CN111935180A - 安防设备主动防御方法、装置及*** - Google Patents

Abstract

本申请提供一种安防设备主动防御方法、装置及***，该方法包括：安防前端设备获取预设单位时间内的第一设备运行状态信息；安防前端设备基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；安防前端设备基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前设备运行状态是否异常；当安防前端设备当前处于异常运行状态时，向设备管理平台进行报警。该方法可以减少安防前端设备实现主动防御需要的计算资源和存储资源。

Description

安防设备主动防御方法、装置及***

技术领域

本申请涉及网络安全领域，尤其涉及一种安防设备主动防御方法、装置及***。

背景技术

随着安防前端设备的大范围部署，如何高效地在安防前端设备进行主动防御成为了一个亟待解决的问题。

目前，安防前端设备的主动防御实现方案主要是在安防前端设备中预设一些黑白名单（如各种已知病毒、木马的MD5值）避免设备被黑客攻击，这种方法最大的问题在于极大地依赖黑白名单的准确性和实时性，黑白名单的维护成本较高，且当黑白名单的规模较大时，会对安防前端设备产生较大的存储负担。

发明内容

有鉴于此，本申请提供一种安防设备主动防御方法、装置及电子设备。

具体地，本申请是通过如下技术方案实现的：

根据本申请实施例的第一方面，提供一种安防设备主动防御方法，应用于安防设备主动防御***，所述安防设备主动防御***包括安防前端设备和设备管理平台，所述方法

安防前端设备获取预设单位时间内的第一设备运行状态信息；

所述安防前端设备基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

所述安防前端设备基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间；

当所述安防前端设备当前处于异常运行状态时，所述安防前端设备向所述设备管理平台进行报警。

根据本申请实施例的第二方面，提供一种安防设备主动防御装置，应用于安防前端设备，所述装置包括：

获取单元，用于获取预设单位时间内的第一设备运行状态信息；

第一确定单元，用于基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

第二确定单元，用于基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前设备运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间；

防御单元，用于当设备处于异常运行状态时，向设备管理平台进行报警。

根据本申请实施例的第三方面，提供一种安防设备主动防御***，包括：安防前端设备和设备管理平台；其中：

所述安防前端设备，用于获取预设单位时间内的第一设备运行状态信息；

所述安防前端设备，还用于基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

所述安防前端设备，还用于基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间

所述安防前端设备，还用于当当前处于异常运行状态时，所述安防前端设备向所述设备管理平台进行报警。

本申请实施例的安防设备主动防御方法，通过获取预设单位时间内的第一设备运行状态信息，并基于第一设备运行状态信息，利用已确定的变点检测算法，确定第一设备运行状态信息的第一统计特征值，基于第一统计特征值，以及已确定的安防前端设备处于正常运行状态下的第二设备运行状态信息的第二统计特征值，确定当前设备运行状态是否异常，进而，当设备处于异常运行状态时，向设备管理平台进行报警，避免了安防前端设备实现主动防御对黑白名单的依赖，安防前端设备不需要进行黑白名单的存储，且不需要进行黑白名单更新，减少了安防前端设备实现主动防御需要的计算资源和存储资源。

附图说明

图1为本申请一示例性实施例示出的一种安防设备主动防御方法的流程示意图；

图2为本申请一示例性实施例示出的一种安防设备主动防御***的架构示意图；

图3为本申请一示例性实施例示出的一种安防设备主动防御方法的流程示意图；

图4为本申请一示例性实施例示出的一种安防设备主动防御装置的结构示意图；

图5为本申请一示例性实施例示出的一种电子设备的硬件结构示意图；

图6为本申请一示例性实施例示出的一种安防设备主动防御***的结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

为了使本领域技术人员更好地理解本申请实施例提供的技术方案，并使本申请实施例的上述目的、特征和优点能够更加明显易懂，下面结合附图对本申请实施例中技术方案作进一步详细的说明。

请参见图1，为本申请实施例提供的一种安防设备主动防御方法的流程示意图，其中，该安防设备主动防御方法可以应用于安防设备主动防御***，该安防设备主动防御***可以包括安防前端设备和设备管理平台，如图1所示，该安防设备主动防御方法可以包括以下步骤：

