异常流量的检测方法、装置和电子设备

技术领域

本申请涉及网络安全领域，具体而言，涉及一种异常流量的检测方法、装置、电子设备和计算机可读存储介质。

背景技术

伴随着网络的正常应用流量，网络上各种异常流量也随之而来，影响到网络的正常运行，威胁着用户主机的安全和使用。网络异常往往由网络攻击、蠕虫病毒、网络滥用等原因引起。例如：各种网络扫描、分布式拒绝服务攻击(Distributed Denial of Service，简称DDoS)、网络蠕虫病毒、恶意下载、对网络资源的不当使用等都会造成网络性能下降，严重时会影响正常的网络使用，造成网络拥塞，甚至造成网络中断、网络设备的失效等。因此，对网络异常流量进行检测，发现网络中存在的已知类型和未知类型的网络异常，是网络安全管理中较为重要的环节。

在相关技术中，存在利用机器学习算法检测异常流量的方案，但其训练模型所需要的异常流量样本不易采集，且同一个模型不适于多个应用场景(例如基于银行数据训练得到的模型不适用于教育应用场景)，因此将收敛模型应用于实际检测场景时，存在准确度低、模型适应性差的问题。

发明内容

本申请实施例的目的在于提供一种异常流量的检测方法、装置、电子设备和计算机可读存储介质，用以提高异常流量的检测准确性。

第一方面，本申请实施例提供了一种异常流量的检测方法，该方法包括：将待检测流量输入异常检测模型，得到该待检测流量对应的异常分值；其中，所述异常检测模型基于所述待检测流量的特征值以及预先确定的异常区间信息计算所述异常分值；根据所述异常分值判断所述待检测流量的异常程度。这样，异常检测模型无需获取异常流量样本，并且由于其基于特征值以及由特征值确定的异常区间信息建立，因此其不涉及具体的场景数据，继而可以应用于不同应用场景。因此利用该异常检测模型检测待检测流量时，具有准确度较高，模型适应性较强的优势。

可选地，所述异常区间信息基于以下步骤确定：提取多个历史流量分别对应的特征值，并根据数值最大的特征值划分出多个区间；将各个所述历史流量按照各自对应的特征值归置于匹配的区间内；针对于每一个区间，计算该区间所归置的历史流量个数在所述多个历史流量个数中的频率；根据每个区间对应的频率，将所述多个区间进行合并，得到所述异常区间信息。这样，可以根据历史流量对划分出的多个区间进行合并，这样，能够在不影响检测效果的同时，减少区间个数，在一定程度上提高了异常检测模型的运算速度。

可选地，所述根据每个区间对应的频率，将所述多个区间进行合并，得到所述异常区间信息，包括：将每个区间对应的频率按照数值大小进行排序；将相邻两个频率的累加和置于序列中，判断所述累加和是否导致序列的排列顺序发生变化；若否，则将所述相邻两个频率所对应的区间进行合并；若是，停止合并，得到所述异常区间信息。这样，可以在不影响区间稀有性的基础上，通过每个区间对应的频率动态合并区间，得到用于计算异常分值的区间个数，提高计算速率。

可选地，所述异常区间信息包括异常区间个数，以及所述异常检测模型计算所述异常分值的步骤包括：初始化与所述异常区间个数对应的多个异常区间内所归置的流量个数；针对每一个当前流量，按照该当前流量的特征值归置于对应的目标异常区间内，并统计该目标异常区间内当前所归置的流量个数；统计流量个数在所述目标异常区间的流量个数以下的多个异常区间中所归置的目标流量个数总和；以及统计所述多个异常区间所归置的流量个数总和；计算所述目标流量个数总和与所述流量个数总和的比值，并按照预设规则将所述比值进行映射；将映射后得到的数值确定为所述异常分值。这样，由于目标流量个数总和针对于流量个数在目标异常区间的流量个数以下的多个异常区间，因此其更能够体现当前流量的稀有性，继而使得异常分值具有较高的可信。

