一种终端异常状态确定方法和装置与流程

本发明涉及终端安全技术领域，特别涉及一种终端异常状态确定方法和装置。

背景技术：

随着智能手机的普及，使用手机的人数越来越多，而且手机的硬件和软件性能也都在逐步提高，手机应用程序已经成为手机不可或缺的重要一个环节，但是开发出来的各种应用程序不一定都能完美运行，往往在运行中会出现各种各样的异常，出现异常后还继续运行会对手机有很大的耗损，应用程序也可能在运行时出现各种问题，出现很多负面的效果。

现有手机异常状态检测方法通过经验设置手机异常的阈值，如最高温度，最低温度，cpu使用率，网络使用率等。采集现在手机内部的各种状态值，如温度，cpu使用率，网络吞吐量，io频率等判断其是否超过阀值，来判断手机状态是否异常。

由于各种状态阀值是一项经验值，设置常常是困难的，往往设置的不是最优解或者合理的值。

因为某些阀值的设置是不可能的，如温度阈值；阀值的设置不能反映出手机正确的状态，譬如手机在玩大型游戏，温度会变的很高，可能会超过阀值，但却是正常的。而手机空闲状态下温度异常升高常常达不到温度阀值，却被错误的认定为正常，检测不出来。

技术实现要素：

有鉴于此，本申请提供一种终端异常确定方法和装置，能够及时、准确地监测出终端的异常状态。

为解决上述技术问题，本申请的技术方案是这样实现的：

一种终端异常确定方法，该方法包括：

接收到m个处于正常状态的样本终端和n个处于异常状态的样本终端发送的指标参数，使用同一个样本终端的相邻两组指标参数对应的值的变化量计算特征向量，并针对该特征向量值作标记，组成一个样本；其中，针对每个特征向量值作的标记为计算该特征向量值的指标参数所对应的样本终端所处的状态；

计算每个样本的特征向量的多元高斯分布的概率密度函数值；并根据所有样本的特征向量的多元高斯分布的概率密度函数值，以及样本的标记值确定状态异常阈值；

将多元高斯分布的概率密度函数，以及确定的状态异常阈值发送给待测终端，使该待测终端获取自身的指标参数计算特征向量，并计算该特征向量对应的多元高斯分布的概率密度函数值，根据该多元高斯分布的概率密度函数值和状态异常阈值确定本终端是否处于异常状态。

一种终端异常确定方法，该方法包括：

存储多元高斯分布的概率密度函数，以及状态异常阈值；

需要确定所处状态是否异常时，获取相邻预设周期的两组指标参数，并使用两组指标参数对应的值的变化量确定特征向量；

根据存储的多元高斯分布的概率密度函数，计算确定的特征向量对应的多元高斯分布的概率密度函数值；

确定计算出的多元高斯分布的概率密度函数值是否大于所述状态异常阈值，如果是，确定该待测终端处于正常状态；否则，确定该待测终端处于异常状态，并发出告警。

一种终端异常确定装置，该装置包括：接收单元、处理单元和发送单元；

所述接收单元，用于接收样本终端发送的指标参数；

所述处理单元，用于当所述接收单元接收到m个处于正常状态的样本终端和n个处于异常状态的样本终端发送的指标参数，使用同一个样本终端的相邻两组指标参数对应的值的变化量计算特征向量，并针对该特征向量值作标记，组成一个样本；其中，针对每个特征向量值作的标记为计算该特征向量值的指标参数所对应的样本终端所处的状态；计算每个样本的特征向量的多元高斯分布的概率密度函数值；并根据所有样本的特征向量的多元高斯分布的概率密度函数值，以及样本的标记值确定状态异常阈值；

所述发送单元，用于将多元高斯分布的概率密度函数，以及所述处理单元确定的状态异常阈值发送给待测终端，使该待测终端获取自身的指标参数计算特征向量，并计算该特征向量对应的多元高斯分布的概率密度函数值，根据该多元高斯分布的概率密度函数值和状态异常阈值确定本终端是否处于异常状态。

一种终端异常确定装置，该装置包括：存储单元、获取单元、计算单元和处理单元；

所述存储单元，用于存储多元高斯分布的概率密度函数，以及状态异常阈值；

所述获取单元，用于需要确定所处状态是否异常时，获取相邻预设周期的两组指标参数；

所述计算单元，用于使用所述获取单元获取的两组指标参数对应的值的变化量确定特征向量；并根据所述存储单元存储的多元高斯分布的概率密度函数，计算确定的特征向量对应的多元高斯分布的概率密度函数值；

所述处理单元，用于确定所述计算单元计算出的多元高斯分布的概率密度函数值是否大于所述存储单元存储的状态异常阈值，如果是，确定该待测终端处于正常状态；否则，确定该待测终端处于异常状态，并发出告警。

由上面的技术方案可知，本申请中通过收集大量处于正常状态和异常状态的样本终端的指标参数，确定样本集；通过构建的样本集，以及多元高斯模型确定状态异常阈值，使用该状态异常阈值确定待测终端所处状态。能够准确、及时判断终端是否异常。

附图说明

图1为本申请实施例一中终端异常确定流程示意图；

图2为本申请实施例二中终端异常确定流程示意图；

图3为本申请实施例中应用于实施例一中所述技术的装置结构示意图；

图4为本申请实施例中应用于实施例二中所述技术的装置结构示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，下面结合附图并举实施例，对本发明的技术方案进行详细说明。

本申请实施例中提供一种终端异常确定方法，通过收集大量处于正常状态和异常状态的样本终端的指标参数，确定样本集；通过构建的样本集，以及多元高斯模型确定状态异常阈值，使用该状态异常阈值确定待测终端所处状态。该方案能够及时、准确地监测出终端的异常状态。

本申请实施例中，在对待测终端确定所处状态之前，需要先构建判断模型，并确定状态异常阈值，构建判断模型，并确定状态异常阈值的设备，为了描述方便，下文统称为处理设备。下面给出详细过程：

准备m个处于正常状态的样本终端，用于获取计算正常样本的指标参数，n个异常状态的终端，用于获取计算异常样本的指标参数。其中，m、n为大于0的整数。

针对每个处于正常状态的样本终端，按照预设时间间隔获取样本终端的指标参数；至于获取多少组指标参数，可以根据实际需要确定；

针对每个处于异常状态的样本终端，按照预设时间间隔获取样本终端的指标参数；至于获取多少组指标参数，可以根据实际需要确定。

各样本终端获取的指标参数包括：

cpu温度t1，电池温度t2，cpu负载l1，网络数据上行数据速率l2，网络数据下行数据速率l3，内存使用率l4，nand-flash每秒读写字节数n1，当前运行的进程数量n2。

各样本终端可以在本地使用获取的指标参数构建样本，也可以将指标参数发送给处理设备，在处理设备上构建样本。

下面给出使用获取的指标参数构建样本；以构建一个样本为例：

针对某个样本终端，在时刻t获取的指标参数包括：cpu温度t1a，电池温度t2a，cpu负载l1a，网络数据上行数据速率l2a，网络数据下行数据速率l3a，内存使用率l4a，nand-flash每秒读写字节数n1a，当前运行的进程数量n2a；nand-flash是一种存储介质。

在时刻t+t获取的指标参数包括：cpu温度t1b，电池温度t2b，cpu负载l1b，网络数据上行数据速率l2b，网络数据下行数据速率l3b，内存使用率l4b，nand-flash每秒读写字节数n1b，当前运行的进程数量n2b；t为预设周期，即每隔t时间获取一次指标参数。

根据间隔预设周期t时间获取的两组指标参数确定一个特征向量：x(x1,x2,x3)；

其中，x1＝△l1/(△l2+△l3)，x2＝△l1/(△n1+△n2)，△l1＝l1b-l1a，△l2＝l2b-l2a，△l3＝l3b-l3a，△l4＝l4b-l4a，△t1＝t1b-t1a，△t2＝t2b-t2a，△n1＝n1b-n1a，△n2＝n2b-n2a。