步骤S100、安防前端设备获取预设单位时间内的第一设备运行状态信息。

示例性的，预设单位时间可以包括1秒或1毫秒等。

示例性的，设备运行状态信息可以包括但不限于CPU（Center Process Unit，中央处理单元）占用率、内存占用率以及网络带宽等信息中的一个或多个。

本申请实施例中，安防前端设备可以每隔预设单位时间获取本设备的设备运行状态信息（本文中称为第一设备运行状态信息）。

例如，以预设单位时间为1秒为例，安防前端设备可以每秒获取一次本设备的设备运行状态信息，即安防前端设备可以以1秒为单位时间，获取本设备的设备运行状态信息。

步骤S110、安防前端设备基于第一设备运行状态信息，利用已确定的变点检测算法，确定第一设备运行状态信息的第一统计特征值。

步骤S120、安防前端设备基于第一统计特征值，以及已确定的第二统计特征值，确定当前运行状态是否异常；其中，第二统计特征值为安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用变点检测算法确定的第二设备运行状态信息的统计特征值，第一时间段包括多个预设单位时间。

本申请实施例中，考虑到传统安防前端设备主动防御方案中，需要依赖黑白名单实现主动防御，黑白名单的存储需要占用较多的存储空间，会对安防前端设备产生较大的存储负担，且黑白名单的时效性要求比较高，例如，当病毒或木马出现更新时，通常黑白名单也需要进行更新，而频繁地黑白名单的更新也会占用安防前端设备的***资源，影响安防前端设备的正常运行。

此外，考虑到当安防前端设备处于正常运行状态时，安防前端设备的设备运行状态信息通常会维持在一个比较平稳的状态，且设备运行状态信息一般不会出现突增或突降。

相应地，当安防前端设备的设备运行状态信息出现突增或突降的情况时，通常是安防前端设备运行状态异常，如受到病毒或木马攻击。

因此，可以利用安防前端设备正常运行状态下，设备运行状态信息平稳这一特征，通过对安防前端设备的运行状态信息的数据分布进行分析，检测安防前端设备的运行状态信息是否出现突增或突降，来确定设备运行状态是否异常。

基于上述考虑，本申请实施例中，可以通过变点检测算法确定用于表征安防前端设备的运行状态信息的数据分布的统计特征值，并基于该统计特征值来检测安防前端设备的运行状态是否异常。

相应地，安防前端设备可以先基于本设备处于正常运行状态时，指定时间段（该时间段的结束时刻在步骤S110之前，本文中称为第一时间段）内的设备运行状态信息（本文中称为第二设备运行状态信息），利用变点检测算法确定该第二设备运行状态信息的统计特征值（本文中称为第二统计特征值），该第二统计特征值用于表征安防前端设备正常运行状态下的设备运行状态信息的数据分布。

示例性的，该统计特征值可以包括但不限于方差或标准差等。

示例性的，正常运行状态指的是安防前端设备正常开机并运行，且未执行附加任务的状态。

其中，附加任务是指安防前端设备的缺省任务（如摄像头巡检、运行日志上报等）之外的其他任务，通常为人工触发的任务。

例如，安防前端设备可以将在开机并进入正常工作之后的前5~10分钟的设备运行状态作为第二设备运行状态信息。

需要说明的是，在本申请实施例中，第二统计特征值的计算操作可以由设备管理平台执行，或，由安防前端设备执行。由于设备管理平台的计算性能通常比较强，因此，当第二统计特征值的计算操作由设备管理平台执行时，第一时间段的时长可以设置得较长，以提高设备运行状态判定的准确性。而安防前端设备的计算性能相对较弱，当第二统计特征值的计算操作由安防前端设备执行时，第一时间段的时长可以设置得较短，以降低安防前端设备的性能消耗。

此外，由于不同变点检测算法对于计算资源的依赖不同，因此，当第二统计特征值的计算操作由设备管理平台执行时，使用的变点检测算法可以为对计算资源的依赖较高的变点检测算法，以提高设备运行状态判定的准确性。当第二统计特征值的计算操作由安防前端设备执行时，使用的变点检测算法可以为对计算资源的依赖较低的变点检测算法，以降低安防前端设备的性能消耗。

在一个示例中，第二统计特征值的计算操作由设备管理平台执行，并在得到第二统计特征值时，将该第二统计特征值下发给安防前端设备，以提高设备运行状态判定的准确性，并避免第二统计特征值的计算对安防前端设备的计算资源的消耗。

本申请实施例中，安防前端设备获取到第一设备运行状态信息时，可以将获取到的第一设备运行状态信息，输入到已确定的变点检测算法（计算第二统计特征值时使用的变点检测算法），计算得到第一设备运行状态信息的统计特征值（本文中称为第一统计特征值），该第一统计特征值用于表征安防前端设备实时的设备运行状态信息的数据分布，并比较第一统计特征值和第二统计特征值，以确定当前设备运行状态是否异常。

示例性的，由于当安防前端设备一直处于正常运行状态时，安防前端设备的设备运行状态信息通常会一直处于平稳状态，即按照上述方式确定的第一统计特征值和第二统计特征值通常会比较较近；而当安防前端设备运行状态异常，如受到病毒或木马攻击时，安防前端设备的设备运行状态信息会出现突增或突降的情况，此时，上述第一统计特征值通常会与上述第二统计特征值相差较大，因此，可以基于上述第一统计特征值与第二统计特征值二者的差值来确定安防前端设备的运行状态是否异常。

例如，可以基于第一统计特征值和第二统计特征值，确定第二统计特征值与第一统计特征值二者的差值，并确定该差值的绝对值是否超过预设阈值，若是，则确定当前设备处于异常运行状态；否则，确定当前设备未处于异常运行状态。

可见，通过确定并存储安防前端设备处于正常运行状态下的设备运行状态信息的第二统计特征值，在不需要进行黑白名单存储（相对黑白名单，第二统计特征值的数据量要小很多）的情况下，可以实现安防前端设备的主动防御，节省了安防前端设备的存储资源；此外，安防前端设备不需要根据病毒或木马的更新而频繁更新所存储的第二统计特征值，节省了安防前端设备的计算资源。

步骤S130、当安防前端设备当前设备处于异常运行状态时，向设备管理平台进行报警。

本申请实施例中，当安防前端设备确定当前设备处于异常运行状态时，可以向设备管理平台进行报警。

例如，安防前端设备可以向设备管理平台上报异常信息日志，该异常信息日志可以记录出现异常的设备运行状态信息的相关信息。

举例来说，若出现异常的设备运行状态信息为CPU使用率，则异常信息日志中可以包括CPU使用率排名前N个进程的进程名、进程对应的命令行、进程CPU使用率、内存占用率、进程所属用户、进程的线程数量等信息中的一个或多个；

若出现异常的设备运行状态信息为内存使用率，则异常信息日志中可以包括内存使用率排名前N个进程的进程名、进程对应的命令行、进程CPU使用率、内存占用率、进程所属用户、进程的线程数量等信息中的一个或多个；

若出现异常的设备运行状态信息为网络带宽，则异常信息日志中可以包括网络带宽占用率排名前N个网络连接的源IP地址、源端口、目的IP地址、目的端口、带宽占用等信息中的一个或多个。

其中，N为正整数，可以根据实际场景设定，例如，N为5。

可见，在图1所示方法流程中，通过基于变点检测算法确定设备运行状态信息的统计特征值，并通过比较安防前端设备实时的设备运行状态信息的统计特征值和正常运行状态下的设备运行状态信息的统计特征值，判定设备运行状态是否异常，不需要进行黑白名单的配置、存储以及更新，避免了安防前端设备实现主动防御对黑白名单的依赖，减少了安防前端设备实现主动防御需要的计算资源和存储资源。

作为一种可能的实施例，步骤S130中，安防前端设备向设备管理平台进行报警之后，还可以包括：

安防前端设备接收设备管理平台下发的阻断任务；

安防前端设备基于阻断任务，进行进程或/和网络阻断。

示例性的，设备管理平台接收到安防前端设备的报警信息时，可以确定该安防前端设备是否处于异常状态，其具体实现可以在下文中进行说明，本申请实施例在此不做赘述。

当设备管理平台确定该安防前端设备异常时，即受到病毒或木马等恶意程序的攻击，设备管理平台可以向该安防前端设备下发阻断任务。

安防前端设备接收到设备管理平台下发的阻断任务时，可以基于阻断任务，进行进程或/和网络阻断。

在一个示例中，安防前端设备可以阻断占用出现异常的设备运行状态信息对应的资源（本文中称为目标资源）最高的进程或网络连接（本文中称为目标进程或网络连接）。

举例来说，假设出现异常的运行状态信息为CPU使用率，则安防前端设备可以阻断CPU使用率最高的进程。

假设出现异常的运行状态信息为内存占用率，则安防前端设备可以阻断内存占用率最高的进程。

假设出现异常的运行状态信息为网络带宽，则安防前端设备可以阻断网络带宽占用率最高的网络连接。

需要说明的是，在本申请实施例中，在接收到阻断任务时，阻断目标进程或网络连接仅仅是实现攻击阻断的一种具体实现方式，而并不是对本申请保护范围的限定，即本申请实施例中，也可以通过其他方式实现攻击阻断，例如，可以统计出现频率排序靠前的一种或多种病毒或木马等恶意攻击程序，并下发携带该恶意攻击程序的标识信息的阻断命令，以使安防前端设备阻断与该恶意攻击程序的标识信息关联的进程或网络连接。

作为一种可能的实施例，步骤S130中，安防前端设备向设备管理平台进行报警，可以包括：

安防前端设备向设备管理平台上报异常信息日志；

相应地，安防前端设备向设备管理平台进行报警之后，还可以包括：

设备管理平台确定是否在第二时间段内向安防前端设备下发了附加任务；其中，第二时间段为以设备管理平台接收到异常信息日志的时刻为结束时刻的预设时长的时间段；

当设备管理平台在第二时间段内向安防前端设备下发了附加任务时，生成待验证告警日志，以确定该异常信息日志是否为误报，并在确定该异常信息日志为误报时，生成误报日志。

示例性的，附加任务可以包括但不限于手动下发的变焦、转向、旋转、上报日志、软件更新或设备信息备份等。

示例性的，考虑到当设备管理平台向安防前端设备下发了附加任务时，安防前端设备的设备运行状态也可能会出现突变，在该情况下，安防前端设备基于获取到的预设单位时间内的第一设备运行状态信息，利用变点检测算法确定的该第一设备运行状态信息的第一统计特征值也可能会与上述第二统计特征值差别较大，从而，可能会导致安防前端设备检测到设备运行状态出现异常，进而出现误报。

为了提高报警的准确性，减少误报的概率，设备管理平台接收到安防前端设备上报的异常信息日志时，可以确定在第二时间段内是否向安防前端设备下发了附件任务。

当设备管理平台在第二时间段内向安防前端设备下发了附加任务时，设备管理平台可以生成待验证告警日志，以表征该安防前端设备此次上报的异常信息日志需要验证是否为异常。

示例性的，设备管理平台生成待验证告警日志时，可以提示用户（如管理员）人工验证该安防前端设备是否出现异常，若验证结果为未出现异常，则确定此次上报的异常信息日志为误报，此时，设备管理平台可以生成误报日志。

当设备管理平台确定异常信息日志不是误报时，可以按照上述实施例中描述的方式下发阻断任务。

在一个示例中，上述安防前端设备获取预设单位时间内的第一设备运行状态信息之前，还可以包括：

安防前端设备接收设备管理平台下发的变点检测算法和第二统计特征值；

上述方法还可以包括：

当设备管理平台周期性地生成待验证告警日志和误报日志，且验证告警日志和误报日志的数量达到第一数量时，更新第二统计特征值，或，更新变点检测算法和第二统计特征值。

示例性的，安防前端设备上的安防检测方法可以由设备管理平台配置，且第二统计特征值可以由设备管理平台确定后下发。

示例性的，考虑到安防前端设备的附加任务通常是周期性执行的，因此，当设备管理平台向安防前端设备下发了附加任务时，安防前端设备可能会周期性地上报异常信息日志，且设备管理平台会周期性地生成待验证告警日志和误报日志，此时，为了更准确性判定设备处于异常运行状态，需要更新上述第二统计特征值，或更新所使用的变点检测算法和第二统计特征值。

相应地，当设备管理平台周期性地生成待验证告警日志和误报日志，且待验证告警日志和误报日志的数量达到第一数量时，设备管理平台可以确定该安防前端设备上报的异常信息日志是由于周期性地执行附加任务导致的，此时，设备管理平台可以更新该安防前端设备的第二统计特征值，或，更新该安防前端设备使用的变点检测算法和第二统计特征值。

为了使本领域技术人员更好地理解本申请实施例提供的技术方案，下面结合具体实例对本申请实施例提供的技术方案进行说明。

请参见图2，为本申请实施例提供的一种安防设备主动防御***的架构示意图，如图2所示，该安防设备主动防御***可以包括设备管理平台以及安防前端设备（简称安防设备）。

请参见图3，为本申请实施例提供给的一种安防设备主动防御方法的流程示意图，如图3所示，该安防设备主动防御方法可以包括以下步骤：

需要说明的是，步骤S300、步骤S330~S340的执行主体为设备管理平台，步骤S310~S320的执行主体为安防前端设备（如图2中安防设备1~N中的任一安防设备）。

步骤S300、初始化变点检测模型；

示例性的，变点检测模型中可以包含多种变点检测算法。变点检测模型的初始化可以包括变点检测算法的选择以及初始化。

步骤S310、根据变点检测模型判断当前设备运行状态是否异常，若是则进入下一步，否则继续进行设备是否处于运行状态的判定；

步骤S320、构建异常信息日志，并上报到设备管理平台；

步骤S330、联动异常信息日志与设备任务信息，进行异常日志处理；

步骤S340、根据设备管理平台的数据判断是否需要更新模型，需要则重新进行步骤S300，否则结束。

示例性的，步骤S300可以包括：

1-1、设置安防设备为普通工作模式，不执行附加任务，收集一段时间内的设备运行状态信息（即第二设备运行状态信息）；

具体地，设备管理平台可以将安防设备设置为正常运行状态，并提取一段时间（可以称为Time_therehold，即上述第一时间段）内的设备运行状态信息（假设为Info_A）。

需要说明的是，正常运行状态指的是设备正常开机并运行，可以执行周期性任务（如摄像头巡检、运行日志上报等），但不能下发附加任务；

其次，Time_therehold不做具体限定，值的设置需要根据具体情况，如设备有周期任务时，可以是设置为三个任务周期时间，没有周期任务可以设置为1小时；

再者，设备运行状态信息可以包括但不限于CPU利用率、内存利用率、网络带宽等信息中的一种或多种，每类设备运行状态信息都可以计算出对应的变点检测数据。

示例性的，CPU使用率突然增加表示设备可能中了挖矿病毒、内存占用率突然增加表示设备可能中了蠕虫病毒、网络带宽突然增加表示设备可能中了僵尸程序或被僵尸程序攻击；相关指标突然下降表示设备可能未正常执行任务。

1-2、将设备运行状态信息输入到变点检测算法（变点检测模型初始化时所选择并初始化的变点检测算法）中，由变点检测算法计算正常运行状态（普通工作模式）下设备的运行状态统计数据（即第二统计特征值），保存计算完成的第二统计特征值和变点检测算法；

具体地，设备管理平台可以将收集到的正常运行状态下的安防设备的运行状态信息输入到变点检测算法中进行计算，并保存计算得到的第二统计特征数据和使用的变点检测算法。

需要说明的是，变点检测算法可以包括但不限于Bayes、pettitt、或Buishand_U等。

在一个示例中，变点检测算法为EXpoSE变点检测算法。

此外，变点检测算法是对输入的序列数据计算数学统计指标，如分布类型、分布参数等，不同变点检测算法最大的差异在于计算的数学指标不同。

1-3、将1-2保存的信息初始化到待保护的安防设备中。

示例性的，步骤S310可以包括：

2-1、收集与1-1中相同类型的设备运行状态信息；

具体地，安防设备可以获取本设备的设备运行状态信息（假设为Info_B，即上述第一设备运行状态信息）。

示例性的，待保护的安防设备可以提取与Info_A相同类型的设备运行状态信息，每个预设单位时间提取一次，具体的时间间隔与1-1相同，例如，1-1中以1s为单位时间提取设备运行状态信息，则2-1中也以1s为单位时间提取状态信息。

示例性的，该单位时间为预设的最小时间粒度，即以最小时间粒度为时间间隔进行设备运行状态信息的提取，从而，提取到设备运行状态信息之后，不需要进行时间段切割，保证了数据的连续性。

2-2、利用1-3中初始化完成的变点检测算法和第二统计特征值判断当前设备运行状态是否异常，若异常，则进入下一步，否则继续提取设备运行状态信息，并继续进行设备是否处于运行状态的判定。

示例性的，待保护的安防设备可以基于步骤S300中初始化确定的变点检测算法和第二统计特征值判断当前设备运行状态是否异常。

示例性的，待保护的安防设备可以基于所提取的设备运行状态信息（即Info_B），利用上述变点检测算法，确定Info_B的统计特征值（即上述第一统计特征值），并通过比较第一统计特征值与上述第二统计特征值，判定当前设备运行状态是否异常。

示例性的，可以每提取1次设备运行状态信息Info_B，均进行一次判定。根据变点检测结果确定是否需要进入下一步，若结果为异常（即当前设备运行状态异常），则进入步骤S320，否则继续提取设备运行状态信息，并继续进行设备是否处于异常运行状态的判定。

示例性的，步骤S320可以包括：

3-1、安防设备基于收集到的设备运行状态信息构建异常信息日志；

具体地，当安防设备确定本设备的设备运行状态异常时，可以基于步骤S310中提取的设备运行状态信息构建异常信息日志。

示例性的，异常信息日志的内容可以包括：

若出现异常的设备运行状态信息为CPU使用率，则异常信息日志中可以包括CPU使用率排名前N个进程的进程名、进程对应的命令行、进程CPU使用率、内存占用率、进程所属用户、进程的线程数量等信息中的一个或多个；

若出现异常的设备运行状态信息为内存使用率，则异常信息日志中可以包括内存使用率排名前N个进程的进程名、进程对应的命令行、进程CPU使用率、内存占用率、进程所属用户、进程的线程数量等信息中的一个或多个；

若出现异常的设备运行状态信息为网络带宽，则异常信息日志中可以包括网络带宽占用率排名前N个网络连接的源IP地址、源端口、目的IP地址、目的端口、带宽占用等信息中的一个或多个。

示例性的，N=5。

3-2、安防设备将构建完成的异常信息日志发送到设备管理平台，由管理平台进行统一管理。

具体地，安防设备可以将构建完成的异常信息日志发送到管理平台。发送方式不做限定。

示例性的，该实施例中使用syslog（***日志）方式，将构建好的异常信息日志处理为json（JavaScript Object Notation，JavaScript 对象表示法）格式字符串，再以syslog方式发送到管理平台。

示例性的，步骤S330可以包括：

4-1、查看是否下发了新的任务到设备中，若新下发了任务则构建待验证日志（也可以称为待校验告警日志），并进入4-2，否则进入4-3；

具体地，当设备管理平台接收到安防设备上报的异常信息日志时，确定是否在以接收到该异常信息日志的时刻为结束时刻的M时间段内，由设备管理平台向该安防设备下发了附加任务（非普通工作模式下的任务，通常为人工触发的任务）。

示例性的，M取1分钟。

由于当设备管理平台向安防设备下发了附加任务时，该安防设备的设备运行状态信息可能会突增或突减（如关闭了某个任务），造成安防设备基于变点检测算法确定设备运行状态异常并上报异常信息日志，形成误报，因此，当设备管理平台确定在M时间段内向该安防设备下发了附加任务，则构建待验证日志，并进入步骤4-2，否则，进入步骤4-3。

4-2：由管理员对待验证日志进行人工验证，若属于误报则构建误报日志，否则进入步骤4-3；

具体地，管理员对待验证日志进行人工验证，判断是否属于误报，若是，则构建误报日志。

示例性的，待验证日志通常会在设备管理平台给安防设备下发新的附加任务时产生，此时管理平台通常是处于人工操作状态的，因此，可以通过人工验证的方式确定所构建的待验证日志是否为误报。

