(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115913763A(43)申请公布日2023.04.04(21)申请号202211603518.5(22)申请日2022.12.13(71)申请人天翼物联科技有限公司地址210000江苏省南京市秦淮区中山南路501号1101室(72)发明人孙金涛陈杨陈璇(74)专利代理机构深圳市精英专利事务所44242专利代理师迟珊珊(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书11页附图2页(54)发明名称流量异常检测方法、装置、设备及介质(57)摘要本发明涉及人工智能技术领域，提供一种流量异常检测方法、装置、设备及介质，其方法包括：响应于流量异常检测指令，根据所述流量异常检测指令获取待检测流量；基于95计费算法检测所述待检测流量中的异常流量，得到候选异常流量；获取预先构建的预警模型，及获取预先配置的异常流量阈值；根据所述预警模型及所述异常流量阈值从所述候选异常流量中筛选出目标异常流量。利用本发明能够在传统95计费算法的基础上进一步结合预先构建的预警模型进行异常流量的检测，解决了单一采用传统95计费算法检测异常流量时不准确的问题，并通过多源数据的融合提高了异常流量预测的精度。CN115913763ACN115913763A权利要求书1/2页1.一种流量异常检测方法，其特征在于，所述流量异常检测方法包括：响应于流量异常检测指令，根据所述流量异常检测指令获取待检测流量；基于95计费算法检测所述待检测流量中的异常流量，得到候选异常流量；获取预先构建的预警模型，及获取预先配置的异常流量阈值；根据所述预警模型及所述异常流量阈值从所述候选异常流量中筛选出目标异常流量。2.如权利要求1所述的流量异常检测方法，其特征在于，所述根据所述流量异常检测指令获取待检测流量包括：解析所述流量异常检测指令，得到待检测时间区间及待检测端口；获取所述待检测时间区间内所述待检测端口产生的所有输入流量及输出流量作为所述待检测流量。3.如权利要求2所述的流量异常检测方法，其特征在于，所述基于95计费算法检测所述待检测流量中的异常流量，得到候选异常流量包括：在所述待检测时间区间内每隔预设时间间隔确定一个采样点；获取每个采样点处产生的流量作为备选流量；对所述备选流量按照流量值由高到低的顺序进行排序；获取排在前5％的所述备选流量作为所述候选异常流量。4.如权利要求1所述的流量异常检测方法，其特征在于，在获取预先构建的预警模型前，所述方法还包括：基于随机森林算法构建所述预警模型。5.如权利要求1所述的流量异常检测方法，其特征在于，所述根据所述预警模型及所述异常流量阈值从所述候选异常流量中筛选出目标异常流量包括：以第一采样策略构建所述候选异常流量中的第一采样点集合，以第二采样策略构建所述候选异常流量中的第二采样点集合，以及以第三采样策略构建所述候选异常流量中的第三采样点集合；将所述第一采样点集合中的每个第一采样点输入至所述预警模型进行预测，得到每个第一采样点的第一异常概率；将所述第二采样点集合中的每个第二采样点输入至所述预警模型进行预测，得到每个第二采样点的第二异常概率；将所述第三采样点集合中的每个第三采样点输入至所述预警模型进行预测，得到每个第三采样点的第三异常概率；当检测到在所述第一采样点集合、所述第二采样点集合及所述第三采样点集合中，有采样点对应的第一异常概率及第二异常概率都大于或者等于所述异常流量阈值，或者有采样点对应的第二异常概率及第三异常概率都大于或者等于所述异常流量阈值，或者有采样点对应的第一异常概率及第三异常概率都大于或者等于所述异常流量阈值时，将检测到的采样点对应的所述候选异常流量确定为所述异常流量阈值。6.如权利要求5所述的流量异常检测方法，其特征在于：所述第一采样策略包括：在距离当前时间戳第一时间范围内，每隔第一时间间隔确定一个采样点；所述第二采样策略包括：在距离所述当前时间戳第二时间范围内，每隔第二时间间隔2CN115913763A权利要求书2/2页确定一个采样点；所述第三采样策略包括：在距离所述当前时间戳第三时间范围内，每隔第三时间间隔确定一个采样点；其中，所述第一时间范围小于所述第二时间范围，所述第二时间范围小于所述第三时间范围；其中，所述第一时间间隔小于所述第二时间间隔，所述第二时间间隔小于所述第三时间间隔；其中，所述第一时间范围、所述第二时间范围、所述第三时间范围的三项连比，与所述第一时间间隔、所述第二时间间隔、所述第三时间间隔的三项连比相同。7.如权利要求1所述的流量异常检测方法，其特征在于，在根据所述预警模型及所述异常流量阈值从所述候选异常流量中筛选出目标异常流量后，所述方法还包括：根据所述目标异常流量生成提示信息；将所述提示信息发送至指定终端设备。8.一种