[发明专利]一种检测模型的生成方法及装置

权利要求书

1.一种检测模型的生成方法，应用于客户端，其特征在于，所述方法包括：

提取所述客户端对应的告警日志，其中，所述告警日志中携带所述客户端在历史时刻发生的至少一个入侵事件；

解析所述告警日志中的入侵事件，得到多个入侵资源对应的入侵路径信息；

接收来自于服务器的联邦建模指令，并根据所述联邦建模指令对所述入侵资源，以及所述入侵资源对应的入侵路径信息进行计算得到第一概率转移矩阵；

向所述服务器发送所述第一概率转移矩阵，以使所述服务器对所述第一概率转移矩阵以及来自所述服务器关联的其他客户端的第二概率转移矩阵进行聚合，生成用于预测入侵事件的目标检测模型。

2.根据权利要求1所述的方法，其特征在于，所述解析所述告警日志中的入侵事件，得到多个入侵资源对应的入侵路径信息，包括：

从每个所述入侵事件中提取所述客户端被攻击的入侵资源，以及所述入侵资源对应的资源地址、入侵类型以及漏洞编号；

将属于同一入侵资源的资源地址、入侵类型以及漏洞编号，按照时间序列生成所述入侵资源对应的入侵路径信息。

3.根据权利要求1所述的方法，其特征在于，所述根据所述联邦建模指令对所述入侵资源，以及所述入侵资源对应的入侵路径信息进行计算得到第一概率转移矩阵，包括：

基于所述联邦建模指令，调用所述客户端对应的原始概率转移矩阵，其中，所述原始概率转移矩阵中携带所述客户端中各个原始资源地址的转移概率；

确定所述客户端中入侵资源的资源地址以及资源地址数量；

从所述原始转移矩阵中获取入侵资源的资源地址对应的目标转移概率；

基于所述资源地址、资源地址数量以及所述目标转移概率生成所述客户端对应的原始概率转移矩阵；

对所述原始概率转移矩阵进行加密，得到所述第一概率转移矩阵。

4.根据权利要求3所述的方法，其特征在于，所述对所述第一概率转移矩阵进行加密，得到加密后的第一概率转移矩阵，包括：

确定所述第一概率转移矩阵中至少两个待加密的原始数据；

使用预设加密函数对所述原始数据进行加密得到第一加密数据；

按照预设规则对所述原始数据进行计算，得到目标数据；

使用所述预设加密函数对所述目标数据进行加密得到第二加密数据，并基于所述第二加密数据得到加密后的第一概率转移矩阵。

5.根据权利要求3所述的方法，其特征在于，在向所述服务器发送所述第一概率转移矩阵之后，所述方法还包括：

接收所述服务器发送的目标检测模型，其中，所述目标检测模型是所述服务器对所述客户端发送的第一概率转移矩阵以及来自所述其他客户端的第二概率转移矩阵进行聚合得到的。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

对所述客户端中的资源进行检测，提取各个资源对应的路径信息；

将所述路径信息输入所述目标检测模型，以使所述目标检测模型计算所述路径信息对应的目标概率；

将所述目标概率满足预设需求的路径信息确定为目标路径信息，并将所述目标路径信息生成目标入侵事件；

基于所述目标入侵事件对所述目标路径信息对应的资源执行保护操作。

7.一种检测模型的生成方法，应用于服务器，其特征在于，所述方法包括：

确定与所述服务器关联的客户端；

向所述客户端发送联邦建模请求，其中，所述联邦建模请求用于请求获取客户端对应的概率转移矩阵；

监听所述客户端基于所述联邦建模请求反馈的概率转移矩阵，其中，所述概率转移矩阵是根据所述客户端的入侵事件中的目标资源以及入侵路径信息生成的；

根据每个所述客户端对应的概率转移矩阵生成目标检测模型，并将所述目标检测模型发送至所述客户端。