CN107819631A - 一种设备异常检测方法、装置及设备 - Google Patents
一种设备异常检测方法、装置及设备 Download PDFInfo
- Publication number
- CN107819631A CN107819631A CN201711184594.6A CN201711184594A CN107819631A CN 107819631 A CN107819631 A CN 107819631A CN 201711184594 A CN201711184594 A CN 201711184594A CN 107819631 A CN107819631 A CN 107819631A
- Authority
- CN
- China
- Prior art keywords
- target device
- confidence level
- dimension
- access
- under
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
Abstract
本发明公开一种设备异常检测方法、装置及设备,所述方法包括:采集目标设备的接入数据;对所述接入数据进行统计,得到所述目标设备的统计信息;根据所述目标设备的统计信息,确定所述目标设备的可信度;将所述目标设备的可信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度;根据所述目标设备的行为置信度,确定所述目标设备是否异常。利用本发明实施例提供的设备异常检测方法,能够检测出接入服务器的异常设备,降低对服务器的信息安全的影响。
Description
技术领域
本申请涉及数据处理领域,具体涉及一种设备异常检测方法、装置及设备。
背景技术
随着通信技术的发展,终端设备在各行各业中得到了普及应用,由于终端设备使用场景的开放性和不可监督性,以及传输安全的脆弱性等问题,终端设备在给用户带来方便的同时,也带来了信息安全隐患。
目前,通常采用虚拟专用网技术、数字证书技术以及用户名密码等方式,完成终端设备通过网络接入服务器的认证工作,以保证信息传输的安全。但是,在实际场景中,存在用户名密码过于简单、一机接入多网等不良使用习惯问题,终端设备也不可避免的存在安全漏洞,所以,目前并不能完全保证终端设备的信息安全。
因此,在终端设备接入服务器后,可能会给服务器带来安全隐患,为了降低对服务器的信息安全的影响,目前亟需一种对接入服务器的终端设备的异常检测方法。
发明内容
本发明提供了一种终端异常检测方法、装置及设备,能够对接入服务器的设备进行异常检测,降低对服务器的信息安全的影响。
第一方面,本发明提供一种设备异常检测方法,所述方法包括:
采集目标设备的接入数据;
对所述接入数据进行统计,得到所述目标设备的统计信息;
根据所述目标设备的统计信息,确定所述目标设备的置信可信度;
将所述目标设备的可信置信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度;
根据所述目标设备的行为置信度,确定所述目标设备是否异常。
可选的,所述对所述接入数据进行统计,得到所述目标设备的统计信息,包括:
基于预设维度,对所述接入数据进行统计,得到所述目标设备分别在各个维度下的统计信息;
相应的,所述根据所述目标设备的统计信息,确定所述目标设备的可信置信度,包括:
根据所述目标设备分别在各个维度下的统计信息,确定所述目标设备在各个维度下的可信置信度;
相应的,所述将所述目标设备的可信置信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度,包括:
将所述目标设备在各个维度下的可信置信度,作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度。
可选的,所述目标设备的接入数据包括所述目标设备的接入时行为数据和接入后流量数据;所述接入时行为数据包括接入时间、接入地点、接入信息输入是否正确;所述接入后流量数据包括预设数据包类型、累计使用数据流量、带宽使用率。
可选的,所述根据所述目标设备分别在各个维度下的统计信息,确定所述目标设备在各个维度下的可信置信度,包括:
基于所述历史接入数据,确定各个维度下的可信置信度对应关系,所述可信置信度对应关系包括统计对象与可信置信度的对应关系;
将所述目标设备分别在各个维度下的统计信息,分别与对应维度下的可信置信度对应关系中的统计对象进行匹配,并将匹配成功的统计对象对应的可信置信度,确定为所述目标设备在对应维度下的可信置信度。
可选的,所述基于所述历史接入数据,确定各个维度下的可信置信度对应关系,所述可信置信度对应关系包括统计对象与可信置信度的对应关系,包括:
基于所述历史接入数据,计算各个维度下的各个统计对象的概率;
根据各个统计对象的概率确定对应的可信置信度,并建立各个维度下的统计对象与可信置信度的对应关系。
可选的,所述根据所述目标设备的行为置信度,确定所述目标设备是否异常,包括:
判断所述目标设备的行为置信度是否小于预设阈值,如果是,则确定所述目标设备存在异常。
可选的,所述方法还包括:
当确定所述目标设备存在异常时,向所述目标设备发送验证请求。
第二方面,本发明还提供了一种设备异常检测装置,所述装置包括:
采集模块,用于采集目标设备的接入数据;
统计模块,用于对所述接入数据进行统计,得到所述目标设备的统计信息;
第一确定模块,用于根据所述目标设备的统计信息,确定所述目标设备的置信可信度;
输入模块,用于将所述目标设备的可信置信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度;
第二确定模块,用于根据所述目标设备的行为置信度,确定所述目标设备是否异常。
