本發(fā)明實施例提供了一種異常行為的識別方法、裝置及電子設(shè)備，包括：獲取對待識別業(yè)務(wù)進行訪問的待識別行為的行為信息；基于該行為信息，生成該待識別行為的行為特征；將該行為特征輸入預(yù)先訓(xùn)練的有監(jiān)督機器學(xué)習(xí)模型，得到表示該待識別行為是否為異常的識別結(jié)果，其中，有監(jiān)督機器學(xué)習(xí)模型為基于樣本集訓(xùn)練得到的，樣本集包括黑樣本集和白樣本集，黑樣本集中包括已知異常行為的行為特征，白樣本集中包括已知正常行為的行為特征。本發(fā)明通過建立有監(jiān)督機器學(xué)習(xí)模型，能夠提升識別異常訪問行為的準(zhǔn)確度，準(zhǔn)確的對異常訪問行為進行攔截。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全防護技術(shù)領(lǐng)域，特別是涉及一種異常行為的識別方法、裝置及電子設(shè)備。

背景技術(shù)

隨著全球信息化時代的到來，互聯(lián)網(wǎng)技術(shù)的應(yīng)用領(lǐng)域不斷擴大，互聯(lián)網(wǎng)工程開始涉及到社會發(fā)展的方方面面，自然的，就需要一定的網(wǎng)絡(luò)安全防護手段，來保證網(wǎng)絡(luò)安全。當(dāng)下互聯(lián)網(wǎng)領(lǐng)域中最主要的技術(shù)手段是聯(lián)防聯(lián)控方法。這種方法實現(xiàn)原理是將其它業(yè)務(wù)識別到的異常用戶或者異常設(shè)備放入黑名單，在此我們稱之為安全畫像，然后基于此安全畫像在目標(biāo)業(yè)務(wù)中予以攔截。但是，這種聯(lián)防聯(lián)控方法只能基于安全畫像對異常業(yè)務(wù)進行攔截，而對于安全畫像中未記載的異常用戶或設(shè)備，將無法判斷其訪問業(yè)務(wù)是否異常，就不能對其訪問業(yè)務(wù)進行攔截，對網(wǎng)絡(luò)安全造成重大威脅。

發(fā)明內(nèi)容

本發(fā)明實施例的目的在于提供一種異常行為的識別方法、裝置及電子設(shè)備，用以解決現(xiàn)有安全防護方法識別異常行為不夠準(zhǔn)確的問題。具體技術(shù)方案如下：

第一方面，本發(fā)明實施提供了一種異常行為的識別方法，所述方法包括：

獲取對待識別業(yè)務(wù)進行訪問的待識別行為的行為信息；

基于所述行為信息，生成所述待識別行為的行為特征；

將所述行為特征輸入預(yù)先訓(xùn)練的有監(jiān)督機器學(xué)習(xí)模型，得到表示所述待識別行為是否為異常的識別結(jié)果，其中，所述有監(jiān)督機器學(xué)習(xí)模型為基于樣本集訓(xùn)練得到的，所述樣本集包括黑樣本集和白樣本集，所述黑樣本集中包括已知異常行為的行為特征，所述白樣本集中包括已知正常行為的行為特征。

可選的，所述樣本集包括對第一類業(yè)務(wù)進行訪問的行為的行為特征，以及對第二類業(yè)務(wù)進行訪問的行為的行為特征，其中，所述第一類業(yè)務(wù)為所述第二類業(yè)務(wù)的前置業(yè)務(wù)，所述待識別業(yè)務(wù)為所述第一類業(yè)務(wù)或所述第二類業(yè)務(wù)。

可選的，所述黑樣本集的創(chuàng)建步驟，包括：

基于多個未知行為的行為特征，使用預(yù)先建立的行為識別模型，從所述多個未知行為的行為特征中，識別出異常行為，所述未知行為是不確定屬于正常行為還是屬于異常行為的行為；

創(chuàng)建包括識別出的異常行為的行為特征，以及實際發(fā)生的已知異常行為的行為特征的黑樣本集。

可選的，所述基于多個未知行為的行為特征，使用預(yù)先建立的行為識別模型，從所述多個未知行為的行為特征中，識別出異常行為，包括：

基于多個未知行為的行為特征，使用預(yù)先建立的孤立森林模型，從所述多個未知行為的行為特征中，識別出異常行為；或者

基于多個未知行為的行為特征，以及多個實際發(fā)生的已知異常行為的行為特征，使用預(yù)先建立的高斯混合模型，從所述多個未知行為的行為特征中，識別出異常行為。

可選的，所述基于多個未知行為的行為特征，使用預(yù)先建立的孤立森林模型，從所述多個未知行為的行為特征中，識別出異常行為，包括：

針對多個未知行為中的每個未知行為，將該未知行為的行為特征輸入預(yù)先建立的孤立森林模型模型中的多個孤立樹中，得到該未知行為在每個所述孤立樹中的高度；

計算該未知行為在所述多個孤立樹中的高度的平均值，作為該未知行為針對所述孤立森林模型的平均高度；