可选地，所述按照预设规则将所述比值进行映射，包括：将所述比值映射成该比值对应的对数。这样，能够将比值映射成更小的粒度，达到提高检测的准确度的目的。

可选地，所述特征值包括基于统计语言模型算法得到的信息熵。这样，可以将基于统计语言模型算法得到的信息熵作为特征值，以提高异常检测模型计算的异常分值的准确度。

可选地，所述异常流量的检测方法还包括：基于所述待检测流量，更新所述异常检测模型。这样，可以提高异常检测模型检测流量的准确性。

第二方面，本申请实施例提供了一种异常流量的检测装置，该装置包括：计算模块，用于将待检测流量输入异常检测模型，得到该待检测流量对应的异常分值；其中，所述异常检测模型基于所述待检测流量的特征值以及预先确定的异常区间信息计算所述异常分值；判断模块，用于根据所述异常分值判断所述待检测流量的异常程度。这样，异常检测模型无需获取异常流量样本，并且由于其基于特征值以及由特征值确定的异常区间信息建立，因此其不涉及具体的场景数据，继而可以应用于不同应用场景。因此利用该异常检测模型检测待检测流量时，具有准确度较高，模型适应性较强的优势。

第三方面，本申请实施例提供一种电子设备，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如上述第一方面提供的所述方法中的步骤。

第四方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。

本申请的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例提供的一种异常流量的检测方法的流程图；

图2为本申请实施例提供的一种异常流量的检测装置的结构框图；

图3为本申请实施例提供的一种用于执行异常流量的检测方法的电子设备的结构示意图。

具体实施方式

下面将结合本申请实施例中附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本申请的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

应当说明的是，在不冲突的情况下，本申请中的实施例或者实施例中的技术特征可以进行结合。

相关技术中，在检测异常流量时，存在准确度低、模型适应性差的问题；为了解决该问题，本申请提供一种异常流量的检测方法、装置、电子设备和计算机可读存储介质；进一步地，可以通过异常检测模型对待检测流量进行检测。该异常检测模型可以基于无监督方式建立，无需获取异常流量样本。并且由于其基于特征值以及由特征值确定的异常区间信息建立，因此其不涉及具体的场景数据，继而可以应用于不同应用场景。因此其准确度较高，模型适应性较强。

在一些应用场景中，上述异常流量的检测方法可以应用于实质上可以进行数据处理的服务器、服务器集群、云平台或者终端设备上。在这些应用场景中，服务器、服务器集群、云平台或者终端设备可以接收待检测流量，继而可以将其作为异常检测模型的输入，以通过异常检测模型输出对应的检测结果。

本申请实施例以应用于服务器行文。

以上相关技术中的方案所存在的缺陷，均是发明人在经过实践并仔细研究后得出的结果，因此，上述问题的发现过程以及下文中本发明实施例针对上述问题所提出的解决方案，都应该是发明人在本发明过程中对本发明做出的贡献。

请参考图1，其示出了本申请实施例提供的一种异常流量的检测方法的流程图。如图1所示，该异常流量的检测方法包括以下步骤101至步骤102。

步骤101，将待检测流量输入异常检测模型，得到该待检测流量对应的异常分值；其中，所述异常检测模型基于所述待检测流量的特征值以及预先确定的异常区间信息计算所述异常分值；

在一些应用场景中，服务器可以获取待检测流量。上述待检测流量例如可以视为没有经过解析的数据，其例如可以包括报文。服务器获取到该待检测流量之后，可以对其进行解析。例如，针对于http(Hyper Text Transfer Protocol，简称http，超文本传输协议)流量(也即通过超文本传输协议进行传输的流量)，服务器可以提取其URL(UniformResource Locator，简称URL，统一资源定位器)信息，该提取过程即可以视为解析过程。针对于DNS(Domain Name System，简称DNS，域名系统)流量(也即通过域名系统传输的流量)，服务器可以提取其域名信息。

服务器将待检测流量解析之后，可以将其输入异常检测模型。在一些应用场景中，上述异常检测模型可以基于待检测流量的特征值以及异常区间信息计算其异常分值。

上述特征值例如可以包括字符个数、大小写字母分别对应的个数等。例如，针对于http流量，其特征值可以为URL中所包括的字符个数、大小写字母分别对应的个数等。

上述异常区间信息可以视为基于特征值确定的多个区间信息。其例如可以包括区间长度、区间个数等信息。例如，针对于字符个数，若字符个数为10个，可以划分出10个区间，每个区间对应的区间长度例如可以为1(也即各个区间可以分别为[0,1]、[1,2]、[2,3]……[9,10])。

步骤102，根据所述异常分值判断所述待检测流量的异常程度。

服务器通过异常检测模型计算出待检测流量的异常分值之后，可以根据该异常分值判断待检测流量的异常程度。在一些应用场景中，例如可以设置异常阈值，继而可以将异常分值与异常阈值进行对比，判断出待检测流量的异常程度。例如，若异常阈值为6，计算出的异常分值为5，则可以视为该待检测流量为异常流量的概率较弱；若异常阈值为3，计算出的异常分值为5，则可以视为该待检测流量为异常流量。继而，可以快速处理该异常流量。在这些应用场景中，例如可以将异常分值或者异常程度(例如“为异常流量的概率较高”)进行展示，以使工作人员快速处理该异常流量。

在本实施例中，异常检测模型无需获取异常流量样本，并且由于其基于特征值以及由特征值确定的异常区间信息建立，因此其不涉及具体的场景数据，继而可以应用于不同应用场景。因此利用该异常检测模型检测待检测流量时，具有准确度较高，模型适应性较强的优势。

在一些可选的实现方式中，所述异常区间信息基于以下步骤确定：

步骤1，提取多个历史流量分别对应的特征值，并根据数值最大的特征值划分出多个区间；

在一些应用场景中，服务器在确定异常区间信息时，可以基于历史流量进行确定。具体的，服务器可以提取多个历史流量分别对应的特征值，并可以根据数值最大的特征值划分出多个区间。

在一些可选的实现方式中，所述特征值包括基于统计语言模型算法得到的信息熵。上述统计语言模型例如可以包括N-Gram(汉语语言模型)，继而上述特征值可以包括N-Gram熵(也即上述信息熵)。进一步的，该N-Gram熵例如可以包括1-Gram熵、2-Gram熵等。

继而，服务器可以提取多个历史流量分别对应的N-Gram熵，并可以根据数值最大的N-Gram熵划分出多个区间。例如，服务器可以提取多个历史流量分别对应的2-Gram熵，并可以根据该2-Gram熵对应的最大值16均分出160个区间，每个区间对应的区间长度可以为0.1。这样，各个区间可以为[0，0.1]、[0.1，0.2]、[0.2，0.3]……[15.8，15.9]、[15.9，16]。

在本实现方式中，可以将基于统计语言模型算法得到的信息熵作为特征值，以提高异常检测模型计算的异常分值的准确度。

步骤2，将各个所述历史流量按照各自对应的特征值归置于匹配的区间内；

服务器划分出多个区间之后，针对于每一个历史流量，可以将该历史流量按照其对应的特征值归置于匹配的区间内。例如，某个历史流量对应的2-Gram熵为0.15，则可以将其归置于[0.1，0.2]的区间内。

步骤3，针对于每一个区间，计算该区间所归置的历史流量个数在所述多个历史流量个数中的频率；

服务器将每一个历史流量归置于匹配的区间之后，可以计算每一个区间所归置的历史流量个数在获取的多个历史流量个数中的频率。例如，将上述2-Gram熵为0.15的历史流量归置于[0.1，0.2]的区间之后，该区间所归置的历史流量个数可以从0个增加到1个，若所获取的多个历史流量的个数为10个，则对应的频率可以为0.1。

