流量检测方法、装置、电子设备、存储介质及程序产品与流程

本公开涉及计算机，尤其涉及一种流量检测方法、装置、电子设备、存储介质及程序产品。

背景技术：

1、本部分旨在为权利要求书中陈述的本公开的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

2、随着信息技术的发展，网络安全越来越重要。有人通过自动化脚本对用户网络、程序进行攻击和欺骗，对用户造成损失。

3、目前，利用自动化脚本进行攻击的行为越来越隐蔽，现有的安全防护产品难以对自动化脚本攻击行为进行识别，仅能依靠人工实现，这对用户造成了极大的工作量和困难。

技术实现思路

1、有鉴于此，本公开的目的在于提出一种流量检测方法、装置、电子设备、存储介质及程序产品，至少在一定程度上解决相关技术中的技术问题之一。

2、基于上述目的，本公开示例性实施例第一方面提供了一种流量检测方法，包括：

3、获取在预设时段内属于同一域名的流量数据；

4、对所述流量数据中的至少部分字段进行聚合处理得到第一字段，并获取所述第一字段的至少一个对应字段值；

5、响应于所述第一字段的至少一个对应字段值中存在第一字段值的分布比例满足第一预设条件，对所述第一字段及对应第一字段值进行聚合，得到第二字段及对应字段值；

6、获取与所述第二字段及对应字段值对应的用户访问地址，响应于所述用户访问地址中重复率满足第二预设条件，确定所述用户访问地址对应的流量数据的特征。

7、在一些实施例中，所述响应于所述第一字段及至少一个对应字段值中存在第一字段值的分布比例满足第一预设条件，基于所述第一字段类型对所述第一字段及对应第一字段值进行聚合，包括：

8、获取所述第一字段对应字段值中重复率排前第一预设名的若干目标字段值；

9、确定至少部分目标字段值在全部目标字段值中的分布比例；

10、若所述目标字段值中至少一个第一字段值的分布比例与其他字段值的分布比例之差大于第一预设值，则基于所述第一字段的类型对所述第一字段及对应第一字段值进行聚合。

11、在一些实施例中，所述第一字段包括路径字段，所述对所述第一字段及对应第一字段值进行聚合，得到第二字段及对应字段值，包括：

12、基于所述第一字段及对应第一字段值获取包括预设静态资源的第一目标字段及对应字段值，基于静态资源类型对所述第一目标字段及对应字段值进行聚合处理，得到静态资源字段及对应字段值；

13、获取所述第一字段及对应第一字段值中除所述第一目标字段以外的第二目标字段及对应字段值，基于预设的遍历动作对所述第二目标字段及对应字段值进行聚合处理，得到遍历字段及对应字段值；

14、根据所述静态资源字段及对应字段值和所述遍历字段及对应字段值，得到所述第二字段及对应字段值。

15、在一些实施例中，所述基于预设的遍历动作对所述第二目标字段及对应字段值进行聚合处理之前，还包括：

16、若所述第二目标字段及对应字段值中存在不可打印字符，则删除对应的第二目标字段及对应字段值。

17、在一些实施例中，所述第一字段包括非路径字段，所述基于所述第一字段的类型对所述第一字段及对应第一字段值进行聚合，得到第二字段及对应字段值，包括：

18、对所述第一字段计算信息熵；

19、根据预设的条件对信息熵小于第二预设值的所述第一字段及对应第一字段值进行聚合处理，得到非路径字段及对应字段值；

20、基于所述信息熵大于或等于第二预设值的所述第一字段及对应第一字段值以及所述非路径字段及对应字段值，生成所述第二字段及对应字段值。

21、在一些实施例中，所述响应于所述用户访问地址中重复率满足第二预设条件，确定所述用户访问地址对应的流量数据的特征，包括：

22、确定所述用户访问地址中重复率排前第二预设名的用户访问地址的访问所述第二字段及对应字段值的次数与若干所述用户访问地址访问所述第二字段及对应字段值的总数量的比例大于或等于比例阈值，确定所述用户访问地址对应的流量数据的特征。

23、在一些实施例中，所述确定所述用户访问地址对应的流量数据的特征，包括：

24、将与所述第二字段及对应字段值以及所述用户访问地址中重复率满足第二预设条件对应的所述流量数据的特征确定为自动化脚本攻击特征。

25、在一些实施例中，所述流量数据包括静态资源流量数据和接口访问流量数据。

26、基于同一发明构思，本公开示例性实施例第二方面提供了一种流量检测装置，包括：

27、获取模块，被配置为：获取在预设时段内属于同一域名的流量数据；

28、第一聚合模块，被配置为：对所述流量数据中的至少部分字段进行聚合处理得到第一字段，并获取所述第一字段的至少一个对应字段值；

29、第二聚合模块，被配置为：响应于所述第一字段的至少一个对应字段值中存在第一字段值的分布比例满足第一预设条件，对所述第一字段及对应第一字段值进行聚合，得到第二字段及对应字段值；

30、确定模块，被配置为：获取与所述第二字段及对应字段值对应的用户访问地址，响应于所述用户访问地址中重复率满足第二预设条件，确定所述用户访问地址对应的流量数据的特征。

31、基于同一发明构思，本公开示例性实施例第三方面提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述的方法。

32、基于同一发明构思，本公开示例性实施例第四方面提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行如第一方面所述的方法。

33、基于同一发明构思，本公开示例性实施例第五方面提供了一种计算机程序产品，包括计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行如第一方面所述的方法。

34、从上面所述可以看出，本公开实施例提供的流量检测方法、装置、电子设备、存储介质及程序产品，在获取在预设时段内属于同一域名的流量数据之后，对所述流量数据中的至少部分字段进行聚合处理得到第一字段，从而将不同流量数据中的相同字段进行聚合；之后对聚合后的第一字段对应字段值进行统计，获取对应字段值的分布比例满足第一预设条件的第一字段值，从而获得可能重复的字段和字段值；再对第一字段及对应第一字段值进行聚合得到第二字段及对应字段值，从而对可能重复的字段和字段值进行聚合进而提取流量数据中的共同特征，以便于确定哪些字段及对应字段值是因自动化攻击导致的重复率高；最后通过统计访问该得到第二字段及对应字段值的用户访问地址进而确定自动化攻击导致的流量数据。

技术特征：

1.一种流量检测方法，包括：

2.根据权利要求1所述的方法，其中，所述响应于所述第一字段及至少一个对应字段值中存在第一字段值的分布比例满足第一预设条件，基于所述第一字段类型对所述第一字段及对应第一字段值进行聚合，包括：

3.根据权利要求1所述的方法，其中，所述第一字段包括路径字段，所述对所述第一字段及对应第一字段值进行聚合，得到第二字段及对应字段值，包括：

4.根据权利要求3所述的方法，其中，所述基于预设的遍历动作对所述第二目标字段及对应字段值进行聚合处理之前，还包括：

5.根据权利要求1所述的方法，其中，所述第一字段包括非路径字段，所述基于所述第一字段的类型对所述第一字段及对应第一字段值进行聚合，得到第二字段及对应字段值，包括：

6.根据权利要求1所述的方法，其中，所述响应于所述用户访问地址中重复率满足第二预设条件，确定所述用户访问地址对应的流量数据的特征，包括：

7.根据权利要求1所述的方法，其中，确定所述用户访问地址对应的流量数据的特征，包括：

8.根据权利要求1所述的方法，其中，所述流量数据包括静态资源流量数据和接口访问流量数据。

9.一种流量检测装置，包括：

10.一种电子设备，其特征在于，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1至8任意一项所述的方法。

11.一种非暂态计算机可读存储介质，其特征在于，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使计算机执行权利要求1至8任一所述方法。

12.一种计算机程序产品，其特征在于，包括计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行如权利要求1至8任意一项所述的方法。

技术总结本公开提供一种流量检测方法、装置、电子设备、存储介质及程序产品。该方法包括：获取在预设时段内属于同一域名的流量数据；对流量数据中的至少部分字段进行聚合处理得到第一字段，并获取第一字段的至少一个对应字段值；响应于第一字段的至少一个对应字段值中存在第一字段值的分布比例满足第一预设条件，对第一字段及对应第一字段值进行聚合，得到第二字段及对应字段值；获取与第二字段及对应字段值对应的用户访问地址，响应于用户访问地址中重复率满足第二预设条件，确定所述用户访问地址对应的流量数据的特征。该流量检测方法，能够识别自动化攻击流量特征，进而识别出自动化脚本攻击，能够提高例如Web应用防火墙等网络安全产品的能力。技术研发人员：张运鹏,吴春来,蔡挺受保护的技术使用者：北京火山引擎科技有限公司技术研发日：技术公布日：2024/7/23