运行状态的安全检测方法、装置、设备和存储介质与流程

1.本技术涉及网络安全领域，特别涉及一种运行状态的安全检测方法、装置、设备和存储介质。


背景技术：

2.随着电网智能化，越来越多的智能终端应用到电网中，而智能终端运行状态的安全检测任务日趋严峻。
3.相关技术中，智能终端运行状态的安全检测是以采集到的终端数据为输入，通过统计分析、数据挖掘和机器学习等方法，发现终端数据中的异常数据分组和异常交互等信息。
4.然而，相关技术中的智能终端运行状态的安全检测结果准确性较低。


技术实现要素：

5.基于此，有必要针对上述技术问题，提供一种能够提高智能终端运行状态安全检测结果准确性的一种运行状态的安全检测方法、装置、设备和存储介质。
6.第一方面，本技术实施例提供一种运行状态的安全检测方法，该方法包括：
7.对终端设备的实时运行状态数据进行标准化处理，得到终端设备的实时标准运行状态数据；
8.将实时标准运行状态数据输入至预设的检测模型中，确定实时标准运行状态数据与检测模型中各聚类中心之间的距离；检测模型中包括多个聚类中心，多个聚类中心为基于群体智能优化算法对聚类算法进行优化后得到的；
9.若实时标准运行状态数据与检测模型中各聚类中心之间的距离均大于预设距离阈值，确定终端设备的运行状态的安全检测结果为异常。
10.在其中一个实施例中，检测模型的构建过程包括：
11.获取多个样本终端设备的运行状态数据，对多个样本终端设备运行状态数据进行预处理，得到预处理后的运行状态数据；
12.根据预处理后的运行状态数据确定多个初始聚类中心；
13.通过群体智能优化算法优化多个初始聚类中心，得到多个候选聚类中心；
14.根据预设的聚类适应度函数，获取各候选聚类中心对应的类簇的适应度值；
15.若各候选聚类中心对应的类簇的适应度值满足预设的第一迭代收敛条件，将各候选聚类中心确定为检测模型中的多个聚类中心，得到检测模型。
16.在其中一个实施例中，群体智能优化算法包括粒子群优化算法和遗传算法；则通过群体智能优化算法优化多个初始聚类中心，得到多个候选聚类中心，包括：
17.初始化进行粒子群优化算法的优化参数，并基于优化参数构建群体优化适应度函数；优化参数至少包括个体的位置和移动速度；
18.根据群体优化适应度函数确定各初始聚类中心对应的粒子种群的适应度值，并执
行预设的迭代优化步骤，直至满足预设的的第二迭代收敛条件，得到多个候选聚类中心；其中，迭代优化步骤包括：
19.根据最优的适应度值对应的各粒子种群中的个体位置和优化参数，更新所有初始聚类中心对应的粒子种群中的个体位置和移动速度；最优的适应度值表示满足预设条件的适应度值；
20.通过遗传算法对位置和移动速度更新后的各粒子种群中的个体位置进行交叉变异操作；
21.根据群体优化适应度函数确定交叉变异操作后的各粒子群的适应度值。
22.在其中一个实施例中，通过遗传算法对位置和移动速度更新后的各粒子种群中的个体位置进行交叉变异操作，包括：
23.根据位置和移动速度更新后的各粒子种群的适应度值，对各粒子种群中第一预设数量的个体位置进行交叉操作；
24.对进行交叉操作后的第二预设数量的个体位置进行变异操作。
25.在其中一个实施例中，在根据预设的聚类适应度函数，获取各候选聚类中心对应的类簇的适应度值之前，该方法包括：
26.获取预处理后的运行状态数据与各候选聚类中心的距离；
27.根据预处理后的运行状态数据与各候选聚类中心的距离，更新各候选聚类中心对应的类簇。
28.在其中一个实施例中，对多个样本终端设备运行状态数据进行预处理，得到预处理后的运行状态数据，包括：
29.对多个样本终端设备的运行状态数据进行标准化处理，得到标准运行状态数据；
30.根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准运行状态数据的权重；
31.根据不同特征类型对应的标准运行状态数据的权重，选择权重值满足预设权重条件的标准运行状态数据作为预处理后的运行状态数据。
32.在其中一个实施例中，根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准化处理后运行状态数据的权重，包括：
33.计算不同特征类型对应的标准运行状态数据的均方差；
34.对不同特征类型对应的标准运行状态数据的均方差进行归一化处理，得到不同特征类型对应的标准运行状态数据的权重。
35.第二方面，本技术实施例提供一种运行状态的安全检测装置，该装置包括：
36.处理模块，用于对终端设备的实时运行状态数据进行标准化处理，得到终端设备的实时标准运行状态数据；
37.输入模块，用于将实时标准运行状态数据输入至预设的检测模型中，确定实时标准运行状态数据与检测模型中各聚类中心之间的距离；检测模型中包括多个聚类中心，多个聚类中心为基于群体智能优化算法对聚类算法进行优化后得到的；
38.确定模块，用于若实时标准运行状态数据与检测模型中各聚类中心之间的距离均大于预设距离阈值，确定终端设备的运行状态的安全检测结果为异常。
39.第三方面，本技术实施例提供一种计算机设备，包括存储器和处理器，存储器存储
有计算机程序，该处理器执行计算机程序时实现上述第一方面中任一实施例提供的方法的步骤。
40.第四方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述第一方面中任一实施例提供的方法的步骤。
41.本实施例提供的运行状态的安全检测方法，通过对终端设备的实时运行状态数据进行标准化处理，得到终端设备的实时标准运行状态数据，然后将得到的实时标准运行状态数据输入至预设的检测模型中，确定实时标准运行状态数据与检测模型中各聚类中心之间的距离，若实时标准运行状态数据与检测模型中各聚类中心之间的距离均大于预设距离阈值，确定终端设备的运行状态的安全检测结果为异常。该方法中，将终端设备的实时运行状态数据进行标准化处理，使处于不同单位或者量级的运行状态数据处于同一数量级别，便于进行综合分析，有利于提高数据分析的准确性；且通过检测模型确定出了实时标准运行状态数据与检测模型中各聚类中心之间的距离，一方面，检测模型是预先构建好的模型，使用时可直接调用，提高了检测效率，另一方面，检测模型中包括多个聚类中心，即检测模型使用了聚类算法，聚类算法可以简单高效地对终端设备的运行数据进行分析，提高了智能终端运行状态安全检测的简单性和高效性；进一步地，该检测模型中还利用群体智能算法进行优化得到多个聚类中心，使得可以准确快速地确定出聚类中心，从而提高了智能终端运行状态安全检测结果的准确性。
附图说明
42.图1为一个实施例中的运行状态的安全检测方法的应用环境图；
43.图2为一个实施例中的运行状态的安全检测方法的流程示意图；
44.图3为另一个实施例中的运行状态的安全检测方法的流程示意图；
45.图4为另一个实施例中的运行状态的安全检测方法的流程示意图；
46.图5为另一个实施例中的运行状态的安全检测方法的流程示意图；
47.图6为另一个实施例中的运行状态的安全检测方法的流程示意图；
48.图7为另一个实施例中的运行状态的安全检测方法的流程示意图；
49.图8为另一个实施例中的运行状态的安全检测方法的流程示意图；
50.图9为另一个实施例中的运行状态的安全检测方法的流程示意图；
51.图10为另一个实施例中的运行状态的安全检测方法的流程示意图；
52.图11为一个实施例中的运行状态的安全检测装置的结构框图；
53.图12为一个实施例中计算机设备的内部结构图。
具体实施方式
54.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
55.本技术提供的运行状态的安全检测方法，可以应用于计算机设备中，该计算机设备可以是任何领域的设备，例如，终端设备，或者是各种个人计算机、笔记本电脑、平板电脑、可穿戴设备等等，本技术实施例对计算机设备的类型不作限定。如图1所示，提供一种计
算机设备的内部结构示意图，图1中的处理器用于提供计算和控制能力。存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。数据库用于存储表格单元组互换过程的相关数据。该网络接口用于与外部的其他设备通过网络连接通信。该计算机程序被处理器执行时以实现一种运行状态的安全检测方法。
56.本技术实施例提供一种运行状态的安全检测方法、装置、设备和存储介质，能够提高智能终端运行状态安全检测结果的准确性。下面将通过实施例并结合附图具体地对本技术的技术方案以及本技术的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。需要说明的是，本技术提供的一种运行状态的安全检测方法，其执行主体可以为计算机设备，也可以为运行状态的安全检测装置，该装置可以通过软件、硬件或者软硬件结合的方式实现成为处理器的部分或者全部。显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。
57.在一个实施例中，如图2所示，提供了一种运行状态的安全检测方法，本实施例涉及的是根据终端设备的实时运行状态数据和预设的检测模型中确定出实时标准运行状态数据与检测模型中各聚类中心之间的距离，以该距离确定终端设备的运行状态的安全检测结果为异常的具体过程；该实施例包括以下步骤：
58.s201，对终端设备的实时运行状态数据进行标准化处理，得到终端设备的实时标准运行状态数据。
59.终端设备是经由通信设施向计算机输入程序和数据或接收计算机输出处理结果的设备。通常设置在能利用通信设施与远处计算机联接工作的方便场所，它主要由通信接口控制装置与专用或选定的输入输出装置组合而成。通常可以选用的输入和输出装置包括键盘、卡片阅读机，纸带阅读机、光学文字符号或标记识别机、语声识别器、串行或行式打印机、显示器、卡片穿孔机、纸带穿孔机、语声合成器、软磁盘机、磁带机、磁盘机等。
60.终端设备的运行状态数据通常包括：多点控制单元占用率(multi control unit utilization，mcu_util)、内存占用率(memory utilization，mem_util)、程序进程堆栈状态、系统调用频率(system call frequency，syscall_freq)、系统调用序列(system call sequence，syscall_seq)、应用层通讯流量上传速率(application layer communication traffic upload speed，traffic_up)、应用层通讯流量下载速率(application layer communication traffic download speed，traffic_down)、系统内核变量。
61.多点控制单元也叫多点会议控制器，是多点视频会议系统的关键设备，它负责所有视频会议终端的接入以及会议视音频码流的交换、转发和处理，,它将来自各会议场点的信息流，经过同步分离后，抽取出音频、视频、数据等信息和信令再将各会议场点的信息和信令，送入同一种处理模块，完成相应的音频混合或切换，视频混合或切换，数据广播和路由选择，定时和会议控制等过程，最后将各会议场点所需的各种信息重新组合起来，送往各相应的终端系统设备。它决定了整个视频会议系统的可靠性与稳定性,是视频会议系统的核心部分。
62.终端的程序在编译完成之后，会转化为mcu支持的指令序列，而当mcu执行到计算的指令时使mcu有较大的负荷，而一些输入输出(input/output，io)操作的指令时，mcu的负
荷会相对低。因此，mcu占用率是一个很好的体现设备运行状态的特征。
63.mem是一个内存显示程序，显示所有内存驻留程序的占用情况，内存又称主存，是cpu能直接寻址的存储空间。内存是电脑中的主要部件，终端程序在运行时，都需要在内存中新开辟一块空间，并将程序的运行空间映射到新开辟的内存上，直到程序的停止才会释放之前占用的内存，在程序运行过程中，也可以对内存进行申请和释放。因此，内存的占用率也是一个嵌入式终端运行状态的特征。
64.内核在创建进程的时候，会为进程创建相应的堆栈。终端程序在正常运行时，函数的调用关系通常是固定的，因此采集到程序进程程堆栈也相对稳定。在常见软件漏洞中，例如缓冲区溢出，格式化字符串，如果有攻击载荷想要通过这些漏洞，实现对设备的入侵，就不得不控制程序进程的堆栈，导致程序进程发生变化。因此，程序进程堆栈状态特征可以用于设备状态的安全检测。
65.系统调用是由操作系统实现的所有系统调用所构成的集合即程序接口或应用编程接口(application programming interface，api)，是应用程序同系统之间的接口。
66.操作系统的主要功能是为管理硬件资源和为应用程序开发人员提供良好的环境来使应用程序具有更好的兼容性，为了达到这个目的，内核提供一系列具备预定功能的多内核函数，通过一组称为系统调用的接口呈现给用户。系统调用把应用程序的请求传给内核，调用相应的内核函数完成所需的处理，将处理结果返回给应用程序。
67.终端通常通过定时器来周期性执行一些任务，这些任务会执行一些系统调用，因此嵌入式终端的系统调用频率和系统调用序列也会符合一定的规律。
68.应用层与用户交互并产生流量，通常情况下，终端的流量状态能够体现所运行程序在网络上的行为，例如定期上报业务数据给主站、收集其他终端信息或是接收主站遥控指令这些行文。因此，嵌入式终端的流量情况可以用于设备状态的安全检测，包括：应用层通讯流量上传速率和应用层通讯流量下载速率。
69.内核是操作系统的核心，是操作系统最基本的部分，它决定一个程序在什么时候对某部分硬件操作多长时间，它负责管理系统的进程、内存、内核体系结构设备驱动程序、文件和网络系统，决定着系统的性能和稳定性。而系统内核的变量能够体现设备内核的运行状态，对系统内核变量进行采集，能够对终端的内核安全状态进行检测。
70.由于采集到的终端设备运行状态信息都是瞬态的信息，直接用于终端设备状态的安全检测容易受到噪声的干扰，所以在进行安全检测的时候，还应提取中央处理器(central processing unit，cpu)占用率的平均值、方差、平均值、偏度和峰度；内存占用率的平均值、方差和极差；系统调用频率的平均值、方差、偏度；流量状态的平均值、方差、最大值，极差。
71.数据的标准化处理是将数据按比例缩放，使之落入一个小的特定区间。通常用于在某些比较和评价的指标处理中，去除数据的单位限制，将其转化为无量纲的纯数值，便于不同单位或量级的指标能够进行比较和加权。
72.一种实施例，数据的标准化处理的方法可以是z
‑
score标准化(zero
‑
mena normalization)方法，是求出各数据的平均值和标准差然后将各数据值减去求得的平均值，然后除以求得的标准差，经过处理的数据符合标准正太分布，即均值为0，标准差为1。
73.另一种实施例，数据的标准化处理的方法也可以是将数据除以数据中的最大值，
使进行标准化处理后的数据都处于[0,1]区间。
[0074]
将获得的终端设备的实时运行状态数据进行标准化处理后，得到的处理后的数据确定为实时标准运行状态数据。
[0075]
s202，将实时标准运行状态数据输入至预设的检测模型中，确定实时标准运行状态数据与检测模型中各聚类中心之间的距离；检测模型中包括多个聚类中心，多个聚类中心为基于群体智能优化算法对聚类算法进行优化后得到的。
[0076]
将实时标准运行状态数据输入至预设的检测模型确定实时标准运行状态数据与检测模型中各聚类中心之间的距离；检测模型中包括多个聚类中心，多个聚类中心为基于群体智能优化算法对聚类算法进行优化后得到的。
[0077]
检测模型是预先设定的一个检测模型，它可以通过将数据输入至检测数据，从而确定数据的异常情况。
[0078]
可选地，检测模型可以是通过神经网络构建的，也可以是通过某种算法构建的。
[0079]
聚类算法是研究分类问题的一种统计分析方法，是研究数据间逻辑上或物理上的相互关系的技术。聚类方法是由若干模式组成的，通常，模式是一个度量的向量，或者是多维空间中的一个点。聚类分析以相似性为基础，在一个聚类中的模式之间比不在同一聚类中的模式之间具有更多的相似性。聚类算法的分析结果不仅可以揭示数据间的内在联系与区别，还可以为进一步的数据分析与知识发现提供重要依据。聚类算法通常分为基于划分的聚类算法、基于层次的聚类、基于网格的聚类、基于密度的聚类、基于模型的聚类。
[0080]
其中，解决聚类问题的算法包括k
‑
means算法，k
‑
means算法的主要思想是：在给定k值和k个初始类簇中心点的情况下，把每个点(亦即数据记录)分到离其最近的类簇中心点所代表的类簇中，所有点分配完毕之后，根据一个类簇内的所有点重新计算该类簇的中心点(取平均值)，然后再迭代的进行分配点和更新类簇中心点的步骤，直至类簇中心点的变化很小，或者达到指定的迭代次数。其中，每个类簇的中心点就是上述的各聚类中心。
[0081]
其中，确定实时标准运行状态数据与检测模型中各聚类中心之间的距离的方式可以采用巴氏距离公式，也可以采用马氏距离公式，本技术实施例对确定实时标准运行状态数据与检测模型中各聚类中心之间的距离的方式不做限定。
[0082]
群体智能算法(swarm intelligence algorithm)模拟了社会性动物的各种群体行为，利用群体中个体之间的信息交互和合作来实现寻优的目的。任何一种由昆虫群体或者其他动物社会行为机制而激发设计出的算法或分布式解决问题的策略均属于群体智能算法。群体智能算法包括：蚁群算法、粒子群优化算法、菌群算法、蛙跳算法、人工蜂群算法、萤火虫算法、布谷鸟算法、蝙蝠算法、狼群算法、烟花算法等等。
[0083]
可选地，检测模型中包括多个聚类中心，在实际应用中，具体几个本技术在此不做限定。
[0084]
一种实施例，多个聚类中心为基于群体智能优化算法对聚类算法进行优化后得到的，其中，该群体智能优化算法可以是蚁群算法，也可以是人工蜂群算法与狼群算法结合的改进的群体智能算法。
[0085]
s203，若实时标准运行状态数据与检测模型中各聚类中心之间的距离均大于预设距离阈值，确定终端设备的运行状态的安全检测结果为异常。
[0086]
预设距离阈值是预先设定的距离阈值，如果上述得到的实时标准运行状态数据与
检测模型中各聚类中心之间的距离均大于预先设定的距离阈值，那么确定终端设备的运行状态的安全检测结果为异常。
[0087]
上述提到的若实时标准运行状态数据与检测模型中各聚类中心之间的距离均大于预设距离阈值，确定终端设备的运行状态的安全检测结果为异常；还存在一种情况，存在至少一个实时标准运行状态数据与检测模型中各聚类中心之间的距离不大于预设距离阈值，那么确定终端设备的运行状态的安全检测结果是正常的。
[0088]
本实施例提供的运行状态的安全检测方法，通过对终端设备的实时运行状态数据进行标准化处理，得到终端设备的实时标准运行状态数据，然后将得到的实时标准运行状态数据输入至预设的检测模型中，确定实时标准运行状态数据与检测模型中各聚类中心之间的距离，若实时标准运行状态数据与检测模型中各聚类中心之间的距离均大于预设距离阈值，确定终端设备的运行状态的安全检测结果为异常。该方法中，将终端设备的实时运行状态数据进行标准化处理，使处于不同单位或者量级的运行状态数据处于同一数量级别，便于进行综合分析，有利于提高数据分析的准确性；且通过检测模型确定出了实时标准运行状态数据与检测模型中各聚类中心之间的距离，一方面，检测模型是预先构建好的模型，使用时可直接调用，提高了检测效率，另一方面，检测模型中包括多个聚类中心，即检测模型使用了聚类算法，聚类算法可以简单高效地对终端设备的运行数据进行分析，提高了智能终端运行状态安全检测的简单性和高效性；进一步地，该检测模型中还利用群体智能算法进行优化得到多个聚类中心，使得可以准确快速地确定出聚类中心，从而提高了智能终端运行状态安全检测结果的准确性。
[0089]
对于前面实施例中的检测模型，下面通过一种实施例对检测模型的构建过程进行详细说明。则一个实施例中，如图3所示，检测模型的构建过程包括以下步骤：
[0090]
s301，获取多个样本终端设备的运行状态数据，对多个样本终端设备运行状态数据进行预处理，得到预处理后的运行状态数据。
[0091]
获取多个样本终端设备的运行状态数据，然后对多个样本终端设备运行状态数据进行预处理，就是将多个样本终端设备的运行状态数据从原始数据状态进行处理，得到可以进行下一步编译的数据。
[0092]
一种实施例，获取多个样本终端设备的运行状态数据，其获取的方式可以是可以是直接从终端设备上直接获取，也可以是从现有的数据库中获得，在实际应用中，本技术对此不做限定。
[0093]
现实世界中数据大体上都是不完整，不一致的脏数据，无法直接进行数据挖掘，或挖掘结果差强人意。为了提高数据挖掘的质量产生了数据预处理(data preprocessing)技术，数据预处理是指在主要的处理以前对数据进行的一些处理。数据预处理有多种方法：数据清理，数据集成，数据变换，数据归约等。
[0094]
一种实施例，对多个样本终端设备运行状态数据进行预处理，预处理的方式可以是数据清理方式，通过填写缺失的值、光滑噪声数据、识别或删除离群点并解决不一致性来"清理"数据。主要是达到格式标准化，异常数据清除，错误纠正，重复数据的清除。
[0095]
另一种实施例，对多个样本终端设备运行状态数据进行预处理，预处理的方式还可以是数据变换方式，通过平滑聚集，数据概化，规范化等方式将数据转换成适用于数据挖掘的形式。
[0096]
s302，根据预处理后的运行状态数据确定多个初始聚类中心。
[0097]
一种实施例，根据预处理后的运行状态数据确定多个初始聚类中心，确定多个初始聚类中心的方式可以是在预处理后的运行状态数据中直接随机指定多个初始聚类中心。
[0098]
另一种实施例，根据预处理后的运行状态数据确定多个初始聚类中心，确定多个初始聚类中心的方式也可以是随机选取一个聚类中心，根据距离最大原则确定其余的聚类中心。其中，本技术对确定多个初始聚类中心的方式不做限定。
[0099]
s303，通过群体智能优化算法优化多个初始聚类中心，得到多个候选聚类中心。
[0100]
将上述实施例得到的多个初始聚类中心，通过群体智能优化算法进行优化，得到更优的多个初始聚类中心，将通过群体智能算法优化后得到的更优的初始聚类中心称为候选聚类中心。
[0101]
一种实施例，本实施例中群体智能算法可以是蚁群算法，通过蚁群算法的不断迭代优化，得到多个候选聚类中心。
[0102]
s304，根据预设的聚类适应度函数，获取各候选聚类中心对应的类簇的适应度值。
[0103]
适应度函数(fitness function)的选取直接影响到算法的收敛速度以及能否找到最优解，因为算法在进化搜索中基本不利用外部信息，仅以适应度函数为依据，利用种群每个个体的适应度来进行搜索。适应度是借鉴个体对所属环境的适应程度，在聚类问题中设置聚类适应度函数，此适应度函数就是各候选聚类中心与其对应的类簇之间的一个对应关系，该聚类适应度函数是算法中指导搜索的评价函数。
[0104]
聚类适应度函数用来衡量当前聚类划分情况是否会足够好，是否达到要求的聚类效果。聚类算法的目标是将相似的个体归为同一类簇，所以同一个类簇中的个体距离聚类中心越近聚类效果越优，而两个类簇之间的区别越大越好，所以两个聚类中心的距离越远聚类效果越优，
[0105]
一种实施例，适应度函数为：
[0106][0107][0108]
其中，fit
i
代表第i个种群个体的适应度函数，c
ij
为第i个个体所表示的第j个聚类中心，x代表以c
ij
为聚类中心的类簇所包含的个体，dis(x
‑
c
ij
)代表x与其所属的类簇的类簇中心c
ij
的距离；c
ia
和c
ib
都是第i个个体所代表的聚类中心；dis(c
ia
,c
ib
)代表聚类中心两两之间的距离。
[0109]
其中，距离的计算公式为
[0110]
一种实施例，根据预设的聚类适应度函数，可以获取到各候选聚类中心对应的类簇的适应度值，获取的方式可以是将各候选聚类中心与其对应的类簇作为输入，通过神经网络模型输出适应度值。
[0111]
s305，若各候选聚类中心对应的类簇的适应度值满足预设的第一迭代收敛条件，
将各候选聚类中心确定为检测模型中的多个聚类中心，得到检测模型。
[0112]
将上述得到的各候选聚类中心对应的类簇的适应度值与预设的第一迭代收敛条件进行对比分析，如果各候选聚类中心对应的类簇的适应度值满足预设的第一迭代收敛条件，那么将各候选聚类中心确定为检测模型中的多个聚类中心，得到检测模型。
[0113]
一种实施例，将各候选聚类中心确定为检测模型中的多个聚类中心，确定的方式可以是直接将各候选聚类中心视为检测模型中的多个聚类中心。
[0114]
可选地，第一迭代收敛条件可以是各候选聚类中心对应的类簇的适应度值大于某个阈值。
[0115]
本实施例提供的运行状态的安全检测方法，通过获取多个样本终端设备的运行状态数据，对多个样本终端设备运行状态数据进行预处理，得到预处理后的运行状态数据，根据预处理后的运行状态数据确定多个初始聚类中心，通过群体智能优化算法优化多个初始聚类中心，得到多个候选聚类中心，根据预设的聚类适应度函数，获取各候选聚类中心对应的类簇的适应度值，若各候选聚类中心对应的类簇的适应度值满足预设的第一迭代收敛条件，将各候选聚类中心确定为检测模型中的多个聚类中心，得到检测模型。该方法中，通过群体智能优化算法进行优化得到多个初始聚类中心，从而得到多个候选聚类中心，使得可以准确快速地确定出候选聚类中心，从而提高了智能终端运行状态安全检测结果的准确性，然后再获取各候选聚类中心对应的类簇的适应度值，判断是否满足预设的第一迭代收敛条件，若满足，则将各候选聚类中心确定为检测模型的多个聚类中心，得到检测模型，建立的检测模型使用时可直接调用，提高了检测效率。
[0116]
基于前述任一实施例，在一个实施例中，如图4所示，群体智能优化算法包括粒子群优化算法和遗传算法；则通过群体智能优化算法优化多个初始聚类中心，得到多个候选聚类中心，包括以下步骤：
[0117]
s401，初始化进行粒子群优化算法的优化参数，并基于优化参数构建群体优化适应度函数；优化参数至少包括个体的位置和移动速度。
[0118]
粒子群优化算法(particle swarm optimization，pso)又称为粒子群算法、微粒群算法、或微粒群优化算法。pso是通过模拟鸟群觅食行为而发展起来的一种基于群体协作的随机搜索算法。pso初始化为一群随机粒子(随机解)，然后通过迭代找到最优解，在每一次迭代中，粒子通过跟踪两个"极值"来更新自己。第一个就是粒子本身所找到的最优解，这个解叫做个体极值，另一个极值是整个种群找到的最优解，这个极值是全局极值。
[0119]
一种实施例，粒子群优化算法的优化参数包括聚类中心数目k、聚类中心的维度col、粒子群算法的维度dim、粒子群的位置的最大值和最小值，速度的最大值和最小值、迭代次数、种群规模为m、惯性权重的最大值和最小值。其中dim＝k*col。
[0120]
根据上述s302确定的多个初始聚类中心，确定粒子群的种群位置，确定粒子群的种群位置的方式可以是重复操作m次步骤s302，最后得到的m个粒子的位置。每个粒子随机初始化一个粒子速度，粒子的速度是在满足速度范围内随机初始化得到的。
[0121]
s402，根据群体优化适应度函数确定各初始聚类中心对应的粒子种群的适应度值，并执行预设的迭代优化步骤，直至满足预设的的第二迭代收敛条件，得到多个候选聚类中心。
[0122]
一种实施例，群体优化适应度函数可以设定为：
[0123][0124]
其中，center表示各初始聚类中心，c
i
表示所属聚类中心的运行状态数据。
[0125]
根据根据群体优化适应度函数确定各初始聚类中心对应的粒子种群的适应度值，得到粒子群的适应度值，记录粒子的个体极值，全局极值，个体最优位置和全局最优位置。
[0126]
预设的迭代优化步骤可以是预先设定的优化粒子群的位置和适应度值，如果满足预设的第二迭代收敛条件，就会输出粒子的全局最优位置，把全局最优位置作为多个候选聚类中心；如果不满足第二迭代收敛条件继续执行预设的迭代优化步骤，
[0127]
基于上述实施例中的迭代优化步骤，下面通过一种实施例对此进行详细说明。则在一个实施例中，如图5所示，迭代优化步骤包括以下步骤：
[0128]
s501，根据最优的适应度值对应的各粒子种群中的个体位置和优化参数，更新所有初始聚类中心对应的粒子种群中的个体位置和移动速度；最优的适应度值表示满足预设条件的适应度值。
[0129]
一种实施例，粒子群的个体位置和移动速度更新公式为：
[0130][0131][0132][0133]
v
id
＝ωv
id
c1ρ1(p
id
‑
x
id
(t)) c2ρ2(p
gd
‑
x
id
(t))
ꢀꢀꢀꢀꢀꢀ
(7)
[0134]
x
id
＝v
id
x
id
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(8)
[0135]
其中，式(7)和式(8)表示粒子群的移动速度和个体位置的更新公式；式(4)表示惯性权重的变化公式，该公式分为三部分，第一部分为模型设计中ω的下限，第二部分为受粒子适应度影响的ω取值，第三部分为受时间推移影响的ω取值；式(5)和式(6)表示c1和c2的变化公式，c1，c2也根据x
id
(t)与p
id
和p
gd
差距进项调整，即顾及到了前期的迭代速度和到达极值点附近后开始放慢迭代速度寻找极值点。ω
min
是ω的下限，ω
max
是ω的上限，fit
min
是所有粒子到目前为止所出现的最佳位置的适应度，fit
id
每个粒子到目前所在位置的适应度，time
max
为最大迭代次数，time
id
代表当前为当前迭代次数；c1、c2为学习常数；v
id
：第i个粒子(有d个维度)的速度；p
id
：每个粒子到目前为止所出现的最佳位置即群体最优位置；p
gd
：所有粒子到目前为止所出现的最佳位置即全局最优位置；x
id
(t)：每个粒子到目前所在位置；ρ1，ρ2：0～1之间的随机数。
[0136]
根据最优的适应度值对应的各粒子种群中的个体位置和优化参数，更新所有初始聚类中心对应的粒子种群中的移动速度式(7)和个体位置式(8)，最优的适应度值表示粒子群中的个体极值和全局极值，最优的适应度值对应的各粒子种群中的个体位置表示粒子群中的个体最优位置和全局最优位置。
[0137]
s502，通过遗传算法对位置和移动速度更新后的各粒子种群中的个体位置进行交
叉变异操作。
[0138]
遗传算法(genetic algorithm，ga)是一类借鉴生物界的进化规律(适者生存，优胜劣汰遗传机制)演化而来的随机化搜索方法。ga的主要特点是直接对结构对象进行操作，不存在求导和函数连续性的限定；具有更好的全局寻优能力；采用概率化的寻优方法，能自动获取和指导优化的搜索空间，自适应地调整搜索方向，不需要确定的规则。遗传算法以种群中的所有个体为对象，并利用随机化技术指导对一个被编码的参数空间进行高效搜索。其中，选择、交叉和变异构成了遗传算法的遗传操作。
[0139]
通过上述更新后的粒子群的个体位置和移动速度，对更新后的个体位置和移动速度执行遗传算法的交叉和变异操作。交叉操作，就是指在个体中，选择两个进行相互交配，将他们的染色体按照某种方式相互交换部分基因，形成两个新的个体的过程；交叉包括单点交叉、多点交叉和均匀交叉。在交叉操作过后形成的新个体，会有一定的概率发生变异，变异操作包括基本位变异、均匀变异、边界变异、非均匀变异和高斯近似变异。
[0140]
s503，根据群体优化适应度函数确定交叉变异操作后的各粒子群的适应度值。
[0141]
根据上述实施例的群体优化适应度函数确定交叉变异操作后的各粒子群的适应度值。经过交叉变异操作后，得到交叉变异操作后的粒子，根据群体优化适应度函数，得到交叉变异操作后的粒子的适应度值。
[0142]
本实施例提供的运行状态的安全检测方法，首先初始化进行粒子群优化算法的优化参数，优化参数至少包括个体的位置和移动速度，并基于优化参数构建群体优化适应度函数，根据群体优化适应度函数确定各初始聚类中心对应的粒子种群的适应度值，并执行预设的迭代优化步骤，直至满足预设的的第二迭代收敛条件，得到多个候选聚类中心；其中，迭代优化步骤包括：根据最优的适应度值对应的各粒子种群中的个体位置和优化参数，更新所有初始聚类中心对应的粒子种群中的个体位置和移动速度，最优的适应度值表示满足预设条件的适应度值，通过遗传算法对位置和移动速度更新后的各粒子种群中的个体位置进行交叉变异操作，根据群体优化适应度函数确定交叉变异操作后的各粒子群的适应度值。该方法中，利用粒子群优化算法和遗传算法中的交叉和变异操作优化多个初始聚类中心，从而得到多个候选聚类中心，使得可以准确快速地确定出候选聚类中心，提高了智能终端运行状态安全检测结果的准确性。
[0143]
在一个实施例中，如图6所示，通过遗传算法对位置和移动速度更新后的各粒子种群中的个体位置进行交叉变异操作，包括以下步骤：
[0144]
s601，根据位置和移动速度更新后的各粒子种群的适应度值，对各粒子种群中第一预设数量的个体位置进行交叉操作。
[0145]
基于上述实施例得到的更新的粒子种群中的个体位置和移动速度，确定各粒子种群的适应度值，将得到的适应度值根据升序排序，将排名后第一预设数量的个体位置进行交叉操作。
[0146]
一种实施例，粒子种群总体数量为m，第一预设数量为p
cross
*m个个体,p
cross
为交叉概率，交叉可以增加算法的搜索范围，但是随着适应度逐渐升高，以及迭代次数逐渐增加，算法逐渐靠近最优解，不需要扩大太多搜索范围，即交叉概率需要逐渐减小，所以本实施例中的交叉概率和交叉操作定义方式为：
[0147]
p
cross,0
＝0.5
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(9)
[0148][0149]
p
cross,l
＝max(p
′
cross,l
,0.1)
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(11)
[0150]
a
kj
＝a
kj
(1
‑
b) a
lj
b
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(12)
[0151]
a
lj
＝a
lj
(1
‑
b) a
kj
b
ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(13)
[0152]
其中，p
cross,0
为初始交叉概率，l为当前迭代次数，p
cross,l
为第l次迭代的交叉概率，表示第l次迭代种群中所有个体的最小适应度值，表示第l次迭代粒子种群中所有个体的平均适应度值。a
kj
和a
lj
表示第k个粒子a
k
和第l个粒子a
l
在第j维交叉操作得到的新的粒子位置，b为[0,1]的随机数。
[0153]
s602，对进行交叉操作后的第二预设数量的个体位置进行变异操作。
[0154]
变异为遗传算法增加了随机性，如果到达局部最优时需要为算法提供一些随机个体，帮助算法跳出局部最优。利用变异操作可以为pso算法增加一定的随机性，使得算法有机会跳出局部最优，使算法更加高效。综上所述当适应度越接近最优或迭代进入后期时，越需要增加变异产生的概率，以防算法处于局部最优点无法跳出。又因为变异操作是针对上述实施例的交叉操作产生的新个体，而不是针对粒子种群的全部个体，所以不用考虑通过变异操作会导致适应度最优的个体因为变异而消失。
[0155]
一种实施例，变异概率和变异操作可以定义为：
[0156][0157]
p
mutation,l
＝max(p
′
muutation,l
,0.1) (15)
[0158][0159]
f(g)＝r2(1
‑
t/t
max
)2ꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀꢀ
(17)
[0160]
其中，p
mutation,l
表示第l次迭代的变异概率，p
cross,l
为第l次迭代的交叉概率，t
max
表示最大迭代次数，t为当前迭代次数，表示第l次迭代种群中所有个体的最大适应度值，表示第l次迭代种群中所有个体的最小适应度值，表示第l次迭代种群中所有个体的平均适应度；a
ij
表示第i个第j维的粒子，upper为种群位置的上限，lower为种群位置的下限，r和r2为0到1的随机数。
[0161]
本实施例提供的运行状态的安全检测方法，根据位置和移动速度更新后的各粒子种群的适应度值，对各粒子种群中第一预设数量的个体位置进行交叉操作，对进行交叉操作后的第二预设数量的个体位置进行变异操作。该方法中，利用交叉和变异操作，避免粒子群算法陷入局部最优，扩大了搜索范围，提高了算法求解的精度，由此，提高了智能终端运行状态安全检测结果的准确性。
[0162]
对于前面实施例中根据预设的聚类适应度函数，获取各候选聚类中心对应的类簇的适应度值，但是在执行上述操作之前，还应执行下述操作，一个实施例中，如图7所示，在
根据预设的聚类适应度函数，获取各候选聚类中心对应的类簇的适应度值之前，还包括以下步骤：
[0163]
s701，获取预处理后的运行状态数据与各候选聚类中心的距离。
[0164]
一种实施例，获取预处理后的运行状态数据与各候选聚类中心的距离，可以根据距离度量公式获取。
[0165][0166]
其中，x表示预处理后的运行状态数据，center表示候选聚类中心。
[0167]
可选地，获取预处理后的运行状态数据与各候选聚类中心的距离，也可以利用马氏距离的求解方式获取。
[0168]
s702，根据预处理后的运行状态数据与各候选聚类中心的距离，更新各候选聚类中心对应的类簇。
[0169]
根据上述获取的预处理后的运行状态数据与各候选聚类中心的距离，更新各候选聚类中心对应的类簇。
[0170]
一种实施例，根据距离最近原则选择距离最近的候选聚类中心形成类簇，预处理后的运行状态数据与哪一候选聚类中心的距离最近，则此预处理后的运行状态数据就被视为这一候选聚类中心的类。
[0171]
本实施例提供的运行状态的安全检测方法，通过获取预处理后的运行状态数据与各候选聚类中心的距离，根据预处理后的运行状态数据与各候选聚类中心的距离，更新各候选聚类中心对应的类簇。该方法中，将运行状态数据进行预处理操作，便于数据进行综合分析，提高了数据分析的准确性，并获取预处理后的运行状态数据与各候选聚类中心的距离，根据预处理后的运行状态数据与各候选聚类中心的距离，更新各候选聚类中心对应的类簇，提高了智能终端运行状态安全检测结果的准确性。
[0172]
基于前面的实施例中的对多个样本终端设备运行状态数据进行预处理，得到预处理后的运行状态数据，下面通过一种实施例对此进行详细说明。则一个实施例中，如图8所示，对多个样本终端设备运行状态数据进行预处理，得到预处理后的运行状态数据，包括以下步骤：
[0173]
s801，对多个样本终端设备的运行状态数据进行标准化处理，得到标准运行状态数据。
[0174]
得到多个样本终端设备的运行状态数据后，需要对多个样本终端设备的运行状态数据进行标准化处理。数据的标准化是将数据按比例缩放，使之落入一个小的特定区间。
[0175]
一种实施例，对多个样本终端设备的运行状态数据进行标准化处理，可以是将数据进行归一化处理，将数据映射落入到0到1的范围内，本实施例采用的方法是将各数据的每维数据除以所有数据维度中的最大值。其中a
ip
表示第i个数据的第p维数值，b
ip
为a
ip
预处理后的数值，r
p
为数据第p维数值的最大值。
[0176]
s802，根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准运行状态数据的权重。
[0177]
终端设备运行状态数据包含以下几种特征类型：
①
无序枚举型特征，如进程堆栈
状态，系统内核变量等；
②
有序枚举型特征，如系统调用频度，系统调用时序等；
③
{0,1}型特征；
④
有序连续型特征，如cpu占用率，内存占用率等。采集到的终端运行状态数据往往具有很多特征，如果将这些特征数据全部参与聚类过程会出现维数过高的问题。此外，各特征数据在异常检测中的重要程度往往差异较大，因此有必要对高维终端运行状态数据进行特征选择，提高检测的准确性。
[0178]
根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准运行状态数据的权重。
[0179]
一种实施例，获取获取不同特征类型对应的标准运行状态数据的权重，获取的方式可以是通过神经网络模型获取的，将标准运行状态数据输入到神经网络模型中，最后直接输出各标准运行状态数据的权重。
[0180]
s803，根据不同特征类型对应的标准运行状态数据的权重，选择权重值满足预设权重条件的标准运行状态数据作为预处理后的运行状态数据。
[0181]
根据上述不同特征类型对应的标准运行状态数据的权重，选择权重值满足预先设定的权重条件的标准运行状态数据，作为预处理后的运行状态数据。
[0182]
一种实施例，预设的权重条件可以是一个固定值，将权重大于预设的权重条件的标准运行状态数据，作为预处理后的运行状态数据；预设的权重条件也可以是一个概率，将得到的标准运行状态数据的权重值进行升序排列，将权重排名在前预设的概率的标准运行状态数据数据，作为预处理后的运行状态数据。
[0183]
其中，本技术对于预设权重条件，在实际应用中，对此不做限定。
[0184]
本实施例提供的运行状态的安全检测方法，通过对多个样本终端设备的运行状态数据进行标准化处理，得到标准运行状态数据，根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准运行状态数据的权重，然后根据不同特征类型对应的标准运行状态数据的权重，选择权重值满足预设权重条件的标准运行状态数据作为预处理后的运行状态数据。通过将标准运行状态数据进行特征优化选择，选取重要的特征数据，舍弃次要特征数据，避免维度过高，提高异常检测的准确性，从而提高了智能终端运行状态安全检测结果的准确性。
[0185]
基于前面的实施例中的根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准化处理后运行状态数据的权重，下面通过一种实施例对此进行详细说明。则一个实施例中，如图9所示，根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准化处理后运行状态数据的权重，包括以下步骤：
[0186]
s901，计算不同特征类型对应的标准运行状态数据的均方差。
[0187]
一种实施例，计算不同特征类型对应的标准运行状态数据的均方差，首先分别计算标准运行状态数据的均值，然后根据均值得到每个标准运行状态数据的均方差，可以通过式(19)和式(20)得到。
[0188][0189]
[0190]
其中，表示第i个标准运行状态数据的平均值，σ
i
表示第i个标准运行状态数据的均方差，p表示标准运行状态数据的维度。
[0191]
s902，对不同特征类型对应的标准运行状态数据的均方差进行归一化处理，得到不同特征类型对应的标准运行状态数据的权重。
[0192]
一种实施例，根据上述实施例得到的不同特征类型对应的标准运行状态数据的均方差，进行归一化处理，归一化处理的方式是将各不同特征类型对应的标准运行状态数据的均方差除以不同特征类型对应的标准运行状态数据的均方差的总和，得到不同特征类型对应的标准运行状态数据的权重。
[0193][0194]
其中，w
i
表示第i个特征数据的权重，n表示标准运行状态数据的个数。
[0195]
本实施例提供的运行状态的安全检测方法，通过计算不同特征类型对应的标准运行状态数据的均方差，对不同特征类型对应的标准运行状态数据的均方差进行归一化处理，得到不同特征类型对应的标准运行状态数据的权重。该方法中，计算不同特征类型对应的标准运行状态数据的权重，提高了智能终端运行状态安全检测结果的准确性。
[0196]
前面针对检测异常数据的过程进行了说明，实际应用中，若确定实时标准运行状态数据为异常数据，此时终端设备的运行状态处于异常状态，当终端设备的运行状态出现异常时，进入异常预警过程，下面通过一个实施例，对异常预警过程进行说明。
[0197]
一种实施例，当检测出异常数据时，计算机设备会弹出一个对话框，此对话框上显示“检测终端运行状态出现异常情况，请检修”，并带有“确认”按钮，只有点击“确认”按钮后，对话框才会消失。
[0198]
可选地，当检测出异常数据时，计算机设备会发出警报，此警报表示正在检测的终端设备的运行状态出现异常情况，只有确认终端异常状态后，警报才会消失。
[0199]
前面针对终端的运行状态存在异常的情况进行了说明，实际应用中，还存在终端设备的运行状态不存在异常的情况，在一个实施例中，实时标准运行状态数据与检测模型中各聚类中心之间的距离至少存在一个不大于预设距离阈值，则确定终端设备的运行状态的安全检测结果为正常，即终端的运行状态不存在异常。
[0200]
在一个实施例中，如图10所示，还提供一种运行状态的安全检测方法，该实施例包括以下步骤：
[0201]
s1001，采集终端运行状态数据，将数据进行归一化处理和特征优化选择，得到各数据的权重，选取权重较大的数据作为标准运行数据；
[0202]
s1002，根据标准运行数据，随机选取一个初始聚类中心，根据距离最大原则选取其它的聚类中心，重复操作m次，得到粒子群的初始位置，初始化粒子群的优化参数；
[0203]
s1003，根据最近邻法则，确定数据的聚类划分，根据聚类中心，确定粒子群的适应度函数；
[0204]
s1004，根据适应度函数计算粒子的适应度值，根据适应度值得到个体极值，全局极值，个体最优位置，全局最优位置；
[0205]
s1005，重新定义惯性权重，学习常数c1和c2，根据粒子群的速度和位置更新公式
更新粒子的速度和位置。
[0206]
s1006，计算粒子群的适应度值，将适应度值升序排列，按照交叉变异操作更新粒子的位置；
[0207]
s1007，计算粒子的适应度值，更新个体极值，全局极值，个体最优位置，全局最优位置；
[0208]
s1008，判断是否满足迭代收敛条件，若满足，则输出粒子的全局最优位置即最优初始聚类中心，否则继续执行s1005
‑
s1007。
[0209]
s1009，根据聚类的特性定义聚类适应度函数，根据距离最近原则对数据进行聚类划分，计算聚类的适应度值；
[0210]
s1010，判断是否满足迭代收敛条件，如果满足，则输出最终的聚类中心，得到检测模型，；若不满足，则计算各类别的均值，将其均值看做新的聚类中心，继续执行步骤s1009。
[0211]
s1011，实时采集智能终端运行状态数据，对数据进行预处理得到实时监控数据，并送入检测模型；
[0212]
s1012，计算实时监控数据与模型中各聚类中心的距离，当实时监控数据与各正常聚类中心的距离均大于设置的阈值距离时，则识别其为异常数据，终端设备此时处于异常状态，进行异常预警。
[0213]
本实施例提供的运行状态的安全检测方法中各步骤，其实现原理和技术效果与前面各运行状态的安全检测方法实施例中类似，在此不再赘述。
[0214]
在一个实施例中，构建了一个安全检测模型。(1)首先对智能终端数据进行采集，获取设备的相关状态信息，对原始状态信息的不同类型数据特征分别进行不同方法的归一化处理，并对数据特征优化选择，提出一种基于特征数值分布分析的特征优化选择方法，计算特征权重，选取重要的特征，舍弃次要特征，避免维度过高，提高异常检测的准确性。(2)将改进的粒子群优化算法和改进的遗传算法结合，提出一种基于遗传算法的改进粒子群算法(improved particle swarm optimization algorithm based on genetic algorithm，gpso)算法，gpso算法可以用于寻找最优解，在k
‑
means聚类中初始聚类中心可看作是gpso算法的最优解，最优聚类中心可以使得适应度函数达到最优值。将遗传算法的交叉和变异操作引入粒子群更新粒子位置，保证每次迭代时种群会产生一些新的个体，降低粒子种群跳出局部最优的难度。再将gpso算法与改进的k
‑
means算法相结合，提出gpsok
‑
means算法，将粒子群算法的适应度函数看做是gpso算法的目标函数，通过gpso算法求得改进k
‑
means算法中的最优初始聚类中心，再利用此结果对终端运行状态数据进行聚类，最终得到高效准确的智能终端安全检测模型。(3)对模型训练完成后，可以将实时终端运行状态数据送入模型中进行检测，判断终端是否安全；检测步骤为：1)智能终端运行状态数据实时采集；2)对信息进行预处理，得到实时监控数据，并送入检测模型；3)计算实时监控数据与模型中各聚类中心的距离；4)当实时监控数据与各正常聚类中心的距离均大于设置的阈值距离时，则识别其为异常数据，终端设备此时处于异常状态，进行异常预警。
[0215]
应该理解的是，虽然上述实施例中的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，上述实施例中的流程图至少一部分步骤可以包括多个步骤或者多个阶段，这些步骤或者阶段并不必然
是在同一时刻执行完成，而是可以在不同的时刻执行，这些步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
[0216]
另外，本技术实施例还提供了一种运行状态的安全检测装置，如图11所示，在一个实施例中，该运行状态的安全检测装置1100包括：处理模块1101、输入模块1102和确定模块1103，其中：
[0217]
处理模块1101，用于对终端设备的实时运行状态数据进行标准化处理，得到终端设备的实时标准运行状态数据；
[0218]
输入模块1102，用于将实时标准运行状态数据输入至预设的检测模型中，确定实时标准运行状态数据与检测模型中各聚类中心之间的距离；检测模型中包括多个聚类中心，多个聚类中心为基于群体智能优化算法对聚类算法进行优化后得到的；
[0219]
确定模块1103，用于若实时标准运行状态数据与检测模型中各聚类中心之间的距离均大于预设距离阈值，确定终端设备的运行状态的安全检测结果为异常。
[0220]
在其中一个实施例中，还提供了一种运行状态的安全检测装置，该装置包括：
[0221]
预处理模块，用于获取多个样本终端设备的运行状态数据，对多个样本终端设备运行状态数据进行预处理，得到预处理后的运行状态数据；
[0222]
聚类模块，用于根据预处理后的运行状态数据确定多个初始聚类中心；
[0223]
得到模块，用于通过群体智能优化算法优化多个初始聚类中心，得到多个候选聚类中心；
[0224]
获取模块，用于根据预设的聚类适应度函数，获取各候选聚类中心对应的类簇的适应度值；
[0225]
判断模块，用于若各候选聚类中心对应的类簇的适应度值满足预设的第一迭代收敛条件，将各候选聚类中心确定为检测模型中的多个聚类中心，得到检测模型。
[0226]
在其中一个实施例中，得到模块包括：
[0227]
初始单元，用于初始化进行粒子群优化算法的优化参数，并基于优化参数构建群体优化适应度函数；优化参数至少包括个体的位置和移动速度；
[0228]
判断单元，用于根据群体优化适应度函数确定各初始聚类中心对应的粒子种群的适应度值，并执行预设的迭代优化步骤，直至满足预设的的第二迭代收敛条件，得到多个候选聚类中心；其中，迭代优化步骤包括：
[0229]
更新单元，用于根据最优的适应度值对应的各粒子种群中的个体位置和优化参数，更新所有初始聚类中心对应的粒子种群中的个体位置和移动速度；最优的适应度值表示满足预设条件的适应度值；
[0230]
操作单元，用于通过遗传算法对位置和移动速度更新后的各粒子种群中的个体位置进行交叉变异操作；
[0231]
确定单元，用于根据群体优化适应度函数确定交叉变异操作后的各粒子群的适应度值。
[0232]
在其中一个实施例中，上述操作单元包括：
[0233]
第一操作子单元，用于根据位置和移动速度更新后的各粒子种群的适应度值，对各粒子种群中第一预设数量的个体位置进行交叉操作；
[0234]
第二操作子单元，用于对进行交叉操作后的第二预设数量的个体位置进行变异操作。
[0235]
在其中一个实施例中，还提供了一种运行状态的安全检测装置，该装置还包括：
[0236]
距离模块，用于获取预处理后的运行状态数据与各候选聚类中心的距离；
[0237]
更新模块，用于根据预处理后的运行状态数据与各候选聚类中心的距离，更新各候选聚类中心对应的类簇。
[0238]
在其中一个实施例中，上述预处理模块包括：
[0239]
第一处理单元，用于对多个样本终端设备的运行状态数据进行标准化处理，得到标准运行状态数据；
[0240]
获取单元，用于根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准运行状态数据的权重；
[0241]
选择单元，用于根据不同特征类型对应的标准运行状态数据的权重，选择权重值满足预设权重条件的标准运行状态数据作为预处理后的运行状态数据。
[0242]
在其中一个实施例中，上述获取单元包括：
[0243]
计算子单元，用于计算不同特征类型对应的标准运行状态数据的均方差；
[0244]
处理子单元，用于对不同特征类型对应的标准运行状态数据的均方差进行归一化处理，得到不同特征类型对应的标准运行状态数据的权重。
[0245]
关于运行状态的安全检测装置的具体限定可以参见上文中对于运行状态的安全检测方法的限定，在此不再赘述。上述运行状态的安全检测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。
[0246]
在一个实施例中，提供了一种计算机设备，该计算机设备可以是终端，其内部结构图可以如图12所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、运营商网络、nfc(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种运行状态的安全检测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
[0247]
本领域技术人员可以理解，图12中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
[0248]
在一个实施例中，提供了一种计算机设备，包括存储器和处理器，存储器中存储有计算机程序，该处理器执行计算机程序时实现以下步骤：
[0249]
对终端设备的实时运行状态数据进行标准化处理，得到终端设备的实时标准运行状态数据；
[0250]
将实时标准运行状态数据输入至预设的检测模型中，确定实时标准运行状态数据与检测模型中各聚类中心之间的距离；检测模型中包括多个聚类中心，多个聚类中心为基于群体智能优化算法对聚类算法进行优化后得到的；
[0251]
若实时标准运行状态数据与检测模型中各聚类中心之间的距离均大于预设距离阈值，确定终端设备的运行状态的安全检测结果为异常。
[0252]
在一个实施例中，该处理器执行计算机程序时实现以下步骤：
[0253]
获取多个样本终端设备的运行状态数据，对多个样本终端设备运行状态数据进行预处理，得到预处理后的运行状态数据；
[0254]
根据预处理后的运行状态数据确定多个初始聚类中心；
[0255]
通过群体智能优化算法优化多个初始聚类中心，得到多个候选聚类中心；
[0256]
根据预设的聚类适应度函数，获取各候选聚类中心对应的类簇的适应度值；
[0257]
若各候选聚类中心对应的类簇的适应度值满足预设的第一迭代收敛条件，将各候选聚类中心确定为检测模型中的多个聚类中心，得到检测模型。
[0258]
在一个实施例中，该处理器执行计算机程序时实现以下步骤：
[0259]
初始化进行粒子群优化算法的优化参数，并基于优化参数构建群体优化适应度函数；优化参数至少包括个体的位置和移动速度；
[0260]
根据群体优化适应度函数确定各初始聚类中心对应的粒子种群的适应度值，并执行预设的迭代优化步骤，直至满足预设的的第二迭代收敛条件，得到多个候选聚类中心；其中，迭代优化步骤包括：
[0261]
根据最优的适应度值对应的各粒子种群中的个体位置和优化参数，更新所有初始聚类中心对应的粒子种群中的个体位置和移动速度；最优的适应度值表示满足预设条件的适应度值；
[0262]
通过遗传算法对位置和移动速度更新后的各粒子种群中的个体位置进行交叉变异操作；
[0263]
根据群体优化适应度函数确定交叉变异操作后的各粒子群的适应度值。
[0264]
在一个实施例中，该处理器执行计算机程序时实现以下步骤：
[0265]
根据位置和移动速度更新后的各粒子种群的适应度值，对各粒子种群中第一预设数量的个体位置进行交叉操作；
[0266]
对进行交叉操作后的第二预设数量的个体位置进行变异操作。
[0267]
在一个实施例中，该处理器执行计算机程序时实现以下步骤：
[0268]
获取预处理后的运行状态数据与各候选聚类中心的距离；
[0269]
根据预处理后的运行状态数据与各候选聚类中心的距离，更新各候选聚类中心对应的类簇。
[0270]
在一个实施例中，该处理器执行计算机程序时实现以下步骤：
[0271]
对多个样本终端设备的运行状态数据进行标准化处理，得到标准运行状态数据；
[0272]
根据终端设备运行状态数据的特征类型，获取不同特征类型对应的标准运行状态数据的权重；
[0273]
根据不同特征类型对应的标准运行状态数据的权重，选择权重值满足预设权重条件的标准运行状态数据作为预处理后的运行状态数据。
[0274]
在一个实施例中，该处理器执行计算机程序时实现以下步骤：
[0275]
计算不同特征类型对应的标准运行状态数据的均方差；
[0276]
对不同特征类型对应的标准运行状态数据的均方差进行归一化处理，得到不同特征类型对应的标准运行状态数据的权重。
[0277]
上述实施例提供的一种计算机可读存储介质，其实现原理和技术效果与上述方法实施例类似，在此不再赘述。
[0278]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(read
‑
only memory，rom)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(random access memory，ram)或外部高速缓冲存储器。作为说明而非局限，ram可以是多种形式，比如静态随机存取存储器(static random access memory，sram)或动态随机存取存储器(dynamic random access memory，dram)等。
[0279]
以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。
[0280]
以上所述实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。