异常流量检测方法、装置、电子设备和计算机可读介质与流程

本申请实施例涉及计算机技术领域，具体涉及异常流量检测方法、装置、电子设备和计算机可读介质。

背景技术：

随着互联网技术的发展，在应对数量巨大的用户群体时，为了用户提供正常的访问服务，通常需要对网络流量的异常情况进行监控，以便及时发现并处理异常的访问流量，从而保证网络与信息安全。

现有的异常流量检测方式，通常通过技术人员人工对访问数据进行分析，或人工设计特征提取规则对访问数据进行特征提取，以得到访问频次、访问参数等易于得到的特征，而后采用基于机器学习的检测方式，对所提取的特征进行检测，从而确定出访问流量是否异常。然而，这种方式不仅需要较高的人力成本，并且在特征提取时通常会造成一些信息被浪费，导致无法利用全面的访问数据构造异常流量和正常流量的差异性，从而导致异常流量的检测的准确性较低。

技术实现要素：

本申请实施例提出了异常流量检测方法、装置、电子设备和计算机可读介质，以解决现有技术中对异常流量检测的准确性较低的技术问题。

第一方面，本申请实施例提供了一种异常流量检测方法，该方法包括：获取待测用户的访问日志，访问日志中记录有待测用户访问的各接口和对各接口的访问时间；基于访问日志，生成待测用户访问接口的路径时序图；将路径时序图输入至预先训练的异常流量检测模型，得到异常流量检测结果，异常流量检测结果用于指示待测用户产生的访问流量是否为异常流量。

第二方面，本申请实施例提供了一种异常流量检测装置，该装置包括：获取单元，被配置成获取待测用户的访问日志，访问日志中记录有待测用户访问的各接口和对各接口的访问时间；生成单元，被配置成基于访问日志，生成待测用户访问接口的路径时序图；检测单元，被配置成将路径时序图输入至预先训练的异常流量检测模型，得到异常流量检测结果，异常流量检测结果用于指示待测用户产生的访问流量是否为异常流量。

第三方面，本申请实施例提供了一种电子设备，包括：一个或多个处理器；存储装置，其上存储有一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中所描述的方法。

第四方面，本申请实施例提供了一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如第一方面中所描述的方法。

本申请实施例提供的异常流量检测方法、装置、电子设备和计算机可读介质，通过获取待测用户的访问日志，而后基于访问日志中记录的待测用户访问访问的各接口和对各接口的访问时间，生成待测用户访问接口的路径时序图，最后将路径时序图输入至预先训练的异常流量检测模型，从而得到用于指示待测用户产生的访问流量是否为异常流量的异常流量检测结果。由此，一方面，将待测用户的访问日志转换为图像形式，可将异常流量识别问题转换为图像分类问题，使异常流量检测模型对图像自动进行特征提取以及检测，相对于通过人工提取特征的现有方式，降低了人力成本。另一方面，由于该图像中包含了待测用户访问的接口、访问时间、次序以及分布等信息，因而通过异常流量检测模型对图像自动进行特征提取以及检测，且能够提取出人工无法提取的特征，可充分利用访问日志中的信息，提高了信息利用率，从而提高了异常流量检测的准确性。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1是根据本申请的异常流量检测方法的一个实施例的流程图；

图2是根据本申请的正常用户访问接口的路径时序图的示意图；

图3是根据本申请的异常用户访问接口的路径时序图的示意图；

图4是根据本申请的异常流量检测方法的又一个实施例的流程图；

图5是根据本申请的路径关系图的示意图；

图6是根据本申请的异常流量检测装置的一个实施例的结构示意图；

图7是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

请参考图1，其示出了根据本申请的异常流量检测方法的一个实施例的流程100。异常流量检测方法的执行主体可以是服务器。服务器可以是硬件，也可以是软件。当服务器为硬件时，可以实现成多个设备组成的分布式设备集群，也可以实现成单个设备。当服务器为软件时，可以实现成多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。该异常流量检测方法，包括以下步骤：

步骤101，获取待测用户的访问日志。

在本实施例中，异常流量检测方法的执行主体可以获取待测用户的访问日志。其中，访问日志中可以记录有待测用户访问的各接口和对各接口的访问时间。此处，接口可以指上述执行主体所监控的平台中的各个url(uniformresourcelocator，统一资源定位符)。因而，访问日志中可以记录的接口，可以是待测用户所访问的具体的url。

以生活服务类平台为例，用户可通过该平台的客户端应用，对该平台中的各服务或业务的接口进行访问。实践中，当用户开启该客户端应用后，即可通过点击各服务或服务的图标，访问各个服务或业务的接口。用户所访问的每一个接口的url以及时间，均可被记录至该用户的访问日志中。

作为示例，该平台可以提供外卖服务、美食服务、酒店服务、休闲娱乐服务、电影演出服务、打车服务等多种服务或业务。当用户依次通过该平台的客户端应用访问了美食服务、休闲娱乐服务和电影演出服务后，上述执行主体即可在该用户访问日志中，依次记录美食服务的接口的url和对该url访问时间、休闲娱乐服务的接口的url和和对该url访问时间、电影演出服务的接口的url和对该url访问时间等信息。

步骤102，基于访问日志，生成待测用户访问接口的路径时序图。

在本实施例中，上述执行主体可以基于上述访问日志中所记录的接口和访问时间，生成待测用户访问接口的路径时序图。路径时序图可表征出用户访问的接口的路径。此处，用户访问的接口的路径可以指示用户访问接口的先后顺序。例如，用户依次访问的接口a、接口b和接口c，则用户依次访问的接口的路径则为a-b-c。此处的路径时序图可以是各种形式的图像，如单通道的图像、三通道的图像等。

作为一个示例，路径时序图可以由坐标图转换得到。具体地，可以首先以时间作为横轴，接口作为纵轴，构建坐标系。而后，对于访问日志中的每一项访问记录，可以基于该项访问记录中所记录的接口和访问时间，在该坐标系中绘制坐标点，从而得到坐标图。之后，可以将该坐标图转换为矩形图像。

在转换为图像的过程中，可以首先构建一个与该坐标图对应的矩形图像，使该矩形图像的横向表征时间，纵向表征接口。而后将该矩形图像按照接口和时间划分为多个矩形块。之后，对于坐标图中所绘制的每一个坐标点，可以基于该点的坐标，确定出该坐标点应设在矩形图像中的矩形块，并将该矩形块的像素值进行设置。例如，可以设置为预设的固定值，也可以基于对访问记录中的数据进行统计，设定为与统计结果相对应的像素值。此处的像素值可设置为单通道的像素值或三通道的像素值，本申请对此不作限定。

需要说明的是，对于没有映射有绘制的坐标点的矩形块，则可以将这些矩形块的像素值设置为默认值，并使默认值不同于映射有绘制的坐标点的矩形块的像素值。例如，可将默认值设置为零等。

作为又一示例，路径时序图还可以直接构建。具体地，可以首先构建一个矩形图像，使该矩形图像的横向表征时间，纵向表征接口。而后将该矩形图像按照接口和时间划分为多个矩形块。之后，对于访问日志中的每一项访问记录，可以基于该项访问记录中所记录的接口和访问时间，查找矩形图像对该访问记录对应的矩形块，并为该矩形块设置像素值。例如，可以设置为预设的固定值，也可以基于对访问记录中的数据进行统计，设定为与统计结果相对应的像素值。此处的像素值可设置为单通道的像素值或三通道的像素值，本申请对此不作限定。对于没有任一访问记录的矩形块，则可以将这些矩形块的像素值设置为默认值，并使默认值不同于映射有绘制的坐标点的矩形块的像素值。例如，可将默认值设置为零等。

通过将访问日志转换为图像形式，可以使图像中包含了待测用户访问的接口、访问时间、次序以及分布等信息，由此，后续步骤中使用异常流量检测模型对图像自动进行特征提取以及检测，可充分利用访问日志中的信息，提高了信息利用率，从而提高了异常流量检测的准确性。

步骤103，将路径时序图输入至预先训练的异常流量检测模型，得到异常流量检测结果。

在本实施例中，上述执行主体可以将路径时序图输入至预先训练的异常流量检测模型，得到异常流量检测结果。此处的异常流量检测结果可以用于指示待测用户产生的访问流量是否为异常流量。