步骤4，根据每个区间对应的频率，将所述多个区间进行合并，得到所述异常区间信息。

服务器计算出各个区间分别对应的频率之后，可以根据频率将多个区间进行合并，以得到异常区间信息。进一步的，该异常区间信息也可以包括各个区间对应的频率。

在本实现方式中，可以根据历史流量对划分出的多个区间进行合并，这样，能够在不影响检测效果的同时，减少区间个数，在一定程度上提高了异常检测模型的运算速度。

在一些可选的实现方式中，上述步骤4所述的根据每个区间对应的频率，将所述多个区间进行合并，得到所述异常区间信息，可以包括以下子步骤：

子步骤41，将每个区间对应的频率按照数值大小进行排序；

在一些应用场景中，服务器确定出每个区间对应的频率之后，可以对多个频率进行排序。在这些应用场景中，例如可以按照数值大小进行降序排列或者升序排列。

子步骤42，将相邻两个频率的累加和置于序列中，判断所述累加和是否导致序列的排列顺序发生变化；

服务器将频率排序完成之后，可以得到对应的序列。继而，服务器可以将相邻两个频率进行累加，并将累加和放置于序列中，以判断其是否影响原有的排列顺序。

例如，当前划分出14个区间，其分别为[0，0.1]、[0.1，0.2]、[0.2，0.3]……[1.1，1.2]、[1.3，1.4]，每个区间对应的频率序列可以为0.45、0.35、0.05、0.04、0.038、0.032、0.015、0.014、0.013、0.012、0.011、0.008、0.005、0.002。若先将大于0.05的频率(也即0.45、0.35)进行累加，则可以得到0.75的频率。此时，将其置于上述序列之后，得到的新序列为0.75、0.05、0.04、0.038、0.032、0.015、0.014、0.013、0.012、0.011、0.008、0.005、0.002。此时可以判断新序列的排列顺序是否发生变化。

子步骤43，若所述累加和没有导致序列的排列顺序发生变化，则将所述相邻两个频率所对应的区间进行合并；

在一些应用场景中，若服务器确定相邻两个频率的累加和没有导致序列的排列顺序发生变化，可以将对应的区间进行合并。例如，将上述0.75置于序列之后，其没有导致序列的排列顺序发生变化，继而可以将对应的区间[0，0.1]、[0.1，0.2]进行合并，得到区间[0，0.2]。

进一步的，基于大于0.05的概率合并之后(此时还剩13个区间)，还可以进一步将小于0.005(也即0.005、0.002)的概率进行累加，则可以得到0.007的频率。此时，将其置于上述序列之后，得到的新序列为0.75、0.05、0.04、0.038、0.032、0.015、0.014、0.013、0.012、0.011、0.008、0.007。其仍然没有导致排列顺序发生变化，继而可以继续进行合并。应当说明的是，上述作为合并判断的0.05以及0.005可以是预先确定的，其可以变化，例如也可以先合并概率大于0.06的区间，再合并频率小于0.004的区间。

子步骤44，若所述累加和导致序列的排列顺序发生变化，停止合并，得到所述异常区间信息。

在一些应用场景中，若服务器确定相邻两个频率的累加和导致序列的排列顺序发生变化，则可以停止合并。

例如，第一次合并时，相邻的两个频率0.015和0.014的累加和为0.029，其小于前一概率0.032，此时累加和没有导致序列顺序发生改变，继而可以将这两个区间进行合并。合并后的区间分别为[0，0.2]、[0.2，0.3]、[0.3，0.4]、[0.4，0.5]、[0.5，0.6]、[0.6，0.8]、[0.8，0.9]、[0.9，1.0]、[1.0，1.1]、[1.1，1.2]、[1.2，1.4]，频率分别为0.75、0.05、0.04、0.038、0.032、0.029、0.013、0.012、0.011、0.008、0.007。第二次合并时，相邻的两个频率0.013和0.012的累加和为0.025，其小于前一概率0.029，此时累加和没有导致序列顺序发生改变，继而可以将这两个区间进行合并。合并后的区间分别为[0，0.2]、[0.2，0.3]、[0.3，0.4]、[0.4，0.5]、[0.5，0.6]、[0.6，0.8]、[0.8，1.0]、[1.0，1.1]、[1.1，1.2]、[1.2，1.4]，频率分别为0.75、0.05、0.04、0.038、0.032、0.029、0.025、0.011、0.008、0.007。第三次合并时，相邻的两个频率0.011和0.008的累加和为0.019，其小于前一概率0.025，此时累加和没有导致序列顺序发生改变，继而可以将这两个区间进行合并。合并后的区间分别为[0，0.2]、[0.2，0.3]、[0.3，0.4]、[0.4，0.5]、[0.5，0.6]、[0.6，0.8]、[0.8，1.0]、[1.0，1.2]、[1.2，1.4]，频率分别为0.75、0.05、0.04、0.038、0.032、0.029、0.025、0.019、0.007。此时任意两个相邻频率的累加和均会导致排列顺序发生变化，继而可以停止合并，得到最终的异常区间信息，该异常区间信息对应的区间个数为9个。

