(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210908593.6 (22)申请日 2022.07.29 (71)申请人 天翼云科技有限公司 地址 100007 北京市东城区青龙胡同甲1 号、 3号2幢2层20 5-32室 (72)发明人 刘辛　王雪晴　王宏来　闫晓龙　 刘振亚　于光远　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 熊飞雪 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/08(2006.01) (54)发明名称 一种基于云环境的入侵行为检测方法及装 置 (57)摘要 本申请公开了一种基于云环境的入侵行为 检测方法及装置。 该方法包括： 获取云环境内部 署的软件在运行过程中产生的日志文件， 日志文 件包括至少一个目标进程数据； 从目标进程数据 中提取软件对应的事件行为以及事件总数； 基于 事件行为 以及事件总数输入预先训练的检测模 型， 以使检测模 型基于事件行为以及事件总数确 定目标进程数据对应的检测结果； 在检测结果用 于指示目标进程数据存在入侵行为的情况下， 执 行相应的安全防护操作。 本申请通过分析目标进 程数据得到各个进程的事件行为， 利用训练好的 检测模型根据是事件行为 以及事件行为总数进 行分析， 能够更快的精准定位存在入侵行为的异 常进程， 并及时执行安全防护操作， 有效保证云 环境的安全性。 权利要求书3页 说明书10页 附图4页 CN 115484048 A 2022.12.16 CN 115484048 A 1.一种基于云环境的入侵行为检测方法， 其特 征在于， 包括： 获取云环境内部署的软件在运行过程中产生的日志文件， 其中， 所述日志文件包括至 少一个目标进程数据； 从所述目标进程数据中提取 所述软件 对应的事 件行为以及事 件总数； 基于所述事件行为以及所述事件总数输入预先训练 的检测模型， 以使所述检测模型基 于所述事 件行为以及所述事 件总数确定所述目标进程数据对应的检测结果； 在所述检测结果用于指示所述目标进程数据存在入侵行为的情况下， 执行相应的安全 防护操作。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 获取训练样本集合， 其中， 所述训练样本集合包括正常进程数据样本以及异常进程数 据样本， 所述 正常进程数据样本以及异常进程数据样本均包括至少一个事 件行为； 获取所述训练样本集合中各个进程数据样本对应的标签信息， 其中， 所述标签信息用 于标注所述事 件行为对应的进程类型； 利用所述训练样本集合以及所述标签信 息训练预设神经网络模型， 以使所述神经网络 模型提取所述训练样本集合中各个进程数据样本对应的样本特征， 并基于所述样本特征进 行预测得到预测进程类型； 基于所述预测进程类型与 所述进程类型之间的训练损失， 对所述预设神经网络模型进 行校正， 得到所述检测模型。 3.根据权利要求2所述的方法， 其特 征在于， 所述获取训练样本集 合， 包括： 获取所述云环境所部署的每个软件对应的历史日志文件， 从所述日志文件中获取第 一 进程数据以及第二进程数据， 其中， 所述第一进程数据为正常类型的进程数据， 所述第二进 程数据为异常类型的进程数据； 将所述第一进程数据确定为所述正常进程数据样本， 以及将所述第 二进程数据确定为 所述异常进程数据样本， 得到所述训练样本集 合。 4.根据权利要求3所述的方法， 其特征在于， 所述获取所述云环境所部署的每个软件对 应的历史日志文件， 从所述日志文件中获取第一进程数据以及第二进程数据， 包括： 获取预设沙箱对每 个所述软件 对应的软件评分； 将所述软件评分大于或等于预设评分的软件所对应的历史日志文件确定为第一日志 文件， 以及将所述软件评分小于所述预设评分的软件所述对应的历史日志文件确定为第二 日志文件； 提取所述第一日志文件所对应的第一子进程数据； 按照指定事件标识对所述第 二日志文件所对应的进程数据进行划分， 将携带所述指定 事件标识的进程数据确定为第二子进程数据， 以及将不携带所述指定事件标识的进程数据 确定为第三子进程数据； 基于所述第 一子进程数据和所述第 二子进程数据生成第 一进程数据， 以及基于第 三子 进程数据生成所述第二进程数据。 5.根据权利要求3所述的方法， 其特征在于， 在利用所述训练样本集合以及所述标签信 息训练预设神经网络模型之前， 所述方法还 包括： 确定所述第一进程数据对应的第一标识， 其中， 所述第一标识包括多个用于表示第一权　利　要　求　书 1/3 页 2 CN 115484048 A 2进程数据中各个事 件行为发生情况的数值； 确定所述第二进程数据对应的第二标识， 其中， 所述第二标识包括多个用于表示第二 进程数据中各个事 件行为发生情况的数值； 从所述标签信 息中获取所述第 一进程数据对应的第 一标签值， 以及获取所述第 二进程 数据对应的第二标签值， 其中， 所述第一标签值和所述第二标签值分别用于表示第一进程 数据和第二进程数据的进程类型； 基于所述第 一标识与 所述第一标签值构建第 一数组， 以及基于所述第 二标识与所述第 二标签值构建第二数组， 并利用所述第一数组以及所述第二数组生成所述训练样本集合对 应的目标 数值集合。 6.根据权利要求5所述的方法， 其特征在于， 所述预设神经网络模型包括： 卷积网络以 及预测网络； 所述利用所述训练样本集以及所述标签信 息训练预设神经网络模型， 以使所述神经网 络模型提取所述训练样 本集中各个进程数据样本对应的样本特征， 并基于所述样本特征进 行预测得到预测进程类型， 包括： 将所述目标数值集合输入所述预设神经网络模型， 通过所述预设神经网络模型的卷积 网络从所述目标数值集合所携带数组的数组特征， 并将所述数组特征传递至所述预设神经 网络模型的预测网络； 通过所述预设神经网络模型的预测网络基于所述数组特征学习所述第一标识与第一 标签值之间的第一对应关系， 以及第二标识与第二标签值之间的第二对应关系， 并对所述 数组特征进行预测， 得到所述预测进程类型。 7.根据权利要求6所述的方法， 其特征在于， 所述对所述数组特征进行预测， 得到所述 预测进程类型， 包括： 从所述数组特征中提取至少两个关键数值特征， 其中， 所述关键数值特征用于表示关 键事件行为的发生情况； 利用粒子群算法对所述关键数值特征以及所述数组特征对应的事件总数进行迭代计 算， 得到最优进程类型， 并将所述 最优进程类型确定为所述预测进程类型。 8.一种基于云环境的入侵行为检测装置， 其特 征在于， 包括： 获取模块， 用于获取云环境内部署的软件在运行过程中产生的日志文件， 其中， 所述日 志文件包括至少一个目标进程数据； 提取模块， 用于从所述目标进程数据中提取 所述软件 对应的事 件行为以及事 件总数； 处理模块， 用于基于所述事件行为以及所述事件总数输入预先训练的检测模型， 以使 所述检测模型基于所述事件行为以及所述事件总数确定所述目标进程数据对应的检测结 果； 执行模块， 用于在所述检测结果用于指示所述目标进程数据存在入侵行为的情况下， 执行相应的安全防护操作。 9.一种存储介质， 其特征在于， 所述存储介质包括存储的程序， 其中， 所述程序运行时 执行上述权利要求1至7中任一项所述的方法步骤。 10.一种电子设备， 其特征在于， 包括处理器、 通信接口、 存储器和通信总 线， 其中， 处理 器， 通信接口， 存 储器通过通信总线完成相互间的通信； 其中：权　利　要　求　书 2/3 页 3 CN 115484048 A 3