本技術(shù)實施例涉及網(wǎng)絡安全，特別涉及一種網(wǎng)絡行為識別方法、裝置、計算機設備及存儲介質(zhì)。

背景技術(shù)：

1、電信服務供應商使用公共數(shù)據(jù)網(wǎng)絡提供的服務數(shù)量每年都在增加。無邊界的網(wǎng)絡架構(gòu)允許將每個對象或設備與網(wǎng)絡功能關(guān)聯(lián)起來。在這種復雜的條件下，確保網(wǎng)絡安全是電信服務提供商的主要任務之一。同時，考慮到靈活且相對動態(tài)的拓撲結(jié)構(gòu)，以及所提供服務的廣泛性和收斂性，設備之間在共享通信信道時的信任問題也同樣重要。對于用戶來說，確保網(wǎng)絡節(jié)點所連接的數(shù)據(jù)網(wǎng)絡的安全性是很重要的。

2、在傳統(tǒng)方案中，為了保護網(wǎng)絡邊界，電信運營商使用入侵檢測系統(tǒng)(ids)和入侵預防系統(tǒng)(ips)，以及防火墻來自外部周邊的網(wǎng)絡的非正常行為進行檢測；然而，由于電信網(wǎng)絡運行商網(wǎng)絡的邊界變的模糊，傳統(tǒng)的檢測方法的適用性較差，對網(wǎng)絡行為識別的準確性較低，從而使得網(wǎng)絡安全性較低。

技術(shù)實現(xiàn)思路

1、本技術(shù)實施例提供了一種網(wǎng)絡行為識別方法、裝置、計算機設備及存儲介質(zhì)，可以在保證模型對網(wǎng)絡識別的準確率的情況下，減少行為識別過程中所需的數(shù)據(jù)處理量，提高對網(wǎng)絡行為識別的準確性，進而提高網(wǎng)絡安全性。該技術(shù)方案如下：

2、一方面，提供了一種網(wǎng)絡行為識別方法，所述方法包括：

3、獲取目標網(wǎng)絡節(jié)點的網(wǎng)絡節(jié)點日志；所述網(wǎng)絡節(jié)點日志中包含作用在所述目標網(wǎng)絡節(jié)點上的目標網(wǎng)絡行為的m個屬性信息；m為正整數(shù)；

4、從所述網(wǎng)絡節(jié)點日志中提取所述目標網(wǎng)絡行為的特征屬性集合；所述特征屬性集合中包含n個屬性信息；n小于m，n為正整數(shù)；所述特征屬性集合中包含的屬性信息是在行為識別準確率的約束下、以屬性信息的數(shù)量為優(yōu)化目標進行模型輸入優(yōu)化確定的；

5、通過行為識別模型基于所述特征屬性集合確定所述目標網(wǎng)絡行為的行為類型；所述行為識別模型是基于梯度提升決策樹構(gòu)建的模型。

6、另一方面，提供了一種網(wǎng)絡行為識別裝置，所述裝置包括：

7、日志獲取模塊，用于獲取目標網(wǎng)絡節(jié)點的網(wǎng)絡節(jié)點日志；所述網(wǎng)絡節(jié)點日志中包含作用在所述目標網(wǎng)絡節(jié)點上的目標網(wǎng)絡行為的m個屬性信息；m為正整數(shù)；

8、屬性提取模塊，用于從所述網(wǎng)絡節(jié)點日志中提取所述目標網(wǎng)絡行為的特征屬性集合；所述特征屬性集合中包含n個屬性信息；n小于m，n為正整數(shù)；所述特征屬性集合中包含的屬性信息是在行為識別準確率的約束下、以屬性信息的數(shù)量為優(yōu)化目標進行模型輸入優(yōu)化確定的；

9、行為類型確定模塊，用于通過行為識別模型基于所述特征屬性集合確定所述目標網(wǎng)絡行為的行為類型；所述行為識別模型是基于梯度提升決策樹構(gòu)建的模型。

10、在一種可能的實現(xiàn)方式中，所述裝置還包括：

11、樣本集獲取模塊，用于獲取訓練樣本集，所述訓練樣本集中包含各個網(wǎng)絡行為樣本的網(wǎng)絡行為日志以及各個網(wǎng)絡行為樣本的行為類型標簽，所述行為類型標簽用于指示網(wǎng)絡行為樣本的行為類型為非正常行為或正常行為；

12、樣本集構(gòu)建模塊，用于基于各個網(wǎng)絡行為樣本的網(wǎng)絡行為日志構(gòu)建至少兩個輸入樣本集；每個輸入樣本集包含對應于各個網(wǎng)絡行為樣本的屬性信息集合；同一網(wǎng)絡行為樣本在不同輸入樣本集下的屬性信息集合包含的屬性信息的類型和數(shù)量不同；

13、類型預測模塊，用于通過所述行為識別模型基于至少兩個輸入樣本集對各個網(wǎng)絡行為樣本進行行為類型預測，獲得至少兩個輸入樣本集的預測結(jié)果；

14、集合信息確定模塊，用于以屬性信息的數(shù)量為優(yōu)化目標，在行為識別準確率的約束下，基于至少兩個輸入樣本集的預測結(jié)果與各個網(wǎng)絡行為樣本的行為類型標簽，從至少兩個輸入樣本集中確定所述特征屬性集合中包含的屬性信息。

15、在一種可能的實現(xiàn)方式中，所述裝置還包括：

16、集合獲取模塊，用于獲取所述目標網(wǎng)絡節(jié)點的節(jié)點特征值集合，所述節(jié)點特征值集合中包含所述目標網(wǎng)絡節(jié)點在各個節(jié)點狀態(tài)下的至少兩個節(jié)點特征的特征值；所述目標網(wǎng)絡節(jié)點的節(jié)點狀態(tài)基于所述目標網(wǎng)絡行為進行變化；

17、所述行為類型確定模塊，用于基于所述節(jié)點特征值集合確定所述目標網(wǎng)絡行為的行為類型。

18、在一種可能的實現(xiàn)方式中，所述第二類型確定模塊，包括：

19、矩陣生成子模塊，用于基于所述節(jié)點特征值集合生成特征變化矩陣，所述特征變化矩陣中的變化特征值用于表征至少兩個節(jié)點特征的特征值在從一種狀態(tài)過渡到另一種狀態(tài)時的數(shù)值增減狀態(tài)；

20、特征值統(tǒng)計子模塊，用于基于所述特征變化矩陣獲取總變化特征值；所述總變化特征值為至少兩個節(jié)點特征在所述特征變化矩陣中的變化特征值之和的絕對值；

21、類型確定子模塊，用于基于所述總變化特征值，確定所述目標網(wǎng)絡行為的行為類型；

22、其中，在所述目標網(wǎng)絡行為的行為類型為非正常行為的情況下，所述目標網(wǎng)絡行為的攻擊性與所述總變化特征值正相關(guān)。

23、在一種可能的實現(xiàn)方式中，所述行為類型確定模塊，用于，

24、在通過所述行為識別模型與基于所述節(jié)點特征集合均確定所述目標網(wǎng)絡行為為非正常行為的情況下，確定所述目標網(wǎng)絡行為為非正常行為；

25、在通過所述行為識別模型與基于所述節(jié)點特征集合中的至少之一確定所述目標網(wǎng)絡行為為正常行為的情況下，確定所述目標網(wǎng)絡行為為正常行為。

26、在一種可能的實現(xiàn)方式中，所述裝置還包括：

27、矩陣獲取模塊，用于獲取任意兩個網(wǎng)絡行為的特征變化矩陣；

28、所述行為類型確定模塊，，用于在兩個所述特征變化矩陣指示的至少兩個節(jié)點特征的特征值在從一種狀態(tài)過渡到另一種狀態(tài)時的數(shù)值增減狀態(tài)一致時，確定兩個網(wǎng)絡行為為同一行為類型。

29、在一種可能的實現(xiàn)方式中，所述裝置還包括：

30、關(guān)聯(lián)節(jié)點識別模塊，用于在確定當前網(wǎng)絡節(jié)點上存在行為類型為非正常行為的網(wǎng)絡行為后，識別與當前網(wǎng)絡節(jié)點關(guān)聯(lián)的其他網(wǎng)絡節(jié)點；

31、節(jié)點確定模塊，用于將所述其他網(wǎng)絡節(jié)點確定為所述目標網(wǎng)絡節(jié)點，以進行網(wǎng)絡行為識別。

32、另一方面，提供了一種計算機設備，所述計算機設備包含處理器和存儲器，所述存儲器存儲有至少一條計算機程序，所述至少一條計算機程序由所述處理器加載并執(zhí)行以實現(xiàn)上述的網(wǎng)絡行為識別方法。

33、另一方面，提供了一種計算機可讀存儲介質(zhì)，所述計算機可讀存儲介質(zhì)中存儲有至少一條計算機程序，所述計算機程序由處理器加載并執(zhí)行以實現(xiàn)上述的網(wǎng)絡行為識別方法。

34、另一方面，提供了一種計算機程序產(chǎn)品，所述計算機程序產(chǎn)品包括至少一條計算機程序，所述計算機程序由處理器加載并執(zhí)行以實現(xiàn)上述各種可選實現(xiàn)方式中提供的網(wǎng)絡行為識別方法。

35、本技術(shù)提供的技術(shù)方案可以包括以下有益效果：

36、本技術(shù)實施例提供的網(wǎng)絡行為識別方法，通過收集網(wǎng)絡節(jié)點上產(chǎn)生的網(wǎng)絡節(jié)點日志，提取網(wǎng)絡節(jié)點日志中的網(wǎng)絡行為的屬性信息，并基于模型輸入優(yōu)化確定屬性信息數(shù)量以及屬性信息類型獲取網(wǎng)絡行為的特征屬性集合，再通過基于梯度提升決策樹構(gòu)建的行為識別模型對特征屬性集合進行處理，得到對應的網(wǎng)絡行為的行為類型。通過上述方法，可以在保證模型識別的準確率的情況下，減少行為識別過程中所需的數(shù)據(jù)處理量，此外，基于梯度提升決策樹構(gòu)建行為識別模型，使得行為識別模型可以在訓練過程中學習到各類信息的通用屬性特征，使得訓練獲得的行為識別模型可以確定對未知網(wǎng)絡行為的行為類型，從而提高了網(wǎng)絡行為識別的準確性。

37、應當理解的是，以上的一般描述和后文的細節(jié)描述僅是示例性和解釋性的，并不能限制本技術(shù)。