一种异常检测方法及装置与流程

本发明涉及主机安全技术领域，特别是涉及一种异常检测方法及装置。

背景技术：

随着互联网技术的发展，网络已成为重要的生产工具，广泛应用于企业政府和工厂等场合，伴随着网络的广泛应用，主机安全形势日益严峻。

为提高主机的安全性，对主机进行安全监测，获取各设备对主机的各端口的扫描信息，将扫描信息与预设全局性阈值进行比较，一旦一设备的扫描信息超过预设全局性阈值，则该设备异常，向服务器进行告警。

上述预设全局性阈值为专家人员根据自身经验进行设定的，存在一定的偏差，使得告警不够准确。

技术实现要素：

本发明实施例的目的在于提供一种异常检测方法及装置，以提高告警的准确性。具体技术方案如下：

本发明实施例提供了一种异常检测方法，应用于主机监控设备，包括：

获取各主机的端口扫描日志；

确定所述端口扫描日志中的每一源互联网协议ip地址，在登录行为维度下的历史特征数据；

基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线；

当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据所述第一源ip地址的行为特征基线，对所述当前特征数据进行异常检测。

可选的，所述获取各主机的端口扫描日志的步骤，包括：

获取预设时长内的各主机的端口扫描日志；

所述确定所述端口扫描日志中的每一源ip地址，在登录行为维度下的历史特征数据的步骤，包括：

按照预设时间窗口，从所述端口扫描日志中，提取的每一源ip地址在登录行为维度下的历史特征数据。

可选的，所述基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线的步骤，包括：

针对每一源ip地址在所述预设时长内的历史特征数据，确定该源ip地址在各预设时间窗口内的历史特征数据的统计量，作为行为特征基线。

可选的，所述方法还包括：

确定所述端口扫描日志中的每一源ip地址对应的目的ip地址；

根据每一源ip地址对应的目的ip地址，生成每一源ip地址对应的常用目的ip地址列表，所述常用目的ip地址列表包括源ip地址对应的目的ip地址；

所述当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据所述第一源ip地址的行为特征基线，对所述当前特征数据进行异常检测的步骤，包括：

当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据所述第一源ip地址的行为特征基线，以所述第一源ip地址对应的常用目的ip地址列表，对所述第一源ip地址在登录行为维度下的当前特征数据进行异常检测。

可选的，所述根据所述第一源ip地址的行为特征基线，以及所述第一源ip地址对应的常用目的ip地址列表，对所述第一源ip地址在登录行为维度下的当前特征数据进行异常检测的步骤，包括：

确定所述第一源ip地址在登录行为维度下的当前特征数据与所述第一源ip地址的行为特征基线之间的偏离程度；

确定所述第一源ip地址的当前特征数据对应的目的ip地址是否在所述第一源ip地址对应的常用目的ip地址列表中，得到确定结果；

根据所述第一源ip地址的偏离程度，以及所述第一源ip地址的确定结果，确定所述第一源ip地址的异常程度；

根据所述第一源ip地址的异常程度，确定所述第一源ip地址是否异常。

可选的，所述常用目的ip地址列表包括常用的登陆成功的第一目的ip地址列表，以及常用的登陆失败的第二目标ip地址列表；

所述根据所述第一源ip地址的偏离程度，以及所述第一源ip地址的确定结果，确定所述第一源ip地址的异常程度的步骤，包括：

根据所述第一源ip地址的确定结果，利用以下公式，确定所述第一源ip地址的异常程度q：

q＝w1*p+α*w2*n1+β*w3*n2+γ*w4*n3

其中，p为所述偏离程度，w1为所述p的第一权重值，n1为所述第一目的ip地址列表中目的ip地址的数量，w2为所述n1的第二权重值，n2为所述第二目的ip地址列表中目标ip地址的数量，w3为所述n2的第三权重值，n3为所述第一源ip地址的当前特征数据中包含的目的ip地址的数量，w4为所述n3的第四权重值，α、β、γ为预设系数，若所述第一源ip地址在所述第一目的ip地址列表中，则α为1，β和γ为0；若所述第一源ip地址在所述第二目的ip地址列表中，则β为1，α和γ为0；若所述第一源ip地址不在所述常用目的ip地址列表中，则γ为1，α和β为0。

可选的，所述根据所述第一源ip地址的异常程度，确定所述第一源ip地址是否异常的步骤，包括：

判断所述第一源ip地址的异常程度是否小于第一异常阈值；

若是，则确定所述第一源ip地址为正常源ip地址；若否，则确定所述第一源ip地址为异常源ip地址。

可选的，若确定所述第一源ip地址为所述正常源ip地址，所述方法还包括：

判断所述第一源ip地址的异常程度是否小于第二异常阈值；

若所述异常程度不小于所述第二异常阈值，则重新获取所述第一源ip地址在登录行为维度下的当前特征数据，并根据所述第一源ip地址的行为特征基线，对重新获取的当前特征数据进行异常检测。

可选的，若确定所述第一源ip地址为所述异常源ip地址，所述方法还包括：

向服务器输出告警。

本发明实施例还提供了一种异常检测装置，应用于主机监控设备，包括：

获取模块，用于获取各主机的端口扫描日志；

第一确定模块，用于确定所述端口扫描日志中的每一源互联网协议ip地址，在登录行为维度下的历史特征数据；

第二确定模块，用于基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线；

检测模块，用于当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据所述第一源ip地址的行为特征基线，对所述当前特征数据进行异常检测。

可选的，所述获取模块，具体用于获取预设时长内的各主机的端口扫描日志；

所述第一确定模块，具体用于按照预设时间窗口，从所述端口扫描日志中，提取的每一源ip地址在登录行为维度下的历史特征数据。

可选的，所述第二确定模块，具体用于针对每一源ip地址在所述预设时长内的历史特征数据，确定该源ip地址在各预设时间窗口内的历史特征数据的统计量，作为行为特征基线。

可选的，所述装置还包括：

第三确定模块，用于确定所述端口扫描日志中的每一源ip地址对应的目的ip地址；

生成模块，用于根据每一源ip地址对应的目的ip地址，生成每一源ip地址对应的常用目的ip地址列表，所述常用目的ip地址列表包括源ip地址对应的目的ip地址；

所述检测模块，具体用于当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据所述第一源ip地址的行为特征基线，以所述第一源ip地址对应的常用目的ip地址列表，对所述第一源ip地址在登录行为维度下的当前特征数据进行异常检测。

可选的，所述检测模块，包括：

第一确定子模块，用于确定所述第一源ip地址在登录行为维度下的当前特征数据与所述第一源ip地址的行为特征基线之间的偏离程度；

第二确定子模块，用于确定所述第一源ip地址的当前特征数据对应的目的ip地址是否在所述第一源ip地址对应的常用目的ip地址列表中，得到确定结果；

第三确定子模块，用于根据所述第一源ip地址的偏离程度，以及所述第一源ip地址的确定结果，确定所述第一源ip地址的异常程度；

第四确定子模块，用于根据所述第一源ip地址的异常程度，确定所述第一源ip地址是否异常。

可选的，所述常用目的ip地址列表包括常用的登陆成功的第一目的ip地址列表，以及常用的登陆失败的第二目标ip地址列表；

所述第一确定子模块，具体用于根据所述第一源ip地址的确定结果，利用以下公式，确定所述第一源ip地址的异常程度q：

q＝w1*p+α*w2*n1+β*w3*n2+γ*w4*n3

其中，p为所述偏离程度，w1为所述p的第一权重值，n1为所述第一目的ip地址列表中目的ip地址的数量，w2为所述n1的第二权重值，n2为所述第二目的ip地址列表中目标ip地址的数量，w3为所述n2的第三权重值，n3为所述第一源ip地址的当前特征数据中包含的目的ip地址的数量，w4为所述n3的第四权重值，α、β、γ为预设系数，若所述第一源ip地址在所述第一目的ip地址列表中，则α为1，β和γ为0；若所述第一源ip地址在所述第二目的ip地址列表中，则β为1，α和γ为0；若所述第一源ip地址不在所述常用目的ip地址列表中，则γ为1，α和β为0。

可选的，所述第四确定子模块，具体用于判断所述第一源ip地址的异常程度是否小于第一异常阈值；若是，则确定所述第一源ip地址为正常源ip地址；若否，则确定所述第一源ip地址为异常源ip地址。

可选的，所述装置还包括：

判断模块，用于在确定所述第一源ip地址为正常源ip地址时，判断所述第一源ip地址的异常程度是否小于第二异常阈值。

重新检测模块，用于在所述判断模块确定所述异常程度不小于所述第二异常阈值时，重新获取所述第一源ip地址在登录行为维度下的当前特征数据，并根据所述第一源ip地址的行为特征基线，对重新获取的当前特征数据进行异常检测。

可选的，所述装置还包括：

告警模块，用于在确定所述第一源ip地址为异常源ip地址时，向服务器输出告警。

本发明实施例还提供了一种电子设备，所述电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现权利要求1-9任一所述的方法步骤。

本发明实施还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一异常检测方法的步骤。

本发明实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一异常检测方法。

本发明实施例提供的一种异常检测方法及装置中，可以获取各主机的端口扫描日志，确定端口扫描日志中的每一源ip地址，在登录行为维度下的历史特征数据，基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线，当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据第一源ip地址的行为特征基线，对当前特征数据进行异常检测。通过本发明实施例提供的技术方案中，可以根据源ip地址在登录行为维度下的历史特征数据确定行为特征基线，进而依据该行为特征基线对源ip地址的进行异常检测，使得主机监控设备可以根据异常检测结果向服务器进行告警，避免了用户主观因素的影响，提高了告警的准确性。

当然，实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为主机监控设备对主机进行监控的一种结构示意图；

图2为本发明实施例提供的异常检测方法的第一种流程示意图；

图3为本发明实施例提供的异常检测方法的第二种流程示意图；

图4为本发明实施例提供的异常检测装置的一种结构示意图；

图5为本发明实施例提供的电子设备的一种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行描述。

如图1所示，终端101和终端102为用户登录服务所用的设备，包括但不限于手机、电脑等设备。主机103和主机104为服务器的主机。主机监控105用于对主机103和主机104进行安全监测。例如，终端101非法入侵主机103，主机监控105可以对主机103次数进行监测，确定终端101对主机103的访问次数。若正常情况下的设备对主机访问次数为数据1，即全局性阈值为数据1，现监测到终端101对主机103的访问次数为数据2。当数据2大于数据1时，主机监控105认为终端101为非法设备，可以向服务器输出告警。由于数据1为专家人员根据自身经验设定全局性阈值，使得主机监控105的安全监测结果可能存在一定的偏差，影响告警的准确性。

为了解决告警不够准确的问题，本发明实施例提供了一种异常检测方法。该方法应用于主机监控设备。本发明实施例提供的方法，可以获取各主机的端口扫描日志，确定端口扫描日志中的每一源ip地址，在登录行为维度下的历史特征数据，基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线，当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据第一源ip地址的行为特征基线，对当前特征数据进行异常检测。

通过本发明实施例提供的方法，可以根据源ip地址在登录行为维度下的历史特征数据确定行为特征基线，进而依据该行为特征基线对源ip地址的进行异常检测，使得主机监控设备可以根据异常检测结果向服务器进行告警，避免了用户主观因素的影响，提高了告警的准确性。

下面通过具体的实施例，对本发明实施例进行说明。

如图2所示，图2为本发明实施例提供的异常检测方法的第一种流程示意图。该方法包括以下步骤。

步骤s201，获取各主机的端口扫描日志。

在本步骤中，主机监控设备可以通过消息管道，如kafka(卡夫卡)，实时接收各个主机的端口扫描日志。在该端口扫描日志中包含的信息有：用户端设备的ip地址(也可以称为源ip地址)，各主机的ip地址(也可以称为目的ip地址)，登录端口以及登录状态等信息。其中，登录状态至少可以包括登录成功、登录失败、密钥失效等状态。登录端口为用户端设备登录主机的端口。

步骤s202，确定端口扫描日志中的每一源ip地址，在登录行为维度下的历史特征数据。

在本步骤中，主机监控设备根据上述端口扫描日志中包含的不同维度的信息，可以针对端口扫描日志中的每一源ip地址，确定该源ip地址在登录行为维度下的历史特征数据。

一个实施例中，上述登录行为维度可以包括登录频次维度、登录端口维度、登录目的ip维度、登录成功率维度、登录失败率维度以及登录状态维度等中的一个种或多种。主机监控设备根据上述端口扫描信息中包含的信息，可以确定历史特征数据至少包括登录频次维度、登录端口维度、登录目的ip维度、登录成功率维度、登录失败率维度以及登录状态维度的特征数据。

步骤s203，基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线。

在本步骤中，根据每一源ip地址的历史特征数据，可以对该历史特征数据进行特征提取，得到每一源ip地址的行为特征基线。

一个实施例中，登录行为维度有多个。针对上述历史特征数据中每一登录行为维度的特征数据，可以对该登录行为维度的特征数据进行特征提取，得到该登录行为维度的行为特征基线。

步骤s204，当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据第一源ip地址的行为特征基线，对当前特征数据进行异常检测。

在本步骤中，当获取到第一源ip地址在登录行为维度下的当前特征数据时，主机监控设备可以根据第一源ip地址的当前特征数据，以及第一源ip地址的行为特征基线，对第一源ip地址的当前特征数据进行异常检测。第一源ip地址可以上述多个源ip地址中的任一源ip地址。

上述当前特征数据至少包括登录频次维度、登录端口维度、登录目的ip维度、登录成功率维度、登录失败率维度以及登录状态维度的特征数据。具体的，可以根据当前时间，从上述端口扫描日志中获取第一源ip地址在登录行为维度下的当前特征数据。关于当前特征数据的提取方法，可以参考上述历史特征参数的提取方法，在此不作具体说明了。

一个实施例中，上述对第一源ip地址的当前特征数据进行异常检测时，可以计算当前特征数据中每一登录行为维度的特征数据与每一登录行为维度的行为特征基线之间的偏离程度，并根据该偏离程度，确定第一源ip地址的当前特征数据是否异常，完成对当前特征数据的异常检测。

在本发明的一个实施例中，针对第一源ip地址，可以利用以下公式，计算当前特征数据中每一登录行为维度的特征数据与每一登录行为维度的行为特征基线之间的偏离程度p。

其中，n为上述登录行为维度的维度数，i为第i个登录行为维度，xi为第一源ip地址的当前特征数据中的第i个登录行为维度的特征数据，yi为第一源ip地址的第i个登录行为维度的行为特征基线。

上述偏离程度的计算采用的是余弦相似度算法。除此以外，还可以采用其他方法进行计算。如皮尔森相关系数等。在本发明实施例中对上述偏离程度的计算方法不作具体限定。

一个可选的实施例中，上述步骤s201，获取各主机的端口扫描日志，可以获取预设时长内的各主机的端口扫描日志。

以预设时长为两周为例进行说明。主机监控设备可以通过上述kafka实时接收各主机的端口扫描日志，并对接收到端口扫描日志进行存储。在确定对第一源ip地址进行异常检测之前，可以从存储的端口扫描日志中扫描时间在两周时间内的端口扫描日志。

上述预设时长可以根据实际应用场景以及用户需求进行设定。在本发明实施例中，对上述预设时长不作具体限定。

根据上述预设时长内的各端口的扫描日志，在确定上述历史特征数据时，可以按照预设时间窗口，从该端口扫描日志中提取的每一源ip地址在登录行为维度下的历史特征数据。其中，预设时间窗口小于上述预设时长。

以上述登录频次维度为例进行说明。预设时长为2小时，预设时间窗口为30分钟。现需要对一源ip地址进行异常检测，若当前时间为13:00，则主机监控设备可以获取每一源ip地址在10:00-12:00期间的端口扫描日志。并以30分钟的时间间隔，统计每一时间段对应端口扫描日志中的该源ip地址的登录频次维度下的特征数据，可以得到该源ip地址在10:00-10:30、10:30-11:00、11:00-11:30以及11:30-12:00期间的登录频次。

在本发明实施例中，按照预设时间窗口对预设时长内的端口扫描日志进行特征提取，相比直接对提取预设时长内的特征数据，可以体现出不同时间段源ip地址在登录行为维度下的特征数据变化情况，提高了历史特征数据以及根据历史特征数据确定的行为特征基线的准确性，进而提高了异常检测的准确性。

一个可选的实施例中，上述步骤s203中，行为特征基线的确定可以为：针对每一源ip地址在预设时长内的历史特征数据，确定该源ip地址在各预设时间窗口内的历史特征数据的统计量，作为行为特征基线。本申请实施例中，每一登录行为维度的行为特征基线均可以采用上述方式确定。

上述统计量至少可以包括均值、方差、中位数、最大值以及最小值中的一种和多种。例如，统计量包括均值，预设时长为2小时，预设时间窗口为30分钟。以登录频次维度为例进行说明，若当前时间为13:00，则针对源ip地址1，主机监控设备可以获取每一源ip地址在10:00-12:00期间的端口扫描日志，得到源ip地址1在10:00-10:30的登录频次1、10:30-11:00的登录频次2、11:00-11:30的登录频次3、以及11:30-12:00的登录频次4。针对登录频次维度，主机监控设备可确定登录频次维度的行为特征基线为：(登录频次1+登录频次2+登录频次3+登录频次4)/4。

另外，针对上述历史特征数据中每一登录行为维度的特征数据，不同登录行为维度的特征数据的统计量可以是不一样的。例如，上述登录频次维度的特征数据的统计量可以是均值。上述登录成功率维度的统计量可以为最大值。

在本发明的一个实施例中，行为特征基线也可以是上述统计量经过一定处理后的数据。例如，若上述统计量包括均值和方差，可以利用高斯分布对统计量进行处理，将得到结果作为行为特征基线。也就是，根据方差和均值，利用高斯分布确定一概率密度值，并将该概率密度值作为行为特征基线。

一个实施例中，上述当前特征数据至少可以根据一个预设时间窗口对应历史特征数据确定。例如，上述预设时长为2小时，预设时间窗口为5分钟。若当前时间为12:00，则上述当前特征数据可以为11:40-12:00期间的4个时间窗口对应特征数据。上述当前特征数据也可以为11:55-12:00期间的特征数据。

一个可选的实施例中，如图3所示，图3为本发明实施例提供的异常检测方法的第二种流程示意图。该方法可以包括以下步骤。

步骤s301，获取各主机的端口扫描日志。

步骤s302，确定端口扫描日志中的每一源ip地址，在登录行为维度下的历史特征数据。

步骤s303，基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线。

上述步骤s301-s303与上述步骤s301-s203相同。

步骤s304，确定端口扫描日志中的每一源ip地址对应的目的ip地址。

在本步骤中，可以根据上述端口扫描日志，确定每一源ip地址对应的目的ip地址。一源ip地址对应的目的ip地址，即为该目的ip地址与该源ip地址唯一同一条端口扫描日志记录中。

步骤s305，根据每一源ip地址对应的目的ip地址，生成每一源ip地址对应的常用目的ip地址列表。其中，常用目的ip地址列表包括源ip地址对应的目的ip地址。

在本步骤中，根据每一源ip地址对应的目标ip地址，从选取处每一源ip地址对应的目的ip地址，并生成常用目的ip地址列表。

一个实施例中，针对每一源ip地址，可以确定该源ip地址对应的每一目的ip地址的登录频次，选取登录频次大于预设频次的目的ip地址，作为该源ip地址对应的常用目的ip地址，进而生成该源ip地址对应的常用目的ip地址列表。

另一个实施例中，针对每一源ip地址，可以根据该源ip地址对应的每一目的ip地址的登录频次、登录成功率以及登录失败率，确定该源ip地址对应的常用目的ip列表。具体的，上述常用目的ip地址列表可以包括常用的登陆成功的第一目的ip地址列表，以及常用的登陆失败的第二目标ip地址列表。其中，第一目的ip地址列表中包含登录成功率大于第一阈值的目的ip地址。例如，登录成功率大于90％的目的ip地址。第二目的ip地址列表中包含登录失败率大于第二阈值的目标ip地址。例如，登录失败率大于90％的目标ip地址。

在本发明实施例中，上述第一阈值和第二阈值可以根据实际情况进行设定。另外，在上述常用目的ip地址列表中处理可以包括目的ip地址以外，还可以包括该目的ip地址对应的登录次数、登录成功率、登录失败率等。

步骤s306，当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据第一源ip地址的行为特征基线，以第一源ip地址对应的常用目的ip地址列表，对第一源ip地址在登录行为维度下的当前特征数据进行异常检测。

在本步骤中，当获取到第一源ip地址在登录行为维度下的当前特征数据时，主机监控设备可以根据第一源ip地址的行为特征基线，以及第一源ip地址的常用ip地址列表，对第一源ip地址在登录维度下的当前特征数据进行异常检测。

一个可选的实施例中，上述步骤s306中，对第一源ip地址的异常检测可以包括以下步骤。

步骤s3061，确定第一源ip地址在登录行为维度下的当前特征数据与第一源ip地址的行为特征基线之间的偏离程度。

在本步骤中，获取第一源ip地址在登录行为维度下的当前特征数据，根据第一源ip地址的行为特征基线，计算当前特征数据与行为特征基线之间的偏离程度。具体计算方法可以参考上述步骤s204中的偏离程度的计算方法，在此不作说明了。

步骤s3062，确定第一源ip地址的当前特征数据对应的目的ip地址是否在第一源ip地址对应的常用目的ip地址列表中，得到确定结果。

在本步骤中，可以将第一源ip地址的当前特征数据中的目标ip地址与第一源ip地址对应的常用目的ip地址列表中的目的ip地址进行匹配。确定常用目的ip列表中是否包含第一源ip地址的当前特征数据对应的目的ip地址，得到确定结果。

步骤s3063，根据第一源ip地址的偏离程度，以及第一源ip地址的确定结果，确定第一源ip地址的异常程度。

在本步骤中，可以对第一源ip地址的偏离程度，以及第一源ip地址的确定结果进行加权计算，将计算得到的值作为异常程度。

步骤s3064，根据第一源ip地址的异常程度，确定第一源ip地址是否异常。

在本步骤中，可以将第一源ip地址的异常程度与预设异常阈值进行比较，确定第一源ip地址是否异常。其中，预设异常阈值可以包括第一异常阈值。

在本发明实施例中，在异常检测过程中，利用源ip地址在登录行为维度下的历史特征数据确定行为特征基线和常用目的ip列表，进而依据该行为特征基线以及常用目的ip地址列表对该源ip地址进行异常检测，使得主机监控设备可以根据异常检测结果向服务器进行告警，避免了用户主观因素的影响，提高了告警的准确性。

一个可选的实施例中，上述常用目的ip地址列表可以包括常用的登陆成功的第一目的ip地址列表，以及常用的登陆失败的第二目标ip地址列表。

根据第一源ip地址的确定结果，可以利用以下公式，确定第一源ip地址的异常程度q：

q＝w1*p+α*w2*n1+β*w3*n2+γ*w4*n3

其中，p为偏离程度，w1为p的第一权重值，n1为第一目的ip地址列表中目的ip地址的数量，w2为n1的第二权重值，n2为第二目的ip地址列表中目标ip地址的数量，w3为n2的第三权重值，n3为第一源ip地址的当前特征数据中包含的目的ip地址的数量，w4为n3的第四权重值，α、β、γ为预设系数。

针对上述异常程度q的计算公式。至少可以包括以下情况。

情况一，上述第一源ip地址的目标ip地址在上述第一目的ip地址列表中，则上述异常程度q的计算公式中的α为1，β和γ为0。此时，第一源ip地址的异常程度q1可以表示为：

q1＝w1*p+w2*n1。

情况二，上述第一源ip地址的目标ip地址在上述第二目标ip地址列表中，则上述异常程度q的计算公式中的β为1，α和γ为0。此时，第一源ip地址的异常程度q2可以表示为：

q2＝w1p*+w3*n2。

情况三，上述第一源ip地址的目标ip地址不在上述第一目的ip地址列表中，也不在上述第二目的ip地址列表中，则上述异常程度q的计算公式中的γ为1，α和β为0。此时，第一源ip地址的异常程度q3可以表示为：

q3＝w1*p+w4*n3。

以上述偏离程度为0.8，第一权重值w1为60，第一目的ip地址列表和第二目的ip地址列表中目的ip地址的数量为5，第二权重值和第三权重值为10进行举例说明。

针对上述情况一和情况二，第一源ip地址的异常程度可以表示为：60*0.8+5*10＝98。

针对上述情况三，若第一源ip地址的当前特征数据中包含的目的ip地址的数量3，且第四权重值为20，则第一源ip地址的异常程度可以表示为：60*0.8+20*3＝108。

在本发明实施例中，上述权重值可以根据偏离程度、目的ip地址的数据等进行设定。每一权重值的大小可以相同，也可以不相同。对上述权重值不作具体限定。

在本发明实施例中，通过行为特征基线和常用目的ip地址列表这两个维度，对源ip地址的当前特征数据进行异常检测，提高了异常检测的准确度，进而提高了根据异常检测结果进行告警的准确度。

一个可选的实施例中，根据第一源ip地址的异常程度，可以判断该异常程度是否小于第一异常阈值。若第一源ip地址的异常程度小于第一异常阈值，则可以确定第一源ip地址为正常源ip地址。若第一源ip地址的异常程度大于或等于第一异常阈值，则可以确定第一源ip地址为异常源ip地址。

在本发明实施例中，上述异常源ip地址可以为异常的源ip地址，也可以为正常的源ip地址被用于非法入侵的源ip地址。

一个可选的实施例中，若确定第一源ip地址为异常源ip地址，则主机监控设备可以向服务器输出告警。

一个实施例中，当确定第一源ip地址为异常源ip地址时，则主机监控设备可以将异常检测结果发送给主机，由主机向服务器发送告警消息。

另一个实施例中，当确定第一源ip地址为异常源ip地址时，则主机监控设备可以根据异常检测结果直接向服务器发送告警消息。

一个可选的实施例中，若确定第一源ip地址为正常源ip地址，则主机监控设备可以判断第一源ip地址的异常程度是否小于第二异常阈值。根据判断结果，确定是否对第一源ip地址重新进行异常检测。

一个实施例中，若第一源ip地址的异常程度不小于第二异常阈值，则可以重新获取第一源ip地址在登录行为维度下的当前特征数据，并根据第一源ip地址的行为特征基线，对重新获取的当前特征数据进行异常检测。若第一源ip地址的异常程度小于第二异常阈值，则确定可以不对第一源ip地址进行异常检测。

以第一异常阈值为50，第二异常阈值为20为例进行说明。可以包括以下三种情况。

情况一，若第一源ip地址的异常程度在0至19之间，则主机监控设备可以确定第一源ip地址为低危源ip地址。此时，主机监控设备可以不向服务器输出告警，也可以不对第一源ip地址进行异常检测。

情况二，若第一源ip地址的异常程度在20至49之间，则主机监控设备可以确定第一源ip地址为中危源ip地址。此时，主机监控设备可以不向服务器输出告警，但需要重新对第一源ip地址进行异常检测。

情况三，若第一源ip地址的异常程度大于50，则主机监控设备可以确定第一源ip地址为高危源ip地址。此时，主机监控设备需要向服务器输出告警。

在本发明实施例中，根据第一源ip地址的异常程度，可以将第一源ip地址划分为不同的危险等级。并可以按照不同的危险等级，采取不同的处理方式，降低了向服务器输出告警的频次，提高了告警的准确性。

在实际过程中，由于正常的源ip地址可能被用于非法登录，因此，针对上述第一源ip地址的异常程度小于第二异常阈值的情况，虽然在当前时间可以对第一源ip地址不进行异常检测，但是在一定时间后，仍旧需要对第一源ip地址重新进行异常检测。

综上所述，通过本发明实施例提供的方法，可以根据源ip地址在登录行为维度下的历史特征数据确定行为特征基线，进而依据该行为特征基线对源ip地址的进行异常检测，使得主机监控设备可以根据异常检测结果向服务器进行告警，避免了用户主观因素的影响，提高了告警的准确性。

基于同一种发明构思，根据上述本发明实施例提供的一种异常检测方法，本发明实施例还提供了一种异常检测装置。如图4所示，图4为本发明实施例提供的异常检测装置的一种结构示意图。可以包括以下模块。

获取模块401，用于获取各主机的端口扫描日志。

第一确定模块402，用于确定端口扫描日志中的每一源ip地址，在登录行为维度下的历史特征数据。

第二确定模块403，用于基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线。

检测模块404，用于当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据第一源ip地址的行为特征基线，对当前特征数据进行异常检测。

可选的，上述获取模块401，具体可以用于获取预设时长内的各主机的端口扫描日志。

上述第一确定模块402，具体可以用于按照预设时间窗口，从端口扫描日志中，提取的每一源ip地址在登录行为维度下的历史特征数据。

可选的，上述第二确定模块403，具体可以用于针对每一源ip地址在预设时长内的历史特征数据，确定该源ip地址在各预设时间窗口内的历史特征数据的统计量，作为行为特征基线。

可选的，上述异常检测装置还可以包括：

第三确定模块，用于确定端口扫描日志中的每一源ip地址对应的目的ip地址。

生成模块，用于根据每一源ip地址对应的目的ip地址，生成每一源ip地址对应的常用目的ip地址列表，常用目的ip地址列表包括源ip地址对应的目的ip地址。

上述检测模块404，具体可以用于当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据第一源ip地址的行为特征基线，以第一源ip地址对应的常用目的ip地址列表，对第一源ip地址在登录行为维度下的当前特征数据进行异常检测。

可选的，上述检测模块404，可以包括：

第一确定子模块，用于确定第一源ip地址在登录行为维度下的当前特征数据与第一源ip地址的行为特征基线之间的偏离程度。

第二确定子模块，用于确定第一源ip地址的当前特征数据对应的目的ip地址是否在第一源ip地址对应的常用目的ip地址列表中，得到确定结果。

第三确定子模块，用于根据第一源ip地址的偏离程度，以及第一源ip地址的确定结果，确定第一源ip地址的异常程度。

第四确定子模块，用于根据第一源ip地址的异常程度，确定第一源ip地址是否异常。

可选的，上述常用目的ip地址列表可以包括常用的登陆成功的第一目的ip地址列表，以及常用的登陆失败的第二目标ip地址列表。

上述第一确定子模块，具体可以用于根据第一源ip地址的确定结果，利用以下公式，确定第一源ip地址的异常程度q：

q＝w1*p+α*w2*n1+β*w3*n2+γ*w4*n3

其中，p为偏离程度，w1为p的第一权重值，n1为第一目的ip地址列表中目的ip地址的数量，w2为n1的第二权重值，n2为第二目的ip地址列表中目标ip地址的数量，w3为n2的第三权重值，n3为第一源ip地址的当前特征数据中包含的目的ip地址的数量，w4为n3的第四权重值，α、β、γ为预设系数，若第一源ip地址在第一目的ip地址列表中，则α为1，β和γ为0；若第一源ip地址在第二目的ip地址列表中，则β为1，α和γ为0；若第一源ip地址不在常用目的ip地址列表中，则γ为1，α和β为0。

可选的，第四确定子模块，具体可以用于判断第一源ip地址的异常程度是否小于第一异常阈值；若是，则确定第一源ip地址为正常源ip地址。若否，则确定第一源ip地址为异常源ip地址。

可选的，上述异常检测模块装置还可以包括：

判断模块，用于在确定所述第一源ip地址为正常源ip地址时，判断第一源ip地址的异常程度是否小于第二异常阈值。

重新检测模块，用于在判断模块确定异常程度不小于第二异常阈值时，重新获取第一源ip地址在登录行为维度下的当前特征数据，并根据第一源ip地址的行为特征基线，对重新获取的当前特征数据进行异常检测。

可选的，上述异常检测装置还可以包括：

告警模块，用于在确定所述第一源ip地址为异常源ip地址时，向服务器输出告警。

通过本发明实施例提供的装置，可以根据源ip地址在登录行为维度下的历史特征数据确定行为特征基线，进而依据该行为特征基线对源ip地址的进行异常检测，使得主机监控设备可以根据异常检测结果向服务器进行告警，避免了用户主观因素的影响，提高了告警的准确性。

基于同一种发明构思，根据上述本发明实施例提供的一种异常检测方法，本发明实施例还提供了一种电子设备，如图5所示，包括处理器501、通信接口502、存储器503和通信总线504，其中，处理器501，通信接口502，存储器503通过通信总线504完成相互间的通信；

存储器503，用于存放计算机程序；

处理器501，用于执行存储器503上所存放的程序时，实现如下步骤：

获取各主机的端口扫描日志；

确定端口扫描日志中的每一源ip地址，在登录行为维度下的历史特征数据；

基于每一源ip地址的历史特征数据，确定每一源ip地址的行为特征基线；

当获取到第一源ip地址在登录行为维度下的当前特征数据时，根据第一源ip地址的行为特征基线，对当前特征数据进行异常检测。

通过本发明实施例提供的电子设备，可以根据源ip地址在登录行为维度下的历史特征数据确定行为特征基线，进而依据该行为特征基线对源ip地址的进行异常检测，使得主机监控设备可以根据异常检测结果向服务器进行告警，避免了用户主观因素的影响，提高了告警的准确性。

上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

基于同一种发明构思，根据上述本发明实施例提供的一种异常检测方法，本发明实施例还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任异常检测方法的步骤。

基于同一种发明构思，根据上述本发明实施例提供的一种异常检测方法，本发明实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一异常检测方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、计算机可读存储介质及计算机程序产品等实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。