1.一種用于惡意網絡行為檢測的方法，包括：

根據多個行為類別各自的特征參數，計算待檢測的網絡行為與所述多個行為類別的每一個的相關程度值，得到多個相關程度值，其中，所述多個行為類別包括正常行為類別和至少一個惡意行為類別，所述多個行為類別各自的特征參數預先利用已知的惡意網絡行為和正常網絡行為作為訓練樣本訓練得到；以及

根據所述多個相關程度值中的最大相關程度值是所述待檢測的網絡行為與所述正常行為類別的相關程度值還是所述待檢測的網絡行為與所述至少一個惡意行為類別的其中之一的相關程度值，確定所述待檢測的行為屬于正常網絡行為或惡意網絡行為。

2.如權利要求1所述的方法，其中，還包括：

根據所述待檢測的網絡行為的行為特點，判定所述待檢測的網絡行為所屬的行為種類；以及

從分別對應于不同的行為種類的多個行為識別模型中，選擇與所判定的行為種類對應的行為識別模型，其中，所述多個行為識別模型的每一個包括所述多個行為類別各自的特征參數，

其中，所述計算進一步包括：根據所選擇的行為識別模型所包括的所述多個行為類別各自的特征參數，計算所述待檢測的行為與所述多個行為類別的每一個的相關程度值，得到所述多個相關程度值。

3.如權利要求2所述的方法，其中，還包括：

將作為所述訓練樣本的所述已知的惡意網絡行為和正常網絡行為劃分為多個行為組，其中每一個行為組中的網絡行為屬于相同的行為種類；

利用聚類算法將所述多個行為組中的每一個行為組所包括的網絡行為聚類為多個子行為組，每一個子行為組所包括的網絡行為屬于所述多個行為類別的其中一個；以及

利用多分類器訓練算法分別對所述多個行為組中的每一個行為組所包括的各個子行為組中的網絡行為進行訓練，得到所述多個行為識別模型。

4.如權利要求3所述的方法，其中，

所述待檢測的網絡行為被確定所屬的行為與所述待檢測的網絡行為實際所屬的行為不相同，以及

所述方法還包括：

計算所述多個相關程度值中除了所述最大相關程度值之外的其它相關程度值的乘積；

檢查所述最大相關程度值與所計算的乘積的比值是否大于指定閾值；以及

如果檢查結果為肯定，則利用增量學習算法使用所述待檢測的網絡行為進行自學習訓練，以更新所述多個行為識別模型。

5.如權利要求2所述的方法，其中，所述行為種類包括傳播行為、遠程控制行為、攻擊行為。

6.一種用于惡意網絡行為檢測的裝置，包括：

計算模塊，用于根據多個行為類別各自的特征參數，計算待檢測的網絡行為與所述多個行為類別的每一個的相關程度值，得到多個相關程度值，其中，所述多個行為類別包括正常行為類別和至少一個惡意行為類別，所述多個行為類別各自的特征參數預先利用已知的惡意網絡行為和正常網絡行為作為訓練樣本訓練得到；以及

確定模塊，用于根據所述多個相關程度值中的最大相關程度值是所述待檢測的網絡行為與所述正常行為類別的相關程度值還是所述待檢測的網絡行為與所述至少一個惡意行為類別的其中之一的相關程度值，確定所述待檢測的行為屬于正常網絡行為或惡意網絡行為。

7.如權利要求6所述的裝置，其中，還包括：

判定模塊，用于根據所述待檢測的網絡行為的行為特點，判定所述待檢測的網絡行為所屬的行為種類；以及

選擇模塊，用于從分別對應于不同的行為種類的多個行為識別模型中，選擇與所判定的行為種類對應的行為識別模型，其中，所述多個行為識別模型的每一個包括所述多個行為類別各自的特征參數，

其中，所述計算模塊進一步用于：根據所選擇的行為識別模型所包括的所述多個行為類別各自的特征參數，計算所述待檢測的行為與所述多個行為類別的每一個的相關程度值，得到所述多個相關程度值。