公开(公告)号：CN112822166B

公开(公告)日：2022-11-04

申请号：CN202011612727.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  黄俊 ,  闻楷 ,  余丽辉 ,  钟敏 ,  杨钦

IPC: H04L9/40 ,  H04L43/16

Abstract: 本发明公开了一种异常进程检测方法、装置、设备及介质，用以解决现有技术中对异常进程检测不够准确的问题。基于通常情况下，多个主机中出现某进程的主机的占比越大，即出现该进程的主机数量越多，该进程为正常进程的概率越大；相反，多个主机中出现某进程的主机的占比越小，即出现该进程的主机数量越少，该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识，确定产生该进程标识的主机的第一数量，根据该第一数量和主机的总数量，确定该进程标识对应的第一占比，若该第一占比小于预设的占比阈值，则可以确定该第一进程为异常进程，从而可以快捷的提高检测异常进程的准确性。

公开(公告)号：CN112822166A

公开(公告)日：2021-05-18

申请号：CN202011612727.7

申请日：2020-12-30

Applicant: 绿盟科技集团股份有限公司 ,  北京神州绿盟科技有限公司

Inventor： 李璇 ,  黄俊 ,  闻楷 ,  余丽辉 ,  钟敏 ,  杨钦

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种异常进程检测方法、装置、设备及介质，用以解决现有技术中对异常进程检测不够准确的问题。基于通常情况下，多个主机中出现某进程的主机的占比越大，即出现该进程的主机数量越多，该进程为正常进程的概率越大；相反，多个主机中出现某进程的主机的占比越小，即出现该进程的主机数量越少，该进程为异常进程的概率越大。由于本申请可以针对每个第一进程的进程标识，确定产生该进程标识的主机的第一数量，根据该第一数量和主机的总数量，确定该进程标识对应的第一占比，若该第一占比小于预设的占比阈值，则可以确定该第一进程为异常进程，从而可以快捷的提高检测异常进程的准确性。