1.面向大流量基于可信度的網絡惡意行為檢測方法，其特征在于該方法包括如下步驟：

第1步、基本概念：

(1)網絡惡意行為：網絡惡意行為是指，以數據包為載體的，在未明確提示用戶或未經用戶許可的情況下，通過網絡對用戶計算機或其他終端進行的、侵犯用戶合法權益的惡意行為；

(2)不一致性函數：描述一個樣本與一組樣本的不一致性，輸入是一組樣本和一個測試樣本，輸出是一個數值，也叫做不一致性得分；不同樣本與同一組樣本的不一致性得分之間可以比較，得分越高，說明樣本與該組樣本越不一致，得分越低，說明樣本與該組樣本越一致；

(3)統計量p-value：描述一個樣本的不一致性得分在一組樣本中的百分位，取值范圍在0到1之間，從統計的角度刻畫一個樣本與一組樣本的相似性；

(4)時間窗：一個時間段，用來進行網絡行為的過濾；判斷網絡行為的發生時間是否在指定的時間段內，如果在該時間段內，就說明該網絡行為能夠在指定的時間窗內被觀測到；當前時間窗，是指以當前時間作為終點的過去的一段指定長度的時間段；

第2步、網絡行為特征的提取

第2.1、確定網絡行為的表示粒度，其中包括：數據包級粒度，每個數據包表示一個網絡行為；NetFlow級粒度，一個網絡連接過程的所有網絡數據表示一個網絡行為；應用級粒度，一個應用過程的所有數據包表示一個網絡行為；

第2.2、提取網絡行為的特征點f；根據不同的數據集，選擇不同的網絡行為特征點f；

第2.3、選擇特征點，將網絡行為抽象成特征向量V；在可選網絡行為特征點中，選擇n個特征點組成特征向量V(f1,f2,...fn)，使用選擇的網絡行為特征點作為網絡行為的抽象表示，將二進制的網絡數據映射成特征點組成的特征向量；

第2.4、網絡惡意行為集合的特征矩陣表示；網絡惡意行為集合中包含了N個行為，每個行為都使用相同結構的特征向量V_i表示，1≤i≤N，這N個特征向量組成網絡惡意行為特征矩陣C；特征矩陣的每一列表示一個特征點、每一行表示一個網絡惡意行為的特征向量；

第3步、當前時間窗內用戶正常行為與網絡惡意行為一致性度量

第3.1、確定不一致性度量函數A(V,C)；不一致性度量函數的輸入是網絡行為特征向量V，網絡惡意行為特征矩陣C，返回值是V與C的不一致性得分s；不一致性度量函數A是任何能夠表示不一致性的函數；

第3.2、提取當前時間窗內所有用戶正常行為，正常行為個數為N₁，根據第2.4步的網絡行為特征提取方法，提取正常行為特征矩陣B；

第3.3、計算正常行為特征矩陣B中的所有網絡行為特征向量V和惡意行為特征矩陣C的不一致性得分，得到所有正常行為特征向量對于惡意行為特征矩陣的不一致性得分集合S_B；

第4步、未知網絡行為與時間窗內用戶正常行為一致性度量

第4.1、計算未知網絡行為特征向量V相對于惡意行為特征矩陣C的不一致性得分s_v；

第4.2、統計不一致性得分集合S_B中小于s_v的元素個數，記為N_v；未知網絡行為相對于時間窗內用戶正常行為的統計量p-value＝N_v/(N+1)；

第5步、面向大流量基于可信度的惡意行為檢測

第5.1、用戶給出可接受的可信度Conf，用戶只接受準確率在Conf之上的檢測結果；

第5.2、計算可接受的最大錯誤率ε＝1-Conf；

第5.3、如果網絡行為特征向量V與惡意行為特征矩陣C的不一致性得分s_v，對于時間窗內所有正常行為特征向量對于惡意行為特征矩陣的不一致性得分集合S_B的p-value大于ε，則有Conf的可信度，預測該網絡行為是網絡惡意行為，按照用戶設定的處理方法進行處理；

第5.4、如果檢測結果顯示，該網絡行為不是惡意行為，則該網絡行為的特征向量V將自動吸收進用戶正常行為特征矩陣B中，根據當前的時間點，滑動時間窗，刪除時間窗之外的用戶正常行為，生成更新后的用戶正常行為特征矩陣B'，原有的特征矩陣將過期，后面的檢測使用新的特征矩陣B'；

第5.5、如果在吸收網絡行為V之后，發現新的未知網絡行為V'，對于V'是否為惡意的判斷將采用最新的正常行為特征矩陣B'，然后重復第4步和第5步的分析過程。