CN115484048A - 一种基于云环境的入侵行为检测方法及装置 - Google Patents
一种基于云环境的入侵行为检测方法及装置 Download PDFInfo
- Publication number
- CN115484048A CN115484048A CN202210908593.6A CN202210908593A CN115484048A CN 115484048 A CN115484048 A CN 115484048A CN 202210908593 A CN202210908593 A CN 202210908593A CN 115484048 A CN115484048 A CN 115484048A
- Authority
- CN
- China
- Prior art keywords
- process data
- event
- log file
- software
- identifier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- Molecular Biology (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本申请公开了一种基于云环境的入侵行为检测方法及装置。该方法包括:获取云环境内部署的软件在运行过程中产生的日志文件,日志文件包括至少一个目标进程数据;从目标进程数据中提取软件对应的事件行为以及事件总数;基于事件行为以及事件总数输入预先训练的检测模型,以使检测模型基于事件行为以及事件总数确定目标进程数据对应的检测结果;在检测结果用于指示目标进程数据存在入侵行为的情况下,执行相应的安全防护操作。本申请通过分析目标进程数据得到各个进程的事件行为,利用训练好的检测模型根据是事件行为以及事件行为总数进行分析,能够更快的精准定位存在入侵行为的异常进程,并及时执行安全防护操作,有效保证云环境的安全性。
Description
技术领域
本申请涉及网络通信技术领域,尤其涉及一种基于云环境的入侵行为检测方法及装置。
背景技术
随着云计算技术的发展,出现了许多云服务平台,各大云服务平台的用户数量也成爆炸性增长。但针对云计算环境的入侵事件也越来越多,例如云平台服务遭攻击和用户数据泄露等。相比于传统的计算机系统,云服务平台受到入侵攻击的影响更大,范围更广,加之云环境日志数据量大,结构复杂而且多维,传统入侵检测算法存在高漏报率、高误报率等问题。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本申请提供了一种基于云环境的入侵行为检测方法及装置。
根据本申请实施例的一个方面,提供了一种基于云环境的入侵行为检测方法,包括:
获取云环境内部署的软件在运行过程中产生的日志文件,其中,所述日志文件包括至少一个目标进程数据;
从所述目标进程数据中提取所述软件对应的事件行为以及事件总数;
基于所述事件行为以及所述事件总数输入预先训练的检测模型,以使所述检测模型基于所述事件行为以及所述事件总数确定所述目标进程数据对应的检测结果;
在所述检测结果用于指示所述目标进程数据存在入侵行为的情况下,执行相应的安全防护操作。
进一步的,所述方法还包括:
获取训练样本集合,其中,所述训练样本集合包括正常进程数据样本以及异常进程数据样本,所述正常进程数据样本以及异常进程数据样本均包括至少一个事件行为;
获取所述训练样本集合中各个进程数据样本对应的标签信息,其中,所述标签信息用于标注所述事件行为对应的进程类型;
利用所述训练样本集合以及所述标签信息训练预设神经网络模型,以使所述神经网络模型提取所述训练样本集合中各个进程数据样本对应的样本特征,并基于所述样本特征进行预测得到预测进程类型;
基于所述预测进程类型与所述进程类型之间的训练损失,对所述预设神经网络模型进行校正,得到所述检测模型。
进一步的,所述获取训练样本集合,包括:
获取所述云环境所部署的每个软件对应的历史日志文件,从所述日志文件中获取第一进程数据以及第二进程数据,其中,所述第一进程数据为正常类型的进程数据,所述第二进程数据为异常类型的进程数据;
将所述第一进程数据确定为所述正常进程数据样本,以及将所述第二进程数据确定为所述异常进程数据样本,得到所述训练样本集合。
进一步的,所述获取所述云环境所部署的每个软件对应的历史日志文件,从所述日志文件中获取第一进程数据以及第二进程数据,包括:
获取预设沙箱对每个所述软件对应的软件评分;
将所述软件评分大于或等于预设评分的软件所对应的历史日志文件确定为第一日志文件,以及将所述软件评分小于所述预设评分的软件所述对应的历史日志文件确定为第二日志文件;
提取所述第一日志文件所对应的第一子进程数据;
