CN103366119A - 病毒趋势异常的监控方法及装置 - Google Patents
病毒趋势异常的监控方法及装置 Download PDFInfo
- Publication number
- CN103366119A CN103366119A CN2012101017922A CN201210101792A CN103366119A CN 103366119 A CN103366119 A CN 103366119A CN 2012101017922 A CN2012101017922 A CN 2012101017922A CN 201210101792 A CN201210101792 A CN 201210101792A CN 103366119 A CN103366119 A CN 103366119A
- Authority
- CN
- China
- Prior art keywords
- hit
- count
- virus
- described virus
- average line
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Pure & Applied Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Mathematical Physics (AREA)
- Mathematical Optimization (AREA)
- Mathematical Analysis (AREA)
- Algebra (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
- Apparatus Associated With Microorganisms And Enzymes (AREA)
Abstract
本发明的实施例提供一种病毒趋势异常的监控方法及装置,涉及计算机技术领域,该方法包括:获取每次对病毒进行查杀时得到的命中次数;利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值;计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差;当所述标准化残差大于第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。本发明实施例可实现对各种病毒进行及时有效的监控。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种病毒趋势异常的监控方法及装置。
背景技术
目前,通过杀毒引擎对计算机病毒进行定期查杀,可以在一定程度上制约病毒的增长。当杀毒引擎对某一种病毒的查杀能力在一个很短时间内严重偏离原先的趋势时,则说明可能存在如下异常状况:如果查杀出这种病毒的数量剧增,说明短时间内这种病毒可能会大规模爆发;如果查杀出这种病毒的数量锐减,说明杀毒引擎对这种病毒的识别能力可能降低甚至丧失、抑或这种病毒开始变种。因此,对病毒发展趋势是否存在异常进行有效监控,并在监控到病毒发展趋势存在异常时,及时进行预警,对防止病毒的大规模爆发具有重要意义。
现有技术中,当病毒种类很少的时候,可以通过技术人员的经验来主观判断病毒的发展趋势是否存在异常。但随着病毒种类成千上万的猛增,通过人工对病毒发展趋势是否存在异常进行监控,将会耗费大量的人力,并且也难以满足有效监控的需求。
于是,现有技术出现了一种基于病毒样本数量或病毒样本增长幅度的监控方法,对每个病毒设定对应的阈值,通过监控病毒样本数量是否大于一个阈值,或者监控病毒样本增长幅度是否大于一个阈值,来判断病毒发展趋势是否存在异常。然而,对新病毒或变种病毒无法实现及时有效的监控。
发明内容
本发明的实施例提供一种病毒趋势异常的监控方法及装置,实现对各种病毒进行及时有效的监控。
为达到上述目的,本发明的实施例采用如下技术方案:
一方面,提供一种病毒趋势异常的监控方法,包括:
获取每次对病毒进行查杀时得到的命中次数;
利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值;
计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差;
当所述标准化残差大于第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
另一方面,提供一种病毒趋势异常的监控装置,包括:
获取模块,用于获取每次对病毒进行查杀时得到的命中次数;
运算模块,用于利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值;
所述运算模块,还用于计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差;
识别模块,用于当所述标准化残差大于第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
由上述技术方案所描述的本发明实施例中,通过利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值,并计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差,由于上述结合7日均线运算所得到的各个标准化残差符合正态分布,因而采用置信区间可以准确判断出每次对病毒进行查杀时得到的命中次数是否存在异常,进而判断出病毒趋势是否存在异常。例如,将上述第一预设阈值设置为置信区间95%对应的1.96,即可在所述标准化残差大于所述第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
