基于工控网络病毒的异常机器智能识别方法、装置、设备与流程

1.本公开的实施例涉及计算机技术领域，具体涉及基于工控网络病毒的异常机器智能识别方法、装置、设备。


背景技术：

2.在工控网络领域，防止机器集群（例如，分布式服务器集群）中的机器被网络病毒/病毒程度入侵，会对机器集群中的机器进行检测，以识别出机器集群中的异常机器。目前，识别出机器集群中的异常机器，通常采用的方式为：通过技术人员定期对机器集群中的每台机器进行检测，以识别出机器集群中的异常机器。
3.然而，采用上述方式通常会存在以下技术问题：第一，通过技术人员检测，检测时间较长、且未从机器集群的角度对机器进行检测，对机器进行检测的角度较为单一，机器检测结果存在偏差，无法及时检测出异常的机器；第二，通过技术人员检测，难以纵向检测机器负载的变化，导致对机器的检测结果存在偏差，难以准确检测出异常机器；第三，通过技术人员检测，在检测过程中可能存在检测偏差，未设定机器检测的参考值以及未考虑每个机器的初始参数信息，导致检测结果不准确。


技术实现要素：

4.本公开的内容部分用于以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。
5.本公开的一些实施例提出了基于工控网络病毒的异常机器智能识别方法、装置、电子设备和计算机可读介质，来解决以上背景技术部分提到的技术问题中的一项或多项。
6.第一方面，本公开的一些实施例提供了一种基于工控网络病毒的异常机器智能识别方法，该方法包括：获取机器集群中每个机器在测试时间段内的机器负载信息序列和任务运行信息序列，得到机器负载信息序列集和任务运行信息序列集，其中，每个机器对应的机器负载信息序列中的机器负载信息对应上述机器对应的任务运行信息序列中的任务运行信息；基于上述机器负载信息序列集，生成机器负载值集，其中，上述机器负载值集中的机器负载值对应上述机器负载信息序列集中的机器负载信息序列；基于上述任务运行信息序列集，确定机器参考负载值集，其中，上述任务运行信息序列集中的任务运行信息序列对应上述机器参考负载值集中的机器参考负载值；基于上述机器负载值集和上述机器参考负载值集，确定第一异常机器组；对于上述机器负载信息序列集中的每个机器负载信息序列，对上述机器负载信息序列中的每个机器负载信息进行负载参数分析处理，以生成机器负载参数分析信息，得到机器负载参数分析信息序列；对所得到的各个机器负载参数分析信息序列包括的各个机器负载参数分析信息进行聚类处理，以生成机器负载参数分析信息组
集，其中，机器负载参数分析信息组包括的各个机器负载参数分析信息对应的机器负载参数分析信息序列不同，各个机器负载参数分析信息对应在机器负载参数分析信息序列中的序号相同；对于上述机器负载参数分析信息组集中的每个机器负载参数分析信息组，对上述机器负载参数分析信息组进行离群聚类处理，以生成离群机器负载参数分析信息组；根据所生成的各个离群机器负载参数分析信息组，确定第二异常机器组；根据上述第一异常机器组和上述第二异常机器组，识别出目标异常机器组。
7.第二方面，本公开的一些实施例提供了一种基于工控网络病毒的异常机器智能识别装置，装置包括：获取单元，被配置成获取机器集群中每个机器在测试时间段内的机器负载信息序列和任务运行信息序列，得到机器负载信息序列集和任务运行信息序列集，其中，每个机器对应的机器负载信息序列中的机器负载信息对应上述机器对应的任务运行信息序列中的任务运行信息；生成单元，被配置成基于上述机器负载信息序列集，生成机器负载值集，其中，上述机器负载值集中的机器负载值对应上述机器负载信息序列集中的机器负载信息序列；第一确定单元，被配置成基于上述任务运行信息序列集，确定机器参考负载值集，其中，上述任务运行信息序列集中的任务运行信息序列对应上述机器参考负载值集中的机器参考负载值；第二确定单元，被配置成基于上述机器负载值集和上述机器参考负载值集，确定第一异常机器组；分析单元，被配置成对于上述机器负载信息序列集中的每个机器负载信息序列，对上述机器负载信息序列中的每个机器负载信息进行负载参数分析处理，以生成机器负载参数分析信息，得到机器负载参数分析信息序列；聚类单元，被配置成对所得到的各个机器负载参数分析信息序列包括的各个机器负载参数分析信息进行聚类处理，以生成机器负载参数分析信息组集，其中，机器负载参数分析信息组包括的各个机器负载参数分析信息对应的机器负载参数分析信息序列不同，各个机器负载参数分析信息对应在机器负载参数分析信息序列中的序号相同；离群聚类单元，被配置成对于上述机器负载参数分析信息组集中的每个机器负载参数分析信息组，对上述机器负载参数分析信息组进行离群聚类处理，以生成离群机器负载参数分析信息组；第三确定单元，被配置成根据所生成的各个离群机器负载参数分析信息组，确定第二异常机器组；识别单元，被配置成根据上述第一异常机器组和上述第二异常机器组，识别出目标异常机器组。
8.第三方面，本公开的一些实施例提供了一种电子设备，包括：一个或多个处理器；存储装置，其上存储有一个或多个程序，当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现上述第一方面任一实现方式所描述的方法。
9.第四方面，本公开的一些实施例提供了一种计算机可读介质，其上存储有计算机程序，其中，程序被处理器执行时实现上述第一方面任一实现方式所描述的方法。
10.本公开的上述各个实施例具有如下有益效果：通过本公开的一些实施例的基于工控网络病毒的异常机器智能识别方法，提升了对机器集群中异常机器检测的准确率，缩短了检测时间，可以及时检测出异常的机器。具体来说，无法及时检测出异常的机器的原因在于：通过技术人员检测，检测时间较长、且未从机器集群的角度对机器进行检测，对机器进行检测的角度较为单一，机器检测结果存在偏差，无法及时检测出异常的机器。基于此，本公开的一些实施例的基于工控网络病毒的异常机器智能识别方法，首先，获取机器集群中每个机器在测试时间段内的机器负载信息序列和任务运行信息序列，得到机器负载信息序列集和运行信息序列集。由此，便于检测出机器的负载情况。同时可以利用任务运行信息序
列作为参考，以确定机器的负载情况是否异常。其次，基于上述机器负载信息序列集，生成机器负载值集。由此，可以确定每个机器在测试时间段内的负载值，便于后续确定机器的负载值是否异常。再其次，基于上述任务运行信息序列集，确定机器参考负载值集。由此，可以根据每个机器在测试时间段内所运行的任务，解算出机器的参考负载值。从而，为确定机器的负载值是否异常，提供了数据支持。接着，基于上述机器负载值集和上述机器参考负载值集，确定第一异常机器组。由此，可以通过机器自身运转任务的负载值，初步确定出异常的机器。再接着，对于上述机器负载信息序列集中的每个机器负载信息序列，对上述机器负载信息序列中的每个机器负载信息进行负载参数分析处理，以生成机器负载参数分析信息，得到机器负载参数分析信息序列。然后，对所得到的各个机器负载参数分析信息序列包括的各个机器负载参数分析信息进行聚类处理，以生成机器负载参数分析信息组集。由此，便于后续从机器集群的角度对机器进行检测。再然后，对于上述机器负载参数分析信息组集中的每个机器负载参数分析信息组，对上述机器负载参数分析信息组进行离群聚类处理，以生成离群机器负载参数分析信息组。由此，可以从机器集群的角度，检测出异常的机器负载信息（离群机器负载参数分析信息）。之后，根据所生成的各个离群机器负载参数分析信息组，确定第二异常机器组。由此，可以对各个离群机器负载参数分析信息组的分析，解析出异常的机器。最后，根据上述第一异常机器组和上述第二异常机器组，识别出目标异常机器组。由此，可以综合机器自身的运行情况和分析机器在机器集群中的运行状态，识别出异常机器。也因为是通过机器运行任务的情况，进行的检测。从而，缩短了检测时间，可以及时检测出异常的机器。
附图说明
11.结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，元件和元素不一定按照比例绘制。
12.图1是根据本公开的基于工控网络病毒的异常机器智能识别方法的一些实施例的流程图；图2是根据本公开的基于工控网络病毒的异常机器智能识别装置的一些实施例的结构示意图；图3是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
13.下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例。相反，提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。
14.另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。
15.需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
16.需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。
17.本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。
18.下面将参考附图并结合实施例来详细说明本公开。
19.图1是根据本公开的基于工控网络病毒的异常机器智能识别方法的一些实施例的流程图。示出了根据本公开的基于工控网络病毒的异常机器智能识别方法的一些实施例的流程100。该基于工控网络病毒的异常机器智能识别方法，包括以下步骤：步骤101，获取机器集群中每个机器在测试时间段内的机器负载信息序列和任务运行信息序列，得到机器负载信息序列集和任务运行信息序列集。
20.在一些实施例中，设备质量检测表生成方法的执行主体（例如服务器）可以通过有线连接或无线连接的方式获取机器集群中每个机器在测试时间段内的机器负载信息序列和任务运行信息序列，得到机器负载信息序列集和任务运行信息序列集。其中，每个机器对应的机器负载信息序列中的机器负载信息对应上述机器对应的任务运行信息序列中的任务运行信息。这里，测试时间段可以是指用于测试机器集群中的机器是否异常的时间段。机器集群可以是指分布式服务器集群。这里，机器负载信息序列可以是指机器在测试时间段内执行各个任务运行信息的负载信息。任务运行信息可以是指预先设定的用于测试机器的任务的信息。例如，任务运行信息可以包含测试任务对应的任务占用内存和测试时长。
21.步骤102，基于上述机器负载信息序列集，生成机器负载值集。
22.在一些实施例中，上述执行主体可以基于上述机器负载信息序列集，生成机器负载值集。其中，上述机器负载值集中的机器负载值对应上述机器负载信息序列集中的机器负载信息序列。这里，上述机器负载信息序列集中的机器负载信息包括：负载参数组。其中，负载参数组可以是指机器在执行任务时，机器的各个负载数据，可以包括但不限于：cpu（central processing unit，中央处理器）利用率、内存利用率、磁盘利用率、网络利用率、cpu指标、负载指标、磁盘io指标等。这里，cpu指标可以是指cpu处理速度。负载指标可以表示机器的主机电路负载。磁盘io指标可以表示磁盘的输入和输出的速率。
23.实践中，基于上述机器负载信息序列集，上述执行主体可以通过以下步骤生成机器负载值集：第一步，对于上述机器负载信息序列集中的每个机器负载信息序列，执行如下处理步骤：第一子步骤，对于上述机器负载信息序列中的每个机器负载信息，根据上述机器负载信息包括的负载参数组和对应上述负载参数组的各个负载参数权重，生成负载值。这里，每一负载参数存在一对应的负载参数权重。即，可以将负载参数组中每一负载参数与对应的负载参数权重的乘积确定为子负载值，得到子负载值组。然后，可以将子负载值组包括的各个子负载值的总和确定为负载值。
24.第二子步骤，将所生成的各个负载值的总和确定为机器负载值。
25.第二步，将所确定的各个机器负载值确定为机器负载值集。
26.步骤103，基于上述任务运行信息序列集，确定机器参考负载值集。
27.在一些实施例中，上述执行主体可以基于上述任务运行信息序列集，确定机器参
考负载值集。其中，上述任务运行信息序列集中的任务运行信息序列对应上述机器参考负载值集中的机器参考负载值。上述任务运行信息序列集中的各个任务运行信息序列相同。即，对于机器集群中各个机器均采用相同的任务运行信息序列对应的任务进行测试。
28.实践中，基于上述任务运行信息序列集，上述执行主体可以通过以下步骤确定机器参考负载值集：第一步，获取上述机器集群中每个机器在测试时间段内的初始机器参数信息，得到初始机器参数信息集。实践中，上述执行主体可以通过有线连接或无线连接的方式获取上述机器集群中每个机器在测试时间段内的初始机器参数信息，得到初始机器参数信息集。即，初始机器参数信息可以是指在执行测试任务之前机器的各个参数。例如，初始机器参数信息可以包括但不限于：cpu（central processing unit，中央处理器）利用率、内存空间、磁盘空间、网络速度、cpu指标、负载指标、磁盘io指标等。
29.第二步，对于上述任务运行信息序列集中的每个任务运行信息序列，执行如下处理步骤：第一子步骤，将上述任务运行信息序列对应的机器确定为运行机器。这里，运行机器可以是指运行上述任务运行信息序列对应的各个任务的机器。
30.第二子步骤，将上述任务运行信息序列与上述运行机器对应的初始机器参数信息输入至预先训练的机器参考负载值预测模型中，得到机器参考负载值。这里，预先训练的机器参考负载值预测模型可以是指以任务运行信息序列和运行机器对应的初始机器参数信息为输入，以运行机器的机器参考负载值为输出的神经网络模型。例如，经网络模型可以是指预先训练的卷积神经网络模型或长短期记忆网络（long short-term memory，lstm）模型。
31.第三步，将所得到的各个机器参考负载值确定为机器参考负载值集。
32.上述步骤103中的相关内容作为本公开的一个发明点，由此解决了背景技术提及的技术问题三“通过技术人员检测，在检测过程中可能存在检测偏差，未设定机器检测的参考值以及未考虑每个机器的初始参数信息，导致检测结果不准确。”。导致检测结果不准确的因素往往如下：通过技术人员检测，在检测过程中可能存在检测偏差，未设定机器检测的参考值以及未考虑每个机器的初始参数信息，导致检测结果不准确。如果解决了上述因素，就能达到提升检测结果的准确性的效果。为了达到这一效果，首先，获取上述机器集群中每个机器在测试时间段内的初始机器参数信息，得到初始机器参数信息集。由此，可以根据机器的初始参数信息和测试任务的任务信息，解析出机器理论运行测试任务的负载值（机器参考负载值）。接着，对于上述任务运行信息序列集中的每个任务运行信息序列，执行如下处理步骤：首先，将上述任务运行信息序列对应的机器确定为运行机器。然后，将上述任务运行信息序列与上述运行机器对应的初始机器参数信息输入至预先训练的机器参考负载值预测模型中，得到机器参考负载值。由此，可以通过机器的初始机器参数信息和各个测试任务的任务运行信息序列，解算出机器运行任务对的理论负载值（机器参考负载值）。从而，可以为机器实际的负载值提供参考依据，便于判断机器的负载值是否存在异常，以提升检测结果的准确性。
33.可选地，预先训练的机器参考负载值预测模型可以是通过以下步骤训练得到的：第一步，确定初始机器参考负载值预测模型的网络结构以及初始化上述初始机器
参考负载值预测模型的网络参数。
34.第二步，获取训练样本集。其中，训练样本集中的训练样本包括样本机器运行信息和机器参考负载值标签，样本机器运行信息包括任务运行信息序列与初始机器参数信息。例如，机器参考负载值标签可以表示样本机器运行信息对应的理论机器负载值。
35.第三步，将上述训练样本集包括的样本机器运行信息作为初始机器参考负载值预测模型的输入，将上述训练样本集包括的机器参考负载值标签作为初始机器参考负载值预测模型的期望输出，利用深度学习方法训练初始机器参考负载值预测模型。
36.第四步，将训练得到的初始机器参考负载值预测模型确定为预先训练的机器参考负载值预测模型。
37.步骤104，基于上述机器负载值集和上述机器参考负载值集，确定第一异常机器组。
38.在一些实施例中，上述执行主体可以基于上述机器负载值集和上述机器参考负载值集，确定第一异常机器组。
39.实践中，基于上述机器负载值集和上述机器参考负载值集，上述执行主体可以通过以下步骤确定第一异常机器组：第一步，对于上述机器负载值集中的每个机器负载值，执行如下处理步骤：第一子步骤，将上述机器参考负载值集中对应上述机器负载值的机器参考负载值确定为目标机器参考负载值。
40.第二子步骤，将上述机器负载值与上述目标机器参考负载值的差值确定为机器负载差值。
41.第三子步骤，确定上述机器负载差值是否在预设负载差值区间内。这里，预设负载差值区间可以是预先设定的机器负载值与目标机器参考负载值的差值区间。
42.第四子步骤，响应于确定上述机器负载差值不在上述预设负载差值区间内，将上述机器负载值对应的机器确定为第一异常机器。
43.第二步，将所确定的各个第一异常机器确定为第一异常机器组。
44.步骤105，对于上述机器负载信息序列集中的每个机器负载信息序列，对上述机器负载信息序列中的每个机器负载信息进行负载参数分析处理，以生成机器负载参数分析信息，得到机器负载参数分析信息序列。
45.在一些实施例中，上述执行主体可以对于上述机器负载信息序列集中的每个机器负载信息序列，对上述机器负载信息序列中的每个机器负载信息进行负载参数分析处理，以生成机器负载参数分析信息，得到机器负载参数分析信息序列。这里，负载参数分析可以是指pca（principal components analysis）分析。负载参数分析还可以是指kpca（kernel principal component analysis）分析，即核主成分分析。
46.需要说明的是，通过对每个机器负载信息进行负载参数分析处理之后，可以保留机器负载信息中的主要机器运行负载参数，便于后续对机器的运行状态进行解析。
47.步骤106，对所得到的各个机器负载参数分析信息序列包括的各个机器负载参数分析信息进行聚类处理，以生成机器负载参数分析信息组集。
48.在一些实施例中，上述执行主体可以对所得到的各个机器负载参数分析信息序列包括的各个机器负载参数分析信息进行聚类处理，以生成机器负载参数分析信息组集。其
中，机器负载参数分析信息组包括的各个机器负载参数分析信息对应的机器负载参数分析信息序列不同，各个机器负载参数分析信息对应在机器负载参数分析信息序列中的序号相同。
49.实践中，上述执行主体可以将上述各个机器负载参数分析信息序列中对应的序号相同的各个机器负载参数分析信息聚为一类，以生成机器负载参数分析信息组，得到机器负载参数分析信息组集。例如，可以将各个机器负载参数分析信息序列中的排序在第一个机器负载参数分析信息聚为一类。
50.步骤107，对于上述机器负载参数分析信息组集中的每个机器负载参数分析信息组，对上述机器负载参数分析信息组进行离群聚类处理，以生成离群机器负载参数分析信息组。
51.在一些实施例中，上述执行主体可以对于上述机器负载参数分析信息组集中的每个机器负载参数分析信息组，对上述机器负载参数分析信息组进行离群聚类处理，以生成离群机器负载参数分析信息组。这里，离群聚类可以是指dbscan(density-based spatial clustering of applications with noise)聚类，也可以是指引入了l-bfgs（limited memory
‑ꢀ
bfgs，拟牛顿法）算法和ch（calinski-harabasz score）分数的dbscan(density-based spatial clustering of applications with noise)聚类算法。这里，ch分数值越大，聚类效果越好。
52.实践中，首先，可以对上述机器负载参数分析信息组进行离群聚类处理，以生成聚类机器负载参数分析信息组集。其中，聚类机器负载参数分析信息组集中的聚类机器负载参数分析信息包括聚类标签。聚类标签可以表示离群聚类或集中聚类。然后，可以将聚类机器负载参数分析信息组集中表示离群聚类的各个聚类机器负载参数分析信息确定为离群机器负载参数分析信息组。
53.步骤108，根据所生成的各个离群机器负载参数分析信息组，确定第二异常机器组。
54.在一些实施例中，上述执行主体可以根据所生成的各个离群机器负载参数分析信息组，确定第二异常机器组。这里，离群机器负载参数分析信息组中的离群机器负载参数分析信息包括：离群评分值。这里，离群评分值可以表示在离群聚类过程中，生成的机器被聚类为离群聚类（机器的聚类标签表示离群聚类）的概率。即，离群评分值可以为主机被聚类为离群聚类（机器的聚类标签表示离群聚类）的概率的有效数字。
55.实践中，根据所生成的各个离群机器负载参数分析信息组，上述执行主体可以通过以下步骤确定第二异常机器组：第一步，对于上述各个离群机器负载参数分析信息组中的每个离群机器负载参数分析信息组，将上述离群机器负载参数分析信息组中包括的离群评分值大于等于预设离群评分值的离群机器负载参数分析信息确定为异常机器负载参数分析信息，得到异常机器负载参数分析信息组。这里，对于预设离群评分值的设定，不作限制。
56.第二步，对所得到的各个异常机器负载参数分析信息组包括的各个异常机器负载参数分析信息进行聚类处理，以生成异常机器负载参数分析信息组集。其中，上述异常机器负载参数分析信息组集中异常机器负载参数分析信息组包括的各个异常机器负载参数分析信息对应的机器相同。即，将各个异常机器负载参数分析信息组中对应的机器相同的各
个异常机器负载参数分析信息聚为一类，以生成异常机器负载参数分析信息组，得到异常机器负载参数分析信息组集。
57.第三步，对于上述异常机器负载参数分析信息组集中的每个异常机器负载参数分析信息组，执行如下处理步骤：第一子步骤，将上述异常机器负载参数分析信息组包括的异常机器负载参数分析信息的数量确定为异常机器负载数。
58.第二子步骤，将上述异常机器负载数与目标机器负载数的比值确定为异常负载率。其中，上述目标机器负载数为：目标机器对应的机器负载信息序列包括的机器负载信息的数量，上述目标机器为上述异常机器负载参数分析信息组对应的机器。
59.第三子步骤，响应于确定上述异常负载率大于等于预设异常负载率，将上述异常机器负载参数分析信息组对应的机器确定为第二异常机器。
60.第四步，将所确定的各个第二异常机器确定为第二异常机器组。
61.上述步骤108中的相关内容作为本公开的一个发明点，由此解决了背景技术提及的技术问题二“通过技术人员检测，难以纵向检测机器负载的变化，导致对机器的检测结果存在偏差，难以准确检测出异常机器。”。难以准确检测出异常机器的因素往往如下：通过技术人员检测，难以纵向检测机器负载的变化，导致对机器的检测结果存在偏差，难以准确检测出异常机器。如果解决了上述因素，就能达到准确地检测出异常机器的效果。为了达到这一效果，首先，对于上述各个离群机器负载参数分析信息组中的每个离群机器负载参数分析信息组，将上述离群机器负载参数分析信息组中包括的离群评分值大于等于预设离群评分值的离群机器负载参数分析信息确定为异常机器负载参数分析信息，得到异常机器负载参数分析信息组。由此，可以筛选出负载参数异常的机器负载参数分析信息，为后续确定机器是否异常提供了数据支持。接着，对所得到的各个异常机器负载参数分析信息组包括的各个异常机器负载参数分析信息进行聚类处理，以生成异常机器负载参数分析信息组集。其中，上述异常机器负载参数分析信息组集中异常机器负载参数分析信息组包括的各个异常机器负载参数分析信息对应的机器相同。由此，便于确定机器在测试期间，出现异常的概率。然后，对于上述异常机器负载参数分析信息组集中的每个异常机器负载参数分析信息组，执行如下处理步骤：首先，将上述异常机器负载参数分析信息组包括的异常机器负载参数分析信息的数量确定为异常机器负载数。由此，可以确定机器在测试期间出现的异常负载次数。从而，便于判定机器是否出现异常。接着，将上述异常机器负载数与目标机器负载数的比值确定为异常负载率。由此，可以根据异常负载率，判定机器是经常异常，还是仅为偶尔性的异常。然后，响应于确定上述异常负载率大于等于预设异常负载率，将上述异常机器负载参数分析信息组对应的机器确定为第二异常机器。由此，可以根据机器在运行各个任务时的负载情况，纵向检测出机器的负载变化。从而，判定该机器是否为异常机器。
62.步骤109，根据上述第一异常机器组和上述第二异常机器组，识别出目标异常机器组。
63.在一些实施例中，上述执行主体可以根据上述第一异常机器组和上述第二异常机器组，识别出目标异常机器组。
64.实践中，根据上述第一异常机器组和上述第二异常机器组，上述执行主体可以通过以下步骤识别出目标异常机器组：
第一步，对于上述第一异常机器组中的每个第一异常机器，执行如下处理步骤：第一子步骤，确定上述第二异常机器组中是否存在与上述第一异常机器相同的第二异常机器。
65.第二子步骤，响应于确定上述第二异常机器组中存在与上述第一异常机器相同的第二异常机器，将上述第一异常机器确定为目标异常机器。
66.第二步，将所确定的各个目标异常机器确定为目标异常机器组。
67.可选地，将上述目标异常机器组中每个目标异常机器对应的机器标识确定为异常机器标识，得到异常机器标识组。
68.在一些实施例中，上述执行主体可以将上述目标异常机器组中每个目标异常机器对应的机器标识确定为异常机器标识，得到异常机器标识组。
69.可选地，将上述异常机器标识组发送至相关联的工控机器维修终端，以进行显示。
70.在一些实施例中，上述执行主体可以将上述异常机器标识组发送至相关联的工控机器维修终端，以进行显示。这里，工控机器维修终端可以是指与上述执行主体通信连接的、用于维修/更换异常机器的维修终端。
71.本公开的上述各个实施例具有如下有益效果：通过本公开的一些实施例的基于工控网络病毒的异常机器智能识别方法，提升了对机器集群中异常机器检测的准确率，缩短了检测时间，可以及时检测出异常的机器。具体来说，无法及时检测出异常的机器的原因在于：通过技术人员检测，检测时间较长、且未从机器集群的角度对机器进行检测，对机器进行检测的角度较为单一，机器检测结果存在偏差，无法及时检测出异常的机器。基于此，本公开的一些实施例的基于工控网络病毒的异常机器智能识别方法，首先，获取机器集群中每个机器在测试时间段内的机器负载信息序列和任务运行信息序列，得到机器负载信息序列集和运行信息序列集。由此，便于检测出机器的负载情况。同时可以利用任务运行信息序列作为参考，以确定机器的负载情况是否异常。其次，基于上述机器负载信息序列集，生成机器负载值集。由此，可以确定每个机器在测试时间段内的负载值，便于后续确定机器的负载值是否异常。再其次，基于上述任务运行信息序列集，确定机器参考负载值集。由此，可以根据每个机器在测试时间段内所运行的任务，解算出机器的参考负载值。从而，为确定机器的负载值是否异常，提供了数据支持。接着，基于上述机器负载值集和上述机器参考负载值集，确定第一异常机器组。由此，可以通过机器自身运转任务的负载值，初步确定出异常的机器。再接着，对于上述机器负载信息序列集中的每个机器负载信息序列，对上述机器负载信息序列中的每个机器负载信息进行负载参数分析处理，以生成机器负载参数分析信息，得到机器负载参数分析信息序列。然后，对所得到的各个机器负载参数分析信息序列包括的各个机器负载参数分析信息进行聚类处理，以生成机器负载参数分析信息组集。由此，便于后续从机器集群的角度对机器进行检测。再然后，对于上述机器负载参数分析信息组集中的每个机器负载参数分析信息组，对上述机器负载参数分析信息组进行离群聚类处理，以生成离群机器负载参数分析信息组。由此，可以从机器集群的角度，检测出异常的机器负载信息（离群机器负载参数分析信息）。之后，根据所生成的各个离群机器负载参数分析信息组，确定第二异常机器组。由此，可以对各个离群机器负载参数分析信息组的分析，解析出异常的机器。最后，根据上述第一异常机器组和上述第二异常机器组，识别出目标异常机器组。由此，可以综合机器自身的运行情况和分析机器在机器集群中的运行状态，识别出异
常机器。也因为是通过机器运行任务的情况，进行的检测。从而，缩短了检测时间，可以及时检测出异常的机器。
72.进一步参考图2，作为对上述各图所示方法的实现，本公开提供了一种基于工控网络病毒的异常机器智能识别装置的一些实施例，这些基于工控网络病毒的异常机器智能识别装置实施例与图1所示的那些方法实施例相对应，该基于工控网络病毒的异常机器智能识别装置具体可以应用于各种电子设备中。
73.如图2所示，一些实施例的基于工控网络病毒的异常机器智能识别装置200包括：获取单元201、生成单元202、第一确定单元203、第二确定单元204、分析单元205、聚类单元206、离群聚类单元207、第三确定单元208和识别单元209。其中，获取单元201，被配置成获取机器集群中每个机器在测试时间段内的机器负载信息序列和任务运行信息序列，得到机器负载信息序列集和运行信息序列集，其中，每个机器对应的机器负载信息序列中的机器负载信息对应上述机器对应的任务运行信息序列中的任务运行信息；生成单元202，被配置成基于上述机器负载信息序列集，生成机器负载值集，其中，上述机器负载值集中的机器负载值对应上述机器负载信息序列集中的机器负载信息序列；第一确定单元203，被配置成基于上述任务运行信息序列集，确定机器参考负载值集，其中，上述任务运行信息序列集中的任务运行信息序列对应上述机器参考负载值集中的机器参考负载值；第二确定单元204，被配置成基于上述机器负载值集和上述机器参考负载值集，确定第一异常机器组；分析单元205，被配置成对于上述机器负载信息序列集中的每个机器负载信息序列，对上述机器负载信息序列中的每个机器负载信息进行负载参数分析处理，以生成机器负载参数分析信息，得到机器负载参数分析信息序列；聚类单元206，被配置成对所得到的各个机器负载参数分析信息序列包括的各个机器负载参数分析信息进行聚类处理，以生成机器负载参数分析信息组集，其中，机器负载参数分析信息组包括的各个机器负载参数分析信息对应的机器负载参数分析信息序列不同，各个机器负载参数分析信息对应在机器负载参数分析信息序列中的序号相同；离群聚类单元207，被配置成对于上述机器负载参数分析信息组集中的每个机器负载参数分析信息组，对上述机器负载参数分析信息组进行离群聚类处理，以生成离群机器负载参数分析信息组；第三确定单元208，被配置成根据所生成的各个离群机器负载参数分析信息组，确定第二异常机器组；识别单元209，被配置成根据上述第一异常机器组和上述第二异常机器组，识别出目标异常机器组。
74.可以理解的是，该基于工控网络病毒的异常机器智能识别装置200中记载的诸单元与参考图1描述的方法中的各个步骤相对应。由此，上文针对方法描述的操作、特征以及产生的有益效果同样适用于基于工控网络病毒的异常机器智能识别装置200及其中包含的单元，在此不再赘述。
75.下面参考图3，其示出了适于用来实现本公开的一些实施例的电子设备（例如，服务器）300的结构示意图。本公开的一些实施例中的电子设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、pda（个人数字助理）、pad（平板电脑）、pmp（便携式多媒体播放器）、车载终端（例如车载导航终端）等等的移动终端以及诸如数字tv、台式计算机等等的固定终端。图3示出的电子设备仅仅是一个示例，不应对本公开的实施例的功能和使用范围带来任何限制。
76.如图3所示，电子设备300可以包括处理装置（例如中央处理器、图形处理器等）
301，其可以根据存储在只读存储器（rom）302中的程序或者从存储装置308加载到随机访问存储器（ram）303中的程序而执行各种适当的动作和处理。在ram303中，还存储有电子设备300操作所需的各种程序和数据。处理装置301、rom302以及ram 303通过总线304彼此相连。输入/输出（i/o）接口305也连接至总线304。
77.通常，以下装置可以连接至i/o接口305：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置306；包括例如液晶显示器（lcd）、扬声器、振动器等的输出装置307；包括例如磁带、硬盘等的存储装置308；以及通信装置309。通信装置309可以允许电子设备300与其他设备进行无线或有线通信以交换数据。虽然图3示出了具有各种装置的电子设备300，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图3中示出的每个方框可以代表一个装置，也可以根据需要代表多个装置。
78.特别地，根据本公开的一些实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的一些实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中，该计算机程序可以通过通信装置309从网络上被下载和安装，或者从存储装置308被安装，或者从rom302被安装。在该计算机程序被处理装置301执行时，执行本公开的一些实施例的方法中限定的上述功能。
79.需要说明的是，本公开的一些实施例中记载的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑磁盘只读存储器（cd-rom）、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的一些实施例中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf（射频）等等，或者上述的任意合适的组合。
80.在一些实施方式中，客户端、服务器可以利用诸如http（hypertext transfer protocol，超文本传输协议）之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信（例如，通信网络）互连。通信网络的示例包括局域网（“lan”），广域网（“wan”），网际网（例如，互联网）以及端对端网络（例如，ad hoc端对端网络），以及任何当前已知或未来研发的网络。
81.上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多
个程序被该电子设备执行时，使得该电子设备：获取机器集群中每个机器在测试时间段内的机器负载信息序列和任务运行信息序列，得到机器负载信息序列集和运行信息序列集，其中，每个机器对应的机器负载信息序列中的机器负载信息对应上述机器对应的任务运行信息序列中的任务运行信息；基于上述机器负载信息序列集，生成机器负载值集，其中，上述机器负载值集中的机器负载值对应上述机器负载信息序列集中的机器负载信息序列；基于上述任务运行信息序列集，确定机器参考负载值集，其中，上述任务运行信息序列集中的任务运行信息序列对应上述机器参考负载值集中的机器参考负载值；基于上述机器负载值集和上述机器参考负载值集，确定第一异常机器组；对于上述机器负载信息序列集中的每个机器负载信息序列，对上述机器负载信息序列中的每个机器负载信息进行负载参数分析处理，以生成机器负载参数分析信息，得到机器负载参数分析信息序列；对所得到的各个机器负载参数分析信息序列包括的各个机器负载参数分析信息进行聚类处理，以生成机器负载参数分析信息组集，其中，机器负载参数分析信息组包括的各个机器负载参数分析信息对应的机器负载参数分析信息序列不同，各个机器负载参数分析信息对应在机器负载参数分析信息序列中的序号相同；对于上述机器负载参数分析信息组集中的每个机器负载参数分析信息组，对上述机器负载参数分析信息组进行离群聚类处理，以生成离群机器负载参数分析信息组；根据所生成的各个离群机器负载参数分析信息组，确定第二异常机器组；根据上述第一异常机器组和上述第二异常机器组，识别出目标异常机器组。
82.可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网（lan）或广域网（wan）——连接到用户计算机，或者，可以连接到外部计算机（例如利用因特网服务提供商来通过因特网连接）。
83.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
84.描述于本公开的一些实施例中的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括获取单元、生成单元、第一确定单元、第二确定单元、分析单元、聚类单元、离群聚类单元、第三确定单元和识别单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定，例如，第一确定单元还可以被描述为“基于上述任务运行信息序列集，确定机器参考负
载值集的单元”。
85.本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列（fpga）、专用集成电路（asic）、专用标准产品（assp）、片上系统（soc）、复杂可编程逻辑设备（cpld）等等。
86.以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开的实施例中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的（但不限于）具有类似功能的技术特征进行互相替换而形成的技术方案。