CN111865999A - 访问行为的识别方法、装置、计算设备和介质 - Google Patents

访问行为的识别方法、装置、计算设备和介质 Download PDF

Info

Publication number
CN111865999A
CN111865999A CN202010727441.7A CN202010727441A CN111865999A CN 111865999 A CN111865999 A CN 111865999A CN 202010727441 A CN202010727441 A CN 202010727441A CN 111865999 A CN111865999 A CN 111865999A
Authority
CN
China
Prior art keywords
data
access behavior
model
sample data
behavior data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010727441.7A
Other languages
English (en)
Inventor
吴伟旺
苏建明
蒋家堂
王金希
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Industrial and Commercial Bank of China Ltd ICBC
Original Assignee
Industrial and Commercial Bank of China Ltd ICBC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Industrial and Commercial Bank of China Ltd ICBC filed Critical Industrial and Commercial Bank of China Ltd ICBC
Priority to CN202010727441.7A priority Critical patent/CN111865999A/zh
Publication of CN111865999A publication Critical patent/CN111865999A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/147Network analysis or design for predicting network behaviour

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computational Linguistics (AREA)
  • Artificial Intelligence (AREA)
  • General Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • Biophysics (AREA)
  • Software Systems (AREA)
  • Biomedical Technology (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Molecular Biology (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Computer Hardware Design (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本公开提供了一种访问行为的识别方法,包括:获取当前用户在第一时间段内访问服务器生成的第一访问行为数据;利用经训练的预测模型处理第一访问行为数据,以预测当前用户在第二时间段内将要访问服务器生成的第二访问行为数据,其中,第二时间段在第一时间段之后;基于第一访问行为数据和第二访问行为数据,确定当前用户访问服务器生成的完整访问行为数据;以及利用经训练的识别模型处理完整访问行为数据,以识别当前用户的访问行为是否为攻击行为。本公开还提供了一种访问行为的识别装置、一种计算设备以及一种介质。