此处的异常流量检测模型可用于检测路径时序图的类别。实践中，路径时序图的类别可分为两类，分别对应异常流量和正常流量，如可以1表示异常流量，以0表示正常流量。若异常流量检测模型输出结果为1,则异常流量检测结果即可指示待测用户产生的访问流量为异常流量。若异常流量检测模型输出结果为0,则异常流量检测结果即可指示待测用户产生的访问流量为正常流量。

此处的异常流量检测模型可以采用机器学习方法(如有监督学习方法)，对各种图像处理模型训练得到。作为示例，所使用的图像处理模型可以是各种结构的卷积神经网络(convolutionalneuralnetworks，cnn)。实践中，卷积神经网络是一种前馈神经网络，它的人工神经元可以响应一部分覆盖范围内的周围单元，对于图像处理有出色表现，因而，可以使用卷积神经网络训练得到异常流量检测模型。通常，卷积神经网络可以包括卷积层、池化层、全连接层等。卷积层可以用于提取图像特征。池化层可以用于对图像特征进行下采样。全连接层在卷积神经网络中可起到分类器的作用，以输出分类结果。

作为示例，异常流量检测模型可以包含三个卷积层、三个池化层和三个全连接层。异常流量检测模型由浅层至深层，依次为第一卷积层、第一池化层、第二卷积层、第二池化层、第三卷积层、第三池化层、第一全连接层、第二全连接层和第三全连接层。

由此，将待测用户的访问日志转换为图像形式，通过异常流量检测模型对图像自动进行特征提取以及检测，可以将异常流量识别问题转换为图像分类问题。在此过程中，异常流量检测模型对图像自动进行特征提取，从而得到复杂的图像特征。由此，相对于通过人工提取特征的现有方式，不仅降低了人力成本，并且，可充分利用图像形式的访问信息，提取出无法通过人工提取的特征，提高了信息利用率，从而提高了异常流量检测的准确性。

在本实施例的一些可选的实现方式中，上述异常流量检测模型可以通过如下子步骤s11至子步骤s12训练得到：

子步骤s11，获取样本集。

样本集中可以包括正常用户访问接口的路径时序图样本和异常用户访问接口的路径时序图样本。各路径时序图样本可带有用于指示是否为用户产生的流量是否为异常流量的标注信息。

作为示例，图2为正常用户访问接口的路径时序图的示意图，图3为异常用户访问接口的路径时序图的示意图。由图2和图3对比可知，正常用户访问的接口种类较多，访问接口的分布较为分散，连续访问同一接口的情况较为少见，且访问情况不存在周期性。而异常用户访问接口的种类较少，访问接口的分布较为集中，连续访问同一接口的情况较为常见，且存在近似的周期性。

可选的，子步骤s11中的样本集可通过如下步骤生成：

第一步，获取正常用户数据集和异常用户数据集。正常用户数据集中包括正常用户的访问日志。异常用户数据集中包括异常用户的访问日志。每一个访问日志中记录有用户访问的接口和对各接口的访问时间。

第二步，对于正常用户数据集和异常用户数据集所涉及的每一个用户，基于该用户的访问日志，生成该用户访问接口的路径时序图。由此，可得到每一个正常用户的路径时序图和每一个异常用户的路径时序图。

需要说明的是，此步骤中的路径时序图的生成方式与步骤102中的路径时序图的生成方式基本相同，此处不再赘述。

第三步，为正常用户的路径时序图添加用于指示正常流量的标注信息，为异常用户的路径时序图添加用于指示异常流量的标注信息。作为示例，可对异常用户的路径时序图添加标注1，对正常用户的路径时序图添加标注0。

第四步，将添加有标注信息的各路径时序图样本进行汇总，生成样本集。

子步骤s12，将上述样本集中的路径时序图样本作为输入，将所输入的路径时序图样本对应的标注信息作为输出，利用机器学习方法训练得到异常流量检测模型。

在训练过程中，可以逐一地将路径时序图样本输入至模型，得到模型输出的检测结果。而后，可以基于输出的检测结果与所输入的路径时序图样本对应的标注信息，确定损失值。上述损失值可以用于表征模型所输出的检测结果与实际的标注信息的差异。损失值越大，则差异越大。上述损失值可以基于各种现有的损失函数(lossfunction)确定。之后，可以利用该损失值，更新模型的参数。由此，每输入一个路径时序图样本，可以基于该路径时序图样本对应的标注信息，对模型的参数进行一次更新。

实践中，可以通过多种方式确定是否训练完成。作为示例，当模型输出的检测结果与相应的标注信息相匹配的概率达到预设值时(例如98％)时，可认为模型训练完成。作为又一示例，若模型的训练次数等于预设次数时，可认为模型训练完成。作为再一示例，若模型的损失值收敛时，可认为模型训练完成。训练后的模型即为异常流量检测模型。

本申请的上述实施例提供的方法，通过获取待测用户的访问日志，而后基于访问日志中记录的待测用户访问访问的各接口和对各接口的访问时间，生成待测用户访问接口的路径时序图，最后将路径时序图输入至预先训练的异常流量检测模型，从而得到用于指示待测用户产生的访问流量是否为异常流量的异常流量检测结果。由此，一方面，将待测用户的访问日志转换为图像形式，可将异常流量识别问题转换为图像分类问题，使异常流量检测模型对图像自动进行特征提取以及检测，相对于通过人工提取特征的现有方式，降低了人力成本。另一方面，由于该图像中包含了待测用户访问的接口、访问时间、次序以及分布等信息，因而通过异常流量检测模型对图像自动进行特征提取以及检测，可充分利用访问日志中的信息，且能够提取出人工无法提取的特征，提高了信息利用率，从而提高了异常流量检测的准确性。

进一步参考图4，其示出了异常流量检测方法的又一个实施例的流程400。该异常流量检测方法的流程400，包括以下步骤：

步骤401，获取待测用户的访问日志。

本实施例中的步骤401可参考图1对应实施例的步骤101，此处不再赘述。

步骤402，以时间为横轴，以接口的编码为纵轴，构建坐标系。

在本实施例中，异常流量检测方法的执行主体可以以时间为横轴，以接口的编码为纵轴，构建坐标系。此处的坐标系可以是直角坐标系。

此处，由于接口的url通常较为复杂，因而可预先对接口进行编码(如编码为1、2、3等数字)，从而简化接口的表示方式。由此，纵轴的刻度可以以接口的编码进行表示。

此处，不同接口具有不同的编码，接口与编码的对应关系可以通过多种方式确定。如人工设定、基于访问量的大小设定等、基于正常用户访问接口的最相关路径预先确定等。其中，最相关路径可基于正常用户访问接口的路径确定。

在本实施例的一些可选的实现方式中，接口的编码通过如下子步骤s21至子步骤s25预先确定：

子步骤s21，获取正常用户数据集。

正常用户数据集中可以包括大量的正常用户的历史访问日志。历史访问日志中记录有正常用户访问的接口和对各接口的访问时间。可以理解的是，在正常用户数据集中的历史访问日志数量足够多时，历史访问日志中所涉及的接口，即可构成所监控的平台中的全量的接口。

子步骤s22，统计正常用户数据集涉及的各接口的访问量，并按照访问量从大到小的次序，对正常用户数据集涉及的各接口进行排序。

子步骤s23，基于接口的排列次序确定接口的初始编码，基于各正常用户的访问日志和各接口的初始编码，确定各正常用户访问的接口的初始编码序列。

此处，可以直接将接口的排列次序作为接口的初始编码。作为示例，共有a、b、c、d、e、f、g共7个接口，a、b、c、d、e、f、g这7个接口的访问量按照由大到小次序排列后，依次为c、b、a、e、d、f、g。此时，可将接口c的初始编码设为1，将接口b的初始编码设为2，将接口a的初始编码设为3，将接口e的初始编码设为4，将接口d的初始编码设为5，将接口f的初始编码设为6，将接口g的初始编码设为7。此时，若用户访问次序为a-d-b-c，那么访问接口编码序列则为3-5-2-1。

可选的，在子步骤s23中，由于按照访问量排序后，位于排序结果尾部的接口访问量极小，为便于统计以及减少数据量，上述执行主体还可以将位于尾部的接口的初始编码设置为同一个编码。实践中，对于每一个接口，若该接口的排列次序小于或等于预设阈值(可记为n)，则可将该接口的排列次序作为该接口的初始编码。若该接口的排列次序大于预设阈值(即n)，则可以将预设编码作为该接口的初始编码。此处，预设编码可以是大于上述预设阈值的任一数值，如可设置为n+1。继续上述示例，若n设置为5，则接口f和接口g的初始编码则均为6。

子步骤s24，基于各初始编码序列，确定正常用户访问接口的最相关路径，最相关路径由用户数据集涉及的各接口的初始编码构成。

此处，可将各正常用户访问的接口的初始编码序列作为一个访问路径，基于各个正常用户的访问路径，生成带有权重的路径关系图。而后，利用最小生成树算法确定该路径关系图中的最小生成树。此处可采用kruskal最小生成树算法、prime最小生成树算法等常用的最小生成树算法。而后，基于最小生成树中的各节点的位置，将各节点对应的接口的初始编码进行排序，从而得到用户访问接口的最相关路径。

可选的，在子步骤s24中，最相关路径可通过如下步骤确定：

第一步，将各初始编码分别作为节点，将每两个初始编码在同一初始编码序列中作为相邻编码出现的次数作为相应的节点连线的权重，构建正常用户访问接口的路径关系图。

作为示例，图5是路径关系图的一个示意图。如图5所示，共有6个初始编码，分别为1、2、3、4、5、6，初始编码1对应节点c，初始编码2对应节点b，初始编码3对应节点a，初始编码4对应节点e，初始编码5对应节点d，初始编码6对应节点f和g。

由此，路径关系图包含1、2、3、4、5、6共6个节点。节点1和节点3在同一初始编码序列中作为相邻编码出现的次数为10。节点2和节点3在同一初始编码序列中作为相邻编码出现的次数为2。节点1和节点4在同一初始编码序列中作为相邻编码出现的次数为5。节点1和节点5在同一初始编码序列中作为相邻编码出现的次数为4。节点4和节点6在同一初始编码序列中作为相邻编码出现的次数为3。节点5和节点6在同一初始编码序列中作为相邻编码出现的次数为1。

第二步，将上述路径关系图中的各节点连线的权重的倒数作为新的权重，基于最小生成树算法，确定更新权重后的路径关系图的最小生成树。

继续以图5中所示意的路径关系图为例，节点1和节点3的连线的新的权重由10更新为0.1。节点2和节点3的连线的权重由2更新为0.5。节点1和节点4的连线的权重由5更新为0.2。节点1和节点5的连线的权重由4更新为0.25。节点4和节点6的连线的权重由3更新为0.33。节点5和节点6的连线的权重由1更新为1。

以采用prime最小生成树算法为例，prime算法的核心步骤是在带权连通图(本申请实施例中的路径关系图即为一种带权连通图)中v是包含所有顶点的集合，u已经在最小生成树中的节点所构成的集合，从图中任意某一顶点v开始，此时集合u＝{v}，重复执行下述操作：在所有u∈u，w∈v-u的边(u,w)∈e中找到一条权值最小的边，将(u,w)这条边加入到已找到边的集合，并且将点w加入到集合u中，当u＝v时，就找到了这颗最小生成树。

第三步，按照从根节点到叶子节点的顺序，将上述最小生成树中的各节点进行排列，生成正常用户访问接口的最相关路径。

由此，图5中所示意的路径关系图为例，以路径关系图的任一节点(如节点1)为根节点，利用prime最小生成树算法，对图5中所示意的路径关系图进行处理后，即可得到最相关路径1-3-4-5-6-2，分别对应的接口依次为接口c、接口a、接口e、接口d、接口f和g、接口b。

