(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113806733A(43)申请公布日2021.12.17(21)申请号202110148678.4(22)申请日2021.02.03(71)申请人北京沃东天骏信息技术有限公司地址100083北京市海淀区杏石口路65号西杉创意园四区11号楼东段1-4层西段1-4层申请人北京京东世纪贸易有限公司(72)发明人牛亚男褚阳巫发萍(74)专利代理机构北京德琦知识产权代理有限公司11018代理人衣淑凤宋志强(51)Int.Cl.G06F21/55(2013.01)G06K9/62(2006.01)权利要求书2页说明书9页附图3页(54)发明名称异常流量检测方法、装置及可读存储介质和电子设备(57)摘要本发明实施例提出异常流量检测方法、装置及可读存储介质和电子设备。方法包括：采用第一分类模型将接收到的第二流量段分类为两组流量：第一流量组和第二流量组；其中，所述第一分类模型为：对接收到的第一流量段采用单分类算法计算得到的，第一流量段和第二流量段为相邻接收到的流量段，且第一流量段在第二流量段之前接收到；从第一流量组和第二流量组中提取异常流量特征，若提取到，则将所述异常流量特征添加到异常流量特征集合中；根据所述异常流量特征集合，检测接收到的流量是否为异常流量，若为异常流量，则丢弃该流量。本发明实施例提高了异常流量检测的准确度和速度。CN113806733ACN113806733A权利要求书1/2页1.一种异常流量检测方法，其特征在于，该方法包括：采用第一分类模型将接收到的第二流量段分类为两组流量：第一流量组和第二流量组；其中，所述第一分类模型为：对接收到的第一流量段采用单分类算法计算得到的，第一流量段和第二流量段为相邻接收到的流量段，且第一流量段在第二流量段之前接收到；从第一流量组和第二流量组中提取异常流量特征，若提取到，则将所述异常流量特征添加到异常流量特征集合中；根据所述异常流量特征集合，检测接收到的流量是否为异常流量，若为异常流量，则丢弃该流量。2.根据权利要求1所述的方法，其特征在于，所述第二流量段为：从第二接口访问请求集合中提取的各字段的字段值集合，其中，第二接口访问请求集合为：当前时间段进入设备接口的接口访问请求的集合；所述第一流量段为：从第一接口访问请求集合中提取的各字段的字段值集合，其中，第一接口访问请求集合为：当前时间段的前一时间段进入所述设备接口的接口访问请求的集合。3.根据权利要求1所述的方法，其特征在于，所述从第一流量组和第二流量组中提取异常流量特征包括：分别在第一流量组和第二流量组中搜索出现次数大于预设第一阈值的数据项集合，若搜索到，则将所述数据项集合作为异常流量特征；且，所述根据所述异常流量特征集合，检测接收到的流量是否为异常流量，包括：当接收到流量时，检测该流量中是否包含所述异常流量特征集合中的任一异常流量特征，且，若包含，则确定该流量为异常流量。4.根据权利要求3所述的方法，其特征在于，所述分别在第一流量组和第二流量组中搜索出现次数大于预设第一阈值的数据项集合包括：分别采用频繁项集挖掘方法，在第一流量组和第二流量组中搜索支持度大于预设第一阈值的频繁项集；且，所述将所述数据项集合作为异常流量特征包括：将支持度大于预设第一阈值的频繁项集作为异常流量特征。5.根据权利要求3或4所述的方法，其特征在于，所述分别在第一流量组和第二流量组中搜索出现次数大于预设第一阈值的数据项集合之前，进一步包括：分别判断第一流量组、第二流量组的长度是否小于预设第二阈值，若小于，则将长度小于预设第二阈值的第一流量组或第二流量组直接作为异常流量特征，并在长度不小于预设第二阈值的第二流量组或第一流量组中搜索出现次数大于预设第一阈值的数据项集合；若都不小于，则执行所述分别在第一流量组和第二流量组中搜索出现次数大于预设第一阈值的数据项集合的动作。6.根据权利要求1所述的方法，其特征在于，所述将所述异常流量特征添加到所述异常流量特征集合中，进一步包括：为所述异常流量特征设置有效期；且，在所述有效期到期时，将所述异常流量特征从所述异常流量特征集合中删除。7.一种异常流量检测装置，其特征在于，该装置包括：2CN113806733A权利要求书2/2页分类计算模块，用于采用第一分类模型将接收到的第二流量段分类为两组流量：第一流量组和第二流量组；其中，所述第一分类模型为：对接收到的第一流量段采用单分类算法计算得到的，第一流量段和第二流量段为相邻接收到的流量段，且第一流量段在第二流量段之前接收到；特征提取模块，用于从第一流量组和第二流量组中提取异常流量特征，若提取到，则将所述异常流量特征添加到异常流量特征集合中；检测模块，用于根据所述异常流量特征集合，检测接收到的流量是否为异常流量，若为