异常流量检测方法、装置及电子设备与流程

1.本发明涉及通信安全技术领域，尤其涉及一种异常流量检测方法、装置及电子设备。


背景技术：

2.随着互联网技术的发展和网络设备的普及，网络流量迅速增大，然而，人们在享受着丰富的信息资源的同时也面临着各式各样安全攻击的威胁，诸如ddos攻击、smurf攻击、land攻击等。这些安全攻击通过间接或直接发送大量数据包来占用目标的系统资源或链路带宽，产生了大量网络异常流量，严重影响到了用户的安全。
3.为了充分掌握互联网中的流量数据，异常流量检测技术的研究成为目前流量分析领域中的重中之重。当网络受到安全攻击时常常伴随着流量数据特征的剧烈变化，利用异常检测技术对流量进行监控，能够及时采取措施进行防范。传统方法中，通过距离和权重对流量进行分类，在高速、多样的大数据环境下对网络数据流的识别准确性较低。


技术实现要素：

4.本发明提供一种异常流量检测方法、装置及电子设备，能够提高异常流量检测的准确性。
5.第一方面，本发明提供一种异常流量检测方法，包括：
6.确定多个流量样本以及所述流量样本所属的类别，所述类别包括正常类与异常类；
7.获取待检测流量，计算所述待检测流量与所述流量样本之间的第一距离；
8.根据所述第一距离确定所述待检测流量与所述正常类的第一偏差，以及所述待检测流量与所述异常类的第二偏差；
9.通过所述第一偏差与所述第二偏差确定所述待检测流量是否为异常流量。
10.根据本发明提供的一种示例性实施方式，所述根据所述第一距离确定所述待检测流量与所述正常类的第一偏差，以及所述待检测流量与所述异常类的第二偏差，包括：
11.根据所述第一距离确定所述正常类中与所述待检测流量距离最近的k个正常样本，以及所述异常类中与所述待检测流量距离最近的k个异常样本，k为正整数；
12.计算所述k个正常样本与所述待检测流量的所述第一距离之和，作为所述待检测流量与所述正常类的所述第一偏差；
13.计算所述k个异常样本与所述待检测流量之间的所述第一距离之和，作为所述待检测流量与所述异常类的第二偏差。
14.根据本发明提供的一种示例性实施方式，所述通过所述第一偏差与所述第二偏差确定所述待检测流量是否为异常流量，包括：
15.计算所述第一偏差与所述第二偏差的比值，作为所述待检测流量与所述正常类的相对偏差；
16.通过所述第一偏差、所述第二偏差以及所述相对偏差确定所述待检测流量是否为异常流量。
17.根据本发明提供的一种示例性实施方式，所述通过所述第一偏差、所述第二偏差以及所述相对偏差确定所述待检测流量是否为异常流量，包括：
18.计算各个所述流量样本之间的第二距离；
19.根据所述第二距离确定所述流量样本的参考第一偏差与参考第二偏差；
20.计算所述参考第一偏差与所述参考第二偏差的比值，获得所述流量样本的参考相对偏差；
21.计算所述第一偏差在所述参考第一偏差中的第一概率值、所述第二偏差在所述参考第二偏差中的第二概率值，以及所述相对偏差在所述参考相对偏差中的第三概率值；
22.通过所述第一概率值、所述第二概率值、所述第三概率值确定所述待检测流量是否为异常流量。
23.根据本发明提供的一种示例性实施方式，所述根据所述第二距离确定所述流量样本的参考第一偏差与参考第二偏差，包括：
24.对于每个所述流量样本，根据所述第二距离确定所述正常类中距离最近的k个第一样本，以及所述异常类中距离最近的k个第二样本，k为正整数；
25.计算所述k个第一样本的所述第二距离之和，作为所述流量样本的参考第一偏差；
26.计算所述k个第二样本的所述第二距离之和，作为所述流量样本的参考第二偏差。
27.根据本发明提供的一种示例性实施方式，所述计算所述第一偏差在所述参考第一偏差中的第一概率值、所述第二偏差在所述参考第二偏差中的第二概率值，以及所述相对偏差在所述参考相对偏差中的第三概率值，包括：
28.确定所述多个流量样本中，所述参考第一偏差大于或等于所述第一偏差的流量样本的第一数量；
29.计算所述第一数量占总样本数量的比例，获得所述第一概率值；
30.确定所述多个流量样本中，所述参考第二偏差小于或等于所述第二偏差的流量样本的第二数量；
31.计算所述第二数量占所述总样本数量的比例，获得所述第二概率值；
32.确定所述多个流量样本中，所述参考相对偏差大于或等于所述相对偏差的流量样本的第三数量；
33.计算所述第三数量占所述总样本数量的比例，获得所述第三概率值；
34.其中，所述总样本数量为所述多个流量样本与所述待检测流量的数量之和。
