趋势值、目标周期值和目标残差值；基于历史峰值、目标波动系数、目标趋势值、目标周期值和目标残差值，确定该种流量成分的基准值。
105.在一些可选的实现方式中，上述基于历史峰值、目标波动系数、目标趋势值、目标周期值和目标残差值，确定该种流量成分的基准值，可以包括：对历史峰值、目标趋势值、目标周期值和预设倍数的目标残差值求和，得到第一求和结果；将第一求和结果与目标波动系数的乘积，确定为该种流量成分的基准值。
106.通过时间序列分解算法分解对来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，并基于时间序列分解结果得到来源用户的流量成分画像，能够实现流量成分画像的自适应更新，使流量成分画像针对来源用户的网络访问情况实时变化，减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，进一步提高了异常流量检测的准确性。
107.本实施例的步骤502与上述实施例对应步骤102的描述类似，具体可参见上述实施例的描述，此处不再赘述。
108.步骤503，检测实时流量的流量成分数据与流量成分画像的相似度。
109.在本实施例中，所述执行装置可以检测实时流量的流量成分数据与实时流量的来源用户的流量成分画像的相似度。需要说明的是，由于同一时间通常存在大量用户的访问流量，因而上述实时流量的来源用户可以是多个。此时，可分别对于每一个来源用户，检测
该来源用户所产生的实时流量的流量成分数据与该来源用户的流量成分画像的相似度，分别得到与不同来源用户对应的相似度计算结果。
110.在一些可选的实现方式中，流量成分画像为多维向量。以及，上述检测实时流量的流量成分数据与流量成分画像的相似度，可以包括：将实时流量的流量成分数据汇总为待测向量；通过余弦相似度算法，确定待测向量与流量成分画像的相似度。
111.在一些可选的实现方式中，流量成分画像中的每一个元素对应一种流量成分。以及，上述将实时流量的流量成分数据汇总为待测向量，可以包括：按照流量成分画像中的各元素对应的流量成分的次序，对实时流量的流量成分数据进行排序；按照排序结果将实时流量的流量成分数据汇总为待测向量。
112.本实施例的步骤503与上述实施例对应步骤103的描述类似，具体可参见上述实施例的描述，此处不再赘述。
113.步骤504，基于实时流量的流量成分数据，确定每种流量成分的异常系数。
114.在本实施例中，上述执行装置可以基于实时流量的流量成分数据，通过预设的各种计算方式对流量成分数据进行计算，得到每种流量成分的异常系数。
115.在一些示例中，对于每种流量成分，可直接将该种流量成分在流量成分画像中的元素值与实时流量的流量成分数据中的该项流量成分对应的数值的比值，作为该种流量成分的异常系数。
116.在另一些示例中，对于每种流量成分，可首先将该种流量成分在流量成分画像中的元素值(可记为train)与预设的平滑参数(可记为smoothness)求和，得到第二求和结果。而后，将实时流量的流量成分数据中的该项流量成分对应的数值(可记为original)与平滑参数求和，得到第三求和结果。最后，将第二求和结果与第三求和结果的比值，确定为该种流量成分的异常系数。具体参见如下公式：
117.异常系数＝(smoothness train)/(smoothness original)
118.步骤505，从所确定的异常系数中选取最小异常系数，并确定最小异常系数与相似度的乘积。
119.步骤506，基于乘积与预设阈值的比较，确定实时流量是否为异常流量。
120.在本实施例中，响应于上述乘积小于预设阈值，可将实时流量确定为异常流量；响应于上述乘积大于或等于预设预支，可将实时流量确定为正常流量。可选的，在检测出来源用户产生的流量为异常流量，还可以对该实时流量进行清洗，如限流、拦截等。
121.从图5中可以看出，与图1b对应的实施例相比，本技术的上述实施例提供的方法，突出了通过计算每种流量成分的异常系数，并从中选取最小异常系数对上述相似度进行修正的步骤。由此，放大了攻击导致单种成分异常的情况，更容易区分正常流量和异常流量，进一步提升了异常流量检测的准确性。
122.需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本技术实施例并不受所描述的动作顺序的限制，因为依据本技术实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本技术实施例所必须的。
123.进一步参考图6，在上述实施例的基础上，本技术提供了一种异常流量检测装置的
一个实施例，该装置具体可以应用于各种电子设备中。
124.如图6所示，本实施例的异常流量检测装置600包括：第一获取单元601，被配置成获取实时流量的流量成分数据；第二获取单元602，被配置成确定所述实时流量的来源用户，并获取所述来源用户的流量成分画像，其中，所述流量成分画像基于所述来源用户的历史正常流量成分数据预先生成；检测单元603，被配置成检测所述实时流量的流量成分数据与所述流量成分画像的相似度；确定单元604，被配置成基于所述相似度，确定所述实时流量是否为异常流量。
125.在本实施例的一些可选的实现方式中，所述流量成分画像通过如下步骤预先生成：通过时间序列分解算法对所述来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，其中，所述历史正常流量成分数据包含多种流量成分的值；基于所述时间序列分解结果，确定每种流量成分的基准值；将所述每种流量成分的基准值汇总，得到所述来源用户的流量成分画像。
