本申請公開了一種異常網絡數據行為模型的獲取方法、裝置、電子設備及存儲介質。該方法在獲取第一網絡的第一混合網絡數據，第二網絡的第一類型網絡數據和第三網絡的第二混合網絡數據后，根據三種網絡數據的多個netflow數據中流起始時間的先后順序和預設狀態標記規則，分別對第一混合網絡數據、第一類型網絡數據和第二混合網絡數據的屬性特征進行狀態標記，獲取相應的第一狀態鏈、第二狀態鏈和第三狀態鏈；基于相同的目的端口和網絡數據類型，采用預設狀態鏈修改規則，對第一狀態鏈、第二狀態鏈和第三狀態鏈進行兩兩比對和狀態鏈修改，獲取異常狀態鏈，以獲取異常網絡數據行為模型，提高了獲取異常數據特征的準確率和效率。

技術領域

本申請涉及通信技術領域，尤其涉及一種異常網絡數據行為模型的獲取方法、裝置、電子設備及存儲介質。

背景技術

隨著網絡規模的迅速擴大、網絡技術的復雜化，以及網絡設備的多樣化，使得網絡數據形態呈幾何倍數增長變化。

目前，網絡數據的檢測方法主要是先構建數據特征庫：通過人工查找異常網絡數據的數據包中特定位置的特殊字段，將該特殊字段作為異常網絡數據的異常數據特征，構建數據特征庫。在檢測過程中，將網絡數據與數據特征庫中的多個異常數據特征進行匹配，若匹配成功，則確定網絡數據為異常網絡數據，若匹配不成功，則確定網絡數據為正常網絡數據。

然而，發明人發現上述構建數據特征庫的過程中需要解析數據包的內部信息，之后通過人工查找內部信息中的異常數據特征來構建數據特征庫。由于存在人工操作，故存在人為誤差，降低了獲取異常數據特征的準確性和效率。

發明內容

本申請實施例提供一種異常網絡數據行為模型的獲取方法、裝置、電子設備及存儲介質，解決了現有技術存在的上述問題，提高了獲取異常數據特征的準確性和效率。

第一方面，提供了一種異常網絡數據行為模型的獲取方法，該方法可以包括：

獲取第一網絡的第一混合網絡數據，第二網絡的第一類型網絡數據和第三網絡的第二混合網絡數據；其中，所述第一混合網絡數據為所述第一網絡中第一類型網絡數據和第二類型網絡數據的混合網絡數據，所述第二混合網絡數據為所述第三網絡中在所述第一類型網絡數據基礎上所述第二類型網絡數據從無到有再到無的變化過程的混合網絡數據；網絡數據包括多個netflow數據，所述netflow數據為基于四元組確定的數據信息，所述四元組包括源地址、目的地址、目的端口和網絡數據類型；

根據所述第一混合網絡數據、所述第一類型網絡數據或所述第二混合網絡數據的多個netflow數據中流起始時間的先后順序和預設狀態標記規則，分別對所述第一混合網絡數據、所述第一類型網絡數據和所述第二混合網絡數據的屬性特征進行狀態標記，獲取相應的第一狀態鏈、第二狀態鏈和第三狀態鏈，所述屬性特征包括所述netflow數據的周期性、大小和持續時間，狀態鏈是所述具有相同四元組的多個netflow數據的狀態集合；

基于相同的目的端口和網絡數據類型，采用預設狀態鏈修改規則，對所述第一狀態鏈、所述第二狀態鏈和所述第三狀態鏈進行兩兩比對和狀態鏈修改，獲取異常狀態鏈。

將所述異常狀態鏈確定為異常網絡數據行為模型。

在一個可選的實現中，獲取相應的第一狀態鏈、第二狀態鏈和第三狀態鏈，包括：

對所述第一混合網絡數據、所述第一類型網絡數據和所述第二混合網絡數據進行netflow類型提取，分別獲取所述第一混合網絡數據、所述第一類型網絡數據和所述第二混合網絡數據中具有相同四元組的多個netflow數據；

在所述具有相同四元組的多個netflow數據中，根據預設狀態標記規則，對所述多個netflow數據中每個netflow數據的周期性、大小和持續時間進行狀態標記，得到所述netflow數據的狀態組合；