子步骤s25，对于正常用户数据集涉及的每一个接口，将该接口的初始编码在最相关路径中排列的次序，作为该接口的最终的编码，以替换该接口的初始编码。

继续上述示例，最相关路径为1-3-4-5-6-2，依次对应接口c、接口a、接口e、接口d、接口f和g、接口b。由于接口a的初始编码3在最相关路径中排列的次序为2，因而接口a的最终的编码为2。由于接口b的初始编码2在最相关路径中排列的次序为6，因而接口b的最终的编码为6。由于接口c的初始编码1在最相关路径中排列的次序为1，因而接口c的最终的编码为1。由于接口d的初始编码5在最相关路径中排列的次序为4，因而接口d的最终的编码为4。由于接口e的初始编码4在最相关路径中排列的次序为3，因而接口e的最终的编码为3。由于接口f和g的初始编码6在最相关路径中排列的次序为5，因而接口f和g的最终的编码为5。

通过以接口在最相关路径中排列的次序作为接口的编码，相较于人工编码或者利用其他规则进行编码，可以使路径时序图体现出接口之间的关系，接口越靠近，关系越强。因而，通过异常流量检测模型从路径时序图提取的特征，包含了像素点之间的空间结构相关性特征，有助于提高异常流量检测结果的准确性。

步骤403，将待测用户访问的接口作为目标接口，基于各目标接口的编码和访问时间，在坐标系中绘制坐标点，得到坐标图。

在本实施例中，上述执行主体可以将待测用户访问的接口作为目标接口，基于各目标接口的编码和访问时间，在坐标系中绘制坐标点，得到坐标图。

在本实施例的一些可选的实现方式中，可以首先将上述待测用户访问的第一个目标接口的访问时间作为初始时间。而后，对于每一个目标接口，将该目标接口的访问时间与上述初始时间之差作为横坐标，将该目标接口的编码作为纵坐标，在上述坐标系中绘制该目标接口对应的坐标点。

步骤404，基于坐标图，生成待测用户访问接口的路径时序图。

在本实施例中，上述执行主体可以将坐标图转换为待测用户访问接口的路径时序图。在转换为图像的过程中，可以首先构建一个与该坐标图对应的矩形图像，使该矩形图像的横向表征时间，纵向表征接口。而后将该矩形图像按照接口和时间划分为多个矩形块。之后，对于坐标图中所绘制的每一个坐标点，可以基于该点的坐标，确定出该坐标点应设在矩形图像中的矩形块，并将该矩形块的像素值进行设置。例如，可以设置为预设的固定值，也可以基于对访问记录中的数据进行统计，设定为与统计结果相对应的像素值。此处的像素值可设置为单通道的像素值或三通道的像素值，本申请对此不作限定。

需要说明的是，对于没有映射有绘制的坐标点的矩形块，则可以将这些矩形块的像素值设置为默认值，并使默认值不同于映射有绘制的坐标点的矩形块的像素值。例如，可将默认值设置为零等。由此，即可得到待测用户访问接口的路径时序图。

在本实施例的一些可选的实现方式中，路径时序图可以是三通道的图像，且图像中的像素值可以基于对访问接口的信息进行统计后得到。具体地，可以按照如下步骤生成路径时序图：

第一步，对于坐标图中的每一个坐标点，将该坐标点的横坐标作为目标时间，基于待测用户在目标时间访问的目标接口的数量、在目标时间访问的目标接口的累计量和在目标时间之前访问的目标接口的数量，确定该坐标点对应的三通道像素值。此处，可以将所确定的数量、累积量均按照预设的数值转换关系(如公式或函数等)转换为[0,255]范围之内的数值。从而得到rgb(redgreenblue，红绿蓝)三个通道像素值。

第二步，基于各坐标点对应的三通道像素值，将坐标图转换为三通道的图像，并将三通道的图像作为待测用户访问接口的路径时序图。具体地，可以采用上述方式构建一个与该坐标图对应的矩形图像，并将其划分为多个矩形块。之后，对于坐标图中所绘制的每一个坐标点，将该带坐标点对应的三通道像素值，作为该坐标点映射在矩形图像中的矩形块的像素值。并将矩形图像中未对应绘制的坐标点的矩形块的像素值设置为某个默认数值，如零。由此，即可得到路径时序图。

由于该图像中包含了待测用户访问的接口、访问时间、次序以及分布等信息，还可进一步包括像素点之间的空间结构相关性特征，因而通过异常流量检测模型对图像自动进行特征提取以及检测，可充分利用访问日志中的信息，提高了信息利用率，从而提高了异常流量检测的准确性。

步骤405，将路径时序图输入至预先训练的异常流量检测模型，得到异常流量检测结果。

本实施例中的步骤405可参见图1对应实施例的步骤103，此处不再赘述。

需要说明的是，本实施例中，训练异常流量检测模型所使用的样本中的正常用户和异常用户的路径时序图，可采用如步骤402至步骤404所描述的、生成待测用户的路径时序图的方式进行生成，此处不再赘述。

从图4中可以看出，与图1对应的实施例相比，本实施例中的异常流量检测方法的流程400涉及了基于以接口的编码为纵轴的坐标图生成路径时序图的步骤，以及，涉及了基于正常用户访问接口的最相关路径确定接口的编码的步骤。由于以接口在最相关路径中排列的次序作为接口的编码，相较于人工编码或者利用其他规则进行编码，可以使路径时序图体现出接口之间的关系，接口越靠近，关系越强。因而，通过异常流量检测模型从路径时序图提取的特征，除包含了待测用户访问的接口、访问时间、次序以及分布等信息外，还可进一步包括像素点之间的空间结构相关性特征，因而通过异常流量检测模型对图像自动进行特征提取以及检测，可充分利用访问日志中的信息，提高了信息利用率，从而提高了异常流量检测的准确性。

进一步参考图6，作为对上述各图所示方法的实现，本申请提供了一种异常流量检测装置的一个实施例，该装置实施例与图1所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。

如图6所示，本实施例所述的异常流量检测装置300包括：获取单元601，被配置成获取待测用户的访问日志，上述访问日志中记录有上述待测用户访问的各接口和对各接口的访问时间；生成单元602，被配置成基于上述访问日志，生成上述待测用户访问接口的路径时序图；检测单元603，被配置成将上述路径时序图输入至预先训练的异常流量检测模型，得到异常流量检测结果，上述异常流量检测结果用于指示上述待测用户产生的访问流量是否为异常流量。

在本实施例的一些可选的实现方式中，上述生成单元602，进一步被配置成：以时间为横轴，以接口的编码为纵轴，构建坐标系；将上述待测用户访问的接口作为目标接口，基于各目标接口的编码和访问时间，在上述坐标系中绘制坐标点，得到坐标图；基于上述坐标图，生成上述待测用户访问接口的路径时序图。

在本实施例的一些可选的实现方式中，接口的编码基于正常用户访问接口的最相关路径预先确定，上述最相关路径基于正常用户访问接口的路径确定。

在本实施例的一些可选的实现方式中，上述生成单元602，进一步被配置成：将上述待测用户访问的第一个目标接口的访问时间作为初始时间；对于每一个目标接口，将该目标接口的访问时间与上述初始时间之差作为横坐标，将该目标接口的编码作为纵坐标，在上述坐标系中绘制该目标接口对应的坐标点。

在本实施例的一些可选的实现方式中，上述生成单元602，进一步被配置成：对于上述坐标图中的每一个坐标点，将该坐标点的横坐标作为目标时间，基于上述待测用户在上述目标时间访问的目标接口的数量、在上述目标时间访问的目标接口的累计量和在上述目标时间之前访问的目标接口的数量，确定该坐标点对应的三通道像素值；基于各坐标点对应的三通道像素值，将上述坐标图转换为三通道的图像，并将上述三通道的图像作为上述待测用户访问接口的路径时序图。

在本实施例的一些可选的实现方式中，接口的编码通过如下步骤预先确定：获取正常用户数据集，上述正常用户数据集中包括正常用户的历史访问日志，历史访问日志中记录有正常用户访问的接口和对各接口的访问时间；统计上述正常用户数据集涉及的各接口的访问量，并按照访问量从大到小的次序，对上述正常用户数据集涉及的各接口进行排序；基于接口的排列次序确定接口的初始编码，基于各正常用户的访问日志和各接口的初始编码，确定各正常用户访问的接口的初始编码序列；基于各初始编码序列，确定正常用户访问接口的最相关路径，上述最相关路径由上述用户数据集涉及的各接口的初始编码构成；对于上述正常用户数据集涉及的每一个接口，将该接口的初始编码在上述最相关路径中排列的次序，作为该接口的最终的编码，以替换该接口的初始编码。

在本实施例的一些可选的实现方式中，上述基于接口的排列次序确定接口的初始编码，包括：对于每一个接口，若该接口的排列次序小于或等于预设阈值，则将该接口的排列次序作为该接口的初始编码；若该接口的排列次序大于上述预设阈值，则将预设编码作为该接口的初始编码，上述预设编码大于上述预设阈值。

在本实施例的一些可选的实现方式中，上述基于各初始编码序列，确定正常用户访问接口的最相关路径，包括：将各初始编码分别作为节点，将每两个初始编码在同一初始编码序列中作为相邻编码出现的次数作为相应的节点连线的权重，构建正常用户访问接口的路径关系图；将上述路径关系图中的各节点连线的权重的倒数作为新的权重，基于最小生成树算法，确定更新权重后的路径关系图的最小生成树；按照从根节点到叶子节点的顺序，将上述最小生成树中的各节点进行排列，生成正常用户访问接口的最相关路径。

在本实施例的一些可选的实现方式中，上述异常流量检测模型通过如下步骤训练得到：获取样本集，上述样本集中包括正常用户访问接口的路径时序图样本和异常用户访问接口的路径时序图样本，各路径时序图样本带有用于指示是否为用户产生的流量是否为异常流量的标注信息；将上述样本集中的路径时序图样本作为输入，将所输入的路径时序图样本对应的标注信息作为输出，利用机器学习方法训练得到异常流量检测模型。

在本实施例的一些可选的实现方式中，上述样本集通过如下步骤生成：获取正常用户数据集和异常用户数据集，上述正常用户数据集中包括正常用户的访问日志，上述异常用户数据集中包括异常用户的访问日志，每一个访问日志中记录有用户访问的接口和对各接口的访问时间；对于正常用户数据集和异常用户数据集所涉及的每一个用户，基于该用户的访问日志，生成该用户访问接口的路径时序图；为正常用户的路径时序图添加用于指示正常流量的标注信息，为异常用户的路径时序图添加用于指示异常流量的标注信息；将添加有标注信息的各路径时序图样本进行汇总，生成样本集。

本申请的上述实施例提供的装置，通过获取待测用户的访问日志，而后基于访问日志中记录的待测用户访问访问的各接口和对各接口的访问时间，生成待测用户访问接口的路径时序图，最后将路径时序图输入至预先训练的异常流量检测模型，从而得到用于指示待测用户产生的访问流量是否为异常流量的异常流量检测结果。由此，一方面，将待测用户的访问日志转换为图像形式，可将异常流量识别问题转换为图像分类问题，使异常流量检测模型对图像自动进行特征提取以及检测，相对于通过人工提取特征的现有方式，降低了人力成本。另一方面，由于该图像中包含了待测用户访问的接口、访问时间、次序以及分布等信息，因而通过异常流量检测模型对图像自动进行特征提取以及检测，且能够提取出人工无法提取的特征，可充分利用访问日志中的信息，提高了信息利用率，从而提高了异常流量检测的准确性。

下面参考图7，其示出了适于用来实现本申请实施例的电子设备的计算机系统700的结构示意图。图7示出的电子设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图7所示，计算机系统700包括中央处理单元(cpu)701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。在ram703中，还存储有系统700操作所需的各种程序和数据。cpu701、rom702以及ram703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。

以下部件连接至i/o接口705：包括键盘、鼠标等的输入部分706；包括诸如液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(cpu)701执行时，执行本申请的方法中限定的上述功能。需要说明的是，本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的装置中所包含的；也可以是单独存在，而未装配入该装置中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该装置执行时，使得该装置：获取待测用户的访问日志，访问日志中记录有待测用户访问的各接口和对各接口的访问时间；基于访问日志，生成待测用户访问接口的路径时序图；将路径时序图输入至预先训练的异常流量检测模型，得到异常流量检测结果，异常流量检测结果用于指示待测用户产生的访问流量是否为异常流量。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。