[发明专利]异常信息的确定方法、装置、设备、存储介质及程序产品

权利要求书

1.一种异常信息的确定方法，其特征在于，所述方法包括：

获取多个异常用户的信息及异常流量端口的信息，所述异常用户的信息包括用户互联网协议IP地址异常与否和活动信息的向量；

基于所述向量确定每两个异常用户之间的相似度；

基于所述相似度大于预设阈值的异常用户和各个异常流量端口的组合出现异常的频率构建关联树，所述关联树包括异常用户之间的关联关系，以及每个异常用户出现异常的次数；

确定所述次数最大的异常用户为目标异常用户；

基于所述关联关系，确定与目标异常用户关联且所述次数大于预设距离阈值的异常用户为潜在异常用户。

2.根据权利要求1所述的方法，其特征在于，在所述获取多个异常用户的信息及异常流量端口的信息之前，所述方法还包括：

采集防火墙产生的告警信息，以及与所述告警信息关联的日志数据的信息，所述日志数据包括用户IP地址及活动数据；

基于所述用户IP地址及活动数据，通过预设异常检测模型确定所述用户IP地址及活动数据中满足预设条件的IP地址及活动数据对应的用户为异常用户。

3.根据权利要求2所述的方法，其特征在于，所述日志数据还包括告警端口的流量数据，所述方法还包括：

计算所述告警端口的流量数据的均值和标准差；

基于所述均值和所述标准差计算所述告警端口的流量数据的得分值；

基于所述告警端口的流量数据计算预设倍数的内距IQR值；

确定所述得分值大于所述预设倍数的IQR值的告警端口为异常流量端口。

4.根据权利要求2所述的方法，其特征在于，在所述采集防火墙产生的告警信息，以及与所述告警信息关联的日志数据的信息之后，所述方法还包括：

在检测到所述日志数据在目标时间段内没有数据的情况下，填充所述目标时间段内的日志数据。

5.根据权利要求1所述的方法，其特征在于，所述基于所述相似度大于预设阈值的异常用户和各个异常流量端口的组合出现异常的频率构建关联树，包括：

删除所述相似度大于预设阈值的异常用户和各个异常流量端口的组合出现异常的频率小于预设支持度阈值的组合，得到剩余的数据集，所述剩余的数据集包括所述组合出现异常的频率大于或等于所述预设支持度阈值的组合；

基于所述组合出现异常的频率大于或等于所述预设支持度阈值的组合构建关联树。

6.根据权利要求1所述的方法，其特征在于，所述异常流量端口的信息包括异常流量端口的异常发生时间，所述基于所述相似度大于预设阈值的异常用户和各个异常流量端口的组合出现异常的频率构建关联树，包括：

将所述相似度大于预设阈值的异常用户划分为一个用户数组，将所述异常发生时间的差值在预设时间段内的异常流量端口划分为一个端口数组；

基于所述用户数组和端口数组中，异常用户和各个异常流量端口的组合出现异常的频率构建关联树。

7.根据权利要求1所述的方法，其特征在于，活动信息包括多个文件下载活动信息、文件共享活动信息、文件检测活动信息、模拟活动信息和管理活动的信息中的至少一项。

8.一种异常信息的确定装置，其特征在于，所述装置包括：

获取模块，用于获取多个异常用户的信息及异常流量端口的信息，所述异常用户的信息包括用户互联网协议IP地址异常与否和活动信息的向量，所述异常流量端口的信息包括异常流量端口的异常发生时间；

确定模块，用于基于所述向量确定每两个异常用户之间的相似度；

构建模块，用于基于所述相似度大于预设阈值的异常用户和各个异常流量端口的组合出现异常的频率构建关联树，所述关联树包括异常用户之间的关联关系，以及每个异常用户出现异常的次数；

所述确定模块，还用于确定所述次数最大的异常用户为目标异常用户；

所述确定模块，还用于基于所述关联关系，确定与目标异常用户关联且所述次数大于预设距离阈值的异常用户为潜在异常用户。