CN120281576A 一种面向云环境的数据窃取证据链生成方法及系统 （中邮科通信技术股份有限公司）.docxVIP

(19)国家知识产权局

(12)发明专利申请

(10)申请公布号CN120281576A(43)申请公布日2025.07.08

(21)申请号202510751845.2

(22)申请日2025.06.06

(71)申请人中邮科通信技术股份有限公司

地址350007福建省福州市仓山区六一南

路241-1号

HO4LHO4L

GO6N

67/5681(2022.01)43/04(2022.01)

3/0442(2023.01)

(72)发明人陈晨吴芳施友安梁镇

饶可煌方铀胡煜宏李彦蓉

王润钰

(74)专利代理机构福州科扬专利事务所(普通

合伙)35001专利代理师唐进喜

(51)Int.CI.

HO4L9/40(2022.01)

HO4L9/00(2022.01)

HO4L67/06(2022.01)

权利要求书2页说明书8页附图1页

(54)发明名称

一种面向云环境的数据窃取证据链生成方法及系统

(57)摘要

CN120281576A本发明涉及一种面向云环境的数据窃取证据链生成方法及系统，所述方法包括以下步骤：采集云端虚拟机的文件传输操作记录，同时预设规则判断每条文件传输操作记录对应的文件是否为敏感文件；基于敏感文件的文件传输操作记录提取该敏感文件的传输过程中的所有行为特征，并构建为行为特征集；构建动态风险评估模型，通过动态风险评估模型基于敏感文件的行为特征集评估当前敏感文件传输操作记录的恶意窃取风险评分；若恶意窃取风险评分大于预设的恶意窃取风险评分阈值，则按照时间顺序提取文件传输操作记录中的操作特征构建为操作特征

CN120281576A

流量播获

流量播获

顺始数据颁存

文件还原

皱够文件

动态风险模型

S03

动态风脸值与阈值计算

am

是，激活证据错保存

生成交互式图造

CN120281576A权利要求书1/2页

2

1.一种面向云环境的数据窃取证据链生成方法，其特征在于，包括以下步骤：

采集云端虚拟机的文件传输操作记录，同时预设规则判断每条文件传输操作记录对应的文件是否为敏感文件；

基于敏感文件的文件传输操作记录提取该敏感文件的传输过程中的所有行为特征，并构建为行为特征集；

构建动态风险评估模型，通过动态风险评估模型基于敏感文件的行为特征集评估当前敏感文件传输操作记录的恶意窃取风险评分；

若恶意窃取风险评分大于预设的恶意窃取风险评分阈值，则按照时间顺序提取文件传输操作记录中的操作特征构建为操作特征时间序列，基于操作特征时间序列构建恶意窃取证据链。

2.根据权利要求1所述的一种面向云环境的数据窃取证据链生成方法，其特征在于，所述动态风险评估模型基于长短时记忆网络模型以及Transformer模型构建。

3.根据权利要求2所述的一种面向云环境的数据窃取证据链生成方法，其特征在于，所述恶意窃取风险评分的计算公式为：

R=Z:=1(Fi×W;)+β·LSTM(T);

其中：R表示恶意窃取风险评分；n表示行为特征集中的行为特征总数；Fi表示第个行为特征的基础威胁分值；W;表示第个行为特征的动态权重；β表示时序惩罚因子；T表示行为特征集；LSTM(T)表示通过长短时记忆网络模型提取行为特征集的时序特征。

4.根据权利要求3所述的一种面向云环境的数据窃取证据链生成方法，其特征在于，所述行为特征的动态权重基于Transformer模型计算；

所述Transformer模型的输入为行为特征集以及历史风险事件对应的统计数据；

所述Transformer模型输出当前行为特征集每个行为特征的动态权重。

5.根据权利要求1所述的一种面向云环境的数据窃取证据链生成方法，其特征在于，所述恶意窃取风险评分阈值计算公式为：

θ=μ+3σ;

其中：θ表示恶意窃取风险评分阈值；μ表示历史恶意窃取风险评分平均值；σ表示历史恶意窃取风险评分标准差。

6.根据权利要求1所述的一种面向云环境的数据窃取证据链生成方法，其特征在于，所述恶意窃取证据链为默尔克树型结构。

7.根据权利要求6所述的一种面向云环境的数据窃取证据链生成方法，其特征在于，所述恶意窃取证据链的构建步骤为：

对于操作特征时间序列中的每一个操作，将敏感文件传输目标IP、敏感文件哈希校验值、当前操作特征及其对应的执行时间组合后通过SHA256哈希算法计算哈希值后