[0001] 本发明涉及一种网络安全技术，尤其涉及一种异常流量检测方法与异常流量检测装置。

[0002] 僵尸网络(亦称为Botnet)通常是指被恶意程序控制的多台装置(例如手机、电脑或其他类型的联网装置)。僵尸网络可用来发送垃圾邮件或进行恶意的网络攻击，例如分散式阻断服务攻击(DDoS)。僵尸网络中的装置可通过改变行为特征等机制来躲避检测，从而提高追踪难度。僵尸网络有一个重要的特性是通过中继站对受感染装置下达攻击指令。一般的防毒软体通常只能检测受感染装置执行的攻击行为，而发送攻击指令的源头(即中继站)往往难以追纵。

[0003] 一般来说，对于僵尸网络的检测机制包括使用黑/白名单比对、网络行为比对及恶意程序的行为分析。黑/白名单比对只能针对已知的恶意网际网络协议(IP)地址和/或网域名进行比对与过滤。网络行为比对是针对已知的网络异常行为进行比对与检测。恶意程序的行为分析例如是采用逆向工程分析并纪录受感染装置的恶意程序行为，以尝试追踪中继站。然而，这些检测机制皆是通过资安专家对大量的数据进行特征分析与分类，因此在实际使用上往往落后于恶意程序的特征变化。

[0042] 图1是根据本发明的一实施例所示出的异常流量检测系统的示意图。请参照图1，异常流量检测系统10包括异常流量检测装置11与目标装置12。异常流量检测装置11可为智能手机、平板电脑、笔记本电脑、台式电脑、工业电脑、伺服器主机、交换器或路由器等具有连网与运算功能的电子装置。装置(亦称为目标装置)12可为智能手机、平板电脑、笔记本电脑、台式电脑、工业电脑、物联网(IoT)装置或伺服器主机等具有连网与运算功能的电子装置。

[0043] 目标装置12可有线和/或无线地经由连线101与恶意伺服器13或其他网络终端通讯。连线101可包括网际网络。在以下实施例中，是假设恶意伺服器13为中继站(亦称为恶意中继站或指令与控制伺服器)。在一实施例中，假设目标装置12为受感染的装置，则目标装置12内的恶意程序可定期或依照某一规则与恶意伺服器13通讯，且目标装置12可根据恶意伺服器13的攻击指令而攻击其他网络终端。此外，目标装置12也可与其他网络终端通讯，例如使用者可通过目标装置12浏览网页等等。

[0044] 异常流量检测装置11可获得目标装置12的网络流量数据。例如，目标装置12的网络流量数据可包含目标装置12与任一网络终端进行网络通讯的日志(log)数据(例如日志档)。例如，此日志数据可包含目标装置12与某一网络终端进行网络通讯的连线时间、来源网际网络协议(IP)地址、目的IP地址、某一时间点的传输数据量和/或其他连线信息。在一实施例中，若目标装置12为受感染的装置，则目标装置12的网络流量数据可包含目标装置12经由连线101与恶意伺服器13进行网络通讯的日志数据。

[0045] 异常流量检测装置11可获得并分析目标装置12的网络流量数据。在一实施例中，异常流量检测装置11可自动根据目标装置12的网络流量数据判断网络流量数据是否包含异常流量、异常流量的类型和/或风险等级。一旦网络流量数据包含异常流量，则目标装置12就有很高的机率是已被恶意程序感染和/或属于僵尸网络的一部分。此外，异常流量的风险等级越高，则目标装置12所感染的恶意程序可能也更危险。

[0046] 在一实施例中，异常流量检测装置11可自动根据目标装置12的网络流量数据产生对应于异常流量的评估信息。此评估信息可反映目标装置12的网络流量数据是否包含异常流量、异常流量的类型和/或风险等级。此外，在一实施例中，异常流量检测装置11还可根据此评估信息判断目标装置12是否已受恶意程序感染、目标装置12受恶意程序感染的机率、目标装置12是否属于僵尸网络的一部分、目标装置12属于僵尸网络的一部分的机率、所感染的恶意程序的类型和/或所感染的恶意程序的风险等级等。