Description

访问行为的识别方法、装置、计算设备和介质
技术领域
本公开涉及计算机技术领域,特别是涉及一种访问行为的识别方法、一种访问行为的识别装置、一种计算设备以及一种计算机可读存储介质。
背景技术
随着互联网的快速发展,网络安全越来越重要,互联网已经渗透到了我们生活中的方方面面。互联网给我们的生活带来便利的同时,也对我们的网络安全产生了较大的威胁。
随着越来越多的新型攻击方法不断地出现,对于安全态势感知***的识别能力提出了更高的要求。传统的安全态势感知***通常通过获取完整访问行为数据,并基于完整访问行为数据来识别攻击行为,以对攻击行为进行有效地识别和阻断,完整访问行为数据可以是用户在短时间内完成一个业务流程产生的完整攻击链数据。
在实现本公开构思的过程中,发明人发现相关技术中至少存在如下问题。
对于碎片式攻击、超长潜伏期的攻击方式,由于在短时间内不能获取到完整访问行为数据,导致安全态势感知***难以通过碎片式攻击、超长潜伏期攻击方式产生的碎片式访问行为数据来识别攻击行为,使得无法及时阻断攻击行为。
发明内容
有鉴于此,本公开提供了一种优化的访问行为的识别方法、访问行为的识别装置、计算设备和计算机可读存储介质。
本公开的一个方面提供了一种访问行为的识别方法,包括:获取当前用户在第一时间段内访问服务器生成的第一访问行为数据,利用经训练的预测模型处理所述第一访问行为数据,以预测所述当前用户在第二时间段内将要访问所述服务器生成的第二访问行为数据,其中,所述第二时间段在所述第一时间段之后,基于所述第一访问行为数据和第二访问行为数据,确定所述当前用户访问所述服务器生成的完整访问行为数据,利用经训练的识别模型处理所述完整访问行为数据,以识别所述当前用户的访问行为是否为攻击行为。
根据本公开实施例,在利用经训练的预测模型处理所述第一访问行为数据之前,所述方法还包括:获取多个历史用户的样本数据,利用所述样本数据训练所述预测模型。其中,针对每个历史用户的样本数据,所述样本数据被划分为第一类别和第二类别,属于所述第一类别的样本数据包括第三访问行为数据,属于所述第二类别的样本数据包括所述第三访问行为数据和第四访问行为数据。其中,所述第三访问行为数据为历史用户在第三时间段内访问服务器生成的数据,所述第四访问行为数据为历史用户在第四时间段内访问服务器生成的数据,所述第四时间段在所述第三时间段之后。
根据本公开实施例,所述预测模型包括生成对抗网络模型,所述生成对抗网络模型包括生成模型和判别模型。其中,所述利用所述样本数据训练所述预测模型包括:针对每个历史用户的样本数据,将所述样本数据输入所述生成模型中进行处理,其中,在所述样本数据属于第一类别的情况下,通过所述生成模型基于所述第三访问行为数据预测得到所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据,将来自所述生成模型的样本数据输入所述判别模型中,以通过所述判别模型确定所述样本数据属于所述第一类别或者属于所述第二类别得到确定结果,基于所述确定结果,调整所述生成模型的模型参数和/或所述判别模型的模型参数。
根据本公开实施例,所述判别模型包括N个子模型,N为大于1的整数。其中,所述将来自所述生成模型的样本数据输入所述判别模型中,以通过所述判别模型确定所述样本数据属于所述第一类别或者属于所述第二类别包括:将来自所述生成模型的每个历史用户的样本数据划分为N个子数据,将所述N个子数据一一对应地输入至所述N个子模型,以通过所述N个子模型一一对应地处理所述N个子数据得到N个处理结果,基于所述N个处理结果,确定所述样本数据属于所述第一类别或属于所述第二类别。
根据本公开实施例,在将所述样本数据输入所述生成模型中进行处理之前,所述方法还包括:在所述样本数据属于所述第一类别的情况下,对所述样本数据进行裁剪处理,以使得裁剪后的样本数据的数据长度为预设数据长度,在所述样本数据属于所述第二类别的情况下,对所述样本数据进行填充处理,以使得填充后的样本数据的数据长度为所述预设数据长度。
根据本公开实施例,所述在所述样本数据属于第一类别的情况下,通过所述生成模型预测基于所述第三访问行为数据预测得到所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据包括:基于所述样本数据中的第三访问行为数据修改所述样本数据中填充的数据,将修改后的填充的数据确定为所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据。
根据本公开实施例,所述基于所述第一访问行为数据和第二访问行为数据,确定所述当前用户访问所述服务器生成的完整访问行为数据包括:将所述第一访问行为数据和所述第二访问行为数据进行组合,以得到所述完整访问行为数据。
本公开的另一个方面提供了一种访问行为的识别装置,包括:第一获取模块、预测模块、确定模块以及识别模块。其中,第一获取模块,获取当前用户在第一时间段内访问服务器生成的第一访问行为数据。预测模块,利用经训练的预测模型处理所述第一访问行为数据,以预测所述当前用户在第二时间段内将要访问所述服务器生成的第二访问行为数据,其中,所述第二时间段在所述第一时间段之后。确定模块,基于所述第一访问行为数据和第二访问行为数据,确定所述当前用户访问所述服务器生成的完整访问行为数据。识别模块,利用经训练的识别模型处理所述完整访问行为数据,以识别所述当前用户的访问行为是否为攻击行为。
根据本公开实施例,在利用经训练的预测模型处理所述第一访问行为数据之前,所述装置还包括:第二获取模块和训练模块。其中,第二获取模块,获取多个历史用户的样本数据。训练模块,利用所述样本数据训练所述预测模型。其中,针对每个历史用户的样本数据,所述样本数据被划分为第一类别和第二类别,属于所述第一类别的样本数据包括第三访问行为数据,属于所述第二类别的样本数据包括所述第三访问行为数据和第四访问行为数据。其中,所述第三访问行为数据为历史用户在第三时间段内访问服务器生成的数据,所述第四访问行为数据为历史用户在第四时间段内访问服务器生成的数据,所述第四时间段在所述第三时间段之后。
根据本公开实施例,上述预测模型包括生成对抗网络模型,所述生成对抗网络模型包括生成模型和判别模型。其中,所述训练模块包括:处理子模块、确定子模块以及调整子模块。其中,处理子模块,针对每个历史用户的样本数据,将所述样本数据输入所述生成模型中进行处理,其中,在所述样本数据属于第一类别的情况下,通过所述生成模型基于所述第三访问行为数据预测得到所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据。确定子模块,将来自所述生成模型的样本数据输入所述判别模型中,以通过所述判别模型确定所述样本数据属于所述第一类别或者属于所述第二类别得到确定结果。调整子模块,基于所述确定结果,调整所述生成模型的模型参数和/或所述判别模型的模型参数。
根据本公开实施例,上述判别模型包括N个子模型,N为大于1的整数。其中,所述确定子模块包括:划分单元、处理单元以及第一确定单元。其中,划分单元,将来自所述生成模型的每个历史用户的样本数据划分为N个子数据。处理单元,将所述N个子数据一一对应地输入至所述N个子模型,以通过所述N个子模型一一对应地处理所述N个子数据得到N个处理结果。第一确定单元,基于所述N个处理结果,确定所述样本数据属于所述第一类别或属于所述第二类别。