35.根据本发明提供的一种示例性实施方式，所述通过所述第一概率值、所述第二概率值、所述第三概率值确定所述待检测流量是否为异常流量，包括：
36.若所述第一概率值、所述第二概率值与所述第三概率值均大于对应的门限值，则确定所述待检测流量为正常流量；
37.若所述第一概率值或所述第二概率值或所述第三概率值不大于对应的门限值，则确定所述待检测流量为异常流量。
38.第二方面，本发明还提供一种异常流量检测装置，包括：
39.样本确定模块，用于确定多个流量样本以及所述流量样本所属的类别，所述类别
包括正常类与异常类；
40.距离计算模块，用于获取待检测流量，计算所述待检测流量与所述流量样本之间的第一距离；
41.指标确定模块，用于根据所述第一距离确定所述待检测流量与所述正常类的第一偏差，以及所述待检测流量与所述异常类的第二偏差；
42.异常判断模块，用于通过所述第一偏差与所述第二偏差确定所述待检测流量是否为异常流量。
43.第三方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述异常流量检测方法。
44.第四方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述异常流量检测方法。
45.第五方面，本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述异常流量检测方法。
46.本发明提供的异常流量检测方法、装置及电子设备，对于需要检测的待检测流量，计算其与流量样本之间的第一距离，通过第一距离确定其与正常类的流量样本之间的第一偏差以及与异常类的流量样本之间的第二偏差。通过与正常类的偏差以及与异常类的偏差共同来确定待检测流量是否为异常流量，能够全面地对流量进行检测，提高检测的准确性。并且，本技术方案支持增量学习，在增加新数据时，并不需要重新训练流量样本，可以在原有的流量样本的基础上对新增数据进行计算，能够满足检测的实时性。尤其对于样本容量较大、开放性高的网络环境，例如软件定义网络(software defined network，sdn)环境来说，能够大大提高检测的效率。
附图说明
47.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
48.图1是本发明提供的异常流量检测方法的流程示意图之一；
49.图2是本发明提供的异常流量检测方法的流程示意图之二；
50.图3是本发明提供的异常流量检测方法的流程示意图之三；
51.图4是本发明提供的异常流量检测装置的结构示意图；
52.图5是本发明提供的电子设备的结构示意图。
具体实施方式
53.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
54.本发明首先提供一种异常流量检测方法。该方法可以由手机、个人计算机、平板电脑、或者服务器等电子设备执行，本发明对该电子设备的表现形式不作特殊限定。
55.下面结合图1-图3描述本发明的异常流量检测方法的技术方案。
56.如图1所示，该异常流量检测方法可以包括如下步骤：
57.步骤s10：确定多个流量样本以及所述流量样本所属的类别，所述类别包括正常类与异常类。
58.网络设备之间通过收发数据包来传输信息，数据包可以构成数据流量。在以往的异常流量检测过程中，可以将检测出来的正常流量，以及异常流量共同保存在一数据集中。该数据集中的所有样本可以作为流量样本。或者，通过人工标记可以标记出一些流量的类别，则这些标记出类别的流量可以作为流量样本。
59.根据流量样本所属的类别，可以将所有的流量样本划分为正常类以及异常类。例如，正常类中可以包括100个流量样本、异常类中也可以包括100个流量样本。
60.举例来说，对于一组包括n个流量样本的数据集{x1,x2,
…
,xn}，其中每个流量样本可以用t个特征表示，则每个流量样本可以表示为一个如下所示的列向量：
[0061][0062]
流量样本xi可以表示为从其各个数据包中提取的t个特征组成的列向量。t、n为正整数，n为数据集中的流量样本的总数量。该数据集中的n个流量样本，可以根据所属的类别划分为两类，即正常类与异常类。
[0063]
步骤s20：获取待检测流量，计算所述待检测流量与所述流量样本之间的第一距离。
[0064]
同样的，从待检测流量的数据包中也可以提取t个特征，来表示待检测流量。然后计算待检测流量与每个流量样本之间的第一距离。将每个流量作为一个点，第一距离可以通过两点间马式距离来计算，公式如下：
