本發明公開了一種網絡行為檢測方法、裝置、設備及存儲介質，該方法包括：根據待檢測用戶的網絡行為，確定待檢測用戶的待檢測行為特征向量，根據待檢測行為特征向量，以及，預先確定的聚類模型，確定待檢測行為特征向量的所屬類簇，其中，聚類模型為根據多個用戶的歷史網絡行為以及基于拉普拉斯映射的近鄰傳播聚類算法確定的模型，聚類模型包括類簇以及類簇中心，當待檢測行為特征向量與所屬類簇的中心的距離大于預設閾值時，確定待檢測行為特征向量對應的行為為攻擊行為。通過基于拉普拉斯映射的近鄰傳播聚類算法確定出的聚類模型對用戶的網絡行為進行檢測，該檢測方法檢測效率及檢測準確率均較高。

技術領域

本發明實施例涉及入侵檢測領域，尤其涉及一種網絡行為檢測方法、裝置、設備及存儲介質。

背景技術

在入侵檢測領域中，網絡行為檢測是一個非常重要的分支。當用戶在網絡上瀏覽網頁時，服務器會記錄下用戶的訪問行為信息，通過對用戶的行為信息進行采集分析，能夠檢測出異常用戶的行為，達到保護服務器不被惡意用戶攻擊的目的。常見的網絡行為檢測技術一般流程如下：首先通過網絡流量采集工具Snort、Wireshark等自行采集數據集或者采用公共的網絡入侵數據集，接著對數據集進行預處理，從中提取用戶行為數據，然后選擇合適的算法構建入侵檢測分類器，根據入侵檢測分類器識別待測行為數據對應的行為是正常行為還是異常行為。其核心技術是采用合適的算法對用戶行為數據進行檢測、分析，識別出異常行為。

目前，可以采用基于主成分分析(Principal Component Analysis，PCA)的異常行為檢測方法，具體過程為：首先，對用戶行為進行預處理，從歷史用戶行為數據中提取用戶行為類型對應的用戶行為元素，得到正常行為特征向量集合；然后，使用PCA計算每個歷史用戶正常行為特征向量子集合中特征向量的主方向，計算所有子集合中歷史用戶正常行為特征向量與樣本之間的相似系數，得到全部用戶行為類型的異常閾值，最后再計算實時用戶行為特征向量的主方向與歷史用戶正常行為特征向量主方向樣本之間的相似系數，即實時用戶行為相似系數；根據相似系數求實時用戶行為異常值，并與同種用戶行為類型的用戶行為異常閾值比較，判斷實時用戶行為是否異常。

但是，上述方法中，將全部的樣本，即，特征向量集合作為一個總體對待，去尋找一個均方誤差最小意義上的最優行為特征主方向，而忽略了類別屬性，因此，導致檢測準確率較低。

發明內容

本發明提供一種網絡行為檢測方法、裝置、設備及存儲介質，以解決目前的網絡行為檢測方法準確率低的技術問題。

第一方面，本發明實施例提供一種網絡行為檢測方法，包括：

根據待檢測用戶的網絡行為，確定所述待檢測用戶的待檢測行為特征向量；

根據所述待檢測行為特征向量，以及，預先確定的聚類模型，確定所述待檢測行為特征向量的所屬類簇；其中，所述聚類模型為根據多個用戶的歷史網絡行為以及基于拉普拉斯映射的近鄰傳播聚類算法確定的模型，所述聚類模型包括類簇以及類簇中心；

當所述待檢測行為特征向量與所述所屬類簇的中心的距離大于預設閾值時，確定所述待檢測行為特征向量對應的行為為攻擊行為。

如上所示的方法中，所述根據所述待檢測行為特征向量，以及，預先確定的聚類模型，確定所述待檢測行為特征向量的所屬類簇之前，所述方法還包括：

根據多個用戶的歷史網絡行為，確定每個所述用戶的歷史行為特征向量；

根據多個所述歷史行為特征向量，確定特征相似度矩陣；

根據所述特征相似度矩陣構建稀疏矩陣連接圖；

根據所述稀疏矩陣連接圖，確定對應的拉普拉斯矩陣；

將所述拉普拉斯矩陣的最小的預設數量個非零特征值對應的特征向量作為降維后的數據對象；

根據所述降維后的數據對象，確定類別相似度矩陣；