网络行为的检测方法、装置、计算机设备和存储介质
阅读:279发布:2020-05-08
专利汇可以提供网络行为的检测方法、装置、计算机设备和存储介质专利检索,专利查询,专利分析的服务。并且本 发明 提供了一种网络行为的检测方法、装置、计算机设备和存储介质。该网络行为的检测方法包括:获取待检测时间段内目标主体网络行为的行为数据;提取单位 时间窗 内的行为数据,得到待检测行为数据组,其中,待检测时间段包括多个单位时间窗;将待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像;提取待检测图像的 特征向量 ;将多个单位时间窗对应的特征向量进行拼接,得到拼接向量;以及根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为。通过本发明,提升对未知异常行为检测的准确度。,下面是网络行为的检测方法、装置、计算机设备和存储介质专利的具体信息内容。
1.一种网络行为的检测方法,其特征在于,包括:
获取待检测时间段内目标主体网络行为的行为数据;
提取单位时间窗内的所述行为数据,得到待检测行为数据组,其中,所述待检测时间段包括多个所述单位时间窗;
将所述待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像;
提取所述待检测图像的特征向量;
将多个所述单位时间窗对应的所述特征向量进行拼接,得到拼接向量;以及根据所述拼接向量和预设的行为检测模型确定所述待检测时间段内是否存在异常行为。
2.根据权利要求1所述的网络行为的检测方法,其特征在于,提取所述待检测图像的特征向量的步骤包括:
建立初始自编码器,其中,所述初始自编码器包括输入层、编码层、反编码层和输出层;
获取训练行为图像,并将所述训练行为图像分别作为所述初始自编码器的输入层的输入和输出层的输出,对所述初始自编码器进行训练,得到目标自编码器;
获取验证行为图像,将所述验证行为图像作为所述目标自编码器的输入层的输入,得到所述目标自编码器的输出层的输出;
通过所述验证行为图像与所述目标自编码器的输出层的输出进行比对,判断所述目标自编码器是否满足要求;
当所述目标自编码器满足要求时,将所述待检测图像作为所述目标自编码器的输入层的输入,获取所述目标自编码器的编码层的输出,以得到所述特征向量。
3.根据权利要求1所述的网络行为的检测方法,其特征在于,根据所述拼接向量和预设的行为检测模型确定所述待检测时间段内是否存在异常行为的步骤包括:
将所述拼接向量进行降维,得到降维后向量;
根据所述降维后向量和所述行为检测模型确定所述待检测时间段内是否存在异常行为。
4.根据权利要求1所述的网络行为的检测方法,其特征在于,所述行为数据包括行为对端、行为属性和行为时间,所述行为属性为所述目标主体与所述行为对端之间产生的网络行为的属性,将所述待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像的步骤包括:
针对每条所述行为数据,将所述行为对端映射为预设模板图像中点的位置坐标,将所述行为属性映射为点的形态属性,在所述位置坐标处显示所述形态属性的点,得到所述行为数据对应的图像点;
在所述关联点之间设置连接线,其中,所述行为时间满足预设关联关系的两条所述行为数据对应的所述图像点互为所述关联点。
5.根据权利要求4所述的网络行为的检测方法,其特征在于,
所述关联点为所述行为时间相邻的两条所述行为数据对应的所述图像点;所述连接线为向量,所述向量的方向表征所述关联点对应的所述行为时间的先后;
将所述行为数据组按照预设的映射规则映射为图像的步骤还包括:统计所述行为数据组对应的相同所述关联点的数量;将所述数量映射为线的形态属性,在所述关联点之间设置连接线的步骤包括:在所述关联点之间按照所述线的形态属性设置所述连接线;
所述线的形态属性为所述线的像素的RGB值,将所述数量映射为线的形态属性的步骤包括:将所述数量由十进制数转换为十六进制数;将所述十六进制数的每两位转为十进制数,得到所述线的像素的RGB值。
6.根据权利要求4所述的网络行为的检测方法,其特征在于,将所述行为对端映射为预设模板图像中点的位置坐标的步骤包括:
在所述预设模板图像中预设多个点的位置坐标;
通过按序分配、随机分配或最远距离分配,将所述预设多个点的位置坐标分配一个端标识,建立所述位置坐标与所述端标识之间的一一对应的第一映射关系;
根据所述行为对端的所述端标识和所述第一映射关系,确定所述行为对端对应的所述位置坐标。
7.根据权利要求4所述的网络行为的检测方法,其特征在于,所述预设模板图像为具有n*n个像素的图片,其中,n=(2k-1)*m,所述点为包括m个所述像素,相邻的所述点之间间隔m个所述像素,同一个点的各所述像素的RGB值相同,所述点的形态属性为所述点的像素的RGB值,将所述行为属性映射为点的形态属性的步骤包括:
确定所述行为属性的编号i;
确定所述像素的RGB值范围,其中,所述像素的R值的范围为0~r,所述像素的G值的范围为0~g,所述像素的B值的范围为0~b;
采用以下公式计算所述编号i对应的十六进制数 其中,
表示向下取整,c表示所述行为属性的种类数量,HEX()表示将二进制数转为十六进制数;
以及
将所述十六进制数x的每两位数转换为十进制数得到所述点的像素的RGB值。
8.一种网络行为的检测装置,其特征在于,包括:
获取模块,用于获取待检测时间段内目标主体网络行为的行为数据;
第一提取模块,用于提取单位时间窗内的所述行为数据,得到待检测行为数据组,其中,所述待检测时间段包括多个所述单位时间窗;
映射模块,用于将所述待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像;
第二提取模块,用于提取所述待检测图像的特征向量;
拼接模块,用于将多个所述单位时间窗对应的所述特征向量进行拼接,得到拼接向量;
以及
检测模块,用于根据所述拼接向量和预设的行为检测模型确定所述待检测时间段内是否存在异常行为。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。
网络行为的检测方法、装置、计算机设备和存储介质
技术领域
[0001] 本发明涉及异常网络行为检测技术领域,尤其涉及一种网络行为的检测方法、装置、计算机设备和存储介质。
背景技术