可见,本发明实施例中在监控病毒趋势是否存在异常时,上述第一预设阈值可根据不同的置信区间进行确定,与现有技术相比,本发明实施例不需要大量的历史数据来确定上述第一预设阈值,因而对新病毒和变种病毒也可以进行准确的监控。并且,每当获取到对病毒进行查杀时得到的最新命中次数时,即可采用本发明提供的方法进行判断,如果计算出所述病毒的最新命中次数与对应的7日均线取值的标准化残差大于第一预设阈值时,即说明所述病毒的最新的命中次数存在异常,因而,可实现对各种病毒进行及时有效的监控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例1提供一种病毒趋势异常的监控方法的流程图;
图2为本发明实施例1提供一种病毒趋势异常的监控方法中步骤103的实现流程图;
图3为本发明实施例1提供另一种病毒趋势异常的监控方法的流程图;
图4为本发明实施例1提供又一种病毒趋势异常的监控方法的流程图;
图5为采用本发明实施例提供的监控方法对病毒的趋势进行监控,没有监控到异常的效果示意图;
图6为采用本发明实施例提供的监控方法对病毒的趋势进行监控,监控到异常并报警的效果示意图;
图7为采用本发明实施例提供的监控方法对病毒的趋势进行监控,监控到异常并报警的另一效果示意图;
图8为采用本发明实施例提供的图4所示的监控方法对病毒的趋势进行监控,由于不满足条件CN+1>λ而没有进行过报警的效果示意图;
图9为验证采用本发明实施例提供的方法计算出的标准化残差符合正态分布的结果示意图;
图10为本发明实施例2提供一种病毒趋势异常的监控装置的结构图;
图11为本发明实施例2提供一种病毒趋势异常的监控装置的另一结构图;
图12为本发明实施例2提供一种病毒趋势异常的监控装置的又一结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
采用病毒引擎周期性地对病毒进行查杀时,不同的病毒引擎可以查杀的病毒种类也不相同。对于每一种病毒,无论是已有病毒,或者变种病毒、或者新增病毒,均可以采用本发明实施例提供的如下方法来监控每一种病毒的发展趋势。下文中,以一种病毒为例,来详细说明病毒趋势异常的监控方法。
如图1所示,本发明实施例提供一种病毒趋势异常的监控方法,包括:
101、获取每次对病毒进行查杀时得到的命中次数。
需要说明的是,当病毒引擎每次对病毒进行查杀后,可将获得的该病毒的各个命中次数按照查杀时间由早到晚的次序存放在数据库中。该病毒的每个命中次数可按照“病毒引擎标识-病毒标识-日期-时间点-命中次数”的格式进行存放。
例如,采用病毒引擎A在2012年2月21日的12:08分对病毒B进行查杀后,得到该病毒B的最新命中次数为3354,假设之前在数据库中已经存放的该病毒B的命中次数的总数为N,且前N个命中次数已按照查杀时间由早到晚的次序进行存放,那么可知该病毒的最新命中次数为第N+1个,此时,可将该病毒的第N+1个命中次数按照“病毒引擎A-病毒B-2012年2月21日-12:08-3354”的格式,并存放在数据库中记录有该病毒引擎A对病毒B进行上一次查杀时得到的第N个命中次数之后。
具体地,在对病毒的趋势进行监控时,可以从数据库中获取一定周期内每次对病毒进行查杀时得到的命中次数,或者获取所有周期内每次对病毒进行查杀时得到的命中次数。
可选的,为了可以对病毒的趋势进行及时有效的监控,本发明实施例从数据库中获取病毒最新的前N+1个命中次数,其中第N+1个命中次数表示最新一次对病毒进行查杀后得到的命中次数。N的取值可以为大于90的正整数。
102、利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值。
具体地,根据计算各个7日均线取值,其中,Bi为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值,i∈[7...N+1]且i为正整数,N+1为所述病毒的命中次数的总数,Ai-j为所述病毒的第i-j个命中次数。
103、计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差。
具体地,如图2所示,本步骤通过如下子步骤实现:
103-1、根据Ci=Ai-Bi计算残差。
其中,Ci为所述病毒的第i个命中次数与利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值的残差,Ai为所述病毒的第i个命中次数,Bi为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值,i∈[7...N+1]且i为正整数,N+1为所述病毒的命中次数的总数。
103-2、根据 计算残差的均值。
其中,E为所述病毒的各个命中次数对应的残差的均值,L∈[1...N]且L为正整数。
实际应用时,该L的取值可以为90,亦即使用最新的前N个命中次数中的前90个命中次数计算得到的残差作为标准数据,来对第N+1个命中次数是否存在异常进行监控。
103-3、根据 计算残差的标准差。
其中,S为所述病毒的各个命中次数对应的残差的标准差。
其中,DN+1为所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差,CN+1为所述病毒的第N+1个命中次数与利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的残差。
104、当所述标准化残差大于第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
具体地,当DN+1>ω1时,将所述病毒的第N+1个命中次数产生时的时间点识别为所述病毒的发展趋势异常点,其中,ω1为第一预设阈值。
可选的,上述ω1的取值可以为置信区间95%对应的2.58,也可以为置信区间99%对应的1.96。
