[发明专利]安防设备主动防御方法、装置及系统

权利要求书

1.一种安防设备主动防御方法，其特征在于，应用于安防设备主动防御系统，所述安防设备主动防御系统包括安防前端设备和设备管理平台，所述方法包括：

安防前端设备获取预设单位时间内的第一设备运行状态信息；

所述安防前端设备基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

所述安防前端设备基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间；

当所述安防前端设备当前处于异常运行状态时，所述安防前端设备向所述设备管理平台进行报警。

2.根据权利要求1所述的方法，其特征在于，所述安防前端设备向所述设备管理平台进行报警，包括：

所述安防前端设备向所述设备管理平台上报异常信息日志；

所述安防前端设备向设备管理平台进行报警之后，还包括：

所述设备管理平台确定是否在第二时间段内向所述安防前端设备下发了附加任务；其中，所述第二时间段为以设备管理平台接收到所述异常信息日志的时刻为结束时刻的预设时长的时间段；

当所述设备管理平台在第二时间段内向所述安防前端设备下发了附加任务时，生成待验证告警日志，以确定所述异常信息日志是否为误报，并在确定所述异常信息日志为误报时，生成误报日志。

3.根据权利要求2所述的方法，其特征在于，所述安防前端设备获取预设单位时间内的第一设备运行状态信息之前，还包括：

所述安防前端设备接收所述设备管理平台下发的所述变点检测算法和第二统计特征值；

所述方法还包括：

当所述设备管理平台周期性地生成待验证告警日志和误报日志，且所述验证告警日志和误报日志的数量达到第一数量时，更新所述第二统计特征值，或，更新所述变点检测算法和所述第二统计特征值。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述安防前端设备向设备管理平台进行报警之后，还包括：

所述安防前端管理设备接收所述设备管理平台下发的阻断任务；

所述安防前端管理设备基于所述阻断任务，进行进程或/和网络阻断。

5.根据权利要求4所述的方法，其特征在于，所述安防前端管理设备基于所述阻断任务，进行进程或/网络阻断，包括：

所述安防前端管理设备基于所述阻断任务，阻断目标进程或网络连接；其中，所述目标进程或网络连接为占用目标资源最高的进程或网络连接，所述目标资源为出现异常的设备运行状态信息对应的资源。

6.一种安防设备主动防御装置，其特征在于，应用于安防前端设备，所述装置包括：

获取单元，用于获取预设单位时间内的第一设备运行状态信息；

第一确定单元，用于基于所述第一设备运行状态信息，利用已确定的变点检测算法，确定所述第一设备运行状态信息的第一统计特征值；

第二确定单元，用于基于所述第一统计特征值，以及已确定的第二统计特征值，确定当前设备运行状态是否异常；其中，所述第二统计特征值为所述安防前端设备处于正常运行状态下，基于第一时间段内的第二设备运行状态信息，利用所述变点检测算法确定的所述第二设备运行状态信息的统计特征值，所述第一时间段包括多个预设单位时间；

防御单元，用于当设备处于异常运行状态时，向设备管理平台进行报警。

7.根据权利要求6所述的装置，其特征在于，所述防御单元向设备管理平台进行报警之后，还包括：

接收所述设备管理平台下发的阻断任务；

基于所述阻断任务，进行进程或/和网络阻断。