[0002] 近年来,全世界不断发生网络安全事件,网络安全问题日益突出。随着相关数据量呈爆炸式增长的趋势,网络攻击模式也越来越复杂多变,在防御方面,目前针对已知威胁的发现和处置游刃有余,而面对未知威胁往往办法不多,大多需要依靠安全人员的经验和已有工具或产品来分析,而这些方式已经无法满足业界需求。
[0003] 同时,人工智能技术飞速发展,机器学习及其分支深度学习技术在计算机视觉、语音识别和自然语言处理等领域取得了巨大突破。学术界和工业界越来越多的人开始利用人工智能技术尝试解决网络安全中的问题。人工智能可凭借自动化、智能化及大规模运算能力等优势,快速检测百万、千万甚至上亿次事件,以发现安全威胁。
[0004] 在现有技术中,基于人工智能进行异常网络行为的检测时,通常是根据人工经验抽取网络行为的特征,具体包括专家利用经验从IP、域名、UA、时间等多种维度定义特征,抽取后拼接为特征向量,人工智能模型基于该特征向量来进行网络行为的检测。
[0005] 但是该检测网络不仅非常耗费人力成本,而且由于行为模型和安全事件不断变化,人工经验有一定的滞后性,往往覆盖不全,应对未知威胁能力较差,使得对未知异常行为的检出准确度并不高。
[0006] 因此,提供一种网络行为的检测方法、装置、计算机设备和存储介质,提升对未知异常行为检测的准确度,成为本领域亟需解决的技术问题。
发明内容
[0007] 本发明的目的是提供一种网络行为的检测方法、装置、计算机设备和存储介质,用于解决现有技术中的技术问题。
[0008] 一方面,为实现上述目的,本发明提供了一种网络行为的检测方法。
[0009] 该网络行为的检测方法包括:获取待检测时间段内目标主体网络行为的行为数据;提取单位时间窗内的行为数据,得到待检测行为数据组,其中,待检测时间段包括多个单位时间窗;将待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像;提取待检测图像的特征向量;将多个单位时间窗对应的特征向量进行拼接,得到拼接向量;
以及根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为。
以及根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为。
[0010] 进一步地,提取待检测图像的特征向量的步骤包括:建立初始自编码器,其中,初始自编码器包括输入层、编码层、反编码层和输出层;获取训练行为图像,并将训练行为图像分别作为初始自编码器的输入层的输入和输出层的输出,对初始自编码器进行训练,得到目标自编码器;获取验证行为图像,将验证行为图像作为目标自编码器的输入层的输入,得到目标自编码器的输出层的输出;通过验证行为图像与目标自编码器的输出层的输出进行比对,判断目标自编码器是否满足要求;当目标自编码器满足要求时,将待检测图像作为目标自编码器的输入层的输入,获取目标自编码器的编码层的输出,以得到特征向量。
[0011] 进一步地,根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为的步骤包括:将拼接向量进行降维,得到降维后向量;根据降维后向量和行为检测模型确定待检测时间段内是否存在异常行为。
[0012] 进一步地,行为数据包括行为对端、行为属性和行为时间,行为属性为目标主体与行为对端之间产生的网络行为的属性,将待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像的步骤包括:针对每条行为数据,将行为对端映射为预设模板图像中点的位置坐标,将行为属性映射为点的形态属性,在位置坐标处显示形态属性的点,得到行为数据对应的图像点;在关联点之间设置连接线,其中,行为时间满足预设关联关系的两条行为数据对应的图像点互为关联点。
[0013] 进一步地,关联点为行为时间相邻的两条行为数据对应的图像点;连接线为向量,向量的方向表征关联点对应的行为时间的先后。
[0014] 进一步地,将行为数据组按照预设的映射规则映射为图像的步骤还包括:统计行为数据组对应的相同关联点的数量;将数量映射为线的形态属性,在关联点之间设置连接线的步骤包括:在关联点之间按照线的形态属性设置连接线。
[0015] 进一步地,将行为对端映射为预设模板图像中点的位置坐标的步骤包括:在预设模板图像中预设多个点的位置坐标;通过按序分配、随机分配或最远距离分配,将预设多个点的位置坐标分配一个端标识,建立位置坐标与端标识之间的一一对应的第一映射关系;根据行为对端的端标识和第一映射关系,确定行为对端对应的位置坐标。
[0016] 进一步地,预设模板图像为具有n*n个像素的图片,其中,n=(2k-1)*m,点为包括m个像素,相邻的点之间间隔m个像素,同一个点的各像素的RGB值相同,点的形态属性为点的像素的RGB值,将行为属性映射为点的形态属性的步骤包括:确定行为属性的编号i;确定像素的RGB值范围,其中,像素的R值的范围为0~r,像素的G值的范围为0~g,像素的B值的范围为0~b;采用以下公式计算编号i对应的十六进制数 其中,表示向下取整,c表示行为属性的种类数量,HEX()表示将二进制数转为十六进制数;以及将十六进制数x的每两位数转换为十进制数得到点的像素的RGB值。
[0017] 进一步地,线的形态属性为线的像素的RGB值,将数量映射为线的形态属性的步骤包括:将数量由十进制数转换为十六进制数;将十六进制数的每两位转为十进制数,得到线的像素的RGB值。
[0018] 另一方面,为实现上述目的,本发明提供了一种网络行为的检测装置。
[0019] 该网络行为的检测装置包括:获取模块,用于获取待检测时间段内目标主体网络行为的行为数据;第一提取模块,用于提取单位时间窗内的行为数据,得到待检测行为数据组,其中,待检测时间段包括多个单位时间窗;映射模块,用于将待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像;第二提取模块,用于提取待检测图像的特征向量;拼接模块,用于将多个单位时间窗对应的特征向量进行拼接,得到拼接向量;以及检测模块,用于根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为。
[0021] 为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述方法的步骤。
