网络行为预测方法、系统、设备及存储介质技术方案

本实施例公开了一种网络行为预测方法、系统、设备及存储介质。其中，该方法包括：获取历史网络设备的历史流量数据中的历史网络行为序列；对历史网络行为序列进行子序列构造，得到历史网络行为子序列；将历史网络行为子序列作为训练样本输入到初始的行为预测模型进行模型训练，以得到训练好的行为预测模型；基于训练好的行为预测模型，对待预测的目标网络设备进行网络行为分析和网络行为预测。该方法能够对大量的流量序列数据的拆分，并将拆分后的序列数据压缩到分支树模型中，最终得到流量序列数据的预测结果，节省了模型的存储空间和运算时间耗费的资源，降低了模型的训练耗时和复杂度。杂度。杂度。

【技术实现步骤摘要】
网络行为预测方法、系统、设备及存储介质


[0001]本公开涉及网络安全
，尤其涉及一种网络行为预测方法、系统、设备及存储介质。

技术介绍

[0002]在日常的网络活动中，尤其是专有网络中，网络设备的网络行为是最常见的网络活动行为之一，由此在专网内产生大量的网络流量。通过对专有网络中的网络设备，尤其是需要重点关注、监控的网络设备，能够预测到它下一个可能出现的网络行为，对于网络安全运维分析有着重要意义，例如，可以进行异常网络行为分析等相关数据分析任务。网络设备的网络行为可以通过流量数据获取。一个网络设备发生的网络行为，可以形成一条网络行为序列，对该序列进行预测的问题可以转化为状态序列预测问题。
[0003]相关技术中，基于马尔科夫链模型根据载具的历史数据进行预测；或者是，将待预测的数据输入到多个不同的模型后，分别使用该多个模型计算出多个不确定参数和权重最后再进行加权，相关技术的模型结构复杂、模型较多且模型训练耗时长，需要计算的数据量较多且复杂，并且，网络设备行为的序列长度更长同时具有不同长度的序列，状态空间更大，因此需要耗费的存储空间和运算时长等资源较多。

技术实现思路

[0004]有鉴于此，本公开实施例提供了一种网络行为预测方法、系统、设备及存储介质，能够针对网络设备的网络行为的历史流量数据提取网络行为的历史网络行为序列后，进行模型构造和训练以生成基于分支树结构的训练好的行为预测模型，利用特有的分支结构和基于统计的预测方法，对待预测的目标网络设备的流量序列数据的下一个状态数据进行预测。从而实现了对大量的流量序列数据的拆分，并将拆分后的序列数据压缩到分支树模型中，最终得到流量序列数据的预测结果，节省了模型的存储空间和运算时间耗费的资源，降低了模型的训练耗时和复杂度。
[0005]第一方面，本公开实施例提供了一种网络行为预测方法，采用如下技术方案：
[0006]获取历史网络设备的历史流量数据中的历史网络行为序列；
[0007]对所述历史网络行为序列进行子序列构造，得到历史网络行为子序列；
[0008]将所述历史网络行为子序列作为训练样本输入到初始的行为预测模型进行模型训练，以得到训练好的行为预测模型；
[0009]基于所述训练好的行为预测模型，对待预测的目标网络设备进行网络行为分析和网络行为预测。
[0010]在一些实施例中，获取历史网络设备的历史流量数据中的历史网络行为序列，包括：
[0011]将所述历史网络设备的历史流量数据进行类别划分，以得到各个类别的分类数据；
[0012]对所述各个类别的分类数据进行数据预处理，以得到若干个所述历史网络行为序列。
[0013]在一些实施例中，对所述历史网络行为序列进行子序列构造，得到历史网络行为子序列，包括：
[0014]当所述历史网络行为序列的总长度小于预设长度阈值时，固定设置每次移动所述滑动窗口时所述历史网络行为子序列的子序列特征；
[0015]当所述历史网络行为序列的总长度大于或等于预设长度阈值时，随机设置每次移动所述滑动窗口时所述历史网络行为子序列的子序列特征；
[0016]根据固定设置或随机设置的所述子序列特征移动所述滑动窗口，构造若干条所述历史网络行为子序列；
[0017]其中，所述子序列特征包括所述历史网络行为子序列的滑动窗口大小和子序列长度。
[0018]在一些实施例中，将所述历史网络行为子序列作为训练样本输入到初始的行为预测模型进行模型训练，以得到训练好的行为预测模型，包括：
[0019]创建所述初始的行为预测模型的分支树结构的根节点；
[0020]从所述根节点开始，依次将第一条所述历史网络行为子序列的每一个元素添加到所述分支树结构中，生成多个叶子节点；
[0021]将第一条所述历史网络行为子序列的每一个元素插入到所述分支树结构的同时生成倒排索引表和序列查找表；
[0022]获取所述初始的行为预测模型输出的预测结果；
[0023]当所述预测结果与所述历史网络设备的历史预测结果的相似度大于或等于预设的相似度阈值时，确定所述初始的行为预测模型训练成功，得到所述训练好的行为预测模型；
[0024]当所述预测结果与所述历史网络设备的历史预测结果的相似度小于设的相似度阈值时，通过调整所述初始的行为预测模型的参数继续进行模型训练，直至得到所述训练好的行为预测模型。
[0025]在一些实施例中，从所述根节点开始，依次将第一条所述历史网络行为子序列的每一个元素添加到所述分支树结构中，生成多个叶子节点，包括：
[0026]将第一条所述历史网络行为子序列的第一个元素作为所述分支树结构的第一个子节点插入到所述根节点下；
[0027]将第一条所述历史网络行为子序列的第二个元素作为所述分支树结构的第二个子节点插入到所述第一个子节点下，直至添加完第一条所述历史网络行为子序列的全部元素；
[0028]当第二条所述历史网络行为子序列的第一个元素不是所述根节点的子节点时，将第二条所述历史网络行为子序列的第一个元素作为新的子节点添加到所述根节点下；
[0029]当第二条所述历史网络行为子序列的第一个元素是所述根节点的子节点时，继续判断第二条所述历史网络行为子序列的第二个元素是否已添加至所述根节点下，直至将每一条所述历史网络行为子序列的每一个元素作为叶子节点全部添加至所述分支树结构中。
[0030]在一些实施例中，基于所述训练好的行为预测模型，对待预测的目标网络设备进
行网络行为分析和网络行为预测，包括：
[0031]获取待预测的所述目标网络设备的待测数据集中的每一条目标待预测序列；
[0032]基于所述倒排索引表和序列查找表，查找与每一条所述目标待预测序列相对应的相似序列；
[0033]将每一条所述相似序列中首次出现的与所述目标待预测序列的最后一个元素相同的相似元素之后的序列作为后续序列；
[0034]将每一条所述后续序列去掉与所述目标待预测序列相同的元素之后的剩余元素作为候选预测元素，以得到包含若干个候选预测元素的候选预测数据集；
[0035]基于所述候选预测数据集中若干个候选预测元素的预测分数，筛选出预测分数较高的所述候选预测元素作为目标预测结果。
[0036]在一些实施例中，基于所述候选预测数据集中若干个候选预测元素的预测分数，筛选出预测分数较高的所述候选预测元素作为目标预测结果，采用以下计算公式：
[0037][0038]其中，S
i
为第i个候选预测元素的预测分数；P
i
为第i个候选预测元素在全部的相似序列中出现在目标待预测序列的最后一个元素前的总次数；Q
i
为第i个候选预测元素在全部的相似序列中出现的总次数；j
im
为第i个候选预测元素在M条相似序列的第m条相似序列中，出现在目标待预测序列的后续序列的第j
im
个位置；
[003本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络行为预测方法，其特征在于，包括：获取历史网络设备的历史流量数据中的历史网络行为序列；对所述历史网络行为序列进行子序列构造，得到历史网络行为子序列；将所述历史网络行为子序列作为训练样本输入到初始的行为预测模型进行模型训练，以得到训练好的行为预测模型；基于所述训练好的行为预测模型，对待预测的目标网络设备进行网络行为分析和网络行为预测。2.根据权利要求1所述的网络行为预测方法，其特征在于，获取历史网络设备的历史流量数据中的历史网络行为序列，包括：将所述历史网络设备的历史流量数据进行类别划分，以得到各个类别的分类数据；对所述各个类别的分类数据进行数据预处理，以得到若干个所述历史网络行为序列。3.根据权利要求1或2所述的网络行为预测方法，其特征在于，对所述历史网络行为序列进行子序列构造，得到历史网络行为子序列，包括：当所述历史网络行为序列的总长度小于预设长度阈值时，固定设置每次移动所述滑动窗口时所述历史网络行为子序列的子序列特征；当所述历史网络行为序列的总长度大于或等于预设长度阈值时，随机设置每次移动所述滑动窗口时所述历史网络行为子序列的子序列特征；根据固定设置或随机设置的所述子序列特征移动所述滑动窗口，构造若干条所述历史网络行为子序列；其中，所述子序列特征包括所述历史网络行为子序列的滑动窗口大小和子序列长度。4.根据权利要求3所述的网络行为预测方法，其特征在于，将所述历史网络行为子序列作为训练样本输入到初始的行为预测模型进行模型训练，以得到训练好的行为预测模型，包括：创建所述初始的行为预测模型的分支树结构的根节点；从所述根节点开始，依次将第一条所述历史网络行为子序列的每一个元素添加到所述分支树结构中，生成多个叶子节点；将第一条所述历史网络行为子序列的每一个元素插入到所述分支树结构的同时生成倒排索引表和序列查找表；获取所述初始的行为预测模型输出的预测结果；当所述预测结果与所述历史网络设备的历史预测结果的相似度大于或等于预设的相似度阈值时，确定所述初始的行为预测模型训练成功，得到所述训练好的行为预测模型；当所述预测结果与所述历史网络设备的历史预测结果的相似度小于设的相似度阈值时，通过调整所述初始的行为预测模型的参数继续进行模型训练，直至得到所述训练好的行为预测模型。5.根据权利要求4所述的网络行为预测方法，其特征在于，从所述根节点开始，依次将第一条所述历史网络行为子序列的每一个元素添加到所述分支树结构中，生成多个叶子节点，包括：将第一条所述历史网络行为子序列的第一个元素作为所述分支树结构的第一个子节点插入到所述根节点下；
将第一条所述历史网络行为子序列的第二个元素作为所述分支树结构的第二个子节点插入到所述第一个子节点下，直至添加完第一条所述历史网络行为子序列的全部元素；当第二条所述历史网络行为子序列的第一个元素不是所述根节点的子节点时，将第二条所述历史网络行为子序列的第一个元素作为新的子节点添加到所述根节点下；当第二条所述历史网络行为子序列的第一个元素是所述根节点的子节点时，继续判断第二条所述历史网络行为子序列的第二个元素是否...

【专利技术属性】
技术研发人员：邹凯，陈凯枫，顾颂斐，李子阳，
申请(专利权)人：广州天懋信息系统股份有限公司，
类型：发明
国别省市：