技术摘要：
本申请提供一种运行状态异常检测方法、装置及设备，该方法包括：获取安防设备在多个采集时刻的运行性能数据，获取安防设备正在运行的至少一个目标进程的进程信息和进程标识；根据多个采集时刻的运行性能数据确定安防设备的数据特征；通过已训练的目标神经网络对数据特  全部
背景技术：
随着安防设备的大范围部署，如何高效地对安防设备进行安全管理和防护是一个 亟待解决的问题。为了对安防设备进行安全管理和防护，一个重要过程是检测安防设备的 运行状态是否异常，基于该运行状态对安防设备进行安全管理。对于安防设备的异常检测 方法，可以提取安防设备的特征数据，基于安防设备的特征数据分析安防设备的可信度。若 该可信度大于阈值，则确定安防设备的运行状态存在异常，在安防设备的运行状态存在异 常时，进行异常告警。 在上述方式中，需要配置阈值，而阈值的准确性将会影响检测结果的准确率。比如 说，当阈值比较大时，即使安防设备的运行状态存在异常，检测结果可能是安防设备的运行 状态不存在异常。当阈值比较小时，即使安防设备的运行状态不存在异常，检测结果可能是 安防设备的运行状态存在异常。综上所述，现有的安防设备监测容易出现检测结果错误，检 测结果的准确率较低。
技术实现要素：
本申请提供一种运行状态异常检测方法，所述方法包括： 获取安防设备在多个采集时刻的运行性能数据，并获取所述安防设备正在运行的至少 一个目标进程的进程信息和进程标识； 根据所述多个采集时刻的运行性能数据确定所述安防设备的数据特征，其中，所述数 据特征用于表示所述安防设备的运行状态变化； 通过已训练的目标神经网络对所述数据特征进行处理，得到所述安防设备的运行状 态；其中，所述运行状态为所述安防设备正常或异常； 若所述运行状态为所述安防设备异常，则针对所述安防设备正在运行的每个目标进 程，基于所述目标进程的进程信息确定所述目标进程是否为异常进程； 若是，则将所述异常进程的进程标识发送给所述安防设备，以使所述安防设备根据所 述异常进程的进程标识对所述异常进程进行阻断处理。 本申请提供一种运行状态异常检测方法，所述方法包括： 获取安防设备在多个采集时刻的运行性能数据； 基于所述安防设备正在运行的每个进程的资源占用情况，从所述安防设备正在运行的 所有进程中选取正在运行的至少一个目标进程； 将所述多个采集时刻的运行性能数据，所述至少一个目标进程的进程信息和进程标识 发送给管理设备，以使所述管理设备根据所述多个采集时刻的运行性能数据确定所述安防 设备的运行状态，在所述运行状态为所述安防设备异常时，针对每个目标进程，基于所述目 标进程的进程信息确定所述目标进程是否为异常进程，并在是异常进程时发送所述异常进 5 CN 111738467 A 说　明　书 2/18 页 程的进程标识； 接收所述管理设备发送的所述异常进程的进程标识； 根据所述异常进程的进程标识对所述异常进程进行阻断处理。 本申请提供一种运行状态异常检测装置，所述装置包括： 获取模块，用于获取安防设备在多个采集时刻的运行性能数据，并获取所述安防设备 正在运行的至少一个目标进程的进程信息和进程标识； 确定模块，用于根据所述多个采集时刻的运行性能数据确定所述安防设备的数据特 征，其中，所述数据特征用于表示所述安防设备的运行状态变化； 处理模块，用于通过已训练的目标神经网络对所述数据特征进行处理，得到所述安防 设备的运行状态；其中，所述运行状态为所述安防设备正常或异常； 所述确定模块，还用于若所述运行状态为所述安防设备异常，则针对所述安防设备正 在运行的每个目标进程，基于所述目标进程的进程信息确定所述目标进程是否为异常进 程； 发送模块，用于若所述目标进程为异常进程，则将所述异常进程的进程标识发送给所 述安防设备，以使所述安防设备根据所述异常进程的进程标识对所述异常进程进行阻断处 理。 本申请提供一种管理设备，包括：处理器和机器可读存储介质，所述机器可读存储 介质存储有能够被所述处理器执行的机器可执行指令； 所述处理器用于执行机器可执行指令，以实现如下的步骤： 获取安防设备在多个采集时刻的运行性能数据，并获取所述安防设备正在运行的至少 一个目标进程的进程信息和进程标识； 根据所述多个采集时刻的运行性能数据确定所述安防设备的数据特征，其中，所述数 据特征用于表示所述安防设备的运行状态变化； 通过已训练的目标神经网络对所述数据特征进行处理，得到所述安防设备的运行状 态；其中，所述运行状态为所述安防设备正常或异常； 若所述运行状态为所述安防设备异常，则针对所述安防设备正在运行的每个目标进 程，基于所述目标进程的进程信息确定所述目标进程是否为异常进程； 若是，则将所述异常进程的进程标识发送给所述安防设备，以使所述安防设备根据所 述异常进程的进程标识对所述异常进程进行阻断处理。 由以上技术方案可见，本申请实施例中，运行性能数据能够表达安防设备的安全 状况，基于多个采集时刻的运行性能数据能够确定安防设备的数据特征，且该数据特征用 于表示安防设备的运行状态变化，若运行状态变化为运行状态稳定且资源消耗较低，则安 防设备处于正常状态，若运行状态变化为运行状态变化剧烈或资源消耗持续高居不下，则 安防设备处于异常状态。基于上述特点，通过学习安防设备被恶意攻击时的运行状态变化 规律，构建出目标神经网络，根据目标神经网络对安防设备的运行性能数据进行处理，检测 出安防设备的运行状态，从而帮助安防设备管理人员及时发现安防设备的异常行为，减少 人工检查的难度和工作量，提高安防设备的安全性。运行性能数据的获取方式简单，安防设 备的运行性能的检测过程速度较快。上述方式不需要人工配置阈值，避免检测结果错误，检 测结果准确率较低等问题。在安防设备异常时，还可以检测出异常进程，并对异常进程进行 6 CN 111738467 A 说　明　书 3/18 页 阻断处理，保护安防设备的安全性。 附图说明 为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请 实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的 附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申 请实施例的这些附图获得其他的附图。 图1是本申请一种实施方式中的运行状态异常检测方法的流程图； 图2A-图2C是本申请一种实施方式中的折线图像的示意图； 图3是本申请一种实施方式中的神经网络的结构示意图； 图4是本申请一种实施方式中的运行状态异常检测方法的流程图； 图5是本申请一种实施方式中的运行状态异常检测装置的结构图； 图6是本申请一种实施方式中的管理设备的结构图。