[发明专利]异常设备的识别方法及装置

权利要求书

1.一种异常设备识别方法，其特征在于，包括：

记录用户设备在预设的观察时间内的访问数据；

根据各个用户设备的访问数据，从中筛选出异常设备；

根据筛选出的异常设备的访问数据，列出所有异常设备访问过的页面，生成异常设备访问页面集合；

根据各个用户设备在所述观察时间内访问过的页面为每个用户设备生成该用户设备的特征向量；其中，用户设备特征向量中的特征值与异常设备访问页面集合中的页面一一对应；

通过聚类算法对所有用户设备的特征向量进行分类；以及

将与异常设备分为一类的用户设备确定为疑似异常设备。

2.根据权利要求1所述的方法，其特征在于，所述访问数据包括用户设备访问的页面。

3.根据权利要求1所述的方法，其特征在于，所述观察时间的大小根据计算机病毒的潜伏时间设置。

4.根据权利要求1所述的方法，其特征在于，所述筛选出异常设备包括：

预先存储一张黑名单，其中列举已被确知为是异常设备的互联网协议IP地址；以及

若发送访问请求的用户设备的IP地址在此黑名单中，则认定所述用户设备为异常设备。

5.根据权利要求1所述的方法，其特征在于，所述筛选出异常设备包括：判断所接收的访问请求是否满足预设的规则，如果是，则认定发送所述访问请求的用户设备是异常设备。

6.根据权利要求1所述的方法，其特征在于，所述筛选出异常设备包括：分析用户设备的历史访问轨迹，将行为异常的用户设备认定为异常设备。

7.根据权利要求4、5或6所述的方法，其特征在于，进一步包括：

对认定的异常设备进行反向验证，如果反向验证没有通过，则确认所述用户设备为异常设备；如果反向验证通过，则重新认定所述用户设备为正常用户设备。

8.根据权利要求1所述的方法，其特征在于，所述用户设备的特征向量中的每个特征值表征所述用户设备在预设的观察时间内是否访问过所述特征值所对应的页面。

9.根据权利要求1所述的方法，其特征在于，所述用户设备的特征向量中的每个特征值为所述用户设备在预设的观察时间内访问过这个特征值所对应的页面的次数与所有用户设备访问该页面次数的比值。

10.根据权利要求1所述的方法，其特征在于，所述聚类算法为K-Medoids或高斯混合模型算法。

11.根据权利要求1所述的方法，其特征在于，所述聚类算法为K-Means算法。

12.根据权利要求11所述的方法，其特征在于，所述对所有用户设备的特征向量进行分类包括：

A、针对设置的目标类别数K，从所有用户设备的特征向量中任意选择K个特征向量作为K个簇的中心；

B、计算每个特征向量到上述K个簇的中心的距离；

C、根据每个特征向量到上述K个簇的中心的距离，分别将每个特征向量分别划分到距离自身最近的簇中，得到K个簇，并分别计算上述K个簇中所有特征向量的均值，得到每个簇的中心；

D、判断当前K个簇包含的特征向量和之前生成的K个簇包含的特征向量是否相同，如果不同，则返回B，重新划分K个簇；如果相同，则结束。

13.根据权利要求1所述的方法，其特征在于，进一步包括：

对于来自疑似异常设备的访问请求，进行反向验证，如果所述疑似异常设备可以通过反向验证，则重新认定所述疑似异常设备为正常用户；如果所述疑似异常设备无法通过反向验证，则确认所述疑似异常设备为异常设备。