【技术实现步骤摘要】
网络行为的检测方法、装置、计算机设备和存储介质
本专利技术涉及异常网络行为检测
,尤其涉及一种网络行为的检测方法、装置、计算机设备和存储介质。
技术介绍
近年来,全世界不断发生网络安全事件,网络安全问题日益突出。随着相关数据量呈爆炸式增长的趋势,网络攻击模式也越来越复杂多变,在防御方面,目前针对已知威胁的发现和处置游刃有余,而面对未知威胁往往办法不多,大多需要依靠安全人员的经验和已有工具或产品来分析,而这些方式已经无法满足业界需求。同时,人工智能技术飞速发展,机器学习及其分支深度学习技术在计算机视觉、语音识别和自然语言处理等领域取得了巨大突破。学术界和工业界越来越多的人开始利用人工智能技术尝试解决网络安全中的问题。人工智能可凭借自动化、智能化及大规模运算能力等优势,快速检测百万、千万甚至上亿次事件,以发现安全威胁。在现有技术中,基于人工智能进行异常网络行为的检测时,通常是根据人工经验抽取网络行为的特征,具体包括专家利用经验从IP、域名、UA、时间等多种维度定义特征,抽取后拼接为特征向量,人工智能模型基于...
【技术保护点】
1.一种网络行为的检测方法,其特征在于,包括:/n获取待检测单位时间窗内目标主体网络行为的行为数据,得到待检测行为数据组;/n将所述待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像;以及/n根据所述待检测图像和预设的行为检测模型确定所述待检测网络行为是否为异常行为。/n
【技术特征摘要】
1.一种网络行为的检测方法,其特征在于,包括:
获取待检测单位时间窗内目标主体网络行为的行为数据,得到待检测行为数据组;
将所述待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像;以及
根据所述待检测图像和预设的行为检测模型确定所述待检测网络行为是否为异常行为。
2.根据权利要求1所述的网络行为的检测方法,其特征在于,根据所述待检测图像和预设的行为检测模型确定所述待检测网络行为是否为异常行为的步骤包括:
将所述待检测图像输入至所述行为检测模型,以确定所述待检测网络行为是否为异常行为。
3.根据权利要求1所述的网络行为的检测方法,其特征在于,根据所述待检测图像和预设的行为检测模型确定所述待检测网络行为是否为异常行为的步骤包括:
提取所述待检测图像的特征向量,得到待检测特征向量;以及
根据所述待检测特征向量和所述行为检测模型确定所述待检测网络行为是否属于异常行为。
4.根据权利要求3所述的网络行为的检测方法,其特征在于,提取所述待检测图像的特征向量的步骤包括:
建立初始自编码器,其中,所述初始自编码器包括输入层、编码层、反编码层和输出层;
获取训练行为图像,并将所述训练行为图像分别作为所述初始自编码器的输入层的输入和输出层的输出,对所述初始自编码器进行训练,得到目标自编码器;
获取验证行为图像,将所述验证行为图像作为所述目标自编码器的输入层的输入,得到所述目标自编码器的输出层的输出;
通过所述验证行为图像与所述目标自编码器的输出层的输出进行比对,判断所述目标自编码器是否满足要求;
当所述目标自编码器满足要求时,将所述待检测图像作为所述目标自编码器的输入层的输入,获取所述目标自编码器的编码层的输出,以得到所述特征向量,
在连续s个所述待检测单位时间窗内,具有r个所述待检测单位时间窗内所述目标主体网络行为为异常行为时,产生报警,其中,r≤s。
5.根据权利要求1所述的网络行为的检测方法,其特征在于,所述行为数据包括行为对端、行为属性和行为时间,所述行为属性为所述目标主体与所述行为对端之间产生的网络行为的属性,将所述待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像步骤包括:
针对每条所述行为数据,将所述行为对端映射为预设模板图像中点的位置坐标,将所述行为属性映射为点的形态属性,在所述位置坐标处显示所述形态属性的点,得到所述行为数据对应的图像点;
在所述关联点之间设置连接线,其中,所述行为时间满足预设关联关系的两条所述行为数据对应的所述图像点互为所述关联点。
6.根据权利要求5所述的网络行为的检测方法...
【专利技术属性】
技术研发人员:王占一,马江波,
申请(专利权)人:奇安信科技集团股份有限公司,网神信息技术北京股份有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。