(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115766176A(43)申请公布日2023.03.07(21)申请号202211400209.8(22)申请日2022.11.09(71)申请人北京沃东天骏信息技术有限公司地址100176北京市大兴区北京经济技术开发区科创十一街18号院2号楼4层A402室申请人北京京东世纪贸易有限公司(72)发明人吴昊徐峰陈鹏(74)专利代理机构北京路浩知识产权代理有限公司11002专利代理师常芳(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书11页附图5页(54)发明名称网络流量处理方法、装置、设备及存储介质(57)摘要本公开涉及计算机技术领域，尤其涉及一种网络流量处理方法、装置、设备及存储介质。方法包括：获取实时采样流量对应的实时流量特征，其中，实时采样流量为实时对网络流量进行采样得到的流量数据；将实时流量特征输入预设的异常检测模型，获得异常检测模型输出的检测结果，其中，异常检测模型通过样本特征集合训练得到，样本特征集合包括至少一个样本流量特征；根据检测结果确定实时采样流量为异常流量时，将实时流量特征更新至样本特征集合，其中，更新后的样本特征集合，用于重新训练异常检测模型。本公开用以解决现有技术中网络流量检测的效率较低且准确性较低的缺陷。CN115766176ACN115766176A权利要求书1/2页1.一种网络流量处理方法，其特征在于，包括：获取实时采样流量对应的实时流量特征，其中，所述实时采样流量为实时对网络流量进行采样得到的流量数据；将所述实时流量特征输入预设的异常检测模型，获得所述异常检测模型输出的检测结果，其中，所述异常检测模型通过样本特征集合训练得到，所述样本特征集合包括至少一个样本流量特征；根据所述检测结果确定所述实时采样流量为异常流量时，将所述实时流量特征更新至所述样本特征集合，其中，更新后的所述样本特征集合，用于重新训练所述异常检测模型。2.根据权利要求1所述的网络流量处理方法，其特征在于，所述异常检测模型基于决策树训练得到；所述异常检测模型的训练过程如下：获取所述样本特征集合的第一信息熵；对于所述样本特征集合中每一个所述样本流量特征：以所述样本流量特征对所述样本特征集合进行划分，获得所述样本特征流量对应的样本特征子集；获取所述样本特征子集的第二信息熵；根据所述第一信息熵和每一个所述样本流量特征分别对应的所述第二信息熵，获得每一个所述样本流量特征分别对应的信息增益；根据所述信息增益，获取基于所述决策树的所述异常检测模型。3.根据权利要求2所述的网络流量处理方法，其特征在于，所述根据所述信息增益，获取基于所述决策树的所述异常检测模型，包括：对于所述样本特征集合中每一个所述样本流量特征：获取基于所述样本流量特征对应的特征决策树；获取所述特征决策树的叶子节点数；基于每一个所述样本流量特征分别对应的信息增益和所述叶子节点数，获取每一个所述样本流量特征分别对应的特征选定概率；计算任意两个所述样本流量特征分别对应的所述特征选定概率的差值；确定所述差值小于差值阈值时，融合所述差值对应的两个所述样本流量特征；基于融合后的所述样本流量特征，获取所述异常检测模型。4.根据权利要求1所述的网络流量处理方法，其特征在于，所述将所述实时流量特征更新至所述样本特征集合，包括：将所述实时流量特征作为新的所述样本特征集合，添加至所述样本特征集合，其中所述样本特征集合对应预设的集合样本数；基于样本流量特征对应的采样时刻，逐个删除所述样本特征集合中距离当前时刻最久的所述样本流量特征，直至所述样本特征集合中所述样本流量特征的实时数量，达到所述集合样本数，获得更新后的所述样本特征集合。5.根据权利要求2所述的网络流量处理方法，其特征在于，所述获取所述样本特征集合的第一信息熵之前，还包括：基于所述样本特征集合中的每一个所述样本流量特征，分别与标签特征的相关性，移除所述相关性低于相关性阈值的所述样本流量特征，获得第一样本特征集合；根据移除后的所述样本特征集合对应的决策树，删除所述第一样本特征集合中的冗余2CN115766176A权利要求书2/2页特征，获得第二样本特征集合；计算所述第二样本特征集合中，每一个所述样本流量特征分别对应的准确影响度；基于所述准确影响度，选择所述第二样本特征集合中的至少一个最优样本流量特征，获得最优特征集合；通过所述最优特征集合更新所述样本特征集合，其中，所述异常检测模型通过更新后的所述样本特征集合进行训练。6.根据权利要求5所述的网络流量处理方法，其特征在于，所述计算所述第二样本特征集合中，每一个所述样本流量特征分别对应的准确影响度，包括：基于所述第二样本特征集合，获取对网络流量进行描述时异常检测的集合精度；对于所述第二样本特征集合中的每一