在一些应用场景中，如果区间的频率都较高(例如上述概率大于0.05的区间)，可以视为归置于这些较高频率的区间中的当前流量为异常流量的概率较高，继而针对这些区间合并之后得到的区间，其所归置的当前流量为异常流量的概率仍然较高。在另一些应用场景中，如果区间的频率都较低(例如上述概率小于0.005的区间)，可以视为归置于这些较低频率的区间中的当前流量为异常流量的概率较低，继而若没有改变其稀有性(例如频率累加和没有导致序列的排列顺序发生变化)，则针对这些区间合并之后得到的区间，其所归置的当前流量为异常流量的概率仍然较低。继而，可以通过上述步骤41至步骤44动态合并区间。

在本实现方式中，可以在不影响区间稀有性的基础上，通过每个区间对应的频率动态合并区间，得到用于计算异常分值的区间个数，提高计算速率。

在一些可选的实现方式中，所述异常区间信息包括异常区间个数，以及所述异常检测模型计算所述异常分值的步骤包括以下子步骤：

子步骤a，初始化与所述异常区间个数对应的多个异常区间内所归置的流量个数；

在一些应用场景中，在计算异常分值时，可以初始化各个异常区间内的流量个数。例如，异常区间个数为9个，则可以将9个异常区间内的流量个数初始化为0个，以便于后续计算。

子步骤b，针对每一个当前流量，按照该当前流量的特征值归置于对应的目标异常区间内，并统计该目标异常区间内当前所归置的流量个数；

异常检测模型针对当前接收到的每一个流量，可以按照该当前流量的特征值将其归置于对应的目标异常区间内。例如，若当前流量的2-gram熵为1.0，则可以归置于区间[0.8，1.0]中，该区间也即可以视为上述的目标异常区间。将其归置于区间之后，该区间的流量个数可以增加1。若该区间的原始个数为89个，则此时为90个。

子步骤c，统计流量个数在所述目标异常区间的流量个数以下的多个异常区间中所归置的目标流量个数总和；以及统计所述多个异常区间所归置的流量个数总和；

异常检测模型可以进一步统计上述目标流量个数总和。例如，在9个异常区间中确定流量个数在90个以下(包括90个)的异常区间，若查找到4个异常区间，每个异常区间的流量个数分别为90、80、20、10，则上述目标流量个数总和为200个(也即90+80+20+10)。

异常检测模型可以统计多个异常区间所归置的流量个数总和。例如，上述9个异常区间中所归置的流量个数总和可以为1000。

子步骤d，计算所述目标流量个数总和与所述流量个数总和的比值，并按照预设规则将所述比值进行映射；

异常检测模型统计出上述目标流量个数总和与流量个数总和之后，可以计算两者的比值。例如，可以计算上述9个异常区间所对应的目标流量个数总和(200个)与流量个数总和(1000个)的比值为0.2。

异常检测模型计算出比值之后，可以按照预设规则将该比值进行映射。上述预设规则例如可以包括按照一定比例进行映射。例如，将0.2映射成100份，每一份的粒度为0.002。

在一些可选的实现方式中，所述按照预设规则将所述比值进行映射，可以包括：将所述比值映射成该比值对应的对数。

在一些应用场景中，映射规则可以是将比值映射成该比值对应的对数。例如，可以将比值映射为以10为底数的对数。这样，能够将比值映射成更小的粒度，达到提高检测的准确度的目的。

子步骤e，将映射后得到的数值确定为所述异常分值。

异常检测模型将比值映射之后，可以将映射后得到的数值确定为异常分值。

在本实现方式中，可以基于目标流量个数总和以及多个异常区间所归置的流量个数总和计算出异常分值。这样，由于目标流量个数总和针对于流量个数在目标异常区间的流量个数以下的多个异常区间，因此其更能够体现当前流量的稀有性，继而使得异常分值具有较高的可信度。

在一些可选的实现方式中，所述异常流量的检测方法还包括：基于所述待检测流量，更新所述异常检测模型。

在一些应用场景中，通过异常检测模型处理待检测流量时，可以基于该待检测流量更新异常检测模型。也即，异常检测模型将待检测流量归置于对应的区间之后，该区间所归置的流量个数也会相应增加，继而每一个待检测流量均可以在下一个待检测流量的检测过程中发挥作用，继而起到更新异常检测模型的作用。这样，可以提高异常检测模型检测流量的准确性。

请参考图2，其示出了本申请实施例提供的一种异常流量的检测装置的结构框图，该异常流量的检测装置可以是电子设备上的模块、程序段或代码。应理解，该装置与上述图1方法实施例对应，能够执行图1方法实施例涉及的各个步骤，该装置具体的功能可以参见上文中的描述，为避免重复，此处适当省略详细描述。

可选地，上述异常流量的检测装置包括计算模块201和判断模块202。其中，计算模块201，用于将待检测流量输入异常检测模型，得到该待检测流量对应的异常分值；其中，所述异常检测模型基于所述待检测流量的特征值以及预先确定的异常区间信息计算所述异常分值；判断模块202，用于根据所述异常分值判断所述待检测流量的异常程度。

可选地，所述异常区间信息基于以下步骤确定：提取多个历史流量分别对应的特征值，并根据数值最大的特征值划分出多个区间；将各个所述历史流量按照各自对应的特征值归置于匹配的区间内；针对于每一个区间，计算该区间所归置的历史流量个数在所述多个历史流量个数中的频率；根据每个区间对应的频率，将所述多个区间进行合并，得到所述异常区间信息。

可选地，所述根据每个区间对应的频率，将所述多个区间进行合并，得到所述异常区间信息，包括：将每个区间对应的频率按照数值大小进行排序；将相邻两个频率的累加和置于序列中，判断所述累加和是否导致序列的排列顺序发生变化；若否，则将所述相邻两个频率所对应的区间进行合并；若是，停止合并，得到所述异常区间信息。

可选地，所述异常区间信息包括异常区间个数，以及所述异常检测模型计算所述异常分值的步骤包括：初始化与所述异常区间个数对应的多个异常区间内所归置的流量个数；针对每一个当前流量，按照该当前流量的特征值归置于对应的目标异常区间内，并统计该目标异常区间内当前所归置的流量个数；统计流量个数在所述目标异常区间的流量个数以下的多个异常区间中所归置的目标流量个数总和；以及统计所述多个异常区间所归置的流量个数总和；计算所述目标流量个数总和与所述流量个数总和的比值，并按照预设规则将所述比值进行映射；将映射后得到的数值确定为所述异常分值。

可选地，所述按照预设规则将所述比值进行映射，包括：将所述比值映射成该比值对应的对数。

可选地，所述特征值包括基于统计语言模型算法得到的信息熵。

可选地，所述异常流量的检测装置还包括更新模块，上述更新模块用于：基于所述待检测流量，更新所述异常检测模型。

需要说明的是，本领域技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再重复描述。

请参照图3，图3为本申请实施例提供的一种用于执行异常流量的检测方法的电子设备的结构示意图，所述电子设备可以包括：至少一个处理器301，例如CPU，至少一个通信接口302，至少一个存储器303和至少一个通信总线304。其中，通信总线304用于实现这些组件直接的连接通信。其中，本申请实施例中设备的通信接口302用于与其他节点设备进行信令或数据的通信。存储器303可以是高速RAM存储器，也可以是非易失性的存储器(non-volatile memory)，例如至少一个磁盘存储器。存储器303可选的还可以是至少一个位于远离前述处理器的存储装置。存储器303中存储有计算机可读取指令，当所述计算机可读取指令由所述处理器301执行时，电子设备可以执行上述图1所示方法过程。

可以理解，图3所示的结构仅为示意，所述电子设备还可包括比图3中所示更多或者更少的组件，或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。

本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，可以执行如图1所示方法实施例中电子设备所执行的方法过程。

本申请实施例提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如，该方法可以包括：将待检测流量输入异常检测模型，得到该待检测流量对应的异常分值；其中，所述异常检测模型基于所述待检测流量的特征值以及预先确定的异常区间信息计算所述异常分值；根据所述异常分值判断所述待检测流量的异常程度。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

另外，作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

再者，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。

以上所述仅为本申请的实施例而已，并不用于限制本申请的保护范围，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。