根据本公开实施例,在将所述样本数据输入所述生成模型中进行处理之前,所述装置还包括:裁剪模块以及填充模块。其中,裁剪模块,在所述样本数据属于所述第一类别的情况下,对所述样本数据进行裁剪处理,以使得裁剪后的样本数据的数据长度为预设数据长度。填充模块,在所述样本数据属于所述第二类别的情况下,对所述样本数据进行填充处理,以使得填充后的样本数据的数据长度为所述预设数据长度。
根据本公开实施例,上述处理子模块包括:修改单元以及第二确定单元。其中,修改单元,基于所述样本数据中的第三访问行为数据修改所述样本数据中填充的数据。第二确定单元,将修改后的填充的数据确定为所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据。
根据本公开实施例,上述确定模块还用于:将所述第一访问行为数据和所述第二访问行为数据进行组合,以得到所述完整访问行为数据。
本公开的另一方面提供了一种计算设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现如上所述的方法。
本公开的另一方面提供了一种非易失性可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
本公开的另一方面提供了一种计算机程序,所述计算机程序包括计算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例,利用如上所述的访问行为的识别方法,可以至少部分地解决相关技术中难以通过碎片式攻击、超长潜伏期攻击方式产生的碎片式访问行为数据来识别攻击行为,使得无法及时阻断攻击行为的技术问题。因此可以实现通过对用户前期的行为进行分析,预测用户之后的行为,以实现提前判断用户的行为是否为攻击行为,进而可以更早地对用户的异常行为进行阻止或者警告的技术效果。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了根据本公开实施例的访问行为的识别方法和访问行为的识别装置的***架构;
图2示意性示出了根据本公开实施例的访问行为的识别方法的流程图;
图3示意性示出了根据本公开另一实施例的访问行为的识别方法的流程图;
图4示意性示出了根据本公开实施例的生成模型的模型结构示意图;
图5示意性示出了根据本公开实施例的预测模型的模型结构示意图;
图6示意性示出了根据本公开实施例的访问行为的识别装置的框图;以及
图7示意性示出了根据本公开实施例的用于实现访问行为的识别的计算机***的方框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的***”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的***等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程控制装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行***使用或者结合指令执行***使用。在本公开的上下文中,计算机可读存储介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体***、装置、器件或传播介质。计算机可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
本公开的实施例提供了一种访问行为的识别方法,包括:获取当前用户在第一时间段内访问服务器生成的第一访问行为数据,利用经训练的预测模型处理第一访问行为数据,以预测当前用户在第二时间段内将要访问服务器生成的第二访问行为数据,其中,第二时间段在第一时间段之后。然后,基于第一访问行为数据和第二访问行为数据,确定当前用户访问服务器生成的完整访问行为数据。接下来,利用经训练的识别模型处理完整访问行为数据,以识别当前用户的访问行为是否为攻击行为。
图1示意性示出了根据本公开实施例的访问行为的识别方法和访问行为的识别装置的***架构。需要注意的是,图1所示仅为可以应用本公开实施例的***架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、***、环境或场景。
如图1所示,根据该实施例的***架构100可以包括终端设备101、102、103,网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型,例如有线、无线通信链路或者光纤电缆等等。
用户可以使用终端设备101、102、103通过网络104与服务器105交互,以接收或发送消息等。终端设备101、102、103上可以安装有各种通讯客户端应用,例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等(仅为示例)。
终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
服务器105可以是提供各种服务的服务器,例如对用户利用终端设备101、102、103所浏览的网站提供支持的后台管理服务器(仅为示例)。后台管理服务器可以对接收到的用户请求等数据进行分析等处理,并将处理结果(例如根据用户请求获取或生成的网页、信息、或数据等)反馈给终端设备。
需要说明的是,本公开实施例所提供的访问行为的识别方法一般可以由服务器105执行。相应地,本公开实施例所提供的访问行为的识别装置一般可以设置于服务器105中。本公开实施例所提供的访问行为的识别方法也可以由不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群执行。相应地,本公开实施例所提供的访问行为的识别装置也可以设置于不同于服务器105且能够与终端设备101、102、103和/或服务器105通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
根据本公开实施例,对于在短时间内收集的用户访问服务器的访问行为数据一般分为两种,分别为完整访问行为数据和碎片式访问行为数据。收集的数据可以包括协议类型、连接状态、数据字节数等特征信息。所收集的数据中有正常访问流程的数据,也有一些黑客的攻击数据。
对于完整访问行为数据,可以通过使用支持向量机等机器学习识别模型来基于完整访问行为数据识别用户的访问行为是否为攻击行为。其中,完整访问行为数据可以是用户在短时间内完成一个业务流程产生的完整攻击链数据。
对于碎片式访问行为数据,通过使用生成对抗网络模型中的生成模型和判别模型来预测用户未来的行为,以预测生成用户的完整访问行为数据。然后使用支持向量机等机器识别模型对预测生成的完整访问行为数据进行识别,以确定用户的访问行为是否为攻击行为。
下面结合图1的***架构,参考图2~图5来描述根据本公开示例性实施方式的访问行为的识别方法。需要注意的是,上述***架构仅是为了便于理解本公开的精神和原理而示出,本公开的实施方式在此方面不受任何限制。
图2示意性示出了根据本公开实施例的访问行为的识别方法的流程图。
如图2所示,本公开实施例的访问行为的识别方法例如可以包括操作S210~操作S240。
在操作S210,获取当前用户在第一时间段内访问服务器生成的第一访问行为数据。
根据本公开实施例,例如可以通过网络监听设备针对当前用户对服务器进行访问的访问行为进行监听,以监听得到当前用户的访问行为数据。其中,所获取的当前用户在第一时间段内访问服务器生成的第一访问行为数据例如为碎片式访问行为数据,即,该第一访问行为数据是当前用户完成一个业务流程之前产生的部分访问行为数据。
在操作S220,利用经训练的预测模型处理第一访问行为数据,以预测当前用户在第二时间段内将要访问服务器生成的第二访问行为数据,其中,第二时间段在第一时间段之后。
在本公开实施例中,在获取到当前用户的第一访问行为数据之后,利用经训练的预测模型来处理第一访问行为数据,以便预测用户在之后的第二时间段内将要访问服务器生成的第二访问行为数据。
在操作S230,基于第一访问行为数据和第二访问行为数据,确定当前用户访问服务器生成的完整访问行为数据。
在一种示例中,在得到第一访问行为数据和第二访问行为数据之后,可以将第一访问行为数据和第二访问行为数据进行组合,以得到完整访问行为数据。具体地,第一访问行为数据可以是具有第一数据长度的第一数据段,第二访问行为数据可以是具有第二数据长度的第二数据段,可以将第一数据段和第二数据段进行拼接处理以得到第三数据段,第三数据段可以作为完整访问行为数据,第三数据段的数据长度可以是第一数据长度和第二数据长度之和。
在另一种示例中,可以对第一访问行为数据进行填充处理,第二访问行为数据例如可以是通过对填充的数据进行修改得到的。在得到第一访问行为数据和对填充的数据进行修改得到的第二访问行为数据之后,可以将第一访问行为数据和被修改的数据确定为完整访问行为数据。该示例的具体实现过程将在下文的图3中描述。
接下来,在操作S240,利用经训练的识别模型处理完整访问行为数据,以识别当前用户的访问行为是否为攻击行为。
根据本公开实施例,经训练的识别模型可以是机器学习模型。具体地,识别模型可以包括但不仅限于支持向量机模型、决策树模型、随机森林模型等等。通过识别模型处理用户的完整访问行为数据,可以确定当前用户的访问行为是否是攻击行为,以便针对攻击行为提前进行阻断和告警。
可以理解,本公开实施例通过预测模型处理当前用户的第一访问行为数据,以预测得到当前用户的完整访问行为数据。然后,再基于识别模型处理当前用户的完整访问行为数据以识别当前用户的访问行为是否为攻击行为。在确定当前用户的访问行为是攻击行为的情况下,可以提前采取阻断和告警措施,以保护服务器安全,降低服务器风险。
图3示意性示出了根据本公开另一实施例的访问行为的识别方法的流程图。
如图3所示,本公开实施例的访问行为的识别方法例如可以包括操作S210~操作S240以及操作S310~S340。其中,操作S320例如包括操作S321~操作S323。操作S210~操作S240例如与图2所描述的操作相同或类似,在此不再赘述。
根据本公开实施例,在执行操作S220中关于利用经训练的预测模型处理第一访问行为数据之前,可以执行操作S310~操作S320。
在操作S310,获取多个历史用户的样本数据。
根据本公开实施例,针对每个历史用户的样本数据,样本数据被划分为第一类别和第二类别,属于第一类别的样本数据包括第三访问行为数据,属于第二类别的样本数据包括第三访问行为数据和第四访问行为数据。
其中,第三访问行为数据为历史用户在第三时间段内访问服务器生成的数据,第四访问行为数据为历史用户在第四时间段内访问服务器生成的数据,第四时间段在第三时间段之后。
例如,每个历史用户的样本数据为碎片式访问行为数据或完整访问行为数据。其中,碎片式访问行为数据为第一类别,该碎片式访问行为数据中例如仅包括该历史用户在第三时间段内访问服务器生成的第三访问行为数据。完整访问行为数据为第二类别,该完整访问行为数据中例如包括该历史用户在第三时间段内访问服务器生成的第三访问行为数据以及该历史用户在第四时间段内访问服务器生成的第四访问行为数据,第三访问行为数据和第四访问行为数据组合成完整访问行为数据。
在操作S320,利用样本数据训练预测模型。
根据本公开实施例,预测模型可以包括生成对抗网络模型,生成对抗网络模型包括生成模型和判别模型,其中,生成模型也可称为生成网络,判别模型也可称为对抗网络。
根据本公开实施例,生成对抗网络模型是一种非监督式网络模型。其中的生成模型和判别模型相互对抗。生成模型用于构造虚假数据,判别模型用于判别从生成模型处接收的数据是虚假数据还是真实数据。在生成对抗网络模型的训练过程中,判别模型会接收数据,并判断所接收的数据是真实数据还是虚假数据。如果判别模型判断正确,则需要调整生成模型的模型参数从而使得生成模型构造的虚假数据更为逼真;如果判别模型判断错误,则需要调整判别模型的模型参数,避免下次出现类似的判断错误。训练会一直持续到生成模型和判别模型进入到一个均衡的状态,即生成模型构造的虚假数据更接近真实数据,使得判别模型难以判断其真假。
因此,本公开实施例可以通过利用经训练的生成对抗网络模型中的生成模型来预测用户的完整访问行为数据,使得所预测的完整访问行为数据更加接近真实数据,即,所预测的完整访问行为数据为更接近用户的未来行为数据。
根据本公开实施例,操作S320中关于利用样本数据训练预测模型例如包括操作S321~操作S323。
在操作S321,针对每个历史用户的样本数据,将样本数据输入生成模型中进行处理,其中,在样本数据属于第一类别的情况下,通过生成模型基于第三访问行为数据预测得到历史用户在第四时间段内访问服务器生成的第四访问行为数据。
即,针对一个样本数据,在该样本数据为碎片式访问行为数据的情况下,通过生成模型基于该碎片式访问行为数据预测历史用户的完整访问行为数据,并将预测得到的完整访问行为数据作为虚假数据输入到判别模型中。如果该样本数据为完整访问行为数据,则生成模型可以不用对该完整访问行为数据进行处理,将该完整访问行为数据作为用户原本产生的真实数据输入到判别模型中。
其中,由于样本数据是在一段时间内产生的数据,样本数据中的多个特征之间在时间维度上更加具有相关性。因此,本公开实施例的生成模型可以采用长短时记忆网络模型。其中,生成模型的模型结构将在图4中描述。
在操作S322,将来自生成模型的样本数据输入判别模型中,以通过判别模型确定样本数据属于第一类别或者属于第二类别得到确定结果。
其中,确定结果可以包括样本数据属于第一类别,即,该样本数据是通过生成模型构造的虚假数据。确定结果还可以包括样本数据属于第二类别,即,该样本数据是用户的真实数据。
其中,确定结果可以是判断正确的结果或判断错误的结果。例如,如果来自生成模型的样本数据为构造的虚假数据,如果判别模型的判断结果为该样本数据的类别为第一类别,则判断正确;如果判别模型的判断结果为该样本数据的类别为第二类别,则判断错误。
在操作S323,基于确定结果,调整生成模型的模型参数和/或判别模型的模型参数。
如果判别模型判断正确,则可以将确定结果反馈给生成模型,使得生成模型根据确定结果调整生成模型的模型参数从而使得生成模型之后构造的虚假数据更为逼真;如果判别模型判断错误,则需要调整判别模型的模型参数,避免下次出现类似的判断错误的情况。
根据本公开实施例,判别模型可以包括N个子模型,N为大于1的整数。
其中,操作S322中关于将来自生成模型的样本数据输入判别模型中,以通过判别模型确定样本数据属于第一类别或者属于第二类别可以包括:
首先,将来自生成模型的每个历史用户的样本数据划分为N个子数据。
然后,将N个子数据一一对应地输入至N个子模型,以通过N个子模型一一对应地处理N个子数据得到N个处理结果。例如,把第1个子数据输入到第1个子模型,将第2个子数据输入到第2个子模型,将第3个子数据输入到第3个子模型,以此类推。每个子模型例如可以输出一个处理结果。
