异常分析方法、装置、电子设备及存储介质与流程

本申请涉及安全，具体而言，涉及一种异常分析方法、装置、电子设备及存储介质。

背景技术：

1、随着硬件和软件技术的蓬勃发展，各种设备的性能都在与日俱增，比如防火墙设备的吞吐量需求也逐渐增大，在面对巨量的网络访问时，如何判断设备在当前网络环境中是否存在未知威胁成为了一项必要的技术。

2、现有技术中为了发现未知威胁，一般会对网络流量进行异常分析，为了实现快速识别异常数据，目前是设置一个固定的比对值，通过与固定的比对值进行比对来判断是否异常，但是网络数据流量是随时在发生变化的，这种异常判断方式无法适用于在网络数据流量发生变化时检测到异常数据，容易出现漏检和错检的情况。

技术实现思路

1、本申请实施例的目的在于提供一种异常分析方法、装置、电子设备及存储介质，用以改善现有的异常判断方式容易出现漏检和错检的情况。

2、第一方面，本申请实施例提供了一种异常分析方法，所述方法包括：

3、确定当前数据记录周期获得的当前数据对应的异常结果，其中，所述异常结果是通过将所述当前数据与前一数据记录周期中记录的同时段数据对应的标准值进行比对确定的；

4、根据所述异常结果确定所述当前数据对应的标准值，所述当前数据对应的标准值用于进行下一数据记录周期的同时段数据的异常比对。

5、在上述实现过程中，根据获取到的数据的异常结果来实时更新数据对应的标准值，进而可以动态调整标准值，而不是采用固定的标准值进行比对，使得其可以适应随时在变化的数据流量，进而更能有效的检测出其中的异常数据，可有效减少漏检和错检的情况发生。

6、可选地，所述根据所述异常结果确定所述当前数据对应的标准值，包括：

7、若所述异常结果为所述当前数据异常，则根据所述前一数据记录周期中记录的同时段数据对应的标准值确定所述当前数据对应的标准值；

8、若所述异常结果为所述当前数据非异常，则根据所述前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据确定所述当前数据对应的标准值。

9、在上述实现过程中，在不同异常结果下，选择不同的方式来确定当前数据的标准值，如此可以获得更合适的标准值，进而来适用不同网络流量下的异常检测。

10、可选地，若所述异常结果为所述当前数据异常，则所述根据所述前一数据记录周期中记录的同时段数据对应的标准值确定所述当前数据对应的标准值，包括：

11、若所述异常结果为所述当前数据异常，则根据所述前一数据记录周期中记录的同时段数据对应的标准值与所述当前数据、预设浮动比确定所述当前数据对应的标准值。

12、在上述实现过程中，在数据异常时，根据当前数据、前一周期数据的标准值以及预设浮动比来确定当前数据的标准值，如此可综合考虑当前数据与前一周期数据之间的差异，进而设置一个浮动比来约束标准值的取值，使得可以获得更合理的标准值。

13、可选地，通过以下方式确定所述当前数据对应的异常结果：

14、若所述当前数据与所述前一数据记录周期中记录的同时段数据对应的标准值之间的差值超出浮动阈值范围，则确定所述异常结果为所述当前数据异常；

15、若所述当前数据与所述前一数据记录周期中记录的同时段数据对应的标准值之间的差值在浮动阈值范围内，则确定所述异常结果为所述当前数据非异常。

16、在上述实现过程中，通过将当前数据与前一周期数据的标准值进行比对，其标准值是实时更新的，如此只拿最新周期数据的标准值进行比对，可以更准确地检测当前数据的异常情况。

17、可选地，所述确定当前数据记录周期获得的当前数据对应的异常结果之前，还包括：

18、通过相应的监控器获取当前数据记录周期内需要记录的当前数据，其中，不同监控器设置有对应的监控参数，所述监控参数包括以下至少一种：数据记录周期、数据类型、比对阈值范围。

19、在上述实现过程中，通过设置不同的监控器来监控不同的数据，如此每个监控器可各自维护产生的数据，相互独立检测不干扰，效率更高。

20、可选地，所述根据所述异常结果确定所述当前数据对应的标准值之后，还包括：

21、将所述当前数据覆盖掉所述前一数据记录周期内同时段数据后进行存储。如此只需要存储一个数据记录周期的数据即可实现异常情况的检测，减少内存资源的占用。

22、可选地，所述确定当前数据记录周期获得的当前数据对应的异常结果之后，还包括：

23、若所述异常结果为所述当前数据异常，则生成异常告警日志，所述异常告警日志至少包括以下一种数据：异常产生时间、异常的数据类型、所述当前数据的数值、所述前一数据记录周期内同时段数据对应的标准值、获取所述当前数据对应的监控器的信息、所述当前数据与所述前一数据记录周期内同时段数据对应的标准值之间的差值。

24、在上述实现过程中，通过生成异常告警日志，可使得用户能够通过日志知晓异常数据的相关信息，为后续进行安全防护提供数据基础。

25、第二方面，本申请实施例提供了一种异常分析装置，所述装置包括：

26、异常结果确定模块，用于确定当前数据记录周期获得的当前数据对应的异常结果，其中，所述异常结果是通过将所述当前数据与前一数据记录周期中记录的同时段数据对应的标准值进行比对确定的；

27、标准值确定模块，用于根据所述异常结果确定所述当前数据对应的标准值，所述当前数据对应的标准值用于进行下一数据记录周期的同时段数据的异常比对。

28、第三方面，本申请实施例提供一种电子设备，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如上述第一方面提供的所述方法中的步骤。

29、第四方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时运行如上述第一方面提供的所述方法中的步骤。

30、本申请的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

技术特征：

1.一种异常分析方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述根据所述异常结果确定所述当前数据对应的标准值，包括：

3.根据权利要求2所述的方法，其特征在于，若所述异常结果为所述当前数据异常，则所述根据所述前一数据记录周期中记录的同时段数据对应的标准值确定所述当前数据对应的标准值，包括：

4.根据权利要求1所述的方法，其特征在于，通过以下方式确定所述当前数据对应的异常结果：

5.根据权利要求1所述的方法，其特征在于，所述确定当前数据记录周期获得的当前数据对应的异常结果之前，还包括：

6.根据权利要求1所述的方法，其特征在于，所述根据所述异常结果确定所述当前数据对应的标准值之后，还包括：

7.根据权利要求1所述的方法，其特征在于，所述确定当前数据记录周期获得的当前数据对应的异常结果之后，还包括：

8.一种异常分析装置，其特征在于，所述装置包括：

9.一种电子设备，其特征在于，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如权利要求1-7任一所述的方法。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时运行如权利要求1-7任一所述的方法。

技术总结
本申请提供一种异常分析方法、装置、电子设备及存储介质，涉及安全技术领域。该方法根据获取到的数据的异常结果来实时更新数据对应的标准值，进而可以动态调整标准值，而不是采用固定的标准值进行比对，使得其可以适应随时在变化的数据流量，进而更能有效的检测出其中的异常数据，可有效减少漏检和错检的情况发生。

技术研发人员：王颖,晏尉,范鸿雷
受保护的技术使用者：北京天融信网络安全技术有限公司
技术研发日：
技术公布日：2024/3/24