[0022] 本发明提供的网络行为的检测方法、装置、计算机设备和存储介质,预设将行为数据组映射为行为图像的映射规则和用于检测网络行为的行为检测模型,基于此,对待检测时间段内提取到的网络行为的行为数据,按照网络行为的发生时间,对应每个单位时间窗进行数据分割提取,得到对应每个单位时间窗的待检测行为数据组,然后将各待检测行为数据组分别按照预设的映射规则映射为行为图像,得到各个待检测图像,提取各待检测图像的特征向量进行拼接,最后根据拼接向量和预设的行为检测模型确定该待检测时间段内是否存在异常行为,通过本发明,在检测网络行为时,将表征网络行为的行为数据图像化,通过处理图像的方式进行检测,无需依靠专家经验即可对未知异常行为进行检测,提升了对未知异常行为检测的准确性。附图说明
[0023] 通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0025] 图2为本发明实施例二提供的异常行为检测系统的工作流程图;
[0026] 图3为本发明实施例二提供的预设模板图像的示意图;
[0028] 图6为本发明实施例四提供的网络行为的检测装置的框图;
具体实施方式
[0030] 为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0031] 为了提升对未知异常行为检测的准确度,本发明提供了一种网络行为的检测方法、装置、计算机设备和存储介质,在该检测方法中,在对一个时间段内目标主体的网络行为进行检测时,将该时间段划分为多个单位时间窗,获取该每个单位时间窗内目标主体网络行为的行为数据,得到待检测行为数据组,然后将该待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像,提取待检测图像的特征向量,将各个单位时间窗对应的特征向量进行拼接,到拼接向量,最后根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为,从中可以看出,本发明实现了一种自动化的网络行为的检测方法,在该方法中先将时间段划分为多个单位时间窗,将每个单位时间窗对应的待检测行为组映射为图像,在提取特征向量进行拼接,能够基于对图像特征向量的识别处理方法来实现异常行为的检测,该过程无需依靠专家经验,可对未知的异常行为进行检测,相对现有技术中基于经验的检测能够提升对未知异常行为检测的准确度。
[0032] 实施例一
[0033] 本发明实施例提供了一种网络行为的检测方法,通过该方法,将网络数据中表征网络行为的行为数据图像化,基于对图像进行特征向量的提取,并根据特征向量来确定一端时间内的网络行为是否存在异常行为,过程无需依靠专家经验,可对未知的异常行为进行检测,提升了对未知异常行为检测的准确度,具体地,图1为本发明实施例一提供的网络行为的检测方法的流程图,如图1所示,该实施例提供的网络行为的检测方法包括如下的步骤S101至步骤S106。
[0034] 步骤S101:获取待检测时间段内目标主体网络行为的行为数据。
[0035] 当需要检测某一个目标主体在一段时间内的网络行为是否存在异常时,获取该时间段内目标主体网络行为的行为数据,可选地,每一次网络行为对应一条行为数据,该段时间目标主体具有多次网络行为,通过该步骤获取多条行为数据。例如,检测某个IP地址在某一周内的网络行为是否存在异常时,获取该一周内该IP地址网络行为的行为数据。
[0036] 网络行为是指在通信网络中,由目标主体向其他主体发起的网络行为,可选地,行为数据可包括网路行为的接收端(也即行为对端)和网络行为的行为属性,行为对端具体可以为接收端的标识、编号、地址等可以唯一标识接收端的信息,行为属性为网络行为的属性。网络行为包含但不限于连接、登录、查询、写入、发邮件等涉及数据交互的动作。
[0037] 可选地,在获取待检测时间段内目标主体网络行为的行为数据时,可通过获取待检测时间段内网络流量数据以及网络日志数据等网络数据,对网络数据中表征网络行为的数据进行提取来获取行为数据。具体地,可通过抓包、读取日志等方式获取网络数据。
[0038] 步骤S102:提取单位时间窗内的行为数据,得到待检测行为数据组。
[0039] 其中,待检测时间段包括多个单位时间窗。
[0040] 具体地,将待检测时间段划分为多个单位时间窗,根据网络行为的发生时间,提取各个单位时间窗内的行为数据,得到各个单位时间窗对应的待检测行为数据组。例如,将一周划分为7天,将目标主体的每一天的网络行为的行为数据作为一个待检测行为数据组。
[0041] 步骤S103:将待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像。
[0042] 在该步骤S103中,将待检测行为数据组按照映射规则映射为行为图像,也即将行为数据图像化,通过图像上的特征来体现行为数据,从而能够通过识别图像的方式实现对网络行为的识别。在本申请中,将待检测行为数据组映射得到的行为图像定义为待检测图像。
[0043] 步骤S104:提取待检测图像的特征向量。
[0044] 在该步骤S104中,对待检测图像提取特征向量,该处的特征向量可以为图像特征构成的向量。
[0045] 步骤S105:将多个单位时间窗对应的特征向量进行拼接,得到拼接向量。
[0046] 在该步骤S105中,可将各个单位时间窗对应的特征向量按时间顺序进行拼接,得到对应整个待检测时间段的向量,在本发明中定义为拼接向量。
[0047] 步骤S106:根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为。
[0048] 设置行为检测模型,将拼接向量数据输入该行为检测模型,以确定出待检测时间段内是否存在异常行为。
[0049] 在该实施例提供的网络行为的检测方法中,预设将行为数据组映射为行为图像的映射规则和用于检测网络行为的行为检测模型,基于此,对待检测时间段内提取到的网络行为的行为数据,按照网络行为的发生时间,对应每个单位时间窗进行数据分割提取,得到对应每个单位时间窗的待检测行为数据组,然后将各待检测行为数据组分别按照预设的映射规则映射为行为图像,得到各个待检测图像,提取各待检测图像的特征向量进行拼接,最后根据拼接向量和预设的行为检测模型确定该待检测时间段内是否存在异常行为,采用该实施例提供的网络行为的检测方法,在检测网络行为时,将表征网络行为的行为数据图像化,通过处理图像的方式进行检测,无需依靠专家经验即可对未知异常行为进行检测,提升了对未知异常行为检测的准确性。
[0050] 可选地,在一种实施例中,提取待检测图像的特征向量的步骤包括:建立初始自编码器,其中,初始自编码器包括输入层、编码层、反编码层和输出层;获取训练行为图像,并将训练行为图像分别作为初始自编码器的输入层的输入和输出层的输出,对初始自编码器进行训练,得到目标自编码器;获取验证行为图像,将验证行为图像作为目标自编码器的输入层的输入,得到目标自编码器的输出层的输出;通过验证行为图像与目标自编码器的输出层的输出进行比对,判断目标自编码器是否满足要求;当目标自编码器满足要求时,将待检测图像作为目标自编码器的输入层的输入,获取目标自编码器的编码层的输出,以得到特征向量。
[0051] 具体地,自编码器是一种无监督的数据维度压缩和数据特征表达方法。它是一种神经网络,经过训练能将数据压缩并近似复原,可选地,该实施例中的自编码器可以为卷积自编码器,卷积自编码器利用了传统自编码器的无监督的学习方式,通过引入卷积和池化等操作实现特征提取的一种深层神经网络。
[0052] 在该实施例中,自编码器的输入层接收输入的图像,编码层对输入图像进行编码压缩,反编码层再对编码层输出的数据进行反编码,并在反编码后通过输出层输出。训练行为图像为表征一个主体(可以为目标主体,也可以为其他主体)在一段时间(可以等于单位时间窗的时长,也可以不等于单位时间窗的时长)内网络行为对应的行为数据组所映射得到的行为图像,将训练行为图像作为训练样本,对初始自编码器进行训练,使得自编码器学习到对图像进行压缩并近似复原的能力。针对训练后得到的目标自编码器,获取验证行为图像对目标自编码器进行验证,如果目标自编码器能够将验证行为图像进行压缩并近似复原,也即向目标自编码器输入的验证行为图像与目标自编码器的输出层的输出进行比对时偏差较小,表明目标自编码器满足要求,能够将网络行为对应的行为数据组所映射得到的图像压缩并近似复原。
[0053] 在进行待检测图像的特征提取时,将待检测图像作为目标自编码器的输入层的输入,获取目标自编码器的编码层的输出,编码层用于对检测证图像进行编码和压缩,编码层的输出能够表征待检测图像的特征,因而可以作为待检测图像的特征向量,分别得到待检测图像的特征向量。
[0054] 采用该实施例提供的网络行为的检测方法,可通过卷积自编码器自动的提权特征向量,且通过对卷积自编码器的训练,使得提取出的特征向量能够较准确的反应待检测图像的特征,提升对待检测图像检测的准确性,也即提升对未知异常行为检测的准确性。
[0055] 可选地,在一种实施例中,预先训练行为检测模型,使得将拼接向量输入该行为检测模型,即可确定该拼接向量对应的时间段内是否存在异常行为。在进行检测时,将提取后拼接到的拼接向量输入至行为检测模型,即可确定待检测时间段内是否存在异常行为。
[0056] 例如,行为检测模型为一种概率分布模型,在根据待检测特征向量和行为检测模型确定待检测网络行为是否属于异常行为时,构建正常网络行为的概率分布模型,然后计算待检测特征向量符合概率分布模型的概率,当概率小于预设概率阈值时,确定待检测网络行为属于异常行为。
[0057] 又如,行为检测模型为一种聚类模型,根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为时,通过聚类模型对多个拼接向量进行聚类,得到若干簇,当簇的向量数量小于预设向量阈值时,确定簇对应的待检测时间段内存在异常行为。
[0058] 又如,行为检测模型为一种自编码模型,在根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为时,将拼接输入至预设的正常行为模型(也即能够对正常网络行为进行自编码的模型),得到验证特征向量,其中,正常网络行为对应的真实特征向量输入至正常行为模型得到理论特征向量,真实特征向量与理论特征向量的误差小于或等于预设误差阈值;判断拼接向量与验证特征向量的误差是否大于预设误差阈值;当拼接向量与验证特征向量的误差大于预设误差阈值时,确定检测时间段内存在异常行为。
[0059] 又如,行为检测模型为一种基于特征向量的分类模型,在根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为时,将拼接向量输入至预设的行为分类模型;根据行为分类模型输出的结果判断检测时间段内存在异常行为。
[0060] 可选地,在一种实施例中,根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为的步骤包括:将拼接向量进行降维,得到降维后向量;根据降维后向量和行为检测模型确定待检测时间段内是否存在异常行为。
[0061] 具体地,发明人研究发现,特征向量拼接后成为拼接向量存在以下两个问题:第一,拼接向量的长度较长,使得行为检测模型计算量较大,计算速度慢;第二,当各个单位时间窗内的特征向量存在相似之处时,使得拼接向量的信息存在冗余,基于此,在该实施例中,对拼接向量进行降维,具体可使用现有技术中的任意降维算法,如PCA、多层栈式自编码网络算法等,将拼接向量压缩至某一固定长度,具体的长度可根据实际业务需求和效果选取,按经验值可仍取值为特征向量的长度,降维后的降维向量作为行为检测模型的输入数据,减少行为检测模型计算量,加快计算速度,同时能够将拼接向量中重复或无用信息进行压缩。因此,采用该实施例提供的网络行为的检测方法,去除了拼接向量中的重复信息和无用信息,在减少计算加快计算速度的同时,不影响异常行为检测的准确性。
[0062] 可选地,在一种实施例中,行为数据包括行为对端、行为属性和行为时间,行为属性为目标主体与行为对端之间产生的网络行为的属性,将待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像的步骤包括:针对每条行为数据,将行为对端映射为预设模板图像中点的位置坐标,将行为属性映射为点的形态属性,在位置坐标处显示形态属性的点,得到行为数据对应的图像点;在关联点之间设置连接线,其中,行为时间满足预设关联关系的两条行为数据对应的图像点互为关联点。
[0063] 具体地,行为对端是指目标主体发出的网络行为的接收端,行为数据中包括的行为对端具体可包括接收端的标识、编号、地址等可以唯一标识接收端的信息;行为属性是指该网络行为的属性,包括连接方式、数据传输协议等;行为时间是指网络行为的产生时间。对行为数据组按照预设的映射规则映射为图像,也即将网络行为图像化。映射规则包括在行为对端(本申请中是指标识行为对端的信息)与预设模板图像的点的位置坐标之间建立的映射关系,通过该映射关系,针对每条行为数据,将行为对端映射为预设模板图像中点的位置坐标,需要说明是,该处的位置坐标可以为在一种坐标系中标识点位置的数据,例如直角坐标系中通过横纵坐标标识点位置的数据,又如极坐标系中通过极角和极径标识点位置的数据;也可以为通过序号等标识点位置的数据,例如通过图像中像素的序号标识点位置的数据等,本申请对此并不进行限定,所有能够在图像中标识出点位置的数据均属于本申请中的位置坐标,以实现通过在预设模板图像中不同位置的点来表征不同行为对端的目的。
[0064] 映射规则还包括在行为属性与预设模板图像的点的形态属性之间建立的映射关系,通过该映射关系,针对行为数据组中的每条行为数据,将行为属性映射为预设模板图像中点的形态属性,需要说明是,该处的行为属性可以为网络行为的单个属性,例如网络连接的连接方式,也可以为网络行为的多个属性的组合,例如网络连接的连接方式和数据传输协议的组合,该处的点的形态属性可以为点的大小、形状和/或颜色,也可以为点的其他参数,所有能够在图像中体现出点的差异的特性均属于本申请的点的形态属性,以实现通过在预设模板图像中点的不同形态属性来表征不同行为属性的目的。
[0065] 行为数据组包括多条行为数据,每条行为数据对应一个网络行为,行为数据组表征目标主体在一段时间内发起的多个网络行为的数据。可根据实际需要预设基于行为时间的关联关系,在该行为数据组中,定义行为时间满足预设关联关系的两条行为数据对应的图像点互为关联点,例如,将间隔时间满足预设时长的两条行为数据对应的图像点互为关联点,通过在关联点之间显示连接线,实现上述关联关系的图像化,也即,通过图像信息体现哪些网络行为之间满足关联关系。针对行为数据组,将每条行为数据映射到预设模板图像上的同时,在关联点之间设置连接线,能够通过图像体现网络行为的关联关系。
[0066] 在该实施例提供的网络行为的检测方法中,行为数据包括网络行为的行为对端以及网络行为的行为属性,将行为对端映射为预设模板图像中的点的位置坐标,将行为属性映射为点的形态属性,通过在位置坐标出显示该形态属性的点,得到行为数据对应的图像点,行为数据还包括行为时间,行为时间的关联关系通过关联点之间设置的连接线体现,实现了网络行为的图像化。
[0067] 可选地,在一种实施例中,关联点为行为时间相邻的两条行为数据对应的图像点。
[0068] 采用该实施例提供的网络行为的检测方法,将关联点定义为行为时间相邻的两条行为数据对应的图像点,关联点之间的连接线能够表征出哪些网络行为是相邻的网络行为,一方面,增加了图像表示网络行为信息的量,另一方面,对于一些安全威胁,相邻的网络行为之间具有特定的特征,因此,基于具有相邻网络行为表征的图像进行网络行为的检测,能够实现对这类型安全威胁的准确检测。
[0069] 可选地,在一种实施例中,连接线为向量,向量的方向表征关联点对应的行为时间的先后。
[0070] 采用该实施例提供的网络行为的检测方法,对于行为时间相邻的两条行为数据对应的图像点,不仅在两个图像点(也即关联点)之间显示连接线,而且将连接线设置为具有方向的线,也即将连接线设置为向量,通过向量的方向来表征行为时间的先后,从而当图像为体现多个网络行为的图像时,能够通过图像表征出网络行为发起端发起的网络行为的路径,也即图像表征出网络行为链,表征出系列行为的先后关系,从而能够基于行为上下关系进行网络行为的判断。
[0071] 可选地,在一种实施例中,将行为数据组按照预设的映射规则映射为图像的步骤还包括:统计行为数据组对应的相同关联点的数量;将数量映射为线的形态属性,在关联点之间设置连接线的步骤包括:在关联点之间按照线的形态属性设置连接线。
[0072] 具体地,将关联点表征的两条行为数据作为一个行为数据单元,当行为数据组对应有相同关联点时,也即行为数据组中包括相同的行为数据单元,在该实施例提供的网络行为的检测方法中,针对某一关联点,对行为数据组中该关联点表征的行为数据单元的数量进行统计,如果行为数据组中包括N个此行为数据单元,则该关联点的数量为N。预先设置数量与线的形态属性之间的映射关系,在确定一个关联点的数量后,基于该映射关系可将确定的数量映射为线的形态属性,然后在关联点之间显示连接线时,按照映射到的线的形态属性来设置。该处的线的形态属性可以为线的形状、粗细和/或颜色,也可以为线的其他参数,所有能够在图像中体现出线的差异的特性均属于本申请的线的形态属性,以实现通过在预设模板图像中线的不同形态属性来表征关联点数量的目的。
[0073] 采用该实施例提供的网络行为的检测方法,将关联点的数量映射为关联点之间连接线的形态属性,从而关联点之间的连接线在表征出哪些网络行为之间满足关联关系的同时,还能够表征出这些网络行为的多少,增加了图像表示网络行为信息的量。
[0074] 可选地,在一种实施例中,将行为对端映射为预设模板图像中点的位置坐标的步骤包括:在预设模板图像中预设多个点的位置坐标;通过按序分配、随机分配或最远距离分配,将预设多个点的位置坐标分配一个端标识,建立位置坐标与端标识之间的一一对应的第一映射关系;根据行为对端的端标识和第一映射关系,确定行为对端对应的位置坐标。
[0075] 具体地,在预设模板图像中预设多个点的位置坐标时,可以随机设置多个点,也可以按照一定规律设置多个点;在将预设模板图像中的点与行为对端之间建立映射关系时,可以按序将点的位置坐标分配给一个行为对端,针对多个行为对端,将各个行为对端进行排序,然后按照在某一方向上的顺序将每个点分配给一个行为对端,或者将每个点随机分配给一个行为对端,或者也可以将一个点分配给一个行为对端后,再计算确定一个与该点距离最远的点,将该距离最远的点分配给下一个行为对端,以此类推,直到所有的行为对端都对应有一个点,形成位置坐标与行为对端之间的一一对应的第一映射关系,在将一个确定的行为对端映射为预设模板图像中点的位置坐标时,在第一映射关系中查找该行为对端所对应的位置坐标。
[0076] 可选地,在一种实施例中,预设模板图像为具有多个像素的图片,一个点包括若干个像素,位置坐标根据像素的位置确定,点的形态属性根据像素的RGB值确定。
[0077] 具体地,点的位置坐标可以为该点所包括的一个像素的位置坐标,或者也可以为一个像素的序号等。点的形态属性为点的颜色,具体根据像素的RGB值确定,采用该实施例提供的网络行为的检测方法,点的位置坐标和形态属性均可以根据图片中的像素确定。
[0078] 可选地,在一种实施例中,同一个点的各像素的RGB值相同,使得一个点整体的颜色均匀,有利于图像识别和图像处理,进而有利于网络行为的识别和处理,且在设置行为属性与点的形态属性的映射关系时,点的形态属性简化为一个RGB值,映射关系简单。
[0079] 可选地,在一种实施例中,不同点包括的像素的数量相同,也即不同点的大小相同,有利于图像识别和图像处理,进而有利于网络行为的识别和处理。
[0080] 可选地,在一种实施例中,各点在图片上均匀设置,也即各相邻的点之间的距离相等。
[0081] 可选地,在一种实施例中,预设模板图像为具有n*n个像素的图片,其中,n=(2k-1)*m,点为包括m个像素,相邻的点之间间隔m个像素,同一个点的各像素的RGB值相同,点的形态属性为点的像素的RGB值,将行为属性映射为点的形态属性的步骤包括:确定行为属性的编号i;确定像素的RGB值范围,其中,像素的R值的范围为0~r,像素的G值的范围为0~g,像素的B值的范围为0~b;采用以下公式计算编号i对应的十六进制数
其中,表示向下取整,c表示行为属性的种类数量,HEX()表示
将二进制数转为十六进制数;以及将十六进制数x的每两位数转换为十进制数得到点的像素的RGB值。
其中,表示向下取整,c表示行为属性的种类数量,HEX()表示
将二进制数转为十六进制数;以及将十六进制数x的每两位数转换为十进制数得到点的像素的RGB值。
[0082] 具体地,对于所有行为数据中不同种类的行为属性进行编号,并且确定像素的RGB值范围,该RGB值范围为预设图像模板上可显示的RGB值的范围,则r*g*b为预设图像模板上可显示的颜色种类数量,去除预设图像模板的一种背景颜色,r*g*b-1为预设图像模板上可显示的点的颜色种类数量,也即预设图像模板上可表征的行为属性的种类数量,c为实际行为属性的种类数量,通过公式 的计算,得到编号为i的行为属性对应的十六进制数,将该十六进制数中每两位数转换为十进制数,即可得到像素的RGB值,实现了行为属性向点的形态属性的映射。
[0083] 可选地,在一种实施例中,线的形态属性为线的像素的RGB值,将数量映射为线的形态属性的步骤包括:将数量由十进制数转换为十六进制数;将十六进制数的每两位转为十进制数,得到线的像素的RGB值。
[0084] 具体地,将一种关联点的数量(前述行为数据单元的数量)映射为线的形态属性时,将数量映射为线对应的RGB值,也即线的颜色,使点的形态属性和线的形态属性均为像素的RGB值。
[0085] 实施例二
[0086] 本发明实施例二提供了一种优选地网络行为的检测方法,与上述实施例一中的相同的技术特征和技术效果可相互参考。在该实施例中,网络行为的检测方法通过一种异常行为检测系统实现,具体地,图2为本发明实施例二提供的异常行为检测系统的工作流程图,如图2所示,该实施例提供的异常行为检测系统包括数据处理模块、行为表示模块、特征抽取训练模块、特征抽取模块、特征变换模块和异常行为预测模块。
[0087] 数据处理模块的输入为原始网络数据,该原始网络数据可以为原始网络流量或日志数据,凡是包含由来源方(发起端)到目的方(接收端)的网络行为的数据都在本发明涉及的技术范围内。来源方是网络行为的发起方,例如:源IP、服务器账号、员工编号、邮箱等。目的方是行为的接收方,例如:目的IP、主机名、数据库、业务系统、邮箱等。网络行为包含但不限于连接、登录、查询、写入、发邮件等涉及数据交互的动作。
[0088] 数据处理模块在对原始网络数据进行处理时,执行的是网络行为的检测方法中行为数据的获取步骤,主要步骤包括抽取数据、统计并做规范化处理。首先从原始网络数据中抽取每一个来源方的行为序列,该行为序列也即行为数据组,行为数据组中的行为数据可包括:日期、时间、来源方、目的方,还可包括登录方式、协议、端口等附加的行为属性。行为属性可以是一种,也可以是多种。在该实施例中,以TCP连接的网络行为举例,来源方位来源IP,目的方为目的IP,行为属性为连接协议,实际场景中也可以根据需求定义不同的目的方和行为属性。以某一来源方(如客户端IP10.70.1.11)为例,抽取的数据和生成的序列如表1所示:
[0089] 表1数据抽取样例
[0090]
[0091]
[0092] 关于上表1,是指IP为10.70.1.11的客户端在2019-01-01 00:08:00通过HTTP方式访问了目的IP10.11.11.5,在2019-01-01 00:09:30通过SSH方式访问了目的IP10.11.11.6……以此类推。
[0093] 随后,对表1中的数据进行统计和归并。对于每两次相邻的网络行为,按时间先后,将时间早者的目的方记为前一目的方,将时间晚者的目的方记为后一目的方,并记下各自的行为属性。还应记下观测时间范围内(如1天)的四元组(前一目的方,后一目的方,前一属性,后一属性)出现的次数。注意,为便于表述和实际的效果,下文观测时间范围的最小单位为1天,但在实际使用时,该取值可大于或小于1天。
[0094] 数据处理模块的输出为处理后的数据,格式如表2所示:
[0095] 表2数据统计并处理后数据样例
[0096]
[0097] 行为表示模块的输入为数据处理模块的输出结果,如上表2所示样例。行为表示模块在进行行为表示时,具体包括如下的步骤:
[0098] 定义一张n*n(n=(2k-1)*8,k为正整数)的图片(也即预设模板图像),颜色范围为RGB=(255,255,255)。用直径为8像素的圆点表示目的方,此方法可表示k*k个目的方,如图3所示。每个圆点与目的方的对应关系可以有不同设定方式,如:按序分配、随机分配或最远距离分配或其他通过数学计算得到的分配方式,其中,按序分配包括按照从左至右或从上至下的顺序分配,或者按照蛇形顺序分配,或者按照回形顺序分配等。如图3所示,用圆点的颜色表示行为属性,因为除去图片背景色RGB=(255,255,255)外,可用的R、G、B值最多可表示256*256*256-1=16777215种不同属性。先为行为属性编号,再将点的颜色映射到各个行为属性,方法是取 表示向下取整,c表示行为属性的种类个
数,i表示当前行为属性的编号,HEX()表示将二进制数转为十六进制数。再取x的每两位数十六进制数转为十进制,对应为R、G、B值。对行为属性的编号并赋予颜色的样例如表3所示(假设属性的种类个数为50,即样例中共有50种不同的协议)。
数,i表示当前行为属性的编号,HEX()表示将二进制数转为十六进制数。再取x的每两位数十六进制数转为十进制,对应为R、G、B值。对行为属性的编号并赋予颜色的样例如表3所示(假设属性的种类个数为50,即样例中共有50种不同的协议)。
[0099] 表3对属性编号并赋予颜色样例
[0100]
