面向大流量基于可信度的網絡惡意行為高速檢測方法。本發明不需要提前訓練一個惡意行為檢測模型，通過實時分析用戶的網絡行為，設立滑動窗口，動態跟蹤用戶的行為習慣，基于用戶給定的可信度，實時檢測網絡惡意行為。首先，選擇若干特征點，將網絡行為抽象為特征向量。網絡惡意行為對應的特征向量組成惡意行為特征矩陣，時間窗內的用戶正常行為對應的特征向量組成正常行為特征矩陣。其次，確定不一致性度量函數，計算正常特征矩陣的所有特征向量和未知網絡行為的特征向量與惡意行為特征矩陣的不一致性得分。最后，計算該網絡行為的統計量p?value，若大于用戶可接受的最大錯誤概率，則預測該行為是惡意行為。

【技術領域】：本發明屬于計算機防病毒技術領域。

【背景技術】：網絡惡意行為在不斷的演化和變異，而且網絡流量越來越大，隱藏在大量正常網絡流量中的網絡惡意行為越來越難以發現。機器學習技術被認為是海量惡意代碼自動分析的重要方法，但是現有機器學習模型的退化問題比較嚴重。同時，隨著數據量的增加，統計分析的計算復雜度越來越高，基于可信度的惡意行為檢測方法的效率問題越來越突出。因此需要一種能夠處理大流量網絡數據，實時吸收新發現的知識，根據網絡惡意行為知識庫、用戶正常行為知識庫和用戶可接受的最大錯誤概率，實時高速分析和檢測惡意行為的方法。

【發明內容】：本發明目的是解決現有機器學習模型退化比較嚴重的問題和基于可信度的檢測方法的效率較低的問題，提出一種通過實時的統計分析用戶的網絡行為和已知網絡惡意行為，設立滑動窗口，動態跟蹤用戶的行為習慣，基于用戶給定的可接受最大錯誤概率，實時并高速地檢測網絡惡意行為的方法。

本發明的技術方案

面向大流量基于可信度的網絡惡意行為檢測方法，該方法包括：

第1步、本發明涉及的一些基本概念：

(1)網絡惡意行為：網絡惡意行為是指，以數據包為載體的，在未明確提示用戶或未經用戶許可的情況下，通過網絡對用戶計算機或其他終端進行的、侵犯用戶合法權益的惡意行為；

(2)不一致性函數：描述一個樣本與一組樣本的不一致性，輸入是一組樣本和一個測試樣本，輸出是一個數值，也叫做不一致性得分；不同樣本與同一組樣本的不一致性得分之間可以比較，得分越高，說明樣本與該組樣本越不一致，得分越低，說明樣本與該組樣本越一致；

(3)統計量p-value：描述一個樣本的不一致性得分在一組樣本中的百分位，取值范圍在0到1之間，從統計的角度刻畫一個樣本與一組樣本的相似性。

(4)時間窗：一個時間段，用來進行網絡行為的過濾。判斷網絡行為的發生時間是否在指定的時間段內，如果在該時間段內，就說明該網絡行為可以在指定的時間窗內被觀測到。當前時間窗，是指以當前時間作為終點的過去的一段指定長度的時間段。

第2步、網絡行為特征的提取

第2.1、確定網絡行為的表示粒度，其中包括：數據包級粒度，每個數據包表示一個網絡行為；NetFlow級粒度，一個網絡連接過程的所有網絡數據表示一個網絡行為；應用級粒度，一個應用過程的所有數據包表示一個網絡行為；

第2.2、提取網絡行為的特征點f；根據不同的數據集，可以選擇不同的網絡行為特征點f；

第2.3、選擇特征點，將網絡行為抽象成特征向量V；在可選網絡行為特征點中，選擇n個特征點組成特征向量V(f1,f2,...fn)，使用選擇的網絡行為特征點作為網絡行為的抽象表示，將二進制的網絡數據映射成特征點組成的特征向量；

第2.4、網絡惡意行為集合的特征矩陣表示；網絡惡意行為集合中包含了N個行為，每個行為都使用相同結構的特征向量V_i表示，1≤i≤N，這N個特征向量組成網絡惡意行為特征矩陣C；特征矩陣的每一列表示一個特征點、每一行表示一個網絡惡意行為的特征向量；

第3步、當前時間窗內用戶正常行為與網絡惡意行為一致性度量