将该特征向量x，以及该特征向量对应的样本终端所处的状态y作为一个样本。

y值可以使用0和1来表示，如果该样本终端所处状态为正常状态，则使用1表示，如果该样本终端所处状态为异常状态，则使用0表示。

如果由每个样本终端确定的样本，则每个样本终端将确定的样本发送给处理设备，如果由处理设备接收各样本终端的指标参数，在本地确定样本。

无论在哪个设备上确定样本，待处理设备获取需要的所有样本后，进行判断模型的构建和状态异常阈值的确定。

处理设备通过m个样本终端获取的样本个数总和，与通过n个样本终端获取的样本个数总和的比值大于预设比值。

如预设比值为18，假设接收到的正常样本为9500个，以及异常样本为500。则正常样本与异常样本的比值为19，大于预设比值18，因此，可以不进行处理直接使用接收到的样本；如果不符合上述规则，可以根据实际需要再获取异常样本或正常样本；或者删除一定数量的正常样本或异常样本。

也可以预先规划好正常样本的数量和异常样本的数量，以免浪费获取样本的资源。

在具体实现时，可以通过异常样本终端和正常样本周期地获取指标参数，从而处理设备能够周期地更新获取的样本，进而周期地使用新获取的样本动态地确定状态异常阈值。

下面结合附图，详细说明本申请实施例中终端所处状态的确定过程。

实施例一

参见图1，图1为本申请实施例一中终端异常确定流程示意图。具体步骤为：

步骤101，处理设备接收到m个处于正常状态的样本终端和n个处于异常状态的样本终端发送的指标参数，使用同一个样本终端的相邻两组指标参数对应的值的变化量计算特征向量，并针对该特征向量值作标记，组成一个样本。

其中，针对每个特征向量值作的标记为计算该特征向量值的指标参数所对应的样本终端所处的状态。

该实施例中以处理设备通过样本终端获取的指标参数确定样本为例。

样本终端将获取的指标参数，获取指标参数的时间，以及该指标参数对应的样本终端所处的状态，以便处理设备获知使用哪两组指标参数确定特征向量值，以及对该特征向量值的标记，进而组成一个样本。

步骤102，处理设备计算每个样本的特征向量的多元高斯分布的概率密度函数值。

多元高斯分布的概率密度函数为：

其中，为特征向量x的平均值；

为特征向量的协方差矩阵，m为3。

具体实现时，根据多元高斯分布的概率密度函数计算每个特征向量的多元高斯分布的概率密度函数值即可。

步骤103，处理设备根据所有样本的特征向量的多元高斯分布的概率密度函数值，以及样本的标记值确定状态异常阈值。

本步骤中根据所有样本的特征向量的多元高斯分布概率密度函数值，以及样本的标记值确定状态异常阈值，包括：

将每个样本的特征向量的多元高斯分布概率密度函数值p，与候选状态异常值ε进行比较；当p大于ε，确定为正常状态；否则，确定为异常状态；

将针对每个特征向量确定的状态，与该样本对应的标记值进行比较，计算查全率和查准率；

将使f1达到最大值的候选状态异常值确定为状态异常阈值；

其中，f1＝(查全率+查准率)/(查全率×查准率)。

其中，查准率为：查全率为：

tp为与候选状态异常值比较的结果为正常状态，且对应特征向量的标记值对应正常状态值的样本个数；

fp为与候选状态异常值比较的结果为正常状态，且对应特征向量的标记值对应异常状态的样本个数；

fn为同一候选状态异常值比较的结果为异常状态，且对应特征向量的标记值对应正常状态的样本个数。

步骤104，处理设备将多元高斯分布的概率密度函数，以及确定的状态异常阈值发送给待测终端，使该终端获取自身的指标参数计算特征向量，并计算该特征向量对应的多元高斯分布的概率密度函数值，根据该多元高斯分布的概率密度函数值和状态异常阈值确定本终端是否处于异常。

