流量检测方法、装置、电子设备及存储介质与流程

本发明实施例涉及网络安全领域，尤其是一种流量检测方法、装置、电子设备及存储介质。

背景技术：

今天的通信网络发展得很快。网络攻击也是如此。新的漏洞每天都会出现，并在零日攻击中被迅速利用。基于签名的检测无法检测到以前未知的攻击，异常检测技术可以发现与正常通信模式的偏差，因此是改善当今通信网络安全的重要工具。

本发明创造的发明人在研究中发现，现有技术中，网络异常检测的特征是bps(bitrate，比特率)和pps(packetspersecond，每秒发送多少个分组数据包)这些标识网络质量的的特征，这些特征只能表明网络传输状况和租户使用情况是否正常，并不能代表流量本身特征是否正常。

技术实现要素：

本发明实施方式的目的在于提供一种流量检测方法、装置、电子设备及存储介质，使得能够根据流量数据组成的会话日志，对未来时间内的流量参数进行预测，并根据预测参数是实测参数判断会话环境是否异常。

为解决上述技术问题，本发明的实施方式提供了一种流量检测方法，包括：

获取待处理的会话日志，其中，所述会话日志中包括多个根据流量数据还原的会话信息，多个会话信息按会话时间进行排列；

提取所述会话日志中的会话特征和时间特征；

基于所述会话特征和时间特征，通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数；

根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。

本发明的实施方式还提供了一种流量检测装置，包括：

获取模块，用于获取待处理的会话日志，其中，所述会话日志中包括多个根据流量数据还原的会话信息，多个会话信息按会话时间进行排列；

提取模块，用于提取所述会话日志中的会话特征和时间特征；

处理模块，用于基于所述会话特征和时间特征，通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数；

执行模块，用于根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。

本发明的实施方式还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行上述所述流量检测方法。

本发明的实施方式还提供了一种计算机可读介质，所述计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行上述所述流量检测方法。

本发明实施方式相对于现有技术而言，根据流量数据对会话信息进行还原，并将还原的会话信息依据会话时间进行排布生成会话日志，然后，通过会话维度和时间维度对会话日志的时间特征和会话特征进行提取，基于上述两个特征对未来时间段内目标检测节点的流量参数进行预测生成预测参数，并在目标检测节点采集实际的实测参数，将实测参数与和预测参数进行比对，如果，实测参数与预测参数之间存在较大差异时，则表明会话环境存在危险。通过两个维度的特征对未来时间段内的流量参数进行预测，既能够识别会话本身是否存在错误，同时，由于，前瞻性的预测能够在实测数据出现时，就能够判断出是否存在异常状况，使检测不具有延时性，使检测的效率更高。

另外，所述获取待处理的会话日志之前，包括：获取目标会话链路中的至少一个流量数据；解析各流量数据表征的会话信息及会话时间；将所述会话信息按所述会话时间进行收录生成会话日志。会话日志由数据流量还原而成，为流量异常检测提供了深度素材，能够使检测结果更加准确。

另外，所述提取所述会话日志中的会话特征和时间特征包括：识别所述流量数据的协议类型；在预设的特征策略数据库中查找与所述协议类型对应的特征提取策略；基于所述特征提取策略，从网络层、传输层和应用层三个维度提取所述会话日志中的会话特征和时间特征。除了提取流量在网络层和传输层特征外，同时还能关注流量在应用层的特征，并且能够针对不同协议特点提取不同的特征，实现从更多维度对异常行为进行分析。

另外，所述通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数包括：识别所述多个流量数据变化是否具有周期性；当所述多个流量数据变化具有周期性时，在所述会话日志中提取预设周期长度内的会话信息的会话特征和时间特征；将所述会话特征和时间特征输入至所述预测模型中，对目标检测节点的流量参数进行预测生成预测参数，其中，所述预测模型为根据输入数据的周期特性对目标检测节点的流量参数进行预测的计算模型。结合流量数据的周期性，对标测试节点的流量参数进行预测，能够使预测结果更加准确。

