[发明专利]一种异常检测方法、装置及设备

权利要求书

1.一种异常检测方法，其特征在于，所述方法包括：

获得第一指定时间段内已监测到的各内网终端在不同特征维度上的行为特征值；

依据已获得的各内网终端在不同特征维度上的行为特征值，并按照预设的第一智能算法确定存在异常行为的第一类异常终端；

依据已获得的各内网终端在不同特征维度上的行为特征值，并按照预设的第二智能算法确定每一特征维度上出现异常的第二类异常终端；所述第二智能算法不同于所述第一智能算法；

依据所述第一类异常终端以及各特征维度上出现异常的第二类异常终端确定目标异常终端，依据第二指定时间段内已监测到的目标异常终端在不同特征维度上的行为特征值确定引起所述目标异常终端异常的异常原因；所述第二指定时间段早于所述第一指定时间段，所述异常原因为：基于突发行为引起的异常，或者基于习惯行为引起的异常。

2.根据权利要求1所述的方法，其特征在于，所述依据已获得的各内网终端在不同特征维度上的行为特征值，并按照预设的第一智能算法确定存在异常行为的第一类异常终端，包括：

将已获得的每一内网终端在不同特征维度上的行为特征值输入至主成分分析PCA算法得到第一结果，所述第一结果包括存在异常行为的第一类异常终端。

3.根据权利要求1所述的方法，其特征在于，所述依据已获得的各内网终端在不同特征维度上的行为特征值，并按照预设的第二智能算法确定每一特征维度上出现异常的第二类异常终端，包括：

将已获得的各内网终端在不同特征维度上的行为特征值输入至箱线图算法得到第二结果，所述第二结果包括每一特征维度上出现异常的第二类异常终端。

4.根据权利要求1所述的方法，其特征在于，所述依据所述第一类异常终端以及各特征维度上出现异常的第二类异常终端确定目标异常终端，包括：

针对所述第一类异常终端中每一终端，检查该终端是否包含在至少一个特征维度上出现异常的第二类异常终端中，如果是，确定该终端为所述目标异常终端。

5.根据权利要求1所述的方法，其特征在于，所述依据第二指定时间段内已监测到的目标异常终端在不同特征维度上的行为特征值确定引起所述目标异常终端异常的异常原因，包括：

针对每一特征维度，利用箱线图算法并依据第二指定时间段内已监测到的目标异常终端在该特征维度上的行为特征值确定该特征维度对应的第一特征上限值；

依据所述第一特征上限值和第二指定时间段内已监测到的目标异常终端在该特征维度上的行为特征值确定引起所述目标异常终端异常的异常原因。

6.根据权利要求5所述的方法，其特征在于，所述第一指定时间段、第二指定时间段分别包括多个行为监测周期；

所述依据第一特征上限值和第二指定时间段内已监测到的目标异常终端在该特征维度上的行为特征值确定引起所述目标异常终端异常的异常原因，包括：

从第一指定时间段内已监测到的目标异常终端在该特征维度上的行为特征值中选择大于所述第一特征上限值的参考行为特征值；

针对监测到参考行为特征值的行为监测周期中的监测时刻，利用箱线图算法并依据第二指定时间段内各行为监测周期内在所述监测时刻监测到的行为特征值确定该特征维度对应的第二特征上限值；

依据所述第二特征上限值和所述参考行为特征值，确定所述引起所述目标异常终端异常的异常原因。

7.根据权利要求1所述的方法，其特征在于，所述特征维度包括至少一个或任一组合：

表示中毒或访问异常的行为特征维度、表示蠕虫病毒或勒索病毒攻击的行为特征维度、表示文件传输或过量下载的行为特征维度、表示暴力破解的行为特征维度、表示未知异常的行为特征维度、表示“Bot”攻击的行为特征维度、表示“DDoS”攻击的行为特征维度、表示“DoS”攻击的行为特征维度。