当处理设备确定的状态异常阈值变化后，将变化后的状态异常阈值发送给待测终端。

待测终端接收到处理设备发送的多元高斯分布的概率密度函数，以及确定的状态异常阈值时，在本地存储；若已存在，则更新；在需要确定本终端所处状态时，获取并使用。

实施例二

参见图2，图2为本申请实施例二中终端异常确定流程示意图。具体步骤为：

步骤201，待测终端需要确定所处状态是否异常时，获取本终端间隔预设周期获取的两组指标参数，并使用两组指标参数对应的值的变化量确定特征向量。

本申请实施例中可以在需要确定自身所处状态是否异常时，获取两组指标参数；

为了能够及时确定终端所处的状态，也可以间隔预设周期的时间获取指标参数，并更新存储指标参数，以保证同时存储最新的两组指标参数，这样，需要确定终端所处状态时，可以直接使用存储的指标参数进行确定。

本步骤中使用两组指标参数对应的值的变化量确定特征向量的过程同上述描述，这里不再赘述。

步骤202，待测终端根据存储的多元高斯分布的概率密度函数，计算确定的特征向量对应的多元高斯分布的概率密度函数值。

步骤203，待测终端确定计算出的多元高斯分布的概率密度函数值是否大于所述状态异常阈值，如果是，确定该待测终端处于正常状态；否则，确定该待测终端处于异常状态，并发出告警。

本申请实施例中获取的指标参数不限于上述给出的，可以根据实际需要获取不同的指标参数，特征向量也可以根据不同终端而改变计算方式和数量。

在具体实现时，还可以将待测终端的指标参数，或者确定的特征向量发送给处理设备确定该待测终端是否处于异常状态，再由该处理设备将确定结果发送给待测终端，待测终端根据确定结果进行适应性处理。

基于同样的发明构思，本申请实施例中还提出一种终端异常确定装置。参见图3，图3为本申请实施例中应用于实施例一中所述技术的装置结构示意图。该装置包括：接收单元301、处理单元302和发送单元303；

接收单元301，用于接收样本终端发送的指标参数；

处理单元302，用于当接收单元301接收到m个处于正常状态的样本终端和n个处于异常状态的样本终端发送的指标参数，使用同一个样本终端的相邻两组指标参数对应的值的变化量计算特征向量，并针对该特征向量值作标记，组成一个样本；其中，针对每个特征向量值作的标记为计算该特征向量值的指标参数所对应的样本终端所处的状态；计算每个样本的特征向量的多元高斯分布的概率密度函数值；并根据所有样本的特征向量的多元高斯分布的概率密度函数值，以及样本的标记值确定状态异常阈值；

发送单元303，用于将多元高斯分布的概率密度函数，以及处理单元302确定的状态异常阈值发送给待测终端，使该待测终端获取自身的指标参数计算特征向量，并计算该特征向量对应的多元高斯分布的概率密度函数值，根据该多元高斯分布的概率密度函数值和状态异常阈值确定本终端是否处于异常状态。

较佳地，所述指标参数包括：

cpu温度t1，电池温度t2，cpu负载l1，网络数据上行数据速率l2，网络数据下行数据速率l3，内存使用率l4，nand-flash每秒读写字节数n1，当前运行的进程数量n2。

较佳地，

处理单元302，具体用于根据每个样本终端相邻预设周期的状态参数对应的值的变化量确定特征向量时，针对任一样本终端，确定的特征向量为：x(x1,x2,x3)，其中，x1＝△l1/(△l2+△l3)，x2＝△l1/(△n1+△n2)，△l1＝l1b-l1a，△l2＝l2b-l2a，△l3＝l3b-l3a，△l4＝l4b-l4a，△t1＝t1b-t1a，△t2＝t2b-t2a，△n1＝n1b-n1a，△n2＝n2b-n2a；其中，在时刻t获取的指标参数包括：cpu温度t1a，电池温度t2a，cpu负载l1a，网络数据上行数据速率l2a，网络数据下行数据速率l3a，内存使用率l4a，nand-flash每秒读写字节数n1a，当前运行的进程数量n2a；在时刻t+t获取的指标参数包括：cpu温度t1b，电池温度t2b，cpu负载l1b，网络数据上行数据速率l2b，网络数据下行数据速率l3b，内存使用率l4b，nand-flash每秒读写字节数n1b，当前运行的进程数量n2b；其中，t为预设周期。

较佳地，

处理单元302，具体用于根据每个样本的特征向量的多元高斯分布概率密度函数值，以及该样本的标记值确定状态异常阈值时，将每个样本的特征向量的多元高斯分布概率密度函数值p，与候选状态异常值ε进行比较；当p大于ε，确定为正常状态；否则，确定为异常状态；将针对每个特征向量确定的状态，与该样本对应的标记值进行比较，计算查全率和查准率；将使f1达到最大值的候选状态异常值确定为状态异常阈值；其中，f1＝(查全率+查准率)/(查全率×查准率)。

较佳地，

通过m个样本终端获取的样本个数总和，与通过n个样本终端获取的样本个数总和的比值大于预设比值。

基于同样的发明构思，本申请实施例中还提出一种终端异常确定装置。参见图4，图4为本申请实施例中应用于实施例二中所述技术的装置结构示意图。该装置包括：存储单元401、获取单元402、计算单元403和处理单元404；

存储单元401，用于存储多元高斯分布的概率密度函数，以及状态异常阈值；

获取单元402，用于需要确定所处状态是否异常时，获取相邻预设周期的两组指标参数；

计算单元403，用于使用获取单元402获取的两组指标参数对应的值的变化量确定特征向量；并根据存储单元401存储的多元高斯分布的概率密度函数，计算确定的特征向量对应的多元高斯分布的概率密度函数值；

处理单元404，用于确定计算单元403计算出的多元高斯分布的概率密度函数值是否大于存储单元401存储的状态异常阈值，如果是，确定该待测终端处于正常状态；否则，确定该待测终端处于异常状态，并发出告警。

较佳地，

获取单元402，进一步用于每隔预设周期获取一组指标参数，存储最新获取的两组指标参数。

较佳地，

计算单元403，具体用于使用两组指标参数对应的值的变化量确定特征向量时，确定特征向量为：x(x1,x2,x3)，其中，x1＝△l1/(△l2+△l3)，x2＝△l1/(△n1+△n2)，△l1＝l1b-l1a，△l2＝l2b-l2a，△l3＝l3b-l3a，△l4＝l4b-l4a，△t1＝t1b-t1a，△t2＝t2b-t2a，△n1＝n1b-n1a，△n2＝n2b-n2a；其中，在时刻t获取的指标参数包括：cpu温度t1a，电池温度t2a，cpu负载l1a，网络数据上行数据速率l2a，网络数据下行数据速率l3a，内存使用率l4a，nand-flash每秒读写字节数n1a，当前运行的进程数量n2a；在时刻t+t获取的指标参数包括：cpu温度t1b，电池温度t2b，cpu负载l1b，网络数据上行数据速率l2b，网络数据下行数据速率l3b，内存使用率l4b，nand-flash每秒读写字节数n1b，当前运行的进程数量n2b；其中，t为预设周期。

上述实施例的单元可以集成于一体，也可以分离部署；可以合并为一个单元，也可以进一步拆分成多个子单元。

综上所述，本申请通过收集大量处于正常状态和异常状态的样本终端的指标参数，确定样本集；通过构建的样本集，以及多元高斯模型确定状态异常阈值，使用该状态异常阈值确定待测终端所处状态。能够准确、及时监测出终端的异常状态，发出告警，使用户及时进行处理。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。