行为检测方法、装置、存储介质及电子设备与流程

1.本公开实施例涉及计算机技术领域，具体而言，涉及一种行为检测方法、装置、存储介质及电子设备。


背景技术：

2.随着互联网时代的发展，web应用已被广泛使用，小到个人网站、博客，大到各种各样的电商平台，数据中心，我们都可以看到web应用的身影，与此同时，随着信息在web应用上的存储和交换，信息安全问题也日益凸显出来。在web应用开发阶段，并不是每个程序员都具有应用安全开发的思维，这给黑客有了可利用的机会。随着网络攻击方式发展，现在出现很多非常复杂的攻击行为且该类型的样本量少，例如一个攻击事件不是一次入侵动作而是多个行为共同实现，通常会结合一些辅助性的行为。
3.对于这种少样本的攻击类型，即使使用目前比较流行的机器学习模型也很难检测到。这就使得一般的防护手段无法检测到，从而发生安全事件，给企业和个人带了巨大的损失。
4.需要说明的是，在上述背景技术部分发明的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。


技术实现要素：

5.为克服相关技术中存在的问题，本公开提供一种行为检测方法、装置、存储介质及电子设备，以至少解决相关技术中对少样本的攻击类型难以检测的问题。
6.根据本公开的一个方面，提供一种行为检测方法，该方法包括：
7.利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息；
8.基于所述相关行为信息，采集所述目标应用运行过程中的动态特征信息和静态特征信息；
9.对所述动态特征信息、所述静态特征信息和所述相关行为信息融合获得所述目标应用的目标特征向量；
10.通过预训练的攻击检测模型对所述目标应用的目标特征向量进行检测，确定所述目标应用的检测结果；所述预训练的攻击检测模型是利用第一样本集和第二样本集训练得到的；所述第一样本集是利用预设过采样方式对第三样本集处理获得的；
11.根据所述检测结果确定对所述目标应用的响应策略。
12.可选的，所述利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息，包括：
13.在所述预设攻击类型所指示的应用运行位置处，利用所述预设关联算法比较所述目标应用运行时的行为信息与所述预设攻击类型对应的攻击行为信息，获取所述目标应用运行时与所述攻击行为信息相关联的所述相关行为信息。
14.可选的，所述基于所述相关行为信息，采集所述目标应用运行过程中的动态特征
信息和静态特征信息，包括：
15.根据所述相关行为信息对应的时间段，采集同一时间段中所述目标应用运行过程中的所述动态特征信息和所述静态特征信息。
16.可选的，所述方法还包括：
17.按照所述预设过采样方式对所述第二样本集和所述第三样本集进行聚类分析，获得所述第二样本集对应的子簇划分结果和所述第三样本集对应的子簇划分结果；
18.对所述第二样本集对应的子簇划分结果和所述第三样本集对应的子簇划分结果计算类间距离，确定所述第三样本集的待合成样本数量；
19.基于所述待合成样本数量和预设合成策略为所述第三样本集合成新样本，获得所述第一样本集。
20.可选的，所述基于所述待合成样本数量和预设合成策略为所述第三样本集合成新样本，获得所述第一样本集，包括：
21.根据所述第三样本集对应的子簇划分结果计算类间距离确定所述第三样本集对应的预设合成策略；
22.利用预设合成样本公式对所述第三样本集对应的子簇划分结果和所述待合成样本数量进行计算，确定合成新样本的所述第一样本集。
23.可选的，所述方法还包括：
24.获取所述第一样本集对应的样本特征向量和所述第二样本集对应的样本特征向量以及对应的真实检测结果；
25.将所述样本特征向量和所述真实检测结果作为一个训练样本对；
26.利用训练样本对对攻击检测模型进行迭代训练，以获取输出的样本检测结果符合所述真实检测结果的所述预训练的攻击检测模型。
27.可选的，所述根据所述检测结果确定对所述目标应用的响应策略，包括：
28.若所述检测结果是攻击行为，则拒绝所述目标应用的服务；
29.若所述检测结果不是攻击行为，则对所述目标应用的服务正常响应。
30.根据本公开的一个方面，提供一种行为检测装置，该装置包括：
31.第一获取模块，用于利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息；
32.采集模块，用于基于所述相关行为信息，采集所述目标应用运行过程中的动态特征信息和静态特征信息；
33.融合模块，用于对所述动态特征信息、所述静态特征信息和所述相关行为信息融合获得所述目标应用的目标特征向量；
