网络行为的检测方法、装置、计算机设备和存储介质与流程

技术特征：

1.一种网络行为的检测方法，其特征在于，包括：

获取待检测单位时间窗内目标主体网络行为的行为数据，得到待检测行为数据组；

将所述待检测行为数据组按照预设的映射规则映射为行为图像，得到待检测图像；以及

根据所述待检测图像和预设的行为检测模型确定所述待检测网络行为是否为异常行为。

2.根据权利要求1所述的网络行为的检测方法，其特征在于，根据所述待检测图像和预设的行为检测模型确定所述待检测网络行为是否为异常行为的步骤包括：

将所述待检测图像输入至所述行为检测模型，以确定所述待检测网络行为是否为异常行为。

3.根据权利要求1所述的网络行为的检测方法，其特征在于，根据所述待检测图像和预设的行为检测模型确定所述待检测网络行为是否为异常行为的步骤包括：

提取所述待检测图像的特征向量，得到待检测特征向量；以及

根据所述待检测特征向量和所述行为检测模型确定所述待检测网络行为是否属于异常行为。

4.根据权利要求3所述的网络行为的检测方法，其特征在于，提取所述待检测图像的特征向量的步骤包括：

建立初始自编码器，其中，所述初始自编码器包括输入层、编码层、反编码层和输出层；

获取训练行为图像，并将所述训练行为图像分别作为所述初始自编码器的输入层的输入和输出层的输出，对所述初始自编码器进行训练，得到目标自编码器；

获取验证行为图像，将所述验证行为图像作为所述目标自编码器的输入层的输入，得到所述目标自编码器的输出层的输出；

通过所述验证行为图像与所述目标自编码器的输出层的输出进行比对，判断所述目标自编码器是否满足要求；

当所述目标自编码器满足要求时，将所述待检测图像作为所述目标自编码器的输入层的输入，获取所述目标自编码器的编码层的输出，以得到所述特征向量，

在连续s个所述待检测单位时间窗内，具有r个所述待检测单位时间窗内所述目标主体网络行为为异常行为时，产生报警，其中，r≤s。

5.根据权利要求1所述的网络行为的检测方法，其特征在于，所述行为数据包括行为对端、行为属性和行为时间，所述行为属性为所述目标主体与所述行为对端之间产生的网络行为的属性，将所述待检测行为数据组按照预设的映射规则映射为行为图像，得到待检测图像步骤包括：

针对每条所述行为数据，将所述行为对端映射为预设模板图像中点的位置坐标，将所述行为属性映射为点的形态属性，在所述位置坐标处显示所述形态属性的点，得到所述行为数据对应的图像点；

在所述关联点之间设置连接线，其中，所述行为时间满足预设关联关系的两条所述行为数据对应的所述图像点互为所述关联点。

6.根据权利要求5所述的网络行为的检测方法，其特征在于，

所述关联点为所述行为时间相邻的两条所述行为数据对应的所述图像点；所述连接线为向量，所述向量的方向表征所述关联点对应的所述行为时间的先后；

将所述行为数据组按照预设的映射规则映射为图像的步骤还包括：统计所述行为数据组对应的相同所述关联点的数量；将所述数量映射为线的形态属性，在所述关联点之间设置连接线的步骤包括：在所述关联点之间按照所述线的形态属性设置所述连接线

所述线的形态属性为所述线的像素的rgb值，将所述数量映射为线的形态属性的步骤包括：将所述数量由十进制数转换为十六进制数；将所述十六进制数的每两位转为十进制数，得到所述线的像素的rgb值。

7.根据权利要求5所述的网络行为的检测方法，其特征在于，

将所述行为对端映射为预设模板图像中点的位置坐标的步骤包括：在所述预设模板图像中预设多个点的位置坐标；通过按序分配、随机分配或最远距离分配，将所述预设多个点的位置坐标分配一个端标识，建立所述位置坐标与所述端标识之间的一一对应的第一映射关系；根据所述行为对端的所述端标识和所述第一映射关系，确定所述行为对端对应的所述位置坐标；

所述预设模板图像为具有n*n个像素的图片，其中，n＝(2k-1)*m，所述点为包括m个所述像素，相邻的所述点之间间隔m个所述像素，同一个点的各所述像素的rgb值相同，所述点的形态属性为所述点的像素的rgb值，将所述行为属性映射为点的形态属性的步骤包括：

确定所述行为属性的编号i；

确定所述像素的rgb值范围，其中，所述像素的r值的范围为0～r，所述像素的g值的范围为0～g，所述像素的b值的范围为0～b；

采用以下公式计算所述编号i对应的十六进制数其中，表示向下取整，c表示所述行为属性的种类数量，hex()表示将二进制数转为十六进制数；以及

将所述十六进制数x的每两位数转换为十进制数得到所述点的像素的rgb值。

8.一种网络行为的检测装置，其特征在于，包括：

获取模块，用于获取待检测单位时间窗内目标主体网络行为的行为数据，得到待检测行为数据组；

映射模块，用于将所述待检测行为数据组按照预设的映射规则映射为行为图像，得到待检测图像；以及

检测模块，用于根据所述待检测图像和预设的行为检测模型确定所述待检测网络行为是否为异常行为。

9.一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现权利要求1至7任一项所述方法的步骤。

10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1至7任一项所述方法的步骤。

技术总结
本发明提供了一种网络行为的检测方法、装置、计算机设备和存储介质。该网络行为的检测方法包括：获取待检测单位时间窗内目标主体网络行为的行为数据，得到待检测行为数据组；将待检测行为数据组按照预设的映射规则映射为行为图像，得到待检测图像；以及根据待检测图像和预设的行为检测模型确定待检测网络行为是否为异常行为。通过本发明，提升对未知异常行为检测的准确度。

技术研发人员：王占一;马江波
受保护的技术使用者：奇安信科技集团股份有限公司;网神信息技术(北京)股份有限公司
技术研发日：2019.12.31
技术公布日：2020.05.08