用户上下线的监测方法及装置和处理器与流程

本技术涉及计算机，具体而言，涉及一种用户上下线的监测方法及装置和处理器。

背景技术：

1、目前，网络设备在运行中常常基于用户来进行流量控制和实名审计。而且，用户上下线异常通常可能代表着网络存在故障和攻击。另外，网络设备上的用户不同于常规网站、app(application，应用程序/应用软件)的用户，许多网络设备部署于网络关键节点，通过上线认证用户的方式进行流量控制，此类认证用户通常需要进行严格认证和审计，其上下线通常具备一定的规律性，如果此类用户的上下线不遵循平常的规律，很有可能代表着整体网络的故障和攻击，或者是单个账号的泄露或伪造。

2、另外，相关技术中一般基于用户上下线日志人工排查用户上下线是否存在异样。而且，在检测用户上下线是否存在异样时，可以检测以下内容：比如可以检测是否存在单个用户频繁上下线，是否部分或全部用户频繁上下线，是否存在单个用户与平常登录时间不符，是否存在单个用户ip(internet protocol，互联网协议)/mac(media access controladdress，媒体访问控制地址)地址变更频繁，是否存在同名账户过多。另外，基于日志进行人工分析的方式存在较多问题，至少包括：

3、(1)网络设备上日志较多，从中单独提取用户上下线日志，需要占用一定的处理过程和存储。

4、(2)日志通常基于时间顺序进行记录，难以直观的反映各个用户上下线的频率、且难以根据周期进行对比。

5、(3)由于运维成本的存在，通常只能在故障和风险发生后进行人工分析，不能够进行实时预警，即只能亡羊补牢。

6、(4)人工判断不能量化，只能依赖主观判断，不能考虑周期性。

7、针对相关技术中基于用户上下线日志人工排查网络设备的用户上下线是否存在异样，导致难以实时监测网络设备的用户的上下线情况，进而难以实时发现网络设备用户上下线的异常的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本技术的主要目的在于提供一种用户上下线的监测方法及装置和处理器，以解决相关技术中基于用户上下线日志人工排查网络设备的用户上下线是否存在异样，导致难以实时监测网络设备的用户的上下线情况，进而难以实时发现网络设备用户上下线的异常的问题。

2、为了实现上述目的，根据本技术的一个方面，提供了一种用户上下线的监测方法。该方法应用在用户上下线的监测系统中，所述用户上下线的监测系统中至少包括异常识别模型，所述异常识别模型用于识别网络设备的用户是否存在上下线异常的情况，所述异常识别模型中至少包括：主模型和n个子模型，所述主模型用于为每个子模型提供目标算法，所述目标算法至少包括：序列合并算法和时间序列分解算法，n为正整数，该方法包括：通过每个子模型获取预设时间段内每个用户的上下线数据，并基于所述预设时间段内每个用户的上下线数据，确定初始时间序列，其中，所述上下线数据用于表示用户在所述网络设备上的上下线状况；基于所述主模型提供的所述序列合并算法，按照预设周期对所述初始时间序列中的数据进行合并处理，得到目标时间序列；基于所述主模型提供的所述时间序列分解算法对所述目标时间序列进行分解处理，得到时间序列模型，并基于所述时间序列模型，计算得到准确度指标；依据所述准确度指标和所述时间序列模型，确定所述网络设备的用户是否存在上下线异常的情况。

3、进一步地，依据所述准确度指标和所述时间序列模型，确定所述网络设备的用户是否存在上下线异常的情况包括：判断所述准确度指标是否大于第一预设值；若所述准确度指标大于所述第一预设值，则根据所述时间序列模型确定所述网络设备的用户是否存在上下线异常的情况。

4、进一步地，根据所述时间序列模型确定所述网络设备的用户是否存在上下线异常的情况包括：基于所述目标时间序列和所述时间序列模型，确定残差序列；获取预设时刻的真实值，其中，所述真实值为所述子模型获取的用户在所述预设时刻的上下线数据；基于所述时间序列模型，获取所述预设时刻的预测值；基于所述预设时刻的真实值和预测值，确定所述预设时刻的残差值；基于所述残差序列和所述残差值，确定所述网络设备的用户在所述预设时刻是否存在上下线异常的情况。

5、进一步地，基于所述残差序列和所述残差值，确定所述网络设备的用户在所述预设时刻是否存在上下线异常的情况包括：基于所述残差序列，计算得到所述残差序列的均值和方差；依据所述残差序列的均值和方差，确定第一数值；判断所述残差值是否大于所述第一数值；若所述残差值大于所述第一数值，则确定所述网络设备的用户在所述预设时刻存在上下线异常的情况；若所述残差值不大于所述第一数值，则确定所述网络设备的用户在所述预设时刻不存在上下线异常的情况。

6、进一步地，基于所述残差序列和所述残差值，确定所述网络设备的用户在所述预设时刻是否存在上下线异常的情况包括：结合所述主模型提供的箱形图算法，基于所述残差序列，计算得到所述残差序列的上四分位数和下四分位数；依据所述残差序列的上四分位数和下四分位数，计算得到第二数值；判断所述残差值是否大于所述第二数值；若所述残差值大于所述第二数值，则确定所述网络设备的用户在所述预设时刻存在上下线异常的情况；若所述残差值不大于所述第二数值，则确定所述网络设备的用户在所述预设时刻不存在上下线异常的情况。

7、进一步地，基于所述主模型提供的所述序列合并算法，按照预设周期对所述初始时间序列中的数据进行合并处理，得到目标时间序列包括：基于所述主模型提供的所述序列合并算法，按照所述预设周期对所述初始时间序列中的数据进行m次合并处理，得到m个合并后的时间序列，其中，m为大于1的正整数；基于所述m个合并后的时间序列，计算得到m个自相关系数；判断所述m个自相关系数中是否存在大于第二预设值的自相关系数；若所述m个自相关系数中存在大于所述第二预设值的自相关系数，则确定所述初始时间序列中的数据存在周期性数据，并获取所述m个自相关系数中最大的自相关系数，并将所述最大的自相关系数对应的合并后的时间序列作为所述目标时间序列。

8、进一步地，所述方法还包括：若所述m个自相关系数中不存在大于所述第二预设值的自相关系数，则确定所述初始时间序列中的数据不存在周期性数据，并根据预设阈值确定所述网络设备的用户是否存在上下线异常的情况。

9、进一步地，基于所述预设时间段内每个用户的上下线数据，确定初始时间序列包括：基于所述预设时间段内每个用户的上下线数据，确定所述预设时间段内每个用户在所述网络设备上的上下线状态；依据所述预设时间段内每个用户在所述网络设备上的上下线状态，将每个用户的上线数据设置为第三数值，得到s个第三数值，其中，s为正整数；依据所述预设时间段内每个用户在所述网络设备上的上下线状态，将每个用户的下线数据设置为第四数值，得到t个第四数值，其中，t为正整数；基于所述s个第三数值和所述t个第四数值，确定所述初始时间序列。

10、为了实现上述目的，根据本技术的另一方面，提供了一种用户上下线的监测装置。该装置应用在用户上下线的监测系统中，所述用户上下线的监测系统中至少包括异常识别模型，所述异常识别模型用于识别网络设备的用户是否存在上下线异常的情况，所述异常识别模型中至少包括：主模型和n个子模型，所述主模型用于为每个子模型提供目标算法，所述目标算法至少包括：序列合并算法和时间序列分解算法，n为正整数，该装置包括：第一处理模块，用于通过每个子模型获取预设时间段内每个用户的上下线数据，并基于所述预设时间段内每个用户的上下线数据，确定初始时间序列，其中，所述上下线数据用于表示用户在所述网络设备上的上下线状况；第二处理模块，用于基于所述主模型提供的所述序列合并算法，按照预设周期对所述初始时间序列中的数据进行合并处理，得到目标时间序列；第三处理模块，用于基于所述主模型提供的所述时间序列分解算法对所述目标时间序列进行分解处理，得到时间序列模型，并基于所述时间序列模型，计算得到准确度指标；第一确定模块，用于依据所述准确度指标和所述时间序列模型，确定所述网络设备的用户是否存在上下线异常的情况。

11、进一步地，所述第一确定模块包括：第一判断单元，用于判断所述准确度指标是否大于第一预设值；第一确定单元，用于若所述准确度指标大于所述第一预设值，则根据所述时间序列模型确定所述网络设备的用户是否存在上下线异常的情况。

12、进一步地，所述第一确定单元包括：第一确定子模块，用于基于所述目标时间序列和所述时间序列模型，确定残差序列；第一获取子模块，用于获取预设时刻的真实值，其中，所述真实值为所述子模型获取的用户在所述预设时刻的上下线数据；第二获取子模块，用于基于所述时间序列模型，获取所述预设时刻的预测值；第二确定子模块，用于基于所述预设时刻的真实值和预测值，确定所述预设时刻的残差值；第三确定子模块，用于基于所述残差序列和所述残差值，确定所述网络设备的用户在所述预设时刻是否存在上下线异常的情况。

13、进一步地，所述第三确定子模块包括：第一计算子单元，用于基于所述残差序列，计算得到所述残差序列的均值和方差；第一确定子单元，用于依据所述残差序列的均值和方差，确定第一数值；第一判断子单元，用于判断所述残差值是否大于所述第一数值；第二确定子单元，用于若所述残差值大于所述第一数值，则确定所述网络设备的用户在所述预设时刻存在上下线异常的情况；第三确定子单元，用于若所述残差值不大于所述第一数值，则确定所述网络设备的用户在所述预设时刻不存在上下线异常的情况。

14、进一步地，所述第三确定子模块包括：第二计算子单元，用于结合所述主模型提供的箱形图算法，基于所述残差序列，计算得到所述残差序列的上四分位数和下四分位数；第三计算子单元，用于依据所述残差序列的上四分位数和下四分位数，计算得到第二数值；第二判断子单元，用于判断所述残差值是否大于所述第二数值；第四确定子单元，用于若所述残差值大于所述第二数值，则确定所述网络设备的用户在所述预设时刻存在上下线异常的情况；第五确定子单元，用于若所述残差值不大于所述第二数值，则确定所述网络设备的用户在所述预设时刻不存在上下线异常的情况。

15、进一步地，所述第二处理模块包括：第一处理单元，用于基于所述主模型提供的所述序列合并算法，按照所述预设周期对所述初始时间序列中的数据进行m次合并处理，得到m个合并后的时间序列，其中，m为大于1的正整数；第一计算单元，用于基于所述m个合并后的时间序列，计算得到m个自相关系数；第二判断单元，用于判断所述m个自相关系数中是否存在大于第二预设值的自相关系数；第二处理单元，用于若所述m个自相关系数中存在大于所述第二预设值的自相关系数，则确定所述初始时间序列中的数据存在周期性数据，并获取所述m个自相关系数中最大的自相关系数，并将所述最大的自相关系数对应的合并后的时间序列作为所述目标时间序列。

16、进一步地，所述装置还包括：第二确定单元，用于若所述m个自相关系数中不存在大于所述第二预设值的自相关系数，则确定所述初始时间序列中的数据不存在周期性数据，并根据预设阈值确定所述网络设备的用户是否存在上下线异常的情况

17、进一步地，所述第一处理模块包括：第三确定单元，用于基于所述预设时间段内每个用户的上下线数据，确定所述预设时间段内每个用户在所述网络设备上的上下线状态；第三处理单元，用于依据所述预设时间段内每个用户在所述网络设备上的上下线状态，将每个用户的上线数据设置为第三数值，得到s个第三数值，其中，s为正整数；第四处理单元，用于依据所述预设时间段内每个用户在所述网络设备上的上下线状态，将每个用户的下线数据设置为第四数值，得到t个第四数值，其中，t为正整数；第四确定单元，用于基于所述s个第三数值和所述t个第四数值，确定所述初始时间序列。

18、为了实现上述目的，根据本技术的另一方面，提供了一种用于用户上下线的监测方法的处理器，所述处理器用于运行程序，其中，所述程序运行时执行上述的任意一项所述的用户上下线的监测方法。

19、通过本技术，采用以下步骤：通过每个子模型获取预设时间段内每个用户的上下线数据，并基于预设时间段内每个用户的上下线数据，确定初始时间序列，其中，上下线数据用于表示用户在网络设备上的上下线状况；基于主模型提供的序列合并算法，按照预设周期对初始时间序列中的数据进行合并处理，得到目标时间序列；基于主模型提供的时间序列分解算法对目标时间序列进行分解处理，得到时间序列模型，并基于时间序列模型，计算得到准确度指标；依据准确度指标和时间序列模型，确定网络设备的用户是否存在上下线异常的情况，解决了相关技术中基于用户上下线日志人工排查网络设备的用户上下线是否存在异样，导致难以实时监测网络设备的用户的上下线情况，进而难以实时发现网络设备用户上下线的异常的问题。通过每个子模型获取预设时间段内每个用户的上下线数据，并基于预设时间段内每个用户的上下线数据，确定初始时间序列，再基于主模型提供的序列合并算法，按照预设周期对初始时间序列中的数据进行合并处理，得到目标时间序列，然后基于主模型提供的时间序列分解算法对目标时间序列进行分解处理，得到时间序列模型，并基于时间序列模型，计算得到准确度指标，再依据准确度指标和时间序列模型，确定网络设备的用户是否存在上下线异常的情况，在本技术中，采用主模型与子模型结合的方式，可以实时的监测网络设备的用户的上下线情况，相比于相关技术中基于用户上下线日志人工排查网络设备的用户上下线是否存在异样，不能够实时监测网络设备的用户的上下线情况，达到了可以实时发现网络设备用户上下线的异常的目的。