(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211158193.4 (22)申请日 2022.09.22 (71)申请人 山石网科通信技 术股份有限公司 地址 215163 江苏省苏州市高新区景润路 181号 (72)发明人 范程　江雪峰　庞帆栋　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 黄海英 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 流量检测模 型的处理方法及装置、 存储介质 和处理器 (57)摘要 本申请公开了一种流量检测模型的处理方 法及装置、 存储介质和处理器。 该方法包括： 获取 多个预设条件和预设时长； 依据多个预设条件中 的任一预设条件和预设时长对每个第一模型进 行学习训练， 得到多个第二模型； 基于多个第二 模型， 构建第一流量检测模型； 根据目标日志对 多个第二模 型进行更新， 得到多个更新后的第二 模型， 并基于多个更新后的第二模型， 将第一流 量检测模型更新为第二流量检测模 型。 通过本申 请， 解决了相关技术中根据经验值对流量检测模 型进行学习训练， 且难以对训练好的流量检测模 型进行实时更新， 导致流量检测模 型检测访问服 务器的流量是否为恶意流量的准确性较低， 进而 导致服务器容易被攻击的问题。 权利要求书2页 说明书16页 附图5页 CN 115550011 A 2022.12.30 CN 115550011 A 1.一种流 量检测模型的处 理方法， 其特 征在于， 包括： 获取多个预设条件和预设时长， 其中， 所述多个预设条件至少包括： 第 一预设条件和第 二预设条件， 所述第一预设条件用于表示每个统一资源定位符对应的样本数据的数量， 所 述第二预设条件用于表示每个统一资源定位符的学习时长， 每个统一资源定位符用于表示 服务器中每 个资源的位置信息， 所述预设时长依据满足每 个预设条件的耗时确定； 依据多个预设条件中的任一预设条件和所述预设时长对每个第 一模型进行学习训练， 得到多个第二模型， 其中， 每 个第一模型用于检测服 务器中每 个资源的特 征； 基于多个第 二模型， 构建第 一流量检测模型， 其中， 所述第 一流量检测模型用于检测访 问所述服务器的流 量； 根据目标日志对多个第二模型进行更新， 得到多个更新后的第二模型， 并基于多个更 新后的第二模型， 将所述第一流量检测模型更新为第二流量检测模型， 其中， 所述目标日志 用于记录不匹配所述第一 流量检测模型的流 量。 2.根据权利要求1所述的方法， 其特征在于， 依据多个预设条件中的任一预设条件和所 述预设时长对每 个第一模型进行 学习训练， 得到多个第二模型包括： 获取多个流 量的特征值， 其中， 多个流 量为所述服务器中每 个资源对应的流 量； 在满足多个预设条件中的任一预设条件之后， 并在所述预设时长的范围内， 判断多个 流量的特征值中是否存在不符合第一模型的特 征值； 若多个流量的特征值中不存在不符合所述第一模型的特 征值， 则构建多个第二模型。 3.根据权利要求2所述的方法， 其特征在于， 在判断多个流量的特征值中是否存在不符 合第一模型的特 征值之后， 所述方法还 包括： 若多个流量的特征值中存在不符合所述第 一模型的特征值， 则继续对每个第 一模型进 行学习训练， 并获取继续对每 个第一模型进行 学习训练的第一时长； 当所述第一 时长达到所述预设时长时， 判断多个流量的特征值中是否存在不符合所述 第一模型的特 征值； 若多个流量的特征值中不存在不符合所述第一模型的特 征值， 则构建多个第二模型。 4.根据权利要求1所述的方法， 其特征在于， 根据目标日志对多个第二模型进行更新， 得到多个更新后的第二模型包括： 解析所述目标日志中的多条日志 记录， 确定多个第二模型中的目标模型； 对所述目标模型进行 更新， 得到第三模型； 将所述第三模型和多个第二模型中除所述目标模型之外的模型作为多个更新后的第 二模型。 5.根据权利要求4所述的方法， 其特征在于， 解析所述目标日志中的多条日志记录， 确 定多个第二模型中的目标模型包括： 在目标时间段内通过多个客户端访问所述服务器时， 判断所述目标日志中是否存在目 标数量的相同的日志 记录； 若所述目标日志中存在目标数量的相同的日志记录， 则依据所述目标 日志中相同的日 志记录， 确定多个第二模型中的目标模型。 6.根据权利要求1所述的方法， 其特征在于， 在根据目标 日志对多个第 二模型进行更新 之后， 在得到多个更新后的第二模型， 并基于多个更新后的第二模型， 将所述第一流量检测权　利　要　求　书 1/2 页 2 CN 115550011 A 2模型更新为第二流量检测模型之前， 所述方法还 包括： 判断对多个第二模型中进行 更新的模型的数量是否小于预设阈值； 若对多个第 二模型中进行更新的模型的数量不小于所述预设阈值， 则删除所述第 一流 量检测模型， 并构建第三 流量检测模型； 若对多个第 二模型中进行更新的模型的数量小于所述预设阈值， 则执行构建多个更新 后的第二模型， 并基于多个更新后的第二模型， 将所述第一流量检测模型更新为所述第二 流量检测模型的步骤。 7.根据权利要求1所述的方法， 其特 征在于， 通过以下步骤获取 预设时长： 获取满足所述第一预设条件的第一 耗时时长； 获取满足所述第二预设条件的第二 耗时时长； 依据所述第一 耗时时长和所述第二 耗时时长， 确定所述预设时长 。 8.一种流 量检测模型的处 理装置， 其特 征在于， 包括： 第一获取模块， 用于获取多个预设条件和预设时长， 其中， 所述多个预设条件至少包 括： 第一预设条件和第二预设条件， 所述第一预设条件用于表示每个统一资源定位符对应 的样本数据的数量， 所述第二预设条件用于表示每个统一资源定位符的学习时长， 每个统 一资源定位符用于表示服务器中每个资源的位置信息， 所述预设时长依据满足每个预设条 件的耗时确定； 第一训练模块， 用于依据多个预设条件中的任一预设条件和所述预设时长对每个第 一 模型进行学习训练， 得到多个第二模型， 其中， 每个第一模型用于检测服务器中每个资源的 特征； 第一构建模块， 用于基于多个第二模型， 构建第一流量检测模型， 其中， 所述第一流量 检测模型用于检测访问所述 服务器的流 量； 第一更新模块， 用于根据目标日志对多个第二模型进行更新， 得到多个更新后的第二 模型， 并基于多个更新后的第二模型， 将所述第一流量检测模 型更新为第二流量检测模型， 其中， 所述目标日志用于记录不匹配所述第一 流量检测模型的流 量。 9.一种计算机可读存储介质， 其特征在于， 所述存储介质存储程序， 其中， 所述程序执 行权利要求1至7中任意 一项所述的流 量检测模型的处 理方法。 10.一种用于流量检测模型的处理方法的处理器， 其特征在于， 所述处理器用于运行程 序， 其中， 所述 程序运行时执 行权利要求1至7中任意 一项所述的流 量检测模型的处 理方法。权　利　要　求　书 2/2 页 3 CN 115550011 A 3