本申请涉及流量异常检测领域,具体涉及一种流量异常检测方法、装置、设备及可读存储介质。
背景技术:
1、基于物联网设备的动态性、复杂性及设备异构性,物联网设备暴露出了越来越多的安全问题,并且针对物联网设备的大部分入侵行为都是通过网络方式进行渗透的,因此需要对物联网设备的流量进行异常检测。然而,目前通常是通过防火墙等技术对流量进行检测。但由于物联网设备硬件资源有限,无法使用现有的防火墙技术检测物联网设备的流量是否异常。
技术实现思路
1、本申请实施例提供一种流量异常检测方法、装置、设备及可读存储介质,用以解决现有防火墙技术无法检测物联网设备的流量是否异常的技术问题。
2、第一方面,本申请实施例提供一种流量异常检测方法,包括:
3、根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;
4、基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据;
5、根据各所述流量特征的数据,确定各所述流量特征的差异度;
6、基于所述差异度对所述待检测物联网设备进行流量异常检测。
7、在一个实施例中,所述根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长包括:
8、根据待检测物联网设备的设备信息,确定时长调整系数;
9、根据待检测物联网设备的历史流量数据,确定基础时长;
10、基于所述基础时长和所述时长调整系数,确定数据采集步长。
11、在一个实施例中,所述根据待检测物联网设备的设备信息,确定时长调整系数包括:
12、根据待检测物联网设备的设备信息,确定漏洞数量和最大漏洞影响系数;
13、基于所述漏洞数量和所述最大漏洞影响系数,确定时长调整系数。
14、在一个实施例中,所述根据待检测物联网设备的历史流量数据,确定基础时长包括:
15、根据待检测物联网设备的历史流量数据,确定流量均值、流量标准差以及流量极大值;
16、基于所述流量均值、所述流量标准差以及所述流量极大值,确定基础时长。
17、在一个实施例中,所述基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据包括:
18、从预设初始时刻开始,基于窗口长度和所述数据采集步长滑动所述窗口,采集窗口对应时间段内的各流量特征的数据,所述窗口长度为预设时长;
19、直至所述窗口到达预设终止时刻,或窗口滑动次数达到第一预设阈值,停止窗口滑动,得到各窗口对应时间段内各所述流量特征的数据。
20、在一个实施例中,所述根据各所述流量特征的数据,确定各所述流量特征的差异度包括:
21、在所述流量特征为源端口的情况下,基于所述源端口在各窗口对应时间段内出现的总量,各窗口对应时间段内不同源端口的数量,以及所有窗口对应时间段内不同源端口的数量,确定各窗口对应时间段内所述源端口的差异度。
22、在一个实施例中,所述基于所述差异度对所述待检测物联网设备进行流量异常检测包括:
23、在目标窗口对应时间段内各所述流量特征的差异度中存在大于第二预设阈值的差异度的情况下,确定所述待检测物联网设备流量异常;
24、在目标流量特征的差异度呈连续上升趋势的窗口数量属于预设区间的情况下,确定所述待检测物联网设备流量异常,所述预设区间基于窗口总数确定。
25、第二方面,本申请实施例提供一种流量异常检测装置,包括:
26、数据采集步长确定模块,用于根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长;
27、流量特征数据采集模块,用于基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据;
28、流量特征差异度确定模块,用于根据各所述流量特征的数据,确定各所述流量特征的差异度;
29、流量异常检测模块,用于基于所述差异度对所述待检测物联网设备进行流量异常检测。
30、第三方面,本申请实施例提供一种设备,包括处理器和存储有计算机程序的存储器,所述处理器执行所述计算机程序时实现第一方面所述的流量异常检测方法。
31、第四方面,本申请实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现第一方面所述的流量异常检测方法。
32、本申请实施例提供的流量异常检测方法、装置、设备及可读存储介质,根据物联网设备的历史流量信息和设备信息,确定数据采集步长,基于各物联网设备的数据采集步长,采用滑动窗口机制进行流量数据采集,这样可以在少采集流量数据的基础上,保证了数据采集质量。根据采集的流量特征数据计算各流量特征的差异度,基于差异度进行流量异常检测。通过差异度反映流量特征的异常情况,保证了流量异常检测的准确性。
1.一种流量异常检测方法,其特征在于,包括:
2.根据权利要求1所述的流量异常检测方法,其特征在于,所述根据待检测物联网设备的设备信息和历史流量数据,确定数据采集步长包括:
3.根据权利要求2所述的流量异常检测方法,其特征在于,所述根据待检测物联网设备的设备信息,确定时长调整系数包括:
4.根据权利要求2所述的流量异常检测方法,其特征在于,所述根据待检测物联网设备的历史流量数据,确定基础时长包括:
5.根据权利要求1所述的流量异常检测方法,其特征在于,所述基于所述数据采集步长采集所述待检测物联网设备的各流量特征的数据包括:
6.根据权利要求5所述的流量异常检测方法,其特征在于,所述根据各所述流量特征的数据,确定各所述流量特征的差异度包括:
7.根据权利要求6所述的流量异常检测方法,其特征在于,所述基于所述差异度对所述待检测物联网设备进行流量异常检测包括:
8.一种流量异常检测装置,其特征在于,包括:
9.一种电子设备,包括处理器和存储有计算机程序的存储器,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述的流量异常检测方法。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述流量异常检测方法。
