CN103366119A - 病毒趋势异常的监控方法及装置 - Google Patents

Abstract

本发明的实施例提供一种病毒趋势异常的监控方法及装置，涉及计算机技术领域，该方法包括：获取每次对病毒进行查杀时得到的命中次数；利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值；计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差；当所述标准化残差大于第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。本发明实施例可实现对各种病毒进行及时有效的监控。

Description

病毒趋势异常的监控方法及装置

技术领域

本发明涉及计算机技术领域，尤其涉及一种病毒趋势异常的监控方法及装置。

背景技术

目前，通过杀毒引擎对计算机病毒进行定期查杀，可以在一定程度上制约病毒的增长。当杀毒引擎对某一种病毒的查杀能力在一个很短时间内严重偏离原先的趋势时，则说明可能存在如下异常状况：如果查杀出这种病毒的数量剧增，说明短时间内这种病毒可能会大规模爆发；如果查杀出这种病毒的数量锐减，说明杀毒引擎对这种病毒的识别能力可能降低甚至丧失、抑或这种病毒开始变种。因此，对病毒发展趋势是否存在异常进行有效监控，并在监控到病毒发展趋势存在异常时，及时进行预警，对防止病毒的大规模爆发具有重要意义。

现有技术中，当病毒种类很少的时候，可以通过技术人员的经验来主观判断病毒的发展趋势是否存在异常。但随着病毒种类成千上万的猛增，通过人工对病毒发展趋势是否存在异常进行监控，将会耗费大量的人力，并且也难以满足有效监控的需求。

于是，现有技术出现了一种基于病毒样本数量或病毒样本增长幅度的监控方法，对每个病毒设定对应的阈值，通过监控病毒样本数量是否大于一个阈值，或者监控病毒样本增长幅度是否大于一个阈值，来判断病毒发展趋势是否存在异常。然而，对新病毒或变种病毒无法实现及时有效的监控。

发明内容

本发明的实施例提供一种病毒趋势异常的监控方法及装置，实现对各种病毒进行及时有效的监控。

为达到上述目的，本发明的实施例采用如下技术方案：

一方面，提供一种病毒趋势异常的监控方法，包括：

获取每次对病毒进行查杀时得到的命中次数；

利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值；

计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差；

当所述标准化残差大于第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

另一方面，提供一种病毒趋势异常的监控装置，包括：

获取模块，用于获取每次对病毒进行查杀时得到的命中次数；

运算模块，用于利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值；

所述运算模块，还用于计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差；

识别模块，用于当所述标准化残差大于第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

由上述技术方案所描述的本发明实施例中，通过利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值，并计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差，由于上述结合7日均线运算所得到的各个标准化残差符合正态分布，因而采用置信区间可以准确判断出每次对病毒进行查杀时得到的命中次数是否存在异常，进而判断出病毒趋势是否存在异常。例如，将上述第一预设阈值设置为置信区间95％对应的1.96，即可在所述标准化残差大于所述第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

可见，本发明实施例中在监控病毒趋势是否存在异常时，上述第一预设阈值可根据不同的置信区间进行确定，与现有技术相比，本发明实施例不需要大量的历史数据来确定上述第一预设阈值，因而对新病毒和变种病毒也可以进行准确的监控。并且，每当获取到对病毒进行查杀时得到的最新命中次数时，即可采用本发明提供的方法进行判断，如果计算出所述病毒的最新命中次数与对应的7日均线取值的标准化残差大于第一预设阈值时，即说明所述病毒的最新的命中次数存在异常，因而，可实现对各种病毒进行及时有效的监控。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例1提供一种病毒趋势异常的监控方法的流程图；

图2为本发明实施例1提供一种病毒趋势异常的监控方法中步骤103的实现流程图；

图3为本发明实施例1提供另一种病毒趋势异常的监控方法的流程图；

图4为本发明实施例1提供又一种病毒趋势异常的监控方法的流程图；

图5为采用本发明实施例提供的监控方法对病毒的趋势进行监控，没有监控到异常的效果示意图；

图6为采用本发明实施例提供的监控方法对病毒的趋势进行监控，监控到异常并报警的效果示意图；

图7为采用本发明实施例提供的监控方法对病毒的趋势进行监控，监控到异常并报警的另一效果示意图；

图8为采用本发明实施例提供的图4所示的监控方法对病毒的趋势进行监控，由于不满足条件C_N+1＞λ而没有进行过报警的效果示意图；

图9为验证采用本发明实施例提供的方法计算出的标准化残差符合正态分布的结果示意图；

图10为本发明实施例2提供一种病毒趋势异常的监控装置的结构图；

图11为本发明实施例2提供一种病毒趋势异常的监控装置的另一结构图；

图12为本发明实施例2提供一种病毒趋势异常的监控装置的又一结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

采用病毒引擎周期性地对病毒进行查杀时，不同的病毒引擎可以查杀的病毒种类也不相同。对于每一种病毒，无论是已有病毒，或者变种病毒、或者新增病毒，均可以采用本发明实施例提供的如下方法来监控每一种病毒的发展趋势。下文中，以一种病毒为例，来详细说明病毒趋势异常的监控方法。

如图1所示，本发明实施例提供一种病毒趋势异常的监控方法，包括：

101、获取每次对病毒进行查杀时得到的命中次数。

需要说明的是，当病毒引擎每次对病毒进行查杀后，可将获得的该病毒的各个命中次数按照查杀时间由早到晚的次序存放在数据库中。该病毒的每个命中次数可按照“病毒引擎标识-病毒标识-日期-时间点-命中次数”的格式进行存放。

例如，采用病毒引擎A在2012年2月21日的12:08分对病毒B进行查杀后，得到该病毒B的最新命中次数为3354，假设之前在数据库中已经存放的该病毒B的命中次数的总数为N，且前N个命中次数已按照查杀时间由早到晚的次序进行存放，那么可知该病毒的最新命中次数为第N+1个，此时，可将该病毒的第N+1个命中次数按照“病毒引擎A-病毒B-2012年2月21日-12:08-3354”的格式，并存放在数据库中记录有该病毒引擎A对病毒B进行上一次查杀时得到的第N个命中次数之后。

具体地，在对病毒的趋势进行监控时，可以从数据库中获取一定周期内每次对病毒进行查杀时得到的命中次数，或者获取所有周期内每次对病毒进行查杀时得到的命中次数。

可选的，为了可以对病毒的趋势进行及时有效的监控，本发明实施例从数据库中获取病毒最新的前N+1个命中次数，其中第N+1个命中次数表示最新一次对病毒进行查杀后得到的命中次数。N的取值可以为大于90的正整数。

102、利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值。

具体地，根据

计算各个7日均线取值，其中，B_i为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值，i∈[7...N+1]且i为正整数，N+1为所述病毒的命中次数的总数，A_i-j为所述病毒的第i-j个命中次数。

103、计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差。

具体地，如图2所示，本步骤通过如下子步骤实现：

103-1、根据C_i＝A_i-B_i计算残差。

其中，C_i为所述病毒的第i个命中次数与利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值的残差，A_i为所述病毒的第i个命中次数，B_i为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值，i∈[7...N+1]且i为正整数，N+1为所述病毒的命中次数的总数。

103-2、根据 $E=\frac{1}{N-\max (7,N-L)}\underset{i=\max (7,N-L)}{\overset{N}{\mathrm{\Σ}}}\mathrm{Ci}$ 计算残差的均值。

其中，E为所述病毒的各个命中次数对应的残差的均值，L∈[1...N]且L为正整数。

实际应用时，该L的取值可以为90，亦即使用最新的前N个命中次数中的前90个命中次数计算得到的残差作为标准数据，来对第N+1个命中次数是否存在异常进行监控。

103-3、根据 $S=\frac{1}{N-\max (7,N-L)-1}\underset{i=\max (7,N-L)}{\overset{N}{\mathrm{\Σ}}}{(\mathrm{Ci}-E)}^2$ 计算残差的标准差。

其中，S为所述病毒的各个命中次数对应的残差的标准差。

103-4、根据

计算所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差。

其中，D_N+1为所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差，C_N+1为所述病毒的第N+1个命中次数与利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的残差。

104、当所述标准化残差大于第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

具体地，当D_N+1＞ω₁时，将所述病毒的第N+1个命中次数产生时的时间点识别为所述病毒的发展趋势异常点，其中，ω₁为第一预设阈值。

可选的，上述ω₁的取值可以为置信区间95％对应的2.58，也可以为置信区间99％对应的1.96。

本发明实施例中，通过利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值，并计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差，由于上述结合7日均线运算所得到的各个标准化残差符合正态分布(验证上述结合7日均线运算所得到的各个标准化残差符合正态分布的实例见下文中第9页)，因而采用置信区间可以准确判断出每次对病毒进行查杀时得到的命中次数是否存在异常，进而判断出病毒趋势是否存在异常。例如，将上述第一预设阈值设置为置信区间95％对应的1.96，即可在所述标准化残差大于所述第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

可见，本发明实施例中在监控病毒趋势是否存在异常时，上述第一预设阈值可根据不同的置信区间进行确定，在进行7日均线运算时，最少需要7个数据即可，而现有技术中的阈值需要对大量的历史数据进行学习和分析才能得到，对于新病毒或变种病毒，由于短时间内难以提供大量的历史数据，导致对新病毒或变种病毒无法实现及时有效的监控，与现有技术相比，本发明实施例不需要大量的历史数据来确定上述第一预设阈值，因而对新病毒和变种病毒也可以进行准确的监控。并且，每当获取到对病毒进行查杀时得到的最新命中次数时，即可采用本发明提供的方法进行判断，如果计算出所述病毒的最新命中次数与对应的7日均线取值的标准化残差大于第一预设阈值时，即说明所述病毒的最新的命中次数存在异常，因而，可实现对各种病毒进行及时有效的监控。

可选的，如图3所示，上述方法还包括：

105、当ω₂≥D_N+1＞ω₁时，对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，其中，ω₁为所述第一预设阈值，ω₂为第二预设阈值；

可选的，上述ω₁的取值为置信区间99％对应的1.96，上述ω₂的取值为置信区间95％对应的2.58。

当利用第N+1个命中次数计算得到的标准化残差落在[1.96，2.58)区间中时，则说明病毒的发展趋势存在异常的概率为95％，则对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，例如，进行蓝色预警，以通知技术人员进行相关处理。

106、当D_N+1＞ω₂时，对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。

当利用第N+1个命中次数计算得到的标准化残差落在[2.58，∞)区间中时，则说明病毒的发展趋势存在异常的概率为99％，则对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警，例如，进行红色预警，以通知技术人员进行相关处理。

可选的，如图4所示，上述方法还包括：

107、当ω₂≥D_N+1＞ω₁且C_N+1＞λ时，对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，其中，ω₁为所述第一预设阈值，ω₂为第二预设阈值，λ为预设幅度。

可选的，上述ω₁的取值为置信区间99％对应的1.96，上述ω₂的取值为置信区间95％对应的2.58。

需要说明的是，本步骤是在上述步骤105的基础上，进一步地对第一级预警增加了前提条件C_N+1＞λ，上述λ的取值可以为500。由于C_N+1是所述病毒的第N+1个命中次数与利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的残差，也就是说，C_N+1表示第N+1个命中次数相对于利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的变化幅度，在实际应用时，当C_N+1小于500时，说明第N+1个命中次数的变化幅度较小，对于病毒趋势异常的监控，能提供的参考价值较小，而当C_N+1大于500时，说明第N+1个命中次数的变化幅度较大，对于病毒趋势异常的监控，能提供的参考价值较较大，越能准确反映病毒的发展趋势。

108、当D_N+1＞ω₂且C_N+1＞λ时，对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。

需要说明的是，本步骤是在上述步骤105的基础上，进一步地对第二级预警增加了前提条件C_N+1＞λ，上述λ的取值可以为500。具体参见上述步骤107中的相关描述。

下面给出一些采用本发明实施例提供的上述方法对病毒趋势进行监控时，得到的一些监控效果示意图。

图5为采用本发明实施例提供的监控方法，对病毒标识为Virus.Win32.Loader.b[1023]的趋势进行监控，没有监控到异常的效果示意图。其中，横坐标表示对病毒的查杀时间，纵坐标表示对病毒进行查杀时得到的命中次数。

图6为采用本发明实施例提供的方法对病毒Virus.Win32.ICE.a[1040]趋势进行监控，监控到异常并报警的效果示意图；图7为采用本发明实施例提供的方法对病毒Trojan.Win32.BHO.ds[1408]的趋势进行监控，监控到异常并报警的效果示意图。其中，横坐标表示对病毒的查杀时间，纵坐标表示对病毒进行查杀时得到的命中次数。三角形代表蓝色预警，圆形代表红色预警。

图8为采用本发明实施例提供的图4所示的监控方法，对病毒标识为Trojan.Win32.Pasta.ghc[1291]的趋势进行监控，由于不满足条件C_N+1＞λ而没有进行过报警的示意图。其中，横坐标表示对病毒的查杀时间，纵坐标表示对病毒进行查杀时得到的命中次数。

需要说明的是，本发明实施例中的监控方法是基于拉依达准侧，其原理为：符合正态分布的数据，可以根据置信区间准确的判断出是否存在异常点。而本发明实施例中提供的上述结合7日均线运算所得到的各个标准化残差是符合正态分布的。特别地，下面将详细描述结合7日均线运算所得到的各个标准化残差是符合正态分布的验证过程：

针对某个病毒引擎，将该病毒引擎查杀出的每个病毒的命中次数均按照查杀时间从先向后的顺序归为一组数据。每个病毒均会对应一组数据。

首先，随机抽取10组的样本数据，分别为表1中第1-2列所示的病毒D1000的样本数据，表1中第4-5列所示的病毒D1003的样本数据，表1中第7-8列所示的病毒D1021的样本数据，表2中第1-2列所示的病毒D1022的样本数据，表2中第4-5列所示的病毒D1026的样本数据，表2中第7-8列所示的病毒D1070的样本数据，表3中第1-2列所示的病毒D100000的样本数据，表3中第4-5列所示的病毒D200000的样本数据，表4中第1-2列所示的病毒D400015的样本数据，表4中第4-5列所示的病毒D500003的样本数据。

其次，对于每组的样本数据均采用本发明实施例提供的上述方法中步骤102进行7日均线运算得到7日均线取值，并采用上述方法中步骤103基于7日均线取值计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差。

表1-2中的第3、6、9列为病毒的命中次数与对应的7日均线取值的标准化残差；表3-4中的第3、6列为病毒的命中次数与对应的7日均线取值的标准化残差。

最后，将每组样本数据计算得到的标准化残差导入SPPS软件进行K-S检验，结果示意图如图9所示，可见每组样本数据得到的标准化残差均满足正态分布的特性。采用SPPS软件进行K-S检验以验证数据是否满足正态分布的特性属于现有技术，在此不再赘述。

表1

表2

表3

表4

实施例2：

本发明实施例提供一种病毒趋势异常的监控装置，如10所示，包括：

获取模块11，用于获取每次对病毒进行查杀时得到的命中次数；

运算模块12，用于利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值；

所述运算模块12，还用于计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差；

识别模块13，用于当所述标准化残差大于第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

本发明实施例提供的装置，通过利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值，并计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差，由于上述结合7日均线运算所得到的各个标准化残差符合正态分布，因而采用置信区间可以准确判断出每次对病毒进行查杀时得到的命中次数是否存在异常，进而判断出病毒趋势是否存在异常。例如，将上述第一预设阈值设置为置信区间95％对应的1.96，即可在所述标准化残差大于所述第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

可见，本发明实施例中在监控病毒趋势是否存在异常时，上述第一预设阈值可根据不同的置信区间进行确定，与现有技术相比，本发明实施例不需要大量的历史数据来确定上述第一预设阈值，因而对新病毒和变种病毒也可以进行准确的监控。并且，每当获取到对病毒进行查杀时得到的最新命中次数时，即可采用本发明提供的方法进行判断，如果计算出所述病毒的最新命中次数与对应的7日均线取值的标准化残差大于第一预设阈值时，即说明所述病毒的最新的命中次数存在异常，因而，可实现对各种病毒进行及时有效的监控。

具体地，所述运算模块12，具体用于根据

计算各个7日均线取值，其中，B_i为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值，i∈[7...N+1]且i为正整数，N+1为所述病毒的命中次数的总数，A_i-j为所述病毒的第i-j个命中次数。

具体地，所述运算模块12，还具体用于根据C_i＝A_i-B_i计算残差，其中，C_i为所述病毒的第i个命中次数与利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值的残差，A_i为所述病毒的第i个命中次数，B_i为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值，i∈[7...N+1]且i为正整数，N+1为所述病毒的命中次数的总数；

并根据

计算残差的均值，其中，E为所述病毒的各个命中次数对应的残差的均值，L∈[1...N]且L为正整数；

并根据 $S=\frac{1}{N-\max (7,N-L)-1}\underset{i=\max (7,N-L)}{\overset{N}{\mathrm{\Σ}}}{(\mathrm{Ci}-E)}^2$ 计算残差的标准差，其中，S为所述病毒的各个命中次数对应的残差的标准差；

并根据

计算所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差，其中，D_N+1为所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差，C_N+1为所述病毒的第N+1个命中次数与利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的残差。

具体地，所述识别模块13，具体用于当D_N+1＞ω₁时，将所述病毒的第N+1个命中次数产生时的时间点识别为所述病毒的发展趋势异常点，其中，ω₁为第一预设阈值。

可选的，如图11所示，所述的装置还包括：

第一预警模块14，用于当ω₂≥D_N+1＞ω₁时，对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，其中，ω₁为所述第一预设阈值，ω₂为第二预设阈值；

所述第一预警模块14，还用于当D_N+1＞ω₂时，对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。

可选的，如图12所示，所述的装置还包括：

第二预警模块15，用于当ω₂≥D_N+1＞ω₁且C_N+1＞λ时，对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，其中，ω₁为所述第一预设阈值，ω₂为第二预设阈值，λ为预设幅度；

所述第二预警模块15，还用于当D_N+1＞ω₂且C_N+1＞λ时，对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。

本装置的功能实现过程可参见上述实施例1中的方法的相关描述。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims (12)

1.一种病毒趋势异常的监控方法，其特征在于，包括：

获取每次对病毒进行查杀时得到的命中次数；

利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值；

计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差；

当所述标准化残差大于第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

2.根据权利要求1所述的方法，其特征在于，所述利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值，包括：

根据

计算各个7日均线取值，其中，B_i为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值，i∈[7...N+1]且i为正整数，N+1为所述病毒的命中次数的总数，A_i-j为所述病毒的第i-j个命中次数。

3.根据权利要求2所述的方法，其特征在于，所述计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差，包括：

根据C_i＝A_i-B_i计算残差，其中，C_i为所述病毒的第i个命中次数与利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值的残差，A_i为所述病毒的第i个命中次数，B_i为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值，i∈[7...N+1]且i为正整数，N+1为所述病毒的命中次数的总数；

根据

计算残差的均值，其中，E为所述病毒的各个命中次数对应的残差的均值，L∈[1...N]且L为正整数；

根据 $S=\frac{1}{N-\max (7,N-L)-1}\underset{i=\max (7,N-L)}{\overset{N}{\mathrm{\Σ}}}{(\mathrm{Ci}-E)}^2$ 计算残差的标准差，其中，S为所述病毒的各个命中次数对应的残差的标准差；

根据

计算所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差，其中，D_N+1为所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差，C_N+1为所述病毒的第N+1个命中次数与利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的残差。

4.根据权利要求3所述的方法，其特征在于，

当所述标准化残差大于第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点包括：

当D_N+1＞ω₁时，将所述病毒的第N+1个命中次数产生时的时间点识别为所述病毒的发展趋势异常点，其中，ω₁为第一预设阈值。

5.根据权利要求3或4所述的方法，其特征在于，还包括：

当ω₂≥D_N+1＞ω₁时，对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，其中，ω₁为所述第一预设阈值，ω₂为第二预设阈值；

当D_N+1＞ω₂时，对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。

6.根据权利要求3或4所述的方法，其特征在于，还包括：

当ω₂≥D_N+1＞ω₁且C_N+1＞λ时，对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，其中，ω₁为所述第一预设阈值，ω₂为第二预设阈值，λ为预设幅度；

当D_N+1＞ω₂且C_N+1＞λ时，对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。

7.一种病毒趋势异常的监控装置，其特征在于，包括：

获取模块，用于获取每次对病毒进行查杀时得到的命中次数；

运算模块，用于利用所述病毒的各个命中次数进行7日均线运算，得到各个7日均线取值；

所述运算模块，还用于计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差；

识别模块，用于当所述标准化残差大于第一预设阈值时，将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。

8.根据权利要求7所述的装置，其特征在于，所述运算模块，具体用于根据

计算各个7日均线取值，其中，B_i为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值，i∈[7...N+1]且i为正整数，N+1为所述病毒的命中次数的总数，A_i-j为所述病毒的第i-j个命中次数。

9.根据权利要求8所述的装置，其特征在于，

所述运算模块，还具体用于根据C_i＝A_i-B_i计算残差，其中，C_i为所述病毒的第i个命中次数与利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值的残差，A_i为所述病毒的第i个命中次数，B_i为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值，i∈[7...N+1]且i为正整数，N+1为所述病毒的命中次数的总数；

并根据计算残差的均值，其中，E为所述病毒的各个命中次数对应的残差的均值，L∈[1...N]且L为正整数；

并根据 $S=\frac{1}{N-\max (7,N-L)-1}\underset{i=\max (7,N-L)}{\overset{N}{\mathrm{\Σ}}}{(\mathrm{Ci}-E)}^2$ 计算残差的标准差，其中，S为所述病毒的各个命中次数对应的残差的标准差；

并根据

计算所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差，其中，D_N+1为所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差，C_N+1为所述病毒的第N+1个命中次数与利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的残差。

10.根据权利要求9所述的装置，其特征在于，所述识别模块，具体用于当D_N+1＞ω₁时，将所述病毒的第N+1个命中次数产生时的时间点识别为所述病毒的发展趋势异常点，其中，ω₁为第一预设阈值。

11.根据权利要求8或9所述的装置，其特征在于，还包括：

第一预警模块，用于当ω₂≥D_N+1＞ω₁时，对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，其中，ω₁为所述第一预设阈值，ω₂为第二预设阈值；

所述第一预警模块，还用于当D_N+1＞ω₂时，对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。

12.根据权利要求8或9所述的装置，其特征在于，还包括：

第二预警模块，用于当ω₂≥D_N+1＞ω₁且C_N+1＞λ时，对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警，其中，ω₁为所述第一预设阈值，ω₂为第二预设阈值，λ为预设幅度；

所述第二预警模块，还用于当D_N+1＞ω₂且C_N+1＞λ时，对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。

Images