可选的,所述统计模块,具体用于基于预设维度,对所述接入数据进行统计,得到所述目标设备分别在各个维度下的统计信息;
相应的,所述第一确定模块,具体用于根据所述目标设备分别在各个维度下的统计信息,确定所述目标设备在各个维度下的可信置信度;
相应的,所述输入模块具体用于将所述目标设备在各个维度下的可信置信度,作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度。
第三方面,本发明还提供了一种设备异常检测设备,所述设备包括存储器和处理器,
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于运行所述程序代码,其中,所述程序代码运行时执行上述设备异常检测方法。
本发明提供的设备异常检测方法中,采集接入到服务器的目标设备的接入数据,并基于目标设备的接入数据对目标设备进行异常检测,由于目标设备的接入数据能够全面的体现设备的异常情况,所以,与现有技术相比,本发明基于接入数据对目标设备进行异常检测能够得到相对准确的检测结果。另外,本发明利用神经网络模型计算目标设备的行为置信度,最终确定目标设备是否异常,由于神经网络模型是基于历史接入数据训练得到的,所以,利用神经网络模型对目标设备进行异常检测能够得到更准确的检测结果。由于本发明能够准确检测出接入服务器的设备是否为异常设备,所以利用本发明提供的设备异常检测方法对接入服务器的设备进行异常检测,能够保证服务器的信息安全。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种设备异常检测方法的流程图;
图2为本申请实施例提供的另一种设备异常检测方法的流程图;
图3为本申请实施例提供的一种设备异常检测装置的结构示意图;
图4为本申请实施例提供的一种设备异常检测设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,由于设备的信息安全不能被保证,所以,一旦不安全设备通过网络接入服务器后,可能会对服务器的信息安全也造成影响,为了降低不安全设备对服务器的影响,本发明提供了一种设备异常检测方法,以检测出接入服务器的不安全设备,从而降低对服务器的信息安全的影响。
具体的,本发明通过对采集到的目标设备的接入数据进行统计,得到目标设备的统计信息,根据统计信息确定目标设备的可信度,并利用建立的神经网络模型对目标设备的可信度进行处理,得到目标设备的行为置信度,最终,根据目标设备的行为置信度,确定目标设备是否异常。利用本发明提供的设备异常检测方法,能够检测出接入服务器的异常设备,降低对服务器的信息安全的影响。
参考图1,为本发明实施例提供的一种设备异常检测方法的流程图,该设备异常检测方法应用于服务器,具体的,该方法包括:
S101:采集目标设备的接入数据。
本发明实施例中,目标设备可以为移动设备,如手机、平板电脑等,也可以为PC机、笔记本电脑等终端设备。目标设备的接入数据可以包括目标设备的接入时行为数据和接入后流量数据。
实际应用中,在目标设备通过网络接入服务器时,该服务器采集目标设备的接入时行为数据,其中,目标设备的接入时行为数据包括但不限于目标设备接入该服务器的接入时间、接入地点、接入信息输入错误次数(如用户名或密码输入错误次数);在目标设备通过网络成功接入服务器后,该服务器采集目标设备的接入后流量数据,其中,目标设备的接入后流量数据包括但不限于目标设备与该服务器之间传输的预设数据包类型的个数、累积使用数据流量以及宽带使用率。
具体的,服务器可以按照预设频率,采集目标设备的接入时行为数据和接入后流量数据,例如服务器可以每5秒采集一次目标设备的接入时行为数据和接入后流量数据。
S102:对所述接入数据进行统计,得到所述目标设备的统计信息。
本发明实施例中,对于采集到的目标设备的接入数据,服务器可以以预设频率进行统计,最终得到目标设备的统计信息。例如,服务器以每5秒一次的采集频率对目标设备的接入数据进行采集,并以每5分钟一次的统计频率对采集到的目标设备的接入数据进行统计,得到目标设备的统计信息,值得注意的是,本发明实施例是基于一次统计得到的统计信息对目标设备进行异常检测。
由于服务器采集到的目标设备的接入数据包括接入时行为数据和接入后流量数据,所以,服务器可以对目标设备的接入时行为数据和接入后流量数据分别进行统计,最终得到目标设备的统计信息,具体统计方法在后续进行介绍。
S103:根据所述目标设备的统计信息,确定所述目标设备的可信度。
本发明实施例中,服务器基于目标设备的统计信息,确定目标设备的可信度。其中,目标设备的可信度可以用于表征目标设备的可信程度。
本发明实施例提供的一种实现方式中,服务器可以通过概率计算的方式实现目标设备的可信度的计算,具体实现方式在后续进行详细介绍。
S104:将所述目标设备的可信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度。
本发明实施例中,利用反向传输(Back propagation;BP)神经网络建立神经网络模型,用于设备异常的检测。
实际应用中,在对目标设备进行检测之前,首先利用采集到的历史接入数据对神经网络模型进行训练,完成训练后的神经网络模型能够直接用于目标设备的检测。
具体的,用于训练神经网络模型的历史接入数据可以为服务器最近一段时间内的采集到的历史接入数据,如最近1小时内采集到的历史接入数据。
本发明实施例中,在完成神经网络模型的训练后,将目标设备的可信度作为该神经网络模型的输入参数,对目标设备进行异常检测,该神经网络模型的输出即为目标设备的行为置信度。
S105:根据所述目标设备的行为置信度,确定所述目标设备是否异常。
本发明实施例中,经过神经网络模型的异常检测后,服务器基于该神经网络模型的输出,确定目标设备是够异常。