按照指定事件标识对所述第二日志文件所对应的进程数据进行划分,将携带所述指定事件标识的进程数据确定为第二子进程数据,以及将不携带所述指定事件标识的进程数据确定为第三子进程数据;
基于所述第一子进程数据和所述第二子进程数据生成第一进程数据,以及基于第三子进程数据生成所述第二进程数据。
进一步的,在利用所述训练样本集合以及所述标签信息训练预设神经网络模型之前,所述方法还包括:
确定所述第一进程数据对应的第一标识,其中,所述第一标识包括多个用于表示第一进程数据中各个事件行为发生情况的数值;
确定所述第二进程数据对应的第二标识,其中,所述第二标识包括多个用于表示第二进程数据中各个事件行为发生情况的数值;
从所述标签信息中获取所述第一进程数据对应的第一标签值,以及获取所述第二进程数据对应的第二标签值,其中,所述第一标签值和所述第二标签值分别用于表示第一进程数据和第二进程数据的进程类型;
基于所述第一标识与所述第一标签值构建第一数组,以及基于所述第二标识与所述第二标签值构建第二数组,并利用所述第一数组以及所述第二数组生成所述训练样本集合对应的目标数值集合。
进一步的,所述预设神经网络模型包括:卷积网络以及预测网络;
所述利用所述训练样本集以及所述标签信息训练预设神经网络模型,以使所述神经网络模型提取所述训练样本集中各个进程数据样本对应的样本特征,并基于所述样本特征进行预测得到预测进程类型,包括:
将所述目标数值集合输入所述预设神经网络模型,通过所述预设神经网络模型的卷积网络从所述目标数值集合所携带数组的数组特征,并将所述数组特征传递至所述预设神经网络模型的预测网络;
通过所述预设神经网络模型的预测网络基于所述数组特征学习所述第一标识与第一标签值之间的第一对应关系,以及第二标识与第二标签值之间的第二对应关系,并对所述数组特征进行预测,得到所述预测进程类型。
进一步的,所述对所述数组特征进行预测,得到所述预测进程类型,包括:
从所述数组特征中提取至少两个关键数值特征,其中,所述关键数值特征用于表示关键事件行为的发生情况;
利用粒子群算法对所述关键数值特征以及所述数组特征对应的事件总数进行迭代计算,得到最优进程类型,并将所述最优进程类型确定为所述预测进程类型。
根据本申请实施例的再一个方面,还提供了一种基于云环境的入侵行为检测装置,包括:
获取模块,用于获取云环境内部署的软件在运行过程中产生的日志文件,其中,所述日志文件包括至少一个目标进程数据;
提取模块,用于从所述目标进程数据中提取所述软件对应的事件行为以及事件总数;
处理模块,用于基于所述事件行为以及所述事件总数输入预先训练的检测模型,以使所述检测模型基于所述事件行为以及所述事件总数确定所述目标进程数据对应的检测结果;
执行模块,用于在所述检测结果用于指示所述目标进程数据存在入侵行为的情况下,执行相应的安全防护操作。
根据本申请实施例的另一方面,还提供了一种存储介质,该存储介质包括存储的程序,程序运行时执行上述的步骤。
根据本申请实施例的另一方面,还提供了一种电子装置,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:存储器,用于存放计算机程序;处理器,用于通过运行存储器上所存放的程序来执行上述方法中的步骤。
本申请实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述方法中的步骤。
本申请实施例提供的上述技术方案与现有技术相比具有如下优点:本申请实施例提供的方法,通过分析目标进程数据得到各个进程的事件行为,利用训练好的检测模型根据是事件行为以及事件行为总数进行分析,能够更快的精准定位存在入侵行为的异常进程,降低了误报/漏报的概率。并在存在入侵行为的情况下及时执行安全防护操作,有效保证云环境的安全性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例提供的一种基于云环境的入侵行为检测方法的流程图;
图2为本申请另一实施例提供的一种基于云环境的入侵行为检测方法的流程图;
图3为本申请实施例提供的第一数组的示意图;
图4为本申请实施例提供的第二数组的示意图;
图5为本申请实施例提供的训练效果图;
图6为本申请实施例提供的一种基于云环境的入侵行为检测装置的框图;
图7为本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请的一部分实施例,而不是全部的实施例,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
需要说明的是,在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个类似的实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本申请实施例提供了一种基于云环境的入侵行为检测方法及装置。本发明实施例所提供的方法可以应用于任意需要的电子设备,例如,可以为服务器、终端等电子设备,在此不做具体限定,为描述方便,后续简称为电子设备。
根据本申请实施例的一方面,提供了一种基于云环境的入侵行为检测方法的方法实施例。图1为本申请实施例提供的一种基于云环境的入侵行为检测方法的流程图,如图1所示,该方法包括:
步骤S11,获取云环境内部署的软件在运行过程中产生的日志文件,其中,日志文件包括至少一个目标进程数据。
在本申请实施例中,可以调用Cuckoo沙箱获取云环境内当前部署的软件在运行过程中产生的日志文件。其中,每个软件对应的日志文件中包括该软件对应的多个进程数据。日志文件通过json描述,每一个json字符串用来描述该软件是正常程序还是异常程序。其中,每个进程数据由pid、name、events三个字段组成,而其中的events字段中又包含time、event_id、ignored、string_id、action、target等字段。
需要说明的是,Cuckoo沙箱是一款用Python编写的开源的自动化恶意软件分析系统,用来将不可信软件放在隔离环境中动态运行,以提取其运行过程中所产生的事件行为等进行记录,之后再根据系统分析处理的结果来对这些软件进行评分。基于此可根据这些日志记录和评分结果对不可信软件进行深入地分析。所分析的数据就是不可信软件在Cuckoo沙箱内动态运行之后所生成的Windows日志文件。
步骤S12,从目标进程数据中提取软件对应的事件行为以及事件总数。
在本申请实施例中,在得到各个软件的目标进程数据后,从目标进程数据中该软件对应的事件行为以及事件总数。需要说明的是,目标进程数据对应的事件行为可以是进程行为、网络行为、文件行为等等。同时统计出目标进程数据中所包括事件行为的事件总数。
步骤S13,基于事件行为以及事件总数输入预先训练的检测模型,以使检测模型基于事件行为以及事件总数确定目标进程数据对应的检测结果。
在本申请实施例中,在将事件行为输入预先训练的检测模型之前,需要将事件行为进行转换,将事件行为转换为相应的目标标识。具体的,首先获取初始化标识,初始化标识中每个数值为“0”,然后查询目标进程数据所发生的事件行为,并在初始化标识中找到所发生事件行为对应的数值,并将该数值更新为“1”,得到目标标识。例如:初始化标识为“000000”,初始化标识包括6个数值,即对应6个预设事件行为,分别为事件行为A、事件行为B、事件行为C、事件行为D、事件行为E以及事件行为F。此时目标进程数据中发送的事件行为事件行为C和事件行为D。然后将初始化标识中事件行为C和事件行为D对应的数值更新为1,最终得到的目标标识为“001100”。由此确定发生事件行为的总数为2。
在本申请实施例中,将目标标识“001100”和事件行为总数2输入检测模型。通过检测模型提取目标标识的关键数值特征以及事件行为总数,并利用粒子群算法进行计算,得到最优计算结果。根据最优计算结果确定目标进程数据对应的目标检测类型,例如:最优计算结果为1时,目标检测类型为异常类型。最优计算结果为0时,目标检测结果为正常类型。最终将目标检测类型作为检测结果。
步骤S14,在检测结果用于指示目标进程数据存在入侵行为的情况下,执行相应的安全防护操作。
在本申请实施例中,在检测结果用于指示目标进程数据存在入侵行为的情况下,则表示目标进程数据当前的目标检测类型为异常类型。此时确定导致目标进程数据异常的事件行为,并查询该事件行为对应的安全防护操作,并将安全防护操作发送至预设终端,在预设终端反馈确认执行指令的情况下,执行该安全防护操作。
本申请实施例提供的方法,通过分析目标进程数据得到各个进程的事件行为,利用训练好的检测模型根据是事件行为以及事件行为总数进行分析,能够更快的精准定位存在入侵行为的异常进程,降低了误报/漏报的概率。并在存在入侵行为的情况下及时执行安全防护操作,有效保证云环境的安全性。
图2为本申请实施例提供的一种基于云环境的入侵行为检测方法的流程图,如图2所示,方法还包括:
步骤S21,获取训练样本集合,其中,训练样本集合包括正常进程数据样本以及异常进程数据样本,正常进程数据样本以及异常进程数据样本均包括至少一个事件行为。
在本申请实施例中,获取训练样本集合,包括以下步骤A1-A2:
步骤A1,获取云环境所部署的每个软件对应的历史日志文件,从日志文件中获取第一进程数据以及第二进程数据,其中,第一进程数据为正常类型的进程数据,第二进程数据为异常类型的进程数据。
步骤A2,将第一进程数据确定为正常进程数据样本,以及将第二进程数据确定为异常进程数据样本,得到训练样本集合。
在本申请实施例中,步骤A1,获取云环境所部署的每个软件对应的历史日志文件,从日志文件中获取第一进程数据以及第二进程数据,包括以下步骤A101-A105:
步骤A101,获取预设沙箱对每个软件对应的软件评分。
步骤A102,将软件评分大于或等于预设评分的软件所对应的历史日志文件确定为第一日志文件,以及将软件评分小于预设评分的软件对应的历史日志文件确定为第二日志文件。
步骤A103,提取第一日志文件所对应的第一子进程数据。
步骤A104,按照指定事件标识对第二日志文件所对应的进程数据进行划分,将携带指定事件标识的进程数据确定为第二子进程数据,以及将不携带指定事件标识的进程数据确定为第三子进程数据。
步骤A105,基于第一子进程数据和第二子进程数据生成第一进程数据,以及基于第三子进程数据生成第二进程数据。
在本申请实施例中,根据Cukkoo沙箱对每个软件的评分大小,可以将不同软件所生成的日志文件分为normal文件(第一日志文件)以及abnormal文件(第二日志文件)。其中normal文件中记录的软件所产生的进程均为正常进程,而abnormal文件中则既包含正常进程也包含异常进程。
因此,需要对abnormal文件进行划分,划分方式可以是:如果abnormal文件中第一个进程里的第二个事件的event_id=4688,则该event事件中new_pid所指的进程为异常进程,该异常进程的子进程也全都是异常进程。通过遍历各个abnormal文件,可以区分开所有的正常进程数据(第一进程数据)和异常进程数据(第二进程数据)。
步骤S22,获取训练样本集合中各个进程数据样本对应的标签信息,其中,标签信息用于标注事件行为对应的进程类型。
在本申请实施例中,标签信息包括第一标签值和第二标签值,第一标签值用于表示正常进程数据的事件行为所对应的进程类型,第一标签值为0。第二标签值用于表示异常进程数据的事件行为所对应的进程类型为1。
在本申请实施例中,在利用训练样本集合以及标签信息训练预设神经网络模型之前,方法还包括以下步骤B1-B4:
步骤B1,确定第一进程数据对应的第一标识,其中,第一标识包括多个用于表示第一进程数据中各个事件行为发生情况的数值。
步骤B2,确定第二进程数据对应的第二标识,其中,第二标识包括多个用于表示第二进程数据中各个事件行为发生情况的数值。
步骤B3,从标签信息中获取第一进程数据对应的第一标签值,以及获取第二进程数据对应的第二标签值,其中,第一标签值和第二标签值分别用于表示第一进程数据和第二进程数据的进程类型。
步骤B4,基于第一标识与第一标签值构建第一数组,以及基于第二标识与第二标签值构建第二数组,并利用第一数组以及第二数组生成训练样本集合对应的目标数值集合。
需要说明的是,在进行特征提取时,过多地提取数据特征,一方面会大大增加训练所需的时间;另一方面冗余的特征还有可能干扰分类精度。因此,可以在保证分类精度的前提下,对特征进行选择和降维,去除冗余特征。另外,我们还需要对选取的特征进行数值化处理,例如对于特征是字符串类型的数据,我们可以先将其转化为对应的离散型数值格式,然后再将其转化为N维向量,即支持向量机能够识别的格式。与此同时,特征选择后的数值有大有小,为了避免发生“特征值淹没”的情况,还必须对数据中的所有特征值进行特征缩放,已使它们处于同一个数量级。
对日志文件分析发现,只有string_id那一行数据记录了进程的事件行为和执行目标信息,其他行记录都是可以忽略的信息,所以可以将进程的事件行为种类当成特征进行提取。为了将非数值型数据处理转换成SVM机器学习算法可以识别的数值,我们可以将这16种事件行为当作一个16维的特征,如果进程中包含某一种事件行为,就在对应位置上记为1,未出现的事件种类则标为0。另外,因为大部分异常进程的事件数量要明显多于正常进程,事件行为数量也可以作为一个特征,所以将每一个进程的事件数量也同样进行统计并当作第17维特征。
作为一个示例,对正常进程进行特征提取之后得到的第一数组如图3所示,图中前16位数据记录了正常进程中某一种事件行为发生与否的情况,第17位数据则为事件行为数量,而第18位数据代表标签值,0表示当前进程是正常进程。
对异常进程进行特征提取之后得到的第二数组如图4所示,图中前16位数据记录了异常进程中某一种事件行为发生与否的情况,第17位数据则为事件行为数量,而第18位数据代表标签值,1表示当前进程是异常进程。
步骤S23,利用训练样本集合以及标签信息训练预设神经网络模型,以使神经网络模型提取训练样本集合中各个进程数据样本对应的样本特征,并基于样本特征进行预测得到预测进程类型。
在本申请实施例中,预设神经网络模型包括:卷积网络以及预测网络;
利用训练样本集以及标签信息训练预设神经网络模型,以使神经网络模型提取训练样本集中各个进程数据样本对应的样本特征,并基于样本特征进行预测得到预测进程类型,包括以下步骤C1-C2:
步骤C1,将目标数值集合输入预设神经网络模型,通过预设神经网络模型的卷积网络从目标数值集合所携带数组的数组特征,并将数组特征传递至预设神经网络模型的预测网络。
步骤C2,通过预设神经网络模型的预测网络基于数组特征学习第一标识与第一标签值之间的第一对应关系,以及第二标识与第二标签值之间的第二对应关系,并对数组特征进行预测,得到预测进程类型。
在本申请实施例中,对数组特征进行预测,得到预测进程类型,包括:从数组特征中提取至少两个关键数值特征,其中,关键数值特征用于表示关键事件行为的发生情况;利用粒子群算法对关键数值特征以及数组特征对应的事件总数进行迭代计算,得到最优进程类型,并将最优进程类型确定为预测进程类型。
需要说明的是,通过对比查看第一数组和第二数组的特征,发现异常进程的第8个特征和第10个特征全为1,而正常进程则不全为1,故我们可以先将这两维特征作为关键数值特征进行提取,同时结合事件行为数量,共提取三个特征放入经改进的粒子群算法进行SVM参数搜索的支持向量机模型,进而可以对测试集进行预测,得到其分类识别结果。
步骤S24,基于预测进程类型与进程类型之间的训练损失,对预设神经网络模型进行校正,得到检测模型。
本申请实施例分别采用标准粒子群算法、惯性权重线性递减的粒子群算法和改进粒子群算法用于SVM参数搜索。由实验结果对比可知,本专利所提出的改进粒子群算法搜索到的参数组合的模型分类精度和所需测试时间都要优于其他优化算法,且如表1所示本申请训练的检测模型对正常进程和异常进程的识别精度相比其他算法提高了6.8个百分点,所需检测时间则减少了43%。如图5所示,本申请训练的检测模型的适应度有显著的提高。
| 算法 | 参数c | 参数g | 分类精度 | 所需检测时间s |
| 标准PSO+SVM | 0.871 | 0.595 | 96.0% | 312 |
| PSO-W+SVM | 0.976 | 0.973 | 96.9% | 190 |
| 改进PSO+SVM | 1.533 | 1.259 | 97.8% | 146 |
| Grid+SVM | 1.617 | 1.337 | 98.0% | 139 |
表1
图6为本申请实施例提供的一种基于云环境的入侵行为检测装置的框图,该装置可以通过软件、硬件或者两者的结合实现成为电子设备的部分或者全部。如图6所示,该装置包括:
获取模块61,用于获取云环境内部署的软件在运行过程中产生的日志文件,其中,日志文件包括至少一个目标进程数据。
提取模块62,用于从目标进程数据中提取软件对应的事件行为以及事件总数。
处理模块63,用于基于事件行为以及事件总数输入预先训练的检测模型,以使检测模型基于事件行为以及事件总数确定目标进程数据对应的检测结果。
执行模块64,用于在检测结果用于指示目标进程数据存在入侵行为的情况下,执行相应的安全防护操作。
在本申请实施例中,装置还包括:训练模块,包括:
第一获取子模块,用于获取训练样本集合,其中,训练样本集合包括正常进程数据样本以及异常进程数据样本,正常进程数据样本以及异常进程数据样本均包括至少一个事件行为;
第二获取子模块,用于获取训练样本集合中各个进程数据样本对应的标签信息,其中,标签信息用于标注事件行为对应的进程类型;
训练子模块,用于利用训练样本集合以及标签信息训练预设神经网络模型,以使神经网络模型提取训练样本集合中各个进程数据样本对应的样本特征,并基于样本特征进行预测得到预测进程类型;
调节子模块,用于基于预测进程类型与进程类型之间的训练损失,对预设神经网络模型进行校正,得到检测模型。
在本申请实施例中,第一获取子模块,用于获取云环境所部署的每个软件对应的历史日志文件,从日志文件中获取第一进程数据以及第二进程数据,其中,第一进程数据为正常类型的进程数据,第二进程数据为异常类型的进程数据;将第一进程数据确定为正常进程数据样本,以及将第二进程数据确定为异常进程数据样本,得到训练样本集合。
在本申请实施例中,第一获取子模块,用于获取预设沙箱对每个软件对应的软件评分;将软件评分大于或等于预设评分的软件所对应的历史日志文件确定为第一日志文件,以及将软件评分小于预设评分的软件对应的历史日志文件确定为第二日志文件;提取第一日志文件所对应的第一子进程数据;按照指定事件标识对第二日志文件所对应的进程数据进行划分,将携带指定事件标识的进程数据确定为第二子进程数据,以及将不携带指定事件标识的进程数据确定为第三子进程数据;基于第一子进程数据和第二子进程数据生成第一进程数据,以及基于第三子进程数据生成第二进程数据。
在本申请实施例中,装置还包括:转换模块,用于确定第一进程数据对应的第一标识,其中,第一标识包括多个用于表示第一进程数据中各个事件行为发生情况的数值;确定第二进程数据对应的第二标识,其中,第二标识包括多个用于表示第二进程数据中各个事件行为发生情况的数值;从标签信息中获取第一进程数据对应的第一标签值,以及获取第二进程数据对应的第二标签值,其中,第一标签值和第二标签值分别用于表示第一进程数据和第二进程数据的进程类型;基于第一标识与第一标签值构建第一数组,以及基于第二标识与第二标签值构建第二数组,并利用第一数组以及第二数组生成训练样本集合对应的目标数值集合。
在本申请实施例中,预设神经网络模型包括:卷积网络以及预测网络;
训练子模块,用于通过预设神经网络模型的预测网络基于数组特征学习第一标识与第一标签值之间的第一对应关系,以及第二标识与第二标签值之间的第二对应关系,并对数组特征进行预测,得到预测进程类型。
在本申请实施例中,训练子模块,用于利从数组特征中提取至少两个关键数值特征,其中,关键数值特征用于表示关键事件行为的发生情况;利用粒子群算法对关键数值特征以及数组特征对应的事件总数进行迭代计算,得到最优进程类型,并将最优进程类型确定为预测进程类型。
本申请实施例还提供一种电子设备,如图7所示,电子设备可以包括:处理器1501、通信接口1502、存储器1503和通信总线1504,其中,处理器1501,通信接口1502,存储器1503通过通信总线1504完成相互间的通信。
存储器1503,用于存放计算机程序;
处理器1501,用于执行存储器1503上所存放的计算机程序时,实现上述实施例的步骤。
上述终端提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,简称PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,简称EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述终端与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,简称RAM),也可以包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(Digital Signal Processing,简称DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本申请提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的基于云环境的入侵行为检测方法。
在本申请提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一所述的基于云环境的入侵行为检测方法。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘SolidState Disk)等。
以上所述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围内。
以上所述仅是本申请的具体实施方式,使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种基于云环境的入侵行为检测方法,其特征在于,包括:
获取云环境内部署的软件在运行过程中产生的日志文件,其中,所述日志文件包括至少一个目标进程数据;
从所述目标进程数据中提取所述软件对应的事件行为以及事件总数;
基于所述事件行为以及所述事件总数输入预先训练的检测模型,以使所述检测模型基于所述事件行为以及所述事件总数确定所述目标进程数据对应的检测结果;
在所述检测结果用于指示所述目标进程数据存在入侵行为的情况下,执行相应的安全防护操作。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取训练样本集合,其中,所述训练样本集合包括正常进程数据样本以及异常进程数据样本,所述正常进程数据样本以及异常进程数据样本均包括至少一个事件行为;
获取所述训练样本集合中各个进程数据样本对应的标签信息,其中,所述标签信息用于标注所述事件行为对应的进程类型;
利用所述训练样本集合以及所述标签信息训练预设神经网络模型,以使所述神经网络模型提取所述训练样本集合中各个进程数据样本对应的样本特征,并基于所述样本特征进行预测得到预测进程类型;
基于所述预测进程类型与所述进程类型之间的训练损失,对所述预设神经网络模型进行校正,得到所述检测模型。
3.根据权利要求2所述的方法,其特征在于,所述获取训练样本集合,包括:
获取所述云环境所部署的每个软件对应的历史日志文件,从所述日志文件中获取第一进程数据以及第二进程数据,其中,所述第一进程数据为正常类型的进程数据,所述第二进程数据为异常类型的进程数据;
将所述第一进程数据确定为所述正常进程数据样本,以及将所述第二进程数据确定为所述异常进程数据样本,得到所述训练样本集合。
4.根据权利要求3所述的方法,其特征在于,所述获取所述云环境所部署的每个软件对应的历史日志文件,从所述日志文件中获取第一进程数据以及第二进程数据,包括:
获取预设沙箱对每个所述软件对应的软件评分;
将所述软件评分大于或等于预设评分的软件所对应的历史日志文件确定为第一日志文件,以及将所述软件评分小于所述预设评分的软件所述对应的历史日志文件确定为第二日志文件;
提取所述第一日志文件所对应的第一子进程数据;
按照指定事件标识对所述第二日志文件所对应的进程数据进行划分,将携带所述指定事件标识的进程数据确定为第二子进程数据,以及将不携带所述指定事件标识的进程数据确定为第三子进程数据;
基于所述第一子进程数据和所述第二子进程数据生成第一进程数据,以及基于第三子进程数据生成所述第二进程数据。
5.根据权利要求3所述的方法,其特征在于,在利用所述训练样本集合以及所述标签信息训练预设神经网络模型之前,所述方法还包括:
确定所述第一进程数据对应的第一标识,其中,所述第一标识包括多个用于表示第一进程数据中各个事件行为发生情况的数值;
确定所述第二进程数据对应的第二标识,其中,所述第二标识包括多个用于表示第二进程数据中各个事件行为发生情况的数值;
从所述标签信息中获取所述第一进程数据对应的第一标签值,以及获取所述第二进程数据对应的第二标签值,其中,所述第一标签值和所述第二标签值分别用于表示第一进程数据和第二进程数据的进程类型;
基于所述第一标识与所述第一标签值构建第一数组,以及基于所述第二标识与所述第二标签值构建第二数组,并利用所述第一数组以及所述第二数组生成所述训练样本集合对应的目标数值集合。
6.根据权利要求5所述的方法,其特征在于,所述预设神经网络模型包括:卷积网络以及预测网络;
所述利用所述训练样本集以及所述标签信息训练预设神经网络模型,以使所述神经网络模型提取所述训练样本集中各个进程数据样本对应的样本特征,并基于所述样本特征进行预测得到预测进程类型,包括:
将所述目标数值集合输入所述预设神经网络模型,通过所述预设神经网络模型的卷积网络从所述目标数值集合所携带数组的数组特征,并将所述数组特征传递至所述预设神经网络模型的预测网络;
通过所述预设神经网络模型的预测网络基于所述数组特征学习所述第一标识与第一标签值之间的第一对应关系,以及第二标识与第二标签值之间的第二对应关系,并对所述数组特征进行预测,得到所述预测进程类型。
7.根据权利要求6所述的方法,其特征在于,所述对所述数组特征进行预测,得到所述预测进程类型,包括:
从所述数组特征中提取至少两个关键数值特征,其中,所述关键数值特征用于表示关键事件行为的发生情况;
利用粒子群算法对所述关键数值特征以及所述数组特征对应的事件总数进行迭代计算,得到最优进程类型,并将所述最优进程类型确定为所述预测进程类型。
8.一种基于云环境的入侵行为检测装置,其特征在于,包括:
获取模块,用于获取云环境内部署的软件在运行过程中产生的日志文件,其中,所述日志文件包括至少一个目标进程数据;
提取模块,用于从所述目标进程数据中提取所述软件对应的事件行为以及事件总数;
处理模块,用于基于所述事件行为以及所述事件总数输入预先训练的检测模型,以使所述检测模型基于所述事件行为以及所述事件总数确定所述目标进程数据对应的检测结果;
执行模块,用于在所述检测结果用于指示所述目标进程数据存在入侵行为的情况下,执行相应的安全防护操作。
9.一种存储介质,其特征在于,所述存储介质包括存储的程序,其中,所述程序运行时执行上述权利要求1至7中任一项所述的方法步骤。
10.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;其中:
存储器,用于存放计算机程序;
处理器,用于通过运行存储器上所存放的程序来执行权利要求1至7中任一项所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210908593.6A CN115484048A (zh) | 2022-07-29 | 2022-07-29 | 一种基于云环境的入侵行为检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210908593.6A CN115484048A (zh) | 2022-07-29 | 2022-07-29 | 一种基于云环境的入侵行为检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115484048A true CN115484048A (zh) | 2022-12-16 |
Family
ID=84422049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210908593.6A Pending CN115484048A (zh) | 2022-07-29 | 2022-07-29 | 一种基于云环境的入侵行为检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115484048A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116821898A (zh) * | 2023-06-30 | 2023-09-29 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
-
2022
- 2022-07-29 CN CN202210908593.6A patent/CN115484048A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116821898A (zh) * | 2023-06-30 | 2023-09-29 | 北京火山引擎科技有限公司 | 容器环境的入侵检测方法、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110321371B (zh) | 日志数据异常检测方法、装置、终端及介质 | |
| CN112905421A (zh) | 基于注意力机制的lstm网络的容器异常行为检测方法 | |
| CN110175851B (zh) | 一种作弊行为检测方法及装置 | |
| WO2021168617A1 (zh) | 业务风控处理方法、装置、电子设备以及存储介质 | |
| CN112883990A (zh) | 数据分类方法及装置、计算机存储介质、电子设备 | |
| CN113438114A (zh) | 互联网系统的运行状态监控方法、装置、设备及存储介质 | |
| CN115484048A (zh) | 一种基于云环境的入侵行为检测方法及装置 | |
| CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
| CN115514581B (zh) | 一种用于工业互联网数据安全平台的数据分析方法及设备 | |
| CN116841779A (zh) | 异常日志检测方法、装置、电子设备和可读存储介质 | |
| CN113778792B (zh) | 一种it设备的告警归类方法及系统 | |
| CN115189961A (zh) | 一种故障识别方法、装置、设备及存储介质 | |
| CN114925365A (zh) | 一种文件处理方法、装置、电子设备及存储介质 | |
| CN113032774B (zh) | 异常检测模型的训练方法、装置、设备及计算机存储介质 | |
| CN113052604A (zh) | 一种对象检测方法、装置、设备及存储介质 | |
| CN114385472A (zh) | 一种异常数据的检测方法、装置、设备及存储介质 | |
| CN113535458A (zh) | 异常误报的处理方法及装置、存储介质、终端 | |
| Amin et al. | A Performance Analysis of Machine Learning Models for Attack Prediction using Different Feature Selection Techniques | |
| CN113347021B (zh) | 一种模型生成方法、撞库检测方法、装置、电子设备及计算机可读存储介质 | |
| CN114756401B (zh) | 基于日志的异常节点检测方法、装置、设备及介质 | |
| CN112860652B (zh) | 作业状态预测方法、装置和电子设备 | |
| CN113221110B (zh) | 一种基于元学习的远程访问木马智能分析方法 | |
| WO2024116314A1 (en) | Recommending apparatus, recommending method, and non-transitory computer-readable storage medium | |
| CN116192525A (zh) | 一种设备识别方法、装置、电子设备及可读存储介质 | |
| CN114791970A (zh) | 一种用户属性的预测方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |