CN112035334B - 异常设备检测方法、装置、存储介质与电子设备 - Google Patents
异常设备检测方法、装置、存储介质与电子设备 Download PDFInfo
- Publication number
- CN112035334B CN112035334B CN202010968051.9A CN202010968051A CN112035334B CN 112035334 B CN112035334 B CN 112035334B CN 202010968051 A CN202010968051 A CN 202010968051A CN 112035334 B CN112035334 B CN 112035334B
- Authority
- CN
- China
- Prior art keywords
- abnormal
- equipment
- matrix
- devices
- propagation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Evolutionary Biology (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Bioinformatics & Computational Biology (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
- Alarm Systems (AREA)
Abstract
本公开提供一种异常设备检测方法、异常设备检测装置、计算机可读存储介质与电子设备,涉及计算机技术领域。该异常设备检测方法包括:获取已检测到的异常设备,以及所述异常设备的关联设备;根据所述异常设备与所述关联设备之间的关联关系,以及各所述关联设备之间的关联关系,生成对应的拉普拉斯矩阵;通过单位矩阵改进所述拉普拉斯矩阵,得到传播矩阵,并基于所述传播矩阵检测出所述关联设备中的异常设备。本公开可以基于改进后的拉普拉斯矩阵,检测出异常设备相关联的所有设备中的异常设备,进而可以实现根据少量的异常设备完成其他设备的异常检测。
Description
技术领域
本公开涉及计算机技术领域,尤其涉及一种异常设备检测方法、异常设备检测装置、计算机可读存储介质与电子设备。
背景技术
随着计算机技术的不断发展,网络通信成为了人们日常通信的一种重要手段,通过连接于网络的用户设备,用户可以完成与他人信息交互、获取资讯及休闲娱乐等多种日常活动。
然而,用户设备可能因各种原因被非法分子掌握,并被用于各种非正常操作而成为异常设备。这些异常设备的存在会给网络安全带来巨大的危险,扰乱正常的网络秩序,带来各类不必要的损失。而现有的对于异常设备进行检测的方法存在需要大量训练数据,极易被非法分子绕过等问题。
发明内容
本公开提供了一种异常设备检测方法、异常设备检测装置、计算机可读存储介质与电子设备,进而至少在一定程度上可以实现根据少量的异常设备完成其他设备的异常检测。
根据本公开的第一方面,提供一种异常设备检测方法,包括:获取已检测到的异常设备,以及与该异常设备相关联的全部关联设备;根据所述异常设备与所述关联设备之间的关联关系,以及各所述关联设备之间的关联关系,生成对应的拉普拉斯矩阵;通过单位矩阵改进所生成的拉普拉斯矩阵,得到传播矩阵,并基于该传播矩阵检测出上述关联设备中的异常设备。
根据本公开的第二方面,提供一种异常设备检测装置,包括:关系获取模块,用于获取已检测到的异常设备,以及与该异常设备相关联的全部关联设备;矩阵生成模块,用于根据所述异常设备与所述关联设备之间的关联关系,以及各所述关联设备之间的关联关系,生成对应的拉普拉斯矩阵;设备检测模块,用于通过单位矩阵改进所生成的拉普拉斯矩阵,得到传播矩阵,并基于该传播矩阵检测出上述关联设备中的异常设备。
根据本公开的第三方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述异常设备检测方法。
根据本公开的第四方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述异常设备检测方法。
本公开的技术方案具有以下有益效果:
根据上述异常设备检测方法、异常设备检测装置、计算机可读存储介质与电子设备,获取已检测到的异常设备,以及与该异常设备相关联的全部关联设备;根据异常设备与关联设备之间的关联关系,以及各关联设备之间的关联关系,生成对应的拉普拉斯矩阵;通过单位矩阵改进所生成的拉普拉斯矩阵,得到传播矩阵,并基于该传播矩阵检测出上述关联设备中的异常设备。一方面,本示例实施方式通过已检测到的异常设备可以对与其相关的全部设备进行异常检测,改善了异常设备通过模仿正常设备的行为避开异常检测的问题。另一方面,本示例实施方式还通过单位矩阵对拉普拉斯矩阵进行了改进,因此在检测的过程中,考虑到了关联设备越多,其自身越危险这一情况,提高了异常设备检测的准确性。同时,本示例实施方式不需要大量的训练样本,可以依据少量的异常设备检测出与其相关的所有异常设备,且不必依据业务变化对特征数据的采集进行调整,简化了检测过程,降低了检测的复杂度。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出本示例性实施方式的一种系统架构的示意图;
图2示出本示例性实施方式的电子设备的示意图;
图3示出本示例性实施方式的一种异常设备检测方法的流程图;
图4示出本示例性实施方式的一个具体实施例的深度遍历的过程的示意图;
图5示出本示例性实施方式的一个具体实施例的深度遍历的过程的示意图;
图6示出本示例性实施方式的一个具体实施例的深度遍历的结果的示意图;
图7示出本示例性实施方式的一个具体实施例的异常设备及关联设备的关联关系的示意图;
图8示出本示例性实施方式的一种标签传播算法的流程图;
图9示出本示例性实施方式的一个具体实施例的标签传播算法的结果示意图;
图10示出本示例性实施方式的一个具体实施例的标签传播算法的结果示意图;
图11示出本示例性实施方式的一种异常设备检测装置的结构框图。
具体实施方式
现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本公开的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本公开的技术方案而省略所述特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
相关技术中,可以通过以下三种方法对异常设备进行检测:
第一种方法为基于经验知识的检测方法。该方法主要基于对具体业务的充分了解,根据已有的经验和知识,人为地定义所要检测的特征和规则,并对相应的规则设置一定的分数或阈值,并计算各规则对应的分值。通过判断实际峰值是否超过规定的阈值,判断该用户设备是否为异常。然而,该方法存在以下问题:上述阈值是按照经验进行给定的,低于阈值或者在阈值附近的异常设备极容易绕过检测,且维护规则需要较大成本。
第二种方法为有监督分类方法。该方法提前获取一份异常设备和正常设备的样本并构造用户的特征,通过有监督分类模型来对特征的分布进行识别和学习,并生成分类器。最后通过调用该分类器来对待验证的设备进行识别。然而,有监督分类需要进行大量的数据收集和打标工作,上述特征采集也需要根据业务的需要而发生改变,同时,模型参数也需要根据黑/灰产策略的变动进行调整,从训练到上线有极大的复杂性。同时,在有监督分类中,其分类结果往往具有不可解释性,无法明确的解释为什么要将该设备视为异常设备。
第三种方法为无监督聚类和异常检测算法。该方法不需要提前对用户数据进行标记,直接构造特征,再使用无监督聚类或者异常检测算法对用户数据进行分类,将正常设备分为一类或者将异常设备分为一类。但由于无监督分类一般以“物以类聚,人以群分”的思路进行异常设备检测。所以,异常设备通过模拟正常设备的行为,便可以很容易绕过检测。同时,异常设备检测准确性也无法得到保证。
为了解决上述方法中存在的问题,本示例实施方式提供了一种异常设备检测方法、异常设备检测装置、计算机可读存储介质与电子设备,可以实现根据少量的异常设备完成其他设备的异常检测。以下对上述异常设备检测方法、异常设备检测装置、计算机可读存储介质与电子设备进行详细说明:
图1示出了本公开示例性实施方式的一种系统架构的示意图。如图1所示,该系统架构100可以包括:终端110、网络120和服务器130。用户终端110可以是连接于网络的,可以完成信息交互、数据获取及休闲娱乐等多种日常活动的各种电子设备,包括但不限于手机、平板电脑、数码相机、个人电脑等。网络120用以在终端110和服务器130之间提供通信链路的介质,可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等。应该理解,图1中的终端、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端、网络和服务器。比如服务器130可以是多个服务器组成的服务器集群等。
本公开实施方式所提供的异常设备检测方法可以由终端110和服务器130共同执行,例如,服务器130可以对终端110进行检测,获取检测到的异常终端,基于该异常终端搜索出与该终端关联的全部终端;接着,依据各设备之间的关联关系(此处的设备包括异常设备及搜索到的关联设备),生成对应的拉普拉斯矩阵;通过单位矩阵改进上述拉普拉斯矩阵,得到传播矩阵,并基于传播矩阵检测出上述关联设备中的异常设备。
本公开的示例性实施方式提供一种用于实现异常设备检测方法的电子设备,其可以是图1中的终端110或服务器130。该电子设备至少包括处理器和存储器,存储器用于存储处理器的可执行指令,处理器配置为经由执行可执行指令来执行异常设备检测方法。
电子设备可以以各种形式来实施,例如可以包括手机、平板电脑、笔记本电脑、个人数字助理(Personal Digital Assistant,PDA)、导航装置、可穿戴设备、无人机等移动设备,以及台式电脑、智能电视等固定设备。
下面以图2中的移动终端200为例,对电子设备的构造进行示例性说明。本领域技术人员应当理解,除了特别用于移动目的的部件之外,图2中的构造也能够应用于固定类型的设备。在另一些实施方式中,移动终端200可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或软件和硬件的组合实现。各部件间的接口连接关系只是示意性示出,并不构成对移动终端200的结构限定。在另一些实施方式中,移动终端200也可以采用与图2不同的接口连接方式,或多种接口连接方式的组合。
如图2所示,移动终端200具体可以包括:处理器210、内部存储器221、外部存储器接口222、USB接口230、充电管理模块240、电源管理模块241、电池242、天线1、天线2、移动通信模块250、无线通信模块260、音频模块270、扬声器271、受话器272、麦克风273、耳机接口274、传感器模块280、显示屏幕290、摄像模组291、指示器292、马达293、按键294以及用户标识模块卡接口295等。
处理器210可以包括一个或多个处理单元。其中,不同的处理单元可以是独立的器件,也可以集成在一个或多个处理器中。
在一些实施方式中,处理器210可以包括一个或多个接口。通过不同的接口和移动终端200的其他部件形成连接。
USB接口230是符合USB标准规范的接口,可以用于连接充电器为移动终端200充电,还可以用于连接其他电子设备。
充电管理模块240用于从充电器接收充电输入。充电管理模块240为电池242充电的同时,还可以通过电源管理模块241为设备供电。
电源管理模块241用于连接电池242、充电管理模块240与处理器210。电源管理模块241接收电池242和/或充电管理模块240的输入,为移动终端200的各个部分供电,还可以用于监测电池的状态。
移动终端200的无线通信功能可以通过天线1、天线2、移动通信模块250、无线通信模块260、调制解调处理器以及基带处理器等实现。
天线1和天线2用于发射和接收电磁波信号。移动通信模块250可以提供应用在移动终端200上的包括2G/3G/4G/5G等无线通信的解决方案。
无线通信模块260可以提供应用在移动终端200上的无线通信解决方案。无线通信模块260可以是集成至少一个通信处理模块的一个或多个器件。无线通信模块260经由天线2接收电磁波,将电磁波信号调频以及滤波处理,将处理后的信号发送到处理器210。无线通信模块260还可以从处理器210接收待发送的信号,对其进行调频,放大,经天线2转为电磁波辐射出去。
在一些实施方式中,移动终端200的天线1和移动通信模块250耦合,天线2和无线通信模块260耦合,使得移动终端200可以通过无线通信技术与网络以及其他设备通信。
移动终端200通过GPU、显示屏幕290及应用处理器等实现显示功能。处理器210可包括一个或多个GPU,其执行程序指令以生成或改变显示信息。移动终端200可以包括一个或多个显示屏幕290。
外部存储器接口222可以用于连接外部存储卡,实现扩展移动终端200的存储能力。
内部存储器221可以用于存储计算机可执行程序代码,所述可执行程序代码包括指令。内部存储器221可以包括存储程序区和存储数据区。其中,存储程序区可存储操作系统,至少一个功能所需的应用程序等。存储数据区可存储移动终端200使用过程中所创建的数据等。处理器210通过运行存储在内部存储器221的指令和/或存储在设置于处理器中的存储器的指令,执行移动终端200的各种功能应用以及数据处理。
移动终端200可以通过音频模块270、扬声器271、受话器272、麦克风273、耳机接口274及应用处理器等实现音频功能。
传感器模块280可以包括触摸传感器2801、压力传感器2802、陀螺仪传感器2803、气压传感器2804等。此外,根据实际需要,还可以在传感器模块280中设置其他功能的传感器。
下面对本公开示例性实施方式的异常设备检测方法和异常设备检测装置进行具体说明。
图3示出了本示例性实施方式中一种异常设备检测方法的流程,包括以下步骤S310~S330:
步骤S310,获取已检测到的异常设备,以及该异常设备的关联设备。
在本示例实施方式中,上述异常设备是指被用于进行非正常操作的设备。例如,网络中正常的电子设备在信息泄露并被违法分子掌握后,便成为了异常设备。又如,被违法分子低价批量回收,并用于谋取私利、破坏市场等行为的二手设备也是异常设备。除此之外,其他符合上述定义的,可能被违法分子用于诈骗、灌水、养号、恶意评论、薅羊毛等异常操作的设备也都属于本示例实施方式中异常设备的保护范畴。
上述关联设备指的是与上述异常设备存在关联的其他电子设备。举例而言,上述关联设备可以是通过网络等介质与异常设备相连的其他设备,也可以是基于环境标识与上述异常设备相关联的其他设备。其中,上述环境标识可以为设备账号,如SSO(Single SignOn,单点登录)账号,也可以为IP(Internet Protocol,网络协议)地址。此外,上述关联设备还可以是符合上述定义的其他与异常设备具有关联性的设备,本示例实施方式对此不做特殊限定。
通过上述异常设备及关联设备之间的关联关系,违法分子在控制异常设备之后,还可能进一步地利用该异常设备的关联设备进行异常行为,被利用的关联设备也就成为了异常设备。为了检测出与上述异常设备关联的关联设备中的全部异常设备,本示例实施方式所提供的异常设备检测方法在获取到已检测出的异常设备后,还需要搜索出该异常设备相关的全部关联设备。该搜索全部关联设备的过程可以为:获取已检测到的异常设备的环境标识,依据环境标识搜索出与异常设备相关联的全部关联设备。以某一业务系统为例,服务器可以对该业务系统中的所有电子设备的状态进行检测,当检测到某一个或多个设备为异常设备后,可以获取上述异常设备的SSO ID或IP地址,根据设备间的ssoid或ip的关联性,搜索出所有和上述异常设备有关联的设备。
其中,上述搜索过程可以采取深度遍历算法完成。以检测出设备3为异常设备为例,该深度遍历的搜索过程具体步骤可以如下:
(1)以异常设备3为顶点开始深度遍历过程;
(2)以ssoid或ip为媒介,查询与该异常设备3相连的第一个未被访问的邻接设备。同时,将该邻接设备作为新的顶点,重复该步骤,直到刚访问的设备没有未被访问的邻接设备;例如,以查询到的第一个未被访问的邻接设备为设备5为例,如图4所示,在查询到设备5后,以该设备5为新的顶点,假设查询到的该设备5的未被访问的邻接设备为设备7,则将设备7作为新的顶点,但由于设备7没有未被访问的邻接设备,进入步骤(3);
(3)返回前一个访问过的存在未被访问的邻接设备的设备,找到该设备对应顶点的下一个未被访问的邻接设备。如图5所示,设备7没有未被访问的邻接设备,返回设备5,访问设备5下一个未被访问的邻接设备6;
(4)重复步骤(2)和步骤(3),直到没有新增设备。例如,以设备6为新的顶点进行搜索,直至设备6没有未被访问的邻接设备时,返回设备5,访问设备5下一个未被访问的邻接设备4。重复步骤(2)和步骤(3),直至遍历完系统中的所有设备,如图6所示,其中,通过深度遍历算法得到与异常设备3相关联的设备包括设备1至设备7。其中,设备8及设备9可以为在以设备3为起点的遍历完成后,以系统中尚未被访问的设备8及设备9为新的起点进行遍历,直至完成系统中所有设备的遍历。
需要说明的是,上述场景只是一种示例性说明,除深度遍历外的其他搜索关联设备的方法也属于本示例实施方式的保护范畴。
步骤S320,根据异常设备与关联设备之间的关联关系,以及各关联设备之间的关联关系,生成对应的拉普拉斯矩阵。
在本示例实施方式中,在得到上述异常设备及与该异常设备的全部关联设备后,还可以根据异常设备与关联设备之间的关联关系,以及各关联设备之间的关联关系,生成对应的拉普拉斯矩阵,以便基于该拉普拉斯矩阵进行后续对关联设备的异常检测过程。
以上述关联关系为上述将异常设备及关联设备关联起来的环境标识为例,上述生成拉普拉斯矩阵的过程可以为:根据异常设备与关联设备之间的关联关系,以及各关联设备之间的关联关系,计算得到异常设备及关联设备对应的邻接矩阵及该邻接矩阵的度矩阵;基于上述邻接矩阵及度矩阵生成拉普拉斯矩阵。
以异常设备为上述设备3为例,如图7所示,设备3为检测到的异常设备,且通过步骤S310搜索到了系统中设备3的全部关联设备,包括设备1至设备7。在图7中,顶点代表设备,具备关联关系的设备对应的顶点之间通过线条连接,例如,共用相同的ssoid的设备之间可以通过连线相接,代表其在业务中的账号环境是相同的。根据遍历搜索得到的图7中的顶点(代表设备)及顶点之间的连线(代表关联关系,如ssoid或ip联系),生成邻接矩阵A。
依据图7中设备1至设备7中各个设备之间的关联关系,生成该邻接矩阵A的具体过程为:生成一个7行7列的矩阵,该矩阵的行和列都代表对应的设备,矩阵中的元素值代表设备之间的关联关系,若行列代表的两个设备之间有直接关联关系,对应位置的元素值设置为1,若无直接关联关系,则对应位置的元素值设置为0。例如,该矩阵的第一行代表设备1和其他设备的联系,即在图7中是否直接由线段相连,第一列也代表设备1和其他设备的联系,矩阵其他行列的值同理可以得到,则可以计算出图7对应的邻接矩阵A:
在得到邻接矩阵A后,还需要计算该邻接矩阵对应的度矩阵,才能计算出上述拉普拉斯矩阵。计算该度矩阵的过程可以如下:将上述计算得到的邻接矩阵A的对角线上的元素值设置为1,同时,将矩阵中行列代表的两个设备有直接关联联系的对应位置的元素值也设置为1,其他位置的元素设置为0;将邻接矩阵A的元素加到对角线上可以得到该邻接矩阵A的度矩阵D:
该矩阵对角线中的元素值代表了与各设备直接关联的设备数,如,对角线上沿从左上至右下的方向元素值分别为2,2,6,3,5,3,2,代表与设备1至设备7直接关联的设备数依次为2,2,6,3,5,3,2,以设备3为例,它直接关联的共有设备1至设备6六个设备,与设备7则是通过设备间接关联。
在得到邻接矩阵A及该邻接矩阵对应的度矩阵D后,可以通过以下三种方式计算上述拉普拉斯矩阵:
其中,I为单位对角矩阵。需要说明的是,上述场景只是对生成拉普拉斯矩阵的过程的一种示例性说明,本示例实施方式的保护范畴不以此为限。
步骤S330,通过单位矩阵改进所生成的拉普拉斯矩阵,得到传播矩阵,并基于该传播矩阵检测出上述关联设备中的异常设备。
通过步骤S320生成的拉普拉斯矩阵在表征顶点之间的关系时,只考虑了邻接顶点的度的大小,没有考虑度的大小所具备的安全性。而在业务安全中,往往度越大的顶点,其自身的风险越高。如在图7中,设备5的度为4,,说明有4个设备与该设备5具有直接关联,如可能具有相同的ssoid,应该有更高的风险性,而基于上述拉普拉斯矩阵得到的与设备3关联最紧密的却是设备1,但设备1只有一个ssoid,极有可能是其ssoid被设备3的用户盗用,所以和设备3产生关联,其风险反而应该是最低的。也就是说,基于步骤S320得到的拉普拉斯矩阵对关联设备进行异常检测得到的结果是不准确的。
为了得到更准确的检测结果,本示例实施方式结合考虑度越大的顶点其风险度越高的特点,对上述拉普拉斯矩阵进行改进,得到传播矩阵T。改进针对上述拉普拉斯矩阵对应的正则化拉普拉斯矩阵
可以实现如下:将上述正则化拉普拉斯中的单位对角矩阵替换为单位矩阵,并右乘上述邻接矩阵,得到传播矩阵
以上述设备3为异常设备为例,上述过程为,将正则化拉普拉斯矩阵中的单位对角矩阵替换为七行七列的全1单位矩阵,得到传播矩阵:
在得到上述传播矩阵后,可以基于该传播矩阵去对上述异常设备的全部关联设备进行检测,得到关联设备中的异常设备。举例而言,该过程可以基于标签传播算法实现,具体实现可以如下:依据上述传播矩阵获取各个设备之间的相似度,并基于相似度通过标签传播算法检测出关联设备中的异常设备。
上述标签传播算法,如图8所示,可以包括以下步骤:
步骤S810:设置标签传播算法的参数m,n和d。其中,m表示标签传播的关联数,n表示标签传播的最大传播层数,d表示标签传播过程中的阈值。
步骤S820:遍历上述传播矩阵中的异常设备,将初始设备作为初始值,标记为List_imei。
步骤S830:比较当前传播层数i与n的大小,在当前传播层数i小于n时,跳转至步骤S840,否则,跳转至步骤S890。
步骤S840:遍历List_imei,将其中各设备所在行中除对角线以外的最大m个值标记为D[m]。
步骤S850:遍历D[m],并将其中的值与d进行比较。若D[j]大于d,则跳转至步骤S860,若D[j]小于或等于d,则跳转至步骤S870,其中,1<=j<=m。
步骤S860:用D中对应的设备号更新List_imei,并将该设备号存入异常设备库中。
步骤S870:丢弃D中对应的该设备号。
步骤S880:判断更新后的List_imei中对应的设备号是否全在设备库中,若是,跳转至步骤S890,若否,跳转至步骤S830。
步骤S890:结束算法。
以上述图7所示的场景为例,假设m=1,n=2,d=0.72,则上述标签传播过程可以为:List_imei={设备3},从上述传播矩阵中设备3的所在行中查找除对角线之外的最大值,当m=1时,得到D[m]={0.82},依次比较D[m]中各个值为d=0.72的大小,m=1时,D[m]只有一个值D[1],且D[1]=0.82>d=0.72,把D[1]对应的设备5存入上述异常设备库中,第一传播层的传播过程完成;用设备5更新List_imei={设备3,设备5},从上述传播矩阵中设备3及设备5的所在行中查找除对角线之外的最大值,重复上述步骤,更新List_imei后得到List_imei={设备3,设备5},判断得到更新后的List_imei中对应的设备号全在设备库中,结束算法。该标签传播算法的结果图如图9所示,图中,异常设备对应的圆形加粗表示,设备3与设备5为标签传播算法得到的异常设备。
其中,标签传播算法的参数可以依据实际情况进行设置。参数不同,得到的传播算法的结果也可能存在差异。例如,当m=2,n=2,d=0.72时,上述标签传输算法的结果,如图10所示,检测到的异常设备为设备3至设备6。
需要说明的是,上述场景只是一种示例性说明,其他基于上述传播矩阵对关联设备进行异常检测的方法也属于本示例实施方式的保护范畴。
综上所述,本示例性实施方式中,获取已检测到的异常设备,以及与该异常设备相关联的全部关联设备;根据异常设备与关联设备之间的关联关系,以及各关联设备之间的关联关系,生成对应的拉普拉斯矩阵;通过单位矩阵改进所生成的拉普拉斯矩阵,得到传播矩阵,并基于该传播矩阵检测出上述关联设备中的异常设备。一方面,本示例实施方式通过已检测到的异常设备可以对与其相关的全部设备进行异常检测,改善了异常设备通过模仿正常设备的行为避开异常检测的问题。另一方面,本示例实施方式还通过单位矩阵对拉普拉斯矩阵进行了改进,因此在检测的过程中,考虑到了关联设备越多,其自身越危险这一情况,提高了异常设备检测的准确性。同时,本示例实施方式不需要大量的训练样本,可以依据少量的异常设备检测出与其相关的所有异常设备,且不必依据业务变化对特征数据的采集进行调整,简化了检测过程,降低了检测的复杂度。
在一示例性实施例中,在检测出关联设备中的异常设备后,还可以进一步结合监督学习算法,完善上述异常设备检测算法,从而对与其他设备没有关联关系的孤立设备也可以进行异常检测。其具体实现可以为:将上述异常设备及从该异常设备的关联设备中检测出的异常设备作为训练样本,通过监督学习得到分类器,并通过该分类器进行异常设备检测。
本公开的示例性实施方式还提供一种异常设备检测装置。如图11所示,该异常设备检测装置1100可以包括:
关系获取模块1110,用于获取已检测到的异常设备,以及异常设备的关联设备;
矩阵生成模块1120,用于根据异常设备与关联设备之间的关联关系,以及各关联设备之间的关联关系,生成对应的拉普拉斯矩阵;
设备检测模块1130,用于通过单位矩阵改进拉普拉斯矩阵,得到传播矩阵,并基于该传播矩阵检测出关联设备中的异常设备。
在一示例性实施例中,上述关系获取模块可以包括获取单元及搜索单元。其中,上述获取单元用于获取已检测到的系统中的异常设备;上述搜索单元用于遍历系统中的全部设备,得到与上述异常设备具有关联关系的全部关联设备。
在一示例性实施例中,上述矩阵生成模块可以包括分析单元及计算单元。上述分析单元用于分析得到上述异常设备及上述关联设备各设备之间的直接关联关系,并生成对应的邻接矩阵及该邻接矩阵的度矩阵;上述计算单元用于基于上述邻接矩阵及度矩阵计算得到拉普拉斯矩阵。
在一示例性实施例中,上述设备检测模块可以包括改进单元及检测单元。上述改进单元用于对上述生成的拉普拉斯矩阵进行改进得到传播矩阵,具体改进过程在方法对应步骤进行了详细说明;上述检测单元用于基于上述传播矩阵检测出所述关联设备中的异常设备。
在一示例性实施例中,上述异常设备检测装置还包括训练模块。该训练模块可以用于将上述异常设备及从该异常设备的关联设备中检测出的异常设备作为训练样本,通过监督学习得到分类器,并通过该分类器进行异常设备检测。
上述装置中各模块的具体细节在方法部分实施方式中已经详细说明,未披露的细节内容可以参见方法部分的实施方式内容,因而不再赘述。
所属技术领域的技术人员能够理解,本公开的各个方面可以实现为系统、方法或程序产品。因此,本公开的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
本公开的示例性实施方式还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本公开的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当程序产品在终端设备上运行时,程序代码用于使终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤,例如可以执行图3至图10中任意一个或多个步骤。
本公开的示例性实施方式还提供了一种用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本公开的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码,程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其他实施方式。本公开旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施方式仅被视为示例性的,本公开的真正范围和精神由权利要求指出。
应当理解的是,本公开并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。
Claims (8)
1.一种异常设备检测方法,其特征在于,包括:
获取已检测到的异常设备,以及所述异常设备的关联设备;
根据所述异常设备与所述关联设备之间的关联关系,以及各所述关联设备之间的关联关系,计算得到所述异常设备及所述关联设备对应的邻接矩阵及所述邻接矩阵的度矩阵;
基于所述邻接矩阵及所述度矩阵生成拉普拉斯矩阵;所述拉普拉斯矩阵为正则化拉普拉斯矩阵;
将所述正则化拉普拉斯矩阵中的单位对角矩阵替换为单位矩阵,并右乘所述邻接矩阵,得到传播矩阵,并基于所述传播矩阵检测出所述关联设备中的异常设备。
2.根据权利要求1所述的异常设备检测方法,其特征在于,所述获取已检测到的异常设备,以及所述异常设备的关联设备,包括:
获取已检测到的所述异常设备的环境标识,依据所述环境标识搜索出与所述异常设备相关联的全部所述关联设备;
其中,所述环境标识包括设备账号或网络协议地址中的至少一个。
3.根据权利要求2所述的异常设备检测方法,其特征在于,所述依据所述环境标识搜索出与所述异常设备相关联的全部所述关联设备,包括:
以所述异常设备为起点,依据所述环境标识,通过深度遍历搜索出与所述异常设备相关联的全部所述关联设备。
4.根据权利要求1所述的异常设备检测方法,其特征在于,所述基于所述传播矩阵检测出所述关联设备中的异常设备,包括:
依据所述传播矩阵获取各个设备之间的相似度,并基于所述相似度通过标签传播算法检测出所述关联设备中的异常设备。
5.根据权利要求4所述的异常设备检测方法,其特征在于,在所述基于所述传播矩阵检测出所述关联设备中的异常设备之后,所述方法还包括:
将所述异常设备及从所述关联设备中检测出的异常设备作为训练样本,通过监督学习得到分类器,并通过所述分类器进行异常设备检测。
6.一种异常设备检测装置,其特征在于,包括:
关系获取模块,用于获取已检测到的异常设备,以及所述异常设备的关联设备;
矩阵生成模块,包括分析单元及计算单元;所述分析单元用于分析得到所述异常设备及所述关联设备各设备之间的直接关联关系,并生成对应的邻接矩阵及该邻接矩阵的度矩阵;所述计算单元用于基于所述邻接矩阵及度矩阵计算得到拉普拉斯矩阵;所述拉普拉斯矩阵为正则化拉普拉斯矩阵;
设备检测模块,包括改进单元及检测单元;所述改进单元用于根据所述异常设备与所述关联设备之间的关联关系,以及各所述关联设备之间的关联关系,计算得到所述异常设备及所述关联设备对应的邻接矩阵及所述邻接矩阵的度矩阵;所述检测单元用于基于传播矩阵检测出所述关联设备中的异常设备。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述的方法。
8.一种电子设备,其特征在于,包括:
处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1至5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010968051.9A CN112035334B (zh) | 2020-09-15 | 2020-09-15 | 异常设备检测方法、装置、存储介质与电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010968051.9A CN112035334B (zh) | 2020-09-15 | 2020-09-15 | 异常设备检测方法、装置、存储介质与电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112035334A CN112035334A (zh) | 2020-12-04 |
| CN112035334B true CN112035334B (zh) | 2023-01-31 |
Family
ID=73590221
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010968051.9A Active CN112035334B (zh) | 2020-09-15 | 2020-09-15 | 异常设备检测方法、装置、存储介质与电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112035334B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115795329B (zh) * | 2023-02-06 | 2023-04-11 | 佰聆数据股份有限公司 | 一种基于大数据网格下的用电异常行为分析方法和装置 |
| CN117150388B (zh) * | 2023-11-01 | 2024-01-26 | 江西现代职业技术学院 | 汽车底盘的异常状态检测方法及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103323742A (zh) * | 2013-05-31 | 2013-09-25 | 华北电力大学 | 基于随机布点pmu的电网故障识别系统及故障识别方法 |
| CN104678261A (zh) * | 2015-03-26 | 2015-06-03 | 重庆大学 | 接地网腐蚀状态检测装置及方法 |
| CN106021062A (zh) * | 2016-05-06 | 2016-10-12 | 广东电网有限责任公司珠海供电局 | 关联故障的预测方法和系统 |
| WO2018103453A1 (zh) * | 2016-12-07 | 2018-06-14 | 华为技术有限公司 | 检测网络的方法和装置 |
| CN111401514A (zh) * | 2020-02-13 | 2020-07-10 | 山东师范大学 | 基于改进图卷积网络的半监督符号网络嵌入方法及系统 |
| CN111597070A (zh) * | 2020-07-27 | 2020-08-28 | 北京必示科技有限公司 | 一种故障定位方法、装置、电子设备及存储介质 |
| CN111625435A (zh) * | 2020-05-21 | 2020-09-04 | 苏州浪潮智能科技有限公司 | 一种服务器分析方法、装置、设备及计算机可读存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9476931B2 (en) * | 2014-02-07 | 2016-10-25 | Mitsubishi Electric Research Laboratories, Inc. | Method for fault location analysis of ungrounded distribution systems |
| US11463472B2 (en) * | 2018-10-24 | 2022-10-04 | Nec Corporation | Unknown malicious program behavior detection using a graph neural network |
-
2020
- 2020-09-15 CN CN202010968051.9A patent/CN112035334B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103323742A (zh) * | 2013-05-31 | 2013-09-25 | 华北电力大学 | 基于随机布点pmu的电网故障识别系统及故障识别方法 |
| CN104678261A (zh) * | 2015-03-26 | 2015-06-03 | 重庆大学 | 接地网腐蚀状态检测装置及方法 |
| CN106021062A (zh) * | 2016-05-06 | 2016-10-12 | 广东电网有限责任公司珠海供电局 | 关联故障的预测方法和系统 |
| WO2018103453A1 (zh) * | 2016-12-07 | 2018-06-14 | 华为技术有限公司 | 检测网络的方法和装置 |
| CN111401514A (zh) * | 2020-02-13 | 2020-07-10 | 山东师范大学 | 基于改进图卷积网络的半监督符号网络嵌入方法及系统 |
| CN111625435A (zh) * | 2020-05-21 | 2020-09-04 | 苏州浪潮智能科技有限公司 | 一种服务器分析方法、装置、设备及计算机可读存储介质 |
| CN111597070A (zh) * | 2020-07-27 | 2020-08-28 | 北京必示科技有限公司 | 一种故障定位方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于分层理论的电网故障诊断及脆弱性评估方法研究;孙亚;《中国优秀硕士学位论文全文数据库》;20160815;C042-574 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112035334A (zh) | 2020-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111461089B (zh) | 一种人脸检测的方法、人脸检测模型的训练方法及装置 | |
| Zhu et al. | Android malware detection based on multi-head squeeze-and-excitation residual network | |
| CN112035334B (zh) | 异常设备检测方法、装置、存储介质与电子设备 | |
| CN111327607B (zh) | 一种基于大数据的安全威胁情报管理方法、系统、存储介质及终端 | |
| CN109977839A (zh) | 信息处理方法和装置 | |
| CN112214775A (zh) | 对图数据的注入式攻击方法、装置、介质及电子设备 | |
| CN109784243B (zh) | 身份确定方法及装置、神经网络训练方法及装置、介质 | |
| EP3037985A1 (en) | Search method and system, search engine and client | |
| CN113033966A (zh) | 风险目标识别方法、装置、电子设备和存储介质 | |
| CN114648675A (zh) | 对抗训练方法、图像处理方法、装置、设备和介质 | |
| CN114124460A (zh) | 工控系统入侵检测方法、装置、计算机设备及存储介质 | |
| US20220321598A1 (en) | Method of processing security information, device and storage medium | |
| CN113746780A (zh) | 基于主机画像的异常主机检测方法、装置、介质和设备 | |
| CN115906064A (zh) | 一种检测方法、装置、电子设备、计算机可读介质 | |
| WO2021258972A1 (zh) | 视频检索方法、装置、电子设备和计算机可读介质 | |
| CN113780318B (zh) | 用于生成提示信息的方法、装置、服务器和介质 | |
| WO2021151354A1 (zh) | 一种单词识别方法、装置、计算机设备和存储介质 | |
| CN110991566B (zh) | 通过信息融合方式进行风力发电机故障诊断的方法和装置 | |
| Li | [Retracted] Research on Smartphone Trojan Detection Based on the Wireless Sensor Network | |
| CN117478434B (zh) | 边缘节点网络流量数据处理方法、装置、设备及介质 | |
| CN110413603A (zh) | 重复数据的确定方法、装置、电子设备及计算机存储介质 | |
| KR102471731B1 (ko) | 사용자를 위한 네트워크 보안 관리 방법 | |
| CN115758368B (zh) | 恶意破解软件的预测方法、装置、电子设备和存储介质 | |
| CN110674497B (zh) | 一种恶意程序相似度计算的方法和装置 | |
| Yao et al. | Pattern unlocking guided multi‐modal continuous authentication for smartphone with multi‐branch context‐aware representation learning and auto encoder |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |