[发明专利]一种系统检测方法及装置

权利要求书

1.一种系统检测方法，其特征在于，包括：

获取系统的当前运行数据；

根据所述当前运行数据，构造当前运行行为向量；

根据所述当前运行行为向量，利用预先构建的正常行为向量模型进行检测，得到检测结果；

输出所述检测结果。

2.根据权利要求1所述的方法，其特征在于，所述当前运行数据包括系统性能运行参数、处于运行状态的应用的运行参数和网络运行参数；

所述根据所述当前运行数据，构造当前运行行为向量，包括：

对所述当前运行数据进行数字化处理，得到适于运算处理的运行数据；

对于所述运行数据，将在系统运行中存在关联的参数进行合并处理，合并后形成所述当前运行行为向量。

3.根据权利要求2所述的方法，其特征在于，所述系统性能运行参数包括CPU总占用状态、内存总占用状态、总耗电量状态，所述处于运行状态的应用的运行参数包括应用类型、权限的开启状态、CPU占用状态、内存占用状态、耗电量状态，所述网络运行参数包括网络模块开启及连接状态；

对所述当前运行数据进行数字化处理，得到适于运算处理的运行数据，包括：

按照预先划分的占用等级，将所述CPU总占用状态、所述CPU占用状态赋予对应的等级数值；

按照内存占用增加、减少和不变的情况，将所述内存总占用状态、所述内存占用状态赋予对应的状态数值；

按照耗电量增幅小、增幅一般和增幅大的情况，将所述总耗电量状态、所述耗电量状态赋予对应的状态数值；

按照预设的应用类型，将所述应用类型赋予对应的类型编号；

按照权限开启、关闭的情况，将所述权限的开启状态赋予对应的状态数值；

按照网络模块开启、关闭及连接、未连接的情况，将网络模块开启及连接状态赋予对应的状态数值。

4.根据权利要求3所述的方法，其特征在于，所述权限的类型包括至少一种，所述网络模块的数量为至少一个；

对于所述运行数据，将在系统运行中存在关联的参数进行合并处理，合并后形成所述当前行为向量，包括：

将所述CPU总占用状态、内存总占用状态和总耗电量状态合并处理为一个参数；

将应用所对应的CPU占用状态、内存占用状态和耗电量状态合并处理为一个参数；

将各类型的权限的开启状态合并处理为一个参数；

将各网络模块的网络模块开启及连接状态合并处理为一个参数。

5.根据权利要求1所述的方法，其特征在于，所述正常行为向量模型的构建方法包括：

预先获取至少一组所述当前运行数据；

根据至少一组所述当前运行数据，构造至少一组正常运行行为向量样本；

对至少一组正常运行行为向量样本进行聚类分析处理，得到预定分类数量的正常行为特征向量及各正常行为特征向量所对应的聚类半径。

6.根据权利要求5所述的方法，其特征在于，

所述根据至少一组所述当前运行数据，构造至少一组正常运行行为向量样本，包括：

对至少一组所述当前运行数据进行无效数据过滤，得到过滤后的至少一组有效运行数据；

对至少一组有效运行数据进行数字化处理，得到至少一组适于运算处理的运行数据；

对于至少一组适于运算处理的运行数据，将在系统运行中存在关联的参数进行合并处理，合并后形成至少一组正常运行行为向量样本。

7.根据权利要求6所述的方法，其特征在于，预先获取至少一组所述当前运行数据为：在采样周期内，每隔预定时间间隔采集所述当前运行数据；

对至少一组所述当前运行数据进行无效数据过滤，得到过滤后的至少一组有效运行数据，包括：判断至少一个采样周期内采集的至少一组当前运行数据是否达到预定数量，若否，确定各采样周期内采集的当前运行数据为无效数据；重置采样周期，于重置的采样周期内采集所述当前运行数据，直至各采样周期内采集的当前运行数据达到所述预定数量，将达到预定数量的当前运行数据作为所述有效运行数据。