CN117749501A - 异常分析方法、装置、电子设备及存储介质 - Google Patents
异常分析方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN117749501A CN117749501A CN202311797623.1A CN202311797623A CN117749501A CN 117749501 A CN117749501 A CN 117749501A CN 202311797623 A CN202311797623 A CN 202311797623A CN 117749501 A CN117749501 A CN 117749501A
- Authority
- CN
- China
- Prior art keywords
- data
- current data
- standard value
- abnormal
- value corresponding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 31
- 230000005856 abnormality Effects 0.000 title claims description 19
- 230000002159 abnormal effect Effects 0.000 claims abstract description 161
- 238000000034 method Methods 0.000 claims abstract description 52
- 238000007667 floating Methods 0.000 claims description 43
- 238000012544 monitoring process Methods 0.000 claims description 24
- 238000004590 computer program Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 abstract description 22
- 230000008569 process Effects 0.000 description 13
- 238000004891 communication Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本申请提供一种异常分析方法、装置、电子设备及存储介质,涉及安全技术领域。该方法根据获取到的数据的异常结果来实时更新数据对应的标准值,进而可以动态调整标准值,而不是采用固定的标准值进行比对,使得其可以适应随时在变化的数据流量,进而更能有效的检测出其中的异常数据,可有效减少漏检和错检的情况发生。
Description
技术领域
本申请涉及安全技术领域,具体而言,涉及一种异常分析方法、装置、电子设备及存储介质。
背景技术
随着硬件和软件技术的蓬勃发展,各种设备的性能都在与日俱增,比如防火墙设备的吞吐量需求也逐渐增大,在面对巨量的网络访问时,如何判断设备在当前网络环境中是否存在未知威胁成为了一项必要的技术。
现有技术中为了发现未知威胁,一般会对网络流量进行异常分析,为了实现快速识别异常数据,目前是设置一个固定的比对值,通过与固定的比对值进行比对来判断是否异常,但是网络数据流量是随时在发生变化的,这种异常判断方式无法适用于在网络数据流量发生变化时检测到异常数据,容易出现漏检和错检的情况。
发明内容
本申请实施例的目的在于提供一种异常分析方法、装置、电子设备及存储介质,用以改善现有的异常判断方式容易出现漏检和错检的情况。
第一方面,本申请实施例提供了一种异常分析方法,所述方法包括:
确定当前数据记录周期获得的当前数据对应的异常结果,其中,所述异常结果是通过将所述当前数据与前一数据记录周期中记录的同时段数据对应的标准值进行比对确定的;
根据所述异常结果确定所述当前数据对应的标准值,所述当前数据对应的标准值用于进行下一数据记录周期的同时段数据的异常比对。
在上述实现过程中,根据获取到的数据的异常结果来实时更新数据对应的标准值,进而可以动态调整标准值,而不是采用固定的标准值进行比对,使得其可以适应随时在变化的数据流量,进而更能有效的检测出其中的异常数据,可有效减少漏检和错检的情况发生。
可选地,所述根据所述异常结果确定所述当前数据对应的标准值,包括:
若所述异常结果为所述当前数据异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值确定所述当前数据对应的标准值;
若所述异常结果为所述当前数据非异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据确定所述当前数据对应的标准值。
在上述实现过程中,在不同异常结果下,选择不同的方式来确定当前数据的标准值,如此可以获得更合适的标准值,进而来适用不同网络流量下的异常检测。
可选地,若所述异常结果为所述当前数据异常,则所述根据所述前一数据记录周期中记录的同时段数据对应的标准值确定所述当前数据对应的标准值,包括:
若所述异常结果为所述当前数据异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据、预设浮动比确定所述当前数据对应的标准值。
在上述实现过程中,在数据异常时,根据当前数据、前一周期数据的标准值以及预设浮动比来确定当前数据的标准值,如此可综合考虑当前数据与前一周期数据之间的差异,进而设置一个浮动比来约束标准值的取值,使得可以获得更合理的标准值。
可选地,通过以下方式确定所述当前数据对应的异常结果:
若所述当前数据与所述前一数据记录周期中记录的同时段数据对应的标准值之间的差值超出浮动阈值范围,则确定所述异常结果为所述当前数据异常;
若所述当前数据与所述前一数据记录周期中记录的同时段数据对应的标准值之间的差值在浮动阈值范围内,则确定所述异常结果为所述当前数据非异常。
在上述实现过程中,通过将当前数据与前一周期数据的标准值进行比对,其标准值是实时更新的,如此只拿最新周期数据的标准值进行比对,可以更准确地检测当前数据的异常情况。
可选地,所述确定当前数据记录周期获得的当前数据对应的异常结果之前,还包括:
通过相应的监控器获取当前数据记录周期内需要记录的当前数据,其中,不同监控器设置有对应的监控参数,所述监控参数包括以下至少一种:数据记录周期、数据类型、比对阈值范围。
在上述实现过程中,通过设置不同的监控器来监控不同的数据,如此每个监控器可各自维护产生的数据,相互独立检测不干扰,效率更高。
可选地,所述根据所述异常结果确定所述当前数据对应的标准值之后,还包括:
将所述当前数据覆盖掉所述前一数据记录周期内同时段数据后进行存储。如此只需要存储一个数据记录周期的数据即可实现异常情况的检测,减少内存资源的占用。
可选地,所述确定当前数据记录周期获得的当前数据对应的异常结果之后,还包括:
若所述异常结果为所述当前数据异常,则生成异常告警日志,所述异常告警日志至少包括以下一种数据:异常产生时间、异常的数据类型、所述当前数据的数值、所述前一数据记录周期内同时段数据对应的标准值、获取所述当前数据对应的监控器的信息、所述当前数据与所述前一数据记录周期内同时段数据对应的标准值之间的差值。
在上述实现过程中,通过生成异常告警日志,可使得用户能够通过日志知晓异常数据的相关信息,为后续进行安全防护提供数据基础。
第二方面,本申请实施例提供了一种异常分析装置,所述装置包括:
异常结果确定模块,用于确定当前数据记录周期获得的当前数据对应的异常结果,其中,所述异常结果是通过将所述当前数据与前一数据记录周期中记录的同时段数据对应的标准值进行比对确定的;
标准值确定模块,用于根据所述异常结果确定所述当前数据对应的标准值,所述当前数据对应的标准值用于进行下一数据记录周期的同时段数据的异常比对。
第三方面,本申请实施例提供一种电子设备,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如上述第一方面提供的所述方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种异常分析方法的流程图;
图2为本申请实施例提供的一种异常分析方法的详细流程图;
图3为本申请实施例提供的一种异常分析方法的示例流程图;
图4为本申请实施例提供的一种异常分析装置的结构框图;
图5为本申请实施例提供的一种用于执行异常分析方法的电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明实施例中的术语“系统”和“网络”可被互换使用。“多个”是指两个或两个以上,鉴于此,本发明实施例中也可以将“多个”理解为“至少两个”。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本申请实施例提供一种异常分析方法,该方法通过获取当前数据记录周期获得的当前数据的异常结果,并根据异常结果来确定当前数据对应的标准值,如此可利用当前数据对应的标准值进行下一数据记录周期的同时段数据的比对。本方案中可以根据获取到的数据的异常结果来实时更新数据对应的标准值,进而可以动态调整标准值,而不是采用固定的标准值进行比对,使得其可以适应随时在变化的数据流量,进而更能有效的检测出其中的异常数据,可有效减少漏检和错检的情况发生。
请参照图1,图1为本申请实施例提供的一种异常分析方法的流程图,该方法包括如下步骤:
步骤S110:确定当前数据记录周期获得的当前数据对应的异常结果。
本方案的异常分析方法的执行主体可以是网络安全设备,比如防火墙等,为了提高网络安全,本方案中对流经网络安全设备的网络流量进行安全检测,通过持续观察以及智能分析网络安全设备的流量行为,判断当前网络环境是否存在未知威胁攻击,还可通过日志告警的方式提醒用户进行安全防范。
本方案中可通过周期性的分析网络安全设备的流量,所以可以按照周期来缓存数据,比如设置一个数据记录周期,数据记录周期可以用于判断数据需要保留的时长,比如一天,按照该周期来进行异常数据判断。
在获取数据时,还可以设置数据获取频率,比如设置5分钟记录一次数据,当然可以根据实际需要设置数据记录周期以及调整数据记录频率。若按照5分钟记录一次数据,数据记录周期为一天来举例,第一个数据记录周期为学习周期,建立数据模型,该周期内数据对应的标准值就等于数据的数值,从第二个数据记录周期开始,在确定当前数据的异常结果时,可以将当前数据记录周期获得的当前数据与前一数据记录中记录的同时段数据对应的标准值进行比对来确定。
比如当前数据记录周期为第二天,此时获取到的当前数据为8点到8点5分的一条数据,然后可将当前数据与前一天记录的8点到8点5分的一条数据对应的标准值进行比对。
本申请实施例中,数据可以是指网络流量,比如单位时间内流量吞吐数、新建连接数、并发连接数等。比如可以将当前获取到的8点到8点5分之间的流量吞吐数与前一天8点到8点5分之间的获得的流量吞吐数进行比对,以此来确定当前获取到的这5分钟内的流量吞吐数是否存在异常。
步骤S120:根据异常结果确定当前数据对应的标准值。
在上述确定异常结果后,异常结果可包括异常或非异常,可根据异常结果来确定当前数据对应的标准值,当前数据对应的标准值可用于进行下一数据记录周期的同时段数据的异常比对。这里可根据不同的异常结果来选择不同的方式确定对应的标准值,以使得获得的标准值能够更有利于后续的异常判断。
也就是说,本方案中,每个数据记录周期内获取的每条数据对应的标准值都是根据实际流量情况来动态更新的,而不是始终保持不变的,这样更好地检测到网络流量的微小异常,细粒度更高。
在上述实现过程中,根据获取到的数据的异常结果来实时更新数据对应的标准值,进而可以动态调整标准值,而不是采用固定的标准值进行比对,使得其可以适应随时在变化的数据流量,进而更能有效的检测出其中的异常数据,可有效减少漏检和错检的情况发生。
在上述实施例的基础上,在上述根据异常结果确定当前数据对应的标准值的方式中,包括:若异常结果为当前数据异常,则可根据前一数据记录周期中记录的同时段数据对应的标准值来确定当前数据对应的标准值;若异常结果为当前数据非异常,则根据前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据来确定当前数据对应的标准值。
首先,在异常结果为当前数据异常时,可能不适合再基于当前数据来确定标准值了,此时可直接将前一数据记录周期中记录的同时段数据对应的标准值作为当前数据对应的标准值。
或者在一些实施方式中,也可以设置一个浮动比作为权重来确定当前数据的标准值,即在异常结果为当前数据异常时,根据前一数据记录周期中记录的同时段数据对应的标准值、与当前数据、预设浮动比来确定当前数据对应的标准值。如此可综合考虑当前数据与前一周期数据之间的差异,进而设置一个浮动比来约束标准值的取值,使得可以获得更合理的标准值。
在该实施方式下,预设浮动比可以根据实际需求灵活设置,预设浮动比可用于表征前一数据记录周期中记录的同时段数据对应的标准值的占比,异常时,同时段数据对应的标准值的占比应该更大,比如预设浮动比设置为0.9,比如当前数据的标准值=同时段数据对应的标准值*预设浮动比+当前数据*(1-浮动比)。或者,若预设浮动比用于表征当前数据的占比,异常时,当前数据的占比应该更小,则预设浮动比可以设置为0.2,则当前数据的标准值=同时段数据对应的标准值*(1-预设浮动比)+当前数据*预设浮动比。
或者,如果当前数据异常,则可能是因为同时段数据对应的标准值不合适,此时可以只对同时段数据对应的标准值进行调整来获得当前数据的标准值,比如当前数据的标准值=同时段数据对应的标准值*预设浮动比,此时预设浮动比的取值可以大一些,比如0.9,这样可以对同时段数据对应的标准值进行微小调整。
其次,在异常结果为当前数据非异常时,则当前数据的标准值可等于前一数据记录周期记录的同时段数据的标准值与当前数据之和的平均值,即当前数据的标准值=(当前数据+同时段数据的标准值)/2。
当然,非异常情况下,当前数据的标准值也可以是当前数据与同时段数据之和的平均值,这里也可以直接基于当前数据和同时段数据来确定,以综合两个时段数据的流量情况。
可以理解地,在不同异常结果下,其确定当前数据的标准值的方式可以根据实际需求灵活设置,在此不一一举例说明。
在上述实现过程中,在不同异常结果下,选择不同的方式来确定当前数据的标准值,如此可以获得更合适的标准值,进而来适用不同网络流量下的异常检测。
在上述实施例的基础上,通过以下方式确定当前数据对应的异常结果:若当前数据与前一数据记录周期中记录的同时段数据对应的标准值之间的差值在浮动阈值范围内,则可确定异常结果为当前数据非异常;若当前数据与前一数据记录周期中记录的同时段数据对应的标准值之间的差值超出浮动阈值范围,则确定异常结果为当前数据异常。
这里的浮动阈值范围可以根据实际需求灵活设置,比如浮动阈值范围设置为0-50,或者设置一个浮动阈值比范围,如0-50%,此时可将当前数据与同时段数据的标准值的比值与浮动阈值比范围进行比较,如果比值在该浮动阈值比范围内,则确定当前数据非异常,如果比值不在该浮动阈值比范围内,则确定当前数据异常。
可以理解地,在判断当前数据是否异常时,还可以结合更多历史的数据记录周期中记录的同时段数据对应的标准值来判断,比如当前数据记录周期为第5天,当前数据为8点5分统计的数据,则可以获取第1天到第4天内8点5分记录的数据的标准值,然后将这4个标准值分别与当前数据进行比对,如果比对差值均在上述的浮动阈值范围内,则可认为当前数据非异常,反之,则是异常的。或者也可以是其中有2个以上的标准值与当前数据之间的比对差值在浮动阈值范围内,则可认为当前数据非异常,反之,则异常。
在上述实现过程中,通过将当前数据与前一周期数据的标准值进行比对,其标准值是实时更新的,如此只拿最新周期数据的标准值进行比对,可以更准确地检测当前数据的异常情况。
在上述实施例的基础上,本申请方案中可以通过设置不同监控器来监控不同数据的异常情况,比如可以通过相应的监控器来获取当前数据记录周期内需要记录的当前数据,其中,不同监控器设置有对应的监控参数,监控参数包括以下至少一种:数据记录周期、数据类型、比对阈值范围等。
其中,数据类型是指流量吞吐数、新建连接数、并发连接数等数据类型,比如按照数据类型来创建监控器,可以创建3个监控器,一个监控器用于对流量吞吐数进行监测,一个监控器用于对新建连接数进行监测,一个监控器用于对并发连接数进行监测。每个监控器可设置不同的数据记录周期和比对阈值范围,比如用于监测流量吞吐数的监控器设置的数据记录周期为1天,用于监测新建连接数的监控器设置的数据记录周期为2天,如此可以灵活设置不同的监控器的监控参数。
或者,数据类型也可以是不同IP地址或地址范围不同的数据,比如源IP地址或目的IP地址不同的数据,如此可以实现对不同IP地址的数据的精准监控。
在网络安全设备内部,还可以设置一个网络分流器,比如对于到达网络安全设备的网络流量,其网络分流器可以从网络流量中识别出不同类型的数据,然后将不同类型的数据分流至对应的监控器,比如将IP地址1的数据发送到监控器1进行异常检测,将IP地址2的数据发送到监控器2进行异常检测,或者将统计的流量吞吐数发送到监控器1进行异常检测,将统计的新建连接数发送到监控器2进行异常检测等,按照该方式可以将不同数据类型的数据分流到对应的监控器中进行异常检测,从而每个监控器可各自维护产生的数据,保证了数据的准确性,可实现精准监控。
在一些实施方式中,不同监控器还可以将接收到的数据情况通过折线图形式展示,以展示在数据记录周期内这些数据的波动变化情况。
上述的比对阈值范围可以是指上述实施例中用于异常比对时的浮动阈值范围,浮动比阈值范围、浮动比等数据,每个监控器设置的比对阈值范围可以相同也可以不同。
可以理解地,各个监控器设置的监控参数可不同,当然并非是所有的监控器设置的监控参数均不同,也可以是其中有的监控器设置的部分监控参数是相同的,也可以是全部相同的。
在一些实施方式中,当监控器的监控参数中的任一参数发生改变时,为保证记录的所有数据均符合监控器的最新设置,可以将之前记录的所有数据全部清空,以监控器当前设置的监控参数来重新记录数据并进行异常检测,从而可保证数据的准确性以及异常告警的真实性。
比如,监控器1用于监测新建连接数,其数据记录周期为1天,此时监控器1记录到第3天的数据,在第4天开始时,监控器的其中某个监控参数改变,比如比对阈值范围改变,则可以将前3天的数据删除以及各个数据对应的标准值也删除,重新从第4天作为第一天来进行数据记录,比如重新记录数据,重新记录的数据的标准值就是当前记录的数据的数值,然后第二个数据记录周期内获取到的数据的标准值重新进行计算更新,并进行异常判断。
在上述实现过程中,通过设置不同的监控器来监控不同的数据,如此每个监控器可各自维护产生的数据,相互独立检测不干扰,效率更高。
在上述实施例的基础上,若异常结果为当前数据异常,则可生成异常告警日志,异常告警日志至少包括以下一种数据:异常产生时间、异常的数据类型、当前数据的数值、前一数据记录周期内同时段数据对应的标准值,获取当前数据对应的监控器的信息、当前数据与前一数据记录周期内同时段数据对应的标准值之间的差值等信息。
其中,监控器的信息可包括监控器的名称、监控器的标识等信息,异常的数据类型比如是指异常的流量吞吐数或异常的新建连接数等。当然,在实际应用中,异常告警日志还可包括其他数据,比如当前数据与前一数据记录周期内同时段数据的标准值之差的百分比等,或者是当前数据与同时段数据的标准值的百分比等,具体异常告警日志所包含的信息可以灵活设置。
异常告警日志可以定时输出给用户,这样用户可以通过查看异常告警日志来执行异常的数据,并可为后续网络安全行为分析和防护提供数据基础,在设备问题定位中提供了极大的便利,提高了设备维护人员的工作效率,节省了人力成本。
在上述实施例的基础上,还可以在确定当前数据对应的标准值之后,将当前数据覆盖掉前一数据记录周期内同时段数据后进行存储。
也就是说,在保存当前数据之前,可以将前一数据记录周期内同时段数据删除后再存储,这样内部只需要存储一个数据记录周期内的数据,只需要占用一个数据记录周期的数据应占用的内存空间,而不是将所有的数据都存储下来,下一个数据记录周期的数据可在进行异常比较后直接覆盖掉前一数据记录周期的同时段数据,从而既可以保留有效数据,又可以节省内存空间。
整个方案的实现过程可参照图2和图3所示,在监控器开始监测时,可以先设置数据记录周期以及浮动阈值范围,然后开始记录第一个数据记录周期内的数据,第一个数据记录周期内的数据其标准值就等于其数据本身,在第二个数据记录周期的数据到来时,通过将其与前一个数据记录周期的同时段数据进行比对,判断其是否超过浮动阈值范围,如果超过,则生成异常告警日志,如果不超过,则可记录本次获得的数据并覆盖掉前一个数据记录周期的同时段数据。当然,也可以不管是不是超过浮动阈值范围,都可以记录本次获得的数据并覆盖掉前一个数据记录周期的同时段数据。
在一些其他实施方式中,网络安全设备在还可只存储两个数据记录周期的数据,比如先记录第一天的数据,然后再将第二天的数据都获取完存储后,再将第二天的各个数据按照上述的方式进行异常判断,并确定各个数据对应的标准值,这样可以无需每获取到一个数据就进行异常判断,而是可以将该数据记录周期内的数据都获取到后再统一判断,可提高效率,而且在获取到第三天数据后,可将第一天的数据清空,这样就只保留两天的数据,也可节省内存空间。
请参照图4,图4为本申请实施例提供的一种异常分析装置200的结构框图,该装置200可以是电子设备上的模块、程序段或代码。应理解,该装置200与上述图1方法实施例对应,能够执行图1方法实施例涉及的各个步骤,该装置200具体的功能可以参见上文中的描述,为避免重复,此处适当省略详细描述。
可选地,所述装置200包括:
异常结果确定模块210,用于确定当前数据记录周期获得的当前数据对应的异常结果,其中,所述异常结果是通过将所述当前数据与前一数据记录周期中记录的同时段数据对应的标准值进行比对确定的;
标准值确定模块220,用于根据所述异常结果确定所述当前数据对应的标准值,所述当前数据对应的标准值用于进行下一数据记录周期的同时段数据的异常比对。
可选地,所述标准值确定模块220,用于若所述异常结果为所述当前数据异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值确定所述当前数据对应的标准值;若所述异常结果为所述当前数据非异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据确定所述当前数据对应的标准值。
可选地,所述标准值确定模块220,用于若所述异常结果为所述当前数据异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据、预设浮动比确定所述当前数据对应的标准值。
可选地,所述异常结果确定模块210,用于若所述当前数据与所述前一数据记录周期中记录的同时段数据对应的标准值之间的差值超出浮动阈值范围,则确定所述异常结果为所述当前数据异常;若所述当前数据与所述前一数据记录周期中记录的同时段数据对应的标准值之间的差值在浮动阈值范围内,则确定所述异常结果为所述当前数据非异常。
可选地,所述异常结果确定模块210,还用于通过相应的监控器获取当前数据记录周期内需要记录的当前数据,其中,不同监控器设置有对应的监控参数,所述监控参数包括以下至少一种:数据记录周期、数据类型、比对阈值范围。
可选地,所述装置200,还包括:
存储模块,用于将所述当前数据覆盖掉所述前一数据记录周期内同时段数据后进行存储。
可选地,所述装置200,还包括:
日志生成模块,用于若所述异常结果为所述当前数据异常,则生成异常告警日志,所述异常告警日志至少包括以下一种数据:异常产生时间、异常的数据类型、所述当前数据的数值、所述前一数据记录周期内同时段数据对应的标准值、获取所述当前数据对应的监控器的信息、所述当前数据与所述前一数据记录周期内同时段数据对应的标准值之间的差值。
需要说明的是,本领域技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再重复描述。
请参照图5,图5为本申请实施例提供的一种用于执行异常分析方法的电子设备的结构示意图,所述电子设备可以包括:至少一个处理器310,例如CPU,至少一个通信接口320,至少一个存储器330和至少一个通信总线340。其中,通信总线340用于实现这些组件之间的连接通信。其中,本申请实施例中设备的通信接口320用于与其他节点设备进行信令或数据的通信。存储器330可以是高速RAM存储器,也可以是非易失性的存储器(non-volatilememory),例如至少一个磁盘存储器。存储器330可选的还可以是至少一个位于远离前述处理器的存储装置。存储器330中存储有计算机可读取指令,当所述计算机可读取指令由所述处理器310执行时,电子设备执行上述图1所示方法过程。
可以理解,图5所示的结构仅为示意,所述电子设备还可包括比图5中所示更多或者更少的组件,或者具有与图5所示不同的配置。图5中所示的各组件可以采用硬件、软件或其组合实现。
本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,执行如图1所示方法实施例中电子设备所执行的方法过程。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如,包括:
确定当前数据记录周期获得的当前数据对应的异常结果,其中,所述异常结果是通过将所述当前数据与前一数据记录周期中记录的同时段数据对应的标准值进行比对确定的;
根据所述异常结果确定所述当前数据对应的标准值,所述当前数据对应的标准值用于进行下一数据记录周期的同时段数据的异常比对。
综上所述,本申请实施例提供一种异常分析方法、装置、电子设备及存储介质,该方法根据获取到的数据的异常结果来实时更新数据对应的标准值,进而可以动态调整标准值,而不是采用固定的标准值进行比对,使得其可以适应随时在变化的数据流量,进而更能有效的检测出其中的异常数据,可有效减少漏检和错检的情况发生。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种异常分析方法,其特征在于,所述方法包括:
确定当前数据记录周期获得的当前数据对应的异常结果,其中,所述异常结果是通过将所述当前数据与前一数据记录周期中记录的同时段数据对应的标准值进行比对确定的;
根据所述异常结果确定所述当前数据对应的标准值,所述当前数据对应的标准值用于进行下一数据记录周期的同时段数据的异常比对。
2.根据权利要求1所述的方法,其特征在于,所述根据所述异常结果确定所述当前数据对应的标准值,包括:
若所述异常结果为所述当前数据异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值确定所述当前数据对应的标准值;
若所述异常结果为所述当前数据非异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据确定所述当前数据对应的标准值。
3.根据权利要求2所述的方法,其特征在于,若所述异常结果为所述当前数据异常,则所述根据所述前一数据记录周期中记录的同时段数据对应的标准值确定所述当前数据对应的标准值,包括:
若所述异常结果为所述当前数据异常,则根据所述前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据、预设浮动比确定所述当前数据对应的标准值。
4.根据权利要求1所述的方法,其特征在于,通过以下方式确定所述当前数据对应的异常结果:
若所述当前数据与所述前一数据记录周期中记录的同时段数据对应的标准值之间的差值超出浮动阈值范围,则确定所述异常结果为所述当前数据异常;
若所述当前数据与所述前一数据记录周期中记录的同时段数据对应的标准值之间的差值在浮动阈值范围内,则确定所述异常结果为所述当前数据非异常。
5.根据权利要求1所述的方法,其特征在于,所述确定当前数据记录周期获得的当前数据对应的异常结果之前,还包括:
通过相应的监控器获取当前数据记录周期内需要记录的当前数据,其中,不同监控器设置有对应的监控参数,所述监控参数包括以下至少一种:数据记录周期、数据类型、比对阈值范围。
6.根据权利要求1所述的方法,其特征在于,所述根据所述异常结果确定所述当前数据对应的标准值之后,还包括:
将所述当前数据覆盖掉所述前一数据记录周期内同时段数据后进行存储。
7.根据权利要求1所述的方法,其特征在于,所述确定当前数据记录周期获得的当前数据对应的异常结果之后,还包括:
若所述异常结果为所述当前数据异常,则生成异常告警日志,所述异常告警日志至少包括以下一种数据:异常产生时间、异常的数据类型、所述当前数据的数值、所述前一数据记录周期内同时段数据对应的标准值、获取所述当前数据对应的监控器的信息、所述当前数据与所述前一数据记录周期内同时段数据对应的标准值之间的差值。
8.一种异常分析装置,其特征在于,所述装置包括:
异常结果确定模块,用于确定当前数据记录周期获得的当前数据对应的异常结果,其中,所述异常结果是通过将所述当前数据与前一数据记录周期中记录的同时段数据对应的标准值进行比对确定的;
标准值确定模块,用于根据所述异常结果确定所述当前数据对应的标准值,所述当前数据对应的标准值用于进行下一数据记录周期的同时段数据的异常比对。
9.一种电子设备,其特征在于,包括处理器以及存储器,所述存储器存储有计算机可读取指令,当所述计算机可读取指令由所述处理器执行时,运行如权利要求1-7任一所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311797623.1A CN117749501A (zh) | 2023-12-25 | 2023-12-25 | 异常分析方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311797623.1A CN117749501A (zh) | 2023-12-25 | 2023-12-25 | 异常分析方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117749501A true CN117749501A (zh) | 2024-03-22 |
Family
ID=90277637
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311797623.1A Pending CN117749501A (zh) | 2023-12-25 | 2023-12-25 | 异常分析方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117749501A (zh) |
-
2023
- 2023-12-25 CN CN202311797623.1A patent/CN117749501A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113176978B (zh) | 基于日志文件的监控方法、系统、设备及可读存储介质 | |
CN114584405B (zh) | 一种电力终端安全防护方法及系统 | |
CN109034423B (zh) | 一种故障预警判定的方法、装置、设备及存储介质 | |
CN106708700A (zh) | 一种应用于服务端的运维监控方法和装置 | |
CN112118261B (zh) | 会话违规访问检测方法及装置 | |
CN111444067A (zh) | 一种基于规则引擎的配置化系统监控方法、装置及设备 | |
CN113037562A (zh) | 一种网关故障评估方法、装置及服务器 | |
CN110620690A (zh) | 一种网络攻击事件的处理方法及其电子设备 | |
CN107465652B (zh) | 一种操作行为检测方法、服务器及系统 | |
CN112612680A (zh) | 一种消息告警方法、系统、计算机设备及存储介质 | |
CN110012000B (zh) | 命令检测方法、装置、计算机设备以及存储介质 | |
CN111092845B (zh) | 一种访问涉密文件的预警评估方法及系统 | |
CN111163073A (zh) | 流量数据处理方法和装置 | |
CN113315785B (zh) | 一种告警消减方法、装置、设备和计算机可读存储介质 | |
CN113691395A (zh) | 网络运维方法、装置、计算机设备和存储介质 | |
CN111654405B (zh) | 通信链路的故障节点方法、装置、设备及存储介质 | |
CN116204386B (zh) | 应用服务关系自动识别及监控方法、系统、介质和设备 | |
CN111062503B (zh) | 一种电网监控告警处理方法、系统、终端及存储介质 | |
CN113098715A (zh) | 一种信息处理方法、装置、系统、介质和计算设备 | |
CN114598621B (zh) | 一种电力通信网络可靠性评估系统 | |
CN117749501A (zh) | 异常分析方法、装置、电子设备及存储介质 | |
WO2020017000A1 (ja) | サイバー攻撃情報分析プログラム、サイバー攻撃情報分析方法および情報処理装置 | |
CN110457194A (zh) | 电子设备稳定性预警方法、系统、装置、设备和存储介质 | |
CN115567258A (zh) | 网络安全态势感知方法、系统、电子设备及存储介质 | |
CN111162929B (zh) | 一种分级管理方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |