[发明专利]检测作业系统的异常操作的异常检测的方法及装置

权利要求书

1.一种异常检测的方法，适用于检测作业系统的异常操作，所述方法包括：

根据历史数据流中的历史使用量和历史变化程度计算所述作业系统在一或多个时段的使用量安全范围，包括：

基于所述一或多个时段为例假日而调整所述一或多个时段的容忍系数；以及

根据所述历史使用量以及所述历史变化程度和所述容忍系数的乘积计算所述使用量安全范围的上界和下界；

根据当前数据流及所述使用量安全范围计算对应所述一或多个时段的异常比率；

根据阈值及所述异常比率从所述一或多个时段中挑选出一或多个异常时段；

根据所述历史数据流及所述当前数据流计算所述一或多个异常时段的每一者的异常指标；以及

根据所述异常指标排行所述一或多个异常时段。

2.根据权利要求1所述的方法，其中所述当前数据流包括所述作业系统在所述一或多个时段的当前使用量。

3.根据权利要求2所述的方法，其中根据当前数据流及所述使用量安全范围计算对应所述一或多个时段的异常比率的步骤包括：

基于对应一或多个操作特征的所述当前使用量在所述使用量安全范围内的比例计算所述异常比率。

4.根据权利要求2所述的方法，其中根据所述历史数据流及所述当前数据流计算所述一或多个异常时段的每一者的异常指标的步骤包括：

基于对应于第一异常时段的所述历史使用量、所述历史变化程度以及所述当前使用量计算对应于第一时间间隔的第一异常程度；

基于对应于第二异常时段的所述历史使用量、所述历史变化程度以及所述当前使用量计算对应于所述第一时间间隔的第二异常程度；以及

基于所述第一异常程度及所述第二异常程度计算所述异常指标，其中所述第一异常时段及所述第二异常时段包含于所述一或多个异常时段中。

5.根据权利要求2所述的方法，其中根据所述历史数据流及所述当前数据流计算所述一或多个异常时段的每一者的异常指标的步骤包括：

基于对应于第一异常时段的所述历史使用量、所述历史变化程度以及所述当前使用量计算对应于第一操作特征的第一异常程度；

基于对应于所述第一异常时段的所述历史使用量、所述历史变化程度以及所述当前使用量计算对应于第二操作特征的第二异常程度；以及

基于所述第一异常程度及所述第二异常程度计算所述异常指标。

6.根据权利要求2所述的方法，还包括：

以平均数及中位数的其中之一来代表所述当前使用量及所述历史使用量；以及

以标准差及变异数的其中之一来代表所述历史变化程度。

7.根据权利要求2所述的方法，其中所述历史使用量及所述当前使用量对应于一或多个操作特征，且所述一或多个操作特征关联于下列的至少其中之一：登入作业系统的次数、作业系统所存取的网际网络协定地址的数量以及作业系统所使用的通讯埠的数量。

8.一种异常检测的装置，适用于检测作业系统的异常操作，所述装置包括：

存储单元，存储多个模块；以及

处理单元，耦接所述存储单元，且存取并执行所述存储单元所存储的所述多个模块，所述多个模块包括：

数据库，记录历史数据流；

侧录模块，侧录当前数据流；以及

异常检测模块，经配置以执行：

根据所述历史数据流中的历史使用量和历史变化程度计算所述作业系统在一或多个时段的使用量安全范围，包括：

基于所述一或多个时段为例假日而调整所述一或多个时段的容忍系数；以及

根据所述历史使用量以及所述历史变化程度和所述容忍系数的乘积计算所述使用量安全范围的上界和下界；

根据所述当前数据流及所述使用量安全范围计算对应所述一或多个时段的异常比率；

根据阈值及所述异常比率从所述一或多个时段中挑选出一或多个异常时段；

根据所述历史数据流及所述当前数据流计算所述一或多个异常时段的每一者的异常指标；以及

根据所述异常指标排行所述一或多个异常时段。