34.检测模块，用于通过预训练的攻击检测模型对所述目标应用的目标特征向量进行检测，确定所述目标应用的检测结果；所述预训练的攻击检测模型是利用第一样本集和第二样本集训练得到的；所述第一样本集是利用预设过采样方式对第三样本集处理获得的；
35.第一确定模块，用于根据所述检测结果确定对所述目标应用的响应策略。
36.可选的，所述第一获取模块，还用于：
37.在所述预设攻击类型所指示的应用运行位置处，利用所述预设关联算法比较所述目标应用运行时的行为信息与所述预设攻击类型对应的攻击行为信息，获取所述目标应用
运行时与所述攻击行为信息相关联的所述相关行为信息。
38.可选的，所述采集模块，还用于：
39.根据所述相关行为信息对应的时间段，采集同一时间段中所述目标应用运行过程中的所述动态特征信息和所述静态特征信息。
40.可选的，所述装置还包括：
41.分析模块，用于按照所述预设过采样方式对所述第二样本集和所述第三样本集进行聚类分析，获得所述第二样本集对应的子簇划分结果和所述第三样本集对应的子簇划分结果；
42.计算模块，用于对所述第二样本集对应的子簇划分结果和所述第三样本集对应的子簇划分结果计算类间距离，确定所述第三样本集的待合成样本数量；
43.合成模块，用于基于所述待合成样本数量和预设合成策略为所述第三样本集合成新样本，获得所述第一样本集。
44.可选的，所述合成模块，还用于：
45.根据所述第三样本集对应的子簇划分结果计算类间距离确定所述第三样本集对应的预设合成策略；
46.利用预设合成样本公式对所述第三样本集对应的子簇划分结果和所述待合成样本数量进行计算，确定合成新样本的所述第一样本集。
47.可选的，所述装置还包括：
48.第二获取模块，用于获取所述第一样本集对应的样本特征向量和所述第二样本集对应的样本特征向量以及对应的真实检测结果；
49.第二确定模块，用于将所述样本特征向量和所述真实检测结果作为一个训练样本对；
50.训练模块，用于利用训练样本对对攻击检测模型进行迭代训练，以获取输出的样本检测结果符合所述真实检测结果的所述预训练的攻击检测模型。
51.可选的，所述第一确定模块，还用于：
52.若所述检测结果是攻击行为，则拒绝所述目标应用的服务；
53.若所述检测结果不是攻击行为，则对所述目标应用的服务正常响应。
54.根据本公开的一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任意一项所述的行为检测方法。
55.根据本公开的一个方面，提供一种电子设备，包括：
56.处理器；以及
57.存储器，用于存储所述处理器的可执行指令；
58.其中，所述处理器配置为经由执行所述可执行指令来执行上述任意一项所述的行为检测方法。
59.综上所述，本发明实施例提供的行为检测方法，可以先利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息，基于相关行为信息，采集目标应用运行过程中的动态特征信息和静态特征信息，对动态特征信息、静态特征信息和相关行为信息融合获得目标应用的目标特征向量，通过预训练的攻击检测模型对目标应用的目标特征向量进行检测，确定目标应用的检测结果，预训练的攻击检测模型是利用第一样本集和第
二样本集训练得到的，第一样本集是利用预设过采样方式对第三样本集处理获得的，根据检测结果确定对目标应用的响应策略。这样，一方面，使用关联算法获取跟攻击类型相关的重要行为特征，将关联行为特征与攻击自身特征相结合，避免重要特征信息遗漏和不必要的埋点，并且，相较于传统基于请求的静态特征识别，引入程序运行时动态特征，动静结合使得精确度得到提高，另一方面，针对少样本集利用过采样方式来合成的新样本，使得新样本更加合理，减少不必要的计算量，减少了噪声点的产生和与真实样本间的差异，避免了模型对少样本攻击特征学习不足导致的精度问题，提高了精确度，降低了漏报误报。
60.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
61.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
62.图1示意性示出本公开实施例提供的一种行为检测方法的步骤流程图；
63.图2示意性示出本公开实施例提供的一种获得第一样本集的步骤流程图；
64.图3示意性示出本公开实施例提供的一种合成新样本的步骤流程图；
65.图4示意性示出本公开实施例提供的一种获取预训练的攻击检测模型的步骤流程图；
66.图5示意性示出本公开实施例提供的一种攻击检测的示意图；
67.图6示意性示出本公开实施例提供的一种行为检测装置的框图；
68.图7示意性示出本公开实施例提供的一种用于实现上述行为检测方法的电子设备。
具体实施方式
69.现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。
70.此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
71.图1是本公开实施例提供的一种行为检测方法的步骤流程图，如图1所示，该方法可以包括：
72.步骤s101、利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息。
73.本公开实施例中，由于攻击行为不仅仅是一条行为信息，还应包括上下文的相关信息，并且，不同攻击类型的攻击位置往往确定的，因此，可以在预设攻击类型所指示的位置处，利用预设关联算法获取该目标应用运行时与预设攻击类型存在关联性的相关行为信息。
74.步骤s102、基于所述相关行为信息，采集所述目标应用运行过程中的动态特征信息和静态特征信息。
75.本公开实施例中，可以是基于目标应用的相关行为信息，采集目标应用在运行过程中的动态特征信息，该动态特征信息可以包括目标应用在运行交互时出现的特征信息，采集目标应用在运行过程中的静态特征信息，该静态特征信息可以是目标应用在请求时、请求在程序运行中、请求执行后且响应前出现的特征信息。
76.步骤s103、对所述动态特征信息、所述静态特征信息和所述相关行为信息融合获得所述目标应用的目标特征向量。
77.本公开实施例中，可以是对动态特征信息、静态特征信息和相关行为信息按照预设特征融合方式进行特征融合，将融合后的特征向量作为目标应用的目标特征向量。例如，获取并记录此时请求在程序运行时的相关动静信息，主要有攻击自身特征信息和与攻击相关联的行为特征信息，并将它们处理融合为特征向量：x＝[x1，x2，...，xn]。
[0078]
步骤s104、通过预训练的攻击检测模型对所述目标应用的目标特征向量进行检测，确定所述目标应用的检测结果；所述预训练的攻击检测模型是利用第一样本集和第二样本集训练得到的；所述第一样本集是利用预设过采样方式对第三样本集处理获得的。
[0079]
本公开实施例中，攻击检测模型可以是利用第一样本集和第二样本集对攻击检测模型预先训练得到的，通过不断的迭代训练，使得攻击检测模型可以学习到根据输入的样本集正确检测该特征向量对应的行为是否攻击行为的能力。其中，第一样本集可以是利用预设过采样方式对第三样本集处理获得合成新样本的集合，第三样本集可以是少数类样本的集合，第二样本集可以是多数类样本的集合。
[0080]
本公开实施例中，通过预训练的攻击检测模型对目标应用的目标特征向量进行计算检测，确定目标应用的检测结果，可以是利用预训练的攻击检测模型计算目标特征向量对应的行为信息，并确定该行为信息是否为攻击行为。其中，攻击检测模型可以是深度神经网络(deep neural networks，dnn)，具体的本公开不做限制。
[0081]
需要说明的是，预设过采样方式可以是改进的基于聚类的过采样(cbso)算法，相较于传统的cbso过采样算法，本公开提出改进的cbso算法，对少样本数据集进行聚类分析，融入了类内、类间的空间结构特征，在过采样数量和合成新样本方法上更加科学合理，使得生成的新样本更加贴近真实样本，避免了合成数量选择的盲目性和噪声点的产生。
[0082]
步骤s105、根据所述检测结果确定对所述目标应用的响应策略。
[0083]
本公开实施例中，检测结果可以是目标特征向量对应的行为信息是攻击行为，也可以是目标特征向量对应的行为信息不是攻击行为，当检测结果是攻击行为时，则可以对
目标应用的服务拒绝响应，当检测结果不是攻击行为时，则可以对目标应用的服务正常响应。
[0084]
综上所述，本发明实施例提供的行为检测方法，可以先利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息，基于相关行为信息，采集目标应用运行过程中的动态特征信息和静态特征信息，对动态特征信息、静态特征信息和相关行为信息融合获得目标应用的目标特征向量，通过预训练的攻击检测模型对目标应用的目标特征向量进行检测，确定目标应用的检测结果，预训练的攻击检测模型是利用第一样本集和第二样本集训练得到的，第一样本集是利用预设过采样方式对第三样本集处理获得的，根据检测结果确定对目标应用的响应策略。这样，一方面，使用关联算法获取跟攻击类型相关的重要行为特征，将关联行为特征与攻击自身特征相结合，避免重要特征信息遗漏和不必要的埋点，并且，相较于传统基于请求的静态特征识别，引入程序运行时动态特征，动静结合使得精确度得到提高，另一方面，针对少样本集利用过采样方式来合成的新样本，使得新样本更加合理，减少不必要的计算量，减少了噪声点的产生和与真实样本间的差异，避免了模型对少样本攻击特征学习不足导致的精度问题，提高了精确度，降低了漏报误报。
[0085]
可选的，本公开实施例中上述利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息的操作，可以具体包括：
[0086]
在所述预设攻击类型所指示的应用运行位置处，利用所述预设关联算法比较所述目标应用运行时的行为信息与所述预设攻击类型对应的攻击行为信息，获取所述目标应用运行时与所述攻击行为信息相关联的所述相关行为信息。
[0087]
本公开实施例中，预设关联算法可以是freespan(频繁模式投影的序列模式挖掘)。获取与该攻击类型相关联的行为，可以以此行为作为特征的一个来源点，也可以根据攻击自身的特点作为来源点，结合插桩技术，通过在特征来源点对应的程序中埋入hook探针，当程序运行时且触发hook探针时，即可获取攻击请求的运行时相关行为信息。
[0088]
可选的，本公开实施例中上述基于所述相关行为信息，采集所述目标应用运行过程中的动态特征信息和静态特征信息的操作，可以具体包括：
[0089]
根据所述相关行为信息对应的时间段，采集同一时间段中所述目标应用运行过程中的所述动态特征信息和所述静态特征信息。
[0090]
本公开实施例中，可以是根据相关行为信息对应的时间段，采集同一时间段中目标应用运行过程中的动态特征信息和静态特征信息，以便之后将动态特征信息和静态特征信息融合作为该目标应用的目标特征向量。其中，相关行为信息可以是在攻击自身特征获取前后一段时间内有效。
[0091]
可选的，如图2所示，本公开实施例中上述方法还可以包括：
[0092]
步骤s201、按照所述预设过采样方式对所述第二样本集和所述第三样本集进行聚类分析，获得所述第二样本集对应的子簇划分结果和所述第三样本集对应的子簇划分结果。
[0093]
步骤s202、对所述第二样本集对应的子簇划分结果和所述第三样本集对应的子簇划分结果计算类间距离，确定所述第三样本集的待合成样本数量。
[0094]
步骤s203、基于所述待合成样本数量和预设合成策略为所述第三样本集合成新样本，获得所述第一样本集。
[0095]
本公开实施例中，输入不平衡的第二样本集和第三样本集，该第三样本集可以是少数类样本，该第二样本集可以是多数类样本，将少数类和多数类样本分别进行聚类(k-means)分析得到相应子簇划分结果，通过集群容量和类间距离的加权，为少数类样本科学地确定需要待合成样本数量，对稀疏性不同的少数类簇中的样本采用不同的合成策略来合成新样本。
[0096]
具体的，本公开实施例中基于改进的cbso方法进行过采样，来获得第一样本集，以下为采样过程伪代码：
[0097]
输入：训练样本集d＝{xn，y}，n＝1，...，m，y为攻击类型标签；少数类样本数ms；多数类样本数m
l
；不平衡度的最大容忍率d
th
；指定平衡水平标量β∈[0，1]；最近邻样本个数k。输出：g个新合成的少数类样本。
[0098]
[0099][0100]
可选的，本公开实施例中上述基于所述待合成样本数量和预设合成策略为所述第三样本集合成新样本，获得所述第一样本集的操作，如图3所示，可以具体包括：
[0101]
步骤s203 1、根据所述第三样本集对应的子簇划分结果计算类间距离确定所述第三样本集对应的预设合成策略。
[0102]
本公开实施例中，可以是根据第三样本集对应的子簇划分结果是否紧凑来确定对应的预设合成策略，若子簇划分结果紧凑，则第三样本集对应的预设合成策略为紧凑型合成策略，若子簇划分结果非紧凑，则第三样本集对应的预设合成策略为非紧凑型合成策略。
[0103]
步骤s2032、利用预设合成样本公式对所述第三样本集对应的子簇划分结果和所述待合成样本数量进行计算，确定合成新样本的所述第一样本集。
[0104]
本公开实施例中，少数类簇中的第i个簇计算得到需要新合成的样本数量可以表示为：同时考虑集群容量和类间距离，针对少数类样本的不同簇使用加权分布策略，使得少样本中每类合成样本数量更加合理，避免需合成数量选择的盲目性和不必要的计算量，合成样本公式具体可以表示如下，不紧凑型：sm＝xa+σ*min((x
a-xb)，(x
