(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211033370.6 (22)申请日 2022.08.26 (71)申请人 北京百度网讯科技有限公司 地址 100085 北京市海淀区上地十街10号 百度大厦2层 (72)发明人 董奕　 (74)专利代理 机构 北京易光知识产权代理有限 公司 11596 专利代理师 王姗姗　武晨燕 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 异常流量识别方法、 装置、 电子设备及存储 介质 (57)摘要 本公开提供了一种异常流量识别方法、 装 置、 电子设备及存储介质， 涉及计算机技术领域， 尤其涉及网络安全技术领域。 具体实现方案为： 从实时的流量数据流中提取至少一个流量特征； 将至少一个流量特征与不同监测时长下的历史 流量特征进行比较， 得到比较结果； 从比较结果 中识别出异常流量特征， 异常流量特征用于表征 与历史流量特征的变化趋势不一致的流量特征。 采用本公开， 提升了互联网信息的安全性， 以及 互联网服 务的稳定性。 权利要求书2页 说明书9页 附图5页 CN 115484073 A 2022.12.16 CN 115484073 A 1.一种异常流 量识别方法， 包括： 从实时的流 量数据流中提取至少一个流 量特征； 将所述至少一个流量特征与不同监测时长下的历史流量特征进行比较， 得到比较结 果； 从所述比较结果中识别出异常流量特征， 所述异常流量特征用于表征与所述历史流量 特征的变化趋势不 一致的流量特征。 2.根据权利要求1所述的方法， 其中， 所述从实时的流量数据流中提取至少一个流量特 征， 包括： 根据时间窗口对所述实时的流量数据流进行流量划分， 得到匹配所述 时间窗口的数据 流片段； 从所述数据流片段中提取 所述至少一个流 量特征。 3.根据权利要求1或2所述的方法， 还 包括： 识别出所述异常流 量特征后， 发送 异常报警信息 。 4.根据权利要求1或2所述的方法， 其中， 所述将所述至少一个流量特征与不同监测时 长下的历史流 量特征进行比较， 得到比较结果， 包括： 将所述至少一个流量特征与第 一监测时长下的历史流量特征进行比较， 得到第 一处理 结果； 其中， 所述第一处 理结果用于表征流 量特征的历史变化趋势； 将所述至少一个流量特征与第 二监测时长下的历史流量特征进行比较， 得到第 二处理 结果； 其中， 所述第二处 理结果用于表征流 量特征在预设 短时间内的突增或突降的变化； 根据所述第一处 理结果和所述第二处 理结果， 得到所述比较结果。 5.根据权利要求 4所述的方法， 还 包括： 配置待比较的流 量特征的类型； 将所述至少一个流 量特征与所述 流量特征的类型进行比较， 得到第三处 理结果； 根据所述第三处 理结果对所述比较结果进行 更新， 得到更新后的比较结果； 从所述更新后的比较结果中识别出异常流 量特征。 6.根据权利要求5所述的方法， 其中， 所述至少一个流量特征， 包括： 互联网协议IP数、 用户身份 证明UID数中的至少一种。 7.一种异常流 量识别装置， 包括： 特征提取模块， 用于从实时的流 量数据流中提取至少一个流 量特征； 特征比对模块， 用于将所述至少一个流量特征与不同监测时长下的历史流量特征进行 比较， 得到比较结果； 特征识别模块， 用于从所述比较结果中识别出异常流量特征， 所述异常流量特征用于 表征与所述历史流 量特征的变化趋势不 一致的流量特征。 8.根据权利要求7 所述的装置， 其中， 所述特 征提取模块， 用于： 根据时间窗口对所述实时的流量数据流进行流量划分， 得到匹配所述 时间窗口的数据 流片段； 从所述数据流片段中提取 所述至少一个流 量特征。 9.根据权利要求7或8所述的装置， 还 包括报警模块， 用于： 识别出所述异常流 量特征后， 发送 异常报警信息 。权　利　要　求　书 1/2 页 2 CN 115484073 A 210.根据权利要求7或8所述的装置， 其中， 所述特 征比对模块， 用于： 将所述至少一个流量特征与第 一监测时长下的历史流量特征进行比较， 得到第 一处理 结果； 其中， 所述第一处 理结果用于表征流 量特征的历史变化趋势； 将所述至少一个流量特征与第 二监测时长下的历史流量特征进行比较， 得到第 二处理 结果； 其中， 所述第二处 理结果用于表征流 量特征在预设 短时间内的突增或突降的变化； 根据所述第一处 理结果和所述第二处 理结果， 得到所述比较结果。 11.根据权利要求10所述的装置， 还 包括更新模块， 用于： 配置待比较的流 量特征的类型； 将所述至少一个流 量特征与所述 流量特征的类型进行比较， 得到第三处 理结果； 根据所述第三处 理结果对所述比较结果进行 更新， 得到更新后的比较结果； 从所述更新后的比较结果中识别出异常流 量特征。 12.根据权利要求11所述的装置， 其中， 所述至少一个流量特征， 包括： 互联网协议数、 用户身份 证明数中的至少一种。 13.一种电子设备， 包括： 至少一个处 理器； 以及 与所述至少一个处 理器通信连接的存 储器； 其中， 所述存储器存储有可被所述至少一个处理器执行的指令， 所述指令被所述至少一个处 理器执行， 以使所述至少一个处 理器能够执 行权利要求1 ‑6中任一项所述的方法。 14.一种存储有计算机指令的非瞬时计算机可读存储介质， 其中， 所述计算机指令用于 使所述计算机执 行根据权利要求1 ‑6中任一项所述的方法。 15.一种计算机程序产品， 包括计算机程序， 所述计算机程序在被处理器执行时实现根 据权利要求1 ‑6中任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115484073 A 3