具体的,预先设置用于确定目标设备是否异常的预设阈值,并判断神经网络模型输出的目标设备的行为置信度是否小于该预设阈值,如果小于,则确定目标设备存在异常,否则,可以确定目标设备为安全设备。对于存在异常的目标设备,服务器可以向其发送验证请求,以进一步确定目标设备是否存在异常,具体方式包括但不限于以下方式:服务器可以向存在异常的目标设备发送手机验证码输入请求,如果服务器未接收到来自目标设备的正确验证码,则可以进一步确定目标设备存在异常,否则可以确定目标设备未存在异常。
实际应用中,用于确定目标设备是否异常的预设阈值T的数值范围通常为0<T<1,服务器可以根据设备异常检测的误报率、漏报率,以二分查找的方式对T进行调整。具体的,如果设备异常检测的漏报率高则升高T,误报率高则降低T,直到找到一个可接受的平衡点,即确定使得设备异常检测的误报率和漏报率均较低的T。
例如:假设T的初始值设置为0.5,此时漏报率过高,则可以通过升高T降低漏报率,具体的,T=(0.5+1)/2=0.75;但是,调整T后发现误报率过高,进而可以通过降低T降低误报率,具体的,T=(0.5+0.75)/2=0.625,可见,相对T的初始值0.5,最终确定的T能够使得设备异常检测的误报率和漏报率均降低,提高设备异常检测的准确率。
本发明实施例提供的设备异常检测方法中,采集接入到服务器的目标设备的接入数据,并基于目标设备的接入数据对目标设备进行异常检测,由于目标设备的接入数据能够全面的体现设备的异常情况,所以,与现有技术相比,本发明基于接入数据对目标设备进行异常检测能够得到相对准确的检测结果。另外,本发明利用神经网络模型计算目标设备的行为置信度,最终确定目标设备是否异常,由于神经网络模型是基于历史接入数据训练得到的,所以,利用神经网络模型对目标设备进行异常检测能够得到更准确的检测结果。由于本发明能够准确检测出接入服务器的设备是否为异常设备,所以利用本发明提供的设备异常检测方法对接入服务器的设备进行异常检测,能够保证服务器的信息安全
通过对异常设备的特点进行分析,本发明实施例可以从预设几个维度对设备进行检测,以检测出接入服务器的异常设备,避免对服务器的信息安全造成影响。为此,本发明实施例提供了一种设备异常检测方法,参考图2,为本发明实施例提供的另一种设备异常检测方法的流程图,所述方法具体包括:
S201:采集目标设备的接入数据。
本实施例中的S201与上述实施例中S101相同,可参照理解,在此不再赘述。
S202:基于预设维度,对所述接入数据进行统计,得到所述目标设备分别在各个维度下的统计信息。
本发明实施例中的预设维度包括以下至少一个维度:接入时间维度、接入地点维度、接入信息输入错误次数维度、预设数据包类型维度、累积使用数据流量维度、宽带使用率维度。
实际应用中,服务器对于采集到的目标设备的接入数据,分别基于各个预设维度进行统计,得到目标设备在各个维度下的统计信息。
具体的,对于接入时间维度,服务器从采集到的接入数据中确定目标设备最近一次成功接入该服务器的接入时间,作为接入时间维度的统计信息。相似的,对于接入地点维度,服务器从采集到的接入数据中确定目标设备最近一次成功接入该服务器的接入地点,作为接入地点维度的统计信息。对于接入信息输入错误次数维度,服务器从采集到的接入数据中确定目标设备最近一次成功接入该服务器的接入信息输入错误次数,作为接入信息输入错误次数维度的统计信息。
另外,对于预设数据包类型维度,服务器从采集到的接入数据中统计目标设备与该服务器之间传输的预设数据包类型的个数,例如,长度为1514的数据包的个数,以及数据包总个数,并将预设数据包类型的占比作为预设数据包类型维度的统计信息。
对于累积使用数据流量维度,服务器从采集到的接入数据中统计目标设备的累积使用的总数据流量,作为累积使用数据流量维度的统计信息。
对于宽带使用率维度,服务器从采集到的接入数据中统计目标设备的宽带使用率的平均值,作为宽带使用率维度的统计信息。
值得注意的是,本发明实施例提供的设备异常检测方法不限于上述预设维度。
S203:根据所述目标设备分别在各个维度下的统计信息,确定所述目标设备在各个维度下的可信度。
本发明实施例中,服务器获取到目标设备分别在各个维度下的统计信息后,进一步基于各个维度下的统计信息,分别确定目标设备在各个维度下的可信度。
实际应用中,服务器首先基于历史接入数据,确定各个维度下的可信度对应关系,其中,可信度对应关系包括统计对象与可信度的对应关系,其次,将目标设备分别在各个维度下的统计信息,分别与对应维度下的可信度对应关系中的统计对象进行匹配,并将匹配成功的统计对象对应的可信度,确定为所述目标设备在对应维度下的可信度。
实际应用中,基于所述历史接入数据,确定各个维度下的可信度对应关系,可以通过计算概率的方式实现。具体的,基于历史接入数据,计算各个维度下的各个统计对象的概率,并根据各个统计对象的概率确定对应的可信度,最终建立各个维度下的统计对象与可信度的对应关系。
以下分别介绍目标设备在各个维度下的可信度的确定方式:
第一、对于接入时间维度,可以将时钟切片,如每30分钟作为一个时间片,得到如9:00-9:30、9:30-10:00、10:00-10:30等时间片,各个时间片即为接入时间维度的统计对象,各个统计对象的概率即为该统计对象的可信度。
具体的,本发明实施例可以基于历史接入数据,计算每个接入时间所属时间片的概率,得到各个时间片与概率的对应关系,其次,将目标设备最近一次成功接入该服务器的接入时间与上述对应关系进行匹配,确定目标设备最近一次成功接入该服务器的接入时间所属时间片的概率,作为目标设备在接入时间维度下的可信度。
举例说明,历史接入数据中共包括3次接入,接入时间分别为9:12、9:19、10:20,分别所属的时间片为9:00-9:30、9:00-9:30、10:00-10:30,通过计算得出时间片9:00-9:30的概率为2/3,时间片10:00-10:30的概率为1/3。如果目标设备最近一次成功接入该服务器的接入时间为9:15,而其所属时间片9:00-9:30的概率为2/3,则目标设备在接入时间维度下的可信度即为2/3。
