[发明专利]恶意访问行为识别方法、数据处理方法、装置和设备

权利要求书

1.一种恶意访问行为识别方法，其特征在于，包括：

根据同一用户访问服务器依次产生的N个访问数据中各自包含的进程识别号和进程创建信息，确定N个访问数据各自对应的父子关系，N≥1；

根据所述父子关系生成所述N个访问数据对应的至少一条访问链路；

若所述N个访问数据中包含属于黑名单的访问数据，则根据预先训练好的识别模型对所述访问链路进行分类识别，以确定所述访问链路是否对应于恶意访问行为；其中，所述识别模型是通过正负样本对深度神经网络进行监督学习训练获得的。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据已经产生的各访问数据中包含的安全标识符SID，获取对应于同一安全标识符SID的所述N个访问数据，所述同一安全标识符SID对应于所述同一用户。

3.根据权利要求1所述的方法，其特征在于，对于所述N个访问数据中的任一访问数据，所述任一访问数据中包括与所述任一访问数据对应的第一进程的进程识别号和创建所述第一进程的第二进程的进程识别号；

所述根据所述N个访问数据中各自包含的进程识别号和进程创建信息，确定N个访问数据各自对应的父子关系，包括：

根据如下方式对所述任一访问数据进行父子关系标记：所述第二进程的进程识别号被标记为所述第一进程的父进程识别号；

所述根据所述父子关系生成所述N个访问数据对应的至少一条访问链路，包括：

根据所述N个访问数据各自对应的父子关系标记结果，确定所述N个访问数据对应的至少一个进程序列，其中，每个进程序列中包含的相邻进程具有父子关系；

生成与所述至少一个进程序列分别对应的访问链路。

4.根据权利要求3所述的方法，其特征在于，所述生成与所述至少一个进程序列分别对应的访问链路，包括：

对于所述至少一个进程序列中的任一进程序列，根据如下方式生成所述任一进程序列对应的访问链路：

获取所述任一进程序列中各进程分别调用的命令名称；

根据如下数据结构生成所述任一进程序列对应的访问链路：

[进程i的进程名称，进程i调用的命令名称，进程j的进程名称，进程j调用的命令名称]；

其中，所述进程i是所述进程j的父亲。

5.根据权利要求4所述的方法，其特征在于，所述若所述N个访问数据中包含属于黑名单的访问数据，则根据预先训练好的识别模型对所述访问链路进行分类识别，包括：

若所述任一进程序列对应的访问链路中包含属于所述黑名单中的进程名称或命令名称，则对所述任一进程序列对应的访问链路进行污点标记；

根据所述识别模型分别对具有污点标记的访问链路进行分类识别。

6.根据权利要求4所述的方法，其特征在于，所述根据预先训练好的识别模型对所述访问链路进行分类识别之前，还包括：

对所述任一进程序列对应的访问链路中包含的进程名称和命令名称进行编码处理。

7.根据权利要求1至6中任一项所述的方法，其特征在于，所述方法还包括：

若所述识别模型输出的所述访问链路对应于恶意访问行为的概率大于预设阈值，则确定所述访问链路对应于恶意访问行为。

8.一种恶意访问行为识别装置，其特征在于，包括：

生成模块，用于根据同一用户访问服务器依次产生的N个访问数据中各自包含的进程识别号和进程创建信息，确定N个访问数据各自对应的父子关系，N≥1；根据所述父子关系生成所述N个访问数据对应的至少一条访问链路；

识别模块，用于若所述N个访问数据中包含属于黑名单的访问数据，则根据预先训练好的识别模型对所述访问链路进行分类识别，以确定所述访问链路是否对应于恶意访问行为；其中，所述识别模型是通过正负样本对深度神经网络进行监督学习训练获得的。