另外，所述预测参数包括会话预测参数和时间预测参数，所述实测参数包括会话实测参数和时间实测参数，所述根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估包括：根据所述会话预测参数与所述会话实测参数计算会话差异度；根据所述时间预测参数与所述时间实测参数计算时间差异度；当所述会话差异度与所述时间差异度均大于预设的标准阈值时，确定所述会话环境为异常环境。通过时间和会话的两个指标判断会话环境是否异常，能够使判断结果更加准确。

附图说明

一个或多个实施例通过与之对应的附图中的图片进行示例性说明，这些示例性说明并不构成对实施例的限定，附图中具有相同参考数字标号的元件表示为类似的元件，除非有特别申明，附图中的图不构成比例限制。

图1为本发明实施例流量检测方法的基本流程示意图；

图2为本发明实施例会话日志生成方式流程示意图；

图3为本发明实施例根据时长结束会话日志的流程示意图；

图4为本发明实施例提取会话特征和时间特征的流程示意图；

图5为本发明实施例根据流量数据的周期性进行流量预测的流程示意图；

图6为本发明实施例根据流量数据的趋势性进行流量预测的流程示意图；

图7为本发明实施例异常环境判断方法的流程示意图；

图8为本发明实施例流量检测装置基本结构示意图；

图9为本发明实施电子设备基本结构框图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的各实施方式进行详细的阐述。然而，本领域的普通技术人员可以理解，在本发明各实施方式中，为了使读者更好地理解本申请而提出了许多技术细节。但是，即使没有这些技术细节和基于以下各实施方式的种种变化和修改，也可以实现本申请所要求保护的技术方案。以下各个实施例的划分是为了描述方便，不应对本发明的具体实现方式构成任何限定，各个实施例在不矛盾的前提下可以相互结合相互引用。

具体请参阅图1，图1为本实施例流量检测方法的基本流程示意图。

如图1所示，一种流量检测方法，包括：

s1100、获取待处理的会话日志，其中，所述会话日志中包括多个根据流量数据还原的会话信息，多个会话信息按会话时间进行排列；

为了对网络链路中的流量数据进行检测，针对于同一个网络链路中网络流量的数据包进行抓取。通过会话还原技术对抓取的流量数据进行会话还原，并按照会话时间对还原的会话信息进行排列，排列的方式为根据会话时间进行升序排列。但是不局限于此，在一些实施方式中，排列方式为根据会话时间进行降序排列。

会话信息是指每个流量数据中包括的(不限于)：发送的文字信息、多媒体信息或操作信息等。会话时间是指发送流量数据的发送时间。根据流量数据还原的会话信息，因此，也包括流量数据的头部信息和数据报文。

s1200、提取所述会话日志中的会话特征和时间特征；

本实施方式中，会话特征包括(不限于)：源ip、源端口、目的ip、目的端口、传输层协议、应用层协议、单次会话上行数据包数量、单次会话下行数据包数量、单次会话上行流量、单次会话下行流量，应用层关键操作数量(每类操作单独统计)、成功操作数量或失败操作数量当中的一种或者多种。上述会话特征均具有固定的固定的关键字，存储在流量数据的头部信息和数据报文，通过查找的方式就能够提取到上述会话特征。

时间特征包括(不限于)：源ip、源端口、目的ip、目的端口、传输层协议、应用层协议、上行数据包数量、下行数据包数量、上行流量、下行流量，应用层关键操作数量(每类操作单独统计)、成功操作数量或失败操作数当中的一种或者多种。上述时间特征均具有固定的固定的关键字，存储在流量数据的头部信息和数据报文，通过查找的方式就能够提取到上述时间特征。

s1300、基于所述会话特征和时间特征，通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数；

基于上述提取的会话特征和时间特征通过预测模型对目标检测节点的流量参数进行预测生成预测参数。

其中，目标检测节点为当前检测节点的下一个检测节点。但是目标检测节点不局限于下一个检测节点，在一些实施方式中，目标检测节点表示未来的一段时间。

预测模型能够为指数平滑算法或者arima模型等算法模型。其中，指数平滑算法实际上是一种特殊的加权移动平均法。其特点是:指数平滑算法进一步加强了观察期近期观察值对预测值的作用，对不同时间的观察值所赋予的权数不等，从而加大了近期观察值的权数，使预测值能够迅速反映实际的变化。arima模型(英语：autoregressiveintegratedmovingaveragemodel)，差分整合移动平均自回归模型，又称整合移动平均自回归模型(移动也可称作滑动)，时间序列预测分析方法之一。

由于，采集的特征包括会话特征和时间特征。因此，在进行预测时，需要以特征的类别分别进行预测。具体地，将提取的会话特征输入到指数平滑算法和arima模型中生成会话预测参数。将提取的时间特征输入到指数平滑算法和arima模型中生成时间预测参数。会话预测参数与时间预测参数统称为目标检测节点的预测参数。

会话预测参数为根据历史会话特征预测的未来目标检测节点处的会话参数，时间预测参数为根据历史时间特征预测的未来目标检测节点处的时间参数。

s1400、根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。

当时间迁移变化至目标检测节点表征的时刻或者时间段时，对网络链路中生成的数据流量进行检测，得到目标检测节点的实测参数。由于实测参数的作用是与预测参数之间进行比对，因此，实测参数也包括：会话实测参数和时间会话参数。其中，会话实测参数中的元素数量与会话预测参数的元素数量相同；时间实测参数中的元素数量与时间预测参数的元素数量相同。

计算会话实测参数与会话预测参数之间的差异值，具体地，通过低密度模型算法计算二者之间：平均绝对百分比误差、平均百分比误差或平均绝对误差当中的一种或者多种指标。当且仅当上述参数中一项超过设定的参考阈值时，确定会话实测参数与会话预测参数之间存在差异。

计算时间实测参数与时间预测参数之间的差异值，具体地，通过低密度模型算法计算二者之间：平均绝对百分比误差、平均百分比误差或平均绝对误差当中的一种或者多种指标。当且仅当上述参数中一项超过设定的参考阈值时，确定时间实测参数与时间预测参数之间存在差异。

当会话实测参数与会话预测参数之间或者时间实测参数与时间预测参数之间存在差异时，确定会话环境存在危险。向参与会话或者管理者终端发送警示信息。

在一些实施方式中，当且仅当会话实测参数与会话预测参数之间和时间实测参数与时间预测参数之间均存在差异时，确定会话环境存在危险。向参与会话或者管理者终端发送警示信息。当只有一组数据比对出现差异时，确定该会话环境为监控对象，持续对该会话环境进行检测，直至排除差异或者确定该会话环境存在危险为止。

在一些实施方式中，为保证识别过程中时间指标与会话指标之间的关联性，求取时间差异值与会话差异值之间的比值，当且仅当时间差异值与会话差异值的比值为0.9-1.1之间时，确定会话环境存在危险。向参与会话或者管理者终端发送警示信息。

上述实施方式，根据流量数据对会话信息进行还原，并将还原的会话信息依据会话时间进行排布生成会话日志，然后，通过会话维度和时间维度对会话日志的时间特征和会话特征进行提取，基于上述两个特征对未来时间段内目标检测节点的流量参数进行预测生成预测参数，并在目标检测节点采集实际的实测参数，将实测参数与和预测参数进行比对，如果，实测参数与预测参数之间存在较大差异时，则表明会话环境存在危险。通过两个维度的特征对未来时间段内的流量参数进行预测，既能够识别会话本身是否存在错误，同时，由于，前瞻性的预测能够在实测数据出现时，就能够判断出是否存在异常状况，使检测不具有延时性，使检测的效率更高。

在一些实施方式中，会话日志通过收集目标会话链路中的流量数据进行解析后得到。请参阅图2，图2为本实施例会话日志生成方式流程示意图。

如图2所示，s1100之前包括：

s1011、获取目标会话链路中的至少一个流量数据；

当服务器端与终端之间、终端与终端之间或者服务器端与服务器端之间进行交互时，需要搭建会话链路，对某个会话链路进行检测时，该会话链路为目标会话链路。

目标会话链路中进行交互的信息均为流量数据，能够通过实时采集或者定时采集的方式对流量数据进行采集。

s1012、解析各流量数据表征的会话信息及会话时间；

流量数据在目标会话链路中的数据格式为：数据包。当采集到流量数据的数据包后对数据包进行解析。

在本实施方式中，数据包的表征的会话类型包括：tcp(transmissioncontrolprotocol，传输控制协议)会话和udp(userdatagramprotocol，用户数据报协议)伪会话。tcp旨在适应支持多网络应用的分层协议层次结构。连接到不同但互连的计算机通信网络的主计算机中的成对进程之间依靠tcp提供可靠的通信服务。tcp假设它可以从较低级别的协议获得简单的，可能不可靠的数据报服务。原则上，tcp应该能够在从硬线连接到分组交换或电路交换网络的各种通信系统之上操作。udp为应用程序提供了一种无需建立连接就可以发送封装的ip数据报的方法。

