(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111507469.0 (22)申请日 2021.12.10 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 刘柱　鲍青波　张楠　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 徐叶馨 (51)Int.Cl. H04L 9/40(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 木马入侵的检测方法及装置、 电子设备、 存 储介质 (57)摘要 本申请提供一种木马入侵的检测方法及装 置、 电子设备、 存储介质， 该方法包括： 获取发送 方和接收方之间的心跳行为数据； 通过已训练的 自编码器提取所述心跳行为数据的时域特征； 通 过对所述心跳行为数据进行傅里叶变换， 提取所 述心跳行为数据的频域特征； 将所述心跳行为数 据的时域特征和频域特征作为已训练的神经网 络模型的输入， 获得所述神经网络模 型输出的是 否存在木马入侵的检测结果。 该方案提高了检测 的准确性。 权利要求书2页 说明书7页 附图3页 CN 114024770 A 2022.02.08 CN 114024770 A 1.一种木马入侵的检测方法， 其特 征在于， 包括： 获取发送方和接收方之间的心跳行为数据； 通过已训练的自编码器提取 所述心跳行为数据的时域特 征； 通过对所述心跳行为数据进行傅里叶变换， 提取 所述心跳行为数据的频域特 征； 将所述心跳行为数据的时域特征和频域特征作为已训练 的神经网络模型的输入， 获得 所述神经网络模型输出的是否存在木马入侵的检测结果。 2.根据权利要求1所述的方法， 其特征在于， 所述获取发送方和接收方之间的心跳行为 数据， 包括： 获取所述发送方和接收方之间四元组相同的数据流； 所述四元组包括源地址、 源端口、 目的地址和目的端口； 对所述数据流进行 预处理， 提取心跳间隔序列和收发字节比序列。 3.根据权利要求2所述的方法， 其特征在于， 对所述数据流进行预处理， 提取心跳间隔 序列和收发字节比序列， 包括： 根据所述发送方和接收方相邻两次心跳过程之间的时间间隔， 得到所述心跳间隔序 列； 计算所述接收方的接收字节数和所述发送方的发送字节数之间的比值， 并将比值按照 时间先后排列， 得到所述收发字节比序列。 4.根据权利要求2所述的方法， 其特征在于， 所述通过已训练的自编码器提取所述心跳 行为数据的时域特 征， 包括： 通过已训练的自编码器提取所述心跳间隔序列对应的心跳时域特征和所述收发字节 比序列对应的字节时域特 征。 5.根据权利要求4所述的方法， 其特征在于， 通过已训练 的自编码器提取所述心跳间隔 序列对应的心跳时域特 征和所述收发字节比序列对应的字节时域特 征， 包括： 将所述心跳间隔序列作为所述自编码器的输入， 根据所述自编码器的第一输出， 计算 所述心跳间隔序列的平均绝对误差 重构损失序列， 得到所述心跳时域特 征； 将所述收发字节比序列作为所述自编码器的输入， 根据所述自编码器的第二输出， 计 算所述收发字节比序列的重构损失序列， 得到所述字节时域特 征。 6.根据权利要求4所述的方法， 其特征在于， 所述通过对所述心跳行为数据进行傅里叶 变换， 提取 所述心跳行为数据的频域特 征， 包括： 分别对所述心跳间隔序列和收发字节比序列进行傅里叶变换， 提取所述心跳间隔序列 对应的心跳频域特 征和所述收发字节比序列对应的字节频域特 征。 7.根据权利要求6所述的方法， 其特征在于， 所述将所述心跳行为数据的时域特征和频 域特征作为已训练的神经网络模型的输入， 获得所述神经网络模型输出的是否存在木马入 侵的检测结果， 包括： 将所述心跳时域特征、 字节时域特征、 心跳频域特征和字节频域特征一起作为所述已 训练的神经网络模型的输入， 获得所述神经网络模型输出的是否存在木马入侵的检测结 果。 8.一种木马入侵的检测装置， 其特 征在于， 包括： 数据获取模块， 用于获取发送方和接收方之间的心跳行为数据；权　利　要　求　书 1/2 页 2 CN 114024770 A 2时域特征提取模块， 用于通过已训练的自编码器提取 所述心跳行为数据的时域特 征； 频域特征提取模块， 用于通过对所述心跳行为数据进行傅里叶变换， 提取所述心跳行 为数据的频域特 征； 结果输出模块， 用于将所述心跳行为数据的时域特征和频域特征作为已训练 的神经网 络模型的输入， 获得 所述神经网络模型输出的是否存在木马入侵的检测结果。 9.一种电子设备， 其特 征在于， 所述电子设备包括： 处理器； 用于存储处理器可执行指令的存 储器； 其中， 所述处 理器被配置为执 行权利要求1 ‑7任意一项所述的木马入侵的检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计 算机程序可由处 理器执行以完成权利要求1 ‑7任意一项所述的木马入侵的检测方法。权　利　要　求　书 2/2 页 3 CN 114024770 A 3