[0065][0066]
表示待检测流量i与类y中的流量样本j之间的马氏距离。
[0067]
其中，正常类为y，异常类为-y。协方差矩阵r为:
[0068][0069]
xi与xj为待检测流量i与流量样本j所提取特征组成的列向量，x
it
表示xi的第t个属性的值，t为向量xi的长度。
[0070]
马氏距离用来描述两点之间的相近程度，距离越远说明两点之间的差异越大。马氏距离不受量纲的影响，并且可以排除变量之间的相关性的干扰，可以保证计算结果的准确性。此外，在其他实施方式中，通过各种距离计算方式均可以计算第一距离，例如余弦距
离、欧式距离等等，这些也同样属于本发明的保护范围。
[0071]
步骤s30：根据所述第一距离确定所述待检测流量与所述正常类的第一偏差，以及所述待检测流量与所述异常类的第二偏差。
[0072]
第一偏差可用于衡量待检测流量与正常类的距离，第二偏差可用于衡量待检测流量与异常类的距离。具体的，计算第一偏差与第二偏差的过程如图2所示，包括以下步骤：
[0073]
步骤s21：根据所述第一距离确定所述正常类中与所述待检测流量距离最近的k个正常样本，以及所述异常类中与所述待检测流量距离最近的k个异常样本，k为正整数。
[0074]
根据每个流量样本与待检测流量的第一距离，可以将正常类中的流量样本进行按照第一距离的大小进行排序，将异常类中的流量样本也按照同样的顺序进行排序。例如，将流量样本按照第一距离从小到大进行排序。然后按照排序的顺序可以从正常类中选取排在前k个的流量样本，作为正常样本；从异常类中选取前k个流量样本，作为异常样本。选出的流量样本为待检测流量分别在两个类中的距离最近的点，记为最近邻点。
[0075]
步骤s22：计算所述k个正常样本与所述待检测流量的所述第一距离之和，作为所述待检测流量与所述正常类的所述第一偏差。
[0076]
将待检测流量与每个正常样本的第一距离进行加和，得到的结果作为第一偏差。公式如下：
[0077][0078]
其中，θ
iy
表示为待检测流量i相对于类y的第一偏差，k为最近样本个数，为待检测流量i到类y中最近的第j个样本点(即正常样本)的距离(即第一距离)。
[0079]
第一偏差θ
iy
为待检测流量于正常类的绝对偏差，能够反映一个待检测流量属于正常类的程度，第一偏差越小，说明该待检测流量属于该类的可能性越高。
[0080]
步骤s23：计算所述k个异常样本与所述待检测流量之间的所述第一距离之和，作为所述待检测流量与所述异常类的第二偏差。
[0081]
同理的，第二偏差为待检测流量与异常类中k个最近邻点的距离之和，可以相当于待检测流量到异常类的绝对偏差。公式如下：
[0082][0083]
其中，-y表示异常类；γ
i-y
表示为待检测流量i相对于类-y的绝对偏差(即第二偏差)；为待检测流量i到类-y中最近的第j个点的距离。
[0084]
第二偏差反映了一个点属于异常类的程度，第二偏差越小，说明该点属于异常类的可能性越高，则属于正常类的可能性越低。
[0085]
接下来，继续参考图1。步骤s40：通过所述第一偏差与所述第二偏差确定所述待检测流量是否为异常流量。
[0086]
当第一偏差与第二偏差均满足对应的条件时，则可以确定待检测流量为正常流量，否则，待检测流量为异常流量。举例来说，预先可以确定第一偏差的阈值条件，以及第二偏差的阈值条件。然后分别判断第一偏差与第二偏差是否满足各自的阈值条件，如果第一偏差与第二偏差均满足，则可以确定待检测流量为正常流量。如果第一偏差与第二偏差中有不满足阈值条件的，则可以确定待检测流量为异常流量。
[0087]
示例性的实施方式中，通过增加一个指标与第一偏差、第二偏差共同来进行异常流量检测，提高检测的准确性。示例性的，通过第一偏差、第二偏差计算待检测流量与正常类中流量样本的相对偏差。该相对偏差可以描述待检测流量与正常类、异常类之间的相对距离，从而丰富待检测流量的特征，提高异常检测的精度。
[0088]
具体的，计算上述第一偏差与第二偏差的比值，可以作为待检测流量与所述正常类的相对偏差。从而，通过第一偏差、第二偏差以及该相对偏差来确定待检测流量是否为异常流量。
[0089]
由上可知，待检测流量与正常类之间的相对偏差为：
[0090][0091]
其中，α
iy
表示待检测流量i相对于正常类y的相对偏差。相对偏差刻画的是一个点不属于类的程度，相对偏差越大说明该点属于该类的可能性越低。
[0092]
综上所述，对于需要进行异常检测的一个检测点i(即待检测流量)来说，可以计算该检测点i与正常类、异常类中每个点(即流量样本)之间的距离。分别筛选出正常类中距离最近的k个点，以及异常类中距离最近的k个点。正常类中距离最近的k个点与检测点i之间的距离之和，为检测点i与正常类的第一偏差。该第一偏差可以作为检测点i相对于正常类的独立度，该值越小，说明该检测点i在正常类中越不独立，则检测点i属于正常类的可能性越高。异常类中距离最近的k个点与检测点i之间的距离之和，为检测点i与异常类之间的第二偏差。该第二偏差可以作为检测点i相对于正常类的偏离值，该值越小，说明该检测点i属于异常类的可能性越高，则属于正常类的可能性越小。上述第一偏差与第二偏差分别为检测点i到正常类与异常类的绝对偏差，通过独立度与偏离值这两个指标来表示。第一偏差与第二偏差的比值为检测点i对于正常类的相对偏差，该相对偏差可作为检测点i另一个指标，即奇异度，该值越小，则说明检测点i属于正常类的可能性越高。
[0093]
本发明通过引入独立度来描述检测点到正常类的绝对距离，引入偏离值来描述检测点到异常类的绝对距离，引入奇异度来描述检测点到正常类的相对距离。通过上述三个度量值能够更加全面地度量检测点与正常类之间的关系，从而提高检测精度。
[0094]
示例性的实施方式中，确定待检测流量是否为异常流量的过程如图3所示。
[0095]
具体的，步骤s31中，计算各个所述流量样本之间的第二距离。利用两点之间的马氏距离可以来计算所有流量样本两两之间的距离。为了区分，流量样本之间的距离称为第二距离。
[0096]
步骤s32中，根据所述第二距离确定所述流量样本的参考第一偏差与参考第二偏差。与待检测流量的第一偏差与第二偏差类似，为了区分，将流量样本互相之间的第一偏差称为参考第一偏差，流量样本互相之间的第二偏差称为参考第二偏差。
[0097]
具体的，对于数据集中的一个流量样本i，首先根据该流量样本i与其他流量样本的第二距离，确定出正常类中与该流量样本i距离最近的k个第一样本，以及与该流量样本距离最近的异常类中的k个第二样本。然后，参考上述公式(1)计算流量样本i的k个第一样本与其的第二距离的总和，即得到参考第一偏差。参考上述公式(2)计算流量样本i的k个第二样本与其的第二距离的总和，得到参考第二偏差。
[0098]
步骤s33：计算所述参考第一偏差与所述参考第二偏差的比值，获得所述流量样本
的参考相对偏差。参考上述公式(3)计算参考第一偏差与参考第二偏差之间的比值，得到参考相对偏差。
[0099]
可见，参考第一偏差包括数据集中每个流量样本的独立度，参考相对偏差包括数据集中的每个流量样本的奇异度，而参考第二偏差包括数据集中每个流量样本的偏离值。
[0100]
然后，在步骤s34中，计算所述第一偏差在所述参考第一偏差中的第一概率值、所述第二偏差在所述参考第二偏差中的第二概率值，以及所述相对偏差在所述参考相对偏差中的第三概率值。
[0101]
该第一概率值、第二概率值与第三概率值可以描述待检测流量的第一偏差、第二偏差与相对偏差的置信程度。示例性的，对于第一概率值，确定在所有的流量样本中，参考第一偏差大于或等于第一偏差的流量样本的数量，记为第一数量。该数量与总样本数量的比例，即为第一概率值。总样本数量为流量样本与待检测流量的数量之和。例如，数据集中总共包括n个正常类、异常类的流量样本，则总样本数量为n 1。第一概率值记为p1，具体计算方式如下：
[0102][0103]
其中，θi为待检测流量在正常类y的绝对偏差，即独立度。θj为数据集中y中第j个流量样本的独立度；#为有限集合的元素数。
[0104]
通过上述公式(4)可以统计出数据集中独立度大于待检测流量的独立度的流量样本的数量，进而计算该数量在总样本数量中所占的比例。概率值p1越大，则数据集中独立度大于待检测流量的样本数量越多，说明待检测流量在数据集的整体取值中偏小，而独立度越小，则待检测流量属于正常类的概率越大。
[0105]
同理的，将第二概率值记为p2，具体计算方式如下：
[0106][0107]
其中，γi为待检测流量在异常类中的第二偏差，即偏离值。γj为数据集中第j个流量样本的偏离值。
[0108]
同样的，通过上述公式(5)可以计算出数据集中偏离值小于或等于待检测流量的样本的数量，即第二数量。进而，计算出第二数量在总样本数量的比例，得到第二概率值。
[0109]
第三概率值记为p3，公式如下：
[0110][0111]
其中，αi为待检测流量的相对偏差，αj为数据集中第j个流量样本的相对偏差。
[0112]
通过公式(6)可以统计出所有流量样本中，相对偏差大于待检测流量的流量样本的数量，记为第三数量；并计算该第三数量在总样本数量中的比例，得到第三概率值。
[0113]
可见，通过上述第一概率值、第二概率值、第三概率值可以将所有流量样本作为一个整体，从整体上表达出待检测流量的独立度、偏离值、奇异度，从而全面地计算待检测流量与各个类别之间的差异，降低异常检测的误报率，提高准确率。
[0114]
然后，在步骤s35中，通过所述第一概率值、所述第二概率值、所述第三概率值确定所述待检测流量是否为异常流量。预先可以为每一概率值确定一对应的门限值，例如，第一
概率值、第二概率值、第三概率值的门限值分别为：τ1、τ2、τ3。那么，如果第一概率值、第二概率值与第三概率值均大于各自对应的门限值，则可以确定待检测流量为正常流量。也就是说，如果同时满足p1(αi)≥τ1以及p2(θi)≥τ2以及p3(γi)≥τ3，那么待检测流量为正常流量，否则待检测流量为异常流量。
[0115]
可见，本实施方式中，通过引入奇异度、独立度、偏离值三个指标，作为判断异常的标准，能够弥补传统检测算法的不足，提高检测的准确率。并且，该技术方案在sdn架构下的提升效果更加显著。sdn架构下，控制器不仅需要监控整个网络环境，向交换机下发流表，还需要完成对异常流量的检测，这大大增加了中央控制器的负担。本实施方式提供的技术方案简单高效，支持增量学习，可以实时进行。
[0116]
对于实时接收到的每一个流量来说，无需对数据集中流量样本进行计算，能够降低时间复杂度，降低sdn的计算消耗，大大提升性能。在本次异常检测中可以利用上一次检测过程中计算出各个流量样本的奇异度、独立度、偏离值来对本次需要检测的待检测流量进行检测。并且，本次检测中的待检测流量还可以作为下一次检测的流量样本，从而使得流量样本的数据集动态更新，满足实时性要求。
[0117]
进一步的，本发明还提供一种异常流量检测装置，可用于执行上述异常流量检测方法。下面对本发明提供的异常流量检测装置进行描述。
[0118]
如图4所示，异常流量检测装置40可以包括样本确定模块41、距离计算模块42、指标确定模块43、异常判断模块44。
[0119]
具体的，样本确定模块41用于确定多个流量样本以及所述流量样本所属的类别，所述类别包括正常类与异常类。距离计算模块42用于获取待检测流量，计算所述待检测流量与所述流量样本之间的第一距离。指标确定模块43用于根据所述第一距离确定所述待检测流量与所述正常类的第一偏差，以及所述待检测流量与所述异常类的第二偏差。异常判断模块44用于通过所述第一偏差与所述第二偏差确定所述待检测流量是否为异常流量。
[0120]
在本发明的一种示例性实施方式中，所述指标确定模块43包括距离筛选模块，用于根据所述第一距离确定所述正常类中与所述待检测流量距离最近的k个正常样本，以及所述异常类中与所述待检测流量距离最近的k个异常样本，k为正整数；第一指标计算模块，用于计算所述k个正常样本与所述待检测流量的所述第一距离之和，作为所述待检测流量与所述正常类的所述第一偏差；第二指标计算模块，用于计算所述k个异常样本与所述待检测流量之间的所述第一距离之和，作为所述待检测流量与所述异常类的第二偏差。
[0121]
在本发明的一种示例性实施方式中，异常判断模块44包括第三指标确定模块，用于计算所述第一偏差与所述第二偏差的比值，作为所述待检测流量与所述正常类的相对偏差；异常确定模块，用于通过所述第一偏差、所述第二偏差以及所述相对偏差确定所述待检测流量是否为异常流量。
[0122]
在本发明的一种示例性实施方式中，上述异常确定模块具体包括：样本距离计算模块，用于计算各个所述流量样本之间的第二距离；样本指标计算模块，用于根据所述第二距离确定所述流量样本的参考第一偏差与参考第二偏差；相对偏差计算模块，用于计算所述参考第一偏差与所述参考第二偏差的比值，获得所述流量样本的参考相对偏差；概率确定模块，用于计算所述第一偏差在所述参考第一偏差中的第一概率值、所述第二偏差在所述参考第二偏差中的第二概率值，以及所述相对偏差在所述参考相对偏差中的第三概率
值；概率判断模块，用于通过所述第一概率值、所述第二概率值、所述第三概率值确定所述待检测流量是否为异常流量。
[0123]
在本发明的一种示例性实施方式中，上述样本指标计算模块具体包括：样本筛选模块，用于对于每个所述流量样本，根据所述第二距离确定所述正常类中距离最近的k个第一样本，以及所述异常类中距离最近的k个第二样本，k为正整数；样本第一指标计算模块，用于计算所述k个第一样本的所述第二距离之和，作为所述流量样本的参考第一偏差；样本第二指标计算模块，用于计算所述k个第二样本的所述第二距离之和，作为所述流量样本的参考第二偏差。
[0124]
在本发明的一种示例性实施方式中，上述概率确定模块具体包括：第一数量确定模块，用于确定所述多个流量样本中，所述参考第一偏差大于或等于所述第一偏差的流量样本的第一数量；第一概率计算模块，用于计算所述第一数量占总样本数量的比例，获得所述第一概率值；第二数量确定模块，用于确定所述多个流量样本中，所述参考第二偏差小于或等于所述第二偏差的流量样本的第二数量；第二概率计算模块，用于计算所述第二数量占所述总样本数量的比例，获得所述第二概率值；第三数量确定模块，用于确定所述多个流量样本中，所述参考相对偏差大于或等于所述相对偏差的流量样本的第三数量；第三概率计算模块，用于计算所述第三数量占所述总样本数量的比例，获得所述第三概率值；其中，所述总样本数量为所述多个流量样本与所述待检测流量的数量之和。
[0125]
在本发明的一种示例性实施方式中，上述概率判断模块具体包括：正常类输出模块，用于若所述第一概率值、所述第二概率值与所述第三概率值均大于对应的门限值，则确定所述待检测流量为正常流量；异常类输出模块，用于若所述第一概率值或所述第二概率值或所述第三概率值不大于对应的门限值，则确定所述待检测流量为异常流量。
[0126]
由于本发明示例实施方式中的异常流量检测装置的各个功能模块与上述异常流量检测方法的示例实施方式的步骤对应，因此对于本发明装置实施例中未披露的细节，请参照上述的异常流量检测方法的实施方式。
[0127]
图5示例了一种电子设备的实体结构示意图，如图5所示，该电子设备可以包括：处理器(processor)510、通信接口(communications interface)520、存储器(memory)530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令，以执行上述异常流量检测方法，该方法包括：步骤s10：确定多个流量样本以及所述流量样本所属的类别，所述类别包括正常类与异常类；步骤s20：获取待检测流量，计算所述待检测流量与所述流量样本之间的第一距离；步骤s30：根据所述第一距离确定所述待检测流量与所述正常类的第一偏差，以及所述待检测流量与所述异常类的第二偏差；步骤s40：通过所述第一偏差与所述第二偏差确定所述待检测流量是否为异常流量。
[0128]
此外，上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，
read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0129]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的异常流量检测方法，该方法包括：步骤s10：确定多个流量样本以及所述流量样本所属的类别，所述类别包括正常类与异常类；步骤s20：获取待检测流量，计算所述待检测流量与所述流量样本之间的第一距离；步骤s30：根据所述第一距离确定所述待检测流量与所述正常类的第一偏差，以及所述待检测流量与所述异常类的第二偏差；步骤s40：通过所述第一偏差与所述第二偏差确定所述待检测流量是否为异常流量。
[0130]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的异常流量检测方法，该方法包括：步骤s10：确定多个流量样本以及所述流量样本所属的类别，所述类别包括正常类与异常类；步骤s20：获取待检测流量，计算所述待检测流量与所述流量样本之间的第一距离；步骤s30：根据所述第一距离确定所述待检测流量与所述正常类的第一偏差，以及所述待检测流量与所述异常类的第二偏差；步骤s40：通过所述第一偏差与所述第二偏差确定所述待检测流量是否为异常流量。
[0131]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0132]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0133]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。