[发明专利]一种基于神经网络的恶意云租户识别方法和装置

权利要求书

1.一种基于神经网络的恶意云租户识别方法，其步骤包括：

1)获取多租户的操作信息，并从操作信息中提取关键特征，构建特征向量；

2)将根据正常租户和恶意租户的操作信息构建的特征向量进行量化；

3)使用神经网络对正常租户和恶意租户的量化后的特征向量进行学习，从而识别出潜在的恶意租户；

其中，步骤1)通过虚拟机监控器对多租户一段时间内的使用情况进行监控，并获取相关日志信息，通过对租户及其连接的虚拟机进行监控，并结合日志信息进行分析，获取租户的操作信息；所述操作信息包括租户类别即U_GROUP、虚拟机ID即V_ID、进程ID即P_ID、文件名即F_NAME、文件路径即F_PATH、操作类型即F_OS、操作开始时间即F_OT、结束时间即F_CT；然后构建特征向量φ，φ＝(U_GROUP,V_ID,P_ID,F_NAME,F_PATH,F_OS,F_OT,F_CT)，特征向量φ中的各部分依次对应于φ₁，φ₂，φ₃，…；以提取的特征向量为依据，通过虚拟机监控平台每隔时间t进行一次记录，收集一定数量的信息供机器学习，对于记录中相同的项进行合并，得出最终的训练样本；

其中，步骤2)所述量化包括：对组别、操作类型进行映射，将U_GROUP映射为φ₁＝М(U_GROUP)＝{1,2,3,…}，其中M为映射函数，将F_OS映射为φ₆＝М(F_OS)＝{1,2,3,…}；对文件名、路径进行哈希，将F_NAME,F_PATH采用哈希算法Η(x)映射到一个值，φ₄＝Η(F_NAME),φ₅＝Η(F_PATH)；对时间按照秒级进行量化，F_CT、F_OT转换为用秒进行计数。

2.如权利要求1所述的方法，其特征在于，步骤3)的神经网络学习过程主要包括对输入特征的归一化处理、正向传递、反向传递、循环训练、结果判别五个步骤。

3.如权利要求2所述的方法，其特征在于，所述对输入特征的归一化处理，是减少各参数取值范围不同对神经网络产生的影响，通过计算与样本数据最大值、最小值之间的距离进行归一化计算。

4.如权利要求2所述的方法，其特征在于，所述正向传递包括计算隐藏层各神经元激活值、激活函数、输出值，以及输出层各单元激活值和输出值。

5.如权利要求2所述的方法，其特征在于，所述反向传递通过计算输出值与目标值之间的偏差，进行反向传递以对参数进行调整，包括输出层校正误差、隐藏层各单元校正误差、输出层到隐藏层阈值校正值、隐藏层至输入层阈值校正值的计算。

6.如权利要求2所述的方法，其特征在于，所述循环训练是通过不断的迭代，调整参数，使其输出结果与目标结果尽可能一致，并定义循环停止条件。

7.如权利要求2所述的方法，其特征在于，所述结果判别是对潜在的恶意租户及其操作进行隔离与阻断，并通过安全管理员进行人工分析以进一步确认；并将结果作为训练集进行后续学习，提高神经网络学习的准确性。

8.一种采用权利要求1～7中任一权利要求所述方法的基于神经网络的恶意云租户识别装置，其特征在于，包括：

特征向量构建模块，用于获取多租户的操作信息，并从操作信息中提取关键特征，构建特征向量；

量化模块，用于将根据正常租户和恶意租户的操作信息构建的特征向量进行量化；

潜在恶意租户识别模块，用于使用神经网络对正常租户和恶意租户的量化后的特征向量进行学习，从而识别出潜在的恶意租户。