tcp会话将分为会话创建，会话更新和会话结束三种状态。其中会话更新状态包括请求和响应。一条完整的tcp会话将产生一条会话创建日志、一到多条会话更新日志、一条会话结束日志。会话将通过sid(系统识别码)来唯一表示，同一会话不同状态将通过ssid(servicesetidentifier，服务集标识来标识)，每产生一条会话更新状态日志时ssid将自增1，且请求和响应日志的ssid相同，以此来实现请求和响应的关联。

根据tcp会话的特性，在获取到流量数据的数据包后，识别数据包的数据类型，当检测到数据包的会话信息为tcp会话时，检测数据包是否为tcp第三次握手数据包，若是，则根据当前的数据包创建日志，并将该数据包作为第一会话信息进行记录。后续采集得到的数据包的内容为报文数据时，检测报文数据与前序的数据包是否为同一会话，若是，则将后续数据包写入到创建的日志中，若不是，则根据报文数据创建新的日志。检测数据包是否为tcp第四次握手数据包时，判断数据包中是否有报文数据，若存在，则建立会话结束日志。

udp会话本身虽没有会话的概念，但短时间内连续的udp包仍可在逻辑上视为由同一次或者具有相关性的几次操作产生的流量，因而本方案将在一定时间内(该时间根据具体业务类型确定)同一路径(由源ip、源端口、目的ip、目的端口标识)上的udp包视为一次伪udp会话。一条完整的udp伪会话只会产生一条会话日志。

本实施方式中通过dpi(deeppacketinspection，基于数据包的深度检测技术)技术实现会话还原以及对会话类型进行识别，当ip数据包、tcp或udp数据流通过基于dpi技术的带宽管理系统时，该系统通过深入读取ip包载荷的内容来对osi(opensysteminterconnection，开放系统互联)七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照各协议内容的载荷特征，识别各个数据包的会话类型。会话信息则是数据包内携带的正文信息，通过dpi技术对数据包进行解析后，直接提取即可。

各流量数据的数据包中记载有：会话信息和会话时间，其中，会话时间就是发送该数据包时生成的时间戳。

s1013、将所述会话信息按所述会话时间进行收录生成会话日志。

通过会话还原技术对抓取的流量数据进行会话还原，并按照会话时间对还原的会话信息进行排列，排列的方式为根据会话时间进行升序排列。但是不局限于此，在一些实施方式中，排列方式为根据会话时间进行降序排列。

在从时间维度对流量数据进行特征提取和分析的基础上借助会话还原技术，将从属于同一会话的数据包关联起来，还原出原始会话，并以会话为单位进行特征提取和分析，而不是孤立的分析单个数据包。实现从会话和时间两个层面的特征提取和异常分析，从而可以更快更全面的识别异常行为。

在一些实施方式中，当目标会话链路建立有会话日志，但长时间没有新的数据包进行传输时，需要对会话日志进行结束处理，以便于生成完整的会话日志。请参阅图3，图3为本实施例根据时长结束会话日志的流程示意图。

如图3所示，s1012之后包括：

s1021、采集所述目标会话链路中目标状态的延续时长；

本实施方式中，定义目标会话链路中不传输数据包的状态为目标状态。每当一个数据包被传输完毕，开始进行计时，直至另一个数据包需要进行传输时，计时时间归零。

当一个会话日志建立后，持续采集数据包并将数据包，当采集到结束会话数据包时结束采集生成完整的会话日志。但是，tcp会话存在异常断开情况，此时可能无法正常获取到tcp四次分手数据包(结束会话数据包)，因此，需要设立超时判断机制。

检测目标会话链路无包状态的延续时长，即无保状态的时间长度。

s1022、将所述延续时长与预设的时间阈值进行比对；

将延续时长与预设的时间阈值进行比对。其中，时间阈值为预先设置，用于衡量延时时长是否超时的衡量标准。例如，时间阈值的取值能够为5s，但是不局限于此，根据具体应用场景不同，时间阈值能够进行自定义设置。

s1023、当所述延续时长大于或者等于所述时间阈值时，将所述会话信息按所述会话时间进行收录生成会话日志。

当延续时长大于或者等于时间阈值时，将会话信息按所述会话时间进行收录生成会话日志。通过会话还原技术对抓取的流量数据进行会话还原，并按照会话时间对还原的会话信息进行排列，排列的方式为根据会话时间进行升序排列。但是不局限于此，在一些实施方式中，排列方式为根据会话时间进行降序排列。

通过超时检测防止意外断连时，系统长时间等待造成的网络资源浪费。

在一些实施方式中，对会话日志中的特征信息和时间信息进行提取时，需要根据流量数据的协议类型针对性的配置特征提取策略，以更加准确的提取会话特征和时间特征。请参阅图4，图4为本实施例提取会话特征和时间特征的流程示意图。

如图4所示，s1200包括：

s1211、识别所述流量数据的协议类型；

流量数据在进行数据打包时，需要根据约定的网络协议对流量数据记性打包。

通过dpi技术对流量数据的数据包进行解析，并基于数据包中的请求数据的内容进行分析，找出不同于其它协议的模式特征，根据各协议特有的模式特征确定流量所属协议类型。基于载荷特征的协议识别主要有采用固定字符串，即在请求数据中查找对固定类型的字符段，由于，每个字符段均代表一类协议，因此，在请求数据中查找到某个字符段后，就能够对应的确定目标流量的协议类型。

s1212、在预设的特征策略数据库中查找与所述协议类型对应的特征提取策略；

本实施方式中建立有特征策略数据库，特征策略数据库为全量数据库，记载不同协议类型对应的特征提取策略。但是，特征策略数据库记载的内容不局限于此，在一些实施方式中，特征策略数据库中仅仅记载常用协议类型的特征提取策略，当协议类型的的特征提取策略无法查询到时，通过网络向外部服务器获取对应的特征提取策略。

每个特征提取策略通过键值对的方式表示与其对应的协议类型，因此，根据协议类型就能够在特征策略数据库中查到对应的特征提取策略。

特征提取策略为提取特征的特征类型。例如，对于ftp(filetransferprotocol，文件传输协议)协议将分别提取retr、stor、stou、appe每个操作的数量，对于mysql将提取select、upadte、delete、insert每个操作的数量。

s1213、基于所述特征提取策略，从网络层、传输层和应用层三个维度提取所述会话日志中的会话特征和时间特征。

根据上述特征提取策略分别从数据包的从网络层、传输层和应用层提取会话特征和时间特征。

网络层是osi参考模型中的第三层，介于传输层和数据链路层之间，它在数据链路层提供的两个相邻端点之间的数据帧的传送功能上，进一步管理网络中的数据通信，将数据设法从源端经过若干个中间节点传送到目的端，从而向运输层提供最基本的端到端的数据传送服务。

传输层是整个网络体系结构中的关键层次之一，主要负责向两个主机中进程之间的通信提供服务。由于一个主机同时运行多个进程，因此运输层具有有复用和分用功能。传输层在终端用户之间提供透明的数据传输，向上层提供可靠的数据传输服务。传输层在给定的链路上通过流量控制、分段/重组和差错控制来保证数据传输的可靠性。

应用层也称为应用实体(ae)，它由若干个特定应用服务元素(sase)和一个或多个公用应用服务元素(case)组成。每个sase提供特定的应用服务，例如文件运输访问和管理(ftam)、电子文电处理(mhs)、虚拟终端协议(vap)等。

通过过dpi技术对流量数据的数据包进行解析，得到数据包网络层、传输层和应用层的数据信息。然后，以特征提取策略确定的特征类型，在上述三层数据信息中进行查找提取，分别得到三层数据信息中的会话特征和时间特征。

利用dpi深度包解析技术，实现对各种主流和特定私有化协议的解析，除了提取流量在网络层和传输层特征外，同时还能关注流量在应用层的特征，并且能够针对不同协议特点提取不同的特征，实现从更多维度对异常行为进行分析，提高了异常分析的准确性。

在一些实施方式中，根据流量数据的周期性规则，对目标检测节点处的流量参数进行预测。请参阅图5，图5为本实施例根据流量数据的周期性进行流量预测的流程示意图。

如图5所示，s1300包括：

s1311、识别所述多个流量数据变化是否具有周期性；

将采集的流量数据按采集的时间排布在二维坐标系中，识别二维坐标系中的点组成的图像是否具有周期性。具体地，将流量数据写入到二维坐标系中，将二维坐标系中的孤立的点通过平滑的曲线进行连接生成数据变化图中。将数据变化图输入至预设的图像识别模型中。图像识别模型为预先训练至收敛状态，用于对输入的数据变化图进行周期性判断的神经网络模型。由于，图像识别模型预先训练至收敛，因此，能够快速准确的对数据变化图进行分类，分类结果有两种：第一，数据变化图具有周期性；第二，数据变化图不具有周期性。

s1312、当所述多个流量数据变化具有周期性时，在所述会话日志中提取预设周期长度内的会话信息的会话特征和时间特征；

当识别出流量数据变化具有周期性时，针对仅具有周期性特征的流量，本方案中采取离线定时预测存储，异常检测时再提取的方法。每次预测时将选取每个特征历史30个周期(可能是小时，12小时，天、周等)的流量数据，每个周期内将包含多个数据点(或者说时间序列,时间间隔可以是分钟、小时等)。

提取的周期长度内的会话信息作为目标样本，进行会话特征和时间特征的提取。提取方式具体请见s1200，在此不再详述。

本实施方式中，预设周期长度为30个周期，但是不局限于此，在一些实施方式中，预设周期长度能够为1个、2个、5个或者更多的周期。每个周期跨度的时长能够为(不限于)：1小时、1天或者1周。

s1313、将所述会话特征和时间特征输入至所述预测模型中，对目标检测节点的流量参数进行预测生成预测参数，其中，所述预测模型为根据输入数据的周期特性对目标检测节点的流量参数进行预测的计算模型。

将提取的会话特征和时间特征输入至所述预测模型中。通过权重分配，让越新的数据权重较大，此时不考虑同一周期内相邻时间点的关系和影响，预测模型为二次指数平滑算法或arima模型的等。

本实施方式中，每次预测结果包含未来一整个周期的流量预测值。即目标检测节点的时间跨度为一整个周期。

在一些实施方式中，当流量数据的变化不具有周期性时，需要采集固定时间长度的会话信息用于对目标检测节点处的流量参数进行预测。请参阅图6，图6为本实施例根据流量数据的趋势性进行流量预测的流程示意图。

如图6所示，s1311之后包括：

s1321、当所述多个流量数据变化不具有周期性时，在所述会话日志中提取预设时间段内的会话信息的会话特征和时间特征；

当识别出流量数据变化不具有周期性时，需要通过数据变化的趋势对目标检测节点的流量参数进行预测。

针对趋势性流量，将采用实时预测，实时分析的方法。因为不存在周期，因此将直接选取每个特征历史30天数据，每个特征上得到一个时间序列。

提取的预设时间段内会话信息作为目标样本，进行会话特征和时间特征的提取。提取方式具体请见s1200，在此不再详述。

本实施方式中，预设预设时间段为30天，但是不局限于此，在一些实施方式中，预设时间段能够为1天、2天、5天或者更多天。

s1322、将所述会话特征和时间特征输入至所述预测模型中，对目标检测节点的流量参数进行预测生成预测参数，其中，所述预测模型为根据输入数据的延展趋势对目标检测节点的流量参数进行预测的计算模型。

对具有趋势性的流量数据进行预测时，每次预测的结果为当前时间序列下一个数据点，此时仅考虑相邻数据点之间的关系。同样的，历史时间序列也会进行权重分配，让越新的数据权重较大，预测模型为一次指数平滑算法或arima模型。

