一种基于零信任模型的主机的安全检测方法、系统与流程

1.本发明涉及网络安全领域，特别是涉及一种基于零信任模型的主机的安全 检测方法和系统。


背景技术：

2.传统的互联网企业将网络划分为内网和外网，认为内网大都是安全的。然 而越来越多安全事件的爆发指出，内网安全同样不可忽视。黑客在攻击之前或 者攻击之后，都有可能潜伏在企业内网，利用内部系统漏洞控制员工账号或者 越权获得管理账号。另外，内部员工的安全意识淡薄导致安全问题无中生有、 员工误操作或者恶意泄露数据信息等，此类安全问题也需要得到重视。
3.零信任模型的基础概念最早由约翰.金德维格(johnkindervag)在2010 年提出，2017年谷歌第一次实现了零信任网络。零信任模型的原则是默认情况 下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构 访问控制的信任基础。而本方案提取其基础概念，将其运用在主机安全检测上。 主机上的所有数据默认都是不可信的，需要基于授权和认证。
4.中国国家发明“一种基于信任度的差异化入侵防御方法”(申请号： cn109347807a)，提出一种基于信任度的差异化入侵防御方法，通过对角色的 遍历匹配，建立信任度对照机制；以信任度分级为基础，对数据流量进行分流； 通过采取不同级别匹配不同规则下的过滤器的方式，对流量进行差异化检测， 达到对大流量情况下的分化安全检测和平时的常规安全检测的目的。由于本发 明的方法减少了对高、中信任度角色的过滤器检测数量，对零信任度角色采取 可以数据包抛弃方法，因此可以认为本方法有效减少了非必要检测的时间消 耗，达到增加入侵防御设备性能的目的。
5.中国国家发明“一种零信任模型实现系统”(申请号：cn108494729a)， 公开了一种零信任模型实现系统，包括零信节点安全卡、物理机和安全管理端， 通过使用在每个物理机上都配置零信节点安全卡，并在每个零信节点安全卡上 都设置具有实时流量监测功能、防火墙功能、白名单管理功能和集中管理及视 图展现功能的板载cpu计算模块，以及具有通信功能的网络接口，并通过安全 管理端对零信节点安全卡进行统一配置和管理安全策略及规则，实现了以物理 机为单元的、基于零信节点安全卡的硬件和软件结合的双重防护，而且本实施 例中，由于零信节点安全卡中设置有板载cpu计算模块，其防护功能和数据计 算处理过程与物理机的资源是相互独立的，所以零信节点安全卡不会依赖物理 机的运算，也不会受到物理机被恶意程序破坏造成的影响。


技术实现要素：

6.本发明提出一种基于零信任模型的主机安全检测方法，包括：模型构建步 骤，获取主机的基础数据，对该基础数据进行数据分析，构建该主机的安全特 征模型；数据比对步骤，获取该主机执行当前业务的运营数据，提取该运营数 据的运营特征，并通过该安全
特征模型对该运营特征进行识别，以获取该主机 的安全状态。
7.本发明所述的主机安全检测方法，其中该基础数据包括第一数据和第二数 据，该第一数据为该主机的属性数据，包括该主机的正常用户、特权用户、系 统版本、内核版本、预执行的正常业务、日常i/o；该第二数据为该主机执行 该正常业务时的运营数据。
8.本发明所述的主机安全检测方法，其中该模型构建步骤具体包括：对该第 一数据构成的第一数据集进行数据分析，以构建第一特征模型；对该第二数据 构成的第二数据集进行数据分析，以构建第二特征模型。
9.本发明所述的主机安全检测方法，其中该数据比对步骤具体包括：通过该 第一特征模型对该运营特征进行识别，以获取该主机的第一状态；若该第一状 态为安全，则确认该主机的安全状态为真；若该第一状态为危险，则通过该第 二特征模型对该运营特征进行识别，以获取该主机的第二状态；若该第二状态 为安全，则确认该主机的安全状态为真，若该第二状态为危险，则对该主机进 行安全处理。
10.本发明所述的主机安全检测方法，其中将该第二数据集根据该正常业务的 业务类型划分为多个第二子数据集，对该第二子数据集进行数据分析，以构建 对应的该第二特征模型的第二子特征模型。
11.本发明所述的主机安全检测方法，其中该数据比对步骤具体包括：通过该 第一特征模型对该运营特征进行识别，以获取该主机的第一状态；若该第一状 态为安全，则确认该主机的安全状态为真；若该第一状态为危险，则判断该当 前业务的业务类型，若该当前业务的业务类型属于该正常业务的业务类型，则 通过对应的第二子特征模型对该运营特征进行识别，以获取该主机的第二状 态；若该第二状态为安全，则确认该主机的安全状态为真，若该第二状态为危 险，则对该主机进行安全处理；若该当前业务的业务类型不属于该正常业务的 业务类型，则对该主机进行安全处理。
12.本发明所述的主机安全检测方法，其中该安全处理包括：发出告警信息和 /或对该当前业务进行主动拦截。
13.本发明所述的主机安全检测方法，其中该模型构建步骤还包括：第一模型 更新步骤，当该第一数据增加新数据时，判断该新数据的是否为安全数据，若 是，则更新该第一数据，反之则发出告警信息。
14.本发明所述的主机安全检测方法，其中通过人工判读或与预设数据比较， 以判断该新数据的是否为安全数据。
15.本发明所述的主机安全检测方法，其中若该新数据为该主机增加的正常业 务，则获取该主机执行该增加的正常业务时的运营数据，以更新该第二数据。
16.本发明还提出一种基于零信任模型的主机安全检测系统，包括：模型构建 模块，用于获取主机的基础数据，对该基础数据进行数据分析，构建该主机的 安全特征模型；数据比对模块，用于获取该主机执行当前业务的运营数据，提 取该运营数据的运营特征，并通过该安全特征模型对该运营特征进行识别，以 获取该主机的安全状态。
17.本发明所述的主机安全检测系统，其中该基础数据包括第一数据和第二数 据，该第一数据为该主机的属性数据，包括该主机的正常用户、特权用户、系 统版本、内核版本、预执行的正常业务、日常i/o；该安全特征模型包括第一 特征模型；该第二数据为该主机执行该正常业务时的运营数据；该安全特征模 型还包括第二特征模型。
18.本发明所述的主机安全检测系统，其中该模型构建模块包括：第一模型构 建模块，用于对该第一数据构成的第一数据集进行数据分析，以构建该第一特 征模型；第二模型构建模块，用于对该第二数据构成的第二数据集进行数据分 析，以构建该第二特征模型。
19.本发明所述的主机安全检测系统，其中该数据比对模块具体包括：用于通 过该第一特征模型对该运营特征进行识别，以获取该主机的第一状态；若该第 一状态为安全，则确认该主机的安全状态为真；若当该第一状态为危险，则通 过该第二特征模型对该运营特征进行识别，以获取该主机的第二状态；若该第 二状态为安全，则确认该主机的安全状态为真，若该第二状态为危险，则对该 主机进行安全处理。
20.本发明所述的主机安全检测系统，其中该第二模型构建模块还包括：子模 型构建模块，用于将该第二数据集根据该正常业务的业务类型划分为多个第二 子数据集，对该第二子数据集进行数据分析，以构建对应的该第二特征模型的 第二子特征模型。
21.本发明所述的主机安全检测系统，其中该数据比对模块具体包括：通过该 第一特征模型对该运营特征进行识别，以获取该主机的第一状态；若该第一状 态为安全，则确认该主机的安全状态为真；若该第一状态为危险，则判断该当 前业务的业务类型，若该当前业务的业务类型属于该正常业务的业务类型，则 通过对应的第二子特征模型对该运营特征进行识别，以获取该主机的第二状 态；若该第二状态为安全，则确认该主机的安全状态为真，若该第二状态为危 险，则对该主机进行安全处理；若该当前业务的业务类型不属于该正常业务的 业务类型，则对该主机进行安全处理。
22.本发明所述的主机安全检测系统，其中该安全处理包括：发出告警信息和 /或对该当前业务进行主动拦截。
23.本发明所述的主机安全检测系统，其中该模型构建模块还包括：第一模型 更新模块，用于当该第一数据增加新数据时，判断该新数据的是否为安全数据， 若是，则更新该第一数据，并进行数据分析，以更新该第一特征模型，反之则 发出告警信息。
24.本发明所述的主机安全检测系统，其中通过人工判读或与预设数据比较， 以判断该新数据的是否为安全数据。
25.本发明所述的主机安全检测系统，其中该模型构建模块还包括：第一模型 更新模块，用于当该新数据为该主机增加的正常业务，则获取该主机执行该增 加的正常业务时的运营数据，以更新该第二数据，并进行数据分析，以更新该 第二特征模型。
26.本发明还提出一种计算机可读存储介质，存储有可执行指令，该可执行指 令用于执行如前所述的主机安全检测方法。
27.本发明还提出一种数据处理装置，包括：至少一台执行业务的主机；数据 分析引擎，与该主机连接，用于获取该主机的基础数据并构建该主机的安全特 征模型；数据处理后端，包括处理器和可读存储介质，分别与该数据分析引擎 和该主机连接，该处理器调取并执行该可读存储介质中的可执行指令，以获取 该主机执行当前业务的运营数据，提取该运营数据的运营特征，并通过该安全 特征模型对该运营特征进行识别，以获取该主机的安全状态；其中，该可读存 储介质为如前所述的计算机可读存储介质。
28.本发明提出的主机安全检测方法结合业务的运营数据，根据业务特性建 模，减少了因业务正常操作而产生的误报，提高了数据告警准确率，减少安全 管理人员的工作量；
还可以审计主机上的操作信息、进程信息、流量信息、用 户信息，所有不符合基础数据的均有记录，提供有效的溯源分析日志支持；以 及通过安全特征模型的二次处理，识别可疑数据，并提供主动拦截机制，提高 主机安全的防御能力。
附图说明
29.图1是本发明的基于零信任模型的主机安全检测方法流程图。
30.图2是本发明的数据处理装置示意图。
具体实施方式
31.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图，对 本发明进一步详细说明。应当理解，此处所描述的具体实施方法仅仅用以解释 本发明，并不用于限定本发明。
32.本发明提出一种基于零信任模型的主机安全检测方法，包括：
33.模型构建步骤，获取主机的基础数据，对基础数据进行数据分析，构建主 机的安全特征模型；
34.数据比对步骤，获取主机执行当前业务的运营数据，提取运营数据的运营 特征，并通过安全特征模型对运营特征进行识别，以获取主机的安全状态。
35.其中基础数据包括第一数据和第二数据，第一数据为主机的属性数据，包 括该主机的正常用户、特权用户、系统版本、内核版本、预执行的正常业务、 日常i/o；第二数据为主机执行正常业务时的运营数据。
36.基于第一数据和第二数据，模型构建步骤具体包括：对第一数据构成的第 一数据集进行数据分析，以构建第一特征模型；对该第二数据构成的第二数据 集进行数据分析，以构建第二特征模型。
37.基于第一特征模型和第二特征模型，数据比对步骤具体包括：通过第一特 征模型对运营特征进行识别，以获取主机的第一状态；若第一状态为安全，则 确认主机处于安全状态(安全状态为真)；若第一状态为危险，则通过第二特 征模型对运营特征进行识别，以获取主机的第二状态；若第二状态为安全，则 确认主机处于安全状态(安全状态为真)，若第二状态为危险，则对主机进行 安全处理。
38.本发明的安全处理操作包括但不限于：向安全管理人员和/或主机业务操 作人员发出告警信息，以及对主机当前业务进行主动拦截，例如暂停当前业务 的执行、以沙箱对当前业务进行隔离、终止当前业务的执行，告警及拦截可以 同时执行或择一执行，本发明并不以此为限。
39.进一步的，还可以根据第一数据中正常业务的业务类型，将第二数据集划 分为多个第二子数据集，然后分别对每个第二子数据集进行数据分析，以构建 对应的第二子特征模型。
40.基于第一特征模型和第二子特征模型，数据比对步骤具体包括：通过第一 特征模型对运营特征进行识别，以获取主机的第一状态；若该第一状态为安全， 则确认主机处于安全状态(安全状态为真)；若第一状态为危险，则判断当前 业务的业务类型，若当前业务的业务类型属于正常业务的业务类型，则通过对 应的第二子特征模型对运营特征进行识
别，以获取主机的第二状态；若第二状 态为安全，则确认主机处于安全状态(安全状态为真)，若第二状态为危险， 则对主机进行安全处理；若当前业务的业务类型不属于该正常业务的业务类 型，则对主机进行安全处理。
41.本发明的模型构建步骤还包括：第一模型更新步骤，当第一数据增加新数 据时，判断新数据的是否为安全数据，若是，则更新第一数据，反之则发出告 警信息。确认安全数据的操作可以为人工判读新数据的安全性，也可以将新数 据与预设数据进行比较，以自动判断新数据的安全性；当确认新数据为安全数 据后，若新数据为主机增加的正常业务，则获取主机执行增加的正常业务时的 运营数据，以更新第二数据。
42.于本发明的实施例，基础数据包含基于agent监控程序收集的机器内部数 据和机器相关的业务数据，运营数据包含业务运行数据和运行操作数据。具体 来说，基础数据包含机器的归属信息、业务正常运行时的进程信息、文件信息、 账户信息等。运营数据包括用户操作、运行进程、服务运行cpu、服务运行i/o 等，特征数据包括高危用户操作、挖矿进程特征、cpu占用率最高默认值、运 行i/o最高默认值等。基于基础数据构建机器基础认证，同时也维护基础数据 的安全和准确，包括但不限于组件漏洞检查、基线审查、账号密码管理、基础 业务相关数据等。审计主机内产生的所有运营数据，包括但不限于机器性能监 控、登录认证、操作审计、进程审计、程序审计、文件审计等。
43.基础数据通过数据分析引擎进行建模，同时和运营数据做比较，交由数据 处理后端处理，后端同时和安全方向收集的特征数据、特征模型做对比，二次 校验后判断该数据是否是异常数据，如果是可疑数据，则实时传输给安全运营 管理平台，交由安全管理人员处理。主机的某一业务的基础数据通过数据分析 构成这个业务的模型，会打一个这个业务的标签；打完标签后，新生成的运营 数据会先确认标签再基础数据作对比。比较发生在数据处理后端里。通过安全 特征模型，判断这些变化的信息是否是安全的，如果是安全的可暂时忽略，如 果不是则告警。比如在业务运营过程中新增了账户，同时该账户并不在机器归 属负责人的账户名单中，则属于可疑账户，需要告警。
44.安全方向的特征数据和特征模型指的是通过特征数据或者特征模型能够 判断该行为是否可疑。特征数据包括病毒木马特征、挖矿进程、反弹shell特征 等等，特征模型指的是基于特征行为的建模，比如下载执行、创建账户等。
45.而运营数据也包含进程信息、文件信息、账户信息等，将运营信息和基础 数据作比较，提取出变化的进程信息、文件信息、账户信息。特征建模包括下 载执行等。比如某用户从网上下载了一个包，并且解压后使其运行。该行为符 合下载执行模型，需关注进程信息、cpu占用率信息、i/o信息等，将这几个 维度的数据和基础数据对比，并和特征数据对比，如果有可疑进程并且cpu占 用率增高，则可判断其可能有挖矿行为。需要告警
46.除了agent的相关组件可对不同类型的数据进行自动审计和处理，安全管 理人员也可以依据返回数据对机器访问进行操作和控制。
47.图1是本发明的基于零信任模型的主机安全检测方法流程图。如图1所示， 本发明的主机安全检测方法，具体包括如下步骤：
48.步骤s1，获取主机的属性数据；
49.步骤s2，对属性数据进行数据分析，构建该主机的第一特征模型；
50.步骤s3，获取主机执行正常业务的运营数据；
51.步骤s4，对运营数据进行数据分析，构建该主机的第二特征模型；
52.步骤s5，获取该主机执行当前业务的运营数据，提取运营特征；
53.步骤s6，通过第一特征模型对运营特征进行识别，以获取主机状态；
54.步骤s7，若主机状态为安全，则进入步骤s11，判定主机当前为安全状态； 反之则进入步骤s8；
55.步骤s8，通过第二特征模型对运营特征进行识别，以获取主机状态；
56.步骤s9，若主机状态为安全，则进入步骤s11，判定主机当前为安全状态； 反之则进入步骤s10；
57.步骤s10，对主机进行安全处理；
58.步骤s11，判定主机当前为安全状态。
59.首先，根据业务情况进行分组和标签，收集该业务机器的运行服务、日常 i/o、cpu使用率、特权用户、系统版本、内核版本甚至常规操作等基础数据。 通过业务基础数据分别建模。比如游戏业务的线上机器，日常cpu占用率较高、 i/o较高。而静态网站的机器的cpu占用率低，所以分别建立游戏业务模型和 静态网站模型。
60.然后，日常收集机器的运营数据，包括新增网络连接、日常操作审计、日 常登录用户、新增文件等，将这些数据分别和基础模型、特征模型作对比。比 如，当进程启动时，和基础模型进行比较，如果是业务进程则不告警，如果不 存在则和安全模型比较，如果进程中存在可疑的外链或挖矿工具，则告警。
61.本发明技术方案带来如下有益效果：
62.1、结合业务数据，根据业务特性建模，减少了因业务正常操作而产生的 误报，提高了数据告警准确率，减少安全管理人员的工作量；
63.2、审计主机上的操作信息、进程信息、流量信息、用户信息，所有不符 合基础数据的均有记录，提供有效的溯源分析日志支持；
64.3、通过安全特征模型的二次处理，识别可疑数据，并提供主动拦截机制， 提高主机安全的防御能力。
65.图2是本发明的数据处理装置示意图。如图2所示，本发明实施例还提供 一种计算机可读存储介质，以及一种数据处理装置。本发明的计算机可读存储 介质存储有可执行指令，可执行指令被数据处理装置的处理器执行时，实现上 述基于多模型集成的短文本分类方法。本发明的数据处理装置包括：一台或多 台执行业务的主机；数据分析引擎，与该主机连接，用于获取该主机的基础数 据并构建该主机的安全特征模型；数据处理后端，包括处理器和可读存储介质， 分别与该数据分析引擎和该主机连接，该处理器调取并执行该可读存储介质中 的可执行指令，以获取该主机执行当前业务的运营数据，提取该运营数据的运 营特征，并通过该安全特征模型对该运营特征进行识别，以获取该主机的安全 状态。本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件(例如处理器、fpga、asic等)完成，所述程序可以存储于 可读存储介质中，如只读存储器、磁盘或光盘等。上述实施例的全部或部分步 骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块可 以采用硬件的形式实现，例如通过集成电路来实现其相应功能，也可以采用软 件功能模块的形式实现，例如通过处理器执行存储于存储器中的程序/指令来 实现其相应功能。本发明实施例不限制于任何特定形式的硬件和软件的结合。
66.本发明提出的主机安全检测方法结合业务的运营数据，根据业务特性建 模，减少了因业务正常操作而产生的误报，提高了数据告警准确率，减少安全 管理人员的工作量；还可以审计主机上的操作信息、进程信息、流量信息、用 户信息，所有不符合基础数据的均有记录，提供有效的溯源分析日志支持；以 及通过安全特征模型的二次处理，识别可疑数据，并提供主动拦截机制，提高 主机安全的防御能力。
67.本发明的实施例公开了一种基于零信任模型的主机安全检测方法，包括： 模型构建步骤，获取主机的基础数据，对该基础数据进行数据分析，构建该主 机的安全特征模型；数据比对步骤，获取该主机执行当前业务的运营数据，提 取该运营数据的运营特征，并通过该安全特征模型对该运营特征进行识别，以 获取该主机的安全状态。
68.进一步的，该基础数据包括第一数据和第二数据，该第一数据为该主机的 属性数据，包括该主机的正常用户、特权用户、系统版本、内核版本、预执行 的正常业务、日常i/o；该第二数据为该主机执行该正常业务时的运营数据。
69.进一步的，该模型构建步骤具体包括：对该第一数据构成的第一数据集进 行数据分析，以构建第一特征模型；对该第二数据构成的第二数据集进行数据 分析，以构建第二特征模型。
70.进一步的，该数据比对步骤具体包括：通过该第一特征模型对该运营特征 进行识别，以获取该主机的第一状态；若该第一状态为安全，则确认该主机的 安全状态为真；若该第一状态为危险，则通过该第二特征模型对该运营特征进 行识别，以获取该主机的第二状态；若该第二状态为安全，则确认该主机的安 全状态为真，若该第二状态为危险，则对该主机进行安全处理。
71.进一步的，将该第二数据集根据该正常业务的业务类型划分为多个第二子 数据集，对该第二子数据集进行数据分析，以构建对应的该第二特征模型的第 二子特征模型。
72.进一步的，该数据比对步骤具体包括：通过该第一特征模型对该运营特征 进行识别，以获取该主机的第一状态；若该第一状态为安全，则确认该主机的 安全状态为真；若该第一状态为危险，则判断该当前业务的业务类型，若该当 前业务的业务类型属于该正常业务的业务类型，则通过对应的第二子特征模型 对该运营特征进行识别，以获取该主机的第二状态；若该第二状态为安全，则 确认该主机的安全状态为真，若该第二状态为危险，则对该主机进行安全处理； 若该当前业务的业务类型不属于该正常业务的业务类型，则对该主机进行安全 处理。
73.进一步的，该安全处理包括：发出告警信息和/或对该当前业务进行主动 拦截。
74.进一步的，该模型构建步骤还包括：第一模型更新步骤，当该第一数据增 加新数据时，判断该新数据的是否为安全数据，若是，则更新该第一数据，反 之则发出告警信息。
75.进一步的，通过人工判读或与预设数据比较，以判断该新数据的是否为安 全数据。
76.进一步的，若该新数据为该主机增加的正常业务，则获取该主机执行该增 加的正常业务时的运营数据，以更新该第二数据。
77.本发明的实施例还公开了一种基于零信任模型的主机安全检测系统，包 括：模型构建模块，用于获取主机的基础数据，对该基础数据进行数据分析， 构建该主机的安全特征模型；数据比对模块，用于获取该主机执行当前业务的 运营数据，提取该运营数据的运
营特征，并通过该安全特征模型对该运营特征 进行识别，以获取该主机的安全状态。
78.进一步的，该基础数据包括第一数据和第二数据，该第一数据为该主机的 属性数据，包括该主机的正常用户、特权用户、系统版本、内核版本、预执行 的正常业务、日常i/o；该安全特征模型包括第一特征模型；该第二数据为该 主机执行该正常业务时的运营数据；该安全特征模型还包括第二特征模型。
79.进一步的，该模型构建模块包括：第一模型构建模块，用于对该第一数据 构成的第一数据集进行数据分析，以构建该第一特征模型；第二模型构建模块， 用于对该第二数据构成的第二数据集进行数据分析，以构建该第二特征模型。
80.进一步的，该数据比对模块具体包括：用于通过该第一特征模型对该运营 特征进行识别，以获取该主机的第一状态；若该第一状态为安全，则确认该主 机的安全状态为真；若当该第一状态为危险，则通过该第二特征模型对该运营 特征进行识别，以获取该主机的第二状态；若该第二状态为安全，则确认该主 机的安全状态为真，若该第二状态为危险，则对该主机进行安全处理。
81.进一步的，该第二模型构建模块还包括：子模型构建模块，用于将该第二 数据集根据该正常业务的业务类型划分为多个第二子数据集，对该第二子数据 集进行数据分析，以构建对应的该第二特征模型的第二子特征模型。
82.进一步的，该数据比对模块具体包括：通过该第一特征模型对该运营特征 进行识别，以获取该主机的第一状态；若该第一状态为安全，则确认该主机的 安全状态为真；若该第一状态为危险，则判断该当前业务的业务类型，若该当 前业务的业务类型属于该正常业务的业务类型，则通过对应的第二子特征模型 对该运营特征进行识别，以获取该主机的第二状态；若该第二状态为安全，则 确认该主机的安全状态为真，若该第二状态为危险，则对该主机进行安全处理； 若该当前业务的业务类型不属于该正常业务的业务类型，则对该主机进行安全 处理。
83.进一步的，该安全处理包括：发出告警信息和/或对该当前业务进行主动 拦截。
84.进一步的，该模型构建模块还包括：第一模型更新模块，用于当该第一数 据增加新数据时，判断该新数据的是否为安全数据，若是，则更新该第一数据， 并进行数据分析，以更新该第一特征模型，反之则发出告警信息。
85.进一步的，通过人工判读或与预设数据比较，以判断该新数据的是否为安 全数据。
86.进一步的，该模型构建模块还包括：第一模型更新模块，用于当该新数据 为该主机增加的正常业务，则获取该主机执行该增加的正常业务时的运营数 据，以更新该第二数据，并进行数据分析，以更新该第二特征模型。
87.在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详 述的部分，可以参见其他实施例的相关描述。
88.可以理解的是，上述方法及装置中的相关特征可以相互参考。另外，上述 实施例中的“第一”、“第二”等是用于区分各实施例，而并不代表各实施例 的优劣。
89.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述 的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此 不再赘述。
90.在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有 相关。
各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构 造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程 语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且 上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
91.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发 明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细 示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
92.类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或 多个，在上而对本发明的示例性实施例的描述中，本发明的各个特征有时被一 起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法 解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确 记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发 明方面在于少于前面公开的单个实施例的所有特征。因此，遵具体实施方式的 权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本 发明的单独实施例。
93.本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适 应性地改变并且把它们设置在与该实施例不同的一个或多个设备中，可以把实 施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它 们分成多个子模块或子单元或子组件。除了这样的特征和或过程或者单元中的 至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要 求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有 过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、 摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征 来代替此外，本领域的技术人员能够理解，尽管在此所述的施例包括其它实施 例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着 处于本发明的范国之内并且形成不同的实施例。
94.以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域 的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变 化和变形，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护 范围应由权利要求限定。