(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111646803.0 (22)申请日 2021.12.2 9 (71)申请人 鹏城实验室 地址 518000 广东省深圳市南 山区兴科一 街2号 (72)发明人 李清　李若愚　黄禹诚　江勇　 朱春生　 (74)专利代理 机构 深圳市君胜知识产权代理事 务所(普通 合伙) 44268 代理人 李可 (51)Int.Cl. H04L 43/04(2022.01) G06K 9/62(2022.01) (54)发明名称 一种流量监测方法、 装置、 终端及存 储介质 (57)摘要 本发明公开了一种流量监测方法、 装置、 终 端及存储介质， 所述方法通过 获取预先构建的标 准活动键值集合， 其中， 标准活动键值集合中包 括若干标准活动键值， 若干标准活动键值分别对 应目标系统中不同活动特征的标准流量的聚类 集合； 获取目标系统中的待检测流量， 将待检测 流量映射为待检测活动键值； 根据标准活动键值 集合和待检测活动键值， 判断待检测流量是否为 异常流量， 其中， 异常流量为不符合任意一种标 准流量的活动特征的流量。 本发 明通过对系统中 的流量进行监测， 能够及时发现系统中不符合标 准流量的活动特征的异常流量特征， 解决了现有 技术中物联网通过固件/软件更新来维持网络安 全， 难以有效降低网络 被攻击的风险的问题。 权利要求书2页 说明书12页 附图5页 CN 114389964 A 2022.04.22 CN 114389964 A 1.一种流 量监测方法， 其特 征在于， 所述方法包括： 获取预先构建的标准活动键值集合， 其中， 所述标准活动键值集合中包括若干标准活 动键值， 若干所述标准活动键值分别对应目标系统中不同活动特征的标准流量的聚类集 合； 获取所述目标系统中的待检测流 量， 将所述待检测流 量映射为待检测活动键值； 根据所述标准活动键值集合和所述待检测活动键值， 判断所述待检测流量是否为异常 流量， 其中， 所述异常流 量为不符合任意 一种所述标准 流量的活动特 征的流量。 2.根据权利要求1所述的流量监测方法， 其特征在于， 所述获取预先构建的标准活动键 值集合， 包括： 获取所述目标系统中在预设时间段内的网络流量， 将所述网络流量分为若干流量数 据； 获取预设的层级分类结构和若干所述 流量数据分别对应的会话 参数； 根据所述层级分类结构和若干所述流量数据分别对应的所述会话参数， 对若干所述流 量数据进行聚类， 得到若干哈希表， 其中， 每一所述哈希表包括若干键值对， 每一所述键值 对用于反映一个所述 流量数据和所述 流量数据对应的特 征结构体； 对每一所述哈希表对应的键值列表进行聚类， 得到每一所述哈希表对应的目标键值集 合； 根据若干所述哈希 表分别对应的所述目标键值 集合构建所述标准活动键值 集合。 3.根据权利要求2所述的流量监测方法， 其特征在于， 所述会话参数包括： 协议号， 地 址， 源端口以及目的端口； 所述层级分类结构为第一层基于所述协 议号进行分类， 第二层基 于所述地址进行分类， 第三层基于所述源端口进行分类， 第四层基于所述 目的端口进行分 类。 4.根据权利要求2所述的流 量监测方法， 其特 征在于， 每一所述键值的生成过程， 包括： 获取每一所述流量数据对应的包参数， 其中， 所述包参数用于反映所述流量数据对应 的数据包的特 征； 根据每一所述流量数据对应的所述包参数， 生成每一所述流量数据对应的所述特征结 构体； 根据每一所述流量数据对应的所述特征结构体， 生成每一所述流量数据对应的所述哈 希表中的一个所述键值。 5.根据权利要求4所述的流量监测方法， 其特征在于， 所述特征结构体包括包个数的线 性和， 包到 达间隔的线性和， 包的方向， 包长的集 合。 6.根据权利要求2所述的流量监测方法， 其特征在于， 所述对每一所述哈希表对应的键 值列表进行聚类， 包括： 根据每一所述哈希表对应的所述键值列表中任意两个所述键值分别对应的所述会话 参数， 确定每一所述哈希 表对应的所述键值列表中任意两个所述键值之间的包 含关系； 根据每一所述哈希表对应的所述键值列表中任意两个所述键值分别对应的所述特征 结构体， 确定每一所述哈希表对应的所述键值列 表中任意两个所述键值之 间的空间相关性 以及时间相关性； 根据每一所述哈希表对应的所述键值列表中任意两个所述键值之间的所述包含关系、权　利　要　求　书 1/2 页 2 CN 114389964 A 2所述空间相关性以及所述时间相关性， 对每一所述哈希 表对应的所述键值列表进行聚类。 7.根据权利要求1所述的流量监测方法， 其特征在于， 所述根据 所述标准活动键值集合 和所述待检测活动键值， 判断所述待检测流 量是否为异常流 量， 包括： 根据所述标准活动键值集合匹配出所述待检测活动键值对应的若干候选标准活动键 值； 根据若干所述 候选标准活动键值， 判断所述待检测流 量是否为异常流 量。 8.根据权利要求7所述的流量监测方法， 其特征在于， 所述根据若干所述候选标准活动 键值， 判断所述待检测流 量是否为异常流 量， 包括： 获取若干所述候选标准活动键值分别对应的自编码器模型， 得到若干所述自编码器模 型； 将所述待检测活动键值分别 输入若干所述自编码器模型， 获取若干所述自编码器模型 基于所述待检测活动键值分别产生的重构误差数据， 其中， 每一所述重构误差数据用于反 映一个所述自编码器模型的输入与输出之间的差距； 根据若干所述重构误差数据， 判断所述待检测流 量是否为所述异常流 量。 9.根据权利要求8所述的流量监测方法， 其特征在于， 所述自编码器模型为一维卷积神 经网络自编码器。 10.根据权利要求8所述的流量监测方法， 其特征在于， 所述根据若干所述重构误差数 据， 判断所述待检测流 量是否为所述异常流 量， 包括： 获取预设的重构误差 阈值， 当若干所述重构误差数据中任意一个大于所述重构误差 阈 值， 判定所述待检测流 量为所述异常流 量。 11.一种流 量监测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取预先构建的标准活动键值集合， 其中， 所述标准活动键值集合中包 括若干标准活动键值， 若干所述标准活动键值分别对应目标系统中不同活动特征的标准流 量的聚类集 合； 映射模块， 用于获取所述目标系统中的待检测流量， 将所述待检测流量映射为待检测 活动键值； 判断模块， 用于根据所述标准活动键值集合和所述待检测 活动键值， 判断所述待检测 流量是否为异常流量， 其中， 所述异常流量为不符合任意一种 所述标准流量的活动特征 的 流量。 12.一种终端， 其特征在于， 所述终端包括有存储器和一个或者一个以上处理器； 所述 存储器存储有一个或者一个以上的程序； 所述程序包含用于执行如权利要求 1‑10中任一所 述的流量监测方法的指令； 所述处 理器用于执 行所述程序。 13.一种计算机可读存储介质， 其上存储有多条指令， 其特征在于， 所述指令适用于由 处理器加载并执 行， 以实现上述权利要求1 ‑10任一所述的流 量监测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114389964 A 3