[0047] 在一实施例中，异常流量检测装置11包括存储装置111、处理器112及输入/输出接口113。存储装置111用以存储数据。存储装置111可包括易失性存储媒体与非易失性存储媒体。例如，易失性存储媒体可包括随机存取存储器(RAM)，而非易失性存储媒体可包括只读存储器(ROM)、固态硬盘(SSD)或传统硬盘(HDD)等。处理器112连接至存储装置111。处理器112可以是中央处理单元(CPU)、图形处理器(GPU)，或是其他可程序化的一般用途或特殊用途的微处理器、数字信号处理器(Digital Signal Processor,DSP)、可程序化控制器、特殊应用集成电路(Application Specific Integrated Circuits,ASIC)、可程序化逻辑装置(Programmable Logic Device,PLD)或其他类似装置或这些装置的组合。处理器112可控制异常流量检测装置11的整体或部分操作。输入/输出接口113连接至处理器112。输入/输出接口113可包括各式输入/输出接口，例如，屏幕、触控屏幕、触控板、鼠标、键盘、实体按钮、扬声器、麦克风、有线网络卡和/或无线网络卡，且输入/输出接口的类型不限于此。

[0048] 在一实施例中，处理器112可经由输入/输出接口113从目标装置12接收目标装置12的网络流量数据。例如，处理器112可从目标装置12的存储媒体或从连接至目标装置12的路由器和/或交换器下载目标装置12的网络流量数据。或者，在一实施例中，处理器112可经由输入/输出接口113监听连线101(或目标装置12的网络接口)以获得目标装置12的网络流量数据。所获得的目标装置12的网络流量数据可存储于存储装置111。此外，此网络流量数据可以是某一时间范围内的网络流量数据。例如，此时间范围可以是5小时、12小时、3天、1个月或1年等，本发明不加以限制。

[0049] 在一实施例中，处理器112可过滤目标装置12的网络流量数据，以初步减少待分析的数据的数据量。例如，在一实施例中，处理器112可过滤网络流量数据中来源IP地址为外部网络终端的IP地址的网络流量数据，而(仅)保留此网络流量数据中来源IP地址为目标装置12的IP地址的网络流量数据。或者，在一实施例中，处理器112可过滤网络流量数据中目的IP地址被标记为安全的网络流量数据。例如，Google和/或Facebook等某些安全网站的IP地址可被记载于一白名单。目的IP地址属于此白名单的网络流量数据可被过滤，而目的IP地址不属于此白名单的网络流量数据可被保留。此外，在一实施例中，白名单中的数据可被动态地删减或扩充。例如，白名单中被标记为安全的目的IP地址可根据世界网站排名(Alexa)而动态更新。上述过滤机置可择一使用或搭配使用。

[0050] 图2是根据本发明的一实施例所示出的过滤网络流量数据的示意图。请参照图2，网络流量数据21可经由白名单201过滤。网络流量数据22用以表示经过滤的网络流量数据21。白名单201可用于过滤网络流量数据21中与特定来源IP地址相关的网络流量数据、与特定目的IP地址相关的网络流量数据和/或与特定关键字相关的网络流量数据。在一实施例中，由于网络流量数据21中的部分网络流量数据被过滤，故网络流量数据22的数据量可小于网络流量数据21的数据量。此外，在一实施例中，目标装置12的网络流量数据21可不被过滤和/或用于过滤网络流量数据21的过滤规则可动态调整(例如扩充或删减)。

[0051] 处理器112可根据至少一个取样窗来取样目标装置12的网络流量数据以获得取样数据。所使用的取样窗可对应某一时间长度。例如，处理器112可从多个候选时间长度中选择某一时间长度。处理器112可根据所选择的时间长度产生相应的取样窗并根据此取样窗来取样网络流量数据。

[0052] 图3是根据本发明的一实施例所示出的根据取样窗取样网络流量数据的示意图。请参照图3，网络流量数据31可为图2的网络流量数据21或22。取样窗301具有时间长度T1。
取样窗302具有时间长度T2。取样窗303具有时间长度T3。时间长度T1～T3彼此不同。时间长度T1小于时间长度T2。时间长度T2小于时间长度T3。时间长度T1～T3皆为候选时间长度。此外，可选用的候选时间长度还可以是更多(例如4个)或更少(例如2个)，本发明不加以限制。

[0053] 取样窗301～303中的至少一者可被用于取样网络流量数据31。例如，假设时间长度T1为0.5小时、时间长度T2为1小时、时间长度T3为2小时、且网络流量数据31为6小时的网络流量数据，则网络流量数据31可被12个取样窗301取样(0.5×12＝6)以获得12个0.5小时的连续取样数据、被6个取样窗302取样(1×6＝6)以获得6个1小时的连续取样数据、和/或被3个取样窗303取样(2×3＝6)以获得3个2小时的连续取样数据。

[0054] 须注意的是，取样窗301～303对应于不同的时间长度T1～T3。因此，经取样窗301～303取样而获得的取样数据的时间长度也会不同。例如，经取样窗301～303取样而获得的取样数据的时间长度可分别相同于时间长度T1～T3。此外，本发明并不限制时间长度T1～T3的值，只要满足时间长度T1～T3彼此不同即可。

[0055] 在一实施例中，处理器112可经由一正规化操作(亦称为第一正规化操作)来调整取样数据的时间长度。例如，图3的网络流量数据31可包含多个取样值与多个取样点，且每一个取样值对应一个取样点。一个取样点可以是以1秒或其他时间长度作为取样单位。在以下实施例中，是以1秒作为一个取样点的时间单位。一个取样值反映对应于某一个取样点的传输数据量。例如，网络流量数据31中连续的N个取样值可表示N秒内目标装置12的数据传输量。数据传输量的计数单位可以是字节(byte)。若某一取样点所对应的时间点没有数据被传输，则对应于此取样点的取样值可被设为零或其他预设值。在第一正规化操作中，处理器112可将取样数据中的取样点的总数从N调整为M，且N不同于M。换言之，在一实施例中，第一正规化操作可用以对取样数据中取样点的总数进行正规化。

[0056] 图4是根据本发明的一实施例所示出的第一正规化操作的示意图。请参照图3与图4，取样数据401表示经取样窗301取样的取样数据。取样数据402表示经取样窗302取样的取样数据。取样数据403表示经取样窗303取样的取样数据。取样数据401～403分别具有数据长度T1～T3。数据长度T1对应于N1个取样点。数据长度T2对应于N2个取样点。数据长度T3对应于N3个取样点。N3大于N2，且N2大于N1。

[0057] 经过第一正规画操作，取样数据401～403可分别被调整为取样数据411～413。取样数据411～413皆具有数据长度TS。数据长度TS对应于M个取样点。换言之，取样数据411～413皆具有M个取样点。经过第一正规画操作，取样数据401～403的取样点(或取样值)的总数皆被减少为M。例如，在一实施例中，时间长度T1为3600秒(例如对应3600个取样点)、时间长度T2为7200秒(例如对应7200个取样点)、时间长度T3为14400秒(例如对应14400个取样点)、且时间长度TS为1800秒(例如对应1800个取样点)。

[0058] 在一实施例中，第一正规画操作包括下取样(down sampling)操作。以将时间长度T3为14400秒的取样数据403转换为时间长度TS为1800秒的取样数据411为例，取样数据403中8个取样点的取样值会被转换为1个取样点的取样值(即下取样)。例如，处理器112可将连续的8个取样点所对应的取样值中的最大者保留至取样数据411中(亦称为最大池化)，藉以减少取样数据中取样点与取样值的总数。例如，假设取样数据403中连续的8个取样值为[2,2,0,1,2,10,8,0]，则(仅)这8个取样值中最大的取样值[10]可被保留至取样数据413中，而其余7个取样值可被过滤。依此类推，取样数据411与412亦可被获得。

[0059] 在一实施例中，处理器112可对取样数据执行另一正规化操作(亦称为第二正规化操作)。第二正规化操作可用以对取样数据中取样值的数值范围进行正规化。例如，处理器112可根据以下方程式(1)对取样数据执行第二正规化操作。

[0060]

[0061] 在方程式(1)中，X表示取样数据中的某一个取样值，Xmin表示取样值的最小值，Xmax表示取样值的最大值，且X’表示经正规化的新的取样值。根据方程式(1)，取样数据中的取样值可被调整为0至1之间的数值，以反映同一个取样数据中不同取样值之间的数值关系。多个取样数据(例如图4的取样数据411与412)之间也可以根据此数值关系进行比较。

[0062] 图5是根据本发明的一实施例所示出的第二正规化操作的示意图。请参照图5，假设取样数据51包含对应于取样点1～9的取样值[0,0,10,20,50,20,30,70,80]。在对这9个取样值执行第二正规化后，取样数据52可被获得。例如，取样数据52中的每一个新的取样值可根据方程式(1)而获得。例如，假设取样值的最大值为100，取样值的最小值为0，则根据方程式(1)可获得取样数据52中新的取样值为[0,0,0.1,0.2,0.5,0.2,0.3,0.7,0.8]。在一实施例中，假设另一取样数据包含取样值[0,0,1,2,5,2,3,7,8]，则经第二正规化后此取样数据中新的取样值也为[0,0,0.1,0.2,0.5,0.2,0.3,0.7,0.8]。这两个取样数据经第二正规化后可获得相同的取样值，表示这两个取样数据的取样值之间的数值关系是相同或相似的。因此，在一实施例中，通过第二正规化操作可提高对于取样数据的分析效率。

[0063] 处理器112可根据所获得的取样数据产生图像。用以产生图像的取样数据可以是经第一正规化操作与第二正规化操作中至少一者处理的数据或不经第一正规化操作与第二正规化操作处理的数据。此图像可呈现所分析的网络流量数据相对于所采用的取样窗的时间长度的流量特征。以图3为例，假设所采用的取样窗为取样窗301～303，则所产生的图像可分别反映所述网络流量数据相对于时间长度T1～T3的流量特征。此外，在图1的一实施例中，若目标装置12已被恶意程序感染，则此图像更可呈现异常流量(或恶意程序)相对于所采用的取样窗的时间长度的流量特征(亦称为异常流量的流量特征)。根据此图像，处理器112可产生所述评估信息。

[0064] 在一实施例中，处理器112可将取样数据转换为二维比特表。此二维比特表的一个维度(亦称为第一维度)对应于取样数据的取样点。此二维比特表的另一个维度(亦称为第二维度)对应于取样数据的取样值。然后，处理器112可根据此二维比特表产生图像。此外，处理器112可根据二维比特表中某一位置(亦称为第一位置)的比特值决定所产生的图像中相应于第一位置的某一位置(亦称为第二位置)的像素值。在一实施例中，第一位置的二维坐标相同于第二位置的二维坐标。

[0065] 图6是根据本发明的一实施例所示出的二维比特图的示意图。图7是根据本发明的一实施例所示出的图像的示意图。

[0066] 请参照图5、图6及图7，二维比特表61可根据取样数据52而获得。二维比特表61的第一维度(即横轴方向)对应于取样数据52的9个取样点。二维比特表61的第二维度(即纵轴方向)对应于取样数据52的取样值。例如，取样数据52的取样点1与2所对应的取样值为0，则二维比特表61中的第1与第2个行(column)中的比特皆为0。取样数据52的取样点3所对应的取样值为0.1，则二维比特表61中的第3个行中有1个比特1，其余比特为0。取样数据52的取样点4所对应的取样值为0.2，则二维比特表61中的第4个行有2个比特1，其余比特为0。依此类推，二维比特表61可被产生，以反映取样数据52的取样点与取样值之间的数值分布状态。

[0067] 根据二维比特表61，图像71可被产生。例如，图像71中某一个位置(亦称为像素位置)的像素值可根据二维比特表61中相应位置的比特值而决定。假设图6中的位置601对应于图7的位置701，则根据位置601的比特值是1(亦称为第一比特值)，位置701的像素值可被决定为对应于第一比特值的某一像素值(亦称为第一像素值)。或者，在另一实施例中，若位置601的比特值是0(亦称为第二比特值)，则位置701的像素值可被决定为对应于第二比特值的另一像素值(亦称为第二像素值)。位置601的坐标可相同于位置701的坐标。

[0068] 在本实施例中，是假设第一像素值为灰阶值255，且第一像素值为灰阶值0。因此，根据位置601的比特值是1，位置701所呈现出的颜色为黑色。或者，在另一实施例中，若位置601的比特值是0，则位置701所呈现出的颜色可为白色。依此类推，图像71中所有位置的像素值可根据二维比特表61中相应位置的比特值而决定。此外，在另一实施例中，对应于第一比特值和/或第二比特值的像素值也可以根据实务需求调整，本发明不加以限制。图像71可反映出取样数据52相应于所采用的取样窗的时间长度的流量特征。

[0069] 在一实施例中，处理器112可经由类神经网络架构(亦称为深度学习模型)来自动分析所获得的图像。例如，此类神经网络架构可采用卷积神经网络中的VGG16算法。例如，类神经网络架构可分析图像并自动判断图像中的流量特征是否包含或符合恶意程序的流量特征。处理器112可根据类神经网络架构的图像分析结果产生所述评估信息。换言之，经由类神经网络架构来执行图像分析以取代传统的数据分析，可大幅减少资安专家的工作量和/或提高分析准确度。

[0070] 在一实施例中，处理器112可获得训练数据。训练数据可包含具有恶意程序的网络流量的数据以及不具有恶意程序的网络流量的数据。处理器112可依照前述实施例将训练数据转换为训练图像。例如，根据包含恶意程序的网络流量的训练数据，包含恶意程序的流量特征的训练图像可被产生。根据不包含恶意程序的网络流量的训练数据，不包含恶意程序的流量特征的训练图像可被产生。处理器112可根据训练图像来训练类神经网络架构。例如，处理器112可将训练图像与答案输入至类神经网络架构。类神经网络架构可将训练图像的分析结果与答案进行比对并调整判断权重。经过持续的训练，类神经网络架构对于图像中是否存在恶意程序的流量特征的分析准确率可逐渐提升。

[0071] 图8是根据本发明的一实施例所示出的分析结果的示意图。请参照图8，须注意的是，图8中是将判定具有异常流量的流量特征的取样数据以斜线标示。在以对应于时间长度T1～T4的多个取样窗来取样网络流量数据后，图像分析结果可呈现对应于时间长度T1的取样数据801(1)～801(3)、对应于时间长度T2的取样数据802(1)～802(4)及对应于时间长度T3的取样数据803(1)具有异常流量的流量特征。此分析结果可用于产生所述评估信息。此评估信息可反映目标装置12的网络流量数据是否包含异常流量、异常流量的类型和/或风险等级。

[0072] 在一实施例中，处理器112还可根据此评估信息判断目标装置12是否已受恶意程序感染、目标装置12受恶意程序感染的机率、目标装置12是否属于僵尸网络的一部分、目标装置12属于僵尸网络的一部分的机率、所感染的恶意程序的类型和/或所感染的恶意程序的风险等级等。

[0073] 在一实施例中，所产生的评估信息可包括网络流量数据的来源地址(即来源IP地址)、网络流量数据的目的地址(即目的IP地址)、网络流量数据的(总)时间长度、异常流量的流量特征在网络流量数据中的出现率及所采用的取样窗的时间长度的至少其中之一。以图8为例，对于时间长度为T2的取样数据，异常流量的流量特征在网络流量数据81中的出现率约为0.8(即5个取样数据中有4个取样数据802(1)～802(4)出现异常流量的流量特征)。在一实施例中，异常流量的流量特征在网络流量数据中的出现率亦可以信标(beacon)来表示。信标的值可相同或正相关于所述出现率。

[0074] 在一实施例中，对应于至少两种时间长度的取样与分析结果可用于产生所述评估信息。因此，所产生的评估信息涵盖了至少两种时间长度的取样与分析结果。然而，在另一实施例中，仅对应于单一种时间长度的取样与分析结果被用于产生所述评估信息。例如，在一实施例中，可以仅选用异常流量的流量特征的出现率(或信标)最高的时间长度的取样与分析结果来产生评估信息。以图8为例，对应于时间长度T1～T4，异常流量在网络流量数据81中的出现率(或信标)分别约为0.3、0.8、0.5及0。因此，在图8的一实施例中，可以仅选用时间长度T2的取样与分析结果来产生评估信息。

[0075] 图9是根据本发明的一实施例所示出的评估信息的示意图。请参照图8与图9，在一实施例中，评估信息91可包括来源地址(SIP)、目的地址(DIP)、出现率(或信标)(0.8)、总时间(5)及取样窗时间(1)。来源地址为SIP可反映图1的目标装置12的IP地址。目的地址为DIP可反映恶意伺服器13的IP地址。出现率(或信标)为0.8可反映对于时间长度为T2，异常流量的流量特征在网络流量数据81中的出现率(或信标)。总时间为5可反映网络流量数据81的(总)时间长度为5小时。取样窗时间为1可反映时间长度T2为1小时。

[0076] 在一实施例中，处理器112可根据网络流量数据的(总)时间长度与异常流量的流量特征在网络流量数据中的出现率(或信标)来评估异常流量的风险等级。在一实施例中，网络流量数据的(总)时间长度和/或所述出现率(或信标)与所决定的异常流量的风险等级成正相关。

[0077] 图10是根据本发明的一实施例所示出的风险等级的示意图。请参照图10，风险分布图1001包括区域R1～R5。风险分布图1001可表示不同的网络流量数据的(总)时间长度与所述出现率(或信标)的组合所对应的异常流量的风险等级。区域R1～R5所对应的风险等级递减。亦即，区域R1所对应的风险等级最高，而区域R5所对应的风险等级最低。例如，横轴的出现率(或信标)可被划分为第一数值区间(例如0～0.33)、第二数值区间(例如0.33～0.66)及第三数值区间(例如0.66～1)。纵轴的网络流量数据的(总)时间长度也可被划分为第一总时间区间(例如1小时内)、第二总时间区间(例如1天内)及第三总时间区间(例如1个月内)。以图9的评估信息91为例，异常流量的出现率为0.8位于第三数值区间且网络流量数据的总时间为5小时位于第二总时间区间，故可获得异常流量的风险等级为R2。依此类推，异常流量的风险等级可通过异常流量的出现率与网络流量数据的总时间长度查询风险分布图1001而获得。

[0078] 在一实施例中，异常流量(或恶意程序)在时间长度相对较短的时间范围(例如图8的时间长度T1或T2)内的流量特征亦称为高频特征。例如，目标装置12内的恶意程序在短时间内很频繁地与恶意伺服器13通讯。因此，高频特征需要分析相对较短的时间范围内的网络流量数据才能获得。相对地，异常流量(或恶意程序)在时间长度相对较长的时间范围(例如时间长度T3或T4)内的流量特征亦称为低频特征。例如，目标装置12内的恶意程序在很长的时间内非常分散地与恶意伺服器13通讯。因此，低频特征则需要分析相对较长的时间范围内的网络流量数据才能获得。在一实施例中，根据至少两种时间长度的取样窗来执行取样以及后续的图像分析，可有效检测出符合高频特征的异常流量与符合低频特征的异常流量，有效提高分析准确率。

[0079] 图11是根据本发明的一实施例所示出的异常流量检测方法的流程图。请参照图11，在步骤S1101中，获得目标装置的网络流量数据。在步骤S1102中，根据取样窗取样所述网络流量数据以获得取样数据。所述取样窗具有某一时间长度。在步骤S1103中，根据所述取样数据产生图像。所述图像呈现所述网络流量数据相对于所述时间长度的流量特征。在步骤S1104中，分析所述图像以产生对应异常流量的评估信息。

[0080] 图12是根据本发明的一实施例所示出的异常流量检测方法的流程图。请参照图12，在步骤S1201中，获得目标装置的网络流量数据。在步骤S1202中，根据某一取样窗(亦称为第一取样窗)取样所述网络流量数据以获得取样数据(亦称为第一取样数据)。所述第一取样窗具有第一时间长度。在步骤S1203中，根据所述第一取样数据产生某一图像(亦称为第一图像)。所述第一图像呈现所述网络流量数据相对于所述第一时间长度的流量特征。在步骤S1204中，根据另一取样窗(亦称为第二取样窗)取样所述网络流量数据以获得取样数据(亦称为第二取样数据)。所述第二取样窗具有第二时间长度。所述第一时间长度不同于所述第二时间长度。在步骤S1205中，根据所述第二取样数据产生另一图像(亦称为第二图像)。所述第二图像呈现所述网络流量数据相对于所述第二时间长度的流量特征。在步骤S1206中，分析所述第一图像语所述第二图像以产生对应异常流量的评估信息。

[0081] 然而，图11与图12中各步骤已详细说明如上，在此便不再赘述。值得注意的是，图11与图12中各步骤可以实作为多个程序码或是电路，本发明不加以限制。此外，图11与图12的方法可以搭配以上范例实施例使用，也可以单独使用，本发明不加以限制。

[0082] 综上所述，本发明实施例可通过至少一种时间长度的取样窗来取样网络流量数据并通过图像分析机制来自动检测可能是由恶意程序引起的异常流量。藉此，相对于传统上依靠资安专家进行大量的流量数据分析，本发明实施例的异常流量检测方法与异常流量检测装置可通过自动化的图像分析而有效提高对于异常流量的检测效率。本发明实施例亦可通过分析不同时间长度的取样数据来检测异常流量(或恶意程序)的高频特征与低频特征，以提高检测准确率。此外，所检测的异常流量可进一步用于检测恶意程序和/或僵尸网络，改善异常流量检测装置的性能。

[0083] 虽然本发明已以实施例揭示如上，然其并非用以限定本发明，任何所属技术领域中技术人员，在不脱离本发明的精神和范围内，当可作些许的更改与润饰，故本发明的保护范围当视权利要求所界定的为准。