[发明专利]异常数据的识别方法、装置、计算设备以及介质

说明书

本公开提供一种异常数据的识别方法，包括：获取目标数据，目标数据包括第一设备与第二设备进行数据交互时所产生的数据；确定目标数据中是否包括目标周期信息，目标周期信息用于表征第一设备与第二设备进行周期性的异常数据交互；以及响应于确定目标数据中包括目标周期信息，确定第一设备与第二设备之间的数据交互为异常交互。本公开还提供了一种异常数据的识别装置、一种计算设备、一种介质以及一种计算机程序产品。

技术领域

本公开涉及计算机技术领域，更具体地，涉及一种异常数据的识别方法、一种异常数据的识别装置、一种计算设备以及一种计算机可读存储介质。

背景技术

目前常见的木马检测软件，大部分都是基于程序特征码的检测技术来识别木马程序。安全分析人员通过收集恶意样本并对其主机行为进行分析，以提取其样本特征。并通过特征库升级的方式实现检测软件对木马的检测和防护。由于木马变异较快，传播和攻击方式也更加多样化。特别是远控类木马尤为突出，因其具有更强隐蔽性和持久性，使得对于恶意程序样本的发现和主机行为分析效率降低。

因此，如何从海量的数据中快速获取恶意数据，以对其进行分析成为亟需解决的问题。

发明内容

有鉴于此，本公开提供了一种优化的异常数据的识别方法、异常数据的识别装置、计算设备和计算机可读存储介质。

本公开的一个方面提供了一种异常数据的识别方法，包括：获取目标数据，其中，所述目标数据包括第一设备与第二设备进行数据交互时所产生的数据，确定所述目标数据中是否包括目标周期信息，其中，所述目标周期信息用于表征所述第一设备与所述第二设备进行周期性的异常数据交互，响应于确定所述目标数据中包括目标周期信息，确定所述第一设备与所述第二设备之间的数据交互为异常交互。

根据本公开实施例，上述方法还包括：响应于确定所述第一设备与所述第二设备之间的数据交互为异常交互，分别确定所述第一设备的地址数据和所述第二设备的地址数据，获取待识别数据，所述待识别数据包括多个设备进行数据交互时所产生的数据，所述多个设备至少包括所述第一设备和所述第二设备，基于所述第一设备的地址数据和所述第二设备的地址数据，确定所述待识别数据中的异常数据，其中，所述异常数据包括所述待识别数据中关于所述第一设备与所述第二设备之间的交互数据。

根据本公开实施例，上述确定所述目标数据中是否包括目标周期信息包括：处理所述目标数据，得到所述目标数据中的多个初始周期信息，确定所述多个初始周期信息中每个初始周期信息的权重，得到与所述多个初始周期信息一一对应的多个权重，确定所述多个权重中是否包括满足预设条件的至少一个权重，响应于确定所述多个权重中包括满足预设条件的至少一个权重，确定所述目标数据中包括所述目标周期信息，其中，与所述至少一个权重对应的至少一个初始周期信息为所述目标周期信息。

根据本公开实施例，上述目标数据包括时域数据。其中，所述处理所述目标数据，得到所述目标数据中的多个初始周期信息包括：利用傅里叶变换算法处理所述目标数据，得到频域数据，基于所述频域数据确定所述目标数据中的所述多个初始周期信息。

根据本公开实施例，上述确定所述多个初始周期信息中每个初始周期信息的权重包括：确定与所述多个初始周期信息对应的多个周期曲线，分别确定所述目标数据与所述多个周期曲线的匹配程度，其中，所述目标数据包括多个离散数据，所述匹配程度表征所述多个离散数据与所述周期曲线之间的距离，基于所述匹配程度，确定所述多个初始周期信息中每个初始周期信息的权重。

根据本公开实施例，上述处理所述目标数据，得到所述目标数据中的多个初始周期信息包括：确定所述目标数据中的时间信息，其中，所述时间信息包括所述第一设备与所述第二设备进行数据交互时产生所述目标数据的时间范围，基于所述时间信息确定时间粒度，基于所述时间粒度，对所述目标数据进行压缩处理，基于压缩处理后的目标数据，得到所述多个初始周期信息。