126.在本实施例的一些可选的实现方式中，所述历史正常流量成分数据通过如下步骤获取：获取所述来源用户在目标历史时段内产生的历史流量的流量成分数据；过滤所述历史流量的流量成分数据中的异常数据，得到所述来源用户的历史正常流量成分数据。
127.在本实施例的一些可选的实现方式中，所述过滤所述历史流量的流量成分数据中的异常数据，得到所述来源用户的历史正常流量成分数据，包括：对所述历史流量的流量成分数据进行统计，得到每种流量成分的标准偏差；基于所得到的标准偏差，确定每种流量成分的误差区间；对于每种流量成分，从所述历史流量的该种流量成分对应的流量成分数据中，查找剩余误差位于该种流量成分的误差区间以外的异常数据；过滤所查找到的异常数据，得到所述来源用户的历史正常流量成分数据。
128.在本实施例的一些可选的实现方式中，所述通过时间序列分解算法对所述来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，包括：按照历史时间点，分别将每种流量成分对应的历史正常流量成分数据汇总为时间序列；通过时间序列分解算法分别对每种流量成分对应的时间序列进行分解，得到不同流量成分对应的时间序列分解结果。
129.在本实施例的一些可选的实现方式中，所述时间序列分解结果包括趋势分量、周期分量和残差分量；以及，所述基于所述时间序列分解结果，确定每种流量成分的基准值，包括：选取目标历史时间点，并对于每种流量成分，执行如下步骤：从该种流量成分对应的时间序列中，选取历史峰值；基于该种流量成分对应的时间序列中的数值，计算该种流量成分的波动系数序列；从所述波动系数序列中选取所述目标历史时间点对应的目标波动系数，并分别从所述趋势分量、所述周期分量和所述残差分量选取所述目标历史时间点对应的目标趋势值、目标周期值和目标残差值；基于所述历史峰值、所述目标波动系数、所述目标趋势值、所述目标周期值和所述目标残差值，确定该种流量成分的基准值。
130.在本实施例的一些可选的实现方式中，所述基于所述历史峰值、所述目标波动系数、所述目标趋势值、所述目标周期值和所述目标残差值，确定该种流量成分的基准值，包括：对所述历史峰值、所述目标趋势值、所述目标周期值和预设倍数的所述目标残差值求和，得到第一求和结果；将所述第一求和结果与所述目标波动系数的乘积，确定为该种流量成分的基准值。
131.在本实施例的一些可选的实现方式中，所述流量成分画像为多维向量；以及，所述检测单元603，进一步被配置成：将所述实时流量的流量成分数据汇总为待测向量；通过余弦相似度算法，确定所述待测向量与所述流量成分画像的相似度。
132.在本实施例的一些可选的实现方式中，所述流量成分画像中的每一个元素对应一种流量成分；以及，所述检测单元603，进一步被配置成：按照所述流量成分画像中的各元素对应的流量成分的次序，对所述实时流量的流量成分数据进行排序；按照排序结果将所述实时流量的流量成分数据汇总为待测向量。
133.在本实施例的一些可选的实现方式中，所述确定单元604，进一步被配置成：基于所述实时流量的流量成分数据，确定每种流量成分的异常系数；从所确定的异常系数中选取最小异常系数，并确定所述最小异常系数与所述相似度的乘积；基于所述乘积与预设阈值的比较，确定所述实时流量是否为异常流量。
134.在本实施例的一些可选的实现方式中，确定单元604，进一步被配置成：对于每种流量成分，执行如下步骤：将该种流量成分在所述流量成分画像中的元素值与预设的平滑参数求和，得到第二求和结果；将所述实时流量的流量成分数据中的该项流量成分对应的数值与所述平滑参数求和，得到第三求和结果；将所述第二求和结果与所述第三求和结果的比值，确定为该种流量成分的异常系数。
135.在本实施例的一些可选的实现方式中，确定单元603，进一步被配置成：响应于所述乘积小于预设阈值，将所述实时流量确定为异常流量；响应于所述乘积大于或等于所述预设预支，将所述实时流量确定为正常流量。
136.在本实施例的一些可选的实现方式中，所述装置还包括：清洗单元，被配置成：响应于检测出所述来源用户产生的流量为异常流量，对所述实时流量进行清洗。
137.本技术的上述实施例提供的装置，通过获取实时流量的流量成分数据，检测该流量成分数据与产生该实时流量的来源用户的流量成分画像的相似度，并基于该相似度，确定实时流量是否为异常流量，从而能够实时地针对不同用户产生的流量进行个性化地检测，实时发现流量异常。由于产生该实时流量的来源用户的流量成分画像是基于来源用户的历史正常流量成分数据生成，能够表征用户产生的正常流量的特征，因而基于实时流量成分数据与该流量成分画像的相似度进行异常流量的判定，能够降低异常流量检测的漏检率和误检率，从而提升异常流量检测结果的准确性。
138.继续参考图7，示出了本技术的ddos攻击检测方法的一个实施例的流程图。该ddos攻击检测方法的流程，包括以下步骤：
139.步骤701，获取实时流量的流量成分数据。
140.本实施例的步骤701与上述实施例对应步骤101的描述类似，具体可参见上述实施例的描述，此处不再赘述。
141.步骤702，确定实时流量的来源用户，并获取来源用户的流量成分画像。
142.在本实施例中，ddos攻击检测方法的执行装置可以通过访问流量中所携带的源ip地址，确定实时流量的来源用户。而后，从预先存储的海量用户的流量成分画像中，读取来源用户的流量成分画像。
143.其中，来源用户的流量成分画像可基于来源用户的历史正常流量成分数据预先生成。例如，可通过离线方式预先生成，以避免影响对线上访问请求的响应速度。具体地，可对
该用户的历史正常流量成分数据按照各种规则进行统计，得到每种流量成分的基准值，从而将各种流量成分的基准值汇总，得到该用户的流量成分画像。
