本说明书一个或多个实施例提供一种系统检测方法及装置,包括:获取系统的当前运行数据;根据所述当前运行数据,构造当前运行行为向量;根据所述当前运行行为向量,利用预先构建的正常行为向量模型进行检测,得到检测结果;输出所述检测结果。本说明书能够对系统进行实时检测,及时发现异常,整体性能较好。整体性能较好。整体性能较好。
【技术实现步骤摘要】
一种系统检测方法及装置
[0001]本说明书一个或多个实施例涉及信息安全
,尤其涉及一种系统检测方法及装置。
技术介绍
[0002]随着计算机、通信、软件技术的飞速发展,各种终端已经得到了普遍应用,终端上安装的应用软件多种多样,然而,有些恶意软件会在用户无感的情况下非法安装,或者从终端非法访问、获取用户数据,甚至利用系统漏洞攻击终端,导致系统异常。为保证终端的数据安全性,在系统运行状态下,需要对系统进行检测,以便及时发现异常,避免对系统造成安全威胁。
技术实现思路
[0003]有鉴于此,本说明书一个或多个实施例的目的在于提出一种系统检测方法及装置,能够对系统进行检测。
[0004]基于上述目的,本说明书一个或多个实施例提供了一种系统检测方法,包括:
[0005]获取系统的当前运行数据;
[0006]根据所述当前运行数据,构造当前运行行为向量;
[0007]根据所述当前运行行为向量,利用预先构建的正常行为向量模型进行检测,得到检测结果;
[0008]输出所述检测结果。
[0009]可选的,所述当前运行数据包括系统性能运行参数、处于运行状态的应用的运行参数和网络运行参数;
[0010]所述根据所述当前运行数据,构造当前运行行为向量,包括:
[0011]对所述当前运行数据进行数字化处理,得到适于运算处理的运行数据;
[0012]对于所述运行数据,将在系统运行中存在关联的参数进行合并处理,合并后形成所述当前运行行为向量。
[0013]可选的,所述系统性能运行参数包括CPU总占用状态、内存总占用状态、总耗电量状态,所述处于运行状态的应用的运行参数包括应用类型、权限的开启状态、CPU占用状态、内存占用状态、耗电量状态,所述网络运行参数包括网络模块开启及连接状态;
[0014]对所述当前运行数据进行数字化处理,得到适于运算处理的运行数据,包括:
[0015]按照预先划分的占用等级,将所述CPU总占用状态、所述CPU占用状态赋予对应的等级数值;
[0016]按照内存占用增加、减少和不变的情况,将所述内存总占用状态、所述内存占用状态赋予对应的状态数值;
[0017]按照耗电量增幅小、增幅一般和增幅大的情况,将所述总耗电量状态、所述耗电量状态赋予对应的状态数值;
[0018]按照预设的应用类型,将所述应用类型赋予对应的类型编号;
[0019]按照权限开启、关闭的情况,将所述权限的开启状态赋予对应的状态数值;
[0020]按照网络模块开启、关闭及连接、未连接的情况,将网络模块开启及连接状态赋予对应的状态数值。
[0021]可选的,所述权限的类型包括至少一种,所述网络模块的数量为至少一个;
[0022]对于所述运行数据,将在系统运行中存在关联的参数进行合并处理,合并后形成所述当前行为向量,包括:
[0023]将所述CPU总占用状态、内存总占用状态和总耗电量状态合并处理为一个参数;
[0024]将应用所对应的CPU占用状态、内存占用状态和耗电量状态合并处理为一个参数;
[0025]将各类型的权限的开启状态合并处理为一个参数;
[0026]将各网络模块的网络模块开启及连接状态合并处理为一个参数。
[0027]可选的,所述正常行为向量模型的构建方法包括:
[0028]预先获取至少一组所述当前运行数据;
[0029]根据至少一组所述当前运行数据,构造至少一组正常运行行为向量样本;
[0030]对至少一组正常运行行为向量样本进行聚类分析处理,得到预定分类数量的正常行为特征向量及各正常行为特征向量所对应的聚类半径。
[0031]可选的,所述根据至少一组所述当前运行数据,构造至少一组正常运行行为向量样本,包括:
[0032]对至少一组所述当前运行数据进行无效数据过滤,得到过滤后的至少一组有效运行数据;
[0033]对至少一组有效运行数据进行数字化处理,得到至少一组适于运算处理的运行数据;
[0034]对于至少一组适于运算处理的运行数据,将在系统运行中存在关联的参数进行合并处理,合并后形成至少一组正常运行行为向量样本。
[0035]可选的,预先获取至少一组所述当前运行数据为:在采样周期内,每隔预定时间间隔采集所述当前运行数据;
[0036]对至少一组所述当前运行数据进行无效数据过滤,得到过滤后的至少一组有效运行数据,包括:判断至少一个采样周期内采集的至少一组当前运行数据是否达到预定数量,若否,确定各采样周期内采集的当前运行数据为无效数据;重置采样周期,于重置的采样周期内采集所述当前运行数据,直至各采样周期内采集的当前运行数据达到所述预定数量,将达到预定数量的当前运行数据作为所述有效运行数据。
[0037]可选的,根据所述当前运行行为向量,利用预先构建的正常行为向量模型进行检测,得到检测结果,包括:
[0038]计算所述当前运行行为向量与各正常行为特征向量之间的距离;
[0039]确定与所述当前运行行为向量距离最小的正常行为特征向量;
[0040]判断所述当前运行行为向量是否位于所述距离最小的正常行为特征向量所对应的聚类半径范围内;若是,则所述当前运行行为向量属于所述距离最小的正常行为特征向量所对应的的正常行为;若否,则所述当前运行行为向量属于异常行为。
[0041]可选的,所述当前运行行为向量中包括至少一个合并处理后的参数,所述合并处
理后的参数为二进制字符串;
[0042]计算所述当前运行行为向量与各正常行为特征向量之间的距离包括:对于所述当前运行行为向量中合并处理后的参数与各正常行为特征向量中对应的合并处理后的参数,两参数的差值为对应位不同的个数。
[0043]本说明书还提供一种系统检测装置,包括:
[0044]获取模块,用于获取系统的当前运行数据;
[0045]构造模块,用于根据所述当前运行数据,构造当前运行行为向量;
[0046]检测模块,用于根据所述当前运行行为向量,利用预先构建的正常行为向量模型进行检测,得到检测结果。
[0047]输出模块,用于输出所述检测结果。
[0048]从上面所述可以看出,本说明书一个或多个实施例提供的系统检测方法及装置,通过获取系统的当前运行数据,根据当前运行数据,构造当前运行行为向量,根据当前运行行为向量,利用预先构建的正常行为向量模型进行检测,得到检测结果,输出检测结果。本说明书能够对系统进行实时检测,及时发现异常,整体性能较好。
附图说明
[0049]为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0050]图1本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种系统检测方法,其特征在于,包括:获取系统的当前运行数据;根据所述当前运行数据,构造当前运行行为向量;根据所述当前运行行为向量,利用预先构建的正常行为向量模型进行检测,得到检测结果;输出所述检测结果。2.根据权利要求1所述的方法,其特征在于,所述当前运行数据包括系统性能运行参数、处于运行状态的应用的运行参数和网络运行参数;所述根据所述当前运行数据,构造当前运行行为向量,包括:对所述当前运行数据进行数字化处理,得到适于运算处理的运行数据;对于所述运行数据,将在系统运行中存在关联的参数进行合并处理,合并后形成所述当前运行行为向量。3.根据权利要求2所述的方法,其特征在于,所述系统性能运行参数包括CPU总占用状态、内存总占用状态、总耗电量状态,所述处于运行状态的应用的运行参数包括应用类型、权限的开启状态、CPU占用状态、内存占用状态、耗电量状态,所述网络运行参数包括网络模块开启及连接状态;对所述当前运行数据进行数字化处理,得到适于运算处理的运行数据,包括:按照预先划分的占用等级,将所述CPU总占用状态、所述CPU占用状态赋予对应的等级数值;按照内存占用增加、减少和不变的情况,将所述内存总占用状态、所述内存占用状态赋予对应的状态数值;按照耗电量增幅小、增幅一般和增幅大的情况,将所述总耗电量状态、所述耗电量状态赋予对应的状态数值;按照预设的应用类型,将所述应用类型赋予对应的类型编号;按照权限开启、关闭的情况,将所述权限的开启状态赋予对应的状态数值;按照网络模块开启、关闭及连接、未连接的情况,将网络模块开启及连接状态赋予对应的状态数值。4.根据权利要求3所述的方法,其特征在于,所述权限的类型包括至少一种,所述网络模块的数量为至少一个;对于所述运行数据,将在系统运行中存在关联的参数进行合并处理,合并后形成所述当前行为向量,包括:将所述CPU总占用状态、内存总占用状态和总耗电量状态合并处理为一个参数;将应用所对应的CPU占用状态、内存占用状态和耗电量状态合并处理为一个参数;将各类型的权限的开启状态合并处理为一个参数;将各网络模块的网络模块开启及连接状态合并处理为一个参数。5.根据权利要求1所述的方法,其特征在于,所述正常行为向量模型的构建方法包括:预先获取至少一组所述当前运行数据;根据至少一组所述当前运行数据,构造至少一组正常运行行为向量样本;对至少一组正常运行行为向量样本进行聚类...
【专利技术属性】
技术研发人员:李明春,王晓煊,
申请(专利权)人:北京软慧科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。