第二、对于接入地点维度,可以将地图按照经纬度做网格划分,以确定各个接入地点,其中,网格大小可以根据设备的可移动范围合理确定,各个接入地点即为接入地点维度的统计对象,各个统计对象的概率即为该统计对象的可信度。
具体的,本发明实施例可以基于历史接入数据,计算每个接入地点的概率,得到各个接入地点与概率的对应关系,其次,将目标设备最近一次成功接入该服务器的接入地点与上述对应关系进行匹配,确定目标设备最近一次成功接入该服务器的接入地点的概率,作为目标设备在接入地点维度下的可信度。
举例说明,历史接入数据中共包括3次接入,接入地点分别为北京、北京、上海,当然接入地点不一定以城市进行划分,通过计算得出北京的概率为2/3,上海的概率为1/3。如果目标设备最近一次成功接入该服务器的接入地点为北京,而北京的概率为2/3,则目标设备在接入地点维度下的可信度即为2/3。
第三、对于接入信息输入错误次数维度,将每次成功接入之前的输入信息输入错误次数作为统计对象,各个统计对象的概率即为该统计对象的可信度。
具体的,可以基于历史接入数据,计算每次接入成功之前的输入信息输入错误次数的概率,得到各个输入错误次数与概率的对应关系,其次,将目标设备最近一次成功接入该服务器的输入信息输入错误次数与上述对应关系进行匹配,确定目标设备最近一次成功接入该服务器的输入信息输入错误次数的概率,作为目标设备在接入信息输入错误次数维度下的可信度。
举例说明,历史接入数据中共3次接入,成功接入之前的输入信息输入错误次数分别为3、1、0,通过计算得出输入错误次数3、1、0分别对应的概率均为1/3,如果目标设备最近一次成功接入该服务器的输入信息输入错误次数为1,则输入错误次数为1的概率为1/3,则目标设备在接入信息输入错误次数维度下的可信度即为1/3。
由于上述三个维度的数据属于离散型数据,所以可以利用离散型数据的概率计算公式进行计算,在此不再过多介绍。
而对于下面介绍的三个维度,由于其数据属于连续性数据,可以基于历史接入数据确定各个维度满足的分布函数,如正态分布函数等,然后计算该分布函数的概率密度函数。由于目标设备在各个维度下的可信度的取值范围要求处于[0,1]区间,而概率密度函数的取值范围可能不满足条件,所以为了保证可信度为[0,1]区间的数,本发明实施例可以将概率密度函数与最大值点的商作为可信度。下面继续介绍目标设备在各个维度下的可信度:
第四、对于预设数据包类型维度,将预设数据包类型在所有数据包中的个数占比作为统计对象。具体的,基于历史接入数据,确定预设数据包类型在所有数据包中的个数占比满足的分布函数,然后计算该分布函数的概率密度函数f(x)以及概率密度函数f(x)的最大值点f(a),并最终得到f(x)/f(a),其中,x表示预设数据包类型在所有数据包中的个数占比,f(x)/f(a)表示预设数据包类型在所有数据包中的个数占比为x时对应的可信度。假设目标设备的预设数据包类型在所有数据包中的个数占比为h,则f(h)/f(a)即为目标设备在预设数据包类型在所有数据包中的个数占比维度下的可信度。
第五、对于累计使用数据流量维度,将累计使用数据流量作为统计对象。具体的,基于历史接入数据,确定累计使用数据流量满足的分布函数,然后计算该分布函数的概率密度函数f(x,y),以及概率密度函数f(x,y)的最大值点f(a,b),并最终得到f(x,y)/f(a,b),其中,x表示累计接入时间,y表示累计使用数据流量,f(x,y)/f(a,b)表示累计接入时间为x,累计使用数据流量为y时对应的可信度。假设目标设备的累计接入时间为m,累计使用数据流量为n,则f(m,n)/f(a,b)即为目标设备在累计使用数据流量维度下的可信度。
第六、对于带宽使用率维度,将带宽使用率作为统计对象。具体的,基于历史接入数据,确定带宽使用率满足的分布函数,例如带宽使用率满足正态分布函数,然后计算该分布函数的概率密度函数f(x),以及概率密度函数f(x)的最大值点f(a),并最终得到f(x)/f(a),其中,x表示带宽使用率,f(x)/f(a)表示带宽使用率为x时对应的可信度。假设目标设备的宽带使用率的平均值为k,则f(k)/f(a)即为目标设备在带宽使用率维度下的可信度。
值得注意的是,本发明实施例中用于确定目标设备在各个维度下的可信度的历史接入数据可以为目标设备的历史接入数据,也可以为接入到服务器的各个设备的历史接入数据。
举例说明,对于各个银行的办公设备,由于工作时间统一固定,所以,可以基于接入到银行服务器的各个办公设备的历史接入数据,确定目标设备在各个维度下的可信度。而对于不同用户的手机,由于个人使用习惯不同,所以,服务器可以基于该手机的历史接入数据,确定其在各个维度下的可信度。
另外,值得强调的是,本发明中用于设备异常检测的维度不限定于以上六种,在此不再过多介绍。
S204:将所述目标设备在各个维度下的可信度,作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度。
本发明实施例中,服务器对利用BP神经网络建立的神经网络模型进行训练,可以利用目标设备的历史接入数据,也可以利用接入到该服务器的所有设备的历史接入数据。
具体的,首先,基于各个预设维度,对采集到的历史接入数据进行统计,得到各个维度下的统计信息;其次,基于各个维度下的统计信息,计算历史接入数据中的各个设备在各个维度下的可信度;再次,为各个设备的可信度设置标识(设备异常标识0,设备正常标识1);最后,利用历史接入数据中各个设备的标识和可信度对神经网络模型进行训练,得到基于历史接入数据训练的神经网络模型。
实际应用中,将目标设备在各个维度下的可信度作为神经网络模型的输入参数,经过神经网络模型的处理后,得到神经网络模型输出的目标设备的行为置信度。
