(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211196859.5 (22)申请日 2022.09.28 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 姚倩　纪妙　周慧英　 (74)专利代理 机构 中国贸促会专利商标事务所 有限公司 1 1038 专利代理师 张海强 (51)Int.Cl. G06F 21/55(2013.01) G06F 21/56(2013.01) G06N 20/00(2019.01) (54)发明名称 内存马的检测方法和装置、 模 型的训练方法 和装置 (57)摘要 本公开提供了一种内存马的检测方法和装 置、 模型的训练方法和装置， 涉及信息安全技术 领域， 所述内存马的检测方法包括： 获取内存马 发起攻击时虚拟机的应用层的第一特征信息， 第 一特征信息包括与内存调用相关的数据流信息； 根据输入信息和机器学习模型确定内存马的属 性， 输入信息包括第一特 征信息。 权利要求书2页 说明书8页 附图2页 CN 115495735 A 2022.12.20 CN 115495735 A 1.一种内存马的检测方法， 包括： 获取内存马发起攻击时虚拟机的应用层的第 一特征信 息， 所述第 一特征信 息包括与内 存调用相关的数据流信息； 根据输入信 息和机器学习模型确定所述内存马的属性， 所述输入信 息包括所述第 一特 征信息。 2.根据权利要求1所述的方法， 还 包括： 获取所述虚拟机的内存的第二特征信息， 其中， 所述第二特征信息包括堆、 虚拟机栈、 本地方法栈、 方法区和程序计数器中的至少一个的异常信息； 其中， 所述输入信息还 包括所述第二特 征信息。 3.根据权利要求1所述的方法， 其中， 所述数据流信息包括日志流信息、 协议信息和网 关信息中的至少一个。 4.根据权利要求2所述的方法， 其中， 所述根据输入信 息和机器学习模型确定所述内存 马的属性包括： 将所述第一特 征信息输入到第一机器学习模型以得到第一属性确定结果； 将所述第二特 征信息输入到第二机器学习模型以得到第二属性确定结果； 根据所述第一属性确定结果和所述第二属性确定结果， 确定所述内存马的属性。 5.根据权利要求4所述的方法， 其中， 所述第 一机器学习 模型和所述第 二机器学习模型 中的至少一个为聚类模型。 6.根据权利要求5所述的方法， 其中， 所述聚类模型为K均值聚类模型。 7.根据权利要求4所述的方法， 其中， 所述根据所述第 一属性确定结果和所述第 二属性 确定结果， 确定所述内存马的属性包括： 对所述第一属性确定结果和所述第二属性确定结果进行归一化处理以确定所述内存 马的属性。 8.根据权利要求1 ‑7任意一项所述的方法， 其中， 所述内存马的属性包括所述内存马的 类型和名称中的至少一个。 9.根据权利要求1 ‑7任意一项所述的方法， 其中， 所述第 一特征信 息还包括应用层调用 的函数信息 。 10.根据权利要求1 ‑7任意一项所述的方法， 其中， 通过在应用层中插桩形成的挂钩 hook来获取所述第一特 征信息。 11.根据权利要求1 ‑7任意一项所述的方法， 其中， 所述机器学习模型通过以下方式进 行训练： 获取第一内存马发起攻击时虚拟机的应用层的第 一样本特征信 息， 所述第 一样本特征 信息包括与内存调用相关的样本数据流信息； 将样本输入信 息作为输入， 将所述第 一内存马的属性作为输出对所述机器学习 模型进 行训练， 所述样本 输入信息包括所述第一样本特 征信息。 12.一种模型的训练方法， 包括： 获取第一内存马发起攻击时虚拟机的应用层的第 一样本特征信 息， 所述第 一样本特征 信息包括与内存调用相关的样本数据流信息； 将样本输入信 息作为输入， 将所述第 一内存马的属性作为输出对所述机器学习 模型进权　利　要　求　书 1/2 页 2 CN 115495735 A 2行训练， 所述样本 输入信息包括所述第一样本特 征信息。 13.根据权利要求12所述的方法， 还 包括： 获取所述虚拟机的内存的第 二样本特征信 息， 其中， 所述第 二样本特征信息包括堆、 虚 拟机栈、 本地方法栈、 方法区和程序计数器中的至少一个的样本异常信息； 其中， 所述样本 输入信息还 包括所述第二样本特 征信息。 14.根据权利要求13所述的方法， 其中， 所述将样本输入信 息作为训练样本输入机器学 习模型， 将所述第一内存马的属性作为所述机器学习模型的输出 结果包括： 将所述第一样本特征信 息作为输入， 将所述第 一内存马的属性作为输出对第 一机器学 习模型进行训练； 将所述第二样本特征信 息作为输入， 将所述第 一内存马的属性作为输出对第 二机器学 习模型进行训练。 15.一种内存马的检测装置， 包括： 获取模块， 被配置为获取内存马发起攻击时虚拟机的应用 层的第一特征信息， 所述第 一特征信息包括与内存调用相关的数据流信息； 确定模块， 被配置为根据输入信息和机器学习模型确定所述内存马的属性， 所述输入 信息包括所述第一特 征信息。 16.一种内存马检测的装置， 包括： 存储器； 以及 耦接至所述存储器的处理器， 被配置为基于存储在所述存储器中的指令， 执行权利要 求1‑11任意一项所述的方法。 17.一种模型的训练装置， 包括： 获取模块， 被配置为获取第一内存马发起攻击时虚拟机的应用层的第一样本特征信 息， 所述第一样本特 征信息包括与内存调用相关的样本数据流信息； 训练模块， 被配置为将样本输入信息作为输入， 将所述第一内存马的属性作为输出对 所述机器学习模型进行训练， 所述样本 输入信息包括所述第一样本特 征信息。 18.一种模型的训练装置， 包括： 存储器； 以及 耦接至所述存储器的处理器， 被配置为基于存储在所述存储器中的指令， 执行权利要 求12‑14任意一项所述的方法。 19.一种计算机可读存储介质， 包括计算机程序指令， 其中， 所述计算机程序指令被处 理器执行时实现权利要求1 ‑14任意一项所述的方法。 20.一种计算机程序产品， 包括计算机程序， 其中， 所述计算机程序被处理器执行时实 现权利要求1 ‑14任意一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115495735 A 3