a-xi))；紧凑型：对于紧凑/不紧凑的簇内分布样本，提出基于空间信息相似性分布的混合合成算法，使得新样本具有与原样本更相似的特性，极大地减少了噪声点的产生和样本间过大的差异，以此获得更贴近于真实的样本。
[0105]
可选的，如图4所示，本公开实施例中上述方法还包括：
[0106]
步骤s301、获取所述第一样本集对应的样本特征向量和所述第二样本集对应的样本特征向量以及对应的真实检测结果。
[0107]
本公开实施例中，第一样本集可以是少数类样本，第二样本集可以是多数类样本。可以是利用预设特征选择算法计算各个样本特征对应的样本权重，按照预设阈值比例选取样本特征组成的样本特征向量。样本特征向量对应的真实检测结果可以人为检测标注的，也可以是通过检测确定的。
[0108]
步骤s302、将所述样本特征向量和所述真实检测结果作为一个训练样本对。
[0109]
示例的，样本特征向量可以是y＝[y1，y2，y3，
…
，yn]，该样本请求对应的真实检测结果可以是攻击行为，则可以将y＝[y1，y2，y3，
…
，yn]与“攻击行为”作为一个训练样本对，样本特征向量可以是z＝[z1，z2，z3，
…
，zn]，该样本请求对应的真实检测结果可以是非攻击行为，则可以将z＝[z1，z2，z3，
…
，zm]与“非攻击行为”作为一个训练样本对。
[0110]
步骤s303、利用训练样本对对攻击检测模型进行迭代训练，以获取输出的样本检测结果符合所述真实检测结果的所述预训练的攻击检测模型。
[0111]
本公开实施例中，可以是将训练样本对中的样本特征向量输入至攻击检测模型中进行计算处理，输出针对该样本特征向量的样本检测结果，判断样本检测结果与真实检测结果是否匹配，若不匹配，则调整攻击检测模型中的训练参数，并重新将样本特征向量输入至攻击检测模型中进行迭代训练，直至输出的样本检测结果符合真实检测结果，将样本检测结果符合真实检测结果的攻击检测模型作为预训练的攻击检测模型。其中，该攻击检测模型可以是随机森林模型。
[0112]
可选的，本公开实施例中上述根据所述检测结果确定对所述目标应用的响应策略的操作，可以具体包括：
[0113]
若所述检测结果是攻击行为，则拒绝所述目标应用的服务；若所述检测结果不是攻击行为，则对所述目标应用的服务正常响应。
[0114]
示例的，图5示意性示出本公开实施例提供的一种攻击检测的示意图，如图5所示，s41、接收客户端请求；s42、利用预设关联算法获取目标应用运行时的动态特征信息和静态特征信息；s43、对动态特征信息、静态特征信息和相关行为信息融合获得目标应用的目标特征向量；s44、通过预训练的攻击检测模型对所述目标应用的目标特征向量进行检测，确定所述目标应用的检测结果，若检测结果是攻击行为，则拒绝目标应用的服务，若检测结果不是攻击行为，则对目标应用的服务正常响应。
[0115]
示例的，在一种实现方式中，行为检测方法可以是先通过freespan关联算法获得
与每类攻击相关的重要行为，获取更多能够识别该攻击类型的重要特征信息，再在程序指定位置埋入hook探针，该指定位置可以是在人为经验指定的位置，也可以是根据s1的关联分析结果，在关联该攻击类型的代码处。插桩技术可以获取程序运行过程中的动态、静态特征信息，最后将(一段时间内的)特征进行融合。这使得获取的特征更加全面，避免一些重要的动态信息遗漏，其次，对少样本集进行过采样处理，具体是通过集群容量和类间距离的加权，为少数类样本科学地确定了需要待合成样本数量，并对稀疏性不同的少数类簇中的样本采用不同的合成策略来合成新样本，这样减少了噪声点的产生和与真实样本间的差异，最后，根据过采样后的数据集进行随机森林模型训练获取最终检测模型，使得模型检测精度更高。
[0116]
图6示意性示出本公开实施例提供的一种行为检测装置，如图6所示，该装置50可以包括：
[0117]
第一获取模块501，用于利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息；
[0118]
采集模块502，用于基于所述相关行为信息，采集所述目标应用运行过程中的动态特征信息和静态特征信息；
[0119]
融合模块503，用于对所述动态特征信息、所述静态特征信息和所述相关行为信息融合获得所述目标应用的目标特征向量；
[0120]
检测模块504，用于通过预训练的攻击检测模型对所述目标应用的目标特征向量进行检测，确定所述目标应用的检测结果；所述预训练的攻击检测模型是利用第一样本集和第二样本集训练得到的；所述第一样本集是利用预设过采样方式对第三样本集处理获得的；
[0121]
第一确定模块505，用于根据所述检测结果确定对所述目标应用的响应策略。
[0122]
综上所述，本发明实施例提供的行为检测方法，可以先利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息，基于相关行为信息，采集目标应用运行过程中的动态特征信息和静态特征信息，对动态特征信息、静态特征信息和相关行为信息融合获得目标应用的目标特征向量，通过预训练的攻击检测模型对目标应用的目标特征向量进行检测，确定目标应用的检测结果，预训练的攻击检测模型是利用第一样本集和第二样本集训练得到的，第一样本集是利用预设过采样方式对第三样本集处理获得的，根据检测结果确定对目标应用的响应策略。这样，一方面，使用关联算法获取跟攻击类型相关的重要行为特征，将关联行为特征与攻击自身特征相结合，避免重要特征信息遗漏和不必要的埋点，并且，相较于传统基于请求的静态特征识别，引入程序运行时动态特征，动静结合使得精确度得到提高，另一方面，针对少样本集利用过采样方式来合成的新样本，使得新样本更加合理，减少不必要的计算量，减少了噪声点的产生和与真实样本间的差异，避免了模型对少样本攻击特征学习不足导致的精度问题，提高了精确度，降低了漏报误报。
[0123]
可选的，所述第一获取模块501，还用于：
[0124]
在所述预设攻击类型所指示的应用运行位置处，利用所述预设关联算法比较所述目标应用运行时的行为信息与所述预设攻击类型对应的攻击行为信息，获取所述目标应用运行时与所述攻击行为信息相关联的所述相关行为信息。
[0125]
可选的，所述采集模块502，还用于：
[0126]
根据所述相关行为信息对应的时间段，采集同一时间段中所述目标应用运行过程中的所述动态特征信息和所述静态特征信息。
[0127]
可选的，所述装置50还包括：
[0128]
分析模块，用于按照所述预设过采样方式对所述第二样本集和所述第三样本集进行聚类分析，获得所述第二样本集对应的子簇划分结果和所述第三样本集对应的子簇划分结果；
[0129]
计算模块，用于对所述第二样本集对应的子簇划分结果和所述第三样本集对应的子簇划分结果计算类间距离，确定所述第三样本集的待合成样本数量；
[0130]
合成模块，用于基于所述待合成样本数量和预设合成策略为所述第三样本集合成新样本，获得所述第一样本集。
[0131]
可选的，所述合成模块，还用于：
[0132]
根据所述第三样本集对应的子簇划分结果计算类间距离确定所述第三样本集对应的预设合成策略；
[0133]
利用预设合成样本公式对所述第三样本集对应的子簇划分结果和所述待合成样本数量进行计算，确定合成新样本的所述第一样本集。
[0134]
可选的，所述装置50还包括：
[0135]
第二获取模块，用于获取所述第一样本集对应的样本特征向量和所述第二样本集对应的样本特征向量以及对应的真实检测结果；
[0136]
第二确定模块，用于将所述样本特征向量和所述真实检测结果作为一个训练样本对；
[0137]
训练模块，用于利用训练样本对对攻击检测模型进行迭代训练，以获取输出的样本检测结果符合所述真实检测结果的所述预训练的攻击检测模型。
[0138]
可选的，所述第一确定模块505，还用于：
[0139]
若所述检测结果是攻击行为，则拒绝所述目标应用的服务；
[0140]
若所述检测结果不是攻击行为，则对所述目标应用的服务正常响应。
[0141]
上述行为检测装置中各模块的具体细节已经在对应的行为检测方法中进行了详细的描述，因此此处不再赘述。
[0142]
应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0143]
此外，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。
[0144]
在本公开的示例性实施例中，还提供了一种能够实现上述方法的电子设备。
[0145]
所属技术领域的技术人员能够理解，本公开的各个方面可以实现为系统、方法或程序产品。因此，本公开的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统
称为“电路”、“模块”或“系统”。
[0146]
下面参照图7来描述根据本公开的这种实施方式的电子设备600。图7显示的电子设备600仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。
[0147]
如图7所示，电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于：上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630以及显示单元640。
[0148]
其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元610执行，使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。例如，所述处理单元610可以执行如图1中所示的步骤s101、利用预设关联算法获取目标应用运行时与预设攻击类型关联的相关行为信息；步骤s102、基于所述相关行为信息，采集所述目标应用运行过程中的动态特征信息和静态特征信息；步骤s103、对所述动态特征信息、所述静态特征信息和所述相关行为信息融合获得所述目标应用的目标特征向量；步骤s104、通过预训练的攻击检测模型对所述目标应用的目标特征向量进行检测，确定所述目标应用的检测结果；所述预训练的攻击检测模型是利用第一样本集和第二样本集训练得到的；所述第一样本集是利用预设过采样方式对第三样本集处理获得的；步骤s105、根据所述检测结果确定对所述目标应用的响应策略。
[0149]
存储单元620可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)6201和/或高速缓存存储单元6202，还可以进一步包括只读存储单元(rom)6203。
[0150]
存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204，这样的程序模块6205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。
[0151]
总线630可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
[0152]
电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备600交互的设备通信，和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口650进行。并且，电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器660通过总线630与电子设备600的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备600使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
[0153]
通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
[0154]
在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本公开的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本公开各种示例性实施方式的步骤。
[0155]
根据本公开的实施方式的用于实现上述方法的程序产品，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本公开的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0156]
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0157]
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0158]
可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、rf等等，或者上述的任意合适的组合。
[0159]
可以以一种或多种程序设计语言的任意组合来编写用于执行本公开操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
[0160]
此外，上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。
[0161]
本领域技术人员在考虑说明书及实践这里发明的发明后，将容易想到本公开的其他实施例。本技术旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未发明的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。