示例性的，设备管理平台向安防设备下发的附加任务通常需要周期性执行，因此，通常会周期性的产生待验证日志。

4-3：对上报异常信息日志的安防设备下发阻断任务，并构建阻断日志。

具体地，设备管理平台确定安防设备上报的异常信息日志不属于误报时，可以向该方案设备下发阻断任务，阻断出现异常的设备运行状态信息对应的资源占有第一的进程或网络连接（即目标进程或网络连接）。

示例性的，步骤S340可以包括：

当周期性地出现待验证日志和误报日志，且待验证日志和误报日志出现的数量达到预设数量阈值时，确定需要更新变点检测模型。

示例性的，当周期性出现上述两类日志，表明安防设备的运行状态模式已经被修改，可能是设备会周期性执行任务，从而导致设备运行状态信息周期性变化。

以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述：

请参见图4，为本申请实施例提供的一种安防设备主动防御装置的结构示意图，该安防设备主动防御装置可以应用于上述方法实施例中的安防前端设备，如图4所示，该主动防御装置可以包括：

获取单元，用于获取预设单位时间内的第一设备运行状态信息；

第一确定单元，用于基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

第二确定单元，用于基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前设备运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间；

防御单元，用于当设备处于异常运行状态时，向设备管理平台进行报警。

在一个实施例中，所述防御单元向设备管理平台进行报警之后，还包括：

接收所述设备管理平台下发的阻断任务；

基于所述阻断任务，进行进程或/和网络阻断。

对应地，本申请还提供了图4所示装置的硬件结构。参见图5，该硬件结构可包括：处理器和机器可读存储介质，机器可读存储介质存储有能够被所述处理器执行的机器可执行指令；所述处理器用于执行机器可执行指令，以实现本申请上述示例公开的方法。

基于与上述方法同样的申请构思，本申请实施例还提供一种机器可读存储介质，所述机器可读存储介质上存储有若干计算机指令，所述计算机指令被处理器执行时，能够实现本申请上述示例公开的方法。

示例性的，上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM（Radom Access Memory，随机存取存储器）、易失存储器、非易失性存储器、闪存、存储驱动器（如硬盘驱动器）、固态硬盘、任何类型的存储盘（如光盘、dvd等），或者类似的存储介质，或者它们的组合。

请参见图6，为本申请实施例提供的一种安防设备主动防御***的结构示意图，如图6所示，该安防设备主动防御***可以包括：安防前端设备和设备管理平台；其中：

所述安防前端设备，用于获取预设单位时间内的第一设备运行状态信息；

所述安防前端设备，还用于基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

所述安防前端设备，还用于基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间

所述安防前端设备，还用于当当前处于异常运行状态时，所述安防前端设备向所述设备管理平台进行报警。

在一个实施例中，所述安防前端设备，具体用于向所述设备管理平台上报异常信息日志；

所述设备管理平台，还用于确定是否在第二时间段内向所述安防前端设备下发了附加任务；其中，所述第二时间段为以设备管理平台接收到所述异常信息日志的时刻为结束时刻的预设时长的时间段；当在第二时间段内向所述安防前端设备下发了附加任务时，生成待验证告警日志，以确定所述异常信息日志是否为误报，并在确定所述异常信息日志为误报时，生成误报日志。

在一个实施例中，所述安防前端设备，还用于接收所述设备管理平台下发的所述变点检测算法和第二统计特征值；

所述设备管理平台，还用于当周期性地生成待验证告警日志和误报日志，且所述验证告警日志和误报日志的数量达到第一数量时，更新所述第二统计特征值，或，更新所述变点检测算法和所述第二统计特征值。

在一个实施例中，所述安防前端设备向设备管理平台进行报警之后，还包括：

所述安防前端管理设备接收所述设备管理平台下发的阻断任务；

所述安防前端管理设备基于所述阻断任务，进行进程或/和网络阻断。

在一个实施例中，所述安防前端管理设备基于所述阻断任务，进行进程或/网络阻断，包括：

所述安防前端管理设备基于所述阻断任务，阻断目标进程或网络连接；其中，所述目标进程或网络连接为占用目标资源最高的进程或网络连接，所述目标资源为出现异常的设备运行状态信息对应的资源。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (10)

1.一种安防设备主动防御方法，其特征在于，应用于安防设备主动防御***，所述安防设备主动防御***包括安防前端设备和设备管理平台，所述方法包括：

安防前端设备获取预设单位时间内的第一设备运行状态信息；

所述安防前端设备基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

所述安防前端设备基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间；

当所述安防前端设备当前处于异常运行状态时，所述安防前端设备向所述设备管理平台进行报警。

2.根据权利要求1所述的方法，其特征在于，所述安防前端设备向所述设备管理平台进行报警，包括：

所述安防前端设备向所述设备管理平台上报异常信息日志；

所述安防前端设备向设备管理平台进行报警之后，还包括：

所述设备管理平台确定是否在第二时间段内向所述安防前端设备下发了附加任务；其中，所述第二时间段为以设备管理平台接收到所述异常信息日志的时刻为结束时刻的预设时长的时间段；

当所述设备管理平台在第二时间段内向所述安防前端设备下发了附加任务时，生成待验证告警日志，以确定所述异常信息日志是否为误报，并在确定所述异常信息日志为误报时，生成误报日志。

3.根据权利要求2所述的方法，其特征在于，所述安防前端设备获取预设单位时间内的第一设备运行状态信息之前，还包括：

所述安防前端设备接收所述设备管理平台下发的所述变点检测算法和第二统计特征值；

所述方法还包括：

当所述设备管理平台周期性地生成待验证告警日志和误报日志，且所述验证告警日志和误报日志的数量达到第一数量时，更新所述第二统计特征值，或，更新所述变点检测算法和所述第二统计特征值。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述安防前端设备向设备管理平台进行报警之后，还包括：

所述安防前端管理设备接收所述设备管理平台下发的阻断任务；

所述安防前端管理设备基于所述阻断任务，进行进程或/和网络阻断。

5.根据权利要求4所述的方法，其特征在于，所述安防前端管理设备基于所述阻断任务，进行进程或/网络阻断，包括：

所述安防前端管理设备基于所述阻断任务，阻断目标进程或网络连接；其中，所述目标进程或网络连接为占用目标资源最高的进程或网络连接，所述目标资源为出现异常的设备运行状态信息对应的资源。

6.一种安防设备主动防御装置，其特征在于，应用于安防前端设备，所述装置包括：

获取单元，用于获取预设单位时间内的第一设备运行状态信息；

第一确定单元，用于基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

第二确定单元，用于基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前设备运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间；

防御单元，用于当设备处于异常运行状态时，向设备管理平台进行报警。

7.根据权利要求6所述的装置，其特征在于，所述防御单元向设备管理平台进行报警之后，还包括：

接收所述设备管理平台下发的阻断任务；

基于所述阻断任务，进行进程或/和网络阻断。

8.一种安防设备主动防御***，其特征在于，包括：安防前端设备和设备管理平台；其中：

所述安防前端设备，用于获取预设单位时间内的第一设备运行状态信息；

所述安防前端设备，还用于基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

所述安防前端设备，还用于基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间

所述安防前端设备，还用于当当前处于异常运行状态时，所述安防前端设备向所述设备管理平台进行报警。

9.根据权利要求8所述的***，其特征在于，

所述安防前端设备，具体用于向所述设备管理平台上报异常信息日志；

所述设备管理平台，还用于确定是否在第二时间段内向所述安防前端设备下发了附加任务；其中，所述第二时间段为以设备管理平台接收到所述异常信息日志的时刻为结束时刻的预设时长的时间段；当在第二时间段内向所述安防前端设备下发了附加任务时，生成待验证告警日志，以确定所述异常信息日志是否为误报，并在确定所述异常信息日志为误报时，生成误报日志。

10.根据权利要求9所述的***，其特征在于，

所述安防前端设备，还用于接收所述设备管理平台下发的所述变点检测算法和第二统计特征值；

所述设备管理平台，还用于当周期性地生成待验证告警日志和误报日志，且所述验证告警日志和误报日志的数量达到第一数量时，更新所述第二统计特征值，或，更新所述变点检测算法和所述第二统计特征值。

Images