144.历史正常流量成分数据可以是来源用户的历史流量的流量成分数据中的非异常数据，具体可是来源用户的目标历史时段(如前一周)的历史流量的流量成分数据中的非异常数据，以保证流量成分画像基于近期数据得到，使流量成分画像尽可能保持最新。历史正常流量成分数据可包含多种流量成分的值，例如，此处所涉及的流量成分与上述实时流量的流量成分数据涉及的流量成分相同，也可包括但不限于上述实时流量的流量成分数据涉及的流量成分。
145.在本实施例中，历史正常流量成分数据不含ddos攻击流量的流量成分数据。
146.在一些可选的实现方式中，上述流量成分画像可以通过如下步骤预先生成：通过时间序列分解算法对来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，其中，历史正常流量成分数据包含多种流量成分的值；基于时间序列分解结果，确定每种流量成分的基准值；将每种流量成分的基准值汇总，得到来源用户的流量成分画像。
147.在一些可选的实现方式中，上述历史正常流量成分数据可以通过如下步骤获取：获取来源用户在目标历史时段内产生的历史流量的流量成分数据；过滤历史流量的流量成分数据中的异常数据，得到来源用户的历史正常流量成分数据。其中，异常数据包括历史ddos攻击流量的流量成分数据。
148.在一些可选的实现方式中，上述过滤历史流量的流量成分数据中的异常数据，得到来源用户的历史正常流量成分数据，可以包括：对历史流量的流量成分数据进行统计，得到每种流量成分的标准偏差；基于所得到的标准偏差，确定每种流量成分的误差区间；对于每种流量成分，从历史流量的该种流量成分对应的流量成分数据中，查找剩余误差位于该种流量成分的误差区间以外的异常数据；过滤所查找到的异常数据，得到来源用户的历史正常流量成分数据。
149.在一些可选的实现方式中，上述通过时间序列分解算法对来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，可以包括：按照历史时间点，分别将每种流量成分对应的历史正常流量成分数据汇总为时间序列；通过时间序列分解算法分别对每种流量成分对应的时间序列进行分解，得到不同流量成分对应的时间序列分解结果。
150.在一些可选的实现方式中，上述时间序列分解结果可以包括趋势分量、周期分量和残差分量。以及，上述基于时间序列分解结果，确定每种流量成分的基准值，可以包括：选取目标历史时间点，并对于每种流量成分，执行如下步骤：从该种流量成分对应的时间序列中，选取历史峰值；基于该种流量成分对应的时间序列中的数值，计算该种流量成分的波动系数序列；从波动系数序列中选取目标历史时间点对应的目标波动系数，并分别从趋势分量、周期分量和残差分量选取目标历史时间点对应的目标趋势值、目标周期值和目标残差值；基于历史峰值、目标波动系数、目标趋势值、目标周期值和目标残差值，确定该种流量成分的基准值。
151.在一些可选的实现方式中，上述基于历史峰值、目标波动系数、目标趋势值、目标周期值和目标残差值，确定该种流量成分的基准值，可以包括：对历史峰值、目标趋势值、目
标周期值和预设倍数的目标残差值求和，得到第一求和结果；将第一求和结果与目标波动系数的乘积，确定为该种流量成分的基准值。
152.本实施例的步骤702与上述实施例对应步骤102的描述类似，具体可参见上述实施例的描述，此处不再赘述。
153.步骤703，检测实时流量的流量成分数据与流量成分画像的相似度。
154.在本实施例中，所述执行装置可以检测实时流量的流量成分数据与实时流量的来源用户的流量成分画像的相似度。需要说明的是，由于同一时间通常存在大量用户的访问流量，因而上述实时流量的来源用户可以是多个。此时，可分别对于每一个来源用户，检测该来源用户所产生的实时流量的流量成分数据与该来源用户的流量成分画像的相似度，分别得到与不同来源用户对应的相似度计算结果。
155.在一些可选的实现方式中，流量成分画像为多维向量。以及，上述检测实时流量的流量成分数据与流量成分画像的相似度，可以包括：将实时流量的流量成分数据汇总为待测向量；通过余弦相似度算法，确定待测向量与流量成分画像的相似度。
156.在一些可选的实现方式中，流量成分画像中的每一个元素对应一种流量成分。以及，上述将实时流量的流量成分数据汇总为待测向量，可以包括：按照流量成分画像中的各元素对应的流量成分的次序，对实时流量的流量成分数据进行排序；按照排序结果将实时流量的流量成分数据汇总为待测向量。
157.本实施例的步骤703与上述实施例对应步骤103的描述类似，具体可参见上述实施例的描述，此处不再赘述。
158.步骤704，基于相似度，确定是否遭受ddos攻击。
159.在本实施例中，执行装置可以基于上述步骤中所计算出的相似度，确定是否遭受ddos攻击。例如，若相似度小于预设阈值，可确定遭受ddos攻击，且可认为该来源用户为发起ddos攻击的用户，该实时流量即为ddos攻击流量。若相似度大于或等于预设预支，可确定未遭受ddos攻击。可选的，在检测遭受ddos攻击，还可以对该实时流量进行清洗，如限流、拦截等。
160.需要说明的是，若存在多个来源用户，则对于每一个来源用户，可基于该来源用户产生的实时流量的流量成分数据与该来源用户的流量成分画像的相似度，确定该来源用户产生的实时流量是否为ddos攻击流量，以及确定该来源用户是否为发起ddos攻击的用户。实践中，任一或多个来源用户产生的实时流量为ddos攻击流量时，可认为此时遭受ddos攻击。
161.在一些可选的实现方式中，上述基于相似度，确定是否遭受ddos攻击，可以包括：基于实时流量的流量成分数据，确定每种流量成分的异常系数；从所确定的异常系数中选取最小异常系数，并确定最小异常系数与相似度的乘积；基于乘积与预设阈值的比较，确定是否遭受ddos攻击。
162.在一些可选的实现方式中，上述基于实时流量的流量成分数据，确定每种流量成分的异常系数，可以包括：对于每种流量成分，执行如下步骤：将该种流量成分在流量成分画像中的元素值与预设的平滑参数求和，得到第二求和结果；将实时流量的流量成分数据中的该项流量成分对应的数值与平滑参数求和，得到第三求和结果；将第二求和结果与第三求和结果的比值，确定为该种流量成分的异常系数。
163.在一些可选的实现方式中，上述基于乘积与预设阈值的比较，确定是否遭受ddos攻击，可以包括：响应于乘积小于预设阈值，确定遭受ddos攻击；响应于乘积大于或等于预设预支，确定未遭受ddos攻击。
164.本技术实施例所提供的ddos攻击检测方法，通过获取实时流量的流量成分数据，检测该流量成分数据与产生该实时流量的来源用户的流量成分画像的相似度，并基于该相似度，确定是否遭受ddos攻击，从而能够实时地针对不同用户产生的流量进行个性化地检测，实时发现ddos攻击。由于产生该实时流量的来源用户的流量成分画像是基于来源用户的历史正常流量成分数据生成，且历史正常流量成分数据不含ddos攻击流量的流量成分数据，因而能够表征用户产生的正常流量的特征，因而基于实时流量成分数据与该流量成分画像的相似度进行ddos攻击的判定，能够降低ddos攻击的漏检率和误检率，从而提升ddos攻击检测结果的准确性。
165.进一步地，通过时间序列分解算法分解对来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，并基于时间序列分解结果得到来源用户的流量成分画像，能够实现流量成分画像的自适应更新，使流量成分画像针对来源用户的网络访问情况实时变化，减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，避免正常流量误检，进一步提高了ddos攻击检测的准确性。
166.更进一步地，通过计算每种流量成分的异常系数，并从中选取最小异常系数对相似度进行修正，放大了攻击导致单种成分异常的情况，更容易区分正常流量和异常流量，进一步提升了ddos攻击检测的准确性。
167.进一步参考图8，在上述实施例的基础上，本技术提供了一种ddos攻击检测装置的一个实施例，该装置具体可以应用于各种电子设备中。
168.如图8所示，本实施例的ddos攻击检测装置800包括：第一获取单元801，被配置成获取实时流量的流量成分数据；第二获取单元802，被配置成确定所述实时流量的来源用户，并获取所述来源用户的流量成分画像，其中，所述流量成分画像基于所述来源用户的历史正常流量成分数据预先生成，所述历史正常流量成分数据不含ddos攻击流量的流量成分数据；检测单元803，被配置成检测所述实时流量的流量成分数据与所述流量成分画像的相似度；确定单元804，被配置成基于所述相似度，确定是否遭受ddos攻击。
169.在本实施例的一些可选的实现方式中，所述流量成分画像通过如下步骤预先生成：通过时间序列分解算法对所述来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，其中，所述历史正常流量成分数据包含多种流量成分的值；基于所述时间序列分解结果，确定每种流量成分的基准值；将所述每种流量成分的基准值汇总，得到所述来源用户的流量成分画像。
170.在本实施例的一些可选的实现方式中，所述历史正常流量成分数据通过如下步骤获取：获取所述来源用户在目标历史时段内产生的历史流量的流量成分数据；过滤所述历史流量的流量成分数据中的异常数据，得到所述来源用户的历史正常流量成分数据，所述异常数据包括历史ddos攻击流量的流量成分数据。
171.在本实施例的一些可选的实现方式中，所述过滤所述历史流量的流量成分数据中的异常数据，得到所述来源用户的历史正常流量成分数据，包括：对所述历史流量的流量成
分数据进行统计，得到每种流量成分的标准偏差；基于所得到的标准偏差，确定每种流量成分的误差区间；对于每种流量成分，从所述历史流量的该种流量成分对应的流量成分数据中，查找剩余误差位于该种流量成分的误差区间以外的异常数据；过滤所查找到的异常数据，得到所述来源用户的历史正常流量成分数据。
172.在本实施例的一些可选的实现方式中，所述通过时间序列分解算法对所述来源用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，包括：按照历史时间点，分别将每种流量成分对应的历史正常流量成分数据汇总为时间序列；通过时间序列分解算法分别对每种流量成分对应的时间序列进行分解，得到不同流量成分对应的时间序列分解结果。
173.在本实施例的一些可选的实现方式中，所述时间序列分解结果包括趋势分量、周期分量和残差分量；以及，所述基于所述时间序列分解结果，确定每种流量成分的基准值，包括：选取目标历史时间点，并对于每种流量成分，执行如下步骤：从该种流量成分对应的时间序列中，选取历史峰值；基于该种流量成分对应的时间序列中的数值，计算该种流量成分的波动系数序列；从所述波动系数序列中选取所述目标历史时间点对应的目标波动系数，并分别从所述趋势分量、所述周期分量和所述残差分量选取所述目标历史时间点对应的目标趋势值、目标周期值和目标残差值；基于所述历史峰值、所述目标波动系数、所述目标趋势值、所述目标周期值和所述目标残差值，确定该种流量成分的基准值。
174.在本实施例的一些可选的实现方式中，所述基于所述历史峰值、所述目标波动系数、所述目标趋势值、所述目标周期值和所述目标残差值，确定该种流量成分的基准值，包括：对所述历史峰值、所述目标趋势值、所述目标周期值和预设倍数的所述目标残差值求和，得到第一求和结果；将所述第一求和结果与所述目标波动系数的乘积，确定为该种流量成分的基准值。
175.在本实施例的一些可选的实现方式中，所述流量成分画像为多维向量；以及，所述检测单元803，进一步被配置成：将所述实时流量的流量成分数据汇总为待测向量；通过余弦相似度算法，确定所述待测向量与所述流量成分画像的相似度。
176.在本实施例的一些可选的实现方式中，所述流量成分画像中的每一个元素对应一种流量成分；以及，所述检测单元803，进一步被配置成：按照所述流量成分画像中的各元素对应的流量成分的次序，对所述实时流量的流量成分数据进行排序；按照排序结果将所述实时流量的流量成分数据汇总为待测向量。
177.在本实施例的一些可选的实现方式中，所述确定单元804，进一步被配置成：基于所述实时流量的流量成分数据，确定每种流量成分的异常系数；从所确定的异常系数中选取最小异常系数，并确定所述最小异常系数与所述相似度的乘积；基于所述乘积与预设阈值的比较，确定是否遭受ddos攻击。
178.在本实施例的一些可选的实现方式中，所述确定单元804，进一步被配置成：对于每种流量成分，执行如下步骤：将该种流量成分在所述流量成分画像中的元素值与预设的平滑参数求和，得到第二求和结果；将所述实时流量的流量成分数据中的该项流量成分对应的数值与所述平滑参数求和，得到第三求和结果；将所述第二求和结果与所述第三求和结果的比值，确定为该种流量成分的异常系数。
179.在本实施例的一些可选的实现方式中，所述确定单元804，进一步被配置成：响应
于所述乘积小于预设阈值，确定遭受ddos攻击；响应于所述乘积大于或等于所述预设预支，确定未遭受ddos攻击。
180.在本实施例的一些可选的实现方式中，所述装置还包括：清洗单元，被配置成：响应于检测出遭受ddos攻击，对所述实时流量进行清洗。
181.本技术实施例所提供的ddos攻击检测装置，通过获取实时流量的流量成分数据，检测该流量成分数据与产生该实时流量的来源用户的流量成分画像的相似度，并基于该相似度，确定是否遭受ddos攻击，从而能够实时地针对不同用户产生的流量进行个性化地检测，实时发现ddos攻击。由于产生该实时流量的来源用户的流量成分画像是基于来源用户的历史正常流量成分数据生成，且历史正常流量成分数据不含ddos攻击流量的流量成分数据，因而能够表征用户产生的正常流量的特征，因而基于实时流量成分数据与该流量成分画像的相似度进行ddos攻击的判定，能够降低ddos攻击的漏检率和误检率，从而提升ddos攻击检测结果的准确性。
182.继续参考图9，示出了本技术的流量成分画像生成方法的一个实施例的流程图。该流量成分画像生成方法的流程，包括以下步骤：
183.步骤901，获取用户的历史正常流量成分数据。
184.在本实施例中，流量成分画像生成方法的执行设备(如服务器等电子设备)可以获取用户的历史正常流量成分数据。
185.需要说明的是，此处的用户的可以是一个或多个。当用户为多个时，可分别使用各用户的历史正常流量执行如下步骤902至步骤904，得到各个用户的流量成分画像。获取历史正常数据流量成分数据的方式可参见上述实施例中的子步骤s11，此处不再赘述。
186.在本实施例的一些可选的实现方式中，在获取用户的历史正常流量成分数据时，可首先获取用户在目标历史时段(如最近一周)内的历史流量的流量成分数据。而后过滤历史流量的流量成分数据中的异常数据，得到上述用户的历史正常流量成分数据。此处的异常数据可包括历史网络攻击(如ddos)时所采集的流量成分数据。通过过滤历史流量的流量成分数据中的异常数据，能够防止历史网络攻击时的异常数据对后续计算流量成分画像中的基准值时产生影响，从而保证流量成分画像的准确性。
187.在本实施例的一些可选的实现方式中，在过滤历史流量的流量成分数据中的异常数据时，可按照拉依达准则执行。拉依达准则的执行原理为，假设一组检测数据只含有随机误差，对其进行计算处理得到标准偏差，按一定概率确定一个区间，将超过这个区间的误差视为粗大误差，将含有粗大误差的数据剔除。
188.将拉依达准则应用于过滤历史流量的流量成分数据中的异常数据的过程，可参见如下步骤：首先，对历史流量的流量成分数据进行统计，得到每种流量成分的标准偏差。而后，基于所得到的标准偏差，确定每种流量成分的误差区间。例如，可将大于或等于0且小于或等于3倍的标准偏差的数值区间作为误差区间。之后，对于每种流量成分，从历史流量的该种流量成分对应的流量成分数据中，查找剩余误差位于该种流量成分的误差区间以外的异常数据。最后，过滤所查找到的异常数据，得到用户的历史正常流量成分数据。通过上述步骤，可有效地过滤历史流量的流量成分数据中的异常数据，保证后续所计算出的流量成分画像的准确性。
189.步骤902，通过时间序列分解算法对历史正常流量成分数据进行分解，得到不同流
量成分对应的时间序列分解结果。
190.在本实施例中，上述执行装置可以采用时间序列分解算法，如stl算法，分别对用户的每种历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果。以stl算法为例，stl算法能够基于loess，将某时间点的数据y分解为趋势分量、周期分量和残差分量，依次记为s、t和r。对于一个时间序列y(t)，则可以分解成s(t)、t(t)和r(t)，其中，y(t)＝s(t) t(t) r(t)。s(t)为时间序列y(t)的趋势分量，t(t)为时间序列y(t)的周期分量，r(t)为时间序列y(t)的残差分量。s(t)、t(t)和r(t)均为时间序列。其中，时间序列也称动态数列，是指将同一统计指标的数值按其发生的时间先后顺序排列而成的数列。
191.由此，针对每种历史正常流量成分数据，通过stl算法分别对该种历史正常流量成分数据进行分解，即可得到包含趋势分量、周期分量和残差分量的时间序列分解结果。例如，若历史正常流量成分数据包括比特率、包转发率、用户数据报协议流量和因特网控制报文协议流量四种流量成分的数据，则可分别得到与比特率对应的时间序列分解结果、与包转发率对应的时间序列分解结果、与用户数据报协议流量对应的时间序列分解结果和与因特网控制报文协议流量对应的时间序列分解结果。
192.在本实施例的一些可选的实现方式中，采用时间序列分解算法分别对每种历史正常流量成分数据进行分解，具体可按照如下步骤执行：首先，按照历史时间点(具体可以按照历史时间点由先到后的次序)，分别将每种流量成分对应的历史正常流量成分数据汇总为时间序列。而后，通过时间序列分解算法，如上述stl算法，分别对每种流量成分对应的时间序列进行分解，得到不同流量成分对应的时间序列分解结果。作为示例，图3示出了一个时间序列分解结果的示意图。如图3所示，对某种流量成分对应的时间序列进行分解后，所得到不同流量成分对应的时间序列分解结果可包括趋势分量、周期分量和残差分量，且趋势分量、周期分量和残差分量均为时间序列。
193.步骤903，基于时间序列分解结果，确定每种流量成分的基准值。
194.在本实施例中，每种流量成分对应的时间序列，能够反映该种流量成分的数值的变化趋势。可预先设定周期长度(如一周)，则每种流量成分对应的时间序列能够反映该种流量成分的数值在预设周期长度内的变化趋势。鉴于此，可首先从历史时间点中选取目标历史时间点。该目标历史时间点可以是周期中与检测时间点对应的历史时间点。由于流量实时采集并实时检测，因而检测时间点可以是当前时间点。而后，基于该目标历史时间点的时间序列分解结果确定每种流量成分的基准值。
195.在选取目标历史时间点时，可首先确定检测时间点将位于周期中的次序，而后将周期内相同次序的历史时间点作为目标历史时间点。下面以一比特率为例进行说明，比特率的时间序列是以每一天作为一个历史时间点，将各历史时间点的用户所产生的历史流量的比特率进行汇总后生成。预先设定一周为一个周期，若检测时间点为周二，则目标历史时间点即为最近一周中的周二，即上周二。此时，可基于上周二的时间序列分解结果(如上周二的趋势分量、周期分量和残差分量)，确定比特率的基准值。
196.在基于目标历史时间点的时间序列分解结果确定每种流量成分的基准值时，可采用多种预设的计算方式计算。作为一个示例，针对每种流量成分，可首先读取该种流量成分的时间序列中的目标历史时间点的时间序列分解结果。而后将目标历史时间点的时间序列分解结果中的各项相加或加权求和。最后将相加结果或者加权求和结果作为该种流量成分
的基准值。作为又一示例，针对每种流量成分，可首先从该种流量成分的时间序列中获取历史峰值，并读取该种流量成分的时间序列中的目标历史时间点的时间序列分解结果。而后将历史峰值与目标历史时间点的时间序列分解结果中的各项相加或者加权求和。最后将相加结果或者加权求和结果作为该种流量成分的基准值。由于这种方式考虑了时间序列中的峰值，因此减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，提高了异常流量检测的准确性。
197.在本实施例的一些可选的实现方式中，基于流量成分的时间序列分解结果，可通过如下步骤确定基准值：
198.第一步，选取目标历史时间点。此步骤可参见上文描述，这里不再赘述。在执行第一步后，可分别对于每种流量成分，执行如下第二步至第五步的操作。
199.第二步，从该种流量成分对应的时间序列中，选取历史峰值(记为peak)。
200.第三步，基于该种流量成分对应的时间序列中的数值，计算该种流量成分的波动系数序列(记为pi)，i表示历史时间点的次序。可将该种流量成分对应的时间序列中的数值表示为ni。此时，pi可通过如下公式求取：
201.pi＝log(ni 平滑系数)
–
log(n
i-1
平滑系数)
202.其中，平滑系数为预设值，可根据经验预先设定。
203.第四步，从波动系数序列中选取目标历史时间点对应的目标波动系数(记为p*)，并分别从趋势分量、周期分量和残差分量选取目标历史时间点对应的目标趋势值(记为s*)、目标周期值(记为t*)和目标残差值(记为r*)。
204.第五步，基于历史峰值、目标波动系数、目标趋势值、目标周期值和目标残差值，确定该种流量成分的基准值。
205.例如，可将上述各项相加，得到基准值。
206.再例如，可以首先对历史峰值、目标趋势值、目标周期值和预设倍数(记为m)的目标残差值求和，得到第一求和结果。而后将第一求和结果与目标波动系数的乘积作为该种流量成分的基准值。参见如下公式：
207.基准值＝(peak s* m
×
r* t*)
×
p*
208.由于这种方式考虑了时间序列中的峰值，因此减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，提高了异常流量检测的准确性。此外，由于这种方式考虑了波动系数，因而考虑到了前后的流量波动情况，进一步提高了异常流量检测的准确性。
209.步骤904，将每种流量成分的基准值汇总，得到用户的流量成分画像。
210.在本实施例中，可将每种流量成分的基准值汇总为一个多维向量，得到用户的流量成分画像。此处，可对所得到的流量成分画像直接进行存储，以便于在需要进行异常流量检测时提取使用。还可通过可视化的方式将流量成分画像进行呈现。例如，可以图表等形式呈现在界面上，以供技术人员查看和分析等。
211.需要说明的是，由于流量成分画像中的每种流量成分的基准值是基于检测时间点对应的目标历史时间点的时间序列分解结果得到，因而当检测时间点更新时，目标历史时间点随之变化，序列分解结果也随之变化，因而流量成分画像随之更新，实现了流量成分画像的自适应更新。
212.本技术实施例所提供的流量成分画像生成方法，通过时间序列分解算法分解对用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，并基于时间序列分解结果得到用户的流量成分画像，一方面，能够实现流量成分画像的自适应更新，使得流量成分画像针对用户的网络访问情况自适应变化，减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，提高了异常流量检测的准确性。另一方面，针对不同用户能够得到个性化的流量成分画像，相较于使用固定阈值进行异常流量检测，能够降低异常流量检测的漏检率和误检率，从而提升异常流量检测结果的准确性。
213.进一步参考图10，在上述实施例的基础上，本技术提供了一种流量成分画像生成装置的一个实施例，该装置具体可以应用于各种电子设备中。
214.如图10所示，本实施例的流量成分画像生成装置1000包括：获取单元1001，被配置成获取用户的历史正常流量成分数据；分解单元1002，被配置成通过时间序列分解算法对所述历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，其中，所述历史正常流量成分数据包含多种流量成分的值；确定单元1003，被配置成基于所述时间序列分解结果，确定每种流量成分的基准值；汇总单元1004，被配置成将所述每种流量成分的基准值汇总，得到所述用户的流量成分画像。
215.在本实施例的一些可选的实现方式中，所述装置还包括：显示单元，被配置成显示所述流量成分画像。
216.在本实施例的一些可选的实现方式中，所述获取单元1001，进一步被配置成：获取所述用户在目标历史时段内产生的历史流量的流量成分数据；过滤所述历史流量的流量成分数据中的异常数据，得到所述用户的历史正常流量成分数据。
217.在本实施例的一些可选的实现方式中，所述获取单元1001，进一步被配置成：对所述历史流量的流量成分数据进行统计，得到每种流量成分的标准偏差；基于所得到的标准偏差，确定每种流量成分的误差区间；对于每种流量成分，从所述历史流量的该种流量成分对应的流量成分数据中，查找剩余误差位于该种流量成分的误差区间以外的异常数据；过滤所查找到的异常数据，得到所述用户的历史正常流量成分数据。
218.在本实施例的一些可选的实现方式中，所述分解单元1002，进一步被配置成：按照历史时间点，分别将每种流量成分对应的历史正常流量成分数据汇总为时间序列；通过时间序列分解算法分别对每种流量成分对应的时间序列进行分解，得到不同流量成分对应的时间序列分解结果。
219.在本实施例的一些可选的实现方式中，所述时间序列分解结果包括趋势分量、周期分量和残差分量；以及，所述确定单元1003，进一步被配置成：选取目标历史时间点，并对于每种流量成分，执行如下步骤：从该种流量成分对应的时间序列中，选取历史峰值；基于该种流量成分对应的时间序列中的数值，计算该种流量成分的波动系数序列；从所述波动系数序列中选取所述目标历史时间点对应的目标波动系数，并分别从所述趋势分量、所述周期分量和所述残差分量选取所述目标历史时间点对应的目标趋势值、目标周期值和目标残差值；基于所述历史峰值、所述目标波动系数、所述目标趋势值、所述目标周期值和所述目标残差值，确定该种流量成分的基准值。
220.在本实施例的一些可选的实现方式中，所述确定单元1003，进一步被配置成：所述
基于所述历史峰值、所述目标波动系数、所述目标趋势值、所述目标周期值和所述目标残差值，确定该种流量成分的基准值，包括：对所述历史峰值、所述目标趋势值、所述目标周期值和预设倍数的所述目标残差值求和，得到第一求和结果；将所述第一求和结果与所述目标波动系数的乘积，确定为该种流量成分的基准值。
221.本技术实施例所提供的流量成分画像生成装置，通过时间序列分解算法分解对用户的历史正常流量成分数据进行分解，得到不同流量成分对应的时间序列分解结果，并基于时间序列分解结果得到用户的流量成分画像，一方面，能够实现流量成分画像的自适应更新，使得流量成分画像针对用户的网络访问情况自适应变化，减少了正常流量上涨、正常流量突增等场景误判，解决了流量成分画像无法覆盖正常流量突然变化的问题，提高了异常流量检测的准确性。另一方面，针对不同用户能够得到个性化的流量成分画像，相较于使用固定阈值进行异常流量检测，能够降低异常流量检测的漏检率和误检率，从而提升异常流量检测结果的准确性。
222.本技术实施例还提供了一种非易失性可读存储介质，该存储介质中存储有一个或多个模块(programs)，该一个或多个模块被应用在设备时，可以使得该设备执行本技术实施例中各方法步骤的指令(instructions)。
223.本技术实施例提供了一个或多个机器可读介质，其上存储有指令，当由一个或多个处理器执行时，使得电子设备执行如上述实施例中一个或多个所述的方法。本技术实施例中，所述电子设备包括终端设备、服务器(集群)等各类型的设备。
224.本公开的实施例可被实现为使用任意适当的硬件，固件，软件，或及其任意组合进行想要的配置的装置，该装置可包括终端设备、服务器(集群)等电子设备。图11示意性地示出了可被用于实现本技术中所述的各个实施例的示例性装置1100。
225.对于一个实施例，图11示出了示例性装置1100，该装置具有一个或多个处理器1102、被耦合到(一个或多个)处理器1102中的至少一个的控制模块(芯片组)1104、被耦合到控制模块1104的存储器1106、被耦合到控制模块1104的非易失性存储器(nvm)/存储设备1108、被耦合到控制模块1104的一个或多个输入/输出设备1110，以及被耦合到控制模块1104的网络接口1112。
226.处理器1102可包括一个或多个单核或多核处理器，处理器1102可包括通用处理器或专用处理器(例如图形处理器、应用处理器、基频处理器等)的任意组合。在一些实施例中，装置1100能够作为本技术实施例中所述终端设备、服务器(集群)等设备。
227.在一些实施例中，装置1100可包括具有指令1114的一个或多个计算机可读介质(例如，存储器1106或nvm/存储设备1108)以及与该一个或多个计算机可读介质相合并被配置为执行指令1114以实现模块从而执行本公开中所述的动作的一个或多个处理器1102。
228.对于一个实施例，控制模块1104可包括任意适当的接口控制器，以向(一个或多个)处理器1102中的至少一个和/或与控制模块1104通信的任意适当的设备或组件提供任意适当的接口。
229.控制模块1104可包括存储器控制器模块，以向存储器1106提供接口。存储器控制器模块可以是硬件模块、软件模块和/或固件模块。
230.存储器1106可被用于例如为装置1100加载和存储数据和/或指令1114。对于一个实施例，存储器1106可包括任意适当的易失性存储器，例如，适当的dram。在一些实施例中，
存储器1106可包括双倍数据速率类型四同步动态随机存取存储器(ddr4sdram)。
231.对于一个实施例，控制模块1104可包括一个或多个输入/输出控制器，以向nvm/存储设备1108及(一个或多个)输入/输出设备1110提供接口。
232.例如，nvm/存储设备1108可被用于存储数据和/或指令1114。nvm/存储设备1108可包括任意适当的非易失性存储器(例如，闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如，一个或多个硬盘驱动器(hdd)、一个或多个光盘(cd)驱动器和/或一个或多个数字通用光盘(dvd)驱动器)。
233.nvm/存储设备1108可包括在物理上作为装置1100被安装在其上的设备的一部分的存储资源，或者其可被该设备访问可不必作为该设备的一部分。例如，nvm/存储设备1108可通过网络经由(一个或多个)输入/输出设备1110进行访问。
234.(一个或多个)输入/输出设备1110可为装置1100提供接口以与任意其他适当的设备通信，输入/输出设备1110可以包括通信组件、音频组件、传感器组件等。网络接口1112可为装置1100提供接口以通过一个或多个网络通信，装置1100可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信，例如接入基于通信标准的无线网络，如wifi、2g、3g、4g、5g等，或它们的组合进行无线通信。
235.对于一个实施例，(一个或多个)处理器1102中的至少一个可与控制模块1104的一个或多个控制器(例如，存储器控制器模块)的逻辑封装在一起。对于一个实施例，(一个或多个)处理器1102中的至少一个可与控制模块1104的一个或多个控制器的逻辑封装在一起以形成系统级封装(sip)。对于一个实施例，(一个或多个)处理器1102中的至少一个可与控制模块1104的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例，(一个或多个)处理器1102中的至少一个可与控制模块1104的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(soc)。
236.在各个实施例中，装置1100可以但不限于是：服务器、台式计算设备或移动计算设备(例如，膝上型计算设备、手持计算设备、平板电脑、上网本等)等终端设备。在各个实施例中，装置1100可具有更多或更少的组件和/或不同的架构。例如，在一些实施例中，装置1100包括一个或多个摄像机、键盘、液晶显示器(lcd)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(asic)和扬声器。
237.其中，装置中可采用主控芯片作为处理器或控制模块，传感器数据、位置信息等存储到存储器或nvm/存储设备中，传感器组可作为输入/输出设备，通信接口可包括网络接口。
238.对于装置实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
239.本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。
240.本技术实施例是参照根据本技术实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执
行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
241.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
242.这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
243.尽管已描述了本技术实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本技术实施例范围的所有变更和修改。
244.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
245.以上对本技术所提供的异常流量检测方法、装置、电子设备和存储介质，进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。