在一些实施方式中，当流量数据兼具周期性和趋势性时，同样采用实时预测实时分析的方法，流量数据的选取上和仅具有周期性流量相同，不同的是每次只预测接下来一个数据点，此时既考虑历史上对应数据点之间关系，又考虑相邻数据点之间的关系。预测模型为三次指数平滑算法或arima算法。

通过识别历史数据中的流量数据是否具有周期性，通过对不同变化趋势的流量数据采用不同的数据提取方式和预测模型，能够提高数据预测的准确性。

在一些实施方式中，由于，提取的特征包括会话特征和时间特征，因此，在进行差异化计算时，也需要分类别的进行差异化计算，并且根据差异化计算结果进行统计评估。请参阅图7，图7为本实施例异常环境判断方法的流程示意图。

如图7所示，s1400包括：

s1411、根据所述会话预测参数与所述会话实测参数计算会话差异度；

在目标检测节点所在的时刻或者时间段内，获取会话实测参数，然后，将会话预测参数与会话实测参数进行差异度计算。具体地，采用低密度模型算法计算会话预测参数与会话实测参数之间的差异度。

在一些实施方式中，除了计算会话预测参数与会话实测参数之间的差异度，还需要计算会话实测参数与提取的会话特征之间的差异度，具体地，测试指标如列表1所示：

列表1

如列表1所示，上述四个指标均设置标准阈值，将上述四个指标的数值分别与对应的标准阈值进行比对，当且仅当有一个指标的数值大于对应的标准阈值时，即认定会话差异度为异常。各个指标的标准阈值能够根据场景需要自定义设置。

s1412、根据所述时间预测参数与所述时间实测参数计算时间差异度；

在目标检测节点所在的时刻或者时间段内，获取时间实测参数，然后，将时间预测参数与时间实测参数进行差异度计算。具体地，采用低密度模型算法计算时间预测参数与时间实测参数之间的差异度。

在一些实施方式中，除了计算时间预测参数与时间实测参数之间的差异度，还需要计算时间实测参数与提取的时间特征之间的差异度，具体地，计算如列表1中的4个指标。

四个指标均设置标准阈值，将上述四个指标的数值分别与对应的标准阈值进行比对，当且仅当有一个指标的数值大于对应的标准阈值时，即认定时间差异度为异常。各个指标的标准阈值能够根据场景需要自定义设置。

s1413、当所述会话差异度与所述时间差异度均大于预设的标准阈值时，确定所述会话环境为异常环境。

当会话差异度与时间差异度表征的差异状态均为异常状态时，确定当前的会话环境为异常环境，向参与会话或者管理者终端发送警示信息。当只有一组数据的差异度为异常时，确定该会话环境为监控对象，持续对该会话环境进行检测，直至排除差异或者确定该会话环境存在危险为止。

在一些实施方式中，为保证识别过程中时间指标与会话指标之间的关联性，求取时间差异值与会话差异值之间的比值，当且仅当时间差异值与会话差异值的比值为0.9-1.1之间时，确定会话环境存在危险。向参与会话或者管理者终端发送警示信息。通过时间和会话的两个指标判断会话环境是否异常，能够使判断结果更加准确。

具体请参阅图8，图8为本实施例流量检测装置基本结构示意图。

如图8所示，一种流量检测装置，包括：获取模块2100、提取模块2200、处理模块2300和执行模块2400。其中，获取模块2100用于获取待处理的会话日志，其中，所述会话日志中包括多个根据流量数据还原的会话信息，多个会话信息按会话时间进行排列；提取模块2200用于提取所述会话日志中的会话特征和时间特征；处理模块2300用于基于所述会话特征和时间特征，通过预设的预测模型对目标检测节点的流量参数进行预测生成预测参数；执行模块2400用于根据所述目标检测节点的实测参数和所述预测参数对会话环境进行评估。

在一些实施方式中，所述流量检测装置还包括：第一获取子模块、第一处理子模块和第一执行子模块。其中，第一获取子模块用于获取目标会话链路中的至少一个流量数据；第一处理子模块用于解析各流量数据表征的会话信息及会话时间；第一执行子模块用于将所述会话信息按所述会话时间进行收录生成会话日志。

在一些实施方式中，所述流量检测装置还包括：第一采集子模块、第二处理子模块和第二执行子模块。其中，第一采集子模块用于采集所述目标会话链路中目标状态的延续时长；第二处理子模块用于将所述延续时长与预设的时间阈值进行比对；第二执行子模块用于当所述延续时长大于或者等于所述时间阈值时，将所述会话信息按所述会话时间进行收录生成会话日志。

在一些实施方式中，所述流量检测装置还包括：第一识别子模块、第三处理子模块和第三执行子模块。其中，第一识别子模块用于识别所述流量数据的协议类型；第三处理子模块用于在预设的特征策略数据库中查找与所述协议类型对应的特征提取策略；第三执行子模块用于基于所述特征提取策略，从网络层、传输层和应用层三个维度提取所述会话日志中的会话特征和时间特征。

在一些实施方式中，所述流量检测装置还包括：第二识别子模块、第四处理子模块和第四执行子模块。其中，第二识别子模块用于识别所述多个流量数据变化是否具有周期性；第四处理子模块用于当所述多个流量数据变化具有周期性时，在所述会话日志中提取预设周期长度内的会话信息的会话特征和时间特征；第四执行子模块用于将所述会话特征和时间特征输入至所述预测模型中，对目标检测节点的流量参数进行预测生成预测参数，其中，所述预测模型为根据输入数据的周期特性对目标检测节点的流量参数进行预测的计算模型。

在一些实施方式中，所述流量检测装置还包括：第五处理子模块和第五执行子模块。其中，第五处理子模块用于当所述多个流量数据变化不具有周期性时，在所述会话日志中提取预设时间段内的会话信息的会话特征和时间特征；第五执行子模块用于将所述会话特征和时间特征输入至所述预测模型中，对目标检测节点的流量参数进行预测生成预测参数，其中，所述预测模型为根据输入数据的延展趋势对目标检测节点的流量参数进行预测的计算模型。

在一些实施方式中，所述预测参数包括会话预测参数和时间预测参数，所述实测参数包括会话实测参数和时间实测参数，所述流量检测装置还包括：第一计算子模块、第二计算子模块和第六执行子模块。其中，第一计算子模块用于根据所述会话预测参数与所述会话实测参数计算会话差异度；第二计算子模块用于根据所述时间预测参数与所述时间实测参数计算时间差异度；第六执行子模块用于当所述会话差异度与所述时间差异度均大于预设的标准阈值时，确定所述会话环境为异常环境。

为解决上述技术问题，本发明实施例还提供电子设备。具体请参阅图9，图9为本实施例电子设备基本结构框图。

如图9所示，电子设备的内部结构示意图。该电子设备包括通过系统总线连接的处理器、非易失性存储介质、存储器和网络接口。其中，该电子设备的非易失性存储介质存储有操作系统、数据库和计算机可读指令，数据库中可存储有控件信息序列，该计算机可读指令被处理器执行时，可使得处理器实现一种流量检测方法。该电子设备的处理器用于提供计算和控制能力，支撑整个电子设备的运行。该电子设备的存储器中可存储有计算机可读指令，该计算机可读指令被处理器执行时，可使得处理器执行一种流量检测方法。该电子设备的网络接口用于与终端连接通信。本领域技术人员可以理解，图9中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的电子设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

本实施方式中处理器用于执行图8中获取模块2100、提取模块2200、处理模块2300和执行模块2400的具体功能，存储器存储有执行上述模块所需的程序代码和各类数据。网络接口用于向用户终端或服务器之间的数据传输。本实施方式中的存储器存储有药品分类装置中执行所有子模块所需的程序代码及数据，服务器能够调用服务器的程序代码及数据执行所有子模块的功能。

本发明还提供一种存储有计算机可读指令的存储介质，计算机可读指令被一个或多个处理器执行时，使得一个或多个处理器执行上述任一实施例流量检测方法的步骤。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，该计算机程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，前述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)等非易失性存储介质，或随机存储记忆体(randomaccessmemory，ram)等。

应该理解的是，虽然附图的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，其可以以其他的顺序执行。而且，附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，其执行顺序也不必然是依次进行，而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。