CN115270137A - 风险状态的确定方法、装置及电子设备 - Google Patents

风险状态的确定方法、装置及电子设备 Download PDF

Info

Publication number
CN115270137A
CN115270137A CN202210911761.7A CN202210911761A CN115270137A CN 115270137 A CN115270137 A CN 115270137A CN 202210911761 A CN202210911761 A CN 202210911761A CN 115270137 A CN115270137 A CN 115270137A
Authority
CN
China
Prior art keywords
determining
risk
virtual terminal
data
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210911761.7A
Other languages
English (en)
Inventor
张彦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202210911761.7A priority Critical patent/CN115270137A/zh
Publication of CN115270137A publication Critical patent/CN115270137A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3409Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Biophysics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Quality & Reliability (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Virology (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Molecular Biology (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请公开了一种风险状态的确定方法、装置及电子设备。其中,该方法包括:获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,行为数据为目标对象对虚拟终端进行操作时得到的数据;依据行为数据,确定虚拟终端所属的风险类别;依据运行数据的变化趋势,确定虚拟终端的风险状态;依据风险类别和风险状态确定虚拟终端的风险信息。本申请解决了现有技术未对虚拟云电脑进行行为、系统运行状态及虚拟平台本身的系统数据进行针对性分析,导致无法获取虚拟电脑业务产品是否存在风险的技术问题。

Description

风险状态的确定方法、装置及电子设备
技术领域
本申请涉及风险判断领域,具体而言,涉及一种风险状态的确定方法、装置及电子设备。
背景技术
近几年,虚拟化技术的不断发展与成熟,虚拟个人电脑成为一热门产品。产品质量、服务质量很大程度上取决于客户感知和用户使用产品的安全性。虚拟个人电脑产品的用户使用感知及产品的安全性,与传统产品的有所不同,个性化的要求也是不同的。用户虚拟电脑的健康状态判断及风险预判是多维度的,包含虚拟个人电脑是否运行稳定、产品是否能正常使用、各类应用软件是否健康、病毒攻击的风险判断、虚拟电脑被盗预判、使用虚拟电脑的不安全操作分析、是否存在敏感信息泄露等。这些方面的客户感知就不仅仅是可以通过用户回访、用户故障投诉、故障修复等服务能提升的。我们需要通过领先的参数收集技术、多因素分析等进行必要的风险分析,实现虚拟电脑的风险和健康状态预判。现有技术未对虚拟云电脑进行行为、系统运行状态及虚拟平台本身的系统数据进行针对性分析,导致无法获取虚拟电脑业务产品是否存在风险。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种风险状态的确定方法、装置及电子设备,以至少解决现有技术未对虚拟云电脑进行行为、系统运行状态及虚拟平台本身的系统数据进行针对性分析,导致无法获取虚拟电脑业务产品是否存在风险的技术问题。
根据本申请实施例的一个方面,提供了一种风险状态的确定方法,包括:获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,行为数据为目标对象对虚拟终端进行操作时得到的数据;依据行为数据,确定虚拟终端所属的风险类别;依据运行数据的变化趋势,确定虚拟终端的风险状态;依据风险类别和风险状态确定虚拟终端的风险信息。
可选地,依据行为数据,确定虚拟终端所属的风险类别,包括:判断行为数据是否满足预设风险信息,其中,行为数据包括以下至少之一:目标对象的登录行为、目标对象使用的软件、目标对象的浏览内容和目标对象打开的游戏;在行为数据满足预设风险信息的情况下,确定与行为数据对应的特征标签;依据特征标签,确定虚拟终端的风险类别。
可选地,确定与行为数据对应的特征标签之前,方法还包括:按照预设时间间隔采集目标对象的历史行为数据,其中,历史行为数据包括多个正常历史行为数据和多个异常历史行为数据;依据历史行为数据训练决策树,得到目标决策树,其中,目标决策树用于判断行为数据是否存在风险;依据目标决策树,确定虚拟终端的风险值,其中,风险值用于量化表示虚拟终端处于风险状态的程度,风险值与风险状态呈正相关。
可选地,依据运行数据的变化趋势,确定虚拟终端的风险状态,包括:获取运行数据中的待监测数据的变化趋势和使用时长,其中,待监测数据包括以下至少之一:虚拟终端的CPU使用率、内存使用率、磁盘空间使用率、磁盘I/O使用率、网络使用率;依据变化趋势,确定待监测数据超出使用阈值时对应的时间点;依据使用时长,确定虚拟终端的健康度,其中,健康度用于量化表示虚拟终端的风险状态,健康度与风险状态呈负相关。
可选地,依据使用时长,确定虚拟终端的健康度,包括:在使用时长大于第一阈值,且CPU使用率大于预设百分比时,将第一分值添加至目标集合中;在使用时长大于第二阈值,且内存使用率大于预设百分比时,将第二分值添加至目标集合中,其中,第二阈值大于第一阈值,第二分值大于第一分值;在磁盘空间使用率大于预设百分比时,将第二分值添加至目标集合中;在使用时长大于第二阈值,且磁盘I/O使用率大于预设百分比时,将第一分值添加至目标集合中;在使用时长大于第二阈值,且网络使用率大于预设百分比时,将第三分值添加至目标集合中,其中,第三分值小于第二分值;计算目标集合中的总分值,依据初始分值和总分值,确定虚拟终端的健康度。
可选地,方法还包括:监控文件目录,在监测到文件目录被应用程序操作时,确定应用程序的标签类型为第一类标签;在监测到超过预设数量的文件目录被应用程序操作时,确定应用程序的标签类型为第二类标签;在监测到注册表被应用程序更改时,确定应用程序的标签类型为第三类标签;在对与目标端口集合中的至少一个端口的连接次数超过第三阈值时,确定发起连接请求的应用程序的标签类型为第四类标签;依据应用程序所属的标签类型,确定应用程序的类型。
可选地,确定应用程序的类型,包括:获取具有标签的应用程序,得到目标应用程序,将目标应用程序按照调用时间排序;监控目标应用程序的接口调用信息,依据接口调用信息的数量,构建调用矩阵;依据调用矩阵的特征向量对目标应用程序进行聚类,得到目标序列;依据目标序列,确定目标应用程序为目标类型的概率,并将概率大于第四阈值的应用程序确定为目标类型的应用程序。
根据本申请实施例的另一方面,还提供了一种风险状态的确定装置,包括:获取模块,用于获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,行为数据为目标对象对虚拟终端进行操作时得到的数据;第一确定模块,用于依据行为数据,确定虚拟终端所属的风险类别;第二确定模块,用于依据运行数据的变化趋势,确定虚拟终端的风险状态;第三确定模块,用于依据风险类别和风险状态确定虚拟终端的风险信息。
根据本申请实施例的又一方面,还提供了一种电子设备,包括:存储器,用于存储程序指令;处理器,与存储器连接,用于执行实现以下功能的程序指令:获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,行为数据为目标对象对虚拟终端进行操作时得到的数据;依据行为数据,确定虚拟终端所属的风险类别;依据运行数据的变化趋势,确定虚拟终端的风险状态;依据风险类别和风险状态确定虚拟终端的风险信息。
根据本申请实施例的再一方面,还提供了一种非易失性存储介质,该非易失性存储介质包括存储的程序,其中,在程序运行时控制该非易失性存储介质所在设备执行上述风险状态的确定方法。
在本申请实施例中,通过获取虚拟终端的运行数据,以及获取目标对象的行为数据;依据行为数据,确定虚拟终端所属的风险类别;依据运行数据的变化趋势,确定虚拟终端的风险状态;依据风险类别和风险状态确定虚拟终端的风险信息,达到了确定虚拟终端的健康状态的目的,从而实现了分析虚拟终端的安全风险的技术效果,进而解决了现有技术未对虚拟云电脑进行行为、系统运行状态及虚拟平台本身的系统数据进行针对性分析,导致无法获取虚拟电脑业务产品是否存在风险的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种用于实现风险状态的确定方法的计算机终端(或电子设备)的硬件结构框图;
图2是根据本申请实施例的一种风险状态的确定方法的流程图;
图3a是根据本申请实施例的一种CNN分类的过程示意图;
图3b是根据本申请实施例的一种训练过程的示意图;
图4是根据本申请实施例的一种风险状态的确定装置的结构图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本申请实施例依据用户的行为数据、虚拟电脑系统运行数据、虚拟平台本身的系统数据等,建立相应的分析方法,对客户的虚拟个人的电脑进行健康值的判断和潜在风险的预判,以下详细说明。
本申请实施例所提供的风险状态的确定方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。图1示出了一种用于实现风险状态的确定方法的计算机终端(或电子设备)的硬件结构框图。如图1所示,计算机终端10(或电子设备10)可以包括一个或多个(图中采用102a、102b,……,102n来示出)处理器(处理器可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为I/O接口的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
应当注意到的是上述一个或多个处理器和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端10(或电子设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器104可用于存储应用软件的软件程序以及模块,如本申请实施例中的风险状态的确定方法对应的程序指令/数据存储装置,处理器通过运行存储在存储器104内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的风险状态的确定方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输模块106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端10(或电子设备)的用户界面进行交互。
此处需要说明的是,在一些可选实施例中,上述图1所示的计算机设备(或电子设备)可以包括硬件元件(包括电路)、软件元件(包括存储在计算机可读介质上的计算机代码)、或硬件元件和软件元件两者的结合。应当指出的是,图1仅为特定具体实例的一个实例,并且旨在示出可存在于上述计算机设备(或电子设备)中的部件的类型。
在上述运行环境下,本申请实施例提供了一种风险状态的确定方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图2是根据本申请实施例的一种风险状态的确定方法的流程图,如图2所示,该方法包括如下步骤:
步骤S202,获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,行为数据为目标对象对虚拟终端进行操作时得到的数据;
步骤S204,依据行为数据,确定虚拟终端所属的风险类别;
步骤S206,依据运行数据的变化趋势,确定虚拟终端的风险状态;
步骤S208,依据风险类别和风险状态确定虚拟终端的风险信息。
在上述风险状态的确定方法中的步骤S204中,依据行为数据,确定虚拟终端所属的风险类别,具体包括如下步骤:判断行为数据是否满足预设风险信息,其中,行为数据包括以下至少之一:目标对象的登录行为、目标对象使用的软件、目标对象的浏览内容和目标对象打开的游戏;在行为数据满足预设风险信息的情况下,确定与行为数据对应的特征标签;依据特征标签,确定虚拟终端的风险类别,该风险类别是与上述四类行为数据对应的,如判断出目标对象在登陆行为中存在异常,则虚拟终端对应的风险类别为登陆异常。
具体地,对目标对象的行为数据进行分析从而预设风险信息,包括以下四个方面:分析登录行为、使用的软件、浏览器阅读的内容、游戏四类行为,通过建立决策树判断方法,输入四类行为对应的特征标签,判断在不同的用户行为下,虚拟终端的风险类别和行为风险值。
通过系统日志、网络传输等信息收集必要的用户使用虚拟终端的操作行为数据,通过比对系统预设的风险信息,按类别设立分析的标签,可以依据虚拟终端使用的趋势、风险分析的强关联性,增减类别标签,其中,系统预设风险信息,包括:登录IP变化频次、失败率、在线时长;敏感软件、应用;搜索内容高危关键字;非健康或国家禁止的游戏;软件操作的疑似危险行为(例如信息泄露、木马程序的下载)等,此类风险信息在系统中可以动态维护与设置。
以下介绍上述四类行为:
(1)登录行为:依据登录IP变化频次,结合历史登录信息,分析IP变化趋势;分析登录失败率及趋势,判断密码破解的风险;分析用户在线操作时长的变化情况。通过比对系统预设的风险信息,设立登录行为的分析标签。
(2)使用的软件:以预设采集间隔定时采集用户使用的软件及使用时长,比对预设的软件风险信息,建立以时间为序列的历史行为数据,再从突变、离散度、与历史使用记录和频次对比分析等多维度,建立软件使用特征的标签。
(3)浏览器阅读内容:以预设采集间隔定时采集用户在浏览器阅读的内容及浏览的时长,比对预设的浏览器风险信息,建立历史行为数据,从突变、离散度、历史记录比对等多维度,建立浏览器使用特征的标签。
(4)游戏:以预设采集间隔定时采集用户玩游戏的类别及时长,比对预设的游戏风险信息,建立历史行为数据,从突变、离散度、历史记录比对等多维度,建立游戏使用特征的标签。
又例如,在依据风险类别和风险状态确定虚拟终端的风险信息时,可以将风险类型和风险状态直接作为上述风险信息,还可以为风险类别和风险状态各自对应的评估指标分配不同的权重,基于两者的评估指标和相应的权重确定最终的风险信息,例如,该风险信息是风险得分,不同的风险得分对应不同的处理策略。具体实施时,不同的风险类别对应不同的分值(即评估指标),不同的风险状态也对应不同的分值(即评估指标),从而可以依据上述两类参数确定最终的可量化的风险信息。
在上述步骤中,确定与行为数据对应的特征标签之前,方法还包括如下步骤:按照预设时间间隔采集目标对象的历史行为数据,其中,历史行为数据包括多个正常历史行为数据和多个异常历史行为数据;依据历史行为数据训练决策树,得到目标决策树,其中,目标决策树用于判断行为数据是否存在风险;依据目标决策树,确定虚拟终端的风险值,其中,风险值用于量化表示虚拟终端处于风险状态的程度,风险值与风险状态呈正相关。
具体地,通过历史行为数据建立决策树判断方法,输入四类行为对应的特征标签,判断出用户行为存在风险的类别和行为风险值。先根据训练集数据形成决策树,训练集数据由历史行为数据组成,如果该决策树不能对所有对象给出正确的分类,那么选择一些例外加入到训练集数据中,重复该过程一直到形成正确的决策集。本申请实施例建立的决策树判断方法,例如使用1万条历史行为数据(8000个有风险的行为信息和2000个正常行为信息),通过交叉验证和评估指标对比,最终确定出准确率95%的判定规则。根据决策树判断规则建立预判方法,对系统类的用户行为及历史数据判别出虚拟个人电脑(即虚拟终端)的风险值。
在上述风险状态的确定方法中的步骤S206中,依据运行数据的变化趋势,确定虚拟终端的风险状态,具体包括如下步骤:获取运行数据中的待监测数据的变化趋势和使用时长,其中,待监测数据包括以下至少之一:虚拟终端的CPU使用率、内存使用率、磁盘空间使用率、磁盘I/O使用率、网络使用率;依据变化趋势,确定待监测数据超出使用阈值时对应的时间点;依据使用时长,确定虚拟终端的健康度,其中,健康度用于量化表示虚拟终端的风险状态,健康度与风险状态呈负相关。
具体地,运行数据指系统的运行数据,系统运行数据分两类,虚拟机操作系统的运行数据和虚拟平台本身的系统数据。虚拟平台本身的系统数据需要通过虚拟平台的接口进行采集,包括宿主机的CPU、内存、硬盘、网络、显卡等的运行参数,虚拟机漂移的频次和轨迹记录等。
从上述运行参数中确定检测因素,即确定待监测数据,结合待监测数据的变化趋势,对虚拟终端的健康状态进行初步画像预判,预判的方式为:采用LSTM对多个待监测数据进行分析,得到多个待监测数据的使用时长,确定能对未来的时间点进行健康预测的方法,即预判待监测数据可能出现超出健康使用阈值的时间点。
在确定虚拟终端的健康度时,需初步预测并估算虚拟终端的健康度,具体地,先确定可用于帮助判断虚拟终端健康状态的多个待监测数据,包括:虚拟机的CPU使用率、内存使用率、磁盘空间使用率、磁盘IO使用率、网络使用率、突变点检测、虚拟平台本身的系统数据等。虚拟机操作系统方面,定时采集需要监测的系统数据(默认间隔10秒);同时也利用虚拟平台的接口,通过虚拟机ID关联采集宿主机的各项运行参数,例如可以以天为单位统计,结合多个待监测数据的变化趋势,对虚拟终端的健康状态进行初步的画像预判。
在上述步骤中,依据使用时长,确定虚拟终端的健康度,具体包括如下步骤:在使用时长大于第一阈值,且CPU使用率大于预设百分比时,将第一分值添加至目标集合中;在使用时长大于第二阈值,且内存使用率大于预设百分比时,将第二分值添加至目标集合中,其中,第二阈值大于第一阈值,第二分值大于第一分值;在磁盘空间使用率大于预设百分比时,将第二分值添加至目标集合中;在使用时长大于第二阈值,且磁盘I/O使用率大于预设百分比时,将第一分值添加至目标集合中;在使用时长大于第二阈值,且网络使用率大于预设百分比时,将第三分值添加至目标集合中,其中,第三分值小于第二分值;计算目标集合中的总分值,依据初始分值和总分值,确定虚拟终端的健康度。
具体地,以初始分值,也即总健康度为10分计(分数越高健康度越高):
当超过30%的使用时间中CPU使用率大于80%时,将第一分值添加至目标集合中,目标集合中存储的数值用于表示总健康度扣除的分值,如在这种情况下,第一阈值设置为30%,预设百分比设置为80%,第一分值设置为1,即健康度扣减1分。
当超过60%的使用时间中内存使用率大于80%时,将第二分值添加至目标集合中,如在这种情况下,第二阈值设置为60%,预设百分比设置为80%,第二分值可以设置为3,即健康度扣减3分。
当磁盘空间使用率大于80%时,将第二分值添加至目标集合中,如在这种情况下,预设百分比设置为80%,第二分值可以设置为3,即健康度扣减3分。
当超过60%的使用时间磁盘IO使用率大于80%时,将第一分值添加至目标集合中,如在这种情况下,第一分值可以设置为1,即健康度扣减1分。
当超过60%的使用时间网络使用率大于80%时,将第三分值添加至目标集合中,如在这种情况下,第三分值可以设置为2,即健康度扣减2分。
通过计算目标集合中的总分值,依据初始分值和总分值,确定虚拟终端的健康度。需要说明的是,上述第一阈值、第二阈值、预设百分比、第一分值、第二分值、第三分值均可根据实际情况进行设置,上述仅为举例,并不限定其具体数值。
将历史待监测数据建立的数据集通过长短期记忆模型(LSTM)进行分析,建立准确的预判方法对未来的时间点进行预测,预测出CPU使用率、内存使用率、磁盘空间使用率、磁盘IO使用率、网络使用率、突变点检测、宿主机稳定运行等可能超出健康使用阈值的时间点,从而预判虚拟终端的健康状态。
在上述风险状态的确定方法中,还包括如下步骤:监控文件目录,在监测到文件目录被应用程序操作时,确定应用程序的标签类型为第一类标签;在监测到超过预设数量的文件目录被应用程序操作时,确定应用程序的标签类型为第二类标签;在监测到注册表被应用程序更改时,确定应用程序的标签类型为第三类标签;在对与目标端口集合中的至少一个端口的连接次数超过第三阈值时,确定发起连接请求的应用程序的标签类型为第四类标签;依据应用程序所属的标签类型,确定应用程序的类型。
在本申请实施例中,还通过分析虚拟终端是否存在高风险活动,从而确定虚拟终端的健康状态,这里主要是对恶意软件的分析,通过检测软件的以下几个方面活动来识别目标类型的软件,也即识别恶意软件:
文件系统活动:根据研究资料表明,约70%的恶意软件会对文件系统进行操作,其中约23%的恶意软件会选择对windows目录进行文件操作,约15%会在用户目录进行文件操作,通过对恶意软件可能操作的文件目录建立知识库,并依托其对文件目录进行监控,当有程序对监控目录进行了操作时对程序加以敏感目录标签,也即第一类标签。应用程序对文件的操作也是规律的,若应用对超过1000个目录进行操作则加以文件操作频繁标签,也即第二类标签。
注册表活动:对注册表的操作时敏感的,因为这会使系统的配置改变,如受信任的证书、防火墙状态等。对更改了注册表的软件加以注册表操作标签,对更改了如Windows\CurrentVersion\Policies\System等关键注册表的软件加以高危注册表操作标签,即第三类标签。
网络活动:恶意软件在网络方面通常扫描操作,这些扫描主要由扫描特定Windows端口,如:139、445,或与后门相关的端口如:9988,依据这个特性建立恶意端口知识库,还有许多恶意软件会尝试发起SSL连接但大都无法完成握手。
软件的连接数通常维持在一个正常水平,通过过往数据的统计得出,对突然增加的连接数加以高连接数标签,即第四类标签。当软件进行特定Windows端口扫描时加以网络扫描标签,对恶意端口知识库中包含端口进行扫描的加以敏感扫描标签。
普通软件访问的IP一般比较集中,恶意软件则会尝试扫描网络并对大量IP发起连接,通过对软件访问的IP数据进行离散度分析,将结果计入IP离散度标签。
通过对IRC通信中使用的典型NICKNAME、PRIVMSG和TOPIC模式进行检测来标注Botnet风险。
基于马尔可夫模型对软件windows api调用进行软件聚类识别恶意软件,用软件的各项活动的随机时间序列,预判虚拟终端的风险。
在上述步骤中,确定应用程序的类型,具体包括如下步骤:获取具有标签的应用程序,得到目标应用程序,将目标应用程序按照调用时间排序;监控目标应用程序的接口调用信息,依据接口调用信息的数量,构建调用矩阵;依据调用矩阵的特征向量对目标应用程序进行聚类,得到目标序列;依据目标序列,确定目标应用程序为目标类型的概率,并将概率大于第四阈值的应用程序确定为目标类型的应用程序。
软件的各项活动都需要操作系统层面的支撑,通过对软件的windows api调用的监控就可以了解软件的各项活动。基于对软件进行上述不同类型的标注,监控软件的windows api调用,将软件对windows api的调用按时间组成序列,以监控到的windows api总数N建立N×N的矩阵,将软件的调用建立矩阵,利用矩阵的特征向量进行谱聚类,对聚类后的序列构建马尔可夫链,即得到目标序列,利用构建的马尔可夫链对需要检测的软件进行概率计算,置信区间在3西格玛以上的归为一类软件,从而识别出潜在的恶意软件。
通过分析用户的行为数据以及系统运行数据,在一种可选的实施例进行分析时,可通过对这两种数据设置不同的权重,确定哪类数据对虚拟终端的健康状态影响较大。上述两种数据根据决策树方法,对系统类的用户行为及历史数据判别出用户行为风险值;通过时序数据处理手段提取虚拟终端运行信息及关联宿主机运行信息的多种特征,判别潜在恶意软件,建立预测虚拟终端健康状态的方法。获取若干虚拟电脑在一段时间内的监测数据构成的数据集;采用突变点检测的方式来选择运行指标;通过故障时间点点和正常运行结果用以抽取训练集和测试集的特征集合;采用降维聚类,对占比较多的正样本进行降采样,训练分类方法,并测试当前虚拟终端属于健康或不健康状态。
具体地,(1)通过CNN分类器进行时序数据分类处理虚拟电脑各类信息的多种特征,建立分类方法;在图3a所示的CNN分类的过程示意图中,对获取到的时序数据进行预处理,包括降维、归一化等处理,使用CNN分类器对预处理后的时序数据进行分类,可按照周期型平稳型、无规律波动型对时序数据进行分类;(2)通过采集故障时间点和正常运行结果,采用降维聚类,对占比较多的正样本进行降采样,抽取训练集和测试集的特征集合;(3)获取若干云电脑在一段时间内的监测数据构成的数据采用监督学习方式梳理出预判方法,如图3b所示的示意图,其中(x1,y1),(x2,y2),…,(xn,yn)是训练数据集,学习系统由训练数据学习一个分类器P(Y∣X)或Y=f(X),分类系统通过学习到的分类器对新的输入实例xn+1进行分类,预测其输出的类别yn+1
根据以上判断方法的规则,对判别为有风险或不健康的虚拟终端进行必要的提醒。一方面,客户可以依据提醒,自己提前对虚拟终端进行修复,或远程申请电信进行远程技术支撑;另一方面,产品运营方可以依据此判别对有违规操作风险的虚拟终端进行限制等。
本申请实施例利用虚拟终端的健康状态初步的画像和健康度分值,结合软件的各项活动的随机时间序列,预判虚拟终端风险点的方法,有效将用户感知、设备运行情况、设备的维护操作有机关联起来,避免了有投诉才处理的事后补救式维护流程,做到提前发现提前处理,进一步提升的客户感知。
本申请实施例通过建立一种风险状态的确定方法,基于虚拟平台系统运行数据等多因素预判虚拟个人电脑是否存在风险;该方法基于通过收集的虚拟电脑运行信息及虚拟平台本身的系统数据,建立风险分析方法,预判云电脑健康状态;依据各信息及数据的变化趋势分析虚拟个人电脑的安全风险。本申请所提供的方法归属用户虚拟个人电脑产品的风险预判,及时遏制风险操作、电脑中毒产生的危害,减少信息泄露及数据丢失的风险,降低风险带来的损失。同时,因为加入了虚拟平台的系统数据,填补了关联宿主机因素分析的空白,提高了预判方法的准确率,也使得判断的结果对虚拟终端的维护支撑更全面,对维护工程师的工作指导更精准,提高支撑的效率,节约虚拟终端运营维护的成本,也可以提高客户虚拟个人电脑的安全性,提升客户使用虚拟终端的感知和安全感,实现已有用户的存留和高价值用户新业务的推广。
图4是根据本申请实施例的一种风险状态的确定装置的结构图,如图4所示,该装置包括:
获取模块402,用于获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,行为数据为目标对象对虚拟终端进行操作时得到的数据;
第一确定模块404,用于依据行为数据,确定虚拟终端所属的风险类别;
第二确定模块406,用于依据运行数据的变化趋势,确定虚拟终端的风险状态;
第三确定模块408,用于依据风险类别和风险状态确定虚拟终端的风险信息。
在上述风险状态的确定装置中的第一确定模块中,依据行为数据,确定虚拟终端所属的风险类别,具体包括如下过程:判断行为数据是否满足预设风险信息,其中,行为数据包括以下至少之一:目标对象的登录行为、目标对象使用的软件、目标对象的浏览内容和目标对象打开的游戏;在行为数据满足预设风险信息的情况下,确定与行为数据对应的特征标签;依据特征标签,确定虚拟终端的风险类别。
在上述确定与行为数据对应的特征标签之前,该第一确定模块还包括如下过程:按照预设时间间隔采集目标对象的历史行为数据,其中,历史行为数据包括多个正常历史行为数据和多个异常历史行为数据;依据历史行为数据训练决策树,得到目标决策树,其中,目标决策树用于判断行为数据是否存在风险;依据目标决策树,确定虚拟终端的风险值,其中,风险值用于量化表示虚拟终端处于风险状态的程度,风险值与风险状态呈正相关。
在上述风险状态的确定装置中的第二确定模块中,依据运行数据的变化趋势,确定虚拟终端的风险状态,具体包括如下过程:获取运行数据中的待监测数据的变化趋势和使用时长,其中,待监测数据包括以下至少之一:虚拟终端的CPU使用率、内存使用率、磁盘空间使用率、磁盘I/O使用率、网络使用率;依据变化趋势,确定待监测数据超出使用阈值时对应的时间点;依据使用时长,确定虚拟终端的健康度,其中,健康度用于量化表示虚拟终端的风险状态,健康度与风险状态呈负相关。
在上述第二确定模块中,依据使用时长,确定虚拟终端的健康度,具体包括如下过程:在使用时长大于第一阈值,且CPU使用率大于预设百分比时,将第一分值添加至目标集合中;在使用时长大于第二阈值,且内存使用率大于预设百分比时,将第二分值添加至目标集合中,其中,第二阈值大于第一阈值,第二分值大于第一分值;在磁盘空间使用率大于预设百分比时,将第二分值添加至目标集合中;在使用时长大于第二阈值,且磁盘I/O使用率大于预设百分比时,将第一分值添加至目标集合中;在使用时长大于第二阈值,且网络使用率大于预设百分比时,将第三分值添加至目标集合中,其中,第三分值小于第二分值;计算目标集合中的总分值,依据初始分值和总分值,确定虚拟终端的健康度。
在上述风险状态的确定装置中,该装置还包括监控模块,该监控模块用于监控文件目录,在监测到文件目录被应用程序操作时,确定应用程序的标签类型为第一类标签;在监测到超过预设数量的文件目录被应用程序操作时,确定应用程序的标签类型为第二类标签;在监测到注册表被应用程序更改时,确定应用程序的标签类型为第三类标签;在对与目标端口集合中的至少一个端口的连接次数超过第三阈值时,确定发起连接请求的应用程序的标签类型为第四类标签;依据应用程序所属的标签类型,确定应用程序的类型。
在上述监控模块中,确定应用程序的类型,具体包括如下过程:获取具有标签的应用程序,得到目标应用程序,将目标应用程序按照调用时间排序;监控目标应用程序的接口调用信息,依据接口调用信息的数量,构建调用矩阵;依据调用矩阵的特征向量对目标应用程序进行聚类,得到目标序列;依据目标序列,确定目标应用程序为目标类型的概率,并将概率大于第四阈值的应用程序确定为目标类型的应用程序。
需要说明的是,图4所示的风险状态的确定装置用于执行图2所示的风险状态的确定方法,因此上述风险状态的确定方法中的相关解释说明也适用于该风险状态的确定装置,此处不再赘述。
本申请实施例还提供了一种非易失性存储介质,该非易失性存储介质包括存储的程序,其中,在程序运行时控制该非易失性存储介质所在设备执行以下风险状态的确定方法:获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,行为数据为目标对象对虚拟终端进行操作时得到的数据;依据行为数据,确定虚拟终端所属的风险类别;依据运行数据的变化趋势,确定虚拟终端的风险状态;依据风险类别和风险状态确定虚拟终端的风险信息。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。

Claims (10)

1.一种风险状态的确定方法,其特征在于,包括:
获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,所述行为数据为所述目标对象对所述虚拟终端进行操作时得到的数据;
依据所述行为数据,确定所述虚拟终端所属的风险类别;
依据所述运行数据的变化趋势,确定所述虚拟终端的风险状态;
依据所述风险类别和所述风险状态确定所述虚拟终端的风险信息。
2.根据权利要求1所述的方法,其特征在于,依据所述行为数据,确定所述虚拟终端所属的风险类别,包括:
判断所述行为数据是否满足预设风险信息,其中,所述行为数据包括以下至少之一:所述目标对象的登录行为、所述目标对象使用的软件、所述目标对象的浏览内容和所述目标对象打开的游戏;
在所述行为数据满足所述预设风险信息的情况下,确定与所述行为数据对应的特征标签;
依据所述特征标签,确定所述虚拟终端的风险类别。
3.根据权利要求2所述的方法,其特征在于,确定与所述行为数据对应的特征标签之前,所述方法还包括:
按照预设时间间隔采集所述目标对象的历史行为数据,其中,所述历史行为数据包括多个正常历史行为数据和多个异常历史行为数据;
依据所述历史行为数据训练决策树,得到目标决策树,其中,所述目标决策树用于判断所述行为数据是否存在风险;
依据所述目标决策树,确定所述虚拟终端的风险值,其中,所述风险值用于量化表示所述虚拟终端处于所述风险状态的程度,所述风险值与所述风险状态呈正相关。
4.根据权利要求1所述的方法,其特征在于,依据所述运行数据的变化趋势,确定所述虚拟终端的风险状态,包括:
获取所述运行数据中的待监测数据的变化趋势和使用时长,其中,所述待监测数据包括以下至少之一:所述虚拟终端的CPU使用率、内存使用率、磁盘空间使用率、磁盘I/O使用率、网络使用率;
依据所述变化趋势,确定所述待监测数据超出使用阈值时对应的时间点;
依据所述使用时长,确定所述虚拟终端的健康度,其中,所述健康度用于量化表示所述虚拟终端的风险状态,所述健康度与所述风险状态呈负相关。
5.根据权利要求4所述的方法,其特征在于,依据所述使用时长,确定所述虚拟终端的健康度,包括:
在所述使用时长大于第一阈值,且所述CPU使用率大于预设百分比时,将第一分值添加至目标集合中;
在所述使用时长大于第二阈值,且所述内存使用率大于预设百分比时,将第二分值添加至所述目标集合中,其中,所述第二阈值大于所述第一阈值,所述第二分值大于所述第一分值;
在所述磁盘空间使用率大于所述预设百分比时,将所述第二分值添加至所述目标集合中;
在所述使用时长大于所述第二阈值,且所述磁盘I/O使用率大于所述预设百分比时,将所述第一分值添加至所述目标集合中;
在所述使用时长大于所述第二阈值,且所述网络使用率大于所述预设百分比时,将第三分值添加至所述目标集合中,其中,所述第三分值小于所述第二分值;
计算所述目标集合中的总分值,依据初始分值和所述总分值,确定所述虚拟终端的健康度。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
监控文件目录,在监测到所述文件目录被应用程序操作时,确定所述应用程序的标签类型为第一类标签;
在监测到超过预设数量的文件目录被所述应用程序操作时,确定所述应用程序的标签类型为第二类标签;
在监测到注册表被所述应用程序更改时,确定所述应用程序的标签类型为第三类标签;
在对与目标端口集合中的至少一个端口的连接次数超过第三阈值时,确定发起连接请求的应用程序的标签类型为第四类标签;
依据所述应用程序所属的标签类型,确定所述应用程序的类型。
7.根据权利要求6所述的方法,其特征在于,确定所述应用程序的类型,包括:
获取具有标签的应用程序,得到目标应用程序,将所述目标应用程序按照调用时间排序;
监控所述目标应用程序的接口调用信息,依据所述接口调用信息的数量,构建调用矩阵;
依据所述调用矩阵的特征向量对所述目标应用程序进行聚类,得到目标序列;
依据所述目标序列,确定所述目标应用程序为目标类型的概率,并将所述概率大于第四阈值的应用程序确定为目标类型的应用程序。
8.一种风险状态的确定装置,其特征在于,包括:
获取模块,用于获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,所述行为数据为所述目标对象对所述虚拟终端进行操作时得到的数据;
第一确定模块,用于依据所述行为数据,确定所述虚拟终端所属的风险类别;
第二确定模块,用于依据所述运行数据的变化趋势,确定所述虚拟终端的风险状态;
第三确定模块,用于依据所述风险类别和所述风险状态确定所述虚拟终端的风险信息。
9.一种电子设备,其特征在于,包括:
存储器,用于存储程序指令;
处理器,与所述存储器连接,用于执行实现以下功能的程序指令:获取虚拟终端的运行数据,以及获取目标对象的行为数据,其中,所述行为数据为所述目标对象对所述虚拟终端进行操作时得到的数据;依据所述行为数据,确定所述虚拟终端所属的风险类别;依据所述运行数据的变化趋势,确定所述虚拟终端的风险状态;依据所述风险类别和所述风险状态确定所述虚拟终端的风险信息。
10.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的程序,其中,在所述程序运行时控制所述非易失性存储介质所在设备执行权利要求1至7中任意一项所述风险状态的确定方法。
CN202210911761.7A 2022-07-28 2022-07-28 风险状态的确定方法、装置及电子设备 Pending CN115270137A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210911761.7A CN115270137A (zh) 2022-07-28 2022-07-28 风险状态的确定方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210911761.7A CN115270137A (zh) 2022-07-28 2022-07-28 风险状态的确定方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN115270137A true CN115270137A (zh) 2022-11-01

Family

ID=83746657

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210911761.7A Pending CN115270137A (zh) 2022-07-28 2022-07-28 风险状态的确定方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN115270137A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116381542A (zh) * 2023-06-05 2023-07-04 深圳和润达科技有限公司 基于人工智能的电源设备的健康诊断方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116381542A (zh) * 2023-06-05 2023-07-04 深圳和润达科技有限公司 基于人工智能的电源设备的健康诊断方法及装置
CN116381542B (zh) * 2023-06-05 2023-07-25 深圳和润达科技有限公司 基于人工智能的电源设备的健康诊断方法及装置

Similar Documents

Publication Publication Date Title
US10516698B2 (en) Honeypot computing services that include simulated computing resources
US11218510B2 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US8806644B1 (en) Using expectation measures to identify relevant application analysis results
US10320841B1 (en) Fraud score heuristic for identifying fradulent requests or sets of requests
US11496495B2 (en) System and a method for detecting anomalous patterns in a network
CN110958220A (zh) 一种基于异构图嵌入的网络空间安全威胁检测方法及系统
US20180309772A1 (en) Method and device for automatically verifying security event
CN104836781A (zh) 区分访问用户身份的方法及装置
CN110912884A (zh) 一种检测方法、设备及计算机存储介质
ES2946062T3 (es) Sistemas y métodos para la detección de amenazas de comportamiento
CN109426700B (zh) 数据处理方法、装置、存储介质和电子装置
WO2021216163A2 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
CN111262854A (zh) 互联网反作弊行为方法、装置、设备和可读存储介质
CN111049828B (zh) 网络攻击检测及响应方法及系统
CN117609974B (zh) 一种用于技术交易平台的服务管理系统及方法
CN115270137A (zh) 风险状态的确定方法、装置及电子设备
CN109995751B (zh) 上网设备标记方法、装置及存储介质、计算机设备
US11290486B1 (en) Allocating defective computing resources for honeypot services
US20200184367A1 (en) Automating cluster interpretation in security environments
CN115618283B (zh) 一种跨站点脚本攻击检测方法、装置、设备及存储介质
CN107623677B (zh) 数据安全性的确定方法和装置
CN115952492A (zh) 一种电力工控系统入侵检测方法、装置及存储介质
CN103294949A (zh) 一种检测木马程序的方法及装置
CN113055368A (zh) 一种Web扫描识别方法、装置及计算机存储介质
RU2778630C1 (ru) Системы и способы детектирования поведенческих угроз

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination