[发明专利]网络行为检测方法、装置、设备及存储介质

权利要求书

1.一种网络行为检测方法，其特征在于，包括：

根据待检测用户的网络行为，确定所述待检测用户的待检测行为特征向量；

根据所述待检测行为特征向量，以及，预先确定的聚类模型，确定所述待检测行为特征向量的所属类簇；其中，所述聚类模型为根据多个用户的历史网络行为以及基于拉普拉斯映射的近邻传播聚类算法确定的模型，所述聚类模型包括类簇以及类簇中心；

当所述待检测行为特征向量与所述所属类簇的中心的距离大于预设阈值时，确定所述待检测行为特征向量对应的行为为攻击行为；

其中，所述根据所述待检测行为特征向量，以及，预先确定的聚类模型，确定所述待检测行为特征向量的所属类簇之前，所述方法还包括：

根据多个用户的历史网络行为，确定每个所述用户的历史行为特征向量；

根据多个所述历史行为特征向量，确定特征相似度矩阵；

根据所述特征相似度矩阵构建稀疏矩阵连接图；

根据所述稀疏矩阵连接图，确定对应的拉普拉斯矩阵；

将所述拉普拉斯矩阵的最小的预设数量个非零特征值对应的特征向量作为降维后的数据对象；

根据所述降维后的数据对象，确定类别相似度矩阵；

对所述类别相似度矩阵，执行近邻传播算法的消息传递过程，直至收敛，得到所述聚类模型。

2.根据权利要求1所述的方法，其特征在于，所述行为特征向量包括以下至少一项特征属性：

活跃度、请求成功率、重复请求率、页面浏览时间、兴趣广泛度、热门网页偏好度以及异常访问率。

3.根据权利要求2所述的方法，其特征在于，所述根据待检测用户的网络行为，确定所述待检测用户的待检测行为特征向量，包括：

统计预设时长内所述待检测用户全部请求数、所有用户平均请求数、所述待检测用户成功请求数、所述待检测用户重复请求的网页数、所述待检测用户浏览过的页面数、所述待检测用户对同一个网页的最高请求次数以及服务器繁忙时所述待检测用户的请求数；

将所述待检测用户全部请求数除以所有用户平均请求数的商确定为所述待检测用户的活跃度；

将所述待检测用户成功请求数除以所述待检测用户全部请求数的商确定为所述待检测用户的请求成功率；

将所述待检测用户重复请求的网页数除以所述待检测用户全部请求数的商确定为所述待检测用户的重复请求率；

将所述待检测用户全部请求数除以所述预设时长的商确定为所述待检测用户的页面浏览时间；

将所述待检测用户浏览过的页面数除以所述服务器所有的页面数的商确定为所述待检测用户的兴趣广泛度；

将所述待检测用户对同一个网页的最高请求次数除以所述待检测用户全部请求数的商确定为所述待检测用户的热门网页偏好度；

将所述服务器繁忙时所述待检测用户的请求数除以所述待检测用户全部请求数的商确定为所述待检测用户的异常访问率；

将所述待检测用户的活跃度、所述待检测用户的请求成功率、所述待检测用户的重复请求率、所述待检测用户的页面浏览时间、所述待检测用户的兴趣广泛度、所述待检测用户的热门网页偏好度以及所述待检测用户的异常访问率组成的向量，确定为所述待检测用户的待检测行为特征向量。

4.根据权利要求1所述的方法，其特征在于，所述根据待检测用户的网络行为，确定所述待检测用户的待检测行为特征向量之前，所述方法还包括：

从网站服务器的访问日志中，获取所述待检测用户的网络行为。

5.根据权利要求1所述的方法，其特征在于，所述根据所述待检测行为特征向量，以及，预先确定的聚类模型，确定所述待检测行为特征向量的所属类簇，包括：

分别确定所述待检测行为特征向量与所述聚类模型中各个类簇的中心的距离；

将所述距离中最小的距离对应的类簇确定为所述待检测行为特征向量的所属类簇。

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述待检测行为特征向量与所述所属类簇的中心的距离小于或者等于所述预设阈值时，确定所述待检测行为特征向量对应的行为为正常访问行为。