网络流量异常监测方法、装置、电子设备及存储介质与流程

本申请涉及计算机技术领域，尤其涉及一种网络流量异常监测方法、装置、电子设备及存储介质。

背景技术：

进入21世纪以来，科技发展日新月异，互联网已经深入到人们日常生活的方方面面。利用互联网进行工作、学习、娱乐等已是信息社会的常态。互联网应用范围的扩大化给人们的生产、生活带来诸多便利的同时，也逐渐暴露出诸多弊端。为了谋取利益，不法分子可以通过互联网盗取用户信息。例如，不法站点通过将可以后台获取数据的非法数据注入用户当前传输的页面中，盗取用户的隐私数据或恶意盗取用户流量等，严重损害了用户的信息安全和财产安全。

因此，高效可靠的过滤网络中的非法数据，保证用户的信息和财产安全，具有十分重要的现实意义。现有网络流量异常监测技术中，主要是利用服务器对网络中的非法数据进行监测和过滤。例如，在将客户端请求获取的数据发送给客户端之前，服务器可以先对数据进行预加载，以判断数据中是否被注入了非法数据。频繁的预加载过程不仅需要大量的云端存储，而且计算开销庞大，加重了服务器的运算负担。另外，非法数据很有可能在服务器将数据发送给客户端的过程中注入，那么服务器对数据预加载时并不能监测到非法数据。因此，现有利用服务器对网络中的非法数据进行检测和过滤的方法，不仅计算开销庞大，而且时效性差。

技术实现要素：

本申请提出的网络流量异常监测方法、装置、电子设备及存储介质，用于解决相关技术中，现有利用服务器对网络中的非法数据进行检测和过滤的方法，不仅计算开销庞大，而且时效性差，损害用户的信息和财产安全的问题。

本申请一方面实施例提出的网络流量异常监测方法，应用于客户端，包括：获取页面加载请求，所述加载请求中包括目标页面标识；根据所述目标页面标识，确定目标下载数据量；记录所述页面加载时，实际下载的各数据的属性信息，其中，所述属性信息中包括实际下载的各数据的数据量及分别对应的资源数据；判断所述实际下载的各数据的数据总量是否大于所述目标下载数据量；若是，则向服务器发送网络流量异常消息，其中所述异常消息中包括所述实际下载的数据中的非法数据对应的资源数据。

本申请另一方面实施例提出的网络流量异常监测方法，应用于服务器，包括：获取客户端发送的网络流量异常消息，其中，所述异常消息中包括与非法数据分别对应的资源数据；利用所述资源数据，对非法资源库进行更新处理，以生成更新后的非法资源库；将所述更新后的非法资源库分别发送给各客户端。

本申请再一方面实施例提出的网络流量异常监测装置，应用于客户端，包括：获取模块，用于获取页面加载请求，所述加载请求中包括目标页面标识；确定模块，用于根据所述目标页面标识，确定目标下载数据量；记录模块，用于记录所述页面加载时，实际下载的各数据的属性信息，其中，所述属性信息中包括实际下载的各数据的数据量及分别对应的资源数据；判断模块，用于判断所述实际下载的各数据的数据总量是否大于所述目标下载数据量；若是，则向服务器发送网络流量异常消息，其中所述异常消息中包括所述实际下载的数据中的非法数据对应的资源数据。

本申请又一方面实施例提出的网络流量异常监测装置，应用于服务器，包括：获取模块，用于获取客户端发送的网络流量异常消息，其中，所述异常消息中包括与非法数据分别对应的资源数据；更新模块，用于利用所述资源数据，对非法资源库进行更新处理，以生成更新后的非法资源库；发送模块，用于将所述更新后的非法资源库分别发送给各客户端。

本申请又一方面实施例提出的电子设备，其包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如前所述的网络流量异常监测方法。

本申请另一方面实施例提出的计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如前所述的网络流量异常监测方法。

本申请再一方面实施例提出的计算机程序，该程序被处理器执行时，以实现本申请实施例所述的网络流量异常监测方法。

本申请实施例提供的网络流量异常监测方法、装置、电子设备、计算机可读存储介质及计算机程序，通过客户端获取页面加载请求，根据加载请求中的目标页面标识，确定目标下载数据量，并记录页面加载时，实际下载的各数据的属性信息，进而判断实际下载的各数据的数据总量是否大于目标下载数据量，若是，则向服务器发送网络流量异常消息，以使服务器根据异常消息中的非法数据对应的资源数据，更新非法资源库并发送给客户端。由此，通过根据目标下载数据量和实际下载的各数据总量，确定出非法数据，之后即可根据非法数据的属性信息更新非法资源库，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。

附图说明

本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：

图1为本申请实施例所提供的一种网络流量异常监测方法的流程示意图；

图2为本申请实施例所提供的另一种网络流量异常监测方法的流程示意图；

图3为本申请实施例所提供的另一种网络流量异常监测方法的流程示意图；

图4为本申请实施例所提供的一种网络流量异常监测方法的信令交互图；

图5为本申请实施例提供的一种网络流量异常监测装置的结构示意图；

图6为本申请实施例提供的另一种网络流量异常监测装置的结构示意图；

图7为本申请实施例提供的电子设备的结构示意图。

具体实施方式

下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的要素。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。

本申请实施例针对不法站点通过将可以后台获取数据的非法数据注入用户当前传输的页面中，盗取用户的隐私数据或恶意盗取用户流量等，损害用户的信息安全和财产安全，而现有利用服务器对网络中的非法数据进行检测和过滤的方法，不仅计算开销庞大，而且时效性差的问题，提出一种网络流量异常监测方法。

本申请实施例提供的网络流量异常监测方法，通过客户端获取页面加载请求，根据加载请求中的目标页面标识，确定目标下载数据量，并记录页面加载时，实际下载的各数据的属性信息，进而判断实际下载的各数据的数据总量是否大于目标下载数据量，若是，则向服务器发送网络流量异常消息，以使服务器更新非法资源库并发送给客户端。由此，通过根据目标下载数据量和实际下载的各数据总量，确定出非法数据，之后即可根据非法数据的属性信息更新非法资源库，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

下面参考附图对本申请提供的网络流量异常监测方法、装置、电子设备、存储介质及计算机程序进行详细描述。

下面分别以客户端侧、服务器侧为例，对本申请实施例提供的网络流量异常监测方法进行详细说明。

首先以客户端侧为例，对本申请实施例提供的网络流量异常监测方法进行详细说明。

图1为本申请实施例所提供的一种网络流量异常监测方法的流程示意图，该方法应用于客户端。

如图1所示，该网络流量异常监测方法，包括以下步骤：

步骤101，获取页面加载请求，加载请求中包括目标页面标识。

在实际使用时，本申请实施例提供的网络流量异常监测方法，可以由本申请实施例提供的网络流量异常监测装置执行。其中，网络流量异常监测装置可以应用于客户端，客户端可以是任意的电子设备，如手机、电脑等。

其中，页面加载请求，可以是用户通过客户端的输入装置提供给客户端的，输入装置可以是鼠标、键盘等。

可以理解的是，页面加载请求中包括目标页面的标识。

其中，目标页面，是指用户通过客户端请求加载的页面。目标页面的标识，是指目标页面的身份认证信息。可以理解的是，每个页面都拥有唯一确定的页面标识。比如，可以是页面对应的域名或者ip地址。

实际使用时，客户端可以根据目标页面的标识，解析出目标页面对应的服务器的地址，并可以通过网络将页面加载请求，发送给服务器。

步骤102，根据目标页面标识，确定目标下载数据量。

其中，目标下载数据量，是指加载目标页面时需要下载的数据的字节数。

需要说明的是，客户端可以根据目标页面的标识，从本地获取目标下载数据量，也可以将页面加载请求发送给服务器，服务器根据目标页面标识将目标下载数据量返回给客户端。

举例来说，客户端首次加载某个页面时，可以将获取到的该页面的页面标识，与服务器返回的该页面的下载数据量形成一组映射，并缓存在本地。若客户端不是首次请求加载目标页面，则可以根据首次加载目标页面时，缓存在本地的页面标识与下载数据量的映射，确定目标下载数据量；若客户端是首次加载目标页面，则可以将页面加载请求发送给服务器，并从服务器获取目标页面的目标下载数据量，同时将目标页面标识与目标下载数据量的映射缓存在本地。

进一步的，在本申请实施例一种可能的实现形式中，目标页面通常可以包含多个需要下载的数据。比如，百度搜索页面包含“百度图标”、“搜索框”、“广告推荐”等数据。即上述步骤101之后，还可以包括：

根据所述目标页面的标识，确定各目标数据的标识。

其中，目标数据，是指加载目标页面时需要下载的数据。客户端可以根据目标页面的标识，确定目标页面中的目标数据以及目标页面的标识。目标数据的标识可以将目标数据唯一确定，根据目标数据的标识，可以确定目标数据的数据量。

步骤103，记录页面加载时，实际下载的各数据的属性信息，其中，属性信息中包括实际下载的各数据的数据量及分别对应的资源数据。

其中，资源数据，是指可以表征数据的特性的要素，可以包括数据的脚本、源码、布局文件等。

步骤104，判断实际下载的各数据的数据总量是否大于目标下载数据量，若是，则执行步骤105；否则，结束本次网络流量异常监测进程。

可以理解是，当实际下载的各数据的数据总量大于目标下载数据量时，可以确定目标页面中包含导致网络流量异常的非法数据，即可以向服务器发送网络流量异常消息，以使得服务器对非法数据进行分析和处理。

进一步的，在本申请实施例一种可能的实现形式中，导致网络流量异常的非法数据，可以隐藏在目标页面的各目标下载数据中，从而导致实际下载的各数据的数据量与目标下载数据量不符。即可以根据实际下载的各数据的数据量，确定所述非法数据。

可以理解的是，当非法数据隐藏在某个目标下载数据中时，实际下载的该目标下载数据的数据量，可以大于根据目标页面标识确定的其对应的数据量。因此，在本申请实施例一种可能的实现形式中，若实际下载的目标下载数据的数据量，大于根据目标页面标识确定的其对应的数据量，则可以将该目标下载数据确定为非法数据。

进一步的，在本申请实施例一种可能的实现形式中，导致网络流量异常的非法数据，也可以是独立存在的，从而导致实际下载的各数据的标识和目标页面中的各目标数据的标识不符。即上述步骤104之后，还可以包括：

判断所述各目标数据的标识中，是否包括所述实际下载的各数据的标识；

若所述各目标数据的标识中未包括实际下载的第一数据的标识，则确定所述实际下载的第一数据为非法数据。

其中，第一数据，是指其标识未包含在各目标数据的标识中的实际下载的数据。

可以理解的是，当目标页面中的各目标数据的标识中，未包括实际下载的某个数据的标识，则可以确定该数据为导致网络流量异常的非法数据。

进一步的，在本申请实施例一种可能的实现形式中，还可以预设目标页面中数据的数据量阈值，当实际下载的某数据的数据量超过该阈值时，则可以确定该数据为非法数据。实际使用时，数据量阈值的大小可以根据实际需要确定，本申请实施例对此不做限定。即上述步骤104之后，还可以包括：

判断所述实际下载的数据中的第二数据的数据量是否大于阈值；

若大于，则将所述第二数据对应的资源数据，新增入预设的非法资源库。

其中，第二数据，是指数据量大于阈值的实际下载的数据。非法资源库，是指包括所有已知的非法数据的资源数据的数据库。

需要说明的是，预设目标页面中数据的数据量阈值时，可以遵循以下原则：目标页面中的各目标数据的数据量均小于阈值。因此，当实际下载的某数据的数据量大于阈值时，客户端可以直接将该数据确定为非法数据，并将其新增入预设的非法资源库。即无需再将其资源数据发送给服务器，利用服务器根据该数据的资源数据，判断该数据是否为非法数据。

步骤105，向服务器发送网络流量异常消息，其中异常消息中包括实际下载的数据中的非法数据对应的资源数据。

具体的，当客户端确定出目标页面中存在非法数据时，即可以确定目标页面中存在网络流量异常情况，并向服务器发送网络流量异常消息，其中异常消息中包括客户端确定出的非法数据对应的资源数据。服务器可以分析该数据对应的资源数据，进一步判断该数据是否为非法数据。

需要说明的是，当客户端确定出的非法数据为数据量大于阈值的第二数据时，则可以不向服务器发送网络流量异常消息，直接将该数据新增入预设的非法资源库。

本申请实施例提供的网络流量异常检测方法，可以通过客户端获取页面加载请求，根据加载请求中的目标页面标识，确定目标下载数据量和各目标数据的标识，并记录页面加载时，实际下载的各数据的属性信息，进而根据实际下载的各数据的数据量、数据总量、各数据的标识，以及目标下载数据量、各目标数据的标识，判断实际下载的各数据是否含有非法数据，若是，则向服务器发送网络流量异常消息，以使服务器更新非法资源库并发送给客户端，并在非法数据的数据量大于阈值时，通过客户端直接更新非法资源库。由此，通过根据实际下载的各数据的数据量、数据总量、各数据的标识，以及目标下载数据量、各目标数据的标识，确定出非法数据，之后即可根据非法数据的属性信息更新非法资源库，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

在本申请一种可能的实现形式中，可以预设非法资源库或非法资源模型，即在目标页面中的各目标数据开始下载之前，可以首先根据预设的非法资源库或预设的非法资源模型，确定各待下载的数据是否合法。若待下载的数据非法，则可以终端该数据的下载。

下面结合图2，对本申请实施例提供的网络流量异常监测方法进行进一步说明。

图2为本申请实施例所提供的另一种网络流量异常监测方法的流程示意图，该方法应用于客户端。

如图2所示，该网络流量异常监测方法，包括以下步骤：

步骤201，获取页面加载请求，加载请求中包括目标页面标识。

步骤202，根据目标页面标识，确定目标页面中待下载的各数据。

可以理解的是，在加载目标页面之前，可以根据目标页面的标识，确定目标页面中待下载的各数据，以及待下载的各数据的资源数据。

上述步骤201-202的具体实现过程及原理，可以参照上述实施例的详细描述，此处不再赘述。

步骤203，根据预设的非法资源库，判断待下载的各数据的资源数据是否合法。

需要说明的是，预设的非法资源库包括所有已知的非法数据的资源数据。在加载目标页面之前，可以根据目标页面的标识，确定目标页面中待下载的各数据，以及待下载的各数据的资源数据。将待下载的各数据的资源数据与非法资源库中的资源数据进行比对，若非法资源库中包括待下载的数据的资源数据，则确定该待下载的数据为非法数据，可以中断该数据的下载。

在本申请一种可能的实现形式中，由于非法资源库中仅能包括已知的非法资源数据，从而利用非法资源库进行非法数据判断时，对于新出现的非法资源数据，有可能出现未识别出的情况，因此，为了提高对非法资源识别的准确性，本申请还可以利用预设的非法资源识别模型，对待下载的各数据的资源数据进行识别，以判断待下载的各数据的资源数据是否合法。其中，非法资源识别模型，是指以已知的各非法数据为训练样本，训练得到的识别模型。

需要说明的是，训练可以看作抽取训练样本共有特征的过程，训练得到的模型总结了大量训练样本共有的一般规律。因此，训练得到的模型可以根据测试样本是否遵循训练样本共有的一般规律，判断测试样本与训练样本的相似度。

在本申请实施例一种可能的实现形式中，若确定预设的非法资源库未包括待下载的各数据的资源数据，则还可以继续利用预设的非法资源识别模型，进一步确定待下载的各数据是否为非法数据。当利用非法资源识别模型，识别出待下载的数据具有非法数据的特性时，则可以确定该数据为非法数据，并中断该数据的下载。

步骤204，若确定待下载的第三数据的资源数据非法，中断所述第三数据的下载。

其中，第三数据，是指目标页面中待下载的各数据中，其对应的资源数据非法的数据。

具体的，在利用预设的非法资源库或预设的非法资源识别模型，确定待下载的第三数据为非法数据之后，可以中断该第三数据的下载，以避免其盗取用户流量。同时，在中断该数据下载后，可以在页面显示预警信息，提示用户目标页面中可能存在盗取流量的非法数据。

本申请实施例提供的网络流量异常监测方法，可以通过客户端获取页面加载请求，根据加载请求中的目标页面标识，确定待下载的各数据，进而利用预设的非法资源库或非法资源识别模型，确定待下载的各数据是否为非法数据，并中断非法数据的下载。由此，通过利用预设的非法资源库或非法资源识别模型，并根据待下载的各数据的资源数据，确定出非法数据，之后即可中断非法数据的下载，并根据非法数据的属性信息更新非法资源库，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

下面以服务器侧为例，对本申请实施例提供的网络流量异常监测方法进行详细说明。

下面结合图3，对本申请实施例提供的网络流量异常监测方法，进行进一步说明。

图3为本申请实施例所提供的另一种网络流量异常监测方法的流程示意图，该方法应用于服务器。

如图3所示，该网络流量异常监测方法，包括以下步骤：

步骤301，获取客户端发送的网络流量异常消息，其中，异常消息中包括与非法数据分别对应的资源数据。

需要说明的是，本申请实施例提供的网络流量异常监测方法，可以由本申请提供的网络流量异常监测装置执行。其中，网络流量异常监测装置可以应用于服务器，服务器可以是任意的电子设备。

其中，非法数据对应的资源数据，是指可以表征非法数据的特性的要素，可以包括数据的脚本、源码、布局文件等。服务器可以通过分析非法数据的资源数据，确定非法数据的特征，并对非法资源库进行更新。

进一步的，当客户端所属的网络类型不同，或者，客户端对应的用户不同时，攻击客户端的非法数据的类型也可以不同。因此，还可以根据客户端的属性信息，确定非法数据与客户端的对应关系。即所述异常消息中还可以包括客户端的属性。客户端的属性可以是客户端所属的网络类型、客户端对应的用户等信息。

步骤302，利用资源数据，对非法资源库进行更新处理，以生成更新后的非法资源库。

其中，非法资源库，是指包括所有已知的非法数据的资源数据的数据库。

可以理解的是，当服务器获取到客户端发送的非法数据对应的资源数据后，可以将获取到的资源数据与非法资源库中的资源数据进行比对，若非法资源库中未包括该资源数据，则可以将该资源数据新增入非法资源库中，以生成更新后的非法资源库。

进一步的，当客户端的属性不同时，其对应的非法数据类型也可以是不同的，因此，可以根据客户端的属性分别建立不同的非法资源库。即上述步骤302，还可以包括：

对预设时间段内，已获取的所有非法数据对应的资源数据进行统计分析，确定目标资源数据及与所述目标资源数据对应的客户端属性；

利用所述目标资源数据，对与所述对应的客户端属性关联的非法资源库进行更新处理。

其中，目标资源数据，是指对预设时间段内获取到的所有非法数据对应的资源数据，去除重复的资源数据后得到的资源数据。

需要说明的是，若服务器每获取到一条非法数据对应的资源数据，就对其进行分析，则可能会增加服务器的计算开销和运行负荷。因此，可以预设服务器对获取到的资源数据进行统计分析的时间间隔，比如，每30分钟对获取到的所有资源数据进行统计分析。实际使用时，时间间隔可以根据实际需要预设，比如，可以遵循既可以保证更新非法数据库的效率，又可以降低服务器的计算开销的原则，本申请实施例对此不做限定。

可以理解的是，在预设的时间段内，服务器获取到的大量非法数据对应的资源数据，可以有很多重复的资源数据，如果对所有获取的资源数据进行分析，显然没有必要，而且会浪费服务器的计算资源。因此，可以对对预设时间段内，已获取的所有资源数据进行统计分析，即去除重复的资源数据，每类重复的资源数据仅保留一条即可，确定出目标资源数据。

需要说明的是，当客户端的属性不同时，其对应的非法数据类型也可以是不同的，因此还可以确定目标资源数据对应的客户端属性。比如，服务器通过对获取到的资源数据进行统计分析，发现目标资源数据a均是由属于移动网络的客户端上报的，则可以认为对应于目标资源数据a的非法数据，目前会攻击属于移动网络的客户端，即可以确定目标资源a对应的客户端属性为“移动网络”。又如，客户端的属性还可以是客户端对应的用户。可以根据客户端对应的用户的浏览网页的习惯对客户端进行分类，例如，喜好浏览理财类网站的用户群对应的客户端的属性可以设置为“理财类”。比如，服务器经过对获取到的资源数据进行统计分析，发现目标资源数据b均是由属性为“理财类”的客户端上报的，则可以认为对应于目标资源数据b的非法数据，目前会攻击“理财类”客户端，即可以确定目标资源b对应的客户端属性为“理财类”。

进一步的，确定出目标资源数据及与目标资源数据对应的客户端属性之后，即可将目标资源数据新增入与其对应的客户端属性相关联的非法资源库，以对非法资源库进行更新处理。

举例来说，在预设时间段内，服务器获取到50条由移动网络的客户端发送的非法数据对应的资源数据，而这50条资源数据都是相同的；同时获取到50条由联通网络的客户端发送的非法数据对应的资源数据，而这50条资源数据也是相同的，并且由移动网络的客户端发送的资源数据，与由联通网络的客户端发送的资源数据不同。服务器对这100条资源数据进行统计分析之后，确定出的目标资源数据c为1条由移动网络的客户端发送的非法数据对应的资源数据，目标资源数据d为1条由联通网络的客户端发送的非法数据对应的资源数据。相应的，目标资源数据c对应的客户端属性为“移动网络”，目标资源d对应的客户端属性为“联通网络”。即可以将目标资源数据c新增入移动网络的非法资源库，将目标数据资源d新增入联通网络的非法资源库。

进一步的，由于非法资源库中仅能包括已知的非法资源数据，从而利用非法资源库进行非法数据判断时，对于新出现的非法资源数据，有可能出现未识别出的情况，因此，为了提高对非法资源识别的准确性，在本申请实施例一种可能的实现形式中，还可以利用非法资源库中的非法资源为训练样本，训练生成非法资源识别模型。即在上述步骤302之后，还可以包括：

以所述更新后的非法资源库中的各非法资源为训练样本，训练生成非法资源识别模型；

将所述非法资源识别模型分别发送给所述各客户端。

需要说明的是，训练可以看作抽取训练样本共有特征的过程，训练得到的模型总结了大量训练样本共有的一般规律。因此，训练得到的模型可以根据测试样本是否遵循训练样本共有的一般规律，判断测试样本与训练样本的相似度。

可以理解的是，本申请实施例提出的非法资源识别模型，总结了非法资源库中的各非法数据共有的一般规律。在训练非法资源识别模型时，可以将非法资源库中的各非法数据的某些特征数据作为训练样本，比如非法数据的脚本、源码等。相应的，在利用非法资源识别模型判断某数据是否为非法数据时，也要选取相同的特征数据输入非法资源识别模型，以判断该数据与非法数据的相似度，进而确定测试数据是否为非法数据。

举例来说，若训练非法资源识别模型时，将非法数据的脚本和源码作为训练样本，那么在利用非法资源识别模型判断数据a是否为非法数据时，需要将数据a的脚本和源码作为测试样本输入非法资源识别模型，进而根据非法资源识别模型的输出确定数据a是否为非法数据。

需要说明的是，利用非法资源识别模型识别非法数据时，数据对应的资源数据可以未包含在非法资源库中，而是根据该数据对应的资源数据是否与非法资源库中的资源数据具有相同的特征，来确定该数据是否为非法数据。

步骤303，将更新后的非法资源库分别发送给各客户端。

具体的，当服务器根据非法数据对应的资源数据对非法资源库进行更新处理后，即可根据客户端的标识、客户端的属性，将与客户端的属性相关联的非法资源库发送给对应的客户端。

需要说明的是，客户端的标识可以是客户端的ip地址等可以将客户端唯一确定的信息。客户端可以在向服务器发送网络流量异常消息时，同时将自身的标识发送给服务器，以使服务器可以根据客户端的标识返回更新后的非法资源库和非法资源识别模型。

本申请实施例提供的网络流量异常监测方法，可以获取客户端发送的网络流量异常消息，根据异常消息中的非法数据对应的资源数据，对非法资源库进行更新处理，并利用更新后的非法资源库中的各非法资源，训练生成非法资源识别模型，进而将更新后的非法资源库和非法资源识别模型发送给各客户端。由此，通过根据非法数据对应的资源数据，更新了非法资源库，并生成了非法资源识别模型，之后即可根据更新后的非法资源库和非法资源识别模型，确定非法数据，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

图4为本申请实施例所提供的一种网络流量异常监测方法的信令交互图。

如图4所示，该网络流量异常监测方法，包括以下步骤：

步骤401，客户端获取页面加载请求。

其中，所述加载请求中包括目标页面标识。

步骤402，客户端根据目标页面标识，确定目标下载数据量。

步骤403，记录页面加载时，实际下载的各数据的属性信息。

其中，所述属性信息中包括实际下载的各数据的数据量及分别对应的资源数据；

步骤404，判断实际下载的各数据的数据总量是否大于目标下载数据量。

步骤405，若是，客户端向服务器发送网络流量异常消息。

其中，异常消息中包括实际下载的数据中的非法数据对应的资源数据。

步骤406，服务器利用资源数据，对非法资源库进行更新处理，以生成更新后的非法资源库。

步骤407，服务器将更新后的非法资源库分别发送给各客户端。

上述过程，通过客户端获取页面加载请求，根据加载请求中的目标页面标识，确定目标下载数据量，并记录页面加载时，实际下载的各数据的属性信息，进而判断实际下载的各数据的数据总量是否大于目标下载数据量，若是，则向服务器发送网络流量异常消息，以使服务器根据异常消息中的非法数据对应的资源数据，更新非法资源库并发送给客户端。由此，通过根据目标下载数据量和实际下载的各数据总量，确定出非法数据，之后即可根据非法数据的属性信息更新非法资源库，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

为了实现上述实施例，本申请还提出一种网络流量异常监测装置。

图5为本申请实施例提供的一种网络流量异常监测装置的结构示意图，应用于客户端。

如图5所示，该网络流量异常监测装置50，包括：

获取模块51，用于获取页面加载请求，加载请求中包括目标页面标识。

确定模块52，用于根据目标页面标识，确定目标下载数据量。

记录模块53，用于记录页面加载时，实际下载的各数据的属性信息，其中，属性信息中包括实际下载的各数据的数据量及分别对应的资源数据。

判断模块54，用于判断实际下载的各数据的数据总量是否大于目标下载数据量；

若是，则向服务器发送网络流量异常消息，其中所述异常消息中包括所述实际下载的数据中的非法数据对应的资源数据。

在实际使用时，本申请实施例提供的网络流量异常监测装置，可以被配置在任意电子设备中，以执行前述网络流量异常监测方法。

本申请实施例提供的网络流量异常监测装置，应用于客户端，可以获取页面加载请求，根据加载请求中的目标页面标识，确定目标下载数据量，并记录页面加载时，实际下载的各数据的属性信息，进而判断实际下载的各数据的数据总量是否大于目标下载数据量，若是，则向服务器发送网络流量异常消息，以使服务器更新非法资源库并发送给客户端。由此，通过根据目标下载数据量和实际下载的各数据总量，确定出非法数据，之后即可根据非法数据的属性信息更新非法资源库，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

在本申请一种可能的实现形式中，上述网络流量异常监测装置，具体用于：

根据实际下载的各数据的数据量，确定所述非法数据。

进一步的，在本申请另一种可能的实现形式中，上述网络流量异常监测装置，还用于：

根据所述目标页面的标识，确定各目标数据的标识；

判断所述各目标数据的标识中，是否包括所述实际下载的各数据的标识；

若所述各目标数据的标识中未包括实际下载的第一数据的标识，则确定所述实际下载的第一数据为非法数据。

进一步的，在本申请另一种可能的实现形式中，上述网络流量异常监测装置，还用于：

判断所述实际下载的数据中的第二数据的数据量是否大于阈值；

若大于，则将所述第二数据对应的资源数据，新增入预设的非法资源库。

进一步的，在本申请再一种可能的实现形式中，上述网络流量异常监测装置，还用于：

根据预设的非法资源库，判断待下载的各数据的资源数据是否合法；

若确定待下载的第三数据的资源数据非法，则中断所述第三数据的下载。

进一步的，在本申请再一种可能的实现形式中，上述网络流量异常监测装置，还用于：

利用预设的非法资源识别模型，对待下载的各数据的资源数据进行识别，以判断待下载的各数据的资源数据是否合法；

若确定待下载的第三数据的资源数据非法，则中断所述第三数据的下载。

需要说明的是，前述对图1、图2、图3或图4所示的网络流量异常监测方法实施例的解释说明也适用于该实施例的网络流量异常监测装置50，此处不再赘述。

本申请实施例提供的网络流量异常监测装置，应用于客户端，可以获取页面加载请求，根据加载请求中的目标页面标识，确定目标下载数据量和各目标数据的标识，并记录页面加载时，实际下载的各数据的属性信息，进而根据实际下载的各数据的数据量、数据总量、各数据的标识，以及目标下载数据量、各目标数据的标识，判断实际下载的各数据是否含有非法数据，若是，则向服务器发送网络流量异常消息，以使服务器更新非法资源库并发送给客户端，并在非法数据的数据量大于阈值时，通过客户端直接更新非法资源库。另外，可以根据预设的非法资源库和非法资源识别模型识别非法数据，并中断非法数据的下载。由此，通过根据实际下载的各数据的数据量、数据总量、各数据的标识，以及目标下载数据量、各目标数据的标识，确定出非法数据，之后即可根据非法数据的属性信息更新非法资源库，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

为了实现上述实施例，本申请还提出另一种网络流量异常监测装置。

图6为本申请实施例提供的另一种网络流量异常监测装置的结构示意图，应用于服务器。

如图6所示，该网络流量异常监测装置60，包括：

获取模块61，用于获取客户端发送的网络流量异常消息，其中，异常消息中包括与非法数据分别对应的资源数据。

更新模块62，用于利用资源数据，对非法资源库进行更新处理，以生成更新后的非法资源库。

发送模块63，用于将更新后的非法资源库分别发送给各客户端。

在实际使用时，本申请实施例提供的网络流量异常监测装置，可以被配置在任意电子设备中，以执行前述网络流量异常监测方法。

本申请实施例提供的网络流量异常监测装置，应用于服务器，可以获取客户端发送的网络流量异常消息，根据异常消息中的非法数据对应的资源数据，对非法资源库进行更新处理，进而将更新后的非法资源库发送给各客户端。由此，通过根据非法数据对应的资源数据，更新了非法资源库，之后即可根据更新后的非法资源库确定非法数据，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

在本申请一种可能的实现形式中，上述网络流量异常监测装置，具体用于：

以所述更新后的非法资源库中的各非法资源为训练样本，训练生成非法资源识别模型；

将所述非法资源识别模型分别发送给所述各客户端。

进一步的，在本申请另一种可能的实现形式中，上述网络流量异常监测装置，还用于：

对预设时间段内，已获取的所有非法数据对应的资源数据进行统计分析，确定目标资源数据及与所述目标资源数据对应的客户端属性；

利用所述目标资源数据，对与所述对应的客户端属性关联的非法资源库进行更新处理。

需要说明的是，前述对图1、图2、图3或图4所示的网络流量异常监测方法实施例的解释说明也适用于该实施例的网络流量异常监测装置60，此处不再赘述。

本实施例提供的网络流量异常监测装置，应用于服务器，可以获取客户端发送的网络流量异常消息，根据异常消息中的非法数据对应的资源数据，对非法资源库进行更新处理，并利用更新后的非法资源库中的各非法资源，训练生成非法资源识别模型，进而将更新后的非法资源库和非法资源识别模型发送给各客户端。由此，通过根据非法数据对应的资源数据，更新了非法资源库，并生成了非法资源识别模型，之后即可根据更新后的非法资源库和非法资源识别模型，确定非法数据，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

为了实现上述实施例，本申请还提出一种电子设备，应用于服务器侧和客户端侧。

图7为本发明一个实施例的电子设备的结构示意图。

如图7所示，上述电子设备700包括：

存储器710及处理器720，连接不同组件(包括存储器710和处理器720)的总线730，存储器710存储有计算机程序，当处理器720执行所述程序时实现本申请实施例所述的网络流量异常监测方法。

总线730表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。

电子设备700典型地包括多种电子设备可读介质。这些介质可以是任何能够被电子设备700访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。

存储器710还可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)740和/或高速缓存存储器750。电子设备700可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统760可以用于读写不可移动的、非易失性磁介质(图7未显示，通常称为“硬盘驱动器”)。尽管图7中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom,dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线730相连。存储器710可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。

具有一组(至少一个)程序模块770的程序/实用工具780，可以存储在例如存储器710中，这样的程序模块770包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块770通常执行本发明所描述的实施例中的功能和/或方法。

电子设备700也可以与一个或多个外部设备790(例如键盘、指向设备、显示器791等)通信，还可与一个或者多个使得用户能与该电子设备700交互的设备通信，和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口792进行。并且，电子设备700还可以通过网络适配器793与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器793通过总线730与电子设备700的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备700使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

处理器720通过运行存储在存储器710中的程序，从而执行各种功能应用以及数据处理。

需要说明的是，本实施例的电子设备的实施过程和技术原理参见前述对本申请实施例的网络流量异常监测方法的解释说明，此处不再赘述。

本申请实施例提供的电子设备，可以执行如前所述的网络流量异常监测方法，通过客户端获取页面加载请求，根据加载请求中的目标页面标识，确定目标下载数据量，并记录页面加载时，实际下载的各数据的属性信息，进而判断实际下载的各数据的数据总量是否大于目标下载数据量，若是，则向服务器发送网络流量异常消息，以使服务器根据异常消息中的非法数据对应的资源数据，更新非法资源库并发送给客户端。由此，通过根据目标下载数据量和实际下载的各数据总量，确定出非法数据，之后即可根据非法数据的属性信息更新非法资源库，从而实现了利用客户端确定非法数据，监测网络流量异常，不仅节约了计算开销，提高了时效性，而且保证了用户的信息和财产安全，改善了用户体验。

为了实现上述实施例，本申请还提出一种计算机可读存储介质。

其中，该计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时，以实现本申请实施例所述的网络流量异常监测方法。

为了实现上述实施例，本申请再一方面实施例提供一种计算机程序，该程序被处理器执行时，以实现本申请实施例所述的网络流量异常监测方法。

一种可选实现形式中，本实施例可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、电线、光缆、rf等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如”c”语言或类似的程序设计语言。程序代码可以完全地在用户电子设备上执行、部分地在用户电子设备上执行、作为一个独立的软件包执行、部分在用户电子设备上部分在远程电子设备上执行、或者完全在远程电子设备或服务器上执行。在涉及远程电子设备的情形中，远程电子设备可以通过任意种类的网络——包括局域网(lan)或广域网(wan)—连接到用户电子设备，或者，可以连接到外部电子设备(例如利用因特网服务提供商来通过因特网连接)。

本领域技术人员在考虑说明书及实践这里申请的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本申请的真正范围和精神由权利要求指出。

应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。