S205:根据所述目标设备的行为置信度,确定所述目标设备是否异常。
本实施例中的S205与上述实施例中S105相同,可参照理解,在此不再赘述。
本发明实施例提供的设备异常检测方法中,基于预设维度,对采集到的目标设备的接入数据进行统计,得到目标设备在各个维度下的统计信息,进而计算出目标设备在各个维度下的可信度。将目标设备在各个维度下的可信度作为神经网络模型的输入参数,得到目标设备的行为置信度,最终根据行为置信度确定目标设备是否异常。可见,本发明能够从各个维度对目标设备进行异常检测,更准确的检测出目标设备是否为异常设备,从而更大程度的降低异常设备对服务器的信息安全的影响。
相应的,本发明实施例还提供了一种设备异常检测装置,参考图3,为本发明实施例提供的一种设备异常检测装置的结构示意图,所述装置包括:
采集模块301,用于采集目标设备的接入数据;
统计模块302,用于对所述接入数据进行统计,得到所述目标设备的统计信息;
第一确定模块303,用于根据所述目标设备的统计信息,确定所述目标设备的可信度;
输入模块304,用于将所述目标设备的可信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度;
第二确定模块305,用于根据所述目标设备的行为置信度,确定所述目标设备是否异常。
其中,所述统计模块,具体用于基于预设维度,对所述接入数据进行统计,得到所述目标设备分别在各个维度下的统计信息;
相应的,所述第一确定模块,具体用于根据所述目标设备分别在各个维度下的统计信息,确定所述目标设备在各个维度下的可信度;
相应的,所述输入模块具体用于将所述目标设备在各个维度下的可信度,作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度。
其中,所述目标设备的接入数据包括所述目标设备的接入时行为数据和接入后流量数据;所述接入时行为数据包括接入时间、接入地点、接入信息输入是否正确;所述接入后流量数据包括预设数据包类型、累计使用数据流量、带宽使用率。
具体的,所述第一确定模块,包括:
第一确定子模块,用于基于所述历史接入数据,确定各个维度下的可信度对应关系,所述可信度对应关系包括统计对象与可信度的对应关系;
匹配子模块,用于将所述目标设备分别在各个维度下的统计信息,分别与对应维度下的可信度对应关系中的统计对象进行匹配,并将匹配成功的统计对象对应的可信度,确定为所述目标设备在对应维度下的可信度。
一种实现方式中,所述第一确定子模块,包括:
计算子模块,用于基于所述历史接入数据,计算各个维度下的各个统计对象的概率;
第二确定子模块,用于根据各个统计对象的概率确定对应的可信度,并建立各个维度下的统计对象与可信度的对应关系。
具体的,所述第二确定模块,包括:
判断子模块,用于判断所述目标设备的行为置信度是否小于预设阈值;
第三确定子模块,用于在所述判断子模块的结果为是时,确定所述目标设备存在异常。
具体的,所述装置还包括:
发送模块,用于当确定所述目标设备存在异常时,向所述目标设备发送验证请求。
本发明实施例提供的设备异常检测装置,基于预设维度,对采集到的目标设备的接入数据进行统计,得到目标设备在各个维度下的统计信息,进而计算出目标设备在各个维度下的可信度。将目标设备在各个维度下的可信度作为神经网络模型的输入参数,得到目标设备的行为置信度,最终根据行为置信度确定目标设备是否异常。可见,本发明能够从各个维度对目标设备进行异常检测,更准确的检测出目标设备是否为异常设备,从而更大程度的降低异常设备对服务器的信息安全的影响
相应的,本发明实施例还提供一种设备异常检测设备,参见图4所示,可以包括:
处理器401、存储器402、输入装置403和输出装置404。设备异常检测设备中的处理器401的数量可以一个或多个,图4中以一个处理器为例。在本发明的一些实施例中,处理器401、存储器402、输入装置403和输出装置404可通过总线或其它方式连接,其中,图4中以通过总线连接为例。
存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器602的软件程序以及模块,从而执行设备异常检测设备的各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。输入装置403可用于接收输入的数字或字符信息,以及产生与设备异常检测设备的用户设置以及功能控制有关的信号输入。
具体在本实施例中,处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现上述设备异常检测方法。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请实施例所提供的一种设备异常检测方法、装置及设备进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种设备异常检测方法,其特征在于,所述方法包括:
采集目标设备的接入数据;
对所述接入数据进行统计,得到所述目标设备的统计信息;
根据所述目标设备的统计信息,确定所述目标设备的可信度;
将所述目标设备的可信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度;
根据所述目标设备的行为置信度,确定所述目标设备是否异常。
2.根据权利要求1所述的方法,其特征在于,
所述对所述接入数据进行统计,得到所述目标设备的统计信息,包括:
基于预设维度,对所述接入数据进行统计,得到所述目标设备分别在各个维度下的统计信息;
相应的,所述根据所述目标设备的统计信息,确定所述目标设备的可信度,包括:
根据所述目标设备分别在各个维度下的统计信息,确定所述目标设备在各个维度下的可信度;
相应的,所述将所述目标设备的可信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度,包括:
将所述目标设备在各个维度下的可信度,作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度。
3.根据权利要求1或2所述的方法,其特征在于,所述目标设备的接入数据包括所述目标设备的接入时行为数据和接入后流量数据;所述接入时行为数据包括接入时间、接入地点、接入信息输入是否正确;所述接入后流量数据包括预设数据包类型、累计使用数据流量、带宽使用率。
4.根据权利要求2所述的方法,其特征在于,所述根据所述目标设备分别在各个维度下的统计信息,确定所述目标设备在各个维度下的可信度,包括:
基于所述历史接入数据,确定各个维度下的可信度对应关系,所述可信度对应关系包括统计对象与可信度的对应关系;
将所述目标设备分别在各个维度下的统计信息,分别与对应维度下的可信度对应关系中的统计对象进行匹配,并将匹配成功的统计对象对应的可信度,确定为所述目标设备在对应维度下的可信度。
5.根据权利要求4所述的方法,其特征在于,所述基于所述历史接入数据,确定各个维度下的可信度对应关系,所述可信度对应关系包括统计对象与可信度的对应关系,包括:
基于所述历史接入数据,计算各个维度下的各个统计对象的概率;
根据各个统计对象的概率确定对应的可信度,并建立各个维度下的统计对象与可信度的对应关系。
6.根据权利要求1所述的方法,其特征在于,所述根据所述目标设备的行为置信度,确定所述目标设备是否异常,包括:
判断所述目标设备的行为置信度是否小于预设阈值,如果是,则确定所述目标设备存在异常。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
当确定所述目标设备存在异常时,向所述目标设备发送验证请求。
8.一种设备异常检测装置,其特征在于,所述装置包括:
采集模块,用于采集目标设备的接入数据;
统计模块,用于对所述接入数据进行统计,得到所述目标设备的统计信息;
第一确定模块,用于根据所述目标设备的统计信息,确定所述目标设备的可信度;
输入模块,用于将所述目标设备的可信度作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度;
第二确定模块,用于根据所述目标设备的行为置信度,确定所述目标设备是否异常。
9.根据权利要求8所述的装置,其特征在于,
所述统计模块,具体用于基于预设维度,对所述接入数据进行统计,得到所述目标设备分别在各个维度下的统计信息;
相应的,所述第一确定模块,具体用于根据所述目标设备分别在各个维度下的统计信息,确定所述目标设备在各个维度下的可信度;
相应的,所述输入模块具体用于将所述目标设备在各个维度下的可信度,作为基于历史接入数据训练的神经网络模型的输入参数,得到所述神经网络模型输出的所述目标设备的行为置信度。
10.一种设备异常检测设备,其特征在于,所述设备包括存储器和处理器,
所述存储器用于存储程序代码,并将所述程序代码传输给所述处理器;
所述处理器用于运行所述程序代码,其中,所述程序代码运行时执行如权利要求1-7中任一项所述的设备异常检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711184594.6A CN107819631B (zh) | 2017-11-23 | 2017-11-23 | 一种设备异常检测方法、装置及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711184594.6A CN107819631B (zh) | 2017-11-23 | 2017-11-23 | 一种设备异常检测方法、装置及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107819631A true CN107819631A (zh) | 2018-03-20 |
| CN107819631B CN107819631B (zh) | 2021-03-02 |
Family
ID=61608833
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711184594.6A Active CN107819631B (zh) | 2017-11-23 | 2017-11-23 | 一种设备异常检测方法、装置及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107819631B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108599995A (zh) * | 2018-03-28 | 2018-09-28 | 北京大米科技有限公司 | 网络线路故障判定方法及服务器 |
| CN109857611A (zh) * | 2019-01-31 | 2019-06-07 | 泰康保险集团股份有限公司 | 基于区块链的硬件测试方法及装置、存储介质和电子设备 |
| CN110715808A (zh) * | 2019-09-25 | 2020-01-21 | 中车青岛四方机车车辆股份有限公司 | 故障检测方法及装置 |
| WO2020034756A1 (zh) * | 2018-08-14 | 2020-02-20 | 阿里巴巴集团控股有限公司 | 目标设备的预测方法、装置、电子设备及存储介质 |
| CN110855514A (zh) * | 2019-09-30 | 2020-02-28 | 北京瑞航核心科技有限公司 | 一种关注物联网实体安全的行为监控方法 |
| CN111835541A (zh) * | 2019-04-18 | 2020-10-27 | 华为技术有限公司 | 一种模型老化检测方法、装置、设备及系统 |
| WO2020258509A1 (zh) * | 2019-06-28 | 2020-12-30 | 平安科技(深圳)有限公司 | 终端设备异常访问的隔离方法和装置 |
| CN112203311A (zh) * | 2019-07-08 | 2021-01-08 | 中国移动通信集团浙江有限公司 | 网元异常诊断方法、装置、设备及计算机存储介质 |
| CN112256548A (zh) * | 2020-11-06 | 2021-01-22 | 微医云(杭州)控股有限公司 | 异常数据的监听方法、装置、服务器及存储介质 |
| CN112600812A (zh) * | 2020-12-07 | 2021-04-02 | 郑州师范学院 | 一种设备异常工作状态确定方法、装置及设备 |
| CN112712113A (zh) * | 2020-12-29 | 2021-04-27 | 广州品唯软件有限公司 | 一种基于指标的告警方法、装置及计算机系统 |
| CN116433050A (zh) * | 2023-04-26 | 2023-07-14 | 同心县京南惠方农林科技有限公司 | 应用于农业大数据管理系统的异常报警方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1713598A (zh) * | 2004-06-25 | 2005-12-28 | 深圳市傲天通信有限公司 | 互联网共享接入检测系统 |
| CN102656587A (zh) * | 2009-08-13 | 2012-09-05 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
| CN103501293A (zh) * | 2013-09-25 | 2014-01-08 | 国网重庆市电力公司 | 一种智能电网中终端可信接入的认证方法 |
| US20140053261A1 (en) * | 2012-08-15 | 2014-02-20 | Qualcomm Incorporated | On-Line Behavioral Analysis Engine in Mobile Device with Multiple Analyzer Model Providers |
| CN105187392A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于网络接入点的移动终端恶意软件检测方法及其系统 |
| CN106713229A (zh) * | 2015-11-13 | 2017-05-24 | 国网智能电网研究院 | 一种基于用户行为的智能电网终端可信接入系统和方法 |
| CN106982196A (zh) * | 2016-01-19 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
-
2017
- 2017-11-23 CN CN201711184594.6A patent/CN107819631B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1713598A (zh) * | 2004-06-25 | 2005-12-28 | 深圳市傲天通信有限公司 | 互联网共享接入检测系统 |
| CN102656587A (zh) * | 2009-08-13 | 2012-09-05 | 赛门铁克公司 | 在信誉系统中使用客户端装置的置信量度 |
| US20140053261A1 (en) * | 2012-08-15 | 2014-02-20 | Qualcomm Incorporated | On-Line Behavioral Analysis Engine in Mobile Device with Multiple Analyzer Model Providers |
| CN103501293A (zh) * | 2013-09-25 | 2014-01-08 | 国网重庆市电力公司 | 一种智能电网中终端可信接入的认证方法 |
| CN105187392A (zh) * | 2015-08-10 | 2015-12-23 | 济南大学 | 基于网络接入点的移动终端恶意软件检测方法及其系统 |
| CN106713229A (zh) * | 2015-11-13 | 2017-05-24 | 国网智能电网研究院 | 一种基于用户行为的智能电网终端可信接入系统和方法 |
| CN106982196A (zh) * | 2016-01-19 | 2017-07-25 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108599995A (zh) * | 2018-03-28 | 2018-09-28 | 北京大米科技有限公司 | 网络线路故障判定方法及服务器 |
| CN108599995B (zh) * | 2018-03-28 | 2020-10-27 | 北京大米科技有限公司 | 网络线路故障判定方法及服务器 |
| WO2020034756A1 (zh) * | 2018-08-14 | 2020-02-20 | 阿里巴巴集团控股有限公司 | 目标设备的预测方法、装置、电子设备及存储介质 |
| CN109857611A (zh) * | 2019-01-31 | 2019-06-07 | 泰康保险集团股份有限公司 | 基于区块链的硬件测试方法及装置、存储介质和电子设备 |
| CN111835541A (zh) * | 2019-04-18 | 2020-10-27 | 华为技术有限公司 | 一种模型老化检测方法、装置、设备及系统 |
| WO2020258509A1 (zh) * | 2019-06-28 | 2020-12-30 | 平安科技(深圳)有限公司 | 终端设备异常访问的隔离方法和装置 |
| CN112203311A (zh) * | 2019-07-08 | 2021-01-08 | 中国移动通信集团浙江有限公司 | 网元异常诊断方法、装置、设备及计算机存储介质 |
| CN110715808B (zh) * | 2019-09-25 | 2022-01-14 | 中车青岛四方机车车辆股份有限公司 | 故障检测方法及装置 |
| CN110715808A (zh) * | 2019-09-25 | 2020-01-21 | 中车青岛四方机车车辆股份有限公司 | 故障检测方法及装置 |
| CN110855514A (zh) * | 2019-09-30 | 2020-02-28 | 北京瑞航核心科技有限公司 | 一种关注物联网实体安全的行为监控方法 |
| CN110855514B (zh) * | 2019-09-30 | 2021-06-15 | 北京瑞航核心科技有限公司 | 一种关注物联网实体安全的行为监控方法 |
| CN112256548A (zh) * | 2020-11-06 | 2021-01-22 | 微医云(杭州)控股有限公司 | 异常数据的监听方法、装置、服务器及存储介质 |
| CN112256548B (zh) * | 2020-11-06 | 2022-08-09 | 微医云(杭州)控股有限公司 | 异常数据的监听方法、装置、服务器及存储介质 |
| CN112600812A (zh) * | 2020-12-07 | 2021-04-02 | 郑州师范学院 | 一种设备异常工作状态确定方法、装置及设备 |
| CN112712113A (zh) * | 2020-12-29 | 2021-04-27 | 广州品唯软件有限公司 | 一种基于指标的告警方法、装置及计算机系统 |
| CN112712113B (zh) * | 2020-12-29 | 2024-04-09 | 广州品唯软件有限公司 | 一种基于指标的告警方法、装置及计算机系统 |
| CN116433050A (zh) * | 2023-04-26 | 2023-07-14 | 同心县京南惠方农林科技有限公司 | 应用于农业大数据管理系统的异常报警方法及系统 |
| CN116433050B (zh) * | 2023-04-26 | 2023-10-24 | 同心县京南惠方农林科技有限公司 | 应用于农业大数据管理系统的异常报警方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107819631B (zh) | 2021-03-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107819631A (zh) | 一种设备异常检测方法、装置及设备 | |
| CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| CN105491054B (zh) | 恶意访问的判断方法、拦截方法与装置 | |
| CN104519032B (zh) | 一种互联网账号的安全策略及系统 | |
| TWI684151B (zh) | 一種非法交易檢測方法及裝置 | |
| CN107528749A (zh) | 基于云防护日志的网站可用性检测方法、装置及系统 | |
| CN110300127A (zh) | 一种基于深度学习的网络入侵检测方法、装置以及设备 | |
| CN107196968B (zh) | 一种爬虫识别方法 | |
| CN107657156A (zh) | 基于用户操作习惯和触压面积的用户身份验证方法及装置 | |
| CN109241343A (zh) | 一种刷量用户识别系统、方法及装置 | |
| KR102061833B1 (ko) | 사이버 침해 사고 조사 장치 및 방법 | |
| CN108667828A (zh) | 一种风险控制方法、装置及存储介质 | |
| CN107992738A (zh) | 一种账号登录异常检测方法、装置及电子设备 | |
| CN108390856A (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
| CN113162923B (zh) | 基于用户行为的用户可信度评估方法、装置及存储介质 | |
| CN110175278A (zh) | 网络爬虫的检测方法及装置 | |
| CN110417747A (zh) | 一种暴力破解行为的检测方法及装置 | |
| CN109241733A (zh) | 基于Web访问日志的爬虫行为识别方法及装置 | |
| CN107249049A (zh) | 一种对网络采集的域名数据进行筛选的方法及设备 | |
| CN106604362A (zh) | 一种无线保真Wi‑Fi扫描方法及移动终端 | |
| CN104348815B (zh) | 一种对验证码进行校验的方法及装置 | |
| CN107135199A (zh) | 网页后门的检测方法和装置 | |
| CN107612946B (zh) | Ip地址的检测方法、检测装置和电子设备 | |
| CN107623696A (zh) | 一种基于用户行为特征的用户身份验证方法及装置 | |
| CN113989629A (zh) | 存储器、高后果区判定方法、装置和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |