(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN113821316A(43)申请公布日2021.12.21(21)申请号202110651266.2(22)申请日2021.06.10(71)申请人腾讯科技（深圳）有限公司地址518000广东省深圳市南山区高新区科技中一路腾讯大厦35层(72)发明人郑荣锋蔡晨伍成祥赖豪华(74)专利代理机构北京康信知识产权代理有限责任公司11240代理人赵静(51)Int.Cl.G06F9/48(2006.01)G06F9/50(2006.01)权利要求书4页说明书23页附图5页(54)发明名称异常进程的检测方法和装置、存储介质及电子设备(57)摘要本发明公开了一种异常进程的检测方法和装置、存储介质及电子设备。其中，该方法包括：获取目标进程在当前周期上的运行信息，根据目标进程在当前周期上的运行信息，确定目标进程在空间维度上的第一异常系数，根据目标进程在当前周期之前的多个历史周期上的历史运行信息，确定目标进程在时间维度上的第二异常系数，根据第一异常系数和第二异常系数，确定第一主机中的目标进程是否为异常进程。本发明解决了相关技术中存在的异常进程的检测准确率较低，容易造成误检的技术问题。CN113821316ACN113821316A权利要求书1/4页1.一种异常进程的检测方法，其特征在于，包括：获取目标进程在当前周期上的运行信息，其中，所述运行信息包括多个维度的运行数据，所述目标进程是在一组主机中的第一主机中从所述一组主机所处的内部网络向所述一组主机所连接的外部网络传输数据的进程；根据所述目标进程在所述当前周期上的运行信息，确定所述目标进程在空间维度上的第一异常系数，其中，所述第一异常系数用于表示所述目标进程在所述当前周期上的当前运行信息与预先获取的中心点运行信息之间的距离，所述中心点运行信息是根据所述目标进程在所述当前周期上的运行信息确定得到的运行信息；根据所述目标进程在所述当前周期之前的多个历史周期上的历史运行信息，确定所述目标进程在时间维度上的第二异常系数，其中，所述第二异常系数用于表示所述目标进程的所述当前运行信息相对于所述目标进程的所述历史运行信息的偏移；根据所述第一异常系数和所述第二异常系数，确定所述第一主机中的所述目标进程是否为异常进程。2.根据权利要求1所述的方法，其特征在于，所述根据所述目标进程在所述当前周期上的运行信息，确定所述目标进程在空间维度上的第一异常系数，包括：在所述一组主机中除所述第一主机之外的第二主机中运行了所述目标进程的情况下，根据所述第一主机中运行的所述目标进程在所述当前周期上的运行信息、以及所述第二主机中运行的所述目标进程在所述当前周期上的运行信息，确定所述中心点运行信息，其中，所述第二主机包括一个或多个主机，所述中心点运行信息包括所述多个维度的中心点运行数据；确定所述多个维度的运行数据与所述多个维度的中心点运行数据之间的距离，得到所述第一异常系数。3.根据权利要求2所述的方法，其特征在于，所述根据所述第一主机中运行的所述目标进程在所述当前周期上的运行信息、以及所述第二主机中运行的所述目标进程在所述当前周期上的运行信息，确定所述中心点运行信息，包括：在所述多个维度为N个维度时，确定所述第一主机和所述第二主机中的所述目标进程的所述运行信息在每个维度中的均值，得到N个维度的平均运行数据，其中，所述中心点运行信息包括N个维度的平均运行数据，N≥2且为自然数。4.根据权利要求1所述的方法，其特征在于，所述根据所述目标进程在所述当前周期上的运行信息，确定所述目标进程在空间维度上的第一异常系数，包括：在所述一组主机中除所述第一主机之外的主机中未运行所述目标进程的情况下，根据所述一组主机中运行的每个进程在所述当前周期上的运行信息，确定所述中心点运行信息，其中，所述中心点运行信息包括所述多个维度的中心点运行数据；确定所述多个维度的运行数据与所述多个维度的中心点运行数据之间的距离，得到所述第一异常系数。5.根据权利要求4所述的方法，其特征在于，所述根据所述一组主机中运行的每个进程在所述当前周期上的运行信息，确定所述中心点运行信息，包括：在所述多个维度为N个维度时，确定所述一组主机中运行的每个进程的所述运行信息在每个维度中的均值，得到N个维度的平均运行数据，其中，所述中心点运行信息包括N个维2CN113821316A权利要求书2/4页度的平均运行数据，N≥2且为自然数。6.根据权利要求2或4所述的方法，其特征在于，所述确定所述多个维度的运行数据与所述多个维度的中心点运行数据之间的距离，得到所述第一异常系数，包括：在所述多个维度为N个维度时，确定所述N个维度的运行数据与所述N个维度的中心点运行数据在每个维度上的差值，得到N个差值，其中，N≥2且为自然数；