本发明实施例中,通过利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值,并计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差,由于上述结合7日均线运算所得到的各个标准化残差符合正态分布(验证上述结合7日均线运算所得到的各个标准化残差符合正态分布的实例见下文中第9页),因而采用置信区间可以准确判断出每次对病毒进行查杀时得到的命中次数是否存在异常,进而判断出病毒趋势是否存在异常。例如,将上述第一预设阈值设置为置信区间95%对应的1.96,即可在所述标准化残差大于所述第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
可见,本发明实施例中在监控病毒趋势是否存在异常时,上述第一预设阈值可根据不同的置信区间进行确定,在进行7日均线运算时,最少需要7个数据即可,而现有技术中的阈值需要对大量的历史数据进行学习和分析才能得到,对于新病毒或变种病毒,由于短时间内难以提供大量的历史数据,导致对新病毒或变种病毒无法实现及时有效的监控,与现有技术相比,本发明实施例不需要大量的历史数据来确定上述第一预设阈值,因而对新病毒和变种病毒也可以进行准确的监控。并且,每当获取到对病毒进行查杀时得到的最新命中次数时,即可采用本发明提供的方法进行判断,如果计算出所述病毒的最新命中次数与对应的7日均线取值的标准化残差大于第一预设阈值时,即说明所述病毒的最新的命中次数存在异常,因而,可实现对各种病毒进行及时有效的监控。
可选的,如图3所示,上述方法还包括:
105、当ω2≥DN+1>ω1时,对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,其中,ω1为所述第一预设阈值,ω2为第二预设阈值;
可选的,上述ω1的取值为置信区间99%对应的1.96,上述ω2的取值为置信区间95%对应的2.58。
当利用第N+1个命中次数计算得到的标准化残差落在[1.96,2.58)区间中时,则说明病毒的发展趋势存在异常的概率为95%,则对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,例如,进行蓝色预警,以通知技术人员进行相关处理。
106、当DN+1>ω2时,对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。
当利用第N+1个命中次数计算得到的标准化残差落在[2.58,∞)区间中时,则说明病毒的发展趋势存在异常的概率为99%,则对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警,例如,进行红色预警,以通知技术人员进行相关处理。
可选的,如图4所示,上述方法还包括:
107、当ω2≥DN+1>ω1且CN+1>λ时,对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,其中,ω1为所述第一预设阈值,ω2为第二预设阈值,λ为预设幅度。
可选的,上述ω1的取值为置信区间99%对应的1.96,上述ω2的取值为置信区间95%对应的2.58。
需要说明的是,本步骤是在上述步骤105的基础上,进一步地对第一级预警增加了前提条件CN+1>λ,上述λ的取值可以为500。由于CN+1是所述病毒的第N+1个命中次数与利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的残差,也就是说,CN+1表示第N+1个命中次数相对于利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的变化幅度,在实际应用时,当CN+1小于500时,说明第N+1个命中次数的变化幅度较小,对于病毒趋势异常的监控,能提供的参考价值较小,而当CN+1大于500时,说明第N+1个命中次数的变化幅度较大,对于病毒趋势异常的监控,能提供的参考价值较较大,越能准确反映病毒的发展趋势。
108、当DN+1>ω2且CN+1>λ时,对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。
需要说明的是,本步骤是在上述步骤105的基础上,进一步地对第二级预警增加了前提条件CN+1>λ,上述λ的取值可以为500。具体参见上述步骤107中的相关描述。
下面给出一些采用本发明实施例提供的上述方法对病毒趋势进行监控时,得到的一些监控效果示意图。
图5为采用本发明实施例提供的监控方法,对病毒标识为Virus.Win32.Loader.b[1023]的趋势进行监控,没有监控到异常的效果示意图。其中,横坐标表示对病毒的查杀时间,纵坐标表示对病毒进行查杀时得到的命中次数。
图6为采用本发明实施例提供的方法对病毒Virus.Win32.ICE.a[1040]趋势进行监控,监控到异常并报警的效果示意图;图7为采用本发明实施例提供的方法对病毒Trojan.Win32.BHO.ds[1408]的趋势进行监控,监控到异常并报警的效果示意图。其中,横坐标表示对病毒的查杀时间,纵坐标表示对病毒进行查杀时得到的命中次数。三角形代表蓝色预警,圆形代表红色预警。
图8为采用本发明实施例提供的图4所示的监控方法,对病毒标识为Trojan.Win32.Pasta.ghc[1291]的趋势进行监控,由于不满足条件CN+1>λ而没有进行过报警的示意图。其中,横坐标表示对病毒的查杀时间,纵坐标表示对病毒进行查杀时得到的命中次数。
需要说明的是,本发明实施例中的监控方法是基于拉依达准侧,其原理为:符合正态分布的数据,可以根据置信区间准确的判断出是否存在异常点。而本发明实施例中提供的上述结合7日均线运算所得到的各个标准化残差是符合正态分布的。特别地,下面将详细描述结合7日均线运算所得到的各个标准化残差是符合正态分布的验证过程:
针对某个病毒引擎,将该病毒引擎查杀出的每个病毒的命中次数均按照查杀时间从先向后的顺序归为一组数据。每个病毒均会对应一组数据。
首先,随机抽取10组的样本数据,分别为表1中第1-2列所示的病毒D1000的样本数据,表1中第4-5列所示的病毒D1003的样本数据,表1中第7-8列所示的病毒D1021的样本数据,表2中第1-2列所示的病毒D1022的样本数据,表2中第4-5列所示的病毒D1026的样本数据,表2中第7-8列所示的病毒D1070的样本数据,表3中第1-2列所示的病毒D100000的样本数据,表3中第4-5列所示的病毒D200000的样本数据,表4中第1-2列所示的病毒D400015的样本数据,表4中第4-5列所示的病毒D500003的样本数据。
其次,对于每组的样本数据均采用本发明实施例提供的上述方法中步骤102进行7日均线运算得到7日均线取值,并采用上述方法中步骤103基于7日均线取值计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差。
表1-2中的第3、6、9列为病毒的命中次数与对应的7日均线取值的标准化残差;表3-4中的第3、6列为病毒的命中次数与对应的7日均线取值的标准化残差。
最后,将每组样本数据计算得到的标准化残差导入SPPS软件进行K-S检验,结果示意图如图9所示,可见每组样本数据得到的标准化残差均满足正态分布的特性。采用SPPS软件进行K-S检验以验证数据是否满足正态分布的特性属于现有技术,在此不再赘述。
表1
表2
表3
表4
实施例2:
本发明实施例提供一种病毒趋势异常的监控装置,如10所示,包括:
获取模块11,用于获取每次对病毒进行查杀时得到的命中次数;
运算模块12,用于利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值;
所述运算模块12,还用于计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差;
识别模块13,用于当所述标准化残差大于第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
本发明实施例提供的装置,通过利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值,并计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差,由于上述结合7日均线运算所得到的各个标准化残差符合正态分布,因而采用置信区间可以准确判断出每次对病毒进行查杀时得到的命中次数是否存在异常,进而判断出病毒趋势是否存在异常。例如,将上述第一预设阈值设置为置信区间95%对应的1.96,即可在所述标准化残差大于所述第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
可见,本发明实施例中在监控病毒趋势是否存在异常时,上述第一预设阈值可根据不同的置信区间进行确定,与现有技术相比,本发明实施例不需要大量的历史数据来确定上述第一预设阈值,因而对新病毒和变种病毒也可以进行准确的监控。并且,每当获取到对病毒进行查杀时得到的最新命中次数时,即可采用本发明提供的方法进行判断,如果计算出所述病毒的最新命中次数与对应的7日均线取值的标准化残差大于第一预设阈值时,即说明所述病毒的最新的命中次数存在异常,因而,可实现对各种病毒进行及时有效的监控。
具体地,所述运算模块12,具体用于根据计算各个7日均线取值,其中,Bi为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值,i∈[7...N+1]且i为正整数,N+1为所述病毒的命中次数的总数,Ai-j为所述病毒的第i-j个命中次数。
具体地,所述运算模块12,还具体用于根据Ci=Ai-Bi计算残差,其中,Ci为所述病毒的第i个命中次数与利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值的残差,Ai为所述病毒的第i个命中次数,Bi为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值,i∈[7...N+1]且i为正整数,N+1为所述病毒的命中次数的总数;
并根据 计算残差的标准差,其中,S为所述病毒的各个命中次数对应的残差的标准差;
并根据计算所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差,其中,DN+1为所述病毒的第N+1个命中次数与对应的7日均线取值的标准化残差,CN+1为所述病毒的第N+1个命中次数与利用所述病毒的第N+1个命中次数到第N-5个命中次数计算得到的7日均线取值的残差。
具体地,所述识别模块13,具体用于当DN+1>ω1时,将所述病毒的第N+1个命中次数产生时的时间点识别为所述病毒的发展趋势异常点,其中,ω1为第一预设阈值。
可选的,如图11所示,所述的装置还包括:
第一预警模块14,用于当ω2≥DN+1>ω1时,对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,其中,ω1为所述第一预设阈值,ω2为第二预设阈值;
所述第一预警模块14,还用于当DN+1>ω2时,对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。
可选的,如图12所示,所述的装置还包括:
第二预警模块15,用于当ω2≥DN+1>ω1且CN+1>λ时,对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,其中,ω1为所述第一预设阈值,ω2为第二预设阈值,λ为预设幅度;
所述第二预警模块15,还用于当DN+1>ω2且CN+1>λ时,对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。
本装置的功能实现过程可参见上述实施例1中的方法的相关描述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (12)
1.一种病毒趋势异常的监控方法,其特征在于,包括:
获取每次对病毒进行查杀时得到的命中次数;
利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值;
计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差;
当所述标准化残差大于第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
3.根据权利要求2所述的方法,其特征在于,所述计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差,包括:
根据Ci=Ai-Bi计算残差,其中,Ci为所述病毒的第i个命中次数与利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值的残差,Ai为所述病毒的第i个命中次数,Bi为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值,i∈[7...N+1]且i为正整数,N+1为所述病毒的命中次数的总数;
根据 计算残差的标准差,其中,S为所述病毒的各个命中次数对应的残差的标准差;
4.根据权利要求3所述的方法,其特征在于,
当所述标准化残差大于第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点包括:
当DN+1>ω1时,将所述病毒的第N+1个命中次数产生时的时间点识别为所述病毒的发展趋势异常点,其中,ω1为第一预设阈值。
5.根据权利要求3或4所述的方法,其特征在于,还包括:
当ω2≥DN+1>ω1时,对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,其中,ω1为所述第一预设阈值,ω2为第二预设阈值;
当DN+1>ω2时,对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。
6.根据权利要求3或4所述的方法,其特征在于,还包括:
当ω2≥DN+1>ω1且CN+1>λ时,对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,其中,ω1为所述第一预设阈值,ω2为第二预设阈值,λ为预设幅度;
当DN+1>ω2且CN+1>λ时,对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。
7.一种病毒趋势异常的监控装置,其特征在于,包括:
获取模块,用于获取每次对病毒进行查杀时得到的命中次数;
运算模块,用于利用所述病毒的各个命中次数进行7日均线运算,得到各个7日均线取值;
所述运算模块,还用于计算所述病毒的各个命中次数与各自对应的7日均线取值的标准化残差;
识别模块,用于当所述标准化残差大于第一预设阈值时,将所述标准化残差对应的命中次数产生时的时间点识别为所述病毒的发展趋势异常点。
9.根据权利要求8所述的装置,其特征在于,
所述运算模块,还具体用于根据Ci=Ai-Bi计算残差,其中,Ci为所述病毒的第i个命中次数与利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值的残差,Ai为所述病毒的第i个命中次数,Bi为利用所述病毒的第i个命中次数到第i-6个命中次数计算得到的7日均线取值,i∈[7...N+1]且i为正整数,N+1为所述病毒的命中次数的总数;
并根据计算残差的均值,其中,E为所述病毒的各个命中次数对应的残差的均值,L∈[1...N]且L为正整数;
并根据 计算残差的标准差,其中,S为所述病毒的各个命中次数对应的残差的标准差;
10.根据权利要求9所述的装置,其特征在于,所述识别模块,具体用于当DN+1>ω1时,将所述病毒的第N+1个命中次数产生时的时间点识别为所述病毒的发展趋势异常点,其中,ω1为第一预设阈值。
11.根据权利要求8或9所述的装置,其特征在于,还包括:
第一预警模块,用于当ω2≥DN+1>ω1时,对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,其中,ω1为所述第一预设阈值,ω2为第二预设阈值;
所述第一预警模块,还用于当DN+1>ω2时,对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。
12.根据权利要求8或9所述的装置,其特征在于,还包括:
第二预警模块,用于当ω2≥DN+1>ω1且CN+1>λ时,对所述病毒的第N+1个命中次数产生时的时间点进行第一级预警,其中,ω1为所述第一预设阈值,ω2为第二预设阈值,λ为预设幅度;
所述第二预警模块,还用于当DN+1>ω2且CN+1>λ时,对所述病毒的第N+1个命中次数产生时的时间点进行第二级预警。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210101792.2A CN103366119B (zh) | 2012-04-09 | 2012-04-09 | 病毒趋势异常的监控方法及装置 |
PCT/CN2013/073357 WO2013152672A1 (zh) | 2012-04-09 | 2013-03-28 | 病毒趋势异常的监控方法及装置 |
BR112014001804A BR112014001804A2 (pt) | 2012-04-09 | 2013-03-28 | método e dispositivo para monitoramento de anomalia de tendência de vírus |
US14/178,825 US9817973B2 (en) | 2012-04-09 | 2014-02-12 | Method and device for monitoring virus trend abnormality |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210101792.2A CN103366119B (zh) | 2012-04-09 | 2012-04-09 | 病毒趋势异常的监控方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103366119A true CN103366119A (zh) | 2013-10-23 |
CN103366119B CN103366119B (zh) | 2016-08-03 |
Family
ID=49327087
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210101792.2A Active CN103366119B (zh) | 2012-04-09 | 2012-04-09 | 病毒趋势异常的监控方法及装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9817973B2 (zh) |
CN (1) | CN103366119B (zh) |
BR (1) | BR112014001804A2 (zh) |
WO (1) | WO2013152672A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112152834A (zh) * | 2019-06-29 | 2020-12-29 | 北京金山云网络技术有限公司 | 一种网络异常报警方法、装置及电子设备 |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2571721C2 (ru) * | 2014-03-20 | 2015-12-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения мошеннических онлайн-транзакций |
CN105915556B (zh) * | 2016-06-29 | 2019-02-12 | 北京奇虎科技有限公司 | 一种终端的攻击面的确定方法及设备 |
EP3511856A1 (en) * | 2018-01-16 | 2019-07-17 | Nokia Solutions and Networks Oy | Method, apparatus and computer readable medium to detect at least one change in continuous data |
CN113836535B (zh) * | 2021-08-31 | 2024-08-09 | 中国人民解放军空军工程大学 | 一种零日病毒的动态防御方法 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236863A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6886099B1 (en) * | 2000-09-12 | 2005-04-26 | Networks Associates Technology, Inc. | Computer virus detection |
US6892209B2 (en) * | 2001-06-13 | 2005-05-10 | International Business Machines Corporation | Technique for determination of an exception in multi-dimensional data |
US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
CN1848745A (zh) * | 2005-04-13 | 2006-10-18 | 安氏互联网安全系统(中国)有限公司 | 基于网络流量特征的蠕虫病毒检测方法 |
CA2531410A1 (en) * | 2005-12-23 | 2007-06-23 | Snipe Network Security Corporation | Behavioural-based network anomaly detection based on user and group profiling |
US20070234424A1 (en) * | 2006-03-31 | 2007-10-04 | Lucent Technologies, Inc. | Design and evaluation of a fast and robust worm detection algorithm |
JP4723466B2 (ja) * | 2006-12-19 | 2011-07-13 | 三菱電機株式会社 | データ処理装置及びデータ処理方法及びプログラム |
US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
IL183390A0 (en) * | 2007-05-24 | 2007-09-20 | Deutsche Telekom Ag | Distributed system for the detection |
JP4945344B2 (ja) * | 2007-07-02 | 2012-06-06 | 日本電信電話株式会社 | パケットフィルタリング方法およびパケットフィルタリングシステム |
US8503302B2 (en) * | 2007-12-31 | 2013-08-06 | Telecom Italia S.P.A. | Method of detecting anomalies in a communication system using numerical packet features |
US8321935B1 (en) * | 2009-02-26 | 2012-11-27 | Symantec Corporation | Identifying originators of malware |
-
2012
- 2012-04-09 CN CN201210101792.2A patent/CN103366119B/zh active Active
-
2013
- 2013-03-28 BR BR112014001804A patent/BR112014001804A2/pt not_active Application Discontinuation
- 2013-03-28 WO PCT/CN2013/073357 patent/WO2013152672A1/zh active Application Filing
-
2014
- 2014-02-12 US US14/178,825 patent/US9817973B2/en active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005236863A (ja) * | 2004-02-23 | 2005-09-02 | Kddi Corp | ログ分析装置、ログ分析プログラムおよび記録媒体 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112152834A (zh) * | 2019-06-29 | 2020-12-29 | 北京金山云网络技术有限公司 | 一种网络异常报警方法、装置及电子设备 |
CN112152834B (zh) * | 2019-06-29 | 2023-06-06 | 北京金山云网络技术有限公司 | 一种网络异常报警方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN103366119B (zh) | 2016-08-03 |
US20140189872A1 (en) | 2014-07-03 |
WO2013152672A1 (zh) | 2013-10-17 |
US9817973B2 (en) | 2017-11-14 |
BR112014001804A2 (pt) | 2017-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102520044B1 (ko) | 경보 로그 압축 방법, 장치, 및 시스템, 및 저장 매체 | |
CN110213077B (zh) | 一种确定电力监控系统安全事件的方法、装置及系统 | |
CN103366119A (zh) | 病毒趋势异常的监控方法及装置 | |
CN104504901B (zh) | 一种基于多维数据的交通异常点检测方法 | |
EP2924579B1 (en) | Event correlation | |
US8774023B2 (en) | Method and system for detecting changes in network performance | |
CN103744389B (zh) | 一种油气生产设备运行状态的预警方法 | |
CN103761173A (zh) | 一种基于日志的计算机系统故障诊断方法及装置 | |
CN105808759A (zh) | 面向轨迹挖掘的数据预处理方法及系统 | |
CN105208040A (zh) | 一种网络攻击检测方法及装置 | |
WO2019019749A1 (zh) | 一种内存异常检测方法及设备 | |
CN109492394A (zh) | 异常业务请求的识别方法及终端设备 | |
CN104184728A (zh) | 一种Web应用系统的安全检测方法及安全检测装置 | |
CN105959316A (zh) | 网络安全性验证系统 | |
CN103020754A (zh) | 线损分析管理系统及线损分析管理方法 | |
CN104820663A (zh) | 发现低性能的sql语句以及预测sql语句性能的方法和装置 | |
CN107526007A (zh) | 故障类型的识别方法及装置 | |
CN105306439A (zh) | 一种基于决策树自修复的特征规则检测方法 | |
CN110889597A (zh) | 业务时序指标异常检测方法及装置 | |
CN108833442A (zh) | 一种分布式网络安全监控装置及其方法 | |
CN109359251A (zh) | 应用系统使用情况的审计预警方法、装置和终端设备 | |
CN105653835A (zh) | 一种基于聚类分析的异常检测方法 | |
CN108229586B (zh) | 一种数据中的异常数据点的检测方法及系统 | |
CN113221096A (zh) | 一种在混沌工程中随机事件相关性分析方法及系统 | |
CN117040664A (zh) | 一种基于网络运行安全的计算机系统检测方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20230713 Address after: 518000 Tencent Building, No. 1 High-tech Zone, Nanshan District, Shenzhen City, Guangdong Province, 35 Floors Patentee after: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. Patentee after: TENCENT CLOUD COMPUTING (BEIJING) Co.,Ltd. Address before: Room 403, East Building 2, Saige Science Park, Futian District, Shenzhen, Guangdong, China 518000 Patentee before: TENCENT TECHNOLOGY (SHENZHEN) Co.,Ltd. |