异常数据的识别方法、装置、计算设备以及介质与流程

本公开涉及计算机技术领域，更具体地，涉及一种异常数据的识别方法、一种异常数据的识别装置、一种计算设备以及一种计算机可读存储介质。

背景技术：

目前常见的木马检测软件，大部分都是基于程序特征码的检测技术来识别木马程序。安全分析人员通过收集恶意样本并对其主机行为进行分析，以提取其样本特征。并通过特征库升级的方式实现检测软件对木马的检测和防护。由于木马变异较快，传播和攻击方式也更加多样化。特别是远控类木马尤为突出，因其具有更强隐蔽性和持久性，使得对于恶意程序样本的发现和主机行为分析效率降低。

因此，如何从海量的数据中快速获取恶意数据，以对其进行分析成为亟需解决的问题。

技术实现要素：

有鉴于此，本公开提供了一种优化的异常数据的识别方法、异常数据的识别装置、计算设备和计算机可读存储介质。

本公开的一个方面提供了一种异常数据的识别方法，包括：获取目标数据，其中，所述目标数据包括第一设备与第二设备进行数据交互时所产生的数据，确定所述目标数据中是否包括目标周期信息，其中，所述目标周期信息用于表征所述第一设备与所述第二设备进行周期性的异常数据交互，响应于确定所述目标数据中包括目标周期信息，确定所述第一设备与所述第二设备之间的数据交互为异常交互。

根据本公开实施例，上述方法还包括：响应于确定所述第一设备与所述第二设备之间的数据交互为异常交互，分别确定所述第一设备的地址数据和所述第二设备的地址数据，获取待识别数据，所述待识别数据包括多个设备进行数据交互时所产生的数据，所述多个设备至少包括所述第一设备和所述第二设备，基于所述第一设备的地址数据和所述第二设备的地址数据，确定所述待识别数据中的异常数据，其中，所述异常数据包括所述待识别数据中关于所述第一设备与所述第二设备之间的交互数据。

根据本公开实施例，上述确定所述目标数据中是否包括目标周期信息包括：处理所述目标数据，得到所述目标数据中的多个初始周期信息，确定所述多个初始周期信息中每个初始周期信息的权重，得到与所述多个初始周期信息一一对应的多个权重，确定所述多个权重中是否包括满足预设条件的至少一个权重，响应于确定所述多个权重中包括满足预设条件的至少一个权重，确定所述目标数据中包括所述目标周期信息，其中，与所述至少一个权重对应的至少一个初始周期信息为所述目标周期信息。

根据本公开实施例，上述目标数据包括时域数据。其中，所述处理所述目标数据，得到所述目标数据中的多个初始周期信息包括：利用傅里叶变换算法处理所述目标数据，得到频域数据，基于所述频域数据确定所述目标数据中的所述多个初始周期信息。

根据本公开实施例，上述确定所述多个初始周期信息中每个初始周期信息的权重包括：确定与所述多个初始周期信息对应的多个周期曲线，分别确定所述目标数据与所述多个周期曲线的匹配程度，其中，所述目标数据包括多个离散数据，所述匹配程度表征所述多个离散数据与所述周期曲线之间的距离，基于所述匹配程度，确定所述多个初始周期信息中每个初始周期信息的权重。

根据本公开实施例，上述处理所述目标数据，得到所述目标数据中的多个初始周期信息包括：确定所述目标数据中的时间信息，其中，所述时间信息包括所述第一设备与所述第二设备进行数据交互时产生所述目标数据的时间范围，基于所述时间信息确定时间粒度，基于所述时间粒度，对所述目标数据进行压缩处理，基于压缩处理后的目标数据，得到所述多个初始周期信息。

根据本公开实施例，上述第一设备和所述第二设备作为一组设备，所述地址数据包括多组设备的地址数据。其中，所述基于所述地址数据，确定所述待识别数据中的异常数据包括：分别处理所述多组设备的地址数据，得到与所述多组设备的地址数据对应的多组特征值，处理所述多组特征值，得到目标特征值，处理所述待识别数据中的多个待识别地址数据，得到多个待识别特征值，利用所述目标特征值对所述多个待识别特征值进行过滤处理，得到与所述目标特征值相匹配的至少一个待识别特征值，确定所述待识别数据中与所述至少一个待识别特征值对应的数据作为所述异常数据。

根据本公开实施例，上述方法还包括：获取初始数据，获取白名单数据，其中，所述白名单数据中包括多个安全设备的地址数据，基于所述白名单数据过滤所述初始数据，得到所述目标数据，使得所述目标数据不包括所述多个安全设备的交互数据。

本公开的另一个方面提供了一种异常数据的识别装置，包括：第一获取模块、第一确定模块以及第二确定模块。其中，第一获取模块，获取目标数据，其中，所述目标数据包括第一设备与第二设备进行数据交互时所产生的数据。第一确定模块，确定所述目标数据中是否包括目标周期信息，其中，所述目标周期信息用于表征所述第一设备与所述第二设备进行周期性的异常数据交互。第二确定模块，响应于确定所述目标数据中包括目标周期信息，确定所述第一设备与所述第二设备之间的数据交互为异常交互。

根据本公开实施例，上述装置还包括：第三确定模块、第四获取模块以及第四确定模块。其中，第三确定模块，响应于确定所述第一设备与所述第二设备之间的数据交互为异常交互，分别确定所述第一设备的地址数据和所述第二设备的地址数据。第四获取模块，获取待识别数据，所述待识别数据包括多个设备进行数据交互时所产生的数据，所述多个设备至少包括所述第一设备和所述第二设备。第四确定模块，基于所述第一设备的地址数据和所述第二设备的地址数据，确定所述待识别数据中的异常数据，其中，所述异常数据包括所述待识别数据中关于所述第一设备与所述第二设备之间的交互数据。

根据本公开实施例，上述确定所述目标数据中是否包括目标周期信息包括：处理所述目标数据，得到所述目标数据中的多个初始周期信息，确定所述多个初始周期信息中每个初始周期信息的权重，得到与所述多个初始周期信息一一对应的多个权重，确定所述多个权重中是否包括满足预设条件的至少一个权重，响应于确定所述多个权重中包括满足预设条件的至少一个权重，确定所述目标数据中包括所述目标周期信息，其中，与所述至少一个权重对应的至少一个初始周期信息为所述目标周期信息。

根据本公开实施例，上述目标数据包括时域数据。其中，所述处理所述目标数据，得到所述目标数据中的多个初始周期信息包括：利用傅里叶变换算法处理所述目标数据，得到频域数据，基于所述频域数据确定所述目标数据中的所述多个初始周期信息。

根据本公开实施例，上述确定所述多个初始周期信息中每个初始周期信息的权重包括：确定与所述多个初始周期信息对应的多个周期曲线，分别确定所述目标数据与所述多个周期曲线的匹配程度，其中，所述目标数据包括多个离散数据，所述匹配程度表征所述多个离散数据与所述周期曲线之间的距离，基于所述匹配程度，确定所述多个初始周期信息中每个初始周期信息的权重。

根据本公开实施例，上述处理所述目标数据，得到所述目标数据中的多个初始周期信息包括：确定所述目标数据中的时间信息，其中，所述时间信息包括所述第一设备与所述第二设备进行数据交互时产生所述目标数据的时间范围，基于所述时间信息确定时间粒度，基于所述时间粒度，对所述目标数据进行压缩处理，基于压缩处理后的目标数据，得到所述多个初始周期信息。

根据本公开实施例，上述第一设备和所述第二设备作为一组设备，所述地址数据包括多组设备的地址数据。其中，所述基于所述地址数据，确定所述待识别数据中的异常数据包括：分别处理所述多组设备的地址数据，得到与所述多组设备的地址数据对应的多组特征值，处理所述多组特征值，得到目标特征值，处理所述待识别数据中的多个待识别地址数据，得到多个待识别特征值，利用所述目标特征值对所述多个待识别特征值进行过滤处理，得到与所述目标特征值相匹配的至少一个待识别特征值，确定所述待识别数据中与所述至少一个待识别特征值对应的数据作为所述异常数据。

根据本公开实施例，上述装置还包括：第二获取模块、第三获取模块以及过滤模块。其中，第二获取模块，获取初始数据。第三获取模块，获取白名单数据，其中，所述白名单数据中包括多个安全设备的地址数据。过滤模块，基于所述白名单数据过滤所述初始数据，得到所述目标数据，使得所述目标数据不包括所述多个安全设备的交互数据。

本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

本公开的另一方面提供了一种计算机程序产品，包括计算机可读指令，其中，所述计算机可读指令被执行时用于实现如上所述的方法。

根据本公开的实施例，可以至少部分地解决相关技术中木马检测效率低的问题，并因此可以实现提高危险信息的检测效率的技术效果。

附图说明

通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：

图1示意性示出了根据本公开实施例的异常数据的识别方法和异常数据的识别装置的应用场景；

图2示意性示出了根据本公开实施例的异常数据的识别方法的流程图；

图3示意性示出了根据本公开另一实施例的异常数据的识别方法的流程图；

图4示意性示出了根据本公开实施例的周期曲线的示意图；

图5示意性示出了根据本公开实施例的异常数据的识别装置的框图；

图6示意性示出了根据本公开另一实施例的异常数据的识别装置的框图；以及

图7示意性示出了根据本公开实施例的适于异常数据的识别的计算机系统的方框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“a、b和c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b和c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。在使用类似于“a、b或c等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有a、b或c中至少一个的系统”应包括但不限于单独具有a、单独具有b、单独具有c、具有a和b、具有a和c、具有b和c、和/或具有a、b、c的系统等)。

本公开的实施例提供了一种异常数据的识别方法，包括：获取目标数据，其中，目标数据包括第一设备与第二设备进行数据交互时所产生的数据。然后，确定目标数据中是否包括目标周期信息，其中，目标周期信息用于表征第一设备与第二设备进行周期性的异常数据交互，响应于确定目标数据中包括目标周期信息，确定第一设备与第二设备之间的数据交互为异常交互。

图1示意性示出了根据本公开实施例的异常数据的识别方法和异常数据的识别装置的应有场景。需要注意的是，图1所示仅为可以应用本公开实施例的应有场景的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

如图1所示，该应用场景100例如包括第一设备110、第二设备120以及防火墙设备130。

根据本公开实施例，第一设备110例如可以是内网中的设备，第二设备120例如可以是外网中的设备。其中，为了保证内网设备和外网设备进行数据交互时的安全性，通常通过防火墙设备130进行数据监控。

例如，如果第一设备110需要访问外网设备，则防火墙设备130会检测所要访问的外网设备是否存在危险，如果存在危险则禁止第一设备110访问，反之则允许第一设备110访问。如果第二设备110需要访问内网中的设备，则防火墙设备130会检测第二设备120是否存在危险，如果存在危险则禁止第二设备120访问内网中的设备，反之则允许第二设备120访问内网中的设备。

在本公开实施例中，防火墙设备130中例如存储第一设备110和第二设备120进行数据交互过程中所产生的数据。因此，本公开实施例可以通过获取防火墙设备130中的数据，并对所获取的数据进行分析以获取第一设备110与第二设备120进行数据交互过程中的异常数据，以便基于异常数据进行后续的安全分析，例如用于木马病毒分析。

以下结合图1和图2描述本公开实施例的异常数据的识别方法。

图2示意性示出了根据本公开实施例的异常数据的识别方法的流程图。

如图2所示，该方法包括操作s210～s230。

在操作s210，获取目标数据，其中，目标数据包括第一设备与第二设备进行数据交互时所产生的数据。

根据本公开实施例，目标数据例如可以是防火墙设备中的数据。其中，该目标数据例如可以是第一设备与第二设备之间进行数据交互时所产生的流量数据，流量数据例如包括流量日志以及业务日志，该流量数据例如包括了数据交互过程的详细信息。

根据本公开实施例，可以对流量日志和业务日志进行统一化和标准化的处理，处理后的流量日志和业务日志例如统一以json格式存储。例如，获取每条流量日志或业务日志中多个字段并进行标准化处理，多个字段例如包括设备唯一标识sn、session(会话)标识、地址信息、url中的host字段、日志时间等等。其中，多条流量日志或业务日志可能来自不同的防火墙设备，因此设备唯一标识sn例如可以是该流量日志或业务日志来自的防火墙设备的设备标识。地址信息例如可以是五元组数据，五元组数据例如包括第一设备和第二设备的地址。日志时间例如可以包括每条日志的时间戳，时间戳例如可以表征防火墙设备存储流量日志或业务日志的时间。

在操作s220，确定目标数据中是否包括目标周期信息，其中，目标周期信息用于表征第一设备与第二设备进行周期性的异常数据交互。

根据本公开实施例，如果目标数据中包括目标周期信息，则可以表征第一设备和第二设备的交互过程为周期性交互。例如第一设备与第二设备定期进行数据交互。例如，第二设备在每天的00:00、06:00、12:00、18:00访问第一设备，其中，访问时间中所包含的目标周期信息例如可以是周期为6个小时。或者第二设备每隔n天或每隔m个月访问第一设备，其中，目标周期信息例如可以是n天或m个月。如果目标数据中包括周期信息，表明第一设备与第二设备之间的数据交互为异常数据交互，例如第二设备定期访问第一设备，以便将木马病毒注入第一设备中，实现攻击第一设备的目的。

在操作s230，响应于确定目标数据中包括目标周期信息，确定第一设备与第二设备之间的数据交互为异常交互。

本公开实施例还包括：响应于确定第一设备与第二设备之间的数据交互为异常交互，分别确定第一设备的地址数据和第二设备的地址数据。然后，获取待识别数据，待识别数据包括多个设备进行数据交互时所产生的数据，多个设备至少包括第一设备和第二设备。其后，基于第一设备的地址数据和第二设备的地址数据，确定待识别数据中的异常数据，其中，异常数据包括待识别数据中关于第一设备与第二设备之间的交互数据。

根据本公开实施例，在确定了目标数据中具有目标周期信息的情况下，可以确定第一设备与第二设备之间进行异常数据交互，则可以将第一设备与第二设备作为后续重点监控的对象。然后，可以获取第一设备的地址数据和第二设备的地址数据，便于后续基于地址数据从海量数据中找到关于第一设备与第二设备之间的交互数据。

根据本公开实施例，待识别数据例如可以是从多个防火墙设备中获取的数据，该待识别数据中除了包括第一设备与第二设备之间的交互数据，还可以包括其他多个设备之间的交互数据，或者可以包括第一设备与其他设备之间的交互数据，以及包括第二设备与其他设备之间的交互数据。

根据本公开实施例，第一设备和第二设备之间如果存在周期性信息，则可以表征第一设备和第二设备之间的交互为异常交互。由于周期性信息能够较为直接地反映异常交互，因此本公开实施例通过获取周期性信息来确定设备交互时所隐含的深层风险，提高了风险检测的效果。

根据本公开实施例，由于第一设备与第二设备之间的交互为异常交互。因此，需要从该海量的待识别数据中获取第一设备与第二设备之间的异常数据，以便于基于异常数据进行后续的安全分析。本公开实施例首先从目标数据中确定第一设备与第二设备之间为异常交互之后，再进一步从海量的待识别数据中获取该第一设备与第二设备之间的异常数据，极大程度减少了计算资源。即，不需要直接分析海量的待识别数据中是否具有异常交互的设备，而是先从数据量较少的目标数据中先确定出异常交互的设备后，再基于所确定的异常交互的设备从海量的待识别数据中进一步获取该异常交互的设备的异常数据，极大程度减少了计算量。

图3示意性示出了根据本公开另一实施例的异常数据的识别方法的流程图。

如图3所示，该方法例如包括包括操作s210～s230以及操作s310～s330。其中，操作s210～s230与图2中的操作相同或类似，在此不再赘述。

在操作s310，获取初始数据。其中，该初始数据中例如包括目标数据。由于初始数据的数据量过大，因此，需要对初始数据进行预处理得到目标数据。例如先过滤初始数据中的一部分正常数据，使得所剩余的目标数据的数据量减小，便于减小后续在处理目标数据得到目标周期信息的过程中的计算量。

在操作s320，获取白名单数据，其中，白名单数据中包括多个安全设备的地址数据。根据本公开实施例，安全设备例如可以是从历史经验中得知的安全设备，将该安全设备的地址数据存储到白名单数据中，便于基于白名单数据过滤初始数据中的正常数据。

在操作s330，基于白名单数据过滤初始数据，得到目标数据，使得目标数据不包括多个安全设备的交互数据。

根据本公开实施例，由于多个安全设备的交互数据为正常数据，因此，从初始数据中过滤掉该正常数据所得到的目标数据的数据量极大程度地降低了，实现了减少了后续处理目标数据得到目标周期信息的过程中的计算量，提高了处理效率。

根据本公开实施例，上述操作s220中关于确定目标数据中是否包括目标周期信息例如包括如下步骤(1)～(4)。

(1)处理目标数据，得到目标数据中的多个初始周期信息。

例如，首先确定目标数据中的时间信息，其中，时间信息例如包括第一设备与第二设备进行数据交互时产生目标数据的时间范围。例如时间范围可以包括1天、7天、30天等等。为了便于理解，时间范围例如以1天举例。例如，目标数据为过去1天内的数据。

然后，基于时间信息确定时间粒度。例如，不同的时间信息对应不同的时间粒度。例如时间范围为1天所对应的时间粒度为5秒、7天对应的时间粒度为60秒、30天对应的时间粒度为300秒等等。

其后，可以基于时间粒度，对目标数据进行压缩处理。即，将时间粒度内数据交互对象相同的多条数据压缩成一条数据，以减少后续确定目标周期信息的计算量。

举例来说，例如时间为5秒的时间段00：01～00：05内的目标数据包括4条日志。该4条日志分别为：第一设备与第二设备交互的日志1、第二设备与第三设备交互的日志2、第一设备与第二设备交互的日志3，第四设备与第五设备交互的日志4。此时，可以将日志1和日志3压缩成日志1’，日志2和日志4不压缩。最终得到的处理后的目标数据例如包括日志1’、日志2和日志4，并且日志1’、日志2和日志4的时间戳均为该时间段内的初始时间00:01。

再者，可以基于压缩处理后的目标数据，得到多个初始周期信息。例如，在时间范围1天内得到多个压缩后的目标数据，处理针对交互设备为第一设备和第二设备的目标数据，得到关于第一设备与第二设备交互的多个初始周期。可以理解，对于交互双方不同的设备，分别处理不同设备的目标数据，得到不同交互设备的多个初始周期信息。例如，第一设备与第二设备对应多个初始周期信息，第三设备与第四设备也对应多个初始周期信息。为了便于理解，本公开实施例以第一设备与第二设备对应多个初始周期信息举例。

根据本公开实施例，处理后的第一设备与第二设备的进行交互的目标数据例如为时域数据。该时域数据例如为序列数据，例如表征为目标数据在多个时刻对应的日志，例如分别在06:00、08:00、12:00、16:00、18:00、24:00时刻均具有至少一条日志等等。

根据本公开实施例，例如可以利用傅里叶变换算法处理目标数据，得到频域数据。换言之，将处于时域的目标数据转换到频域中，该目标数据在频域中的周期信息较明显，因此可以基于频域数据确定目标数据中的多个初始周期信息。其中，得到的多个初始周期信息例如包括周期为6小时(体现在06:00、12:00、18:00、24:00时刻的日志)、周期为8小时(体现在08:00、16:00、24:00时刻的日志)等等。

(2)确定多个初始周期信息中每个初始周期信息的权重，得到与多个初始周期信息一一对应的多个权重。

图4示意性示出了根据本公开实施例的周期曲线的示意图。

如图4所示，例如确定与多个初始周期信息对应的多个周期曲线。分别确定目标数据与多个周期曲线的匹配程度，其中，目标数据包括多个离散数据，匹配程度表征多个离散数据与周期曲线之间的距离。然后，基于匹配程度，确定多个初始周期信息中每个初始周期信息的权重。

例如，图4以周期为6小时举例。周期为6小时对应的周期曲线之上或者旁边分别分布了多个离散的目标数据。例如，假设包括1000个离散数据，其中的800个离散数据与周期曲线之间的距离小于预设距离，则可以表示该800个离散数据与周期曲线匹配，即，权重例如为0.8，该权重例如为匹配的离散数据数量与总离散数据数量之比。

同理，例如周期为8小时对应权重例如为0.4。

(3)确定多个权重中是否包括满足预设条件的至少一个权重。例如，满足预设条件的权重例如为权重值大于预设权重值，预设权重值例如可以是0.5。因此，周期为6小时对应的权重0.8满足预设条件。

(4)响应于确定多个权重中包括满足预设条件的至少一个权重，确定目标数据中包括目标周期信息。其中，与至少一个权重对应的至少一个初始周期信息为目标周期信息。即，可以将权重0.8对应的周期为6小时作为目标周期信息。因此，由于该目标数据中具有目标周期信息，则可以表征第一设备与第二设备之间的交互为异常交互。

由于目标数据的周期信息在频域中的更加明显，因此，本公开实施例通过傅里叶变换算法将时域中的目标数据转换为频域中的数据，从而提高了获取的周期信息的准确性。另外，通过确定目标数据与多个周期曲线的匹配程度来确定目标周期信息，将匹配程度高的周期信息确定为目标周期信息，实现所确定出的目标周期信息更加准确，提高异常交互的识别准确程度。

根据本公开实施例，由于第一设备与第二设备之间的交互为异常交互，因此，可以基于第一设备第二设备的地址数据从海量待识别数据中关联出与第一设备和第二设备相关的异常数据，所关联出的异常数据可以用于进行后续的安全分析。

在一种情况下，在异常交互的设备中包括多组设备的情况下，由于要根据多组设备中每组设备的地址数据分别从海量待识别数据中获取每组设备的交互数据，将存在计算量过大，效率低的问题。例如，如果异常交互的设备包括多组设备，例如第一组设备包括第一设备和第二设备，第二组设备包括第三设备和第四设备，第三组设备包括第五设备和第六设备。如果需要从海量待识别数据中获取关于该多组设备的交互数据，则需要依次以第一组设备的地址数据、第二组的地址数据、第三组的地址数据去关联海量待识别数据，将存在计算量过大的问题。

因此，为了提高从海量待识别数据中匹配多组设备的交互数据的效率，本公开实施例通过基于包括多组设备的地址数据构造成布隆过滤器，并利用构造的布隆过滤器过滤海量待识别数据，得到所需的数据。

例如，首先分别处理多组设备的地址数据，得到与多组设备的地址数据对应的多组特征值。例如通过计算每组设备的地址数据得到哈希值，即，每组设备具有相应的哈希值。多组设备的哈希值为作为多组特征值。

然后，处理多组特征值，得到目标特征值。即，将多组特征值组合成目标特征值，该目标特征值即为所需的布隆过滤器。

其后，处理待识别数据中的多个待识别地址数据，得到多个待识别特征值，并利用目标特征值对多个待识别特征值进行过滤处理，得到与目标特征值相匹配的至少一个待识别特征值。换言之，与目标特征值相匹配的至少一个待识别特征值为布隆过滤器的过滤结果，该至少一个待识别特征值例如为多组设备的地址数据所对应的特征值。

最后，可以确定待识别数据中与至少一个待识别特征值对应的数据作为异常数据。该异常数据即为从海量待识别数据中成功关联的多组设备进行交互的异常数据。由于该多组设备为经过周期计算得到的异常设备，因此，从海量待识别数据中关联得到的异常数据可以用于后续的安全分析。

图5示意性示出了根据本公开实施例的异常数据的识别装置的框图。

如图5所示，异常数据的识别装置500例如包括第一获取模块510、第一确定模块520以及第二确定模块530。

第一获取模块510可以用于获取目标数据，其中，目标数据包括第一设备与第二设备进行数据交互时所产生的数据。根据本公开实施例，第一获取模块510例如可以执行上文参考图2描述的操作s210，在此不再赘述。

第一确定模块520可以用于确定目标数据中是否包括目标周期信息，其中，目标周期信息用于表征第一设备与第二设备进行周期性的异常数据交互。根据本公开实施例，第一确定模块520例如可以执行上文参考图2描述的操作s220，在此不再赘述。

第二确定模块530可以用于响应于确定目标数据中包括目标周期信息，确定第一设备与第二设备之间的数据交互为异常交互。根据本公开实施例，第二确定模块530例如可以执行上文参考图2描述的操作s230，在此不再赘述。

图6示意性示出了根据本公开另一实施例的异常数据的识别装置的框图。

如图6所示，异常数据的识别装置600例如包括第一获取模块510、第一确定模块520、第二确定模块530、第二获取模块610、第三获取模块620以及过滤模块630。其中，第一获取模块510、第一确定模块520以及第二确定模块530例如与上参考图4描述的模块相同或类似，在此不再赘述。

第二获取模块610可以用于获取初始数据。根据本公开实施例，第二获取模块610例如可以执行上文参考图3描述的操作s310，在此不再赘述。

第三获取模块620可以用于获取白名单数据，其中，白名单数据中包括多个安全设备的地址数据。根据本公开实施例，第三获取模块620例如可以执行上文参考图3描述的操作s320，在此不再赘述。

过滤模块630可以用于基于白名单数据过滤初始数据，得到目标数据，使得目标数据不包括多个安全设备的交互数据。根据本公开实施例，过滤模块630例如可以执行上文参考图3描述的操作s330，在此不再赘述。

根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(fpga)、可编程逻辑阵列(pla)、片上系统、基板上的系统、封装上的系统、专用集成电路(asic)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图7示意性示出了根据本公开实施例的适于异常数据的识别的计算机系统的方框图。图7示出的计算机系统仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图7所示，根据本公开实施例的计算机系统700包括处理器701，其可以根据存储在只读存储器(rom)702中的程序或者从存储部分708加载到随机访问存储器(ram)703中的程序而执行各种适当的动作和处理。处理器701例如可以包括通用微处理器(例如cpu)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(asic))，等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在ram703中，存储有系统700操作所需的各种程序和数据。处理器701、rom702以及ram703通过总线704彼此相连。处理器701通过执行rom702和/或ram703中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除rom702和ram703以外的一个或多个存储器中。处理器701也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，系统700还可以包括输入/输出(i/o)接口705，输入/输出(i/o)接口705也连接至总线704。系统700还可以包括连接至i/o接口705的以下部件中的一项或多项：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分707；包括硬盘等的存储部分708；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至i/o接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入存储部分708。

根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被处理器701执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

根据本公开的实施例，计算机可读存储介质可以是计算机非易失性的计算机可读存储介质，例如可以可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的rom702和/或ram703和/或rom702和ram703以外的一个或多个存储器。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。