本發明涉及數據處理技術領域，尤其涉及一種網絡異常行為的檢測方法、裝置、設備及存儲介質。包括，獲取待檢測網絡系統的日志信息；對日志信息進行分析，得到待檢測網絡系統中每條流的處理軌跡；根據處理軌跡對多條流進行歸類，得到多個流類別；根據流類別的屬性，在待檢測網絡系統中提取流類別中每條流的特征數據；計算同一流類別中任意兩條流的特征數據之間的差異程度；根據差異程度確定所檢測網絡系統的異常。通過本文實施例，實現了根據待檢測網絡系統的日志信得到待檢測網絡系統中每條流的處理軌跡，然后計算相同處理軌跡的多條流的特征數據之間的差異程度，根據差異程度確定待檢測網絡系統的異常，解決了異常檢測存在一定的遲滯性的問題。

技術領域

本發明涉及數據處理技術領域，尤其涉及一種網絡異常行為的檢測方法、裝置、設備及存儲介質。

背景技術

本部分旨在為權利要求書中陳述的本發明實施例提供背景或上下文。此處的描述不因為包括在本部分中就承認是現有技術。

隨著網絡信息現代化的發展，網絡安全是目前技術領域廣泛關注的熱點。網絡安全數據體量越來越大，增長速度也越來越快，現有技術中經常需要對海量的網絡數據進行模型訓練，從而構建網絡系統的異常檢測模型，但該方法需要預先對海量的網絡數據進行訓練，得到異常檢測模型后方能對網絡系統進行異常檢測，若出現新的異常，需要將新的異常再次訓練模型，導致模型分析的方法往往存在一定的遲滯性。

現在亟需一種網絡異常行為的檢測方法，從而解決現有技術中通過模型分析的方法對網絡系統進行異常檢測存在一定的遲滯性的問題。

發明內容

為解決現有技術中存在的問題，本發明實施例提供了一種網絡異常行為檢測方法、裝置、設備及存儲介質，能夠根據網絡系統的日志檢測網絡系統的異常，解決了現有技術中通過模型分析的方法對網絡系統進行異常檢測存在一定的遲滯性的問題。

為了解決上述技術問題，本文的具體技術方案如下：

一方面，本發明實施例提供一種網絡異常行為的檢測方法，包括：

獲取待檢測網絡系統的日志信息；

對所述日志信息進行分析，得到所述待檢測網絡系統中每條流的處理軌跡；

根據所述處理軌跡對多條流進行歸類，得到多個流類別；

根據所述流類別的屬性，在所述待檢測網絡系統中提取所述流類別中每條流的特征數據；

計算同一流類別中任意兩條流的特征數據之間的差異程度；

根據所述差異程度確定所述待檢測網絡系統的異常。

進一步地，對所述日志信息進行分析，得到所述待檢測網絡系統中每條流的處理軌跡進一步包括，

按照預定字段，將所述日志信息劃分成多個子集，所述預定字段包括源地址、目的地址、源端口、目的端口以及協議中的一個或多個的組合；

將每個子集中的多個日志信息按照時間順序進行排列；

提取排列后的多個日志信息中的指定字段的內容，并將所述指定字段的內容按照對應的日志的排列順序進行組合，得到所述處理軌跡，所述指定字段與對所述流進行的操作相對應。

進一步地，根據所述處理軌跡對多條流進行歸類，得到多個流類別進一步包括，確定內容相同且順序相同的預定數量個指定字段所對應的多個處理軌跡；

將確定的所述多個處理軌跡各自對應的流劃分到同一個所述流類別中。

進一步地，根據所述流類別的屬性，提取所述流類別中每條流的特征數據進一步包括；

按照預設的屬性列表，確定所述流類別的屬性對應的該流類別中的流的特征；