异常设备的检测方法、装置、设备及存储介质

技术领域

本申请涉及人工智能技术领域，尤其涉及一种异常设备的检测方法、装置、设备及存储介质。

背景技术

随着信息技术的发展，网络攻击事件常发，可以通过蠕虫、木马或其他恶意代码等僵尸网络入侵电子设备，实现对电子设备的控制，将该电子设备作为攻击设备，通过攻击设备可以对电子设备所在网络的其他设备发起攻击。

在现有技术中，工作人员可以对区域网络中异常流量进行分析，确定异常流量的流量特征，根据异常流量的流量特征，对区域网络中多个电子设备的流量进行检测，以实现对异常设备的检测。然而，攻击者可以将僵尸网络中的特征流量进行修改，提高僵尸网络的迭代，使得对工作人员的网络知识和经验要求更高，难以快速准确地确定异常流量的流量特征，使得对异常设备检测的准确性较低。

发明内容

本申请提供一种异常设备的检测方法、装置、设备及存储介质，用以解决异常设备检测的准确性较低的技术问题。

第一方面，本申请提供一种异常设备的检测方法，包括：

获取多个当前数据流，并根据所述多个当前数据流，确定每个当前数据流的N个目标特征编码，所述N为大于或等于1的整数；

基于预设检测模型，对所述每个当前数据流的N个目标特征编码进行数据处理，得到所述每个当前数据流的异常概率；

根据所述每个当前数据流的N个目标特征编码，确定多个目标设备，并在所述多个当前数据流中确定每个目标设备对应的至少一个当前数据流；

根据所述每个当前数据流的异常概率、以及每个目标设备对应的至少一个当前数据流，在所述多个目标设备中确定异常设备。

在一种可能的实施方式中，针对任意一个当前数据流；根据所述多个当前数据流，确定所述当前数据流的N个目标特征编码，包括：

获取多个初始特征标识，所述初始特征标识中包括M个预设特征标识和多个待提取特征标识，所述M为大于或等于1且小于N的整数；

根据所述多个当前数据流和所述多个初始特征标识，确定所述当前数据流的多个初始特征编码；

对所述多个初始特征编码进行特征提取处理，得到所述当前数据流的N个目标特征编码。

在一种可能的实施方式中，根据所述当前数据流和所述多个初始特征标识，确定所述当前数据流的多个初始特征编码，包括：

获取特征编码规则；

在所述当前数据流中确定所述多个初始特征标识对应的特征信息，得到多个特征信息；

根据所述特征编码规则，对所述多个特征信息进行编码处理，得到所述多个初始特征编码。

在一种可能的实施方式中，所述多个初始特征编码中包括M个预设特征编码和多个待提取特征编码；对所述多个初始特征编码进行特征提取处理，得到所述当前数据流的N个目标特征编码，包括：

确定预设特征提取模型；

将所述多个待提取特征编码作为预设特征提取模型的输入，得到所述多个待提取特征编码的特征重要度；

根据所述多个待提取特征编码的特征重要度，对所述多个待提取特征编码进行排序，得到排序后的多个待提取特征编码；

将所述排序后的多个待提取特征编码中前Q个待提取特征编码和M个预设特征编码，确定为N个目标特征编码，所述Q为大于或等于1的整数。

在一种可能的实施方式中，所述目标特征编码中包括互联网协议的源地址编码；根据所述每个当前数据流的N个目标特征编码，确定多个目标设备，并在所述多个当前数据流中确定每个目标设备对应的至少一个当前数据流，包括：

根据所述每个当前数据流的N个目标特征编码，确定多个源地址编码；

确定所述多个源地址编码对应的多个目标设备；

根据所述每个当前数据流的所述源地址编码，确定所述每个目标设备对应的至少一个当前数据流。

在一种可能的实施方式中，所述预设检测模型中包括预设空间模型和预设时序模型；基于预设检测模型，对所述每个当前数据流的N个目标特征编码进行数据处理，得到所述每个当前数据流的异常概率，包括：

