技術領域

本發明涉及計算機技術領域，尤其涉及一種網絡用戶異常行為檢測方法、裝置、設備及存儲介質。

背景技術

隨著互聯網技術的發展，網絡在人們日常生活、工作和學習中越來越重要，必須要保證網絡安全，其中檢測網絡用戶異常行為尤為重要。網絡用戶異常行為是網絡面臨的一大威脅，所謂異常行為，是指與正常行為相對應，由網絡用戶實施的對網絡正常運行造成影響的行為，例如傳播蠕蟲、DDOS攻擊等。這些行為會造成網絡服務質量急劇下降，網絡負載加重甚至癱瘓等后果。隨著網絡快速發展，網絡用戶異常行為的新變種以及新行為層出不窮，其威脅也日益嚴重。因此無論是加強對用戶行為的管控，還是保障網絡的正常運行，都要求能夠對網絡用戶的異常行為實施快速、準確的檢測。

早期人們通常采用端口掃描、報文特征字段匹配等方法對異常行為進行深入分析以獲取特征，從而實現網絡用戶異常行為的檢測。目前隨著人工智能技術的發展，機器學習技術更多地被用于從網絡數據中自動計算異常行為模式、提取其特征，從而自動產生檢測規則，大大降低了開發代價，其中協同學習是最常用且檢測效果較好的一種方法。具體的，通過生成的若干成員分類器進行協作學習，能夠充分利用蘊含在無標記訓練樣本中的信息，從而降低了對訓練樣本數據進行標記的數量要求，在檢測準確性和標記訓練樣本數量之間取得了較好的折中。

雖然協同學習方法能夠因只需部分標記的訓練樣本數據而降低系統開銷，但其通常假設訓練樣本是均勻和平衡的，而實際的網絡環境中，包含網絡用戶異常行為的網絡數據中存在著明顯的非平衡性和分布復雜性，若將協同學習方法直接用于網絡用戶異常行為的檢測，則其生成的成員分類器會產生過擬合現象，從而影響協同學習的效果、降低檢測的準確性。

發明內容

本發明實施例提供了一種網絡用戶異常行為檢測方法、裝置、設備及存儲介質，通過引入選擇性集成學習技術到協同學習檢測方法中，提升協同學習方法處理非平衡復雜分布數據的能力，提高網絡用戶異常行為的檢測準確性。

第一方面，本發明實施例提供了一種網絡用戶異常行為檢測方法，包括：

獲取網絡實際流量數據，根據檢測特征指標對所述網絡實際流量數據進行預處理，獲得部分標記的訓練樣本；

將經過預處理的網絡原始流量數據輸入集成分類器，根據所述統集成分類器的輸出對用戶行為進行識別。

第二方面，本發明實施例還提供了一種網絡用戶異常行為檢測裝置，包括：

預處理模塊，獲取網絡實際流量數據，根據檢測特征指標對所述網絡實際流量數據進行預處理，獲得部分標記的訓練樣本；

檢測模塊，將經過預處理的網絡原始流量數據輸入集成分類器，根據所述統集成分類器的輸出對用戶行為進行識別。

第三方面，本發明實施例還提供了一種服務器，包括：

一個或多個處理器；

存儲裝置，用于存儲一個或多個程序；

當所述一個或多個程序被所述一個或多個處理器執行，使得所述一個或多個處理器實現如上述實施例提供的網絡用戶異常行為檢測方法。

第四方面，本發明實施例還提供了包含計算機可執行指令的存儲介質，所述計算機可執行指令在由計算機處理器執行時用于執行如上述實施例提供的網絡用戶異常行為檢測方法。

本發明實施例提供的一種網絡用戶異常行為檢測方法、裝置、設備及存儲介質，根據檢測特征指標，對采集的網絡實際流量數據進行預處理，將經過預處理的網絡原始流量數據輸入到完成訓練的集成分類器，根據所述統集成分類器的輸出對用戶行為進行識別。利用集成分類器提升處理非平衡復雜分布數據的能力，提高網絡用戶異常行為的檢測準確性。

附圖說明

圖1是本發明實施例一提供的一種網絡用戶異常行為檢測方法的流程圖；

圖2是本發明實施例二提供的集成分類器生成的流程圖；

圖3是本發明實施例三提供的一種網絡用戶異常行為檢測裝置的結構圖；

圖4是本發明實施例4提供的服務器的結構圖。

具體實施方式

下面結合附圖和實施例對本發明作進一步的詳細說明。可以理解的是，此處所描述的具體實施例僅僅用于解釋本發明，而非對本發明的限定。另外還需要說明的是，為了便于描述，附圖中僅示出了與本發明相關的部分而非全部結構。

實施例一