CN114817912A - 基于行为识别模型的病毒阻断处理方法及平台 - Google Patents

基于行为识别模型的病毒阻断处理方法及平台 Download PDF

Info

Publication number
CN114817912A
CN114817912A CN202210671466.9A CN202210671466A CN114817912A CN 114817912 A CN114817912 A CN 114817912A CN 202210671466 A CN202210671466 A CN 202210671466A CN 114817912 A CN114817912 A CN 114817912A
Authority
CN
China
Prior art keywords
data
behavior
terminal
target
recognition model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210671466.9A
Other languages
English (en)
Other versions
CN114817912B (zh
Inventor
钱锦
李昂
徐汉麟
徐晓华
韩荣杰
杜猛俊
徐李冰
陈元中
倪夏冰
向新宇
黄佳斌
李强强
周昕悦
杨谊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Original Assignee
Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd filed Critical Hangzhou Power Supply Co of State Grid Zhejiang Electric Power Co Ltd
Priority to CN202210671466.9A priority Critical patent/CN114817912B/zh
Publication of CN114817912A publication Critical patent/CN114817912A/zh
Application granted granted Critical
Publication of CN114817912B publication Critical patent/CN114817912B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种基于行为识别模型的病毒阻断处理方法及平台,行为识别模型若判断第一操作行为与相对应的第一终端和第一操作目标不对应,则断开第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断;若判断第一操作行为具有数据更改行为,则根据第一操作目标确定当前时刻的第一目标数据,提取与第一目标数据所对应的先前时刻的第二目标数据,将第二目标数据对第一目标数据进行替换处理;若判断第一操作行为具有数据复制行为,则在第一终端处确定相对应的第一目标数据,对第一目标数据进行删除处理,提高了病毒识别的效率和阻断病毒的准确性。

Description

基于行为识别模型的病毒阻断处理方法及平台
技术领域
本发明涉及数据处理技术领域,特别是涉及一种基于行为识别模型的病毒阻断处理方法及平台。
背景技术
行为日志能够对展台中所有的操作行为进行相应的记录。一般来说,行为日志中至少会包括行为的类型、行为的主体以及行为的操作目标等等。在某些敏感的数据系统中,不同的主体对不同的操作目标会具有不同的行为限制,当出现某些主体与行为、主体与操作目标不对应时,则此时可能会出现某些电脑病毒冒用某些主体而进行违规的操作,比如:勒索病毒WannaCry借助高危漏洞“永恒之蓝”在世界范围内爆发,对大量实验室数据和毕业论文被锁定加密,所以此时需要对相应的主体的操作行为进行阻断,避免出现数据泄露、数据篡改的情况。
当前还没有一种技术方案,能够根据不同用户的行为来判断是否出现病毒对电脑进行控制的情况,进而无法根据行为的识别来进行病毒的阻断。
发明内容
本发明所要解决的技术问题是可以根据不同的用户的行为来判断是否出现病毒对电脑进行控制,并且可以将数据进行恢复,克服现有技术的缺点,提供一种基于行为识别模型的病毒阻断处理方法及平台。
为了解决以上技术问题,本发明的技术方案如下:
本发明实施例提供一种基于行为识别模型的病毒阻断处理方法,包括:
基于所接收的终端等级数据、数据等级数据对行为识别模型进行训练配置,以使行为识别模型根据任意一个终端的操作行为输出相对应的识别结果;
获取当前时刻第一终端的行为日志,提取所述行为日志确定与所述第一终端所对应的第一操作行为、第一操作目标;
行为识别模型若判断所述第一操作行为与相对应的第一终端和第一操作目标不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断;
若判断第一操作行为具有数据更改行为,则根据所述第一操作目标确定当前时刻的第一目标数据,提取与所述第一目标数据所对应的先前时刻的第二目标数据,将所述第二目标数据对所述第一目标数据进行替换处理;
若判断第一操作行为具有数据复制行为,则在所述第一终端处确定相对应的第一目标数据,对所述第一目标数据进行删除处理。
本发明实施例提供一种基于行为识别模型的病毒阻断处理平台,包括:
训练模块,用于基于所接收的终端等级数据、数据等级数据对行为识别模型进行训练配置,以使行为识别模型根据任意一个终端的操作行为输出相对应的识别结果;
提取模块,用于获取当前时刻第一终端的行为日志,提取所述行为日志确定与所述第一终端所对应的第一操作行为、第一操作目标;
阻断模块,用于使行为识别模型若判断所述第一操作行为与相对应的第一终端和第一操作目标不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断;
第一处理模块,用于若判断第一操作行为具有数据更改行为,则根据所述第一操作目标确定当前时刻的第一目标数据,提取与所述第一目标数据所对应的先前时刻的第二目标数据,将所述第二目标数据对所述第一目标数据进行替换处理;
第二处理模块,用于若判断第一操作行为具有数据复制行为,则在所述第一终端处确定相对应的第一目标数据,对所述第一目标数据进行删除处理。
本发明的有益效果是:
(1)本发明通过对识别模型的训练配置,使得每个终端都对应着各自的终端等级信息、每个操作目标都对应着各自的数据等级信息,通过等级分配的方式,使得每个终端等级对应相应的操作行为集合,可以依据每个终端是否做出超过其本身权限的操作行为,准确快速查找到被病毒入侵的电脑,及时发现被病毒篡改的目标数据,本发明可以迅速查看终端等级是否对应操作等级,快速便捷的发现病毒入侵的第一终端,发现后立即断开第一终端对应的网络及时阻断病毒的后续操作,减少损失的扩大,通过隔绝网络阻断网络病毒的作用;
(2)本发明通过直接删除病毒操作后的第一目标数据,使得病毒操作无效化,阻止了后续对文件进行加密勒索、数据增加以及其他篡改的可能,并通过自动存储功能,自动选择上次自动保存的文件为病毒未修改文件,进行数据的恢复,实现了数据的及时恢复过程,并根据自动保存后续的正常操作行为进行相同的操作,不仅实现了数据的恢复,还恢复了期间的操作行为,使得恢复后的数据与原本数据一致,提高了工作人员的工作连贯了,提升了工作效率,并且实现了数据的实时恢复。
(3)本发明将数据恢复后,因为操作行为本身具有一定的操作逻辑,因此会将延时存储期间的操作行为按照更改时间进行排序,并按照时间顺序对目标数据进行处理,使得恢复后的数据进行相同顺序操作,实时恢复的数据与原本数据完全一致。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。
图1为本发明所提供的技术方案的应用场景示意图;
图2为本发明所提供的一种基于行为识别模型的病毒阻断处理方法的流程图;
图3为本发明所提供的一种行为识别模型训练配置方法的流程图;
图4为本发明所提供的一种基于行为识别模型的病毒阻断处理平台的结构示意图。
具体实施方式
为使本发明的内容更容易被清楚地理解,下面根据具体实施方式并结合附图,对本发明作出进一步详细的说明。
如图1所示,为本发明所提供的技术方案的应用场景,包括终端以及数据,每个终端对应着各自的终端等级信息,每个数据对应着各自的数据等级信息,每个等级的终端只能对相应的相应等级的数据进行查看或更改,当某个等级的终端对其等级以外的数据进行查看或更改时,则断开网络连接,并且将更改过的数据进行数据恢复,比如:高级终端可以查看低级等级数据、中级等级数据以及高级等级数据,中级终端可以查看低级等级数据、中级等级数据,低级终端可以查看低级数据,当出现低级终端查看或更改高级等级数据时,则可以认为出现异常操作,此时将网络断开阻断病毒,并将病毒操作过的文件进行重新恢复,其中,终端可以是电脑、平板等,在此不做限定。
本发明提供一种基于行为识别模型的病毒阻断处理方法,如图2所示,包括:
步骤S110、基于所接收的终端等级数据、数据等级数据对行为识别模型进行训练配置,以使行为识别模型根据任意一个终端的操作行为输出相对应的识别结果。
本发明提供的技术方案,系统会根据每个终端不同的等级、每个数据不同的等级对识别模型进行训练配置,使得行为识别模型可以识别出任意一个等级终端的操作行为是否匹配其等级对应的操作行为,并输出相对应的识别结果。
例如:系统可以根据每个终端对应的不同等级使用人员,分配对应的终端等级;可以根据数据的保密程度不同,分配对应的数据等级,通过终端等级和数据等级来对识别模型进行训练配置,其中,终端等级可以是高级终端、中级终端以及低级终端,也可以是等级1终端、等级2终端、等级3终端,在此不做限定,数据等级可以是高级等级数据、中级等级数据以及低级等级数据,也可以是等级1数据、等级2数据、等级3数据,在此不做限定,通过识别模型识别低级终端的操作行为是否匹配低等级对应的操作行为,若匹配则认为是正常操作,若不匹配则认为是异常操作。
本发明通过预先配置终端等级数据、数据等级数据对行为识别模型进行训练配置,使得识别模型可以准确快速的识别到每个等级的终端的操作行为是否异常,可以准确快速识别出操作异常的终端设备,方便后续及时对病毒入侵进行阻断,避免了损失扩大。
本发明提供的技术方案,在一个可能的实施方式中,如图3所示,步骤S110具体包括:
步骤S1101、所述终端等级数据具有每个第一终端所对应的终端等级信息,所述数据等级数据具有每个第一操作目标的数据等级信息。
本发明提供的技术方案,终端等级数据中包含了每个第一终端所对应的终端等级信息,数据等级数据中包含了每个第一操作目标的数据等级信息,可以理解的是,可以预先为每个终端设置相应的等级,终端等级设置可以是根据使用人员的职位等级进行设置的,例如:董事长、经理、员工,在此不做限定,相同的可以为每个第一操作目标分配相应的数据等级,数据等级设置可以是根据数据的保密程度进行设置的,例如:绝密、机密、秘密,在此不做限定。
例如:根据职位等级董事长、经理、员工设置相应的终端等级高级终端、中级终端以及低级终端,根据数据的保密程度绝密、机密、秘密进行设置相应的数据等级高级等级数据、中级等级数据以及低级等级数据;终端等级数据中包含了每个终端所对应的终端等级信息,数据等级数据包含了每个第一操作目标所对应的数据等级信息。
本发明通过为每个终端预先配置相应的终端等级,每个数据预先配置相应的数据等级,方便后续每个等级终端对应的操作行为各不相同,各自拥有各自的权限,方便后续较为高效的查找到异常的终端,以及异常终端操作的数据。
步骤S1102、构建每个终端等级信息与所有的数据等级信息的允许操作行为,所述允许操作行为至少包括数据更改行为和数据查看行为。
本发明提供的技术方案,构建每个终端等级信息与所有的数据等级信息之间的联系,使得不同等级的终端可以对其对应等级的数据进行相应的操作行为,其中,操作行为至少包括数据的更改和数据的查看。
例如:高级终端可以更改高级等级数据,高级终端可以查看高级等级数据、中级等级数据以及低级等级数据,中级终端可以更改中级等级数据,中级终端可以查看中级等级数据、低级等级数据,低级终端可以更改低级等级数据,低级终端不能查看任何数据;也可以是,低级终端可以更改低级等级数据,低级终端可以查看低级等级数据,在此不做限定。
本发明通过构建每个终端等级信息与所有的数据等级信息的允许操作行为,方便后续对行为识别模型进行训练,使得每个等级终端对应的操作行为各不相同,各自拥有各自的权限,后续可以较为快速、精准的查找到病毒所处的异常终端,及时进行阻断。
本发明提供的技术方案,在一个可能的实施方式中,步骤S1102具体包括:
对所有的终端等级信息进行排序得到终端等级序列,对所有的数据等级信息进行排序得到数据等级序列。
本发明提供的技术方案,对所有的终端等级进行排序,排序可以是从高级到低级,也可以是从低级到高级,在此不做限定,得到对应的终端等级序列,相同的对所有的数据等级信息进行排序,排序可以是从高级到低级,也可以是从低级到高级,在此不做限定,得到对应的数据等级序列。
例如:将终端等级从高到低排序,依次是高级终端、中级终端、低级终端,将数据等级从高到低排序,依次是高级等级数据、中级等级数据以及低级等级数据。
本发明通过对所有终端进行等级排序以及所有数据进行等级排序,方便每个终端都对应着其允许的操作行为。
依次确定终端等级序列中每个终端等级信息所对应的,可以进行数据更改行为的数据等级信息得到数据更改子集合。
本发明提供的技术方案,将排序后的终端按照顺序,依次确定每个终端对应的可以更改的数据等级,将所有可以更改的数据等级组成集合为数据更改子集合。
例如:高级终端可以更改高级等级数据,高级终端可以查看高级等级数据、中级等级数据以及低级等级数据,对应的数据更改子集合为{更改高级等级数据}。
本发明为每个等级的终端都配置了相应的准许更改数据,方便后续可以较为及时的发现异常更改数据,准确定位异常更改的终端,实现及时阻断病毒。
依次确定终端等级序列中每个终端等级信息所对应的,可以进行数据查看行为的数据等级信息得到数据查看子集合。
本发明提供的技术方案,将排序后的终端按照顺序,依次确定每个终端对应的可以查看的数据等级,将所有可以查看的数据等级组成集合为数据查看子集合。
例如:高级终端可以更改高级等级数据,高级终端可以查看高级等级数据、中级等级数据以及低级等级数据,对应的数据查看子集合为{查看高级等级数据、查看中级等级数据、查看低级等级数据}。
本发明为每个等级的终端都配置了相应的准许查看数据,方便后续可以较为及时的发现异常查看数据,准确定位异常查看的终端,实现及时阻断病毒。
步骤S1103、行为识别模型根据每个第一终端的终端等级信息、第一操作目标的数据等级信息得到与第一终端所对应的操作行为集合,所述操作行为集合中具有第一终端对每个第一操作目标的允许操作行为。
本发明提供的技术方案,行为识别模型会根据每个第一终端的终端等级信息、第一操作目标的数据等级信息得到每个终端所对应的允许的操作行为集合,其中,操作行为集合中具有每个第一终端对每个第一操作目标的允许操作行为。
例如:高级终端可以更改高级等级数据,高级终端可以查看高级等级数据、中级等级数据以及低级等级数据,中级终端可以更改中级等级数据,中级终端可以查看中级等级数据、低级等级数据,低级终端可以更改低级等级数据,低级终端不能查看任何数据;高级终端的操作行为集合为{更改高级等级数据、查看高级等级数据、查看中级等级数据、查看低级等级数据},中级终端的操作行为集合为{更改中级等级数据、查看中级等级数据、查看低级等级数据},低级终端的操作行为集合为{更改低级等级数据}。
本发明通过得到每个终端准许的操作行为集合,查看终端对应的操作行为是否处于操作行为集合内,较为快捷的分别出终端是否出现异常,及时发现病毒。
步骤S120、获取当前时刻第一终端的行为日志,提取所述行为日志确定与所述第一终端所对应的第一操作行为、第一操作目标。
本发明提供的技术方案,实时获取当前时刻第一终端的行为日志,其中,行为日志中包含操作行为以及操作目标,根据行为日志确定与所述第一终端所对应的第一操作行为、第一操作目标,可以理解的是,第一操作行可以是修改、删除、增加等行为,在此不做限定,第一操作目标可以是目标数据。
例如:实时获取低级终端内的行为日志,提取低级终端内行为日志中的操作行为以及操作目标,其中,操作目标可以理解为操作的目标数据。方便后续将其对应的操作行为与终端本身的等级进行对比,及时查找出异常。
步骤S130、行为识别模型若判断所述第一操作行为与相对应的第一终端和第一操作目标不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断。
本发明提供的技术方案,经过训练配置后的行为识别模型如果判断第一终端对第一操作目标的第一操作行为不对应,则断开第一终端与第一操作目标之间的第一网络,通过网络的中断实现第一终端的病毒阻断。
例如:如果判断中级终端对高级等级数据进行更改,则断开中级终端与中级等级数据之间的网络,及时发现终端的异常操作,通过断开终端与数据的连接,实现病毒的阻断,减少损失。
本发明提供的技术方案,在一个可能的实施方式中,步骤S130具体包括:
行为识别模型获取当前的第一终端的终端等级信息,根据所述终端等级信息确定相对应的操作行为集合,所述操作行为集合包括数据更改子集合和/或数据查看子集合。
本发明提供的技术方案,行为识别模型获取第一终端的终端等级信息,根据终端等级信息可以确定相对应的操作行为集合,其中,操作行为集合包括数据更改子集合和/或数据查看子集合。
例如:行为识别模型获取中级终端,根据中级终端可以确定相对应的操作行为集合:{更改中级等级数据、查看中级等级数据、查看低级等级数据},其中,中级终端的数据更改子集合:{更改中级等级数据},中级终端的数据查看子集合为{查看中级等级数据、查看低级等级数据}。确定每个等级所允许的操作,方便后续较为快捷、准确的查找到异常终端。
行为识别模型获取当前的第一操作目标的数据等级信息,若所述当前的数据等级信息位于数据更改子集合内,则得到数据更改行为,若所述当前的数据等级信息位于数据查看子集合内,则得到数据查看行为。
本发明提供的技术方案,行为识别模型实时获取第一操作目标的数据等级信息,可以理解的是,实时获取操作数据的等级信息,如果当前的数据等级信息位于数据更改子集合内,则说明是正常操作,得到数据更改行为,如果当前的数据等级信息位于数据查看子集合内,则说明是正常操作,得到数据查看行为,确定每个等级所允许的更改操作,方便后续较为快捷、准确的查找到异常更改终端。
例如:行为识别模型实时获取中级终端的第一操作目标的数据等级信息,当前的数据等级信息为中级等级数据,中级等级数据位于数据更改子集合:{更改中级等级数据}中,得到数据更改行为,中级等级数据位于数据查看子集合为{查看中级等级数据、查看低级等级数据}中,得到数据查看行为,确定每个等级所允许的查看操作,方便后续较为快捷、准确的查找到异常查看终端。
将所得到的数据更改行为和/或数据查看行为作为允许操作行为。
本发明提供的技术方案,将上述得到的数据更改行为和/或数据查看行为作为允许操作行为,方便后续进行对比,查看当前操作行为是否为允许操作行为。
若所述允许操作行为与所述第一操作行为不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断。
本发明提供的技术方案,如果允许操作行为与当前的第一操作行为不对应,则说明有病毒入侵并进行了异常操作,立刻断开第一终端与第一操作目标连接的第一网络,实现了第一终端的病毒阻断。
例如:中级终端的第一操作行为是更改高级等级数据,此时当前的第一操作行为与允许操作行为的更改中级等级数据不对应,则断开中级终端与高级等级数据之间的网络连接,实现终端的病毒阻断。
本发明通过识别模型得到每个等级终端所对应的允许操作行为,通过查看是否出现不在允许操作行为内的操作,判断是否出现异常操作,可以快速识别异常操作,如果出现异常操作则立刻断开终端与操作目标之间的网络连接,可以有效阻断病毒的进一步破坏,减少损失,比如,病毒进入终端进行数据的复制以及传输,此时中断网络阻碍后数据的传输且对病毒进行了阻断。
步骤S140、若判断第一操作行为具有数据更改行为,则根据所述第一操作目标确定当前时刻的第一目标数据,提取与所述第一目标数据所对应的先前时刻的第二目标数据,将所述第二目标数据对所述第一目标数据进行替换处理。
本发明提供的技术方案,进行病毒的阻断后,如果判断第一操作行为具有数据更改行为,则根据第一操作行为所对应的第一操作目标确定当前时刻的第一目标数据,并提取与所述第一目标数据所对应的先前时刻的第二目标数据,数据拥有自动存储功能,可以是每隔一段时间进行一次数据存储,例如:每隔10分钟进行一次数据存储,也可以是每进行一次操作则进行数据存储,在此不做限定,将第一目标数据进行替换为第二目标数据。
例如:断开中级终端与高级等级数据之间的网络连接后,根据行为日志中的第一操作行为可以了解高级等级数据是否被更改,如果高级等级数据被更改,则将之前每10分钟自动保存的相应的高级等级数据提取出来,将自动保存的相应的高级等级数据对当下的高级等级数据(第一目标数据)进行替换。
本发明可以判断数据是否被更改,若发生更改则将之前自动保存的数据进行恢复,使得数据准确,不会出现病毒篡改的数据,使得数据不会产生错误。
本发明提供的技术方案,在一个可能的实施方式中,步骤S140具体包括:
根据所述第一操作目标的第一存储空间确定相对应的第一目标数据,将所述第一目标数据由所述第一存储空间内删除。
本发明提供的技术方案,根据第一操作目标所在的第一存储空间确定第一目标数据,并将第一存储空间内的第一目标数据进行删除。
例如:根据第一操作目标所在的第一存储空间确定当下的高级等级数据(第一目标数据),并将当下的高级等级数据(第一目标数据)删除。
本发明将病毒篡改的数据进行删除,防止数据的误差导致相应工作产生的错误,同时,预防了病毒对文件数据的进一步感染。
确定与所述第一存储空间相对应的延时存储空间,所述延时存储空间用于存储延迟时间段前的第一存储空间内所对应的第一目标数据。
本发明提供的技术方案,确定与所述第一存储空间相对应的延时存储空间,延时存储空间存储延迟时间段前的第一存储空间内所对应的第一目标数据。
例如:确定与所述第一存储空间相对应的延时存储空间,可以理解的是,延时存储空间相当于自动存储功能,会对数据每隔一段时间进行自动存储,延时存储空间每隔10分钟存储一次,确定当下上次自动存储的第一存储空间内所对应的第一目标数据。
本发明通过自动储存功能,方便后续实现数据的恢复,使得哪怕病毒对数据进行删除,依旧可以自动找回原本的数据,避免了数据丢失的风险。
调取当前时刻延时存储空间内的延时存储数据,根据存储延迟时间段内的所有日志行为对所述延时存储数据进行处理得到第二目标数据。
本发明提供的技术方案,调取当前延时存储空间内的延时存储数据,根据当下存储延迟时间段内的所有日志行为对所述延时存储数据进行处理得到第二目标数据。
例如:延时存储空间每隔10分钟存储一次,在10:00:00到10:10:00期间,10:10:00 进行一次存储,在10:15:00的时候,检测出病毒入侵的异常操作,中级终端的第一操作行为 是更改高级等级数据,在删除被更改高级等级数据后,调取10:15:00时刻延时存储空间内 的延时存储数据,也就是10:10:00自动存储的高级等级数据,并根据当下存储延迟时间段
Figure 332096DEST_PATH_IMAGE001
内所有日志行为对所述延时存储数据进行处理得到第二目标数据,可以 理解的是,将10:10:00存储的高级等级数据进行恢复,此时数据还没完全恢复,在10:10:00 ~10:15:00的时间段内,终端还会对数据进行很多正常操作,则根据10:10:00~10:15:00内 所有的正常操作对所述延时存储数据进行处理得到最终的第二目标数据,没有被病毒篡改 过的数据。
本发明会根据操作日志中的所有日志行为对自动恢复的数据进行处理,使得恢复后的数据与原数据一致,提升了恢复数据的准确性,由于数据的一致性,也使得相应的工作效率得到提升。
本发明提供的技术方案,在一个可能的实施方式中,所述调取当前时刻延时存储空间内的延时存储数据,根据存储延迟时间段内的行为日志对所述延时存储数据进行处理得到第二目标数据,包括:
获取存储延迟时间段内所有第二终端的行为日志,若存在对第一目标数据具有数据更改行为的行为日志,则提取所述数据更改行为以及所对应的更改时间。
本发明提供的技术方案,获取存储延迟时间段内所有第二终端的行为日志,可以理解的是,第二终端是未被病毒入侵的正常终端,也就是获取所有的正常操作,如果正常操作存在对第一目标数据具有数据更改行为的行为日志,则提取所述数据更改行为以及所对应的更改时间。
例如:在10:10:00~10:15:00的时间段内,第二终端在10:10:05对第一目标数据进行了部分数据的删除,第二终端在10:10:00对第一目标数据进行了部分数据的增加,第二终端在10:10:15对第一目标数据进行了修改。
本发明根据数据更改的时间先后顺序进行较为准确的数据恢复,因为数据操作具有一定的逻辑性,要生成某个数据结果,需要删除后增加再修改,顺序是固定的,因此获取更改行为对应的更改时间方便后续根据更改时间进行顺序处理,得到准确的数据恢复结果。
根据所述更改时间对所有的数据更改行为进行排序得到数据更改序列,基于所述数据更改序列对延时存储数据进行更改处理得到第二目标数据。
本发明提供的技术方案,根据更改时间从早到晚,对对所有的数据更改行为进行排序得到数据更改序列,并基于数据更改序列对延时存储数据进行更改处理得到第二目标数据。
例如:将10:10:00存储的高级等级数据进行恢复后,将第二终端在10:10:05对第一目标数据进行了部分数据的删除、第二终端在10:10:10对第一目标数据进行了部分数据的增加、第二终端在10:10:15对第一目标数据进行了修改的操作行为按照时间从早到晚进行排序,得到更改序列10:10:05部分数据的删除、10:10:10部分数据的增加、10:10:15数据的修改,通过按照时间顺序处理得到对应的第二目标数据。
本发明对恢复后的数据按照时间顺序依次进行相应的操作,使得恢复后的数据更为准确,这是因为操作具有一定的逻辑,因此需要得到准确的操作结果,需要按照逻辑顺序进行处理。
本发明提供的技术方案,在一个可能的实施方式中,所述根据所述更改时间对所有的数据更改行为进行排序得到数据更改序列,基于所述数据更改序列对延时存储数据进行更改处理得到第二目标数据,包括:
在基于数据更改序列对延时存储数据进行更改处理时,确定每个数据更改行为的更改处理属性。
本发明提供的技术方案,基于数据更改序列对延时存储数据进行更改处理时,确定每个数据更改行为的更改处理属性,可以理解的是,的更改处理属性为删除、增加以及修改,方便后续根据的更改处理属性的不同,进行不同的恢复操作。
若判断更改处理属性为数据增加属性或数据删除属性时,则生成增加校验请求或删除校验请求。
本发明提供的技术方案,如果判断更改处理属性为数据增加属性或数据删除属性时,则生成增加校验或者删除校验请求,对于增加和删除操作,则直接进行增加和删除操作。
若判断更改处理属性为数据修改属性时,则根据数据修改属性生成手动恢复请求,将所述手动恢复请求发送至相应的第二终端。
本发明提供的技术方案,如果判断更改处理属性为数据修改属性时,则根据数据修改属性生成手动恢复请求,将手动恢复请求发送至相应的第二终端,第二终端根据所述手动恢复请求对数据进行相应的修改。
本发明提供的技术方案,在一个可能的实施方式中,所述若判断更改处理属性为数据修改属性时,则根据数据修改属性生成手动恢复请求,将所述手动恢复请求发送至相应的第二终端,包括:
在基于数据更改序列对延时存储数据进行更改处理时,若数据更改序列中的数据更改行为是数据修改属性,则停止自动对延时存储数据的自动更改,将手动恢复请求发送至相应的第二终端。
本发明提供的技术方案,在基于数据更改序列对延时存储数据进行更改处理时,如果数据更改序列中的数据更改行为是数据修改属性,则停止自动对延时存储数据的自动更改,可以理解的是,如果是删除或增加操作则直接进行系统自动处理,如果是修改行为则进行手动恢复,将手动恢复请求发送至相应的第二终端,实现数据修改的操作,方便后续数据恢复。
在接收到与所述增加校验请求、删除校验请求以及手动恢复请求所对应的确定指令或确定恢复行为后,生成第二目标数据。
本发明提供的技术方案,在接收到与所述增加校验请求、删除校验请求以及手动恢复请求所对应的确定指令或确定恢复行为后,可以理解的是,对延时存储数据完成所有操作请求后得到的数据为第二目标数据,生成第二目标数据,通过对延时存储数据进行相同的顺序的操作使得恢复后的数据
本发明提供的技术方案,在一个可能的实施方式中,所述在接收到与所述增加校验请求、删除校验请求以及手动恢复请求所对应的确定指令和/或确定恢复行为后,生成第二目标数据,包括:
若收到与增加校验请求、删除校验请求所对应的确定指令,则执行数据更改序列中的下一个数据更改行为。
本发明提供的技术方案,如果收到与增加校验请求、删除校验请求所对应的确定指令,则基于所述确定指令对延时存储数据进行自动的增加、删除处理,执行数据更改序列中的下一个数据更改行为。
例如:更改序列10:10:05部分数据的删除自动处理并执行数据更改序列中的下一个数据更改行为10:10:10部分数据的增加自动处理,并执行数据更改序列中的下一个数据更改行为。
若收到与手动恢复请求所对应的确定恢复行为,则基于确定恢复行为对延时存储数据进行手动的恢复处理,执行数据更改序列中的下一个数据更改行为。
本发明提供的技术方案,如果收到与手动恢复请求所对应的确定恢复行为,则基于确定恢复行为对延时存储数据进行手动的恢复处理,执行数据更改序列中的下一个数据更改行为。
例如:10:10:15数据的修改,将数据修改发送给第二终端进行手动修改后,执行数据更改序列中的下一个数据更改行为,直到所有的更改行为被完成(除去异常操作),对应则得到恢复的数据也就是第二目标数据。
将所述第二目标数据存储至第一存储空间内。
本发明提供的技术方案,将处理后的第二目标数据存储在第一存储空间内第一目标数据所在的位置上,实现了数据的恢复。
步骤S150、若判断第一操作行为具有数据复制行为,则在所述第一终端处确定相对应的第一目标数据,对所述第一目标数据进行删除处理。
本发明提供的技术方案,如果判断第一操作行为具有数据复制行为,则在所述第一终端处确定相对应的第一目标数据,对第一目标数据进行删除处理,也就是判断出病毒在复制时,直接把病毒复制的文件删除,让病毒无法进行复制,并且会将网络断开,阻止传输。
本发明提供的技术方案,在一个可能的实施方式中,在根据所述第一操作目标的第一存储空间确定相对应的第一目标数据,将所述第一目标数据由所述第一存储空间内删除之后,包括:
确定与所述第一存储空间相对应的操作行为存储空间,所述操作行为存储空间用于存储每次操作后的第一存储空间内所对应的第一目标数据。
本发明提供的技术方案,确定与所述第一存储空间相对应的操作行为存储空间,每产生一次操作行为后就会利用操作行为存储空间对第一存储空间内所对应的第一目标数据进行存储。
例如:确定与所述第一存储空间相对应的操作行为存储空间,可以理解的是,操作行为存储空间相当于自动存储功能,每当产生一次操作行为后就会进行自动存储,比如:对第一目标数据进行删除处理后则自动存储一次,对第一目标数据进行增加处理后则自动存储一次,对第一目标数据进行修改处理后则自动存储一次,进行第一目标数据的存储,方便后续的恢复,使得后续恢复更为准确且便利。
本发明通过每进行一次操作就进行一次存储,使得后续数据恢复更为准确且无须进行其他操作,直接恢复异常操作之前存储的目标数据,使得恢复数据准确的情况下更加快捷,但只适用于小内存容量的文件。
调取上个操作行为存储空间内的操作行为存储数据。
本发明提供的技术方案,调取异常操作的上个操作行为存储空间内的操作行为存储数据。
例如:在对第一目标数据进行删除后的下一个操作低级终端修改中级等级数据为异常操作,则调取在对第一目标数据进行删除后的自动存储的目标数据(操作行为存储数据),方便后续进行更为快捷、准确的数据恢复。
将所述操作行为存储数据存储至第一存储空间内。
本发明提供的技术方案,将操作行为存储数据存储至第一存储空间内原本第一目标数据所在的位置,完成了数据恢复,恢复更加便利快捷,且恢复的数据与所需数据一致。
本发明提供的技术方案,在一个可能的实施方式中,还包括:
统计所述第一目标数据在预设时间段内的调取频率,得到第一调取频率。
本发明提供的技术方案,系统会自动统计第一目标数据在预设时间段内的调取频率,得到第一调取频率,可以理解的是,第一调取频率可以是第一目标数据在预设时间段内被增加、删除、修改的次数。
例如:第一目标数据在1天内的调取频率为20次/天,也就是一天内进行了20次的更改操作,对应的第一调取频率为20次/天。
本发明获得目标数据的调取频率,方便后续根据不同的目标数据的调取频率以及内存大小得到应该的存储方式,使得存储更贴合实际的同时,减少占用运行内存。
根据所述第一调取频率与第一目标数据的内存空间的乘积生成储存方式系数。
本发明提供的技术方案,根据第一调取频率与第一目标数据的内存空间的乘积生成储存方式系数,可以理解的是,储存方式系数可以代表预设时间段内需要的内存容量大小。
通过以下公式得到第一储存方式系数,
Figure 105011DEST_PATH_IMAGE002
其中,
Figure 569622DEST_PATH_IMAGE003
为第一储存方式系数,
Figure 411676DEST_PATH_IMAGE004
为第一调取频率,
Figure 869202DEST_PATH_IMAGE005
为第一目标数据的内存空间,
Figure 231044DEST_PATH_IMAGE006
为第一训练值,第一调取频率
Figure 115824DEST_PATH_IMAGE004
与第一储存方式系数
Figure 20125DEST_PATH_IMAGE007
成正比,第一目标数据的内存空 间
Figure 281342DEST_PATH_IMAGE005
与第一储存方式系数
Figure 232112DEST_PATH_IMAGE007
成正比。
若所述第一储存方式系数小于预设系数,则基于所述操作行为存储空间进行存储。
本发明提供的技术方案,如果存储方式系数小于预设系数,则利用操作行为存储空间进行存储。
例如:第一目标数据在1天内的调取频率为2次/天,第一目标数据的内存空间为 1kb,对应的第一储存方式系数
Figure 818951DEST_PATH_IMAGE003
值较小,可以理解的是,数据的内存空间越小且调用频率 越低,越适合采用操作行为存储空间进行存储,相反的存储空间越大频率越高,如果采用操 作行为存储空间进行存储很容易导致上次自动存储尚未完成已经开始了下次的调用。
若所述第一储存方式系数大于预设系数,则基于所述延时存储空间进行存储。
本发明提供的技术方案,如果存储方式系数大于预设系数,则利用延时存储空间进行存储。
例如:第一目标数据在1天内的调取频率为20次/天,第一目标数据的内存空间为 1GB,对应的第一储存方式系数
Figure 386329DEST_PATH_IMAGE003
值较大,可以理解的是,数据的内存空间越大且调用频率 越高,越适合采用延时存储空间进行存储。
本发明会根据不同目标数据对应存储方式系数不同采用不同的自动存储方式,使得数据恢复较为准确的同时,提升恢复效率,减少了系统运行内存的占用。
本发明提供的技术方案,在一个可能的实施方式中,还包括:
用户主动输入反馈信息,所述反馈信息为第一储存方式系数偏大或第一储存方式系数偏小。
本发明提供的技术方案,用户会根据实际情况对第一储存方式系数进行反馈,反馈信息为第一储存方式系数偏大或第一储存方式系数偏小。
例如:用户发现目标数据的采用的是延时存储空间进行存储的,但更适合的方式是利用操作行为存储空间进行存储,此时第一储存方式系数偏大,或者用户发现目标数据的采用的操作行为存储空间进行存储的,但更适合的方式是利用延时存储空间进行存储,此时第一储存方式系数偏小。
若所述反馈信息为第一储存方式系数偏大,则获取所述第一训练值,根据方式调整模型对第一训练值进行减小调整,得到第二训练值。
本发明提供的技术方案,用户会根据实际情况对第一储存方式系数进行反馈,如果反馈信息为第一储存方式系数偏大,则利用方式调整模型对第一训练值进行减小调整,得到第二训练值。
本发明通过利用方式调整模型进行自主学习调整,使得接收到用户的反馈信息后会自动对第一储存方式系数进行调整,使得最终满足用户的需求,拥有自主学习调节的功能,使得下次输出第一储存方式系数更贴合实际情况。
通过以下公式得到第二训练值,
Figure 920079DEST_PATH_IMAGE008
其中,
Figure 256514DEST_PATH_IMAGE009
为第二训练值,
Figure 748675DEST_PATH_IMAGE006
为第一训练值,
Figure 803350DEST_PATH_IMAGE010
为基准训练值,
Figure 140790DEST_PATH_IMAGE011
为程度种类的上限 值,
Figure 597310DEST_PATH_IMAGE012
为第
Figure 994794DEST_PATH_IMAGE013
种程度的调整值,
Figure 536764DEST_PATH_IMAGE014
为反向修正系数,基准训练值
Figure 677896DEST_PATH_IMAGE010
可以是人为预先设置的,
Figure 254502DEST_PATH_IMAGE015
Figure 557307DEST_PATH_IMAGE009
成正比。
本发明提供的技术方案,用户会反馈不同的程度的反馈信息,比如:第一储存方式 系数较大、大、极大,对应程度种类的上限值
Figure 586574DEST_PATH_IMAGE011
取1、2、3,
Figure 531396DEST_PATH_IMAGE012
的值可以是相同的值,例如:
Figure 962509DEST_PATH_IMAGE016
,则第一储存方式系数较大时,
Figure 967374DEST_PATH_IMAGE017
;第一储存方式系数大 时,
Figure 218358DEST_PATH_IMAGE018
;第一储存方式系数极大时,
Figure 701292DEST_PATH_IMAGE019
,可以理解的是,程度越大对 应的
Figure 986911DEST_PATH_IMAGE020
越大,对应的第二训练值
Figure 897098DEST_PATH_IMAGE009
越小。
若所述反馈信息为第一储存方式系数偏小,则获取所述第一训练值,根据方式调整模型对第一训练值进行增大调整,得到第三训练值。
本发明提供的技术方案,用户会根据实际情况对第一储存方式系数进行反馈,如果反馈信息为第一储存方式系数偏小,则利用方式调整模型对第一训练值进行增大调整,得到第三训练值。
通过以下公式得到第三训练值,
Figure 635378DEST_PATH_IMAGE021
其中,
Figure 922003DEST_PATH_IMAGE009
为第三训练值,
Figure 62128DEST_PATH_IMAGE006
为第一训练值,
Figure 408796DEST_PATH_IMAGE010
为基准训练值,
Figure 368793DEST_PATH_IMAGE011
为程度种类的上限 值,
Figure 193529DEST_PATH_IMAGE012
为第
Figure 188161DEST_PATH_IMAGE013
种程度的调整值,
Figure 705730DEST_PATH_IMAGE022
为正向修正系数,
Figure 406884DEST_PATH_IMAGE015
Figure 769732DEST_PATH_IMAGE023
成正比。
本发明提供的技术方案,用户会反馈不同的程度的反馈信息,比如:第一储存方式 系数较大、大、极大,对应程度种类的上限值
Figure 618870DEST_PATH_IMAGE011
取1、2、3,
Figure 41762DEST_PATH_IMAGE012
的值可以是相同的值,例如:
Figure 491197DEST_PATH_IMAGE016
,则第一储存方式系数较大时,
Figure 674048DEST_PATH_IMAGE017
;第一储存方式系数大 时,
Figure 643272DEST_PATH_IMAGE018
;第一储存方式系数极大时,
Figure 768223DEST_PATH_IMAGE019
,可以理解的是,程度越大对 应的
Figure 190108DEST_PATH_IMAGE020
越大,对应的第三训练值
Figure 957076DEST_PATH_IMAGE009
越大。
本发明会根据用户的反馈进行不断进行自主学习调整,若偏大则自动进行调小处理,若偏小则自动进行调大处理,使得以后输出的结果更符合实际情况,并且利用用户反馈的程度大小,减少调整次数,使得工作效率以及调整训练时间降低。
本发明提供的技术方案,在一个可能的实施方式中,还包括:
根据当下操作行为从行为日志中提取操作主体的路径,根据所述路径得到恶意文件。
本发明提供的技术方案,病毒一般会以文件的形式伪装在电脑中某个文件路径下,例如:一个在C盘,名为Update Kb4468-x86.exe的恶意文件,系统会自动提取异常操作对应的当下操作行为,从行为日志中提取操作主体的路径,可以理解是,从日志中提取操作的文件的存储路径,根据存储路径得到对应的恶意文件。
将所述恶意文件删除并屏蔽所述路径。
本发明提供的技术方案,将恶意文件进行删除,并且该路径可能是病毒最易入侵的漏洞路径,设置插件将该路径之后的所有操作行为进行阻止,不仅实现了病毒的删除,而且防止病毒再次入侵后对电脑的操作。
为了实现本发明所提供的一种基于行为识别模型的病毒阻断处理方法,本发明还提供一种基于行为识别模型的病毒阻断处理平台,如图4所示,包括:
训练模块,用于基于所接收的终端等级数据、数据等级数据对行为识别模型进行训练配置,以使行为识别模型根据任意一个终端的操作行为输出相对应的识别结果;
提取模块,用于获取当前时刻第一终端的行为日志,提取所述行为日志确定与所述第一终端所对应的第一操作行为、第一操作目标;
阻断模块,用于使行为识别模型若判断所述第一操作行为与相对应的第一终端和第一操作目标不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断;
第一处理模块,用于若判断第一操作行为具有数据更改行为,则根据所述第一操作目标确定当前时刻的第一目标数据,提取与所述第一目标数据所对应的先前时刻的第二目标数据,将所述第二目标数据对所述第一目标数据进行替换处理;
第二处理模块,用于若判断第一操作行为具有数据复制行为,则在所述第一终端处确定相对应的第一目标数据,对所述第一目标数据进行删除处理。
除上述实施例外,本发明还可以有其他实施方式;凡采用等同替换或等效变换形成的技术方案,均落在本发明要求的保护范围。

Claims (13)

1.基于行为识别模型的病毒阻断处理方法,其特征在于,包括:
基于所接收的终端等级数据、数据等级数据对行为识别模型进行训练配置,以使行为识别模型根据任意一个终端的操作行为输出相对应的识别结果;
获取当前时刻第一终端的行为日志,提取所述行为日志确定与所述第一终端所对应的第一操作行为、第一操作目标;
行为识别模型若判断所述第一操作行为与相对应的第一终端和第一操作目标不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断;
若判断第一操作行为具有数据更改行为,则根据所述第一操作目标确定当前时刻的第一目标数据,提取与所述第一目标数据所对应的先前时刻的第二目标数据,将所述第二目标数据对所述第一目标数据进行替换处理;
若判断第一操作行为具有数据复制行为,则在所述第一终端处确定相对应的第一目标数据,对所述第一目标数据进行删除处理。
2.根据权利要求1所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
所述基于所接收的终端等级数据、数据等级数据对行为识别模型进行训练配置,以使行为识别模型根据任意一个终端的操作行为输出相对应的识别结果,包括:
所述终端等级数据具有每个第一终端所对应的终端等级信息,所述数据等级数据具有每个第一操作目标的数据等级信息;
构建每个终端等级信息与所有的数据等级信息的允许操作行为,所述允许操作行为至少包括数据更改行为和数据查看行为;
行为识别模型根据每个第一终端的终端等级信息、第一操作目标的数据等级信息得到与第一终端所对应的操作行为集合,所述操作行为集合中具有第一终端对每个第一操作目标的允许操作行为。
3.根据权利要求2所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
所述构建每个终端等级信息与所有的数据等级信息的允许操作行为,所述允许操作行为至少包括数据更改行为和数据查看行为,包括:
对所有的终端等级信息进行排序得到终端等级序列,对所有的数据等级信息进行排序得到数据等级序列;
依次确定终端等级序列中每个终端等级信息所对应的,能够进行数据更改行为的数据等级信息得到数据更改子集合;
依次确定终端等级序列中每个终端等级信息所对应的,能够进行数据查看行为的数据等级信息得到数据查看子集合。
4.根据权利要求3所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
所述行为识别模型若判断所述第一操作行为与相对应的第一终端和第一操作目标不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断,包括:
行为识别模型获取当前的第一终端的终端等级信息,根据所述终端等级信息确定相对应的操作行为集合,所述操作行为集合包括数据更改子集合和/或数据查看子集合;
行为识别模型获取当前的第一操作目标的数据等级信息,若所述当前的数据等级信息位于数据更改子集合内,则得到数据更改行为,若所述当前的数据等级信息位于数据查看子集合内,则得到数据查看行为;
将所得到的数据更改行为和/或数据查看行为作为允许操作行为;
若所述允许操作行为与所述第一操作行为不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断。
5.根据权利要求1所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
所述若判断第一操作行为具有数据更改行为,则根据所述第一操作目标确定当前时刻的第一目标数据,提取与所述第一目标数据所对应的先前时刻的第二目标数据,将所述第二目标数据对所述第一目标数据进行替换处理,包括:
根据所述第一操作目标的第一存储空间确定相对应的第一目标数据,将所述第一目标数据由所述第一存储空间内删除;
确定与所述第一存储空间相对应的延时存储空间,所述延时存储空间用于存储延迟时间段前的第一存储空间内所对应的第一目标数据;
调取当前时刻延时存储空间内的延时存储数据,根据存储延迟时间段内的所有日志行为对所述延时存储数据进行处理得到第二目标数据;
将所述第二目标数据存储至第一存储空间内。
6.根据权利要求5所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
所述调取当前时刻延时存储空间内的延时存储数据,根据存储延迟时间段内的行为日志对所述延时存储数据进行处理得到第二目标数据,包括:
获取存储延迟时间段内所有第二终端的行为日志,若存在对第一目标数据具有数据更改行为的行为日志,则提取所述数据更改行为以及所对应的更改时间;
根据所述更改时间对所有的数据更改行为进行排序得到数据更改序列,基于所述数据更改序列对延时存储数据进行更改处理得到第二目标数据。
7.根据权利要求6所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
所述根据所述更改时间对所有的数据更改行为进行排序得到数据更改序列,基于所述数据更改序列对延时存储数据进行更改处理得到第二目标数据,包括:
在基于数据更改序列对延时存储数据进行更改处理时,确定每个数据更改行为的更改处理属性;
若判断更改处理属性为数据增加属性或数据删除属性时,则生成增加校验请求或删除校验请求;
若判断更改处理属性为数据修改属性时,则根据数据修改属性生成手动恢复请求,将所述手动恢复请求发送至相应的第二终端;
在接收到与所述增加校验请求、删除校验请求以及手动恢复请求所对应的确定指令或确定恢复行为后,生成第二目标数据。
8.根据权利要求7所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
所述若判断更改处理属性为数据修改属性时,则根据数据修改属性生成手动恢复请求,将所述手动恢复请求发送至相应的第二终端,包括:
在基于数据更改序列对延时存储数据进行更改处理时,若数据更改序列中的数据更改行为是数据修改属性,则停止自动对延时存储数据的自动更改,将手动恢复请求发送至相应的第二终端。
9.根据权利要求8所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
所述在接收到与所述增加校验请求、删除校验请求以及手动恢复请求所对应的确定指令和/或确定恢复行为后,生成第二目标数据,包括:
若收到与增加校验请求、删除校验请求所对应的确定指令,则执行数据更改序列中的下一个数据更改行为;
若收到与手动恢复请求所对应的确定恢复行为,则基于确定恢复行为对延时存储数据进行手动的恢复处理,执行数据更改序列中的下一个数据更改行为。
10.根据权利要求5所述的基于行为识别模型的病毒阻断处理方法,其特征在于,
在根据所述第一操作目标的第一存储空间确定相对应的第一目标数据,将所述第一目标数据由所述第一存储空间内删除之后,包括:
确定与所述第一存储空间相对应的操作行为存储空间,所述操作行为存储空间用于存储每次操作后的第一存储空间内所对应的第一目标数据;
调取上个操作行为存储空间内的操作行为存储数据;
将所述操作行为存储数据存储至第一存储空间内。
11.根据权利要求10所述的基于行为识别模型的病毒阻断处理方法,其特征在于,还包括:
统计所述第一目标数据在预设时间段内的调取频率,得到第一调取频率;
根据所述第一调取频率与第一目标数据的内存空间的乘积生成储存方式系数;
通过以下公式得到第一储存方式系数,
Figure 633729DEST_PATH_IMAGE002
其中,
Figure DEST_PATH_IMAGE003
为第一储存方式系数,
Figure 714119DEST_PATH_IMAGE004
为第一调取频率,
Figure DEST_PATH_IMAGE005
为第一目标数据的内存空间,
Figure 289326DEST_PATH_IMAGE006
为 第一训练值;
若所述第一储存方式系数小于预设系数,则基于所述操作行为存储空间进行存储;
若所述第一储存方式系数大于预设系数,则基于所述延时存储空间进行存储。
12.根据权利要求11所述的基于行为识别模型的病毒阻断处理方法,其特征在于,还包括:
用户主动输入反馈信息,所述反馈信息为第一储存方式系数偏大或第一储存方式系数偏小;
若所述反馈信息为第一储存方式系数偏大,则获取所述第一训练值,根据方式调整模型对第一训练值进行减小调整,得到第二训练值;
通过以下公式得到第二训练值,
Figure DEST_PATH_IMAGE007
其中,
Figure 298126DEST_PATH_IMAGE008
为第二训练值,
Figure 684108DEST_PATH_IMAGE006
为第一训练值,
Figure DEST_PATH_IMAGE009
为基准训练值,
Figure 244272DEST_PATH_IMAGE010
为程度种类的上限值,
Figure DEST_PATH_IMAGE011
为第
Figure 953995DEST_PATH_IMAGE012
种程度的调整值,
Figure DEST_PATH_IMAGE013
为反向修正系数;
若所述反馈信息为第一储存方式系数偏小,则获取所述第一训练值,根据方式调整模型对第一训练值进行增大调整,得到第三训练值;
通过以下公式得到第三训练值,
Figure 814372DEST_PATH_IMAGE014
其中,
Figure 371256DEST_PATH_IMAGE008
为第三训练值,
Figure 687224DEST_PATH_IMAGE006
为第一训练值,
Figure 761490DEST_PATH_IMAGE009
为基准训练值,
Figure 368052DEST_PATH_IMAGE010
为程度种类的上限值,
Figure 897DEST_PATH_IMAGE011
为第
Figure 896171DEST_PATH_IMAGE012
种程度的调整值,
Figure DEST_PATH_IMAGE015
为正向修正系数。
13.基于行为识别模型的病毒阻断处理平台,其特征在于,包括:
训练模块,用于基于所接收的终端等级数据、数据等级数据对行为识别模型进行训练配置,以使行为识别模型根据任意一个终端的操作行为输出相对应的识别结果;
提取模块,用于获取当前时刻第一终端的行为日志,提取所述行为日志确定与所述第一终端所对应的第一操作行为、第一操作目标;
阻断模块,用于使行为识别模型若判断所述第一操作行为与相对应的第一终端和第一操作目标不对应,则断开所述第一终端与第一操作目标的第一网络,实现第一终端的病毒阻断;
第一处理模块,用于若判断第一操作行为具有数据更改行为,则根据所述第一操作目标确定当前时刻的第一目标数据,提取与所述第一目标数据所对应的先前时刻的第二目标数据,将所述第二目标数据对所述第一目标数据进行替换处理;
第二处理模块,用于若判断第一操作行为具有数据复制行为,则在所述第一终端处确定相对应的第一目标数据,对所述第一目标数据进行删除处理。
CN202210671466.9A 2022-06-15 2022-06-15 基于行为识别模型的病毒阻断处理方法及平台 Active CN114817912B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210671466.9A CN114817912B (zh) 2022-06-15 2022-06-15 基于行为识别模型的病毒阻断处理方法及平台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210671466.9A CN114817912B (zh) 2022-06-15 2022-06-15 基于行为识别模型的病毒阻断处理方法及平台

Publications (2)

Publication Number Publication Date
CN114817912A true CN114817912A (zh) 2022-07-29
CN114817912B CN114817912B (zh) 2022-11-04

Family

ID=82520768

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210671466.9A Active CN114817912B (zh) 2022-06-15 2022-06-15 基于行为识别模型的病毒阻断处理方法及平台

Country Status (1)

Country Link
CN (1) CN114817912B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107168643A (zh) * 2017-03-31 2017-09-15 北京奇艺世纪科技有限公司 一种数据存储方法及装置
CN107888574A (zh) * 2017-10-27 2018-04-06 深信服科技股份有限公司 检测数据库风险的方法、服务器及存储介质
CN108259478A (zh) * 2017-12-29 2018-07-06 中国电力科学研究院有限公司 基于工控终端设备接口hook的安全防护方法
CN108829344A (zh) * 2018-05-24 2018-11-16 北京百度网讯科技有限公司 数据存储方法、装置及存储介质
CN109299135A (zh) * 2018-11-26 2019-02-01 平安科技(深圳)有限公司 基于识别模型的异常查询识别方法、识别设备及介质
CN111600880A (zh) * 2020-05-14 2020-08-28 深信服科技股份有限公司 异常访问行为的检测方法、系统、存储介质和终端
CN112165453A (zh) * 2020-09-01 2021-01-01 珠海格力电器股份有限公司 智能设备防入侵方法、装置、智能设备和服务器
CN114465739A (zh) * 2020-10-21 2022-05-10 中兴通讯股份有限公司 异常识别方法和系统、存储介质及电子装置

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107168643A (zh) * 2017-03-31 2017-09-15 北京奇艺世纪科技有限公司 一种数据存储方法及装置
CN107888574A (zh) * 2017-10-27 2018-04-06 深信服科技股份有限公司 检测数据库风险的方法、服务器及存储介质
CN108259478A (zh) * 2017-12-29 2018-07-06 中国电力科学研究院有限公司 基于工控终端设备接口hook的安全防护方法
CN108829344A (zh) * 2018-05-24 2018-11-16 北京百度网讯科技有限公司 数据存储方法、装置及存储介质
CN109299135A (zh) * 2018-11-26 2019-02-01 平安科技(深圳)有限公司 基于识别模型的异常查询识别方法、识别设备及介质
CN111600880A (zh) * 2020-05-14 2020-08-28 深信服科技股份有限公司 异常访问行为的检测方法、系统、存储介质和终端
CN112165453A (zh) * 2020-09-01 2021-01-01 珠海格力电器股份有限公司 智能设备防入侵方法、装置、智能设备和服务器
CN114465739A (zh) * 2020-10-21 2022-05-10 中兴通讯股份有限公司 异常识别方法和系统、存储介质及电子装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Z.FANG 等: ""Identification of Abnormal Electricity Consumption Behavior Based on Bi-LSTM Recurrent Neural Network,"", 《2019 4TH INTERNATIONAL CONFERENCE ON POWER AND RENEWABLE ENERGY (ICPRE)》 *
胡健鹰: ""实时内存数据库的内存数据组织管理"", 《中国优秀硕士学位论文全文数据库信息科技辑》 *

Also Published As

Publication number Publication date
CN114817912B (zh) 2022-11-04

Similar Documents

Publication Publication Date Title
CN104995621B (zh) 服务器装置以及隐匿检索系统
CN109871691A (zh) 基于权限的进程管理方法、系统、设备及可读存储介质
EP2560120B1 (en) Systems and methods for identifying associations between malware samples
WO2019209630A1 (en) File processing method and system, and data processing method
CN109447809B (zh) 一种结合区块链的视频主动识别方法
CN104778123A (zh) 一种检测系统性能的方法及装置
CN107563192A (zh) 一种勒索软件的防护方法、装置、电子设备及存储介质
CN106547648A (zh) 一种备份数据处理方法及装置
US20230418943A1 (en) Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same
CN115017485B (zh) 一种数据权限管控方法及系统
CN111698302A (zh) 数据预警方法、装置、电子设备及介质
CN114817912B (zh) 基于行为识别模型的病毒阻断处理方法及平台
CN111222181B (zh) Ai模型的监管方法、系统、服务器及存储介质
US20210099772A1 (en) System and method for verification of video integrity based on blockchain
CN113723071B (zh) 电子档案校验方法、系统、存储介质及设备
CN115794469A (zh) 数据资产处理方法及装置
CN115935414A (zh) 基于区块链的数据校验方法、装置、电子设备和存储介质
CN114598556A (zh) It基础设施配置完整性保护方法及保护系统
CN114417397A (zh) 行为画像的构建方法、装置、存储介质及计算机设备
CN115361373A (zh) 一种资产数据安全传输方法、系统及存储介质
CN103984902B (zh) 一种新增数据资产的识别方法和系统
CN108959486B (zh) 审计字段信息获取方法、装置、计算机设备和存储介质
Iqbal et al. Forensic investigation of small-scale digital devices: a futuristic view
CN117040927B (zh) 一种密码服务监控系统及方法
CN113569300B (zh) 一种基于云计算的区块链数据处理系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant