(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115086060A(43)申请公布日2022.09.20(21)申请号202210762423.1H04L43/16(2022.01)(22)申请日2022.06.30(71)申请人深信服科技股份有限公司地址518055广东省深圳市南山区学苑大道1001号南山智园A1栋一层(72)发明人陈晨李达黄磊薛聪明段彦忠嵇中旭刘涛王运沈一平袁楠丁(74)专利代理机构深圳市深佳知识产权代理事务所(普通合伙)44285专利代理师夏欢(51)Int.Cl.H04L9/40(2022.01)H04L41/142(2022.01)H04L43/08(2022.01)权利要求书2页说明书15页附图5页(54)发明名称一种流量检测方法、装置、设备及可读存储介质(57)摘要本申请公开了计算机技术领域内的一种流量检测方法、装置、设备及可读存储介质。本申请针对目标主机与其他设备之间的通信流量，先按照预设时长划分通信流量中的同路径流量，得到不同传输时间段内的流量组，然后统计每个流量组中的流量传输特征集，最后基于相同流量传输特征集的统计结果判断同路径流量是否为异常流量。本申请以目标主机与其他设备之间的通信流量作为检测对象，提升了检测的全面性，还能够检测出通信流量的真实传输行为，因此可以降低误判率，提升了恶意流量的检测准确性。本申请提供的一种流量检测装置、设备及可读存储介质，也同样具有上述技术效果。CN115086060ACN115086060A权利要求书1/2页1.一种流量检测方法，其特征在于，包括：获取目标主机与其他设备之间的通信流量；按照预设时长划分所述通信流量中的同路径流量，得到不同传输时间段内的流量组；统计每个流量组中的流量传输特征集；基于相同流量传输特征集的统计结果判断所述同路径流量是否为异常流量。2.根据权利要求1所述的流量检测方法，其特征在于，任一流量组中的流量传输特征集包括以下任一项或组合：上下行数据包个数之和、上行数据包个数、下行数据包个数、上行数据包大小、下行数据包大小、上行数据包的传输间隔、下行数据包的传输间隔。3.根据权利要求1所述的流量检测方法，其特征在于，所述基于相同流量传输特征集的统计结果判断所述同路径流量是否为异常流量，包括：将相同流量传输特征集的个数与流量传输特征集总个数的比值确定为所述统计结果；若所述统计结果大于预设第一阈值，则确定所述同路径流量为异常流量；否则，确定所述同路径流量不是异常流量。4.根据权利要求1所述的流量检测方法，其特征在于，还包括：针对所述同路径流量中的上行流量，通过滚动时间窗口统计相应时间窗口内的流量出现次数，得到次数序列；所述上行流量为：其他设备发往所述目标主机的流量；基于所述次数序列确定所述上行流量是否具有上行周期；在有所述上行周期的情况下，基于所述上行周期判断所述上行流量是否为异常流量。5.根据权利要求4所述的流量检测方法，其特征在于，还包括：汇总所述同路径流量的判断结果和所述上行流量的判断结果，得到综合判断结果。6.根据权利要求4所述的流量检测方法，其特征在于，还包括：针对所述同路径流量，通过滚动时间窗口统计相应时间窗口内每次通信的下行流量大小和/或上行流量大小，得到上行流量大小序列和/或下行流量大小序列；若所述上行流量大小序列和/或所述下行流量大小序列中的元素离散程度不大于离散程度阈值，则执行所述针对所述同路径流量中的上行流量，通过滚动时间窗口统计相应时间窗口内的流量出现次数，得到次数序列；所述上行流量为：其他设备发往所述目标主机的流量；基于所述次数序列确定所述上行流量是否具有上行周期；在有所述上行周期的情况下，基于所述上行周期判断所述上行流量是否为异常流量的步骤。7.根据权利要求4所述的流量检测方法，其特征在于，还包括：若所述上行流量中的各流量具有相似性，则执行所述针对所述同路径流量中的上行流量，通过滚动时间窗口统计相应时间窗口内的流量出现次数，得到次数序列；所述上行流量为：其他设备发往所述目标主机的流量；基于所述次数序列确定所述上行流量是否具有上行周期；在有所述上行周期的情况下，基于所述上行周期判断所述上行流量是否为异常流量的步骤。8.一种流量检测装置，其特征在于，包括：获取模块，用于获取目标主机与其他设备之间的通信流量；划分模块，用于按照预设时长划分所述通信流量中的同路径流量，得到不同传输时间段内的流量组；统计模块，用于统计每个流量组中的流量传输特征集；2CN115086060A权利要求书2/2页检测模块，用于基于相同流量传输特征集的统计结果判断所述同路径流量是否为异常流量。9.一种电子设备，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序，以实现如权利要求1至7任一项所述的流量检测方法。10.