将所述每个当前数据流的N个目标特征编码作为预设空间模型的输入，得到所述每个当前数据流的空间特征编码；

获取所述预设时序模型对应的多个预设参数；

根据所述预设时序模型和所述多个预设参数，对所述每个当前数据流的空间特征编码进行数据处理，得到所述每个当前数据流的异常概率。

在一种可能的实施方式中，根据所述每个当前数据流的异常概率、以及每个目标设备对应的至少一个当前数据流，在所述多个目标设备中确定异常设备，包括：

将所述异常概率大于预设概率的当前数据流，确定为异常数据流；

针对任意一个目标设备，若所述目标设备对应的至少一个当前数据流中存在所述异常数据流，则将所述目标设备确定为所述异常设备。

第二方面，本申请提供一种异常设备的检测装置，包括获取模块、第一确定模块、数据处理模块、第二确定模块和第三确定模块：

所述获取模块用于，获取多个当前数据流；

所述第一确定模块用于，根据所述多个当前数据流，确定每个当前数据流的N个目标特征编码，所述N为大于或等于1的整数；

所述数据处理模块用于，基于预设检测模型，对所述每个当前数据流的N个目标特征编码进行数据处理，得到所述每个当前数据流的异常概率；

所述第二确定模块用于，根据所述每个当前数据流的N个目标特征编码，确定多个目标设备，并在所述多个当前数据流中确定每个目标设备对应的至少一个当前数据流；

所述第三确定模块用于，根据所述每个当前数据流的异常概率、以及每个目标设备对应的至少一个当前数据流，在所述多个目标设备中确定异常设备。

在一种可能的实施方式中，针对任意一个当前数据流；所述第一确定模块具体用于：

获取多个初始特征标识，所述初始特征标识中包括M个预设特征标识和多个待提取特征标识，所述M为大于或等于1且小于N的整数；

根据所述多个当前数据流和所述多个初始特征标识，确定所述当前数据流的多个初始特征编码；

对所述多个初始特征编码进行特征提取处理，得到所述当前数据流的N个目标特征编码。

在一种可能的实施方式中，所述第一确定模块具体用于：

获取特征编码规则；

在所述当前数据流中确定所述多个初始特征标识对应的特征信息，得到多个特征信息；

根据所述特征编码规则，对所述多个特征信息进行编码处理，得到所述多个初始特征编码。

在一种可能的实施方式中，所述多个初始特征编码中包括M个预设特征编码和多个待提取特征编码；所述第一确定模块具体用于：

确定预设特征提取模型；

将所述多个待提取特征编码作为预设特征提取模型的输入，得到所述多个待提取特征编码的特征重要度；

根据所述多个待提取特征编码的特征重要度，对所述多个待提取特征编码进行排序，得到排序后的多个待提取特征编码；

将所述排序后的多个待提取特征编码中前Q个待提取特征编码和M个预设特征编码，确定为N个目标特征编码，所述Q为大于或等于1的整数。

在一种可能的实施方式中，所述目标特征编码中包括互联网协议的源地址编码；所述第二确定模块具体用于：

根据所述每个当前数据流的N个目标特征编码，确定多个源地址编码；

确定所述多个源地址编码对应的多个目标设备；

根据所述每个当前数据流的所述源地址编码，确定所述每个目标设备对应的至少一个当前数据流。

在一种可能的实施方式中，所述预设检测模型中包括预设空间模型和预设时序模型；所述数据处理模块具体用于：

将所述每个当前数据流的N个目标特征编码作为预设空间模型的输入，得到所述每个当前数据流的空间特征编码；

获取所述预设时序模型对应的多个预设参数；

根据所述预设时序模型和所述多个预设参数，对所述每个当前数据流的空间特征编码进行数据处理，得到所述每个当前数据流的异常概率。

在一种可能的实施方式中，所述第三确定模块具体用于：

将所述异常概率大于预设概率的当前数据流，确定为异常数据流；

针对任意一个目标设备，若所述目标设备对应的至少一个当前数据流中存在所述异常数据流，则将所述目标设备确定为所述异常设备。

第三方面，本申请提供一种电子设备，包括：存储器和处理器；

所述存储器存储计算机执行指令；

所述处理器执行所述存储器存储的计算机执行指令，使得所述处理器执行第一方面任一项所述的异常设备的检测方法。

第四方面，本申请提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当所述计算机执行指令被处理器执行时用于实现第一方面任一项所述的异常设备的检测方法。

本申请提供的异常设备的检测方法、装置、设备及存储介质，可以获取多个当前数据流，根据多个当前数据流确定每个当前数据流的目标特征编码，并根据预设检测模型确定每个当前数据流的异常概率，以在多个当前数据流中确定异常数据流，将异常数据流所在的目标设备确定为异常设备，实现对异常流量的实时监控并根据当前流量确定目标特征，提高了对异常设备检测的准确性。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。

图1为本申请实施例提供的应用场景的示意图；

图2为本申请实施例提供的一种异常设备的检测方法的流程示意图；

图3为本申请实施例提供的初始检测模型的结构示意图；

图4为本申请实施例提供的另一种异常设备的检测方法的流程示意图；

图5为本申请实施例提供的残差模块的结构示意图；

图6为本申请实施例提供的初始空间模型的结构示意图；

图7为本申请实施例提供的确定目标特征编码的流程示意图；

图8为本申请实施例提供的异常设备的检测方法的结构示意图；

图9为本申请实施例提供的一种异常设备的检测装置的结构示意图；

图10为本申请实施例提供一种电子设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

图1为本申请实施例提供的应用场景的示意图。请参见图1，可以包括多个用户设备101和检测设备102。

在区域网络内可以包括多个用户设备101，用户设备可以包括终端设备和服务器。用户设备101之间可以点对点地进行数据信息交互。在用户设备101之间进行信息交互时，可以产生数据流并将数据流记录在日志中，根据数据流可以确定发送信息的用户设备和接收信息的用户设备。

检测设备102可以对区域网络内的多个用户设备101进行检测，获取多个当前数据流，并确定每个当前数据流的N个目标特征编码，其中，N为大于或等于1的整数。可以基于预设检测模型，对每个当前数据流的N个目标特征编码进行数据处理，得到每个当前数据流的异常概率。根据每个当前数据流的N个目标特征编码可以确定多个目标设备、以及每个目标设备对应的至少一个当前数据流。可以根据每个当前数据流的异常概率和每个目标设备对应的至少一个当前数据流，在多个目标设备中确定异常设备。

现有技术中，工作人员可以对区域网络中异常流量进行分析，确定异常流量的流量特征，根据异常流量的流量特征，对区域网络中多个电子设备的流量进行检测，以实现对异常设备的检测。然而，攻击者可以将僵尸网络中的特征流量进行修改，提高僵尸网络的迭代，使得对工作人员的网络知识和经验要求更高，难以快速准确地确定异常流量的流量特征，使得对异常设备检测的准确性较低。

本申请提供的异常设备的检测方法，可以获取多个当前数据流，根据多个当前数据流确定每个当前数据流的目标特征编码，并根据预设检测模型确定每个当前数据流的异常概率，以在多个当前数据流中确定异常数据流，将异常数据流所在的目标设备确定为异常设备，实现对异常流量的实时监控并根据当前流量确定目标特征，提高了对异常设备检测的准确性。

下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本申请的实施例进行描述。

图2为本申请实施例提供的一种异常设备的检测方法的流程示意图。请参见图2，该方法可以包括：

S201、获取多个当前数据流。

本申请实施例的执行主体可以为检测设备，也可以为设置在检测设备中的异常设备的检测装置。异常设备的检测装置可以通过软件实现，也可以通过软件和硬件的结合实现。

可以获取预设时长内的多个当前数据流，多个当前数据流中可以包括多个用户设备之间的数据流。

在当前数据流中可以包括多个特征信息，特征信息可以包括源地址、目标地址、使用的协议、服务类型、传输的数据包数量和字节数等。

S202、根据多个当前数据流，确定每个当前数据流的N个目标特征编码。

针对任意一个当前数据流，可以根据如下方式确定当前数据流的N个目标特征编码：根据多个当前数据流，确定多个初始特征标识；根据当前数据流和多个初始特征标识，确定当前数据流的多个初始特征编码；对多个初始特征编码进行特征提取处理，得到当前数据流的N个目标特征编码。

N为大于或等于1的整数。

初始特征标识中可以包括M个预设特征标识和多个待提取特征标识，其中，M为大于或等于1且小于N的整数。

例如，假设共有6个当前数据流，分别为数据流1-6，可以根据数据流1-6确定4个初始特征标识，分别为初始特征1-4，可以根据数据流1，确定初始特征编码11、初始特征编码12、初始特征编码13和初始特征编码14，每个数据流确定的初始特征编码可以如表1所示。

表1

S203、基于预设检测模型，对每个当前数据流的N个目标特征编码进行数据处理，得到每个当前数据流的异常概率。

可以根据如下方式确定预设检测模型：获取多个历史数据流；对多个历史数据流进行处理，得到历史数据集，历史数据集中包括多个历史数据流的N个历史特征编码和空间特征编码；根据历史数据集对初始检测模型进行训练，得到预设检测模型。

可以通过CTU-13数据集和ISOT数据集获取多个历史数据流，在CTU-13数据集中可以包括多个异常数据流和多个良性数据流，在ISOT数据集中可以包括多个异常数据流，其中，ISOT数据集中异常数据流可以为Waledac类型和Storm Bots类型。

预设检测模型中可以包括预设空间模型和预设时序模型，其中，预设空间模型可以为一维残差卷积神经网络模型，预设时序模型可以为长短期记忆网络模型。

可以通过预设空间模型提取当前数据流中的空间特征，通过预设时序模型可以提取当前数据流中具有时序和局部信息的特征，可以提高当前数据流的异常概率的准确性。

图3为本申请实施例提供的初始检测模型的结构示意图。请参见图3，初始检测模型可以包括一维残差卷积神经网络模型、最大值池化、长短期记忆网络模型和损失函数。针对任意一个历史数据流，可以将历史数据流的N个历史特征编码作为一维残差卷积神经网络模型的第一输入，得到一维残差卷积神经网络模型的第一输出，将一维残差卷积神经网络模型的输出进行最大值池化，池化后作为长短期记忆网络模型的第二输入，得到长短期记忆网络模型的第二输出，根据损失函数确定第一输入和第二输出的误差，对初始检测模型进行修正，根据多个历史数据流训练后，得到预设检测模型。

损失函数可以采用交叉熵损失函数，公式可以如下所示：

其中，p(z

将每个当前数据流的N个目标特征编码作为预设检测模型的输入，可以得到每个当前数据流的异常概率为q(z)。

例如，假设共有3个当前数据流，分别为数据流1-3，假设共有3个目标特征编码，数据流的目标特征标目可以如表2所示，可以通过预设检测模型分别对数据流1-3的目标特征编码进行数据处理，可以得到数据流1的异常概率为0.8、数据流2的异常概率为0.3和数据流3的异常概率为0.2。

表2

S204、根据每个当前数据流的N个目标特征编码，确定多个目标设备，并在多个当前数据流中确定每个目标设备对应的至少一个当前数据流。

针对任意一个当前数据流，当前数据流具有发送设备和接收设备，可以将当前数据流的发送设备确定为目标设备。

不同的当前数据流可以具有相同的发送设备。

例如，假设共有3个当前数据流，分别为数据流1-3，假设数据流1的发送设备为设备1，数据流2的发送设备为用户设备1，数据流3的发送设备为用户设备2，则可以确定2个目标设备，分别为设备1和用户设备2，用户设备1对应的当前数据流为数据流1和数据流2，用户设备2对应的当前数据流为数据流3。

S205、根据每个当前数据流的异常概率、以及每个目标设备对应的至少一个当前数据流，在多个目标设备中确定异常设备。

可以根据如下方式确定异常设备：将异常概率大于预设概率的当前数据流，确定为异常数据流；针对任意一个目标设备，若目标设备对应的至少一个当前数据流中存在异常数据流，则将目标设备确定为异常设备。

僵尸网络可以控制的用户设备，该用户设备可以为异常设备，异常设备被僵尸网络控制后，可以发送攻击信息，攻击区域网络内的其他用户设备。

当前数据流中可以发送记录攻击信息的过程，该当前数据流可以为异常数据流。

例如，假设共有3个当前数据流，分别为数据流1-3，假设共有2个目标设备，分别为用户设备1和用户设备2，假设用户设备1对应的当前数据流为数据流1和数据流2，设备2对应的当前数据流为数据流3，假设数据流1的异常概率为0.3，数据流2的异常概率为0.7，数据流3的异常概率为0.3，假设预设概率为0.5，则可以确定数据流2为异常数据流，则可以确定用户设备1为异常设备。

本申请实施例提供的异常设备的检测方法，可以获取多个当前数据流，根据多个当前数据流确定每个当前数据流的目标特征编码，并根据预设检测模型确定每个当前数据流的异常概率，以在多个当前数据流中确定异常数据流，将异常数据流所在的目标设备确定为异常设备，实现对异常流量的实时监控并根据当前流量确定目标特征，提高了对异常设备检测的准确性。

图4为本申请实施例提供的另一种异常设备的检测方法的流程示意图。请参见图4，该方法可以包括：

S401、获取多个当前数据流。

S401的执行过程可以参见S201的执行过程，此处不再进行赘述。

S402、根据多个当前数据流，确定每个当前数据流的N个目标特征编码。

S402的执行过程可以参见S202的执行过程和下文实施例的执行过程，此处不再进行赘述。

S403、将每个当前数据流的N个目标特征编码作为预设空间模型的输入，得到每个当前数据流的空间特征编码。

初始空间模型可以为一维残差卷积神经网络，其中，一维残差卷积神经网络可以是在卷积神经网络中增加残差模块，以提高网络训练的效率。

图5为本申请实施例提供的残差模块的结构示意图。请参见图5，针对任意一个残差模块，残差模块可以包括两个分支，分别为第一分支和第二分支，第一分支中包括第一卷积层、第一激活函数和第二卷积层，假设残差模块的输入为x，可以确定第一分支的输出为第一激活函数f(x)，第二分支的输出为x，可以将第一激活函数f(x)和x相加，得到第二激活函数R(x)＝f(x)+x。

在初始空间模型中可以包括多层残差模块，可以增加初始空间模型的对历史数据集的特征学习能力。

图6为本申请实施例提供的初始空间模型的结构示意图。请参见图6，在初始空间模型中包括多层残差模块，在图6中共有9个卷积层，分别为卷积层1-9，省略了中间部分残差模块。针对任意一个残差模块，在第一分支包括两个卷积层，在第二分支包括一个卷积层，针对任意一个卷积层可以具有其对应的通道大小、卷积核大小和步长，可以根据实际情况对通道大小、卷积核大小和步长进行预设。

S404、获取预设时序模型对应的多个预设参数。

预设参数可以包括遗忘门、输入门、记忆单元、输出门的权重矩阵和遗忘门、输入门、记忆单元、输出门的偏置项等。

其中，对初始时序模型进行训练后得到的可以得到遗忘门、输入门、记忆单元、输出门的权重矩阵；遗忘门、输入门、记忆单元、输出门的偏置项可以对初始时序模型进行训练时的预设值。

S405、根据预设时序模型和多个预设参数，对每个当前数据流的空间特征编码进行数据处理，得到每个当前数据流的异常概率。

在预设时序模型中可以包括多个长短期记忆网络层，在每个长短期记忆网络层中可以包括记忆单元、输入门、输出门和遗忘门，针对任意一个当前数据流，当前数据流的发送时刻为t，可以根据如下公式对记忆单元、输入门、输出门和遗忘门进行计算：

f

i

C

o

h

其中，i

可以将输出门o

S406、根据每个当前数据流的N个目标特征编码，确定多个源地址编码。

目标特征编码可以包括源地址编码。

例如，假设共有5个当前数据流，分别为数据流1-5，假设数据流的源地址编码可以如表3所示，则可以确定3个源地址编码，分别为地址编码1-3。

表3

S407、确定多个源地址编码对应的多个目标设备。

例如，假设共有3个源地址编码，分别为地址编码1-3，假设地址编码1对应用户设备1，假设地址编码2对应用户设备2，假设地址编码3对应用户设备3，则可以确定用户设备1-3为目标设备。

S408、根据每个当前数据流的源地址编码，确定每个目标设备对应的至少一个当前数据流。

例如，假设共有3个目标设备，分别为用户设备1-3，假设共有5个当前数据流，假设当前数据流的源地址编码可以如表3所示，则可以确定用户设备1对应数据流1，用户设备2对应数据流2-4，用户设备3对应数据流5。

S409、将异常概率大于预设概率的当前数据流，确定为异常数据流。

例如，假设共有5个当前数据流，分别为数据流1-5，假设当前数据流的异常概率如表3所示，假设预设概率为0.5，则可以确定数据流2为异常数据流。

S410、针对任意一个目标设备，若目标设备对应的至少一个当前数据流中存在异常数据流，则将目标设备确定为异常设备。

例如，假设目标设备为用户设备2，假设用户设备2对应数据流2-4，假设数据流2为异常数据流，则可以确定用户设备2为异常设备。

本申请实施例提供的异常设备的检测方法，可以通过预设空间模型和预设时序模型对每个当前数据流的N个目标特征编码进行数据处理，得到每个当前数据流的异常概率，将目标设备对应的当前数据流中存在异常数据流的目标设备，确定为异常设备，可以根据当前数据流的目标特征，确定异常设备，提高了对异常设备检测的准确性。

针对任意一个当前数据流，下面，结合图4，对本申请实施例提供的确定当前数据流的N个目标特征编码的执行过程进行进一步的说明。

图7为本申请实施例提供的确定目标特征编码的流程示意图。请参见图7，该方法可以包括：

S701、根据多个当前数据流，确定多个初始特征标识。

初始特征标识中可以包括M个预设特征标识和多个待提取特征标识，M为大于或等于1且小于N的整数。

预设特征标识可以包括源地址标识、目标地址标识、源端口标识、目标端口标识和协议标识。

待提取特征标识可以包括接收数据包数、传输数据包数、接收和传输数据包数的比率、接收字节数、空数据包数和总字节数等。

S702、获取特征编码规则。

特征编码规则中可以包括二进制编码规则和顺序编码规则。

S703、在当前数据流中确定多个初始特征标识对应的特征信息，得到多个特征信息。

例如，假设当前数据流为数据流1，假设共有3个初始特征标识，分别为特征标识1-3，则可以在数据流1中确定特征标识1对应的特征信息1，特征标识2对应的特征信息2和特征标识3对应的特征信息3。

S704、根据特征编码规则，对多个特征信息进行编码处理，得到多个初始特征编码。

例如，假设共有3个特征信息，分别为特征信息1-3，假设根据特征编码规则可以确定特征信息1的初始特征编码为特征编码1，特征编码1可以为{010110}；特征信息2的初始特征编码为特征编码2，特征编码2可以为{013}；特征信息3的初始特征编码为特征编码3，特征编码3可以为{0101011}。

S705、确定预设特征提取模型。

预设特征提取模型可以为分类决策树算法(Classification and RegressionTrees，CART)，可以采用二分递归方式对初始特征编码进行分类。

可以根据训练集对初始特征提取模型进行训练，得到预设特征提取模型。

可以采用基尼系数对初始特征编码进行选择，基尼系数的公式可以如下所示：

Gini(p)＝2p(1-p)

其中，p可以为非选择特征的概率。

针对任意一个训练集S，训练集S中可以包括多个历史特征编码和每个历史特征编码的历史重要度，可以在多个历史特征编码中确定分类特征编码F和分类特征编码的历史重要度f，则根据分类特征编码F进行分类的基尼系数的公式可以如下所示：

其中，历史重要度f将训练集S的多个历史特征编码分为两部分，分别为S

S706、将多个待提取特征编码作为预设特征提取模型的输入，得到多个待提取特征编码的特征重要度。

例如，假设待提取特征编码为特征编码1，将特征编码1作为预设特征提取模型的输入，可以得到特征编码1的特征重要度为0.8。

S707、根据多个待提取特征编码的特征重要度，对多个待提取特征编码进行排序，得到排序后的多个待提取特征编码。

可以根据特征重要度从高到低的顺序，对多个待提取特征编码进行排序。

例如，假设共有4个待提取特征编码，分别为特征编码1-4，假设特征编码1的特征重要度为0.8，特征编码2的特征重要度为0.2，特征编码3的特征重要度为0.4，特征编码4的特征重要度为0.7，则可以得到排序后的多个待提取特征编码为特征编码1、特征编码4、特征编码3和特征编码2；

S708、将排序后的多个待提取特征编码中前Q个待提取特征编码和M个预设特征编码，确定为N个目标特征编码。

可以将排序后的多个待提取特征编码中除M个预设特征编码以外的，前Q个待提取特征编码确定为目标特征编码，并将M个预设特征编码确定为目标特征编码，即N＝Q+M，其中，Q为大于或等于1的整数，M可以为零。

例如，假设共有4个待提取特征编码，分别为特征编码1-4，假设排序后的多个待提取特征编码为特征编码1、特征编码4、特征编码3和特征编码2，假设预设特征编码为特征编码4，即M＝1，则特征编码4确定为目标特征编码，假设Q为2，则将特征编码1和特征编码3确定为目标特征编码，即N为3。

本申请实施例提供的异常设备的检测方法，可以根据多个当前数据流，在多个初始特征编码中确定目标特征编码，可以剔除无用或者低影响力的特征编码，根据目标特征编码确定异常设备，可以提高对异常设备检测的准确性。

图8为本申请实施例提供的异常设备的检测方法的结构示意图。请参见图8，可以获取多个当前数据流，根据多个初始特征标识，确定每个当前数据流的多个初始特征编码，对每个当前数据流的多个初始特征编码进行特征提取处理，可以得到每个当前数据流的N个目标特征编码，通过预设检测模型，对每个当前数据流的N个目标特征编码进行数据处理，可以得到每个当前数据流的异常概率，根据异常概率确定异常数据流；可以确定多个目标设备、以及每个目标设备对应的至少一个当前数据流，可以将存在异常数据流的目标设备确定为异常设备。

图9为本申请实施例提供的一种异常设备的检测装置的结构示意图。请参见图9，该异常设备的检测装置可以包括获取模块11、第一确定模块12、数据处理模块13、第二确定模块14和第三确定模块15：

获取模块11用于，获取多个当前数据流；

第一确定模块12用于，根据多个当前数据流，确定每个当前数据流的N个目标特征编码，N为大于或等于1的整数；

数据处理模块13用于，基于预设检测模型，对每个当前数据流的N个目标特征编码进行数据处理，得到每个当前数据流的异常概率；

第二确定模块14用于，根据每个当前数据流的N个目标特征编码，确定多个目标设备，并在多个当前数据流中确定每个目标设备对应的至少一个当前数据流；

第三确定模块15用于，根据每个当前数据流的异常概率、以及每个目标设备对应的至少一个当前数据流，在多个目标设备中确定异常设备。

在一种可能的实施方式中，针对任意一个当前数据流；第一确定模块12具体用于：

获取多个初始特征标识，初始特征标识中包括M个预设特征标识和多个待提取特征标识，M为大于或等于1且小于N的整数；

根据多个当前数据流和多个初始特征标识，确定当前数据流的多个初始特征编码；

对多个初始特征编码进行特征提取处理，得到当前数据流的N个目标特征编码。

在一种可能的实施方式中，第一确定模块12具体用于：

获取特征编码规则；

在当前数据流中确定多个初始特征标识对应的特征信息，得到多个特征信息；

根据特征编码规则，对多个特征信息进行编码处理，得到多个初始特征编码。

在一种可能的实施方式中，多个初始特征编码中包括M个预设特征编码和多个待提取特征编码；第一确定模块12具体用于：

确定预设特征提取模型；

将多个待提取特征编码作为预设特征提取模型的输入，得到多个待提取特征编码的特征重要度；

根据多个待提取特征编码的特征重要度，对多个待提取特征编码进行排序，得到排序后的多个待提取特征编码；

将排序后的多个待提取特征编码中前Q个待提取特征编码和M个预设特征编码，确定为N个目标特征编码，Q为大于或等于1的整数。

在一种可能的实施方式中，目标特征编码中包括互联网协议的源地址编码；第二确定模块14具体用于：

根据每个当前数据流的N个目标特征编码，确定多个源地址编码；

确定多个源地址编码对应的多个目标设备；

根据每个当前数据流的源地址编码，确定每个目标设备对应的至少一个当前数据流。

在一种可能的实施方式中，预设检测模型中包括预设空间模型和预设时序模型；数据处理模块13具体用于：

将每个当前数据流的N个目标特征编码作为预设空间模型的输入，得到每个当前数据流的空间特征编码；

获取预设时序模型对应的多个预设参数；

根据预设时序模型和多个预设参数，对每个当前数据流的空间特征编码进行数据处理，得到每个当前数据流的异常概率。

在一种可能的实施方式中，第三确定模块15具体用于：

将异常概率大于预设概率的当前数据流，确定为异常数据流；

针对任意一个目标设备，若目标设备对应的至少一个当前数据流中存在异常数据流，则将目标设备确定为异常设备。

图10为本申请实施例提供一种电子设备的结构示意图。请参见图10，该电子设备20可以包括处理器21和存储器22。示例性地，处理器21、存储器22，各部分之间通过总线23相互连接。

存储器22存储计算机执行指令；

处理器21执行存储器22存储的计算机执行指令，使得处理器21执行如上述方法实施例所示的视频处理方法。

相应地，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，当计算机执行指令被处理器执行时用于实现上述方法实施例的异常设备的检测方法。

相应地，本申请实施例还可提供一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时，可实现上述方法实施例所示的异常设备的检测方法。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

以上仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。