CN109144820A - 一种异常主机的检测方法及装置 - Google Patents
一种异常主机的检测方法及装置 Download PDFInfo
- Publication number
- CN109144820A CN109144820A CN201811013725.9A CN201811013725A CN109144820A CN 109144820 A CN109144820 A CN 109144820A CN 201811013725 A CN201811013725 A CN 201811013725A CN 109144820 A CN109144820 A CN 109144820A
- Authority
- CN
- China
- Prior art keywords
- operation state
- target operation
- dimension
- abnormal
- state index
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3055—Monitoring arrangements for monitoring the status of the computing system or of the computing system component, e.g. monitoring if the computing system is on, off, available, not available
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Quality & Reliability (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种异常主机的检测方法及装置,涉及通信技术领域,所述方法包括:获取目标主机的当前运行特征向量,当前运行特征向量包括预设的各目标维度的目标运行状态指标,针对所有目标运行状态指标中每一目标运行状态指标,获取与目标运行状态指标对应的基准运行状态值,并判断目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件,如果差值不满足预设接近度条件,则确定目标运行状态指标为异常运行状态指标,如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定目标主机为异常主机。采用本申请可以快速检测出异常主机。
Description
技术领域
本申请涉及通信技术领域,特别是涉及一种异常主机的检测方法及装置。
背景技术
随着网络和计算机技术的高速发展,网络攻击的技术日益多样化,攻击行为也更加隐蔽,危害性也越来越大。比如,木马病毒利用系统、网络的漏洞发起网络攻击,导致网络或主机性能异常,无法提供正常服务。又如,拒绝服务(英文:Denial of Service,简称:DoS)攻击/分布式拒绝服务(英文:Distributed Denial of Service,简称:DDoS)攻击,利用系统和网络的认证机制不完善性以及网络协议的漏洞,通过控制傀儡主机在短时间内发起网络攻击,消耗网络或者目标主机的资源,导致网络瘫痪,影响用户的正常生活和工作。
因此,亟需一种能够检测出异常主机的方法。
发明内容
本申请实施例的目的在于提供一种异常主机的检测方法及装置,可以快速检测出异常主机。具体技术方案如下:
第一方面,提供了一种异常主机的检测方法,其特征在于,所述方法包括:
获取目标主机的当前运行特征向量,所述当前运行特征向量包括预设的各目标维度的目标运行状态指标,所述目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种;
针对所有目标运行状态指标中每一目标运行状态指标,获取与所述目标运行状态指标对应的基准运行状态值,并判断所述目标运行状态指标的当前值与所述基准运行状态值的差值是否满足预设接近度条件;
如果所述差值不满足预设接近度条件,则确定所述目标运行状态指标为异常运行状态指标;
如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定所述目标主机为异常主机。
可选的,所述如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定所述目标主机为异常主机,包括:
确定所述异常运行状态指标所属的目标维度,得到异常维度;以及,如果确定出的异常维度的数目大于预设的第一阈值,则确定所述目标主机为异常主机;或如果确定出的异常运行状态指标的数目大于预设的第二阈值,则确定所述目标主机为异常主机。
可选的,所述判断所述目标运行状态指标的当前值与所述基准运行状态值的差值是否满足预设接近度条件,包括:
计算所述目标运行状态指标的当前值与所述基准运行状态值的差值的绝对值;
判断所述差值的绝对值是否大于预设的所述目标运行状态指标对应的第三阈值,如果所述差值的绝对值大于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值不满足预设接近度条件,如果所述差值的绝对值小于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值满足预设接近度条件。
可选的,所述方法还包括:
在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型;
输出异常主机告警信息,所述异常主机告警信息包含所述目标主机的标识和确定出的网络攻击类型。
可选的,所述方法还包括:
获取所述目标主机对应的多个历史运行特征向量;
根据每个目标运行状态指标在每个历史运行特征向量中的历史值,计算该目标运行状态指标在所述多个历史运行特征向量中的平均值,得到该目标运行状态指标对应的基准运行状态值。
可选的,所述计算维度的目标运行状态指标包括CPU平均使用率;和/或
所述存储维度中的目标运行状态指标包括内存变化量;和/或
所述读写维度中的目标运行状态指标包括读变化量和写变化量中的一种或多种;和/或
所述网络维度中的目标运行状态指标包括端口变化量、网络连接数变化量、分组数量变化量、分组净荷最小值、分组净荷最大值、分组净荷变化量中的一种或多种;和/或
所述进程维度中的目标运行状态指标包括进程数量变化量和线程数量变化量中的一种或多种。
第二方面,提供了一种异常主机的检测装置,其特征在于,所述装置包括:
第一获取模块,用于获取目标主机的当前运行特征向量,所述当前运行特征向量包括预设的各目标维度的目标运行状态指标,所述目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种;
判断模块,用于针对所有目标运行状态指标中每一目标运行状态指标,获取与所述目标运行状态指标对应的基准运行状态值,并判断所述目标运行状态指标的当前值与所述基准运行状态值的差值是否满足预设接近度条件;
第一确定模块,用于如果所述差值不满足预设接近度条件,则确定所述目标运行状态指标为异常运行状态指标;
第二确定模块,用于如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定所述目标主机为异常主机。
可选的,所述第二确定模块,具体用于:
确定所述异常运行状态指标所属的目标维度,得到异常维度;以及,如果确定出的异常维度的数目大于预设的第一阈值,则确定所述目标主机为异常主机;或如果确定出的异常运行状态指标的数目大于预设的第二阈值,则确定所述目标主机为异常主机。
可选的,所述判断模块,具体用于:
计算所述目标运行状态指标的当前值与所述基准运行状态值的差值的绝对值;
判断所述差值的绝对值是否大于预设的所述目标运行状态指标对应的第三阈值,如果所述差值的绝对值大于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值不满足预设接近度条件,如果所述差值的绝对值小于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值满足预设接近度条件。
可选的,所述装置还包括:
查询模块,用于在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型;
输出模块,用于输出异常主机告警信息,所述异常主机告警信息包含所述目标主机的标识和确定出的网络攻击类型。
可选的,所述装置还包括:
第二获取模块,用于获取所述目标主机对应的多个历史运行特征向量;
计算模块,用于根据每个目标运行状态指标在每个历史运行特征向量中的历史值,计算该目标运行状态指标在所述多个历史运行特征向量中的平均值,得到该目标运行状态指标对应的基准运行状态值。
可选的,所述计算维度的目标运行状态指标包括CPU平均使用率;和/或
所述存储维度中的目标运行状态指标包括内存变化量;和/或
所述读写维度中的目标运行状态指标包括读变化量和写变化量中的一种或多种;和/或
所述网络维度中的目标运行状态指标包括端口变化量、网络连接数变化量、分组数量变化量、分组净荷最小值、分组净荷最大值、分组净荷变化量中的一种或多种;和/或
所述进程维度中的目标运行状态指标包括进程数量变化量和线程数量变化量中的一种或多种。
第三方面,提供了一种网络设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存储计算机程序;
处理器,用于执行存储器上所存储的程序时,实现第一方面所述的方法步骤。
第四方面,提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现第一方面所述的方法步骤。
本申请实施例提供的异常主机的检测方法,可以获取目标主机的当前运行特征向量,当前运行特征向量包括预设的各目标维度的目标运行状态指标,目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种。然后,针对所有目标运行状态指标中每一目标运行状态指标,获取与目标运行状态指标对应的基准运行状态值,并判断目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件。如果差值不满足预设接近度条件,则确定目标运行状态指标为异常运行状态指标,如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定目标主机为异常主机。这样,能够检测出异常主机。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的网络系统的框架图;
图2为本申请实施例提供的一种异常主机的检测方法的流程图;
图3为本申请实施例提供的一种异常主机的检测装置的结构示意图;
图4为本申请实施例提供的一种异常主机的检测装置的结构示意图;
图5为本申请实施例提供的一种异常主机的检测装置的结构示意图;
图6为本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例提供了一种异常主机的检测方法,在一种可能的实现方式中,该方法可以应用于网络设备。如图1所示,为本申请实施例提供的网络系统的框架图,该网络系统中可以包括网络设备和主机,其中,该网络设备可以为主机的管理设备。网络设备可以与多个主机相连。网络设备可以获取目标主机的当前运行特征向量,其中,当前运行特征向量包括预设的各目标维度的目标运行状态指标。然后,网络设备针对所有目标运行状态指标中每一目标运行状态指标,获取与该目标运行状态指标对应的基准运行状态值,并判断该目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件。如果该差值不满足预设接近度条件,则确定目标运行状态指标为异常运行状态指标。之后,进一步判断异常运行状态指标是否满足预设异常条件,如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定目标主机为异常主机。在该实现方式中,网络设备可以同时对多台主机进行监控,从而检测多台主机中出现异常的主机。
在另一种可能的实现方式中,该方法可以应用于主机。在该实现方式中,每台主机可以分别检测自己是否发生异常,该实现方式中,无需设置管理设备,可以降低网络部署成本。
本申请以该方法应用于网络设备为例进行说明。下面将结合具体实施方式,对本申请实施例提供的一种异常主机的检测方法进行详细的说明,如图2所示,具体步骤如下。
步骤201,获取目标主机的当前运行特征向量。
其中,当前运行特征向量包括预设的各目标维度的目标运行状态指标,目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种。
本申请实施例中,网络设备中可以预先设置采样时长和采样周期。其中,采样时长包括至少一个采样周期。该采样时长和采样周期可以由技术人员根据经验进行设置。同时,网络设备中还可以预先存储有待获取的各维度包括的运行状态参数,以便后续根据检测到的运行状态参数的参数值计算运行状态指标的值。各维度包括的运行状态参数可以由技术人员根据经验进行设置。如表一所示,为本申请实施例提供的各维度的运行状态参数的示例。
表一
表一仅为本申请提供的一种示例,并不对本申请构成限定。
网络设备可以根据采样周期,在采样时长内持续采集目标主机的运行状态参数。其中,目标主机中可以设置有与网络设备中相同的采样周期和采样时长,并可以通过应用性能管理(英文:Application Performance Management,简称:APM)模块,来采集以下运行状态参数的参数值:中央处理器(英文:Central Processing Unit,简称:CPU)使用率、物理内存使用率、虚拟内存使用率、读数据量、写数据量、线程数量和进程数量。目标主机还可以通过网络流(英文:Network Stream,简称:NetStream)模块,来采集以下运行状态参数的参数值:源端口数量、目的端口数量、网络连接数量、发送分组数量、接收分组数量和分组净荷。
例如,运行状态参数为CPU使用率,采样时长为30分钟,采样周期为10分钟,则网络设备在采样时长内能够采集3次CPU使用率,分别为40%、45%和44%。这样,针对每个运行状态参数,网络设备在采样时长内能够采集到多个参数值。
目标主机可以将采集到的运行状态参数及参数值发送给网络设备,以使网络设备可以获得目标主机的运行状态参数及参数值,网络设备则可以根据采样时长内的运行状态参数的参数值,计算当前运行特征向量。
可选的,网络设备可以对采集到的运行状态参数的参数值进行去噪处理,即删除无效的参数值。在一种可能的实现方式中,技术人员可以预先设置各运行状态参数的参数值范围,网络设备可以判断采集到的运行状态参数的参数值,是否属于该运行状态参数对应的参数值范围,如果属于,则保留该参数值,如果不属于,则删除该参数值。例如,运行状态参数为CPU使用率,参数值范围为10%~100%,网络设备采集到的CPU使用率分别为40%、45%、44%、0%和﹣20%,则网络设备可以进行去噪处理,删除0%和﹣20%。
针对每种运行状态参数,网络设备可以根据获取到的该运行状态参数的参数值,计算相应的目标运行状态指标的当前值,从而得到各目标维度所包含的目标运行状态指标的当前值,进而根据各目标维度所包含的目标运行状态指标的当前值,构成当前运行特征向量,具体的计算过程后续会进行详细说明。其中,当前运行特征向量可以包括各目标维度的目标运行状态指标的当前值,目标维度可以包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种。
可选的,计算维度的目标运行状态指标包括CPU平均使用率;和/或
存储维度中的目标运行状态指标包括内存变化量;和/或
读写维度中的目标运行状态指标包括读变化量和写变化量中的一种或多种;和/或
网络维度中的目标运行状态指标包括端口变化量、网络连接数变化量、分组数量变化量、分组净荷最小值、分组净荷最大值、分组净荷变化量中的一种或多种;和/或
进程维度中的目标运行状态指标包括进程数量变化量和线程数量变化量中的一种或多种。
本申请实施例中,还提供的各维度的运行状态指标的示例,如表二所示。
表二
表二仅为本申请提供的一种示例,并不对本申请构成限定。
其中,CPU平均使用率可以为:在采样时长内,各采样周期采集到的目标主机的CPU使用率的平均值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的CPU使用率分别为40%、45%和44%,则CPU平均使用率为(40%+45%+44%)/3=43%。
内存变化量可以包括物理内存变化量和虚拟内存变化量。
物理内存变化量可以为:在采样时长内,各采样周期采集到的目标主机的物理内存使用率中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的物理内存使用率分别为80%、85%和82%,则物理内存变化量为85%-80%=5%。
虚拟内存变化量可以为:在采样时长内,各采样周期采集到的目标主机的虚拟内存使用率中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的虚拟内存使用率分别为65%、66%和64%,则虚拟内存变化量为66%-64%=2%。
读变化量可以为:在采样时长内,各采样周期采集到的目标主机的读数据量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的读数据量分别为1560M、1600M和1520M,则读变化量为1600M-1520M=80M。
写变化量可以为:在采样时长内,各采样周期采集到的目标主机的写数据量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的写数据量分别为730M、820M和630M,则读变化量为820M-630M=190M。
端口变化量可以包括源端口变化量和目的端口变化量,分组数量变化量可以包括发送分组数量变化量和接收分组数量变化量。源端口变化量可以为:在采样时长内,各采样周期采集到的目标主机的源端口数量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的源端口数量分别为500、532和512,则源端口变化量为532-512=20。
目的端口变化量可以为:在采样时长内,各采样周期采集到的目标主机的目的端口数量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的目的端口数量分别为530、532和525,则目的端口变化量为532-525=7。
网络连接数变化量可以为:在采样时长内,各采样周期采集到的目标主机的网络连接数量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的网络连接数量分别为1025、1650和1430,则网络连接数变化量为1650-1025=625。
发送分组数量变化量可以为:在采样时长内,各采样周期采集到的目标主机的发送分组数量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的发送分组数量分别为3012、3520和3350,则发送分组数量变化量为3520-3012=508。
接收分组数量变化量可以为:在采样时长内,各采样周期采集到的目标主机的接收分组数量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的接收分组数量分别为6650、6240和6810,则接收分组数量变化量为6810-6240=570。
分组净荷变化量可以为:在采样时长内,各采样周期采集到的目标主机的分组净荷中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的分组净荷分别为1500b、1500b和1200b,则分组净荷变化量为1500b-1200b=300b。
进程数量变化量可以为:在采样时长内,各采样周期采集到的目标主机的进程数量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的进程数量分别为65、78和66,则进程数量变化量为78-65=13。
线程数量变化量可以为:在采样时长内,各采样周期采集到的目标主机的线程数量中最大值与最小值的差值。例如,采样时长为30分钟,采样周期为10分钟,网络设备采集到的线程数量分别为562、669和813,则线程数量变化量为813-562=251。
步骤202,针对所有目标运行状态指标中每一目标运行状态指标,获取与目标运行状态指标对应的基准运行状态值,并判断目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件。
本申请实施例中,网络设备中可以预先设置有基准运行特征向量,基准运行特征向量由各目标运行状态指标对应的基准运行状态值构成。该基准运行状态值可以由技术人员根据经验进行设置,还可以由网络设备根据目标主机的各运行状态指标的实际值建立。其中,网络设备根据目标主机的各运行状态指标的实际值建立基准运行状态值的处理过程后续会进行详细介绍。另外,网络设备中还可以预先设置接近度条件(即预设接近度条件)。该预设接近度条件可以由技术人员根据经验进行设置。
网络设备获取到目标主机的当前运行特征向量后,针对所有目标运行状态指标中每一目标运行状态指标,网络设备可以获取与该目标运行状态指标对应的基准运行状态值。然后,网络设备可以进一步判断目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件。
可选的,网络设备判断目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件的具体处理步骤如下。
步骤一,计算目标运行状态指标的当前值与基准运行状态值的差值的绝对值。
本申请实施例中,针对所有目标运行状态指标中每一目标运行状态指标,网络设备可以计算该目标运行状态指标的当前值与基准运行状态值的差值的绝对值。例如,运行状态指标为CPU平均使用率,当前值为52%,基准运行状态值为55%,则差值的绝对值为3%。又如,运行状态指标为进程数量变化量,当前值为16,基准运行状态值为15,则差值的绝对值为1。
步骤二,判断差值的绝对值是否大于预设的目标运行状态指标对应的第三阈值,如果差值的绝对值大于第三阈值,则判定目标运行状态指标的当前值与基准运行状态值的差值不满足预设接近度条件,如果差值的绝对值小于第三阈值,则判定目标运行状态指标的当前值与基准运行状态值的差值满足预设接近度条件。
其中,预设接近度条件可以用于判断目标运行状态指标的当前值是否接近正常主机的运行状态指标的数值。
本申请实施例中,网络设备中可以预先设置与目标运行状态指标对应的第三阈值,该第三阈值可以由技术人员根据经验进行设置。
针对所有目标运行状态指标中每一目标运行状态指标,网络设备得到该目标运行状态指标的当前值与基准运行状态值的差值的绝对值后,可以进一步判断该绝对值是否大于或等于第三阈值。如果该绝对值大于或等于第三阈值,则网络设备判定目标运行状态指标的当前值与基准运行状态值的差值不满足预设接近度条件。如果差值的绝对值小于第三阈值,则网络设备判定目标运行状态指标的当前值与基准运行状态值的差值满足预设接近度条件。例如,目标运行状态指标为CPU平均使用率,差值的绝对值为3%,CPU平均使用率对应的第三阈值为2%,则差值的绝对值大于第三阈值,网络设备可以判定目标运行状态指标的当前值与基准运行状态值的差值不满足预设接近度条件。又如,目标运行状态指标为进程数量变化量,差值的绝对值为1,进程数量变化量对应的第三阈值为5,则差值的绝对值小于第三阈值,网络设备可以判定目标运行状态指标的当前值与基准运行状态值的差值满足预设接近度条件。
步骤203,如果该差值不满足预设接近度条件,则确定目标运行状态指标为异常运行状态指标。
本申请实施例中,如果目标运行状态指标的当前值与基准运行状态值的差值不满足预设接近度条件,则说明该目标运行状态指标出现异常,网络设备可以判定目标运行状态指标为异常运行状态指标。相应的,如果目标运行状态指标的当前值与基准运行状态值的差值满足预设接近度条件,则说明该目标运行状态指标未出现异常,网络设备可以判定目标运行状态指标为正常运行状态指标。
步骤204,如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定目标主机为异常主机。
本申请实施例中,网络设备中可以预先设置有异常条件。网络设备从所有目标运行状态指标中确定出异常运行状态指标后,可以进一步判断异常运行状态指标是否满足预设异常条件。如果确定出的异常运行状态指标满足预设异常条件,则说明目标主机出现异常,网络设备可以判定目标主机为异常主机。相应的,如果异常运行状态指标不满足预设异常条件,则说明目标主机未出现异常,网络设备可以判定目标主机为正常主机。
其中,网络设备判断异常运行状态指标是否满足预设异常条件的方式可以是多种多样的,本申请实施例提供了两种可行的方式,具体如下。
方式一,确定异常运行状态指标所属的目标维度,得到异常维度。如果确定出的异常维度的数目大于预设的第一阈值,则确定目标主机为异常主机。
本申请实施例中,网络设备中可以预先设置有第一阈值。网络设备确定异常运行状态指标后,可以将该异常运行状态指标所属的目标维度确定为异常维度。然后,网络设备可以进一步判断确定出的异常维度的数目是否大于或等于第一阈值。如果异常维度的数目大于或等于第一阈值,则说明目标主机出现异常,网络设备可以判定目标主机为异常主机。相应的,如果异常维度的数目小于第一阈值,则说明目标主机未出现异常,网络设备可以判定目标主机为正常主机。
例如,第一阈值为3,参照表二,如果确定出的异常运行状态指标为读变化量、写变化量、分组净荷变化量、CPU平均使用率和虚拟内存变化量,则异常维度的数目为4,异常维度的数目大于第一阈值,说明目标主机出现异常,网络设备可以判定目标主机为异常主机。
方式二,如果确定出的异常运行状态指标的数目大于预设的第二阈值,则确定目标主机为异常主机。
本申请实施例中,网络设备中可以预先设置有第二阈值。网络设备确定异常运行状态指标后,可以进一步判断异常运行状态指标的数目是否大于或等于第二阈值。如果异常运行状态指标的数目大于或等于第二阈值,则说明目标主机出现异常,网络设备可以判定目标主机为异常主机。相应的,如果异常运行状态指标的数目小于第二阈值,则说明目标主机未出现异常,网络设备可以判定目标主机为正常主机。
例如,第二阈值为4,参照表二,如果确定出的异常运行状态指标为读变化量、写变化量、分组净荷变化量、CPU平均使用率和虚拟内存变化量,则异常运行状态指标的数目为5,异常运行状态指标的数目大于第二阈值,说明目标主机出现异常,网络设备可以判定目标主机为异常主机。
本申请实施例还提供了一种网络攻击的定位方法,具体步骤如下:
步骤一,在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型。
本申请实施例中,网络设备中可以预先设置有异常运行状态指标与网络攻击类型的对应关系。如表三所示,为本申请实施例提供的异常运行状态指标与网络攻击类型的对应关系的示例。
表三
表三仅为本申请提供的一种示例,并不对本申请构成限定。
网络设备根据异常运行状态指标,确定目标主机为异常主机后,可以在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型。例如,网络设备确定的异常运行状态指标为CPU平均使用率和网络连接数变化量,则网络设备可以在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型为DDoS攻击。
步骤二,输出异常主机告警信息。
其中,异常主机告警信息包含目标主机的标识和确定出的网络攻击类型。
本申请实施例中,网络设备确定出目标主机对应的网络攻击类型后,可以进一步向网络管理人员发送异常主机告警信息。其中,异常主机告警信息包含目标主机的标识和确定出的网络攻击类型。这样,网络管理人员接收到异常主机告警信息后,可以确定异常主机以及该异常主机对应的网络攻击的类型。
本申请实施例中,可以获取目标主机的当前运行特征向量,当前运行特征向量包括预设的各目标维度的目标运行状态指标,目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种。然后,针对所有目标运行状态指标中每一目标运行状态指标,获取与目标运行状态指标对应的基准运行状态值,并判断目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件。如果差值不满足预设接近度条件,则确定目标运行状态指标为异常运行状态指标,如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定目标主机为异常主机。这样,能够检测出异常主机。
而且,本申请实施例提供的异常主机的检测方法,从计算、存储、I/O(读/写)、网络和进程等多个维度来对主机进行异常检测,具有误判率低的特点;同时,利用主机的运行特征向量的各个运行状态指标,能够定位出现异常的原因,可以解决现有技术中只能检测异常而无法定位原因的问题。
本申请实施例还提供了一种基准运行状态值的建立方法,具体步骤如下:
步骤一,获取目标主机对应的多个历史运行特征向量。
本申请实施例中,网络设备可以获取预设历史时长(比如1个月)内的多个历史运行特征向量。历史运行特征向量的计算过程与步骤201类似,此处不再赘述。
步骤二,根据每个目标运行状态指标在每个历史运行特征向量中的历史值,计算该目标运行状态指标在多个历史运行特征向量中的平均值,得到该目标运行状态指标对应的基准运行状态值。
本申请实施例中,针对每个目标运行状态指标,网络设备可以根据该目标运行状态指标在每个历史运行特征向量中的历史值,计算该目标运行状态指标在多个历史运行特征向量中的平均值,得到该目标运行状态指标对应的基准运行状态值。例如,历史运行特征向量的数目为5,CPU平均使用率在这5个历史运行特征向量中的历史值分别为43%、45%、41%、47%和42%,则CPU平均使用率对应的基准运行状态值为43.6%。
这样,网络设备可以根据基准运行状态值判断目标运行状态指标是否为异常运行状态指标。另外,可以周期性的确定基准运行状态值,也即,上述建立基准运行状态值的过程和上述检测异常主机的过程可以是同时进行的,以使确定出的基准运行状态值,与该主机的实际运行情况更加贴合。
在另一种可能的实现方式中,基准运行状态值也可以由技术人员根据经验和实际的应用场景设定,这样,可以根据具体场景自适应设定阈值进行主机异常检测,提高了异常主机检测的适应性。
基于相同的技术构思,如图3所示,本申请实施例还提供了一种异常主机的检测装置,该装置包括:
第一获取模块310,用于获取目标主机的当前运行特征向量,当前运行特征向量包括预设的各目标维度的目标运行状态指标,目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种;
判断模块320,用于针对所有目标运行状态指标中每一目标运行状态指标,获取与目标运行状态指标对应的基准运行状态值,并判断目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件;
第一确定模块330,用于如果差值不满足预设接近度条件,则确定目标运行状态指标为异常运行状态指标;
第二确定模块340,用于如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定目标主机为异常主机。
可选的,第二确定模块340,具体用于:
确定异常运行状态指标所属的目标维度,得到异常维度;以及,如果确定出的异常维度的数目大于预设的第一阈值,则确定目标主机为异常主机;或如果确定出的异常运行状态指标的数目大于预设的第二阈值,则确定目标主机为异常主机。
可选的,判断模块320,具体用于:
计算目标运行状态指标的当前值与基准运行状态值的差值的绝对值;
判断所述差值的绝对值是否大于预设的所述目标运行状态指标对应的第三阈值,如果所述差值的绝对值大于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值不满足预设接近度条件,如果所述差值的绝对值小于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值满足预设接近度条件。
可选的,如图4所示,该装置还包括:
查询模块350,用于在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型;
输出模块360,用于输出异常主机告警信息,异常主机告警信息包含目标主机的标识和确定出的网络攻击类型。
可选的,如图5所示,该装置还包括:
第二获取模块370,用于获取目标主机对应的多个历史运行特征向量;
计算模块380,用于根据每个目标运行状态指标在每个历史运行特征向量中的历史值,计算该目标运行状态指标在多个历史运行特征向量中的平均值,得到该目标运行状态指标对应的基准运行状态值。
可选的,计算维度的目标运行状态指标包括CPU平均使用率;和/或
存储维度中的目标运行状态指标包括内存变化量;和/或
读写维度中的目标运行状态指标包括读变化量和写变化量中的一种或多种;和/或
网络维度中的目标运行状态指标包括端口变化量、网络连接数变化量、分组数量变化量、分组净荷最小值、分组净荷最大值、分组净荷变化量中的一种或多种;和/或
进程维度中的目标运行状态指标包括进程数量变化量和线程数量变化量中的一种或多种。
本申请实施例中,可以获取目标主机的当前运行特征向量,当前运行特征向量包括预设的各目标维度的目标运行状态指标,目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种。然后,针对所有目标运行状态指标中每一目标运行状态指标,获取与目标运行状态指标对应的基准运行状态值,并判断目标运行状态指标的当前值与基准运行状态值的差值是否满足预设接近度条件。如果差值不满足预设接近度条件,则确定目标运行状态指标为异常运行状态指标,如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定目标主机为异常主机。这样,能够检测出异常主机。
本申请实施例还提供了一种网络设备,如图6所示,包括处理器601、通信接口602、存储器603和通信总线604,其中,处理器601,通信接口602,存储器603通过通信总线604完成相互间的通信,
存储器603,用于存储计算机程序;
处理器601,用于执行存储器603上所存储的程序时,实现如下步骤:
获取目标主机的当前运行特征向量,所述当前运行特征向量包括预设的各目标维度的目标运行状态指标,所述目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种;
针对所有目标运行状态指标中每一目标运行状态指标,获取与所述目标运行状态指标对应的基准运行状态值,并判断所述目标运行状态指标的当前值与所述基准运行状态值的差值是否满足预设接近度条件;
如果所述差值不满足预设接近度条件,则确定所述目标运行状态指标为异常运行状态指标;
如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定所述目标主机为异常主机。
可选的,所述如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定所述目标主机为异常主机,包括:
确定所述异常运行状态指标所属的目标维度,得到异常维度;以及,如果确定出的异常维度的数目大于预设的第一阈值,则确定所述目标主机为异常主机;或如果确定出的异常运行状态指标的数目大于预设的第二阈值,则确定所述目标主机为异常主机。
可选的,所述判断所述目标运行状态指标的当前值与所述基准运行状态值的差值是否满足预设接近度条件,包括:
计算所述目标运行状态指标的当前值与所述基准运行状态值的差值的绝对值;
判断所述差值的绝对值是否大于预设的所述目标运行状态指标对应的第三阈值,如果所述差值的绝对值大于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值不满足预设接近度条件,如果所述差值的绝对值小于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值满足预设接近度条件。
可选的,所述方法还包括:
在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型;
输出异常主机告警信息,所述异常主机告警信息包含所述目标主机的标识和确定出的网络攻击类型。
可选的,所述方法还包括:
获取所述目标主机对应的多个历史运行特征向量;
根据每个目标运行状态指标在每个历史运行特征向量中的历史值,计算该目标运行状态指标在所述多个历史运行特征向量中的平均值,得到该目标运行状态指标对应的基准运行状态值。
可选的,所述计算维度的目标运行状态指标包括CPU平均使用率;和/或
所述存储维度中的目标运行状态指标包括内存变化量;和/或
所述读写维度中的目标运行状态指标包括读变化量和写变化量中的一种或多种;和/或
所述网络维度中的目标运行状态指标包括端口变化量、网络连接数变化量、分组数量变化量、分组净荷最小值、分组净荷最大值、分组净荷变化量中的一种或多种;和/或
所述进程维度中的目标运行状态指标包括进程数量变化量和线程数量变化量中的一种或多种。
上述电子设备提到的通信总线可以是外设部件互连标准(英文:PeripheralComponent Interconnect,简称:PCI)总线或扩展工业标准结构(英文:Extended IndustryStandard Architecture,简称:EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(英文:Random Access Memory,简称:RAM),也可以包括非易失性存储器(英文:Non-Volatile Memory,简称:NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(英文:Central ProcessingUnit,简称:CPU)、网络处理器(英文:Network Processor,简称:NP)等;还可以是数字信号处理器(英文:Digital Signal Processing,简称:DSP)、专用集成电路(英文:ApplicationSpecific Integrated Circuit,简称:ASIC)、现场可编程门阵列(英文:Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一异常主机的检测方法的步骤。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一异常主机的检测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
Claims (14)
1.一种异常主机的检测方法,其特征在于,所述方法包括:
获取目标主机的当前运行特征向量,所述当前运行特征向量包括预设的各目标维度的目标运行状态指标,所述目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种;
针对所有目标运行状态指标中每一目标运行状态指标,获取与所述目标运行状态指标对应的基准运行状态值,并判断所述目标运行状态指标的当前值与所述基准运行状态值的差值是否满足预设接近度条件;
如果所述差值不满足预设接近度条件,则确定所述目标运行状态指标为异常运行状态指标;
如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定所述目标主机为异常主机。
2.根据权利要求1所述的方法,其特征在于,所述如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定所述目标主机为异常主机,包括:
确定所述异常运行状态指标所属的目标维度,得到异常维度;以及,如果确定出的异常维度的数目大于预设的第一阈值,则确定所述目标主机为异常主机;或
如果确定出的异常运行状态指标的数目大于预设的第二阈值,则确定所述目标主机为异常主机。
3.根据权利要求1所述的方法,其特征在于,所述判断所述目标运行状态指标的当前值与所述基准运行状态值的差值是否满足预设接近度条件,包括:
计算所述目标运行状态指标的当前值与所述基准运行状态值的差值的绝对值;
判断所述差值的绝对值是否大于预设的所述目标运行状态指标对应的第三阈值,如果所述差值的绝对值大于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值不满足预设接近度条件,如果所述差值的绝对值小于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值满足预设接近度条件。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型;
输出异常主机告警信息,所述异常主机告警信息包含所述目标主机的标识和确定出的网络攻击类型。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取所述目标主机对应的多个历史运行特征向量;
根据每个目标运行状态指标在每个历史运行特征向量中的历史值,计算该目标运行状态指标在所述多个历史运行特征向量中的平均值,得到该目标运行状态指标对应的基准运行状态值。
6.根据权利要求1所述的方法,其特征在于,所述计算维度的目标运行状态指标包括CPU平均使用率;和/或
所述存储维度中的目标运行状态指标包括内存变化量;和/或
所述读写维度中的目标运行状态指标包括读变化量和写变化量中的一种或多种;和/或
所述网络维度中的目标运行状态指标包括端口变化量、网络连接数变化量、分组数量变化量、分组净荷最小值、分组净荷最大值、分组净荷变化量中的一种或多种;和/或
所述进程维度中的目标运行状态指标包括进程数量变化量和线程数量变化量中的一种或多种。
7.一种异常主机的检测装置,其特征在于,所述装置包括:
第一获取模块,用于获取目标主机的当前运行特征向量,所述当前运行特征向量包括预设的各目标维度的目标运行状态指标,所述目标维度包括计算维度、存储维度、读写维度、网络维度和进程维度中的一种或多种;
判断模块,用于针对所有目标运行状态指标中每一目标运行状态指标,获取与所述目标运行状态指标对应的基准运行状态值,并判断所述目标运行状态指标的当前值与所述基准运行状态值的差值是否满足预设接近度条件;
第一确定模块,用于如果所述差值不满足预设接近度条件,则确定所述目标运行状态指标为异常运行状态指标;
第二确定模块,用于如果从所有目标运行状态指标中确定出的异常运行状态指标满足预设异常条件,则确定所述目标主机为异常主机。
8.根据权利要求7所述的装置,其特征在于,所述第二确定模块,具体用于:
确定所述异常运行状态指标所属的目标维度,得到异常维度;以及,如果确定出的异常维度的数目大于预设的第一阈值,则确定所述目标主机为异常主机;或
如果确定出的异常运行状态指标的数目大于预设的第二阈值,则确定所述目标主机为异常主机。
9.根据权利要求7所述的装置,其特征在于,所述判断模块,具体用于:
计算所述目标运行状态指标的当前值与所述基准运行状态值的差值的绝对值;
判断所述差值的绝对值是否大于预设的所述目标运行状态指标对应的第三阈值,如果所述差值的绝对值大于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值不满足预设接近度条件,如果所述差值的绝对值小于所述第三阈值,则判定所述目标运行状态指标的当前值与所述基准运行状态值的差值满足预设接近度条件。
10.根据权利要求7所述的装置,其特征在于,所述装置还包括:
查询模块,用于在异常运行状态指标与网络攻击类型的对应关系中,查询与确定出的异常运行状态指标对应的网络攻击类型;
输出模块,用于输出异常主机告警信息,所述异常主机告警信息包含所述目标主机的标识和确定出的网络攻击类型。
11.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第二获取模块,用于获取所述目标主机对应的多个历史运行特征向量;
计算模块,用于根据每个目标运行状态指标在每个历史运行特征向量中的历史值,计算该目标运行状态指标在所述多个历史运行特征向量中的平均值,得到该目标运行状态指标对应的基准运行状态值。
12.根据权利要求7所述的装置,其特征在于,所述计算维度的目标运行状态指标包括CPU平均使用率;和/或
所述存储维度中的目标运行状态指标包括内存变化量;和/或
所述读写维度中的目标运行状态指标包括读变化量和写变化量中的一种或多种;和/或
所述网络维度中的目标运行状态指标包括端口变化量、网络连接数变化量、分组数量变化量、分组净荷最小值、分组净荷最大值、分组净荷变化量中的一种或多种;和/或
所述进程维度中的目标运行状态指标包括进程数量变化量和线程数量变化量中的一种或多种。
13.一种网络设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存储计算机程序;
处理器,用于执行存储器上所存储的程序时,实现权利要求1-6任一所述的方法步骤。
14.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器:实现权利要求1-6任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811013725.9A CN109144820A (zh) | 2018-08-31 | 2018-08-31 | 一种异常主机的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811013725.9A CN109144820A (zh) | 2018-08-31 | 2018-08-31 | 一种异常主机的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109144820A true CN109144820A (zh) | 2019-01-04 |
Family
ID=64826185
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811013725.9A Pending CN109144820A (zh) | 2018-08-31 | 2018-08-31 | 一种异常主机的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109144820A (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109685953A (zh) * | 2019-01-08 | 2019-04-26 | 周静 | 脸部识别安防控制方法 |
| CN109947625A (zh) * | 2019-03-27 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 一种集群中异常单机的识别方法和装置 |
| CN110458713A (zh) * | 2019-07-05 | 2019-11-15 | 中国平安人寿保险股份有限公司 | 模型监控方法、装置、计算机设备及存储介质 |
| CN110472463A (zh) * | 2019-01-21 | 2019-11-19 | 廖树林 | 自动化脸部辨识平台 |
| CN110727586A (zh) * | 2019-09-16 | 2020-01-24 | 平安科技(深圳)有限公司 | 一种主机异常监控方法、装置、存储介质和服务器 |
| CN110908824A (zh) * | 2019-12-04 | 2020-03-24 | 支付宝(杭州)信息技术有限公司 | 一种故障识别方法、装置及设备 |
| CN111083159A (zh) * | 2019-12-27 | 2020-04-28 | 北京安天网络安全技术有限公司 | 一种入侵检测的方法、装置、电子设备及存储介质 |
| CN111414782A (zh) * | 2019-01-08 | 2020-07-14 | 周静 | 脸部识别安防控制平台 |
| CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
| CN112383421A (zh) * | 2020-11-03 | 2021-02-19 | 中国联合网络通信集团有限公司 | 一种故障定位方法及装置 |
| CN112445679A (zh) * | 2020-11-13 | 2021-03-05 | 上海优扬新媒信息技术有限公司 | 一种信息检测方法、装置、服务器及存储介质 |
| CN112463564A (zh) * | 2020-11-30 | 2021-03-09 | 中国工商银行股份有限公司 | 确定影响主机状态的关联指标的方法及装置 |
| CN112580022A (zh) * | 2020-12-07 | 2021-03-30 | 北京中电飞华通信有限公司 | 一种主机系统安全预警方法、装置、设备及存储介质 |
| CN112665710A (zh) * | 2020-12-21 | 2021-04-16 | 陕西宝光集团有限公司 | 设备运行状态的检测方法、装置、电子设备及存储介质 |
| CN112817827A (zh) * | 2021-01-22 | 2021-05-18 | 中国银联股份有限公司 | 运维方法、装置、服务器、设备、系统及介质 |
| CN114356712A (zh) * | 2022-01-04 | 2022-04-15 | 腾讯科技(成都)有限公司 | 数据处理方法、装置、设备、可读存储介质及程序产品 |
| CN115277491A (zh) * | 2022-06-15 | 2022-11-01 | 中国联合网络通信集团有限公司 | 异常数据的确定方法、装置及计算机可读存储介质 |
| CN112580022B (zh) * | 2020-12-07 | 2024-06-25 | 北京中电飞华通信有限公司 | 一种主机系统安全预警方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105262647A (zh) * | 2015-11-27 | 2016-01-20 | 广州神马移动信息科技有限公司 | 一种异常指标检测方法及装置 |
| CN106383771A (zh) * | 2016-09-29 | 2017-02-08 | 郑州云海信息技术有限公司 | 一种主机集群监控方法及装置 |
| CN106790193A (zh) * | 2016-12-30 | 2017-05-31 | 山石网科通信技术有限公司 | 基于主机网络行为的异常检测方法和装置 |
| CN106886475A (zh) * | 2017-01-23 | 2017-06-23 | 北京思特奇信息技术股份有限公司 | 一种监控服务器及基于命令行的主机监控方法 |
| CN107066365A (zh) * | 2017-02-20 | 2017-08-18 | 阿里巴巴集团控股有限公司 | 一种系统异常的监测方法及装置 |
-
2018
- 2018-08-31 CN CN201811013725.9A patent/CN109144820A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105262647A (zh) * | 2015-11-27 | 2016-01-20 | 广州神马移动信息科技有限公司 | 一种异常指标检测方法及装置 |
| CN106383771A (zh) * | 2016-09-29 | 2017-02-08 | 郑州云海信息技术有限公司 | 一种主机集群监控方法及装置 |
| CN106790193A (zh) * | 2016-12-30 | 2017-05-31 | 山石网科通信技术有限公司 | 基于主机网络行为的异常检测方法和装置 |
| CN106886475A (zh) * | 2017-01-23 | 2017-06-23 | 北京思特奇信息技术股份有限公司 | 一种监控服务器及基于命令行的主机监控方法 |
| CN107066365A (zh) * | 2017-02-20 | 2017-08-18 | 阿里巴巴集团控股有限公司 | 一种系统异常的监测方法及装置 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109685953B (zh) * | 2019-01-08 | 2021-02-26 | 黄河水利职业技术学院 | 脸部识别安防控制方法 |
| CN111414782B (zh) * | 2019-01-08 | 2021-06-11 | 徐莎莎 | 脸部识别安防控制平台 |
| CN109685953A (zh) * | 2019-01-08 | 2019-04-26 | 周静 | 脸部识别安防控制方法 |
| CN111414782A (zh) * | 2019-01-08 | 2020-07-14 | 周静 | 脸部识别安防控制平台 |
| CN110472463A (zh) * | 2019-01-21 | 2019-11-19 | 廖树林 | 自动化脸部辨识平台 |
| CN109947625A (zh) * | 2019-03-27 | 2019-06-28 | 阿里巴巴集团控股有限公司 | 一种集群中异常单机的识别方法和装置 |
| CN110458713A (zh) * | 2019-07-05 | 2019-11-15 | 中国平安人寿保险股份有限公司 | 模型监控方法、装置、计算机设备及存储介质 |
| CN110458713B (zh) * | 2019-07-05 | 2023-10-13 | 中国平安人寿保险股份有限公司 | 模型监控方法、装置、计算机设备及存储介质 |
| CN110727586A (zh) * | 2019-09-16 | 2020-01-24 | 平安科技(深圳)有限公司 | 一种主机异常监控方法、装置、存储介质和服务器 |
| CN110727586B (zh) * | 2019-09-16 | 2024-05-31 | 平安科技(深圳)有限公司 | 一种主机异常监控方法、装置、存储介质和服务器 |
| CN110908824A (zh) * | 2019-12-04 | 2020-03-24 | 支付宝(杭州)信息技术有限公司 | 一种故障识别方法、装置及设备 |
| CN111083159A (zh) * | 2019-12-27 | 2020-04-28 | 北京安天网络安全技术有限公司 | 一种入侵检测的方法、装置、电子设备及存储介质 |
| CN112153044A (zh) * | 2020-09-23 | 2020-12-29 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
| CN112153044B (zh) * | 2020-09-23 | 2021-11-12 | 腾讯科技(深圳)有限公司 | 流量数据的检测方法及相关设备 |
| CN112383421A (zh) * | 2020-11-03 | 2021-02-19 | 中国联合网络通信集团有限公司 | 一种故障定位方法及装置 |
| CN112383421B (zh) * | 2020-11-03 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种故障定位方法及装置 |
| CN112445679A (zh) * | 2020-11-13 | 2021-03-05 | 上海优扬新媒信息技术有限公司 | 一种信息检测方法、装置、服务器及存储介质 |
| CN112445679B (zh) * | 2020-11-13 | 2023-01-06 | 度小满科技(北京)有限公司 | 一种信息检测方法、装置、服务器及存储介质 |
| CN112463564A (zh) * | 2020-11-30 | 2021-03-09 | 中国工商银行股份有限公司 | 确定影响主机状态的关联指标的方法及装置 |
| CN112463564B (zh) * | 2020-11-30 | 2024-03-05 | 中国工商银行股份有限公司 | 确定影响主机状态的关联指标的方法及装置 |
| CN112580022A (zh) * | 2020-12-07 | 2021-03-30 | 北京中电飞华通信有限公司 | 一种主机系统安全预警方法、装置、设备及存储介质 |
| CN112580022B (zh) * | 2020-12-07 | 2024-06-25 | 北京中电飞华通信有限公司 | 一种主机系统安全预警方法、装置、设备及存储介质 |
| CN112665710A (zh) * | 2020-12-21 | 2021-04-16 | 陕西宝光集团有限公司 | 设备运行状态的检测方法、装置、电子设备及存储介质 |
| CN112817827A (zh) * | 2021-01-22 | 2021-05-18 | 中国银联股份有限公司 | 运维方法、装置、服务器、设备、系统及介质 |
| CN114356712A (zh) * | 2022-01-04 | 2022-04-15 | 腾讯科技(成都)有限公司 | 数据处理方法、装置、设备、可读存储介质及程序产品 |
| CN115277491A (zh) * | 2022-06-15 | 2022-11-01 | 中国联合网络通信集团有限公司 | 异常数据的确定方法、装置及计算机可读存储介质 |
| CN115277491B (zh) * | 2022-06-15 | 2023-06-06 | 中国联合网络通信集团有限公司 | 异常数据的确定方法、装置及计算机可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109144820A (zh) | 一种异常主机的检测方法及装置 | |
| US11902096B2 (en) | Collection of error packet information for network policy enforcement | |
| CN109889547A (zh) | 一种异常网络设备的检测方法及装置 | |
| CN107968791B (zh) | 一种攻击报文的检测方法及装置 | |
| CN108809749B (zh) | 基于采样率来执行流的上层检查 | |
| CN109525500B (zh) | 一种自调整阈值的信息处理方法及信息处理装置 | |
| CN110912927B (zh) | 工业控制系统中控制报文的检测方法及装置 | |
| JP5673805B2 (ja) | ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム | |
| WO2018200476A1 (en) | Automated code verification and machine learning in software defined networks | |
| CN110225104A (zh) | 数据获取方法、装置及终端设备 | |
| CN108390856A (zh) | 一种DDoS攻击检测方法、装置及电子设备 | |
| CN110311925A (zh) | DDoS反射型攻击的检测方法及装置、计算机设备与可读介质 | |
| CN107426132B (zh) | 网络攻击的检测方法和装置 | |
| CN107623629B (zh) | 一种流转发路径的还原方法及设备 | |
| CN105939321B (zh) | 一种dns攻击检测方法及装置 | |
| CN110381053A (zh) | 一种报文过滤方法及装置 | |
| CN109347810A (zh) | 一种处理报文的方法和装置 | |
| CN115695041B (zh) | 基于sdn的ddos攻击检测与防护的方法及应用 | |
| US11595419B2 (en) | Communication monitoring system, communication monitoring apparatus, and communication monitoring method | |
| CN111159009A (zh) | 一种日志服务系统的压力测试方法及装置 | |
| CN106357688B (zh) | 一种防御ICMP flood攻击的方法和装置 | |
| CN116743406A (zh) | 一种网络安全预警方法、装置、存储介质和计算机设备 | |
| CN105704057B (zh) | 确定突发端口拥塞丢包的业务类型的方法和装置 | |
| US20140185621A1 (en) | Energy management for communication network elements | |
| CN105721342B (zh) | 多进程设备的网络连接方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190104 |