(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111529714.8 (22)申请日 2021.12.14 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 李宽宽　张磊　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 41/147(2022.01) (54)发明名称 一种异常数据检测的方法、 系统、 装置、 设备 及介质 (57)摘要 本申请实施例提供一种异常数据检测的方 法、 系统、 装置、 设备及介质， 该方法包括： 根据历 史网络流量数据获取预测 网络流量数据， 其中， 所述预测网络流量数据是预测的未来多个时间 点的网络流量值； 确认所述预测网络流量数据中 存在多个异常流量时间点； 从所述多个异常流量 时间点中获取部分异常流量时间点作为异常分 析点， 并根据所述异常分析点确认所述多个异常 流量时间点所对应的流量属于异常流量。 通过本 申请的一些实施例能够对多个异常流量时间点 进行进一步的异常判断， 从而提升网络流量异常 的识别准确率， 减少误报和漏报的情况发生。 权利要求书2页 说明书10页 附图3页 CN 114285612 A 2022.04.05 CN 114285612 A 1.一种异常数据检测的方法， 其特 征在于， 所述方法包括： 根据历史网络流量数据获取安全网络流量范围， 其中， 位于所述安全网络流量范围内 的网络流 量数据为 安全数据； 确认所述 安全网络流 量范围之外存在多个异常流 量时间点； 从所述多个异常流量 时间点中获取部分异常流量 时间点作为异常分析点， 并根据 所述 异常分析点确认所述多个异常流 量时间点所对应的流 量属于告警异常流 量。 2.根据权利要求1所述的方法， 其特征在于， 所述根据所述异常分析点确认所述多个异 常流量时间点所对应的流 量属于告警异常流 量， 包括： 通过表征函数获取 所述异常 分析点的目标 预测网络流 量值； 若确认所述目标预测网络流量值至少部分不位于所述安全 网络流量范围内时， 则将所 述多个异常流 量时间点所对应的流 量判定为所述告警异常流 量。 3.根据权利要求2所述的方法， 其特 征在于， 所述表征函数 是通过如下 方法获得的： 通过所述多个异常流量时间点中的任意两个时间点， 建立第 i候选表征函数， 其中， i为 大于1的整数； 计算所述多个异常流量时间点中除所述任意两个时间点之外的剩余各时间点到所述 第i候选表征函数之间的第i距离； 根据所述第i距离获得第i计算结果 值； 重复上述过程直至所述第 i计算结果值满足预设条件， 则将所述第i候选表征函数作为 所述表征函数。 4.根据权利要求3所述的方法， 其特征在于， 所述根据所述第i距离获得第i计算结果 值， 包括： 统计所述第i距离小于预设距离所对应时间点的个数， 获得第i个数； 所述重复上述过程直至所述第i计算结果值满足预设条件， 则确定所述表征函数， 包 括： 重复上述过程直至获得所述第 i个数的最大值， 则将所述第 i候选表征函数作为所述表 征函数。 5.根据权利要求3所述的方法， 其特征在于， 所述根据所述第i距离获得第i计算结果 值， 包括： 根据所述第i距离和损失函数获得第i损失函数值； 所述重复上述过程直至所述第i计算结果值满足预设条件， 则确定所述表征函数， 包 括： 重复上述步骤， 直至得到第i损 失函数值最小， 则将所述第i候选表征函数作为所述表 征函数。 6.根据权利要求5所述的方法， 其特征在于， 所述损失函数与影响系数相关， 其中， 所述 影响系数用于调整不同异常流量时间点对所述表征函数的影响， 所述影响系数与所述不同 异常流量时间点对所述表征函数的影响呈正比。 7.根据权利要求6所述的方法， 其特 征在于， 所述损失函数如下 所示：权　利　要　求　书 1/2 页 2 CN 114285612 A 2其中， y表示各异常流量时间点的纵坐标值， f(x)表示各异常流量时间点的横坐标对应 的第i候选表征函数值， φ表 示所述第i损失函数值， p表示所述影响系数， p为大于1的正数， δ表示所述各异常流 量时间点与所述第i 候选表征函数之间的预设距离 。 8.根据权利要求1 ‑7任一项所述的方法， 其特征在于， 在所述根据 所述异常分析点确认 所述多个异常流 量时间点所对应的流 量属于告警异常流 量之后， 所述方法还 包括： 根据所述告警异常流量生成告警信 息并进行告警， 以使运维人员根据 所述告警信 息进 行运维。 9.一种异常数据检测的系统， 其特 征在于， 所述系统包括： 客户端， 被 配置发送网络流 量数据； 网关设备， 被配置为通过获取的来自于所述客户端的网络流量数据 执行如权利要求1 ‑ 8任一项所述的异常数据检测的方法。 10.一种异常数据检测的装置， 其特 征在于， 所述装置包括： 数据获取模块， 被配置为根据历史网络流量数据获取安全 网络流量范围， 其中， 位于所 述安全网络流 量范围内的网络流 量数据为 安全数据； 时间点确认模块， 被配置为确认所述安全网络流量范围之外存在多个异常流量时间 点； 异常分析模块， 被配置为从所述多个异常流量 时间点中获取部分异常流量 时间点作为 异常分析点， 并根据所述异常分析点确认所述多个异常流量时间点所对应的流量属于告警 异常流量。 11.一种电子设备， 其特 征在于， 包括： 处 理器、 存储器和总线； 所述处理器通过所述总线与所述存储器相连， 所述存储器存储有计算机可读取指令， 当所述计算机可读取指令由所述处 理器执行时， 用于实现如权利要求1 ‑8任一项所述方法。 12.一种计算机可读存储介质， 其特征在于， 该计算机可读存储介质上存储有计算机程 序， 该计算机程序被执 行时实现如权利要求1 ‑8任一项所述方法。权　利　要　求　书 2/2 页 3 CN 114285612 A 3