接下来,基于N个处理结果,确定样本数据属于第一类别或属于第二类别。例如,生成对抗网络中除了包括生成模型和N个子模型之外,还可以包括其他网络层级结构。在一种实施例中,该其他网络层级结构可以是判别模型中的部分。通过将N个处理结果输入至其他网络层级结构中进行处理得到输出结果,输出结果可以表征样本数据属于第一类别或属于第二类别。其中,判别模型的模型结构将在图5中描述。
根据本公开实施例,在执行操作S321中关于将样本数据输入生成模型中进行处理之前,本公开实施例的方法还可以包括操作S330~操作S340。其中,操作S330~操作S340例如为对样本数据进行预处理的操作。
在操作S330,在样本数据属于第一类别的情况下,对样本数据进行裁剪处理,以使得裁剪后的样本数据的数据长度为预设数据长度。例如,去除样本数据中多余或重复的数据。
在操作S340,在样本数据属于第二类别的情况下,对样本数据进行填充处理,以使得填充后的样本数据的数据长度为预设数据长度。在一种实施例中,预设数据长度例如为1024。如果第二类别的样本数据的数据长度为512,则在该样本数据之后填充零,使得填充零后的样本数据的数据长度为1024,填充后的样本数据的第513-1024位的数据均为零。
根据本公开实施例,操作S321中关于在样本数据属于第一类别的情况下,通过生成模型预测基于第三访问行为数据预测得到历史用户在第四时间段内访问服务器生成的第四访问行为数据可以包括:
首先,基于样本数据中的第三访问行为数据修改样本数据中填充的数据。例如修改样本数据中被填充为零的数据。例如,当填充后的样本数据的第513-1024位的数据均为零,则可以修改填充后的样本数据的第513-1024位的数据。
然后,将修改后的填充的数据确定为历史用户在第四时间段内访问服务器生成的第四访问行为数据。例如,将样本数据中修改后的第513-1024位的数据作为第四访问行为数据。
类似地,在操作S220中关于利用经训练的预测模型处理第一访问行为数据,以预测当前用户在第二时间段内将要访问服务器生成的第二访问行为数据具体可以包括:利用经训练的预测模型中的生成模型来对第一访问行为数据进行填充处理。在利用经川练的预测模型处理第一访问行为数据时,可以修改第一访问行为数据中被填充零的数据,被修改后的填充数据可以作为第二访问行为数据。
在本公开实施例中,对碎片式访问行为数据或者完整访问行为数据进行预处理,还可以包括将数据中的字符串类型的数据转化为便于分类的数字类型的数据,以利于后期对数据的使用以及模型的训练。需要说明的是,由于收集的用户的数据中有很多的特征,并且每种特征的属性和单位存在不同的情况,为了使模型得到更好的训练,需要对数据进行归一化处理。通过归一化处理后的数据,每种特征的数据都可以限制在一定的数值范围内,从而可以避免因特征单位的不同而对模型造成的影响。可见,通过数据预处理过程可以将所采集的数据处理成符合生成对抗网络模型所需要的数据形式。
图4示意性示出了根据本公开实施例的生成模型的模型结构示意图。
如图4所示,本公开实施例的生成模型例如为循环神经网络中双层的长短时记忆网络模型。
在一种实施例中,生成模型的模型参数例如为:学习率的初始值为1.0,梯度的最大范数设置为5,叠加的层数为2层,学习速率的衰减速度为0.5。输入节点数为1020,隐藏层节点数为200,输出节点数为1020。为了避免出现过拟合现象,本公开还引入了dropout机制,dropout机制可以实现忽略模型中的部分神经元进而避免产生过拟合现象。
图5示意性示出了根据本公开实施例的预测模型的模型结构示意图。
如图5所示,预测模型包括生成模型510和判别模型520。其中,生成模型510例如与图4中描述的生成模型相同或类似,在此不再赘述。
根据本公开实施例,判别模型520例如以包括N=10个子模型为例,每个子模型为一个判别模型。通过生成模型510处理后的样本数据例如以包括1020个特征为例。其中,生成模型510处理后的样本数据例如包括原始的完整型访问行为数据和对碎片式访问行为数据进行预测得到的完整型访问行为数据。
由于处理后的样本数具有1020个特征,数据特征的维度过大非常不利于模型的训练。为了提高判别模型520的训练准确率,可以通过使用多个子模型对处理后的样本数据进行判别。
例如对具有1020个特征的处理后的样本数进行切片,分为10个子数据,每个子数据包括102个特征。例如第1个子数据包括第1-102个特征,第2个子数据包括第103-204个特征,第3个子数据包括第205-306个特征,以此类推。
然后,对10个子数据分别建立判别模型,10个判别模型例如表示为D1~D10。判别模型D1(子模型)例如用于处理第1个子数据,判别模型D2(子模型)例如用于处理第2个子数据,判别模型D3(子模型)例如用于处理第3个子数据,以此类推。通过建立多个判别模型的方式,不仅能够加快生成对抗网络整体的训练速度,而且使得生成模型生成的数据更加接近真实数据。
例如,本公开实施例的判别模型的参数信息中包括输入层、隐藏层、输出层。例如每个判别模型(每个子模型)的输入层包括102个节点;隐藏层包括64个节点,隐藏层所使用的激活函数为relu函数;输出层包括1个节点,输出层所使用的激活函数为sigmoid函数。将来自生成模型的用户原始的完整型访问行为数据和基于碎片式访问行为数据预测得到的完整型访问行为数据传入判别模型中,并通过判别模型判别数据是否为预测生成的数据,并把判别结果反馈给生成模型,通过两个网络的对抗过程来调整生成对抗网络米线中的模型参数,最终完成生成对抗网络模型的训练。
通过本公开实施例的技术方案,能够对碎片式攻击、超长潜伏期的网络攻击进行识别。利用经训练的生成对抗网络模型,能够基于用户的碎片式访问行为数据来预测生成用户整体访问行为数据。然后,将用户的整体访问行为数据输入异常行为识别模型中进行识别,最终判断用户的行为是否为攻击行为。
本公开通过将原始的生成对抗网络模型改进为具有多个判别网络的生成对抗网络模型,通过对模型的改进,不仅能够加快生成对抗网络米线整体的训练速度,而且使得生成网络生成的预测数据更加接近真实数据。
通过本公开实施例的技术方案,能够实现通过对用户前期的行为进行分析,预测用户之后的行为,以实现提前判断用户的行为是否为攻击行为,进而可以更早地对用户的异常行为进行阻止或者警告。
图6示意性示出了根据本公开实施例的访问行为的识别装置的框图。
如图6所示,访问行为的识别装置600例如可以包括第一获取模块610、预测模块620、确定模块630以及识别模块640。
第一获取模块610可以用于获取当前用户在第一时间段内访问服务器生成的第一访问行为数据。根据本公开实施例,第一获取模块610例如可以执行上文参考图2描述的操作S210,在此不再赘述。
预测模块620可以用于利用经训练的预测模型处理第一访问行为数据,以预测当前用户在第二时间段内将要访问服务器生成的第二访问行为数据,其中,第二时间段在第一时间段之后。根据本公开实施例,预测模块620例如可以执行上文参考图2描述的操作S220,在此不再赘述。
确定模块630可以用于基于第一访问行为数据和第二访问行为数据,确定当前用户访问服务器生成的完整访问行为数据。根据本公开实施例,确定模块630例如可以执行上文参考图2描述的操作S230,在此不再赘述。
识别模块640可以用于利用经训练的识别模型处理完整访问行为数据,以识别当前用户的访问行为是否为攻击行为。根据本公开实施例,识别模块640例如可以执行上文参考图2描述的操作S240,在此不再赘述。
本公开实施例通过预测模型处理当前用户的第一访问行为数据,以预测得到当前用户的完整访问行为数据,并基于完整访问行为数据以识别当前用户的访问行为是否为攻击行为,以便对攻击行为提前采取阻断和告警措施,降低服务器风险。
根据本公开实施例,在利用经训练的预测模型处理第一访问行为数据之前,装置600还可以包括:第二获取模块和训练模块。其中,第二获取模块,获取多个历史用户的样本数据。训练模块,利用样本数据训练预测模型。其中,针对每个历史用户的样本数据,样本数据被划分为第一类别和第二类别,属于第一类别的样本数据包括第三访问行为数据,属于第二类别的样本数据包括第三访问行为数据和第四访问行为数据。其中,第三访问行为数据为历史用户在第三时间段内访问服务器生成的数据,第四访问行为数据为历史用户在第四时间段内访问服务器生成的数据,第四时间段在第三时间段之后。
根据本公开实施例,上述预测模型包括生成对抗网络模型,生成对抗网络模型包括生成模型和判别模型。其中,训练模块包括:处理子模块、确定子模块以及调整子模块。其中,处理子模块,针对每个历史用户的样本数据,将样本数据输入生成模型中进行处理,其中,在样本数据属于第一类别的情况下,通过生成模型基于第三访问行为数据预测得到历史用户在第四时间段内访问服务器生成的第四访问行为数据。确定子模块,将来自生成模型的样本数据输入判别模型中,以通过判别模型确定样本数据属于第一类别或者属于第二类别得到确定结果。调整子模块,基于确定结果,调整生成模型的模型参数和/或判别模型的模型参数。
根据本公开实施例,上述判别模型包括N个子模型,N为大于1的整数。其中,确定子模块包括:划分单元、处理单元以及第一确定单元。其中,划分单元,将来自生成模型的每个历史用户的样本数据划分为N个子数据。处理单元,将N个子数据一一对应地输入至N个子模型,以通过N个子模型一一对应地处理N个子数据得到N个处理结果。第一确定单元,基于N个处理结果,确定样本数据属于第一类别或属于第二类别。
根据本公开实施例,在将样本数据输入生成模型中进行处理之前,装置600还可以包括:裁剪模块以及填充模块。其中,裁剪模块,在样本数据属于第一类别的情况下,对样本数据进行裁剪处理,以使得裁剪后的样本数据的数据长度为预设数据长度。填充模块,在样本数据属于第二类别的情况下,对样本数据进行填充处理,以使得填充后的样本数据的数据长度为预设数据长度。
根据本公开实施例,上述处理子模块包括:修改单元以及第二确定单元。其中,修改单元,基于样本数据中的第三访问行为数据修改样本数据中填充的数据。第二确定单元,将修改后的填充的数据确定为历史用户在第四时间段内访问服务器生成的第四访问行为数据。
根据本公开实施例,上述确定模块还用于:将第一访问行为数据和第二访问行为数据进行组合,以得到完整访问行为数据。
本公开还提供了一种计算设备,该计算设备可以包括:一个或多个处理器和存储装置。存储装置可以用于存储一个或多个程序。其中,当一个或多个程序被一个或多个处理器执行时,使得一个或多个处理器可以执行上文提及的方法。
本公开的另一方面提供了一种非易失性可读存储介质,存储有计算机可执行指令,该指令在被执行时用于实现上文提及的方法。
本公开的另一方面提供了一种计算机程序,计算机程序包括计算机可执行指令,该指令在被执行时用于实现上文提及的方法。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,第一获取模块610、预测模块620、确定模块630以及识别模块640中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,第一获取模块610、预测模块620、确定模块630以及识别模块640中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上***、基板上的***、封装上的***、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者,第一获取模块610、预测模块620、确定模块630以及识别模块640中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图7示意性示出了根据本公开实施例的用于实现访问行为的识别的计算机***的方框图。图7示出的计算机***仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,计算机***700包括处理器701、计算机可读存储介质702。该***700可以执行根据本公开实施例的方法。
具体地,处理器701例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器701还可以包括用于缓存用途的板载存储器。处理器701可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质702,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体***、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
计算机可读存储介质702可以包括计算机程序703,该计算机程序703可以包括代码/计算机可执行指令,其在由处理器701执行时使得处理器701执行根据本公开实施例的方法或其任何变形。
计算机程序703可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序703中的代码可以包括一个或多个程序模块,例如包括703A、模块703B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器701执行时,使得处理器701可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,第一获取模块610、预测模块620、确定模块630以及识别模块640中的至少一个可以实现为参考图7描述的计算机程序模块,其在被处理器701执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/***中所包含的;也可以是单独存在,而未装配入该设备/装置/***中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现上述方法。
根据本公开的实施例,计算机可读存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读存储介质,该计算机可读存储介质可以发送、传播或者传输用于由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读存储介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、有线、光缆、射频信号等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本公开各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。

Claims (14)

1.一种访问行为的识别方法,包括:
获取当前用户在第一时间段内访问服务器生成的第一访问行为数据;
利用经训练的预测模型处理所述第一访问行为数据,以预测所述当前用户在第二时间段内将要访问所述服务器生成的第二访问行为数据,其中,所述第二时间段在所述第一时间段之后;
基于所述第一访问行为数据和第二访问行为数据,确定所述当前用户访问所述服务器生成的完整访问行为数据;以及
利用经训练的识别模型处理所述完整访问行为数据,以识别所述当前用户的访问行为是否为攻击行为。
2.根据权利要求1所述的方法,其中,在利用经训练的预测模型处理所述第一访问行为数据之前,所述方法还包括:
获取多个历史用户的样本数据;以及
利用所述样本数据训练所述预测模型,
其中,针对每个历史用户的样本数据,所述样本数据被划分为第一类别和第二类别,属于所述第一类别的样本数据包括第三访问行为数据,属于所述第二类别的样本数据包括所述第三访问行为数据和第四访问行为数据,
其中,所述第三访问行为数据为历史用户在第三时间段内访问服务器生成的数据,所述第四访问行为数据为历史用户在第四时间段内访问服务器生成的数据,所述第四时间段在所述第三时间段之后。
3.根据权利要求2所述的方法,其中,所述预测模型包括生成对抗网络模型,所述生成对抗网络模型包括生成模型和判别模型;
其中,所述利用所述样本数据训练所述预测模型包括:
针对每个历史用户的样本数据,将所述样本数据输入所述生成模型中进行处理,其中,在所述样本数据属于第一类别的情况下,通过所述生成模型基于所述第三访问行为数据预测得到所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据;
将来自所述生成模型的样本数据输入所述判别模型中,以通过所述判别模型确定所述样本数据属于所述第一类别或者属于所述第二类别得到确定结果;以及
基于所述确定结果,调整所述生成模型的模型参数和/或所述判别模型的模型参数。
4.根据权利要求3所述的方法,其中,所述判别模型包括N个子模型,N为大于1的整数;
其中,所述将来自所述生成模型的样本数据输入所述判别模型中,以通过所述判别模型确定所述样本数据属于所述第一类别或者属于所述第二类别包括:
将来自所述生成模型的每个历史用户的样本数据划分为N个子数据;
将所述N个子数据一一对应地输入至所述N个子模型,以通过所述N个子模型一一对应地处理所述N个子数据得到N个处理结果;以及
基于所述N个处理结果,确定所述样本数据属于所述第一类别或属于所述第二类别。
5.根据权利要求3所述的方法,其中,在将所述样本数据输入所述生成模型中进行处理之前,所述方法还包括:
在所述样本数据属于所述第一类别的情况下,对所述样本数据进行裁剪处理,以使得裁剪后的样本数据的数据长度为预设数据长度;以及
在所述样本数据属于所述第二类别的情况下,对所述样本数据进行填充处理,以使得填充后的样本数据的数据长度为所述预设数据长度。
6.根据权利要求5所述的方法,其中,所述在所述样本数据属于第一类别的情况下,通过所述生成模型预测基于所述第三访问行为数据预测得到所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据包括:
基于所述样本数据中的第三访问行为数据修改所述样本数据中填充的数据;以及
将修改后的填充的数据确定为所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据。
7.一种访问行为的识别装置,包括:
第一获取模块,获取当前用户在第一时间段内访问服务器生成的第一访问行为数据;
预测模块,利用经训练的预测模型处理所述第一访问行为数据,以预测所述当前用户在第二时间段内将要访问所述服务器生成的第二访问行为数据,其中,所述第二时间段在所述第一时间段之后;
确定模块,基于所述第一访问行为数据和第二访问行为数据,确定所述当前用户访问所述服务器生成的完整访问行为数据;以及
识别模块,利用经训练的识别模型处理所述完整访问行为数据,以识别所述当前用户的访问行为是否为攻击行为。
8.根据权利要求7所述的装置,其中,在利用经训练的预测模型处理所述第一访问行为数据之前,所述装置还包括:
第二获取模块,获取多个历史用户的样本数据;以及
训练模块,利用所述样本数据训练所述预测模型,
其中,针对每个历史用户的样本数据,所述样本数据被划分为第一类别和第二类别,属于所述第一类别的样本数据包括第三访问行为数据,属于所述第二类别的样本数据包括所述第三访问行为数据和第四访问行为数据,
其中,所述第三访问行为数据为历史用户在第三时间段内访问服务器生成的数据,所述第四访问行为数据为历史用户在第四时间段内访问服务器生成的数据,所述第四时间段在所述第三时间段之后。
9.根据权利要求8所述的装置,其中,所述预测模型包括生成对抗网络模型,所述生成对抗网络模型包括生成模型和判别模型;
其中,所述训练模块包括:
处理子模块,针对每个历史用户的样本数据,将所述样本数据输入所述生成模型中进行处理,其中,在所述样本数据属于第一类别的情况下,通过所述生成模型基于所述第三访问行为数据预测得到所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据;
确定子模块,将来自所述生成模型的样本数据输入所述判别模型中,以通过所述判别模型确定所述样本数据属于所述第一类别或者属于所述第二类别得到确定结果;以及
调整子模块,基于所述确定结果,调整所述生成模型的模型参数和/或所述判别模型的模型参数。
10.根据权利要求9所述的装置,其中,所述判别模型包括N个子模型,N为大于1的整数;
其中,所述确定子模块包括:
划分单元,将来自所述生成模型的每个历史用户的样本数据划分为N个子数据;
处理单元,将所述N个子数据一一对应地输入至所述N个子模型,以通过所述N个子模型一一对应地处理所述N个子数据得到N个处理结果;以及
第一确定单元,基于所述N个处理结果,确定所述样本数据属于所述第一类别或属于所述第二类别。
11.根据权利要求9所述的装置,其中,在将所述样本数据输入所述生成模型中进行处理之前,所述装置还包括:
裁剪模块,在所述样本数据属于所述第一类别的情况下,对所述样本数据进行裁剪处理,以使得裁剪后的样本数据的数据长度为预设数据长度;以及
填充模块,在所述样本数据属于所述第二类别的情况下,对所述样本数据进行填充处理,以使得填充后的样本数据的数据长度为所述预设数据长度。
12.根据权利要求11所述的装置,其中,所述处理子模块包括:
修改单元,基于所述样本数据中的第三访问行为数据修改所述样本数据中填充的数据;以及
第二确定单元,将修改后的填充的数据确定为所述历史用户在所述第四时间段内访问服务器生成的第四访问行为数据。
13.一种计算设备,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行根据权利要求1至6中任一项所述的方法。
14.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器执行根据权利要求1至6中任一项所述的方法。
CN202010727441.7A 2020-07-24 2020-07-24 访问行为的识别方法、装置、计算设备和介质 Pending CN111865999A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010727441.7A CN111865999A (zh) 2020-07-24 2020-07-24 访问行为的识别方法、装置、计算设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010727441.7A CN111865999A (zh) 2020-07-24 2020-07-24 访问行为的识别方法、装置、计算设备和介质

Publications (1)

Publication Number Publication Date
CN111865999A true CN111865999A (zh) 2020-10-30

Family

ID=72950209

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010727441.7A Pending CN111865999A (zh) 2020-07-24 2020-07-24 访问行为的识别方法、装置、计算设备和介质

Country Status (1)

Country Link
CN (1) CN111865999A (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102469103A (zh) * 2011-07-01 2012-05-23 中国人民解放军国防科学技术大学 基于bp神经网络的木马事件预测方法
CN106992994A (zh) * 2017-05-24 2017-07-28 腾讯科技(深圳)有限公司 一种云服务的自动化监控方法和***
CN107426199A (zh) * 2017-07-05 2017-12-01 浙江鹏信信息科技股份有限公司 一种网络异常行为检测与分析的方法及***
CN108334774A (zh) * 2018-01-24 2018-07-27 ***股份有限公司 一种检测攻击的方法、第一服务器及第二服务器
CN109274639A (zh) * 2018-07-03 2019-01-25 阿里巴巴集团控股有限公司 开放平台异常数据访问的识别方法和装置
CN109729094A (zh) * 2019-01-24 2019-05-07 中国平安人寿保险股份有限公司 恶意攻击检测方法、***、计算机装置及可读存储介质
US20190260780A1 (en) * 2018-02-20 2019-08-22 Darktrace Limited Cyber threat defense system protecting email networks with machine learning models
US20190289025A1 (en) * 2018-03-14 2019-09-19 Bank Of America Corporation Cross-channel detection system with real-time dynamic notification processing
CN110365674A (zh) * 2019-07-11 2019-10-22 武汉思普崚技术有限公司 一种预测网络攻击面的方法、服务器和***
CN110532773A (zh) * 2018-05-25 2019-12-03 阿里巴巴集团控股有限公司 恶意访问行为识别方法、数据处理方法、装置和设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102469103A (zh) * 2011-07-01 2012-05-23 中国人民解放军国防科学技术大学 基于bp神经网络的木马事件预测方法
CN106992994A (zh) * 2017-05-24 2017-07-28 腾讯科技(深圳)有限公司 一种云服务的自动化监控方法和***
CN107426199A (zh) * 2017-07-05 2017-12-01 浙江鹏信信息科技股份有限公司 一种网络异常行为检测与分析的方法及***
CN108334774A (zh) * 2018-01-24 2018-07-27 ***股份有限公司 一种检测攻击的方法、第一服务器及第二服务器
US20190260780A1 (en) * 2018-02-20 2019-08-22 Darktrace Limited Cyber threat defense system protecting email networks with machine learning models
US20190289025A1 (en) * 2018-03-14 2019-09-19 Bank Of America Corporation Cross-channel detection system with real-time dynamic notification processing
CN110532773A (zh) * 2018-05-25 2019-12-03 阿里巴巴集团控股有限公司 恶意访问行为识别方法、数据处理方法、装置和设备
CN109274639A (zh) * 2018-07-03 2019-01-25 阿里巴巴集团控股有限公司 开放平台异常数据访问的识别方法和装置
CN109729094A (zh) * 2019-01-24 2019-05-07 中国平安人寿保险股份有限公司 恶意攻击检测方法、***、计算机装置及可读存储介质
CN110365674A (zh) * 2019-07-11 2019-10-22 武汉思普崚技术有限公司 一种预测网络攻击面的方法、服务器和***

Similar Documents

Publication Publication Date Title
KR102480204B1 (ko) 침입 탐지를 위한 지속적인 학습
US11783033B2 (en) Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions
CA2933423C (en) Data acceleration
CN109922032B (zh) 用于确定登录账户的风险的方法、装置、设备及存储介质
CN109886290B (zh) 用户请求的检测方法、装置、计算机设备及存储介质
US11270023B2 (en) Anonymity assessment system
US11004012B2 (en) Assessment of machine learning performance with limited test data
CN110855648B (zh) 一种网络攻击的预警控制方法及装置
CN110929799B (zh) 用于检测异常用户的方法、电子设备和计算机可读介质
CN111371778B (zh) 攻击团伙的识别方法、装置、计算设备以及介质
KR20230028746A (ko) 인쇄회로기판 어셈블리 결함 검출
US11601463B2 (en) Cybersecurity threat modeling and analysis with text miner and data flow diagram editor
US11968224B2 (en) Shift-left security risk analysis
CN117156012B (zh) 异常请求数据处理方法、装置、设备和计算机可读介质
KR20220167314A (ko) 방화벽 인사이트들 프로세싱 및 머신 러닝
Rajawat et al. Novel deep learning model for uncertainty prediction in mobile computing
JP2023539222A (ja) 決定論的学習映像シーン検出
US11573785B2 (en) Predicting code vulnerabilities using machine learning classifier models trained on internal analysis states
CN117176417A (zh) 网络流量异常确定方法、装置、电子设备和可读存储介质
CN117149569A (zh) 一种板卡运行状态预警方法、装置及电子设备
US11221938B2 (en) Real-time collaboration dynamic logging level control
CN111865999A (zh) 访问行为的识别方法、装置、计算设备和介质
CN114726876B (zh) 一种数据检测方法、装置、设备和存储介质
US11012463B2 (en) Predicting condition of a host for cybersecurity applications
CN113783920A (zh) 用于识别web访问入口的方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20201030

RJ01 Rejection of invention patent application after publication