基于主机网络行为的异常检测方法和装置与流程

本发明涉及互联网领域，具体而言，涉及一种基于主机网络行为的异常检测方法和装置。
背景技术：
：在企业或校园网络中，通常会有比较明显的边界。防火墙/UTM通常会作为边界防护设备，连通内网和外网(广域网)，同时也保护内网中的主机和服务器，阻止外部到内部的非法访问和攻击，同时也对内网中的主机和服务器进行适当的隔离，以及防止内部主机对服务器进行非法访问。图1为现有技术中的网络拓扑结构图，具体的，可以表示比较典型的企业或者高校的网络，如图1所示，其中Internet表示外网，LAN1表示内部网络1，10.100.31.0/24表示内部网络1的地址，LAN2表示内部网络2，10.100.32.0/24表示内部网络2的地址，DMZ表示服务器网络，10.100.1.0/24表示服务器网络的地址，服务器网络可以用来部署各种企业内的服务，可以被内部主机访问，也可能被来自Internet的主机访问；Firewall表示防火墙，用来将各个内部网络和外部网络连接起来，阻止外部到内部网络的非法访问，以及根据需求限制内部网络之间的访问。在如图1所示的典型网络中，防火墙一方面作为Internet的接入点，一方面承担着不同网络(区域)的隔离作用，保护着内部主机和服务器。现有技术中防火墙为了实现对内网主机和服务器的保护，利用多样化的技术来针对不同的安全问题提供解决方案，比较常用的第一个方案为基于IP报文三、四层的包过滤方式实现对内网主机和服务器的保护，OSI网络模型中将整个网络分为七层，分别是物理层、链路层、网络层、传输层、会话层、展示层、应用层。目前的Internet是一种基于IP网络的实现，也即网络层为IP网络；对于传输层，常用的协议包括TCP、UDP、ICMP等，而TCP、UDP为目前网络应用中绝大部分应用所使用的协议。例如最常用的Web服务、邮件服务、FTP服务都是基于TCP协议，大量的移动应用也是基于TCP协议；TFTP、DNS以及一些及时通讯软件会使用UDP协议。所以通过对IP地址和TCP/UDP端口进行过滤，就可以解决许多的服务的访问控制问题，这也是防火墙最基本的策略功能。对于图1，例如想允许LAN1访问DMZ网络的Web服务(Web服务使用TCP80端口)，但是禁止LAN1访问DMZ的SMTP服务(SMTP服务使用TCP25端口)，可以通过类似如下表的策略来进行：源地址目的地址服务行为10.100.31.0/2410.100.1.0/24TCPdstport80允许10.100.32.0/2410.100.1.0/24TCPdstport25禁止除了通过三、四层的包过滤的方式以外，现有技术中比较常用的第二个方案为基于应用层的深度包过滤检测实现对内网主机和服务器的保护，即相当一部分安全问题是利用可合理访问的服务来进行统计。例如通过已知的Web服务器的软件漏洞，来对Web服务器进行攻击；或者向服务器上删除病毒、木马文件。这些问题都无法通过报文的三、四层信息进行过滤，因为此时攻击报文和正常访问的报文在报文的三、四层信息上已经没有差异，攻击特征在TCP或者UDP的载荷中。对于这类攻击，通常的做法是对应用层协议进行解析，将其与预先分析提取的攻击模式串进行匹配，以发现攻击。目前IPS、Anti-virus设备或者UTM均会使用这种技术方案，其中UTM设备也即是在防火墙的基础上集成了IPS和Anti-virus的功能，其技术原理类似。无论是三、四层的包过滤还是应用层数据的深度内容检测技术，基本都是同一个会话/连接的上下文中进行。基于三、四层的包过滤即通过定义防火墙策略来对报文的三层、四层头进行过滤；而基于应用层数据的深度包检测技术主要的原理是：解析应用层协议，按照应用层协议进行解析提取需要的数据，而后跟预定义的特征库进行匹配，从而进行异常发现。基于三、四层的包过滤和基于应用层的深度内容检测技术，它们能解决相当一部分的问题，也属于业界比较常用和基本的方案。然而，也有一些攻击从单个会话、单个操作甚至是几个操作上都无法发现异常，但是放在更长期的上下文中，根据对网络中的主机长时间的网络数据进行分析、学习和分析，却能发现是不符合主机的历史行为的。这里所谓的网络行为，很多情况不仅仅是从单个会话中提取，也有从主机的网络数据中周期性的提取一些数据进行预处理后的结果。针对上述现有技术中一些异常无法通过单会话/连接检测的问题，目前尚未提出有效的解决方案。技术实现要素：本发明实施例提供了一种基于主机网络行为的异常检测方法和装置，以至少解决现有技术中一些异常无法通过单会话/连接检测的技术问题。根据本发明实施例的一个方面，提供了一种基于主机网络行为的异常检测方法，包括：根据历史异常网络行为，采集至少一个主机中每个主机的网络行为数据；对网络行为数据进行多维度分析，得到每个主机在至少一个维度中各维度上的维度数据；确定维度数据中的异常维度数据；针对每个主机，将异常维度数据与预定义规则进行匹配，确定是否发生异常网络行为，并在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，其中，预定义规则用于根据异常维度数据确定是否发生异常网络行为以及在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为。根据本发明实施例的另一方面，还提供了一种基于主机网络行为的异常检测装置，包括：采集模块，用于根据历史异常网络行为，采集至少一个主机中每个主机的网络行为数据；分析模块，用于对网络行为数据进行多维度分析，得到每个主机在至少一个维度中各维度上的维度数据；确定模块，用于确定维度数据中的异常维度数据；匹配模块，用于针对每个主机，将异常维度数据与预定义规则进行匹配，确定是否发生异常网络行为，并在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，其中，预定义规则用于根据异常维度数据确定是否发生异常网络行为以及在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为。在本发明实施例中，采用对内网中的每个主机进行观察、学习和分析的方式，得到一段时间内发现的可疑的网络行为，也就是历史网络行为，根据历史异常网络行为，采集至少一个主机中每个主机的网络行为数据；对网络行为数据进行多维度分析，得到每个主机在至少一个维度中各维度上的维度数据；确定维度数据中的异常维度数据；针对每个主机，将异常维度数据与预定义规则进行匹配，确定是否发生异常网络行为，并在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，其中，预定义规则用于根据异常维度数据确定是否发生异常网络行为以及在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，从而达到了对基于主机网络行为的异常检测的目的，从而实现了根据网络行为中单个会话/连接就能找出异常网络行为的技术效果，进而解决了现有技术中一些异常无法通过单会话/连接检测的技术问题。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图1是根据现有技术的一种网络拓扑结构图；图2是根据本发明实施例1的一种基于主机网络行为的异常检测方法的流程图；图3是根据本发明实施例1的一种可选的基于主机网络行为的异常检测方法的流程图；图4是根据本发明实施例2的一种基于主机网络行为的异常检测装置的结构图；图5是根据本发明实施例2的一种可选的基于主机网络行为的异常检测装置的结构图；图6是根据本发明实施例2的一种可选的基于主机网络行为的异常检测装置的结构图；以及图7是根据本发明实施例2的一种可选的基于主机网络行为的异常检测装置的结构图。具体实施方式为了使本
技术领域：
的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1根据本发明实施例，提供了一种基于主机网络行为的异常检测方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。图2是根据本发明实施例的基于主机网络行为的异常检测方法，如图2所示，该方法包括如下步骤：步骤S102，根据历史异常网络行为，采集至少一个主机中每个主机的网络行为数据。具体的，可以根据现有的攻击样本的网络行为提取其共性的网络行为，也就是异常网络行为，然后将这些异常网络行为进行分解，可选的，可以分解为基于会话/连接可进行采集的单元，然后根据这些单元确定数据采集项，也就是确定需要采集的主机的网络行为数据，也就是元数据，综上，元数据是根据现有的网络攻击的常洛行为总结出来的，也就是根据历史异常网络行为总结出来的，因此，本发明中采集的网络行为数据极有可能是异常网络行为产生的数据。步骤S104，对网络行为数据进行多维度分析，得到每个主机在至少一个维度中各维度上的维度数据。具体的，对网络行为数据进行多维度分析也就是对网络行为数据进行预处理的一个过程，通过对元数据进行预处理，可以得到维度数据。步骤S106，确定维度数据中的异常维度数据。具体的，异常维度数据即基于上述的维度数据产生的异常。步骤S108，针对每个主机，将异常维度数据与预定义规则进行匹配，确定是否发生异常网络行为，并在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，其中，预定义规则用于根据异常维度数据确定是否发生异常网络行为以及在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为。具体的，维度数据产生异常生成异常维度数据后，并不一定表示有异常网络行为，例如受到攻击等，因此需要根据预定义规则对异常维度数据进行匹配，根据匹配的结果判断是否发生异常网络行为以及具体发生什么异常网络行为，可选的，由于单个异常维度数据并不一定代表异常网络行为发生，可能在有多个异常维度数据时才表示某个异常网络行为发生，因此与预定义规则进行匹配的异常维度数据可以是单个异常维度数据，也可以是多个异常维度数据进行关联匹配。在本发明实施例中，采用对内网中的每个主机进行观察、学习和分析的方式，得到一段时间内发现的可疑的网络行为，也就是历史网络行为，根据历史异常网络行为，采集至少一个主机中每个主机的网络行为数据；对网络行为数据进行多维度分析，得到每个主机在至少一个维度中各维度上的维度数据；确定维度数据中的异常维度数据；针对每个主机，将异常维度数据与预定义规则进行匹配，确定是否发生异常网络行为，并在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，其中，预定义规则用于根据异常维度数据确定是否发生异常网络行为以及在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，从而达到了对基于主机网络行为的异常检测的目的，从而实现了根据网络行为中单个会话/连接就能找出异常网络行为的技术效果，进而解决了现有技术中一些异常无法通过单会话/连接检测的技术问题。此处需要说明的是，本发明实施例中基于主机网络行为的异常检测方法突破了以会话/连接为核心的思路，转而以主机为核心，综合主机在历史过程中的网络行为进行采样、预处理，之后再记性分析，来判断是否有异常网络行为，本发明可以与
背景技术：
中基于防火墙三、四层的包过滤技术和应用层数据的深度内容检测技术结合使用，作为防火墙三、四层包过滤和应用层数据的深度内容检测的一个有效补充，以增强防火墙的异常检测能力。在一种可选的实施例中，网络行为数据包括如下至少之一：流量数据、连接数据、TCP数据、HTTP协议数据和DNS数据。具体的，网络行为数据是基于主机进行统计的，流量数据包括如下至少之一：上行流量字节数、下行流量字节数、上行报文数量和下行报文数量；连接数据包括如下至少之一：从主机发起的连接数、从外部发起到主机的连接数、从主机发起的知名端口连接数和从外部发起的到主机的知名端口的连接数；TCP数据包括如下至少之一：TCPSYN、PUSH和RST报文的数量；HTTP协议数据包括如下至少之一：URL长度、Cookie长度、HTTP请求长度、请求首部的字段数量、HTTP各种请求方法的数量、没有响应的HTTP请求数量、HTTP各种响应码的数量、HTTP响应长度和HTTP响应的内容类型；DNS数据至少包括DNS的请求域名。在一种可选的实施例中，维度数据包括如下至少之一：流量维度数据、会话维度数据、HTTP维度数据和DNS维度数据，其中，流量维度数据包括如下至少之一：平均每秒主机的上行字节数、报文数量、下行字节数、报文数量以及平均每秒知名端口的上行字节数、报文数量、下行字节数和报文数量；会话维度数据包括如下至少之一：平均每秒向主机发起的会话数以及目的端口为知名端口的会话数、平均每秒由主机发起的会话数以及目的端口为知名端口的会话数、平均每秒主机连接建立失败数量、平均每秒知名端口连接建立失败数量、每秒中主机发起的HTTP会话数量以及失败的数量，每秒中向主机发起的HTTP会话数量及失败的数量、当前主机存活的会话数量，当前主机存活的HTTP会话数量；HTTP维度数据包括如下至少之一：URL请求的长度分布、URL请求的不同路径的数量、Cookie长度的分布、Cookie请求首部的字段数量的分布、Cookie请求方法的分布、响应内容类型分布、响应内容长度分布、响应码的分布、响应内容请求方法的分布、各种请求方法的数量和比例、各种响应码的比例以及HTTP下载的文件类型。此处需要说明的是，对于分布类的数据，通常分布统计成几种范围，例如针对URL长度，可以统计为0-32、33–64、64-96、96-128以及>128这5种范围；DNS维度数据至少包括DNS请求的域名。在一种可选的实施例中，步骤S106中确定维度数据中的异常维度数据，包括：步骤S202，确定每个主机的维度数据中超过预设维度数据阈值的维度数据为异常维度数据；或者，步骤S204，确定每个主机的维度数据中超过预设维度数据阈值且与所有主机的平均维度数据的偏差超过预设偏差的维度数据为异常维度数据。具体的，在确定异常维度数据时，可以采用两种方式，第一种方式即在维度数据超过预设维度数据阈值的时候，即判断该维度数据为异常维度数据；这种方式也可以称为直接触发方式，即根据维度数据即可直接进行判断。此处需要说明的是，针对每个主机，由于可能有多个维度数据，每个维度数据都有对应的维度数据阈值，并且维度数据阈值是可以动态学习和调整的，因此可以根据实际情况进行自定义设置，也可以经过一定时间对主机进行学习后计算得到，针对所有的主机，不同主机之间可能会有相同的维度数据，但是由于不同主机的行为并非完全一样，因此即使是不同主机的相同维度数据，其对应的维度数据阈值也可能是不一样的。可选的，采用第一种方式时，针对DNS请求数据，如果DNS请求了恶意域名或者是一些软件自动生成的域名，或者短时间内发送了大量的DNS请求，即可确定DNS请求数据发生异常，其中恶意域名可以直接通过黑名单来检测，而软件生成的域名则可以通过一些成熟的域名生成算法软件(DomainGenerationAlgorithm)来检测；针对SYN报文比例数据，如果SYN报文的比例过高，则可以确定SYN报文比例数据发生异常，因为TCP一个正常的连接最少7个报文，SYN报文的比例应该低于1/7，一般情况远远低于这个值；针对HTTP响应码200比例数据，如果HTTP的响应码200OK的比例过低，即可确定HTTP响应码200比例数据发生异常，因为一般的请求都是200OK，当这个比例过低时，比较可能是软件去尝试获取或者绕过认证；针对HTTP下载文件类型数据，如果下载可执行文件，即可确定HTTP下载文件类型数据发生异常。具体的，在确定异常维度数据时，还可以采用第二种方式，第二种方式不仅仅需要维度数据超过预设维度数据阈值，还需要将所有主机的相同的该维度数据进行比较，只有在其中一台主机的维度数据与其他主机的维度数据相比出现异常时，才判断该维度数据发生异常，即判断该维度数据为异常维度数据；这种方式也可以称为横向比较方式，即需要与所有监控的主机进行比较。可选的，可以通过计算偏差的方式来量化其中一台主机的维度数据与其他主机的维度数据相比出现异常的程度，即首先计算所有主机相同的维度数据的平均值，然后计算每台主机的维度数据与该平均值的偏差，如果偏差大于预设偏差，则判断该主机的维度数据发生异常。可选的，针对某一台主机的新建会话数，如果新建会话数超过对应的阈值，且显著大于其它主机时，即可确定该主机的新建会话数发生异常；针对某一台主机的新建知名端口会话，如果新建的目的端口为知名端口的会话数超过阈值，且显著大于其它主机时，即可确定该主机的新建知名端口会话发生异常；针对某一台主机的新建HTTP会话：新建的HTTP会话数超过阈值，且显著大于其它主机时，即可确定该主机的新建HTTP会话发生异常；针对某一台主机的知名端口存活会话数量：知名端口的连接数超过阈值，且显著大于其它主机，即可确定该主机的知名端口存活会话数量发生异常；针对某一台主机的HTTP存活会话数量：HTTP连接数超过阈值，且显著大于其它主机，即可确定该主机的HTTP存活会话数量发生异常；针对某一台主机的连接数量：总连接数超过阈值，且显著大于其它主机时，即可确定该主机的连接数量发生异常；针对某一台主机的上行流量：上行流量超过阈值，且显著大于其它主机时，即可确定该主机的上行流量发生异常；针对某一台主机的上下行流量比例：上下行流量比例显著大于其它主机时，即可确定该主机的上下行流量比例发生异常；针对某一台主机的HTTP访问路径：到固定的目的地址的不同的URL路径，数量超过阈值，且显著大于其它主机，即可确定该主机的HTTP访问路径发生异常。在一种可选的实施例中，步骤S106中确定维度数据中的异常维度数据之后，还包括：步骤S302，按照周期性对异常维度数据进行分组；则步骤S108中将异常维度数据与预定义规则进行匹配，可以具体为：将处于同一个周期的异常维度数据与预定义规则进行匹配。具体的，如上文，针对一个主机，由于单个异常维度数据并不一定代表异常网络行为发生，可能在有多个异常维度数据时才表示某个异常网络行为发生，因此与预定义规则进行匹配的异常维度数据可以是单个异常维度数据，也可以是多个异常维度数据进行关联匹配，并且优选为对同一周期的异常维度数据进行匹配，因此首先需要按照周期性对异常维度数据进行分组，其中，用于分组的周期可以自定义设置。可选的，当上行知名端口请求超过阈值，并且上行知名端口返回失败超过阈值时，可以判断为向外部发起扫描；每秒内连接HTTP的新建连接超过阈值，并且存活的连接超过阈值，可以判断为连接耗尽攻击；HTTP新建请求数量超过阈值，并且HTTP请求路径数量找过阈值，可以判断为爬虫行为；HTTP新建请求数量超过阈值，并大量返回3XX的响应码，可以判断为尝试绕过认证或者爬虫；下载可执行文件，并产生大量恶意域名或者机器生产域名的DNS请求，可以判断为中了木马或者后门软件。在一种可选的实施例中，步骤S106中确定维度数据中的异常维度数据之后，包括：步骤S402，使用脚步程序分析所有主机的异常维度数据对应的异常网络行为。具体的，针对有些周期性较长且涉及的网络数据很多的网络行为，例如攻击行为，很难通过预定义的规则来对维度数据进行关联，为了解决这种问题，可以使用脚步程序周期性的对异常维度进行分析，具体可以根据分析长时间内大量的异常维度数据的规律，并且根据该规律匹配对应的异常网络行为，使用脚步程序可以分析的大量的历史数据，并且时间跨度时间长，甚至可以和其它主机进行关联，因此使用脚步程序可以更加复杂和灵活的对历史的维度异常进行分析，能弥补预定义规则不够灵活的问题。在一种可选的实施例中，如图3所示，通过转发、基于流的包过滤模块可以确定需要采集的元数据，其中元数据也就是网络行为数据，通过对多个主机的元数据的采集，可以对元数据进行预处理，得到维度数据，其中多个主机在图3上表示为主机1、主机2、主机3等，具体的，可以将元数据输入到主机的维度对应的处理函数中进行预处理，得到每个主机的多个维度数据，具体的维度数据在图3中表示为维度1、维度2、维度3等，得到维度数据后，可以确定维度数据中的异常维度数据，并将异常维度数据存储在数据库中，经过对数据库中异常维度数据的综合分析，即可得到对应的异常网络行为，也就是可能会产生威胁的事件，并且在确定异常网络行为后，可以进行异常网络行为报警。在一中可选的实施例中，本发明适用于网关类产品，例如作为防火墙/UTM/下一代防火墙的一个补充，以增强内网主机的异常检测能力，本发明可以帮助企业、校园发现内网主机的异常现象，最终可能定位出内网主机可能被种木马、感染病毒等情况；以及帮助发现内网主机主动对企业、校园以及外部服务器发起攻击，降低企业、校园的安全风险。实施例2根据本发明实施例，提供了一种基于主机网络行为的异常检测装置的产品实施例，图4是根据本发明实施例的基于主机网络行为的异常检测装置，如图4所示，该装置包括采集模块101、分析模块103、确定模块105和匹配模块107。其中，采集模块101，用于根据历史异常网络行为，采集至少一个主机中每个主机的网络行为数据；分析模块103，用于对网络行为数据进行多维度分析，得到每个主机在至少一个维度中各维度上的维度数据；确定模块105，用于确定维度数据中的异常维度数据；匹配模块107，用于针对每个主机，将异常维度数据与预定义规则进行匹配，确定是否发生异常网络行为，并在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，其中，预定义规则用于根据异常维度数据确定是否发生异常网络行为以及在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为。在本发明实施例中，采用对内网中的每个主机进行观察、学习和分析的方式，得到一段时间内发现的可疑的网络行为，也就是历史网络行为，由采集模块101根据历史异常网络行为，采集至少一个主机中每个主机的网络行为数据；分析模块103对网络行为数据进行多维度分析，得到每个主机在至少一个维度中各维度上的维度数据；确定模块105确定维度数据中的异常维度数据；匹配模块107针对每个主机，将异常维度数据与预定义规则进行匹配，确定是否发生异常网络行为，并在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，其中，预定义规则用于根据异常维度数据确定是否发生异常网络行为以及在确定发生异常网络行为的情况下，确定异常维度数据对应的异常网络行为，从而达到了对基于主机网络行为的异常检测的目的，从而实现了根据网络行为中单个会话/连接就能找出异常网络行为的技术效果，进而解决了现有技术中一些异常无法通过单会话/连接检测的技术问题。此处需要说明的是，本发明实施例中基于主机网络行为的异常检测装置突破了以会话/连接为核心的思路，转而以主机为核心，综合主机在历史过程中的网络行为进行采样、预处理，之后再记性分析，来判断是否有异常网络行为，本发明可以与
背景技术：
中基于防火墙三、四层的包过滤技术和应用层数据的深度内容检测技术结合使用，作为防火墙三、四层包过滤和应用层数据的深度内容检测的一个有效补充，以增强防火墙的异常检测能力。此处需要说明的是，上述采集模块101、分析模块103、确定模块105和匹配模块107对应于实施例1中的步骤S102至步骤S108，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。在一种可选的实施例中，如图5所示，确定模块105包括第一确定模块201和/或第二确定模块203；其中，第一确定模块201，用于确定每个主机的维度数据中超过预设维度数据阈值的维度数据为异常维度数据；第二确定模块203，用于确定每个主机的维度数据中超过预设维度数据阈值且与所有主机的平均维度数据的偏差超过预设偏差的维度数据为异常维度数据。此处需要说明的是，上述第一确定模块201和第二确定模块203对应于实施例1中的步骤S202至步骤S204，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。在一种可选的实施例中，如图6所示，装置还包括分组模块301，用于在确定模块105确定维度数据中的异常维度数据之后，按照周期性对异常维度数据进行分组；因此匹配模块107的具体实施例可以为将处于同一个周期的异常维度数据与预定义规则进行匹配。此处需要说明的是，上述分组模块301对应于实施例1中的步骤S302，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。在一种可选的实施例中，如图7所示，装置还包括脚步程序分析模块401，用于在确定模块105确定维度数据中的异常维度数据之后，使用脚步程序分析所有主机的异常维度数据对应的异常网络行为。此处需要说明的是，上述脚步程序分析模块401对应于实施例1中的步骤S402，上述模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例1所公开的内容。需要说明的是，上述模块作为装置的一部分可以在诸如一组计算机可执行指令的计算机系统中执行。在一种可选的实施例中，网络行为数据包括如下至少之一：流量数据、连接数据、TCP数据、HTTP协议数据和DNS数据。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，RandomAccessMemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页1 2 3