【技术实现步骤摘要】
一种网络攻击行为的检测方法和装置
[0001]本申请涉及计算机领域,并且更具体地,涉及一种网络攻击行为的检测方法和装置。
技术介绍
[0002]随着网络安全技术的不断发展,在风险对抗场景中,对客户端进行网络攻击的攻击手法越来越多,这可能导致客户受到损失。因此,对客户端所受到的网络攻击进行早期判断就显得尤为重要。
[0003]目前,在判断客户端所受到的网络攻击的类型时,通常采用决策树(decision tree)的方式来实现。决策树是一种利用树的模型进行决策的多分类模型,利用决策树可对客户端所受到的网络攻击的类型进行判断。然而,决策树是基于已知类型的网络攻击的相关特征来构建的,在客户端受到未知的、新的网络攻击时,决策树无法判断、甚至会给出客户端未受到网络攻击的误判。由于决策树无法判断出新类型的网络攻击,只有在客户端遭受到的网络攻击产生严重后果引起技术人员关注时,才会去通过技术人员来确定客户端是否受到了新类型的网络攻击,此时再针对新发现的网络攻击类型去做攻防策略的调整已经稍显迟滞。
[0004]因此,如何及时发现...
【技术保护点】
【技术特征摘要】
1.一种网络攻击行为的检测方法,其特征在于,包括:接收来自客户端的至少一个维度的特征数据;基于所述至少一个维度的特征数据,以及预先构建的模型,确定异常分值,所述模型包括与所述至少一个维度一一对应的至少一个孤独树,每个孤独树基于历史数据中对应维度的特征数据构建得到;基于所述异常分值,确定所述客户端是否存在被攻击的风险。2.如权利要求1所述的方法,其特征在于,所述基于所述至少一个维度的特征数据,以及预先构建的模型,确定异常分值,包括:将所述至少一个维度的特征数据中每个维度的特征数据输入至所对应的孤独树,以确定所述每个维度的特征数据在所述孤独树中的深度值;基于所述至少一个维度的特征数据分别在所对应的孤独树中的深度值,确定所述异常分值。3.如权利要求1所述的方法,其特征在于,所述基于所述异常分值,确定所述客户端是否存在被攻击的风险,包括:在所述异常分值大于或等于预设门限的情况下,确定所述客户端存在被攻击的风险;或在所述异常分值小于所述预设门限的情况下,确定所述客户端不存在被攻击的风险。4.如权利要求1至3中任一项所述的方法,其特征在于,在所述确定所述客户端存在被攻击的风险之后,所述方法还包括:输出所述异常分值,以用于人工分析;获取人工分析结果,所述人工分析结果基于所述人工分析得到,所述人工分析结果指示所述客户端是否被攻击。5.如权利要求4所述的方法,其特征在于,在获取人工分析结果之后,所述方法还包括:基于所述人工分析结果和来自所述客户端的至少一个维度的特征数据,对所述模型进行优化。6.如权利要求4所述的方法,其特征在于,所述基于所述人工分析结果...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。