[发明专利]网络行为的检测方法、装置、计算机设备和存储介质

说明书

本发明提供了一种网络行为的检测方法、装置、计算机设备和存储介质。该网络行为的检测方法包括：获取待检测单位时间窗内目标主体网络行为的行为数据，得到待检测行为数据组；将待检测行为数据组按照预设的映射规则映射为行为图像，得到待检测图像；以及根据待检测图像和预设的行为检测模型确定待检测网络行为是否为异常行为。通过本发明，提升对未知异常行为检测的准确度。

技术领域

本发明涉及异常网络行为检测技术领域，尤其涉及一种网络行为的检测方法、装置、计算机设备和存储介质。

背景技术

近年来，全世界不断发生网络安全事件，网络安全问题日益突出。随着相关数据量呈爆炸式增长的趋势，网络攻击模式也越来越复杂多变，在防御方面，目前针对已知威胁的发现和处置游刃有余，而面对未知威胁往往办法不多，大多需要依靠安全人员的经验和已有工具或产品来分析，而这些方式已经无法满足业界需求。

同时，人工智能技术飞速发展，机器学习及其分支深度学习技术在计算机视觉、语音识别和自然语言处理等领域取得了巨大突破。学术界和工业界越来越多的人开始利用人工智能技术尝试解决网络安全中的问题。人工智能可凭借自动化、智能化及大规模运算能力等优势，快速检测百万、千万甚至上亿次事件，以发现安全威胁。

在现有技术中，基于人工智能进行异常网络行为的检测时，通常是根据人工经验抽取网络行为的特征，具体包括专家利用经验从IP、域名、UA、时间等多种维度定义特征，抽取后拼接为特征向量，人工智能模型基于该特征向量来进行网络行为的检测。

但是该检测网络不仅非常耗费人力成本，而且由于行为模型和安全事件不断变化，人工经验有一定的滞后性，往往覆盖不全，应对未知威胁能力较差，使得对未知异常行为的检出准确度并不高。

因此，提供一种网络行为的检测方法、装置、计算机设备和存储介质，提升对未知异常行为检测的准确度，成为本领域亟需解决的技术问题。

发明内容

本发明的目的是提供一种网络行为的检测方法、装置、计算机设备和存储介质，用于解决现有技术中上述的技术问题。

一方面，为实现上述目的，本发明提供了一种网络行为的检测方法。

该网络行为的检测方法包括：获取待检测单位时间窗内目标主体网络行为的行为数据，得到待检测行为数据组；将待检测行为数据组按照预设的映射规则映射为行为图像，得到待检测图像；以及根据待检测图像和预设的行为检测模型确定待检测网络行为是否为异常行为。

进一步地，根据待检测图像和预设的行为检测模型确定待检测网络行为是否为异常行为的步骤包括：将待检测图像输入至行为检测模型，以确定待检测网络行为是否为异常行为。

进一步地，根据待检测图像和预设的行为检测模型确定待检测网络行为是否为异常行为的步骤包括：提取待检测图像的特征向量，得到待检测特征向量；以及根据待检测特征向量和行为检测模型确定待检测网络行为是否属于异常行为。

进一步地，提取待检测图像的特征向量的步骤包括：建立初始自编码器，其中，初始自编码器包括输入层、编码层、反编码层和输出层；获取训练行为图像，并将训练行为图像分别作为初始自编码器的输入层的输入和输出层的输出，对初始自编码器进行训练，得到目标自编码器；获取验证行为图像，将验证行为图像作为目标自编码器的输入层的输入，得到目标自编码器的输出层的输出；通过验证行为图像与目标自编码器的输出层的输出进行比对，判断目标自编码器是否满足要求；当目标自编码器满足要求时，将待检测图像作为目标自编码器的输入层的输入，获取目标自编码器的编码层的输出，以得到特征向量。

进一步地，该网络行为的检测方法还包括：在连续s个待检测单位时间窗内，具有r个待检测单位时间窗内目标主体网络行为为异常行为时，产生报警，其中，r≤s。