[发明专利]云平台内主机挖矿行为检测方法、装置和系统

权利要求书

1.一种云平台内主机挖矿行为检测方法，其特征在于，所述方法包括：

通过物理机上的流量采集虚拟机采集物理机上运行的虚拟交换机的流量；

对所述流量数据进行解析，得到流量数据信息，其中所述流量数据信息包括IP五元组信息、实例ID信息、包内容和通讯时序信息中的一种或多种；

将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为。

2.根据权利要求1所述的方法，其特征在于，所述对所述流量数据进行解析，得到流量数据信息，包括：

通过对所述流量数据的数据报文和特征进行提取分析，得到流量数据信息。

3.根据权利要求1所述的方法，其特征在于，所述计算模型是通过多组训练数据训练sequence to sequence模型得到的。

4.根据权利要求3所述的方法，其特征在于，通过多组训练数据训练sequence tosequence模型得到计算模型，包括：

构建sequence to sequence模型；

输入层获取多组训练数据，每组训练数据为一组表征单个IP地址的各项流量数据信息的数值序列；

将所述多组训练数据通过编码层循环神经网络进行编码，得到语义向量c；

将所述语义向量c通过解码层循环神经网络进行解码，得到与输入的训练数据的序列长度一样的向量；

将与输入的训练数据的序列长度一样的输出序列输出到输出层；

使用优化方法对训练数据进行训练，得到各层的模型参数；

根据所述模型参数，确定计算模型。

5.根据权利要求4所述的方法，其特征在于，所述将所述流量数据信息输入计算模型，通过计算模型确定流量数据中是否有挖矿行为，包括：

输入层输入的流量数据信息{x₁,x₂,……,x_t}为一个时间周期内针对每个物理机IP地址统计的各项流量数据信息的数值化表示；

编码层状态计算公式为h_t＝f(x_t,h_t-1)，其中h_t表示t时刻编码层节点的状态，h₀初始化方法为将h₀定义为零向量，f为激活函数；

语义向量计算公式为c＝q(h₁,h₂,……,h_t)，其中q为归一化指数函数；

解码层计算公式为s_t＝f(c,s_t-1)，其中s_t表示t时刻解码层中隐藏层节点的状态，s₀初始化方法为其中表示反向传播时第一个输入隐藏层的节点状态，W为编码层的权重；

输出层的输出序列计算公式为：y_t＝g(c,s_t-1,y_t-1)，其中yt表示t时刻模型的输出，g为归一化指数函数；

输出序列的损失值计算公式为L＝-logP(y₁,……,y_t′)；

将L值与值比较，若L值大于则认为输入的流量数据信息异常，确定产生该流量数据信息的物理机上存在挖矿行为。

6.根据权利要求5所述的方法，其特征在于，所述值通过模型参数学习调试得到，具体包括：

训练数据的输出序列为{y₁,y₂,……，y_T}，采用极大似然估计计算最大化输出序列的联合概率为得到输出序列的损失函数L＝-logP(y₁,……,y_T′)；

计算所有训练数据的L均值与标准差σ；

将所有训练数据的均值加上3倍的标准差σ得到