(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210911761.7 (22)申请日 2022.07.28 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融街31号 (72)发明人 张彦　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 专利代理师 张文华 (51)Int.Cl. G06F 21/57(2013.01) G06F 21/56(2013.01) G06F 11/34(2006.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01)H04L 9/40(2022.01) H04L 67/1396(2022.01) (54)发明名称 风险状态的确定方法、 装置及电子设备 (57)摘要 本申请公开了一种风险状态的确定方法、 装 置及电子设备。 其中， 该方法包括： 获取虚拟终端 的运行数据， 以及获取目标对象的行为数据， 其 中， 行为数据为目标对象对虚拟终端进行操作时 得到的数据； 依据行为数据， 确定虚拟终端所属 的风险类别； 依据运行数据的变化趋势， 确定虚 拟终端的风险状态； 依据风险类别和风险状态确 定虚拟终端的风险信息。 本申请解决了现有技术 未对虚拟云电脑进行行为、 系统运行状态及虚拟 平台本身的系统数据进行针对性 分析， 导致无法 获取虚拟电脑业务产品是否存在风险的技术问 题。 权利要求书3页 说明书11页 附图3页 CN 115270137 A 2022.11.01 CN 115270137 A 1.一种风险状态的确定方法， 其特 征在于， 包括： 获取虚拟 终端的运行数据， 以及获取目标对象的行为数据， 其中， 所述行为数据为所述 目标对象对所述虚拟终端 进行操作时得到的数据； 依据所述行为数据， 确定所述虚拟终端所属的风险类别； 依据所述 运行数据的变化趋势， 确定所述虚拟终端的风险状态； 依据所述 风险类别和所述 风险状态确定所述虚拟终端的风险信息 。 2.根据权利要求1所述的方法， 其特征在于， 依据所述行为数据， 确定所述虚拟终端所 属的风险类别， 包括： 判断所述行为数据 是否满足预设风险信 息， 其中， 所述行为数据包括以下至少之一： 所 述目标对象的登录行为、 所述 目标对象使用的软件、 所述 目标对象的浏览内容和所述 目标 对象打开的游戏； 在所述行为数据满足所述预设风险信 息的情况下， 确定与所述行为数据对应的特征标 签； 依据所述特 征标签， 确定所述虚拟终端的风险类别。 3.根据权利要求2所述的方法， 其特征在于， 确定与所述行为数据对应的特征标签之 前， 所述方法还 包括： 按照预设时间间隔采集所述目标对象的历史行为数据， 其中， 所述历史行为数据包括 多个正常历史行为数据和多个异常历史行为数据； 依据所述历史行为数据训练决策树， 得到目标 决策树， 其中， 所述目标决策树用于判断 所述行为数据是否存在风险； 依据所述目标决策树， 确定所述虚拟终端的风险值， 其中， 所述风险值用于量化表示所 述虚拟终端处于所述 风险状态的程度， 所述 风险值与所述 风险状态呈正相关。 4.根据权利要求1所述的方法， 其特征在于， 依据所述运行数据的变化趋势， 确定所述 虚拟终端的风险状态， 包括： 获取所述运行数据中的待监测数据的变化趋势和使用时长， 其中， 所述待监测数据包 括以下至少之一： 所述虚拟终端的CPU使用率、 内存使用率、 磁盘空间使用率、 磁盘I/O使用 率、 网络使用率； 依据所述变化趋势， 确定所述待监测数据超出使用阈值时对应的时间点； 依据所述使用时长， 确定所述虚拟 终端的健康度， 其中， 所述健康度用于量化表示所述 虚拟终端的风险状态， 所述 健康度与所述 风险状态呈负相关。 5.根据权利要求4所述的方法， 其特征在于， 依据所述使用时长， 确定所述虚拟终端的 健康度， 包括： 在所述使用时长大于第一阈值， 且所述CPU使用率大于预设百分比时， 将第一分值添加 至目标集 合中； 在所述使用时长大于第二阈值， 且所述内存使用率大于预设百分比时， 将第二分值添 加至所述目标集合中， 其中， 所述第二阈值大于所述第一阈值， 所述第二分值大于所述第一 分值； 在所述磁盘空间使用率大于所述预设百分比时， 将所述第 二分值添加至所述目标集合 中；权　利　要　求　书 1/3 页 2 CN 115270137 A 2在所述使用时长大于所述第二阈值， 且所述磁盘I/O使用率大于所述预设百分比时， 将 所述第一分值添加至所述目标集 合中； 在所述使用时长大于所述第二阈值， 且所述网络使用率大于所述预设百分比时， 将第 三分值添加至所述目标集 合中， 其中， 所述第三分值小于所述第二分值； 计算所述目标集合中的总分值， 依据初始分值和所述总分值， 确定所述虚拟终端的健 康度。 6.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 监控文件目录， 在监测到所述文件目录被应用程序操作时， 确定所述应用程序的标签 类型为第一类标签； 在监测到超过预设数量的文件目录被所述应用程序操作时， 确定所述应用程序的标签 类型为第二类标签； 在监测到注册表被所述应用程序更改时， 确定所述应用程序的标签类型为第三类标 签； 在对与目标端口集合中的至少一个端口的连接次数超过第 三阈值时， 确定发起连接请 求的应用程序的标签 类型为第四类标签； 依据所述应用程序所属的标签 类型， 确定所述应用程序的类型。 7.根据权利要求6所述的方法， 其特 征在于， 确定所述应用程序的类型， 包括： 获取具有标签的应用程序， 得到目标应用程序， 将所述目标应用程序按照调用时间排 序； 监控所述目标应用程序的接口调用信息， 依据所述接口调用信息的数量， 构建调用矩 阵； 依据所述调用矩阵的特 征向量对所述目标应用程序进行聚类， 得到目标序列； 依据所述目标序列， 确定所述目标应用程序为目标类型的概率， 并将所述概率大于第 四阈值的应用程序确定为目标类型的应用程序。 8.一种风险状态的确定装置， 其特 征在于， 包括： 获取模块， 用于获取虚拟终端的运行数据， 以及获取目标对象的行为数据， 其中， 所述 行为数据为所述目标对象对所述虚拟终端 进行操作时得到的数据； 第一确定模块， 用于依据所述行为数据， 确定所述虚拟终端所属的风险类别； 第二确定模块， 用于依据所述 运行数据的变化趋势， 确定所述虚拟终端的风险状态； 第三确定模块， 用于依据所述风险类别和所述风险状态确定所述虚拟终端的风险信 息。 9.一种电子设备， 其特 征在于， 包括： 存储器， 用于存 储程序指令； 处理器， 与所述存储器连接， 用于执行实现以下功能的程序指令： 获取虚拟 终端的运行 数据， 以及获取目标对象的行为数据， 其中， 所述行为数据为所述目标对象对所述虚拟终端 进行操作时得到的数据； 依据所述行为数据， 确定所述虚拟终端 所属的风险类别； 依据所述 运行数据的变化趋势， 确定所述虚拟终端的风险状态； 依据所述风险类别和所述风险状态 确定所述虚拟终端的风险信息 。 10.一种非易失性存储介质， 其特征在于， 所述非易失性存储介质包括存储的程序， 其权　利　要　求　书 2/3 页 3 CN 115270137 A 3