本發明公開了一種基于云服務器防護的行為識別方法和裝置、存儲介質及電子設備。其中，該方法包括：獲取請求訪問目標地址的訪問行為數據；在從訪問行為數據中檢測到攻擊行為數據的情況下，提取訪問行為數據中的對象訪問軌跡，將對象訪問軌跡轉化為對應的對象訪問軌跡序；將對象訪問軌跡序列依次輸入行為識別模型，以得到與對象訪問軌跡相匹配的行為識別相似度，將行為識別相似度小于目標閾值的對象訪問軌跡序列所指示的對象訪問行為，識別為異常訪問行為。本發明解決了網絡異常行為識別不準確的技術問題。

技術領域

本發明涉及服務器安全領域，具體而言，涉及一種行為識別方法和裝置、存儲介質及電子設備。

背景技術

現有技術中，黑客可以通過向目標服務器發送大量異常流量，服務器忙于處理異常流量，無法處理正常用戶請求，甚至系統崩潰，造成拒絕服務。現有的識別請求是否異常的方法中，可以采用通過限速和反向挑戰算法的方法來識別異常訪問。然而，上述方法存在誤殺嚴重，異常行為識別不準確的問題。

針對上述的問題，目前尚未提出有效的解決方案。

發明內容

本發明實施例提供了一種行為識別方法和裝置、存儲介質及電子設備，以至少解決網絡異常行為識別不準確的技術問題。

根據本發明實施例的一個方面，提供了一種行為識別方法，包括：獲取請求訪問目標地址的訪問行為數據；在從上述訪問行為數據中檢測到攻擊行為數據的情況下，提取上述訪問行為數據中的對象訪問軌跡，其中，每條上述對象訪問軌跡為一個訪問請求對象在目標時間段內觸發的訪問行為所生成的訪問軌跡；將上述對象訪問軌跡轉化為對應的對象訪問軌跡序列；將上述對象訪問軌跡序列依次輸入行為識別模型，以得到與上述對象訪問軌跡相匹配的行為識別相似度，其中，上述行為識別模型為采用訪問行為的訪問行為數據進行訓練后得到的用于識別異常訪問行為的模型，上述行為識別相似度用于指示上述對象訪問軌跡序列所指示的對象訪問行為與正常訪問行為之間的相似度；將上述行為識別相似度小于目標閾值的上述對象訪問軌跡序列所指示的上述對象訪問行為，識別為異常訪問行為。

根據本發明實施例的另一方面，還提供了一種行為識別裝置，包括：獲取單元，用于獲取請求訪問目標地址的訪問行為數據；提取單元，用于在從上述訪問行為數據中檢測到攻擊行為數據的情況下，提取上述訪問行為數據中的對象訪問軌跡，其中，每條上述對象訪問軌跡為一個訪問請求對象在目標時間段內觸發的訪問行為所生成的訪問軌跡；轉化單元，用于將上述對象訪問軌跡轉化為對應的對象訪問軌跡序列；輸入單元，用于將上述對象訪問軌跡序列依次輸入行為識別模型，以得到與上述對象訪問軌跡相匹配的行為識別相似度，其中，上述行為識別模型為采用訪問行為的訪問行為數據進行訓練后得到的用于識別異常訪問行為的模型，上述行為識別相似度用于指示上述對象訪問軌跡序列所指示的對象訪問行為與正常訪問行為之間的相似度；第一識別單元，用于將上述行為識別相似度小于目標閾值的上述對象訪問軌跡序列所指示的上述對象訪問行為，識別為異常訪問行為。

作為一種可選的實施方式，所述提取單元包括：第一提取模塊，用于從所述訪問行為數據中，提取每個發起訪問請求的請求對象在所述目標時間段內所訪問的全部訪問鏈接；第二提取模塊，用于從每個訪問鏈接中提取訪問路徑特征，并對所述訪問路徑特征進行拼接，得到與所述訪問鏈接匹配的訪問行為特征；排序模塊，用于對所述訪問行為特征按照訪問時間順序進行排序，以生成所述請求對象對應的所述對象訪問軌跡。

作為一種可選的實施方式，所述第二提取模塊包括：提取子模塊，用于從所述訪問鏈接中提取訪問路徑中的一級訪問目錄位置及訪問資源后綴標識，其中，所述訪問路徑特征包括所述一級訪問目錄位置及所述訪問資源后綴標識；拼接子模塊，用于對所述一級訪問目錄位置及所述訪問資源后綴標識進行組合拼接，以生成所述訪問鏈接匹配的所述訪問行為特征。