[0101] 前后两个目的方的跳转关系(也即上文中的关联关系)用两个圆点(也即关联点)之间的连接线表示,线的RGB值表示出现次数(也即关联点的数量)。将十进制的出现次数转为十六进制数,取该十六进制数的每两位转为十进制分别为R、G、B的值。次数与颜色的映射关系如表4所示。若次数大于16777214,均用RGB=(255,255,254)表示。
[0102] 表4出现次数与线颜色的映射关系
[0103] 出现次数 次数的十六进制 线颜色(RGB)1 1 (0,0,1)
2 2 (0,0,2)
3 3 (0,0,3)
……
10000 2710 (0,39,16)
10001 2711 (0,39,17)
10002 2712 (0,39,18)
……
16777214 FFFFFE (255,255,254)
2 2 (0,0,2)
3 3 (0,0,3)
……
10000 2710 (0,39,16)
10001 2711 (0,39,17)
10002 2712 (0,39,18)
……
16777214 FFFFFE (255,255,254)
[0104] 依上述方法步骤,每个来源方(如IP或人)在每个观测时间范围(如1天)的行为可以用一张图片来表示。依然以表1和表2的行为数据为例,其转化后的效果图如图4所示,需要说明的是,图4中的10.11.11.5等IP信息和网格线只是为了便于说明,实际图片中并不包括IP信息和网格线本身。
[0105] 每个来源方(如IP或人)在多个观测时间范围(如多天)的行为可以表示为多张图片的集合,具体效果图如图5所示。
[0106] 通过上述方法得到行为图像数据后,如图2所示,获取该行为图像数据作为训练行为图像,对初始自编码器通过特征抽取训练模块进行训练,可选地,初始自编码器为一个CNN自编码器。CNN自编码器的输入图像和预测目标是同一张图片,中间的卷积层作为编码层,相当于在做自动化的压缩编码,压缩结果再经过反卷积或上采样处理(相当于反编码层),输出层最终恢复到与输入层的输入图片相同大小的维度,训练完CNN自编码器之后,得到目标自编码器,获取上述行为图像数据作为验证行为图像进行测试,如果输出层结果与输入层图像极为相似,那么可认为该目标自编码器效果显著,中间的压缩编码层可用于输入图像的压缩编码表示,得到能够进行特征向量提取的特征抽取器。
[0107] 如上所述,使用大量行为图像数据训练好目标自编码器后,向目标自编码器输入某一行为图像,经过输入层和编码层的计算后,取出编码层输出的压缩编码结果即为提取出的特征向量,这里,压缩编码结果定义为长度为L的列向量(L*1维矩阵),即经过目标自编码器提取出的特征向量为L*1的列向量。
[0108] 需要对目标主体的网络行为进行检测之前,获取目标主体的网络数据,通过上述数据处理模块和行为表示模块得到行为图像数据后,再通过上述目标自编码器得到对应每个单位时间窗内行为图像的特征向量,再通过特征变换模块进行特征变换,利用变换后的降维向量对异常行为预测模块进行训练。
[0109] 具体地,特征变换模块可包括两个子模块:特征拼接子模块和降维子模块。目标主体m天(待检测时间段)的行为图像经过上述特征抽取器(即CNN自编码器的局部)计算得到m个长度为L的向量,m>1时,将这m个长度为L的向量首尾相接,拼合成一个长度为L*m的向量(也即拼接向量),然后通过降维模块对拼接向量进行降维,按经验值可仍取值L,降维输出后的向量作为异常行为预测模块的输入数据。
[0110] 异常行为预测模块接收的输入为特征变换后的结果,输入为若干个固定长度(也可以为L)的降维向量,每个降维向量包含目标主体m天的行为特征。
[0111] 若将每个降维向量当作空间中的一个样本点,即可通过异常点检测算法计算行为异常度,具体可以使用如下的算法:
[0112] ①基于统计学的算法。具体为:构建一个基于正常行为的降维向量的概率分布模型,在判断待检测时间段内是否存在异常行为时,计算该待检测时间段对应的降维向量符合该概率分布模型的概率,将概率低的降维向量对应的待检测时间段视为异常点,其中,概率分布模型可以采用多元高斯分布检测模型,χ2统计量检测模型等。
[0113] ②基于聚类的算法。获取多个待检测时间段对应的降维向量,通过聚类模型,将个别较分散且差异较大的小簇与其他符合各种数据分布特点的大簇区别开来,小簇里的样本量通常很少,可以看作是异常点,其中,聚类模型可以为基于密度的聚类模型或层次聚类模型等。
[0114] ③基于深度神经网络的算法。事先训练好一个深度神经网络模型,利用该训练好的深度神经网络模型预测理论降维向量,并与待检测时间段对应的真实降维向量进行对比,若误差较大则认为待检测时间段存在异常行为,常见的深度神经网络模型可以为DNN自编码器和RNN等。
[0115] ④直接检测异常点的算法。事先训练支持向量机(One Class SVM)或孤立森林(Isolation Forest)等模型,将降维向量直接输入训练好的模型后,即可输出属于正常或异常的类别。
[0116] 实施例三
[0117] 对应于上述实施例一,本发明实施例三提供了一种网络行为的检测装置,相关技术特征和技术效果可参考上述,此处不再赘述。图6为本发明实施例三提供的网络行为的检测装置的框图,如图6所示,该装置包括:获取模块301、第一提取模块302、映射模块303、第二提取模块304、拼接模块305和检测模块306。
[0118] 其中,获取模块301用于获取待检测时间段内目标主体网络行为的行为数据;第一提取模块302用于提取单位时间窗内的行为数据,得到待检测行为数据组,其中,待检测时间段包括多个单位时间窗;映射模块303用于将待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像;第二提取模块304用于提取待检测图像的特征向量;拼接模块305用于将多个单位时间窗对应的特征向量进行拼接,得到拼接向量;检测模块306用于根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为。
[0119] 可选地,在一种实施例中,第二提取模块304提取待检测图像的特征向量时,具体执行的步骤包括:建立初始自编码器,其中,初始自编码器包括输入层、编码层、反编码层和输出层;获取训练行为图像,并将训练行为图像分别作为初始自编码器的输入层的输入和输出层的输出,对初始自编码器进行训练,得到目标自编码器;获取验证行为图像,将验证行为图像作为目标自编码器的输入层的输入,得到目标自编码器的输出层的输出;通过验证行为图像与目标自编码器的输出层的输出进行比对,判断目标自编码器是否满足要求;当目标自编码器满足要求时,将待检测图像作为目标自编码器的输入层的输入,获取目标自编码器的编码层的输出,以得到特征向量。
[0120] 可选地,在一种实施例中,检测模块306根据拼接向量和预设的行为检测模型确定待检测时间段内是否存在异常行为时,具体执行的步骤包括:将拼接向量进行降维,得到降维后向量;根据降维后向量和行为检测模型确定待检测时间段内是否存在异常行为。
[0121] 可选地,在一种实施例中,行为数据包括行为对端、行为属性和行为时间,行为属性为目标主体与行为对端之间产生的网络行为的属性,映射模块303将待检测行为数据组按照预设的映射规则映射为行为图像,得到待检测图像时,具体执行的步骤包括:针对每条行为数据,将行为对端映射为预设模板图像中点的位置坐标,将行为属性映射为点的形态属性,在位置坐标处显示形态属性的点,得到行为数据对应的图像点;在关联点之间设置连接线,其中,行为时间满足预设关联关系的两条行为数据对应的图像点互为关联点。
[0122] 可选地,在一种实施例中,关联点为行为时间相邻的两条行为数据对应的图像点;连接线为向量,向量的方向表征关联点对应的行为时间的先后。
[0123] 可选地,在一种实施例中,映射模块303将行为数据组按照预设的映射规则映射为图像时,具体执行的步骤还包括:统计行为数据组对应的相同关联点的数量;将数量映射为线的形态属性,在关联点之间设置连接线时,在关联点之间按照线的形态属性设置连接线。
[0124] 可选地,在一种实施例中,映射模块303将行为对端映射为预设模板图像中点的位置坐标时,具体执行的步骤包括:在预设模板图像中预设多个点的位置坐标;通过按序分配、随机分配或最远距离分配,将预设多个点的位置坐标分配一个端标识,建立位置坐标与端标识之间的一一对应的第一映射关系;根据行为对端的端标识和第一映射关系,确定行为对端对应的位置坐标。
[0125] 可选地,在一种实施例中,预设模板图像为具有n*n个像素的图片,其中,n=(2k-1)*m,点为包括m个像素,相邻的点之间间隔m个像素,同一个点的各像素的RGB值相同,点的形态属性为点的像素的RGB值,映射模块303将行为属性映射为点的形态属性时,具体执行的步骤包括:确定行为属性的编号i;确定像素的RGB值范围,其中,像素的R值的范围为0~r,像素的G值的范围为0~g,像素的B值的范围为0~b;采用以下公式计算编号i对应的十六进制数 其中,表示向下取整,c表示行为属性的种类数量,HEX
()表示将二进制数转为十六进制数;以及将十六进制数x的每两位数转换为十进制数得到点的像素的RGB值。
()表示将二进制数转为十六进制数;以及将十六进制数x的每两位数转换为十进制数得到点的像素的RGB值。
[0126] 可选地,在一种实施例中,线的形态属性为线的像素的RGB值,映射模块303将数量映射为线的形态属性时,具体执行的步骤包括:将数量由十进制数转换为十六进制数;将十六进制数的每两位转为十进制数,得到线的像素的RGB值。
[0127] 实施例四
[0128] 本实施例四还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。如图7所示,本实施例的计算机设备01至少包括但不限于:可通过系统总线相互通信连接的存储器011、处理器012,如图7所示。需要指出的是,图7仅示出了具有组件存储器011和处理器012的计算机设备01,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
[0129] 本实施例中,存储器011(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器011可以是计算机设备01的内部存储单元,例如该计算机设备01的硬盘或内存。在另一些实施例中,存储器011也可以是计算机设备01的外部存储设备,例如该计算机设备01上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器011还可以既包括计算机设备01的内部存储单元也包括其外部存储设备。本实施例中,存储器011通常用于存储安装于计算机设备01的操作系统和各类应用软件,例如实施例二的网络行为的检测方装置的程序代码等。此外,存储器011还可以用于暂时地存储已经输出或者将要输出的各类数据。
[0130] 处理器012在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器012通常用于控制计算机设备01的总体操作。本实施例中,处理器012用于运行存储器011中存储的程序代码或者处理数据,例如网络行为的检测方法等。
[0131] 实施例五
[0132] 本实施例五还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储网络行为的检测装置,被处理器执行时实现实施例一的网络行为的检测方法。
[0133] 需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
[0134] 上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
[0135] 通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 虚拟机及其远程控制方法、终端、宿主服务器和存储介质 | 2020-05-08 | 190 |
| 一种基于SVM的攻击流量分类方法 | 2020-05-08 | 970 |
| 一种电机控制方法 | 2020-05-08 | 368 |
| 微电波远距传输装置 | 2020-05-08 | 372 |
| 一种具有更新功能的电镀产品的入库方法 | 2020-05-08 | 42 |
| 一种多从控模块自动编址方法及系统 | 2020-05-08 | 139 |
| 用于运输管理系统的异常监控报警系统及方法 | 2020-05-08 | 184 |
| 断裂检测装置 | 2020-05-08 | 384 |
| 预警方法、系统、装置、设备和存储介质 | 2020-05-08 | 393 |
| 一种用于检测淋巴瘤、淋巴转移癌良恶性程度的分级模型及其应用 | 2020-05-08 | 90 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