CN112822166A - 一种异常进程检测方法、装置、设备及介质 - Google Patents

一种异常进程检测方法、装置、设备及介质 Download PDF

Info

Publication number
CN112822166A
CN112822166A CN202011612727.7A CN202011612727A CN112822166A CN 112822166 A CN112822166 A CN 112822166A CN 202011612727 A CN202011612727 A CN 202011612727A CN 112822166 A CN112822166 A CN 112822166A
Authority
CN
China
Prior art keywords
determining
abnormal
candidate
time
stability
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011612727.7A
Other languages
English (en)
Other versions
CN112822166B (zh
Inventor
李璇
黄�俊
闻楷
余丽辉
钟敏
杨钦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Original Assignee
Nsfocus Technologies Inc
Nsfocus Technologies Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nsfocus Technologies Inc, Nsfocus Technologies Group Co Ltd filed Critical Nsfocus Technologies Inc
Priority to CN202011612727.7A priority Critical patent/CN112822166B/zh
Publication of CN112822166A publication Critical patent/CN112822166A/zh
Application granted granted Critical
Publication of CN112822166B publication Critical patent/CN112822166B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种异常进程检测方法、装置、设备及介质,用以解决现有技术中对异常进程检测不够准确的问题。基于通常情况下,多个主机中出现某进程的主机的占比越大,即出现该进程的主机数量越多,该进程为正常进程的概率越大;相反,多个主机中出现某进程的主机的占比越小,即出现该进程的主机数量越少,该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识,确定产生该进程标识的主机的第一数量,根据该第一数量和主机的总数量,确定该进程标识对应的第一占比,若该第一占比小于预设的占比阈值,则可以确定该第一进程为异常进程,从而可以快捷的提高检测异常进程的准确性。

Description

一种异常进程检测方法、装置、设备及介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种异常进程检测方法、装置、设备及介质。
背景技术
现有在检测异常进程时,通常采用以下两种方案:
方案一:将已知的异常进程加入黑名单中,在检测到黑名单中的进程出现时,将该进程视为异常进程。
方案二:根据进程的固有属性,如占用内存,响应时间等来检测,当检测到进程的固有属性出现异常时,将该进程视为异常进程。
但是上述两种检测异常进程的方案存在以下问题:
方案一存在的问题是:只能检测到已知的异常进程,对未知的异常进程无法检测。
方案二存在的问题是:有些异常进程的固有属性与正常进程是没有区别的,从而导致不能检测到有些异常进程。
由此可以看出,现有检测异常进程的方法均存在检测不准确的问题。
发明内容
本申请提供了一种异常进程检测方法、装置、设备及介质,用以解决现有技术中对异常进程检测不够准确的问题。
本发明的一方面提供了一种异常进程检测方法,所述方法包括:
获取每个主机在设定时间内产生的每个第一进程;
针对所述每个第一进程的进程标识,确定产生该进程标识的主机的第一数量;根据所述第一数量和所述每个主机的总数量,确定该进程标识对应的第一占比;判断所述第一占比是否小于预设的占比阈值,若是,则确定该第一进程为异常进程。
进一步的,所述判断所述第一占比小于预设的占比阈值之后,确定该第一进程为异常进程之前,所述方法还包括:
将该第一进程确定为候选进程,基于产生该候选进程的主机在所述设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中所述子目标进程序列包含设定数量进程;
确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;
针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值;
若该候选进程的异常分值满足预设的异常进程判断条件,则进行后续确定该候选进程为异常进程的步骤。
进一步的,确定该进程创建行为的第二占比的过程包括:
确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量,根据所述第二数量和所述第三数量的商,确定该进程创建行为的第二占比。
进一步的,确定所述父进程的第一稳定度的过程包括:
将该进程创建行为首次被创建的时间作为第一时间,根据当前时间和所述第一时间,确定第一时长,并确定所述第一时长中包含设定的第二时长的时间窗口总数量;
确定所述父进程没有创建子进程的时间窗口的第四数量;根据所述第四数量和所述时间窗口总数量的商,确定所述父进程的第一稳定度;
确定所述子进程的第二稳定度的过程包括:
确定所述子进程没有被任一父进程创建的时间窗口的第五数量;根据所述第五数量和所述时间窗口总数量的商,确定所述子进程的第二稳定度。
进一步的,所述针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值包括:
针对每个进程创建行为,确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积,根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积,确定该候选进程的正常分值;
根据1与所述正常分值的差值,确定该候选进程的异常分值。
进一步的,若该候选进程的异常分值满足预设的异常进程判断条件,则确定该候选进程为异常进程包括:
针对所述第一占比小于预设的占比阈值的每个候选进程,根据所述每个候选进程的异常分值对所述每个候选进程进行排序,按照异常分值由大到小的顺序,选取第六数量的候选进程,将所述第六数量的候选进程确定为异常进程。
本发明的再一方面提供了一种异常进程检测装置,所述装置包括:
获取模块,用于获取每个主机在设定时间内产生的每个第一进程;
检测模块,用于针对所述每个第一进程,确定产生该第一进程的主机的第一数量;根据所述第一数量和所述每个主机的总数量,确定该第一进程对应的第一占比;判断所述第一占比是否小于预设的占比阈值,若是,则确定该第一进程为异常进程。
进一步的,所述检测模块,还用于所述判断所述第一占比小于预设的占比阈值之后,确定该第一进程为异常进程之前,将该第一进程确定为候选进程,基于产生该候选进程的主机在所述设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中所述子目标进程序列包含设定数量进程;确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值;若该候选进程的异常分值满足预设的异常进程判断条件,则进行后续确定该候选进程为异常进程的步骤。
进一步的,所述检测模块,具体用于确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量,根据所述第二数量和所述第三数量的商,确定该进程创建行为的第二占比。
进一步的,所述检测模块,具体用于将该进程创建行为首次被创建的时间作为第一时间,根据当前时间和所述第一时间,确定第一时长,并确定所述第一时长中包含设定的第二时长的时间窗口总数量;确定所述父进程没有创建子进程的时间窗口的第四数量;根据所述第四数量和所述时间窗口总数量的商,确定所述父进程的第一稳定度;确定所述子进程没有被任一父进程创建的时间窗口的第五数量;根据所述第五数量和所述时间窗口总数量的商,确定所述子进程的第二稳定度。
进一步的,所述检测模块,具体用于针对每个进程创建行为,确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积,根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积,确定该候选进程的正常分值;根据1与所述正常分值的差值,确定该候选进程的异常分值。
进一步的,所述检测模块,具体用于针对所述第一占比小于预设的占比阈值的每个候选进程,根据所述每个候选进程的异常分值对所述每个候选进程进行排序,按照异常分值由大到小的顺序,选取第六数量的候选进程,将所述第六数量的候选进程确定为异常进程。
本发明的再一方面提供了一种电子设备,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现上述任一所述异常进程检测方法的步骤。
本发明的再一方面提供了一种计算机可读存储介质,其存储有计算机程序,所述计算机程序被处理器执行时实现上述任一所述异常进程检测方法的步骤。
基于通常情况下,多个主机中出现某进程的主机的占比越大,即出现该进程的主机数量越多,该进程为正常进程的概率越大;相反,多个主机中出现某进程的主机的占比越小,即出现该进程的主机数量越少,该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识,确定产生该进程标识的主机的第一数量,根据该第一数量和主机的总数量,确定该进程标识对应的第一占比,若该第一占比小于预设的占比阈值,则可以确定该第一进程为异常进程,从而可以快捷的提高检测异常进程的准确性。
附图说明
图1为本发明实施例提供的第一种异常进程检测过程示意图;
图2为本发明实施例提供的第二种异常进程检测过程示意图;
图3为本发明实施例提供的一种异常进程检测装置示意图;
图4为本发明实施例提供的一种电子设备结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为了准确检测异常进程,本发明实施例提供了一种异常进程检测方法、装置、系统、设备及介质。
实施例1:
图1为本发明实施例提供的第一种异常进程检测过程示意图,该过程包括以下步骤:
S101:获取每个主机在设定时间内产生的每个第一进程。
本发明实施例提供的异常进程检测方法应用于电子设备,该电子设备例如可以是PC、移动终端等设备,也可以是服务器等。
在一种可能的实施方式中,为了及时准确的检测异常进程,电子设备可以以设定的时间间隔,周期性的获取多个主机中的每个主机在设定时间内产生的每个第一进程,其中,设定的时间间隔和设定时间可以根据需求灵活设置,例如设定时间(Tap)可以是最近24小时、最近1小时等。多个主机可以是相互之间没有建立通信连接的多个主机,也可以是集群主机中的多个主机,可以根据需求灵活选择。为了区分产生第一进程的主机,在获取每个主机产生的每个第一进程的同时,可以获取第一进程与产生该第一进程的主机的对应关系,具体的,针对每个第一进程(pi)的进程标识,可以获取该进程标识与产生该第一进程的主机的主机标识(host ipj)的对应关系。
S102:针对所述每个第一进程的进程标识,确定产生该进程标识的主机的第一数量;根据所述第一数量和所述每个主机的总数量,确定该进程标识对应的第一占比;判断所述第一占比是否小于预设的占比阈值,若是,则确定该第一进程为异常进程。
基于通常情况下,多个主机中出现某进程的主机的占比越大,即出现该进程的主机数量越多,该进程为正常进程的概率越大;相反,多个主机中出现某进程的主机的占比越小,即出现该进程的主机数量越少,该进程为异常进程的概率越大。为了准确检测异常进程,可以根据获取到的第一进程的进程标识与产生该第一进程的主机的主机标识的对应关系,针对每个第一进程的进程标识,确定产生该进程标识的主机的第一数量。确定该进程标识的第一数量之后,可以根据产生该进程标识的主机的第一数量和每个主机的总数量的商,确定该进程标识对应的第一占比。示例性的,主机的总数量用nc表示,产生该第一进程的进程标识的主机的第一数量用npi表示,则该第一进程对应的第一占比fpi=npi/nc。为方便理解,再以一个具体实施例进行说明,例如主机的总数量为10,其中产生某进程标识的主机有5个,则该进程标识对应的第一占比为50%。
在本发明实施例中,可以预设占比阈值,该占比阈值的具体数值可以根据需求灵活设置。当判断第一占比小于预设的占比阈值时,可以认为该第一进程为异常进程。示例性的,预设的占比阈值用R表示,第一进程的进程标识的第一占比用fpi表示,若fpi<R,则可以确定该第一进程为异常进程。在一种可能的实施方式中,为了提高检测异常进程的准确性,占比阈值可以设置的相对较低,如5%、3%等,以将第一占比较小的第一进程确定为异常进程。
可以理解的,如果进程标识对应的第一占比不小于预设的占比阈值,则可以认为该第一进程为正常进程。
由于本申请可以针对每个第一进程的进程标识,确定产生该进程标识的主机的第一数量,根据该第一数量和主机的总数量,确定该进程标识对应的第一占比,若该第一占比小于预设的占比阈值,则可以确定该第一进程为异常进程,从而可以快捷的提高检测异常进程的准确性。
实施例2:
为了准确检测异常进程,在上述实施例的基础上,在本发明实施例中,所述判断所述第一占比小于预设的占比阈值之后,确定该第一进程为异常进程之前,所述方法还包括:
将该第一进程确定为候选进程,基于产生该候选进程的主机在所述设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中所述子目标进程序列包含设定数量进程;
确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;
针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值;
若该候选进程的异常分值满足预设的异常进程判断条件,则进行后续确定该候选进程为异常进程的步骤。
为了准确检测异常进程,在判断第一进程对应的第一占比小于预设的占比阈值时,可以认为该第一进程是可疑异常进程,将该第一进程确定为候选进程。为了进一步确定候选进程是否为异常进程,可以获取产生该候选进程的主机在设定时间内产生的每个第二进程。并基于每个第二进程确定该主机的进程拓扑序列,具体的,可以依据该主机在设定时间内产生的每个第二进程,确定每个第二进程的进程创建行为之间的关联关系,从而构建该主机的进程拓扑序列,并获取每个进程创建行为的数量以及创建该进程创建行为的时间戳。具体的,可以采用现有技术确定该主机的进程拓扑序列,在此不再赘述。
为了准确确定候选进程是否为异常进程,可以获取包含该候选进程在内的子目标进程序列,且该子目标进程序列包含设定数量进程,其中设定数量的具体数值可以根据需求灵活设置,本发明实施例对此不做具体限定。
为方便理解,以候选进程为p3为例进行解释说明,例如进程之间的创建行为包括:b1、b2、b3、b4,其中b1为父进程p1创建子进程p2的创建行为,即b1:p1→p2。b2为父进程p2创建子进程p3的创建行为,即b2:p2→p3。b3为父进程p3创建子进程p4的创建行为,即b3:p3→p4。b4为父进程p4创建子进程p5的创建行为,即b4:p4→p5。如果子目标进程序列中进程的设定数量为5,则可以选择包括p1、p2、p3、p4、p5这5个进程在内的进程序列为该子目标进程序列,该子目标进程序列L=(b1,b2,b3,b4),该子目标进程序列的进程拓扑为:p1→p2→p3→p4→p5
确定子目标进程序列后,可以确定子目标进程序列中每个进程创建行为对应的父进程和子进程。具体的,确定每个进程创建行为对应的父进程和子进程与上述实施例相同,以进程创建行为b1为例,b1:p1→p2,b1对应的父进程为p1,对应的子进程为p2,在此不再赘述。
为了准确确定候选进程的异常分值,在一种可能的实施方式中,可以针对子目标进程序列中每个进程创建行为,基于该进程创建行为的第二占比、该进程创建行为对应的父进程的第一稳定度和该进程创建行为对应的子进程的第二稳定度,确定该候选进程的异常分值。
其中,为了准确确定进程创建行为的第二占比,在上述实施例的基础上,在本发明实施例中,确定该进程创建行为的第二占比的过程包括:
确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量,根据所述第二数量和所述第三数量的商,确定该进程创建行为的第二占比。
在一种可能的实施方式中,在确定进程创建行为的第二占比时,可以先确定在设定时间内该进程创建行为的第二数量,同时,基于产生该进程创建行为的主机的进程拓扑序列,确定该进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量。确定第二数量和第三数量后,可以根据第二数量和第三数量的商,确定该进程创建行为的第二占比。
为方便理解,对第二占比的计算过程用公式形式进行解释说明:其中进程创建行为用pi→pj表示,该进程创建行为的第二数量用N(pi→pj)表示,该进程创建行为的父进程创建的所有进程创建行为用pi→*表示,该进程创建行为的父进程创建的所有进程创建行为的第三数量用N(pi→*)表示,则该进程创建行为的第二占比P(pi→pj)=N(pi→pj)/N(pi→*)。
示例性的,针对进程创建行为b1:p1→p2中的父进程p1,b1的第二数量是5;父进程p1同时还创建了子进程p6,对应的进程创建行为是b5:p5→p6,b5的数量也是5,则该父进程p1创建的所有进程创建行为的第三数量为10。该进程创建行为的第二占比为第二数量和第三数量的商,则该第二占比为0.5。
为了准确确定父进程的第一稳定度和子进程的第二稳定度,在上述各实施例的基础上,在本发明实施例中,确定所述父进程的第一稳定度的过程包括:
将该进程创建行为首次被创建的时间作为第一时间,根据当前时间和所述第一时间,确定第一时长,并确定所述第一时长中包含设定的第二时长的时间窗口总数量;
确定所述父进程没有创建子进程的时间窗口的第四数量;根据所述第四数量和所述时间窗口总数量的商,确定所述父进程的第一稳定度;
确定所述子进程的第二稳定度的过程包括:
确定所述子进程没有被任一父进程创建的时间窗口的第五数量;根据所述第五数量和所述时间窗口总数量的商,确定所述子进程的第二稳定度。
在本发明实施例中,可以基于时间窗口的数量,准确确定父进程的第一稳定度和子进程的第二稳定度。
具体的,针对每个进程创建行为,可以将该进程创建行为首次被创建的时间作为第一时间,然后根据当前时间与该第一时间的差,确定第一时长,然后根据设定的第二时长,确定第一时长中包含该设定的第二时长的时间窗口总数量。示例性的,如果第一时长为100S,设定的第二时长为10S,则时间窗口总数量为10。可以理解的,根据当前时间和该第一时间,可以确定每个时间窗口对应的时间信息。
在本发明实施例中,可以根据每个进程创建行为的时间戳,和每个时间窗口的时间信息,确定该父进程没有创建任一子进程的时间窗口的第四数量。示例性的,如果该父进程在某个时间窗口对应的时间内没有创建任一子进程,则可以将该时间窗口统计到第四数量中。确定该父进程没有创建子进程的时间窗口的第四数量后,可以根据第四数量和时间窗口总数量的商,确定该父进程的第一稳定度。
为方便理解,对父进程的第一稳定度的计算过程用公式形式进行解释说明:
父进程(pi)没有创建子进程的时间窗口的第四数量用NTout表示,时间窗口总数量用NT表示,则该父进程的第一稳定度OUT(pi)=NTout/NT。
相应的,在本发明实施例中,可以根据每个进程创建行为的时间戳,和每个时间窗口的时间信息,确定该子进程没有被任一父进程创建的时间窗口的第五数量,示例性的,如果该子进程在某个时间窗口对应的时间内没有被任一父进程创建,则可以将该时间窗口统计到第五数量中。确定该子进程没有被任一父进程创建的时间窗口的第五数量后,可以根据第五数量和时间窗口总数量的商,确定该子进程的第二稳定度。
为方便理解,对子进程的第二稳定度的计算过程用公式形式进行解释说明:
子进程(pj)没有被任一父进程创建的时间窗口的第五数量用NTin表示,时间窗口总数量用NT表示,则该子进程的第二稳定度IN(pj)=NTin/NT。
为了准确确定异常分值,在上述各实施例的基础上,在本发明实施例中,所述针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值包括:
针对每个进程创建行为,确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积,根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积,确定该候选进程的正常分值;
根据1与所述正常分值的差值,确定该候选进程的异常分值。
在本发明实施例中,为了准确确定异常分值,针对每个进程创建行为,可以先确定该进程创建行为的第二占比、该进程创建行为对应的父进程的第一稳定度和该进程创建行为对应的子进程的第二稳定度的第一乘积,然后再确定每个进程创建行为的第一乘积相乘得到的第二乘积,将该每个进程创建行为的第一乘积相乘得到的第二乘积作为该候选进程的正常分值。通常情况下,正常分值越高,说明该候选进程为异常进程的概率越小,相反,正常分值越低,说明该候选进程为异常进程的概率越大。
在本发明实施例中,可以将1与正常分值的差值,确定为该候选进程的异常分值。通常情况下,异常分值越高,说明该候选进程为异常进程的概率越大,相反,异常分值越低,说明该候选进程为异常进程的概率越小。
为方便理解,下面通过公式形式对本发明实施例提供的确定候选进程的异常分值的过程进行解释说明。
进程创建行为的第二占比用P(b)表示,父进程pi的第一稳定度用OUT(pi)表示,子进程pj的第二稳定度用IN(pj),则该第一创建行为的第一乘积为IN(pi)×P(b)×OUT(pj),该子目标进程序列中包含了n个第一创建行为,则该候选进程的正常分值
Figure BDA0002873341540000111
该候选进程的异常分值AS(L)=1-NS(L)。
为了准确确定候选进程是否为异常进程,可以预设异常进程判断条件,在一种可能的实施方式中,可以预设异常分值阈值,当候选进程的异常分值大于该预设的异常分值阈值时,则确定该候选进程为异常进程。
实施例3:
为了灵活准确的确定异常进程,在上述实施例的基础上,在本发明实施例中,若该候选进程的异常分值满足预设的异常进程判断条件,则确定该候选进程为异常进程包括:
针对所述第一占比小于预设的占比阈值的每个候选进程,根据所述每个候选进程的异常分值对所述每个候选进程进行排序,按照异常分值由大到小的顺序,选取第六数量的候选进程,将所述第六数量的候选进程确定为异常进程。
在本发明实施例中,确定候选进程是否为异常进程时,可以针对第一进程对应的第一占比小于预设的占比阈值的每个候选进程,采用上述实施例中的方法确定每个候选进程的异常分值后,根据每个候选进程的异常分值对每个候选进程进行排序,然后根据异常分值由大到小的顺序,依次选取第六数量的候选进程。基于异常分值越高,该候选进程为异常进程的概率越大,可以将该第六数量的候选进程确定为异常进程。其中,第六数量的具体数据可以根据需求灵活设置。
由于本发明实施例基于先横向比较不同主机产生的第一进程对应的第一占比,筛选出候选进程作为可疑异常进程;再针对候选进程,基于产生该候选进程的主机的进程拓扑序列,纵向分析该候选进程的异常分值;最后再横向比较每个候选进程的异常分值,将高可疑候选进程确定为异常进程。本发明实施例相比现有基于黑名单或者进程的固有属性来检测异常进程而言,可以快捷准确的检测异常进程,尤其针对未知异常进程以及较复杂的进程,可以提高异常进程检测的准确性。
下面通过一个具体实施例对本发明实施例提供的异常进程检测过程进行说明,图2为本发明实施例提供的第二种异常进程检测过程示意图,如图2所示,异常进程的检测过程包括:
S201:获取每个主机在设定时间内产生的每个第一进程。
S202:针对每个第一进程的进程标识,确定产生该进程标识的主机的第一数量;根据第一数量和每个主机的总数量,确定该进程标识对应的第一占比,判断第一占比是否小于预设的占比阈值,若是,则进行S203。
S203:将该第一进程确定为候选进程,基于产生该候选进程的主机在设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中该子目标进程序列包含设定数量进程;确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值。
S204:针对第一占比小于预设的占比阈值的每个候选进程,根据每个候选进程的异常分值对所述每个候选进程进行排序,按照异常分值由大到小的顺序,选取第六数量的候选进程,将第六数量的候选进程确定为异常进程。
实施例4:
在上述各实施例的基础上,本发明实施例提供了一种异常进程检测装置,图3为本发明实施例提供的一种异常进程检测装置示意图,如图3所示,所述装置包括:
获取模块31,用于获取每个主机在设定时间内产生的每个第一进程;
检测模块32,用于针对所述每个第一进程的进程标识,确定产生该进程标识的主机的第一数量;根据所述第一数量和所述每个主机的总数量,确定该进程标识对应的第一占比;判断所述第一占比是否小于预设的占比阈值,若是,则确定该第一进程为异常进程。
在一种可能的实施方式中,所述检测模块32,还用于所述判断所述第一占比小于预设的占比阈值之后,确定该第一进程为异常进程之前,将该第一进程确定为候选进程,基于产生该候选进程的主机在所述设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中所述子目标进程序列包含设定数量进程;确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值;若该候选进程的异常分值满足预设的异常进程判断条件,则进行后续确定该候选进程为异常进程的步骤。
在一种可能的实施方式中,所述检测模块32,具体用于确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量,根据所述第二数量和所述第三数量的商,确定该进程创建行为的第二占比。
在一种可能的实施方式中,所述检测模块32,具体用于将该进程创建行为首次被创建的时间作为第一时间,根据当前时间和所述第一时间,确定第一时长,并确定所述第一时长中包含设定的第二时长的时间窗口总数量;确定所述父进程没有创建子进程的时间窗口的第四数量;根据所述第四数量和所述时间窗口总数量的商,确定所述父进程的第一稳定度;确定所述子进程没有被任一父进程创建的时间窗口的第五数量;根据所述第五数量和所述时间窗口总数量的商,确定所述子进程的第二稳定度。
在一种可能的实施方式中,所述检测模块32,具体用于针对每个进程创建行为,确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积,根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积,确定该候选进程的正常分值;根据1与所述正常分值的差值,确定该候选进程的异常分值。
在一种可能的实施方式中,所述检测模块32,具体用于针对所述第一占比小于预设的占比阈值的每个候选进程,根据所述每个候选进程的异常分值对所述每个候选进程进行排序,按照异常分值由大到小的顺序,选取第六数量的候选进程,将所述第六数量的候选进程确定为异常进程。
基于通常情况下,多个主机中出现某进程的主机的占比越大,即出现该进程的主机数量越多,该进程为正常进程的概率越大;相反,多个主机中出现某进程的主机的占比越小,即出现该进程的主机数量越少,该进程为异常进程的概率越大。由于本申请可以针对每个第一进程,确定产生该第一进程的主机的第一数量,根据该第一数量和主机的总数量,确定该第一进程对应的第一占比,若该第一占比小于预设的占比阈值,则可以确定该第一进程为异常进程,从而可以快捷的提高检测异常进程的准确性。
实施例5:
在上述各实施例的基础上,本发明实施例还提供了一种电子设备,图4为本发明实施例提供的一种电子设备结构示意图,如图4所示,该电子设备包括:处理器41、通信接口42、存储器43和通信总线44,其中,处理器41,通信接口42,存储器43通过通信总线44完成相互间的通信;
所述存储器43中存储有计算机程序,当所述程序被所述处理器41执行时,使得所述处理器41执行如下步骤:
获取每个主机在设定时间内产生的每个第一进程;
针对所述每个第一进程的进程标识,确定产生该进程标识的主机的第一数量;根据所述第一数量和所述每个主机的总数量,确定该进程标识对应的第一占比;判断所述第一占比是否小于预设的占比阈值,若是,则确定该第一进程为异常进程。
在一种可能的实施方式中,处理器41,还用于所述判断所述第一占比小于预设的占比阈值之后,确定该第一进程为异常进程之前,将该第一进程确定为候选进程,基于产生该候选进程的主机在所述设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中所述子目标进程序列包含设定数量进程;确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值;若该候选进程的异常分值满足预设的异常进程判断条件,则进行后续确定该候选进程为异常进程的步骤。
在一种可能的实施方式中,处理器41,具体用于确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量,根据所述第二数量和所述第三数量的商,确定该进程创建行为的第二占比。
在一种可能的实施方式中,处理器41,具体用于将该进程创建行为首次被创建的时间作为第一时间,根据当前时间和所述第一时间,确定第一时长,并确定所述第一时长中包含设定的第二时长的时间窗口总数量;确定所述父进程没有创建子进程的时间窗口的第四数量;根据所述第四数量和所述时间窗口总数量的商,确定所述父进程的第一稳定度;
确定所述子进程没有被任一父进程创建的时间窗口的第五数量;根据所述第五数量和所述时间窗口总数量的商,确定所述子进程的第二稳定度。
在一种可能的实施方式中,处理器41,具体用于针对每个进程创建行为,确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积,根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积,确定该候选进程的正常分值;根据1与所述正常分值的差值,确定该候选进程的异常分值。
在一种可能的实施方式中,处理器41,具体用于针对所述第一占比小于预设的占比阈值的每个候选进程,根据所述每个候选进程的异常分值对所述每个候选进程进行排序,按照异常分值由大到小的顺序,选取第六数量的候选进程,将所述第六数量的候选进程确定为异常进程。
由于上述电子设备解决问题的原理与异常进程检测方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口42用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字指令处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
基于通常情况下,多个主机中出现某进程的主机的占比越大,即出现该进程的主机数量越多,该进程为正常进程的概率越大;相反,多个主机中出现某进程的主机的占比越小,即出现该进程的主机数量越少,该进程为异常进程的概率越大。由于本申请可以针对每个第一进程,确定产生该第一进程的主机的第一数量,根据该第一数量和主机的总数量,确定该第一进程对应的第一占比,若该第一占比小于预设的占比阈值,则可以确定该第一进程为异常进程,从而可以快捷的提高检测异常进程的准确性。
实施例6:
在上述各实施例的基础上,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
获取每个主机在设定时间内产生的每个第一进程;
针对所述每个第一进程的进程标识,确定产生该进程标识的主机的第一数量;根据所述第一数量和所述每个主机的总数量,确定该进程标识对应的第一占比;判断所述第一占比是否小于预设的占比阈值,若是,则确定该第一进程为异常进程。
在一种可能的实施方式中,所述判断所述第一占比小于预设的占比阈值之后,确定该第一进程为异常进程之前,所述方法还包括:
将该第一进程确定为候选进程,基于产生该候选进程的主机在所述设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中所述子目标进程序列包含设定数量进程;
确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;
针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值;
若该候选进程的异常分值满足预设的异常进程判断条件,则进行后续确定该候选进程为异常进程的步骤。
在一种可能的实施方式中,确定该进程创建行为的第二占比的过程包括:
确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量,根据所述第二数量和所述第三数量的商,确定该进程创建行为的第二占比。
在一种可能的实施方式中,确定所述父进程的第一稳定度的过程包括:
将该进程创建行为首次被创建的时间作为第一时间,根据当前时间和所述第一时间,确定第一时长,并确定所述第一时长中包含设定的第二时长的时间窗口总数量;
确定所述父进程没有创建子进程的时间窗口的第四数量;根据所述第四数量和所述时间窗口总数量的商,确定所述父进程的第一稳定度;
确定所述子进程的第二稳定度的过程包括:
确定所述子进程没有被任一父进程创建的时间窗口的第五数量;根据所述第五数量和所述时间窗口总数量的商,确定所述子进程的第二稳定度。
在一种可能的实施方式中,所述针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值包括:
针对每个进程创建行为,确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积,根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积,确定该候选进程的正常分值;
根据1与所述正常分值的差值,确定该候选进程的异常分值。
在一种可能的实施方式中,若该候选进程的异常分值满足预设的异常进程判断条件,则确定该候选进程为异常进程包括:
针对所述第一占比小于预设的占比阈值的每个候选进程,根据所述每个候选进程的异常分值对所述每个候选进程进行排序,按照异常分值由大到小的顺序,选取第六数量的候选进程,将所述第六数量的候选进程确定为异常进程。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
基于通常情况下,多个主机中出现某进程的主机的占比越大,即出现该进程的主机数量越多,该进程为正常进程的概率越大;相反,多个主机中出现某进程的主机的占比越小,即出现该进程的主机数量越少,该进程为异常进程的概率越大。由于本申请可以针对每个第一进程,确定产生该第一进程的主机的第一数量,根据该第一数量和主机的总数量,确定该第一进程对应的第一占比,若该第一占比小于预设的占比阈值,则可以确定该第一进程为异常进程,从而可以快捷的提高检测异常进程的准确性。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (10)

1.一种异常进程检测方法,其特征在于,所述方法包括:
获取每个主机在设定时间内产生的每个第一进程;
针对所述每个第一进程的进程标识,确定产生该进程标识的主机的第一数量;根据所述第一数量和所述每个主机的总数量,确定该进程标识对应的第一占比;判断所述第一占比是否小于预设的占比阈值,若是,则确定该第一进程为异常进程。
2.根据权利要求1所述的方法,其特征在于,所述判断所述第一占比小于预设的占比阈值之后,确定该第一进程为异常进程之前,所述方法还包括:
将该第一进程确定为候选进程,基于产生该候选进程的主机在所述设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中所述子目标进程序列包含设定数量进程;
确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;
针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值;
若该候选进程的异常分值满足预设的异常进程判断条件,则进行后续确定该候选进程为异常进程的步骤。
3.根据权利要求2所述的方法,其特征在于,确定该进程创建行为的第二占比的过程包括:
确定在所述设定时间内该进程创建行为的第二数量以及所述进程拓扑序列中该进程创建行为的父进程创建的所有进程创建行为的第三数量,根据所述第二数量和所述第三数量的商,确定该进程创建行为的第二占比。
4.根据权利要求2所述的方法,其特征在于,确定所述父进程的第一稳定度的过程包括:
将该进程创建行为首次被创建的时间作为第一时间,根据当前时间和所述第一时间,确定第一时长,并确定所述第一时长中包含设定的第二时长的时间窗口总数量;
确定所述父进程没有创建子进程的时间窗口的第四数量;根据所述第四数量和所述时间窗口总数量的商,确定所述父进程的第一稳定度;
确定所述子进程的第二稳定度的过程包括:
确定所述子进程没有被任一父进程创建的时间窗口的第五数量;根据所述第五数量和所述时间窗口总数量的商,确定所述子进程的第二稳定度。
5.根据权利要求2所述的方法,其特征在于,所述针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值包括:
针对每个进程创建行为,确定该进程创建行为的第二占比、所述父进程的第一稳定度和所述子进程的第二稳定度的第一乘积,根据由所述每个进程创建行为的第一乘积相乘得到的第二乘积,确定该候选进程的正常分值;
根据1与所述正常分值的差值,确定该候选进程的异常分值。
6.根据权利要求2所述的方法,其特征在于,若该候选进程的异常分值满足预设的异常进程判断条件,则确定该候选进程为异常进程包括:
针对所述第一占比小于预设的占比阈值的每个候选进程,根据所述每个候选进程的异常分值对所述每个候选进程进行排序,按照异常分值由大到小的顺序,选取第六数量的候选进程,将所述第六数量的候选进程确定为异常进程。
7.一种异常进程检测装置,其特征在于,所述装置包括:
获取模块,用于获取每个主机在设定时间内产生的每个第一进程;
检测模块,用于针对所述每个第一进程,确定产生该第一进程的主机的第一数量;根据所述第一数量和所述每个主机的总数量,确定该第一进程对应的第一占比;判断所述第一占比是否小于预设的占比阈值,若是,则确定该第一进程为异常进程。
8.根据权利要求7所述的装置,其特征在于,所述检测模块,还用于所述判断所述第一占比小于预设的占比阈值之后,确定该第一进程为异常进程之前,将该第一进程确定为候选进程,基于产生该候选进程的主机在所述设定时间内产生的每个第二进程,确定该主机的进程拓扑序列,并获取包含该候选进程在内的子目标进程序列,其中所述子目标进程序列包含设定数量进程;确定该子目标进程序列中每个进程创建行为对应的父进程和子进程;针对每个进程创建行为,基于该进程创建行为的第二占比以及所述父进程的第一稳定度和所述子进程的第二稳定度,确定该候选进程的异常分值;若该候选进程的异常分值满足预设的异常进程判断条件,则进行后续确定该候选进程为异常进程的步骤。
9.一种电子设备,其特征在于,所述电子设备至少包括处理器和存储器,所述处理器用于执行存储器中存储的计算机程序时实现如权利要求1-6中任一所述异常进程检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,其存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6中任一所述异常进程检测方法的步骤。
CN202011612727.7A 2020-12-30 2020-12-30 一种异常进程检测方法、装置、设备及介质 Active CN112822166B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011612727.7A CN112822166B (zh) 2020-12-30 2020-12-30 一种异常进程检测方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011612727.7A CN112822166B (zh) 2020-12-30 2020-12-30 一种异常进程检测方法、装置、设备及介质

Publications (2)

Publication Number Publication Date
CN112822166A true CN112822166A (zh) 2021-05-18
CN112822166B CN112822166B (zh) 2022-11-04

Family

ID=75855423

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011612727.7A Active CN112822166B (zh) 2020-12-30 2020-12-30 一种异常进程检测方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN112822166B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117149362A (zh) * 2023-04-06 2023-12-01 荣耀终端有限公司 进程管控方法及相关装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180052997A1 (en) * 2016-08-19 2018-02-22 Hewlett Packard Enterprise Development Lp Determining whether process is infected with malware
US20180075240A1 (en) * 2015-03-20 2018-03-15 Alibaba Group Holding Limited Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
CN109344617A (zh) * 2018-09-16 2019-02-15 杭州安恒信息技术股份有限公司 一种物联网资产安全画像方法与系统
CN110188015A (zh) * 2019-04-04 2019-08-30 北京升鑫网络科技有限公司 一种主机访问关系异常行为自适应检测装置及其监测方法
CN111143844A (zh) * 2019-12-25 2020-05-12 浙江军盾信息科技有限公司 一种物联网设备的安全检测方法、系统及相关装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180075240A1 (en) * 2015-03-20 2018-03-15 Alibaba Group Holding Limited Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
US20180052997A1 (en) * 2016-08-19 2018-02-22 Hewlett Packard Enterprise Development Lp Determining whether process is infected with malware
CN109344617A (zh) * 2018-09-16 2019-02-15 杭州安恒信息技术股份有限公司 一种物联网资产安全画像方法与系统
CN110188015A (zh) * 2019-04-04 2019-08-30 北京升鑫网络科技有限公司 一种主机访问关系异常行为自适应检测装置及其监测方法
CN111143844A (zh) * 2019-12-25 2020-05-12 浙江军盾信息科技有限公司 一种物联网设备的安全检测方法、系统及相关装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117149362A (zh) * 2023-04-06 2023-12-01 荣耀终端有限公司 进程管控方法及相关装置

Also Published As

Publication number Publication date
CN112822166B (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
CN110213068B (zh) 一种消息中间件的监控方法及相关设备
CN110471821B (zh) 异常变更检测方法、服务器及计算机可读存储介质
CN106294508B (zh) 一种刷量工具检测方法及装置
CN110830986A (zh) 一种物联网卡异常行为检测方法、装置、设备及存储介质
CN113516529B (zh) 异常订单确定方法、装置、存储介质及电子设备
CN114662602A (zh) 一种离群点检测方法、装置、电子设备及存储介质
JP2017097819A (ja) アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
CN106301979B (zh) 检测异常渠道的方法和系统
CN112822166B (zh) 一种异常进程检测方法、装置、设备及介质
CN114943307A (zh) 一种模型训练的方法、装置、存储介质以及电子设备
CN106033574A (zh) 一种作弊行为的识别方法及装置
CN111814557A (zh) 动作流检测方法、装置、设备及存储介质
CN109002348B (zh) 一种虚拟化系统中的负载均衡方法及装置
CN110855484B (zh) 自动检测业务量变化的方法、系统、电子设备和存储介质
CN117233645A (zh) 一种储能逆变器电池异常判定方法、系统及介质
US20200065233A1 (en) Automatically establishing significance of static analysis results
CN112256462A (zh) NAND Flash存储器的寿命预估方法、装置及介质
CN109274562B (zh) 一种语音指令执行的方法、装置、智能家电设备及介质
CN109658082B (zh) 一种计费异常的识别方法及设备
CN107896232B (zh) 一种ip地址评估方法及装置
CN112419655B (zh) 一种报警信息推送方法、装置、设备及介质
CN116047223A (zh) 一种基于实时用电信息及大数据分析的窃电判别方法
CN112328515B (zh) 设备检测方法及装置
CN112235312B (zh) 一种安全事件的可信度确定方法、装置及电子设备
CN113111037A (zh) 日志审计告警方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant