一种运行状态异常检测方法、装置及设备制造方法及图纸

本申请提供一种运行状态异常检测方法、装置及设备，该方法包括：获取安防设备在多个采集时刻的运行性能数据，获取安防设备正在运行的至少一个目标进程的进程信息和进程标识；根据多个采集时刻的运行性能数据确定安防设备的数据特征；通过已训练的目标神经网络对数据特征进行处理，得到安防设备的运行状态；若运行状态为安防设备异常，则针对安防设备正在运行的每个目标进程，基于目标进程的进程信息确定目标进程是否为异常进程；若是，则将异常进程的进程标识发送给安防设备，以使安防设备根据异常进程的进程标识对异常进程进行阻断处理。通过本申请的技术方案，及时发现安防设备的异常行为，减少人工检查的难度和工作量，提高安防设备的安全性。

【技术实现步骤摘要】
一种运行状态异常检测方法、装置及设备
本申请涉及信息安全领域，尤其是涉及一种运行状态异常检测方法、装置及设备。
技术介绍
随着安防设备的大范围部署，如何高效地对安防设备进行安全管理和防护是一个亟待解决的问题。为了对安防设备进行安全管理和防护，一个重要过程是检测安防设备的运行状态是否异常，基于该运行状态对安防设备进行安全管理。对于安防设备的异常检测方法，可以提取安防设备的特征数据，基于安防设备的特征数据分析安防设备的可信度。若该可信度大于阈值，则确定安防设备的运行状态存在异常，在安防设备的运行状态存在异常时，进行异常告警。在上述方式中，需要配置阈值，而阈值的准确性将会影响检测结果的准确率。比如说，当阈值比较大时，即使安防设备的运行状态存在异常，检测结果可能是安防设备的运行状态不存在异常。当阈值比较小时，即使安防设备的运行状态不存在异常，检测结果可能是安防设备的运行状态存在异常。综上所述，现有的安防设备监测容易出现检测结果错误，检测结果的准确率较低。
技术实现思路
本申请提供一种运行状态异常检测方法，所述方法包括：...

【技术保护点】
1.一种运行状态异常检测方法，其特征在于，所述方法包括：/n获取安防设备在多个采集时刻的运行性能数据，并获取所述安防设备正在运行的至少一个目标进程的进程信息和进程标识；/n根据所述多个采集时刻的运行性能数据确定所述安防设备的数据特征，其中，所述数据特征用于表示所述安防设备的运行状态变化；/n通过已训练的目标神经网络对所述数据特征进行处理，得到所述安防设备的运行状态；其中，所述运行状态为所述安防设备正常或异常；/n若所述运行状态为所述安防设备异常，则针对所述安防设备正在运行的每个目标进程，基于所述目标进程的进程信息确定所述目标进程是否为异常进程；/n若是，则将所述异常进程的进程标识发送给所述安防...

【技术特征摘要】
1.一种运行状态异常检测方法，其特征在于，所述方法包括：
获取安防设备在多个采集时刻的运行性能数据，并获取所述安防设备正在运行的至少一个目标进程的进程信息和进程标识；
根据所述多个采集时刻的运行性能数据确定所述安防设备的数据特征，其中，所述数据特征用于表示所述安防设备的运行状态变化；
通过已训练的目标神经网络对所述数据特征进行处理，得到所述安防设备的运行状态；其中，所述运行状态为所述安防设备正常或异常；
若所述运行状态为所述安防设备异常，则针对所述安防设备正在运行的每个目标进程，基于所述目标进程的进程信息确定所述目标进程是否为异常进程；
若是，则将所述异常进程的进程标识发送给所述安防设备，以使所述安防设备根据所述异常进程的进程标识对所述异常进程进行阻断处理。


2.根据权利要求1所述的方法，其特征在于，所述根据所述多个采集时刻的运行性能数据确定所述安防设备的数据特征，包括：
根据多个采集时刻的运行性能数据生成折线图像；其中，所述折线图像的横坐标为采集时刻，所述折线图像的纵坐标为所述采集时刻的运行性能数据；
将所述折线图像转换成指定尺寸的灰度图像，并根据所述灰度图像确定所述安防设备的数据特征；或者，将所述折线图像转换成指定规模的二维矩阵，并根据所述二维矩阵确定所述安防设备的数据特征。


3.根据权利要求1所述的方法，其特征在于，所述基于所述目标进程的进程信息确定所述目标进程是否为异常进程，包括：
若所述进程信息不属于白名单，则确定所述目标进程为异常进程，若所述进程信息属于白名单，则确定所述目标进程不为异常进程；或者，
若所述进程信息属于黑名单，则确定所述目标进程为异常进程，若所述进程信息不属于黑名单，则确定所述目标进程不为异常进程；
其中，所述进程信息包括如下信息中的至少一种：
进程命令行，进程文件路径，网络连接对象信息。


4.根据权利要求1所述的方法，其特征在于，
所述目标神经网络包括第一子网络，第二子网络，第三子网络，全连接子网络和分类层子网络，所述数据特征包括CPU使用率子特征，内存使用率子特征和网络带宽使用率子特征，所述通过已训练的目标神经网络对所述数据特征进行处理，得到所述安防设备的运行状态，包括：
将所述CPU使用率子特征输入给所述第一子网络，由所述第一子网络向所述全连接子网络输出所述CPU使用率子特征对应的第一特征向量；
将所述内存使用率子特征输入给所述第二子网络，由所述第二子网络向所述全连接子网络输出所述内存使用率子特征对应的第二特征向量；
将所述网络带宽使用率子特征输入给所述第三子网络，由所述第三子网络向所述全连接子网络输出所述网络带宽使用率子特征对应的第三特征向量；
通过所述全连接子网络对所述第一特征向量，所述第二特征向量和所述第三特征向量进行拼接，并基于拼接后的特征向量确定目标特征向量，并将所述目标特征向量输出给所述分类层子网络；
通过所述分类层子网络确定与所述目标特征向量对应的特征值；
根据所述特征值确定所述安防设备的运行状态。


5.根据权利要求1所述的方法，其特征在于，所述通过已训练的目标神经网络对所述数据特征进行处理，得到所述安防设备的运行状态之前，还包括：
获取安防设备在多个采集时刻的正常样本性能数据和安防设备在多个采集时刻的异常样本性能数据；其中，所述正常样本性能数据是所述安防设备未运行恶意程序时的样本性能数据，所述异常样本性能数据是所述安防设备运行恶意程序时的样本性能数据；
根据多个采集时刻的正常样本性能数据确定所述安防设备的正常样本特征；
根据多个采集时刻的异常样本性能数据确定所述安防设备的异常样本特征；
基于所述正常样本特征和所述异常样本特征对初始神经网络进行训练，得到已训练的目标神经网络；其中，所述目标神经网络用于基于能够表示所述安防设备的运行状态变化的数据特征识别所述安防设备的运行状态。


6.根据权利要求5所述的方法，其特征在于，
所述初始神经网络包括第一子网络，第二子网络，第三子网络，全连接子网络和分类层子网络，所述正常样本特征包括CPU使用率正常子特征，内存使用率正常子特征和网络带宽使用率正常子特征，所述异常样本特征包括CPU使用率异常子特征，内存使用率异常子特征和网络带宽使用...

【专利技术属性】
技术研发人员：王滨，张峰，王星，周少鹏，陈思，陈达，陈逸恺，
申请(专利权)人：杭州海康威视数字技术股份有限公司，
类型：发明
国别省市：浙江;33