网络行为分类方法、设备、存储介质及装置与流程

1.本发明涉及网络行为分类技术领域，尤其涉及网络行为分类方法、设备、存储介质及装置。


背景技术：

2.随着网络的发展，互联网普及率越来越高，网民数量也越来越多，信息安全是越来越重要，而信息安全的重中之重则是对网络行为的有效分类，从而通过分类结果进行犯罪行为的分类；
3.但是现有技术中对黑客犯罪行为进行分类时，一般是根据经验进行分类，导致分类效率较低，还可通过基于样本库对网络行为进行分类，即根据网络行为与样本库中进行比对，根据比对结果得到用户行为的分类，但是常常会出现对于样本库之外的网络行为出现误判，从而将安全行为误判为危险行为，导致系统安全系数降低，常常容易出现分类误差较大的问题。


技术实现要素：

4.本发明的主要目的在于提供网络行为分类方法、设备、存储介质及装置，旨在解决如何提高网络行为分类的准确性。
5.为实现上述目的，本发明提供一种网络行为分类方法，所述网络行为分类方法包括以下步骤：
6.在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别网络行为的目标行为信息；
7.根据所述目标行为信息提取所述待识别网络行为的行为特征信息；
8.通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别。
9.优选地，所述通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别之前，所述方法还包括：
10.获取若干个历史样本信息，提取所述历史样本信息中行为特征信息与行为类别的对应关系；
11.根据所述对应关系生成行为分类模型。
12.优选地，所述通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别之前，所述方法还包括：
13.获取所述用户设备的设备信息，根据所述设备信息确定所述用户设备所处的当前地域信息；
14.根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
15.优选地，所述根据所述当前地域信息从预设分类模型集合中查找对应的分类模
型，并将查找到的分类模型作为预设行为分类模型之前，所述方法还包括：
16.获取历史样本信息中的各地域信息，根据所述地域信息对所述历史样本信息进行划分，得到不同地域信息分别对应的历史样本信息；
17.根据各地域信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
18.优选地，所述根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型之前，所述方法还包括：
19.获取所述用户设备接收所述待识别网络行为的当前时间信息；
20.根据所述当前时间信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
21.优选地，所述根据所述当前时间信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型之前，所述方法还包括：
22.获取历史样本信息中的各时间信息，根据所述时间信息对所述历史样本信息进行划分，得到不同时间信息分别对应的历史样本信息；
23.根据各时间信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
24.优选地，所述根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型之前之前，所述方法还包括：
25.获取所述待识别网络行为的前因行为信息，提取所述前因行为信息中的前因时间信息，并获取当前时间信息，根据所述前因时间信息和当前时间信息得到行为时间间隔；
26.根据所述行为间隔信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
27.此外，为实现上述目的，本发明还提出一种网络行为分类装置，所述网络行为分类装置包括：
28.获取模块，用于在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别网络行为的目标行为信息；
29.提取模块，用于根据所述目标行为信息提取所述待识别网络行为的行为特征信息；
30.分类模块，用于通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别。
31.此外，为实现上述目的，本发明还提出一种网络行为分类设备，所述网络行为分类设备包括：存储器、处理器及存储在所述存储器上并在所述处理器上运行网络行为分类程序，所述网络行为分类程序被所述处理器执行时实现如上文所述的网络行为分类方法的步骤。
32.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有网络行为分类程序，所述网络行为分类程序被处理器执行时实现如上文所述的网络行为分类方法的步骤。
33.本发明提供的技术方案，通过在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别网络行为的目标行为信息；根据所述目标行为信息提取所述待识别网
络行为的行为特征信息；通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别，从而通过行为分类模型对待识别网络行为信息进行特征分析，得到分类结果，保证了行为分析的全面性，达到提高网络行为分类的准确性的目的。
附图说明
34.图1是本发明实施例方案涉及的硬件运行环境的网络行为分类设备结构示意图；
35.图2为本发明网络行为分类方法第一实施例的流程示意图；
36.图3为本发明网络行为分类方法一实施例网络行为分类整体流程示意图；
37.图4为本发明网络行为分类方法第二实施例的流程示意图；
38.图5为本发明网络行为分类方法一实施例的行为分类以及模型生成流程示意图；
39.图6为本发明网络行为分类方法第三实施例的流程示意图；
40.图7为本发明网络行为分类装置第一实施例的结构框图。
41.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
42.应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
43.参照图1，图1为本发明实施例方案涉及的硬件运行环境的网络行为分类设备结构示意图。
44.如图1所示，该网络行为分类设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)，可选用户接口1003还可以包括标准的有线接口以及无线接口，而用户接口1003的有线接口在本发明中可为通用串行总线(universal serial bus，usb)接口。网络接口1004可选的可以包括标准的有线接口以及无线接口(如wi-fi接口)。存储器1005可以是高速随机存取存储器(random access memory，ram)；也可以是稳定的存储器，比如，非易失存储器(non-volatile memory)，具体可为，磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
45.本领域技术人员可以理解，图1中示出的结构并不构成对网络行为分类设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
46.如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络行为分类程序。
47.在图1所示的网络行为分类设备中，网络接口1004主要用于连接后台服务器，与所述后台服务器进行数据通信；用户接口1003主要用于连接外设；所述网络行为分类设备通过处理器1001调用存储器1005中存储的网络行为分类程序，并执行本发明实施例提供的网络行为分类方法。
48.基于上述硬件结构，提出本发明网络行为识别方法的实施例。
49.参照图2，图2为本发明网络行为识别方法第一实施例的流程示意图。
50.在第一实施例中，所述网络行为识别方法包括以下步骤：
51.步骤s10：在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别
网络行为的目标行为信息。
52.需要说明的是，本实施例的执行主体为网络行为识别设备，还可为其他可实现相同或相似功能的设备，例如网关设备等，本实施例对此不作限制，在本实施例中，以网关设备为例进行说明。
53.需要说明的是，在用户进行涉网行为时，通过监控设备可实时获取待识别网络行为信息，所述监控设备可为设置在网关设备上的监控程序，还可为第三方可用于监控用户行为的监控程序，还可为其他形式的监控程序，本实施例对此不作限制。
54.在本实施例中，所述待识别网络行为信息的目标行为信息包括网站浏览、信息登录、技术资料查询等用户行为信息，可通过大数据保存平台管理用户的行为信息，对用户的行为信息进行管理。
55.步骤s20：根据所述目标行为信息提取所述待识别网络行为的行为特征信息。
56.可以理解的是，由于用户的涉网行为繁多，在对用户的行为信息进行分析时，提取所述待识别网络行为信息中的特征信息，例如涉及到信息浏览的行为信息的浏览特征信息，涉及登录信息的行为信息的登录特征信息，涉及技术信息的行为信息的技术特征信息，以及涉及为脱库的行为信息的脱库特征信息，从而对待识别网络行为信息进行行为识别。
57.在本实施例中，还可根据所述目标行为信息提取所述待识别网络行为中的请求类型信息；根据所述所述请求类型信息确定特征提取方式，并根据所述特征提取方式提取所述待识别网络行为的行为特征信息。
58.需要说明的是，在用户进行涉网行为时，通常通过相应的请求信息从而实现网站的响应，因此可通过用户发起的请求信息，得到相应的请求类型，从而根据请求类型对用户的待识别网络行为信息进行信息分析，从而提高数据处理的准确性。
59.步骤s30：通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别。
60.在本实施例中，设有预先训练的行为分类模型，通过所述行为分类模型对待识别网络行为信息进行分类，得到行为类别，所述行为类别包括白行为、黑行为以及灰行为。
61.需要说明的是，所述白行为表示不存在风险的行为，黑行为表示存在风险的行为，灰行为表示暂时还无法判断的行为，通过识别出白行为、黑行为以及灰行为，并针对相应的行为信息采用相应的措施进行处理，从而提高网络的安全性。
62.如图3所示的网络行为识别整体流程示意图，在获取历史用户，即角色a、角色b等用户的行为样本信息，对行为样本信息进行分析，即通过模型引擎建立模型库，将所述模型库通过识别引擎可应用于云端进行处理，例如云计算等，将识别出的行为信息作为数据库产出应用于模型的迭代。
63.可以理解的是，为了实现对行为分类模型的有效管理，还可对识别结果进行实施舆情监控，从而更有效的保证网络的安全性。
64.在本实施例中，所述行为分类模型还可包括多个行为识别模型，例如黑行为识别模型、灰行为识别模型以及白行为识别模型等，通过对各个网络行为信息查找对应的识别模型进行识别，从而提高行为识别效率。
65.本实施例通过上述方案，通过在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别网络行为的目标行为信息；根据所述目标行为信息提取所述待识别网
络行为的行为特征信息；通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别，从而通过行为分类模型对待识别网络行为信息进行特征分析，得到分类结果，保证了行为分析的全面性，达到提高网络行为分类的准确性的目的。
66.参照图4，图4为本发明网络行为识别方法第二实施例的流程示意图，基于上述图2所示的第一实施例，提出本发明网络行为识别方法的第二实施例。
67.第二实施例中，所述步骤s30之前，所述方法还包括：
68.步骤s301，获取若干个历史样本信息，提取所述历史样本信息中行为特征信息与行为类别的对应关系。
69.在具体实现中，获取历史样本信息，提取所述历史样本信息中的第一行为信息、第二行为信息以及第三行为信息，其中，所述第一行为信息的网络侵害风险高于所述第二行为信息，所述第二行为信息的网络侵害风险高于所述第三行为信息，所述第一行为信息为黑行为信息，所述第二行为信息为灰行为信息，所述第三行为信息为白行为信息。
70.在本实施例中，为了获取行为分类模型，首先获取历史第一行为信息、第二行为信息以及第三行为信息，将所述历史第一行为信息、第二行为信息以及第三行为信息作为样本信息进行训练，得到识别准确率高的行为分类模型。
71.为了根据所述目标行为信息提取所述待识别网络行为的行为特征信息，通过将所述目标行为信息与预设关键字进行比较，根据比较结果得到待识别网络行为的行为特征信息，即第一行为信息、第二行为信息以及第三行为信息。
72.需要说明的是，所述预设关键字为sql注入、登录、技术以及入侵等，还可包括其他体现特征信息的关键字，是实施例对此不作限制，通过目标行为信息与预设关键字进行比较，根据比较结果得到第一行为信息、第二行为信息以及第三行为信息。
73.进一步地，所述将所述目标行为信息与预设关键字进行比较，根据比较结果得到目标行为信息中的第一行为信息、第二行为信息以及第三行为信息，包括：
74.将所述目标行为信息与预设关键字进行比较，根据比较结果得到所述目标行为信息中的目标关键字信息；根据所述目标关键字信息在映射关系表中查找所述目标关键字信息对应的行为信息；根据查找到的行为信息分别得到第一行为信息、第二行为信息以及第三行为信息。
75.可以理解的是，在预设区域存有映射关系表，通过查询映射关系表存有关键字信息对应的行为信息，通过查询所述映射关系表可得到关键字信息对应的行为信息，例如通过sql注入可得到对应的行为信息为第一行为信息，从而实现对行为信息的识别。
76.步骤s302，根据所述对应关系生成行为分类模型。
77.在本实施例中，所述行为分类模型还可存有多种行为识别模型，例如黑行为识别模型、灰行为识别模型以及白行为识别模型，通过黑行为识别模型可实现对黑行为的识别，通过白行为识别模型可实现对白行为的识别以及通过灰行为识别模型可实现对灰行为的识别，从而更全方位的实现对用户行为的识别，例如如图5所示的行为分类以及模型生成流程示意图，对黑客的网络行为进行分类，分为扫描、注入、邮件、支付、虚拟专用网络(virtual private network，vpn)以及技术等分类信息，根据行为信息得到第一行为信息、第二行为信息以及第三行为信息，根据所述第一行为信息、第二行为信息以及第三行为信息生成行为分类模型。
78.进一步地，所述步骤s30之前，所述方法还包括：
79.获取历史样本信息中的地域信息、时间信息以及间隔信息；根据所述地域信息、时间信息以及间隔信息生成对应的行为识别模型。
80.在具体实现中，通过获取所述用户设备的设备信息，根据所述设备信息确定所述用户设备所处的当前地域信息；根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
81.为了建立模型，通过获取历史样本信息中的各地域信息，根据所述地域信息对所述历史样本信息进行划分，得到不同地域信息分别对应的历史样本信息；根据各地域信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
82.在本实施例中，所述地域信息为行为发生的地理位置信息，通过地域信息对行为进行分类，实现对网络行为的有效识别，例如在处于预设时间段内的同一时间的行为，在上一行为的地址在上海，在下一行为的地址在北京时，则说明当前事件的行为并不真实。
83.进一步地，所述步骤s30之前，所述方法还包括：
84.获取所述用户设备接收所述待识别网络行为的当前时间信息；根据所述当前时间信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
85.为了建立模型，通过获取历史样本信息中的各时间信息，根据所述时间信息对所述历史样本信息进行划分，得到不同时间信息分别对应的历史样本信息；根据各时间信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
86.需要说明的是，所述时间信息为行为的发生时间信息，通过行为的发生时间进行相应的行为判断，例如在关联的两个行为之间，下一行为记录的发生事件早于上一行为记录的发生事件，则则说明当前事件的行为并不真实。
87.进一步地，所述步骤s30之前，所述方法还包括：
88.获取所述待识别网络行为的前因行为信息，提取所述前因行为信息中的前因时间信息，并获取当前时间信息，根据所述前因时间信息和当前时间信息得到行为时间间隔；根据所述行为间隔信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
89.为了建立模型，通过获取历史样本信息中的各行为间隔信息，根据所述行为间隔信息对所述历史样本信息进行划分，得到不同行为间隔信息分别对应的历史样本信息；根据各行为间隔信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
90.在本实施例中，所述间隔信息为针对同一时间一系列行为之间的时间间隔信息，为了提高行为识别的准确性，通过对行为分类模型中加入地域信息、时间信息以及间隔信息，还可加入其它维度信息，通过更多维度实现对网络行为信息的识别，例如在进行用户网络行为识别时，在获取行为信息时，还可获取时间信息以及间隔信息等，通过在行为信息的基础上加入时间信息以及间隔信息对用户网络行为信息进行识别，从而提高行为识别的准确性，其中，时间信息为行为的发生时间信息，间隔信息为针对同一时间一系列行为之间的时间间隔信息，地域信息为行为发生的地理位置信息等，继续如图5所示，在所述行为分类模型中地域信息、时间信息、间隔信息以及频次信息等，从而生成多维度的行为分类模型。
91.本实施例通过上述方案，通过获取历史样本信息中的地域信息、时间信息以及间隔信息；根据地域信息、时间信息以及间隔信息进行生成对应行为分类模型，从而在行为分类模型中加入地域信息、时间信息以及间隔信息，通过更多维度实现对网络行为信息的识别，达到提高行为识别的准确性的目的。
92.参照图6，图6为本发明网络行为识别方法第三实施例的流程示意图，基于第一实施例或第二实施例提出本发明网络行为识别方法的第三实施例，在本实施例中，基于第一实施例进行说明。
93.第三实施例中，所述步骤s20，包括：
94.步骤s201，将所述目标行为信息进行归一化处理。
95.步骤s202，从处理后的目标行为信息中提取所述待识别网络行为的行为特征信息。
96.进一步地，所述步骤s201，包括：
97.将所述目标行为信息进行量化，得到量化后的目标样本信息；通过预设分割阈值对所述量化后的目标样本信息进行归一化处理。
98.在本实施例中，为了实现对信息的有效处理，由于获取到的用户网络行为的数据格式多种多样，需要对网络行为信息进行归一化处理，从而实现对所有数据进行有效分析。
99.在具体实现中，将所述目标行为信息进行量化，得到量化后的目标行为坐标信息，将坐标(0,0.5)作为分割阈值，还可为其他参数坐标的分割阈值，本实施例对此不作限制，通过坐标(0,0.5)作为分割阈值对网络行为信息进行归一化处理，从而实现目标行为信息的归一化。
100.进一步地，所述步骤s30之后，所述方法还包括：
101.提取所述行为类别对应的预设特征信息；通过所述预设特征信息对所述分类模型进行更新。
102.在本实施例中，还可通过识别后的目标行为信息对应的行为特征信息对所述行为分类模型进行迭代，从而对行为分类模型进行不断更新，更大限度的提高行为识别的准确性。
103.本实施例通过上述方案，通过识别后的目标行为信息对应的行为特征信息对所述行为分类模型进行迭代，从而对行为分类模型进行不断更新，更大限度的提高行为识别的准确性。
104.此外，本发明实施例还提出一种存储介质，所述存储介质上存储有网络行为识别程序，所述网络行为识别程序被处理器执行时实现如上文所述的终端入网方法的步骤。
105.由于本存储介质采用了上述所有实施例的全部技术方案，因此至少具有上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。
106.此外，参照图7，本发明实施例还提出一种网络行为识别装置，所述网络行为识别装置包括：
107.获取模块10，用于在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别网络行为的目标行为信息。
108.需要说明的是，本实施例的执行主体为网络行为识别设备，还可为其他可实现相同或相似功能的设备，例如网关设备等，本实施例对此不作限制，在本实施例中，以网关设
备为例进行说明。
109.需要说明的是，在用户进行涉网行为时，通过监控设备可实时获取待识别网络行为信息，所述监控设备可为设置在网关设备上的监控程序，还可为第三方可用于监控用户行为的监控程序，还可为其他形式的监控程序，本实施例对此不作限制。
110.在本实施例中，所述待识别网络行为信息的目标行为信息包括网站浏览、信息登录、技术资料查询等用户行为信息，可通过大数据保存平台管理用户的行为信息，对用户的行为信息进行管理。
111.提取模块20，用于根据所述目标行为信息提取所述待识别网络行为的行为特征信息。
112.可以理解的是，由于用户的涉网行为繁多，在对用户的行为信息进行分析时，提取所述待识别网络行为信息中的特征信息，例如涉及到信息浏览的行为信息的浏览特征信息，涉及登录信息的行为信息的登录特征信息，涉及技术信息的行为信息的技术特征信息，以及涉及为脱库的行为信息的脱库特征信息，从而对待识别网络行为信息进行行为识别。
113.在本实施例中，还可根据所述目标行为信息提取所述待识别网络行为中的请求类型信息；根据所述所述请求类型信息确定特征提取方式，并根据所述特征提取方式提取所述待识别网络行为的行为特征信息。
114.需要说明的是，在用户进行涉网行为时，通常通过相应的请求信息从而实现网站的响应，因此可通过用户发起的请求信息，得到相应的请求类型，从而根据请求类型对用户的待识别网络行为信息进行信息分析，从而提高数据处理的准确性。
115.分类模块30，用于通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别。
116.在本实施例中，设有预先训练的行为分类模型，通过所述行为分类模型对待识别网络行为信息进行分类，得到行为类别，所述行为类别包括白行为、黑行为以及灰行为。
117.需要说明的是，所述白行为表示不存在风险的行为，黑行为表示存在风险的行为，灰行为表示暂时还无法判断的行为，通过识别出白行为、黑行为以及灰行为，并针对相应的行为信息采用相应的措施进行处理，从而提高网络的安全性。
118.如图3所示的网络行为识别整体流程示意图，在获取历史用户，即角色a、角色b等用户的行为样本信息，对行为样本信息进行分析，即通过模型引擎建立模型库，将所述模型库通过识别引擎可应用于云端进行处理，例如云计算等，将识别出的行为信息作为数据库产出应用于模型的迭代。
119.可以理解的是，为了实现对行为分类模型的有效管理，还可对识别结果进行实施舆情监控，从而更有效的保证网络的安全性。
120.在本实施例中，所述行为分类模型还可包括多个行为识别模型，例如黑行为识别模型、灰行为识别模型以及白行为识别模型等，通过对各个网络行为信息查找对应的识别模型进行识别，从而提高行为识别效率。
121.本实施例通过上述方案，通过在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别网络行为的目标行为信息；根据所述目标行为信息提取所述待识别网络行为的行为特征信息；通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别，从而通过行为分类模型对待识别网络行为信息进行特征
分析，得到分类结果，保证了行为分析的全面性，达到提高网络行为分类的准确性的目的。
122.进一步地，所述网络行为分类装置还包括：模型生成模块。
123.所述模型生成模块，用于获取若干个历史样本信息，提取所述历史样本信息中行为特征信息与行为类别的对应关系，根据所述对应关系生成行为分类模型。
124.在具体实现中，获取历史样本信息，提取所述历史样本信息中的第一行为信息、第二行为信息以及第三行为信息，其中，所述第一行为信息的网络侵害风险高于所述第二行为信息，所述第二行为信息的网络侵害风险高于所述第三行为信息，所述第一行为信息为黑行为信息，所述第二行为信息为灰行为信息，所述第三行为信息为白行为信息。
125.在本实施例中，为了获取行为分类模型，首先获取历史第一行为信息、第二行为信息以及第三行为信息，将所述历史第一行为信息、第二行为信息以及第三行为信息作为样本信息进行训练，得到识别准确率高的行为分类模型。
126.为了根据所述目标行为信息提取所述待识别网络行为的行为特征信息，通过将所述目标行为信息与预设关键字进行比较，根据比较结果得到待识别网络行为的行为特征信息，即第一行为信息、第二行为信息以及第三行为信息。
127.需要说明的是，所述预设关键字为sql注入、登录、技术以及入侵等，还可包括其他体现特征信息的关键字，是实施例对此不作限制，通过目标行为信息与预设关键字进行比较，根据比较结果得到第一行为信息、第二行为信息以及第三行为信息。
128.进一步地，所述将所述目标行为信息与预设关键字进行比较，根据比较结果得到目标行为信息中的第一行为信息、第二行为信息以及第三行为信息，包括：
129.将所述目标行为信息与预设关键字进行比较，根据比较结果得到所述目标行为信息中的目标关键字信息；根据所述目标关键字信息在映射关系表中查找所述目标关键字信息对应的行为信息；根据查找到的行为信息分别得到第一行为信息、第二行为信息以及第三行为信息。
130.可以理解的是，在预设区域存有映射关系表，通过查询映射关系表存有关键字信息对应的行为信息，通过查询所述映射关系表可得到关键字信息对应的行为信息，例如通过sql注入可得到对应的行为信息为第一行为信息，从而实现对行为信息的识别。
131.在本实施例中，所述行为分类模型还可存有多种行为识别模型，例如黑行为识别模型、灰行为识别模型以及白行为识别模型，通过黑行为识别模型可实现对黑行为的识别，通过白行为识别模型可实现对白行为的识别以及通过灰行为识别模型可实现对灰行为的识别，从而更全方位的实现对用户行为的识别，例如如图5所示的行为分类以及模型生成流程示意图，对黑客的网络行为进行分类，分为扫描、注入、邮件、支付、虚拟专用网络(virtual private network，vpn)以及技术等分类信息，根据行为信息得到第一行为信息、第二行为信息以及第三行为信息，根据所述第一行为信息、第二行为信息以及第三行为信息生成行为分类模型。
132.进一步地，获取历史样本信息中的地域信息、时间信息以及间隔信息；根据所述地域信息、时间信息以及间隔信息生成对应的行为识别模型。
133.在具体实现中，所述获取模块，还用于获取所述用户设备的设备信息，根据所述设备信息确定所述用户设备所处的当前地域信息；根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
134.为了建立模型，所述获取模块，还用于获取历史样本信息中的各地域信息，根据所述地域信息对所述历史样本信息进行划分，得到不同地域信息分别对应的历史样本信息；根据各地域信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
135.在本实施例中，所述地域信息为行为发生的地理位置信息，通过地域信息对行为进行分类，实现对网络行为的有效识别，例如在处于预设时间段内的同一时间的行为，在上一行为的地址在上海，在下一行为的地址在北京时，则说明当前事件的行为并不真实。
136.进一步地，所述获取模块，还用于获取所述用户设备接收所述待识别网络行为的当前时间信息；根据所述当前时间信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
137.为了建立模型，所述获取模块，还用于获取历史样本信息中的各时间信息，根据所述时间信息对所述历史样本信息进行划分，得到不同时间信息分别对应的历史样本信息；根据各时间信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
138.需要说明的是，所述时间信息为行为的发生时间信息，通过行为的发生时间进行相应的行为判断，例如在关联的两个行为之间，下一行为记录的发生事件早于上一行为记录的发生事件，则则说明当前事件的行为并不真实。
139.所述获取模块，还用于获取所述待识别网络行为的前因行为信息，提取所述前因行为信息中的前因时间信息，并获取当前时间信息，根据所述前因时间信息和当前时间信息得到行为时间间隔；根据所述行为间隔信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
140.为了建立模型，所述获取模块，还用于获取历史样本信息中的各行为间隔信息，根据所述行为间隔信息对所述历史样本信息进行划分，得到不同行为间隔信息分别对应的历史样本信息；根据各行为间隔信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
141.根据各行为间隔信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到第三预设分类模型集合。
142.在本实施例中，所述间隔信息为针对同一时间一系列行为之间的时间间隔信息，为了提高行为识别的准确性，通过对行为分类模型中加入地域信息、时间信息以及间隔信息，还可加入其它维度信息，通过更多维度实现对网络行为信息的识别，例如在进行用户网络行为识别时，在获取行为信息时，还可获取时间信息以及间隔信息等，通过在行为信息的基础上加入时间信息以及间隔信息对用户网络行为信息进行识别，从而提高行为识别的准确性，其中，时间信息为行为的发生时间信息，间隔信息为针对同一时间一系列行为之间的时间间隔信息，地域信息为行为发生的地理位置信息等，继续如图5所示，在所述行为分类模型中地域信息、时间信息、间隔信息以及频次信息等，从而生成多维度的行为分类模型。
143.本实施例通过上述方案，通过获取历史样本信息中的地域信息、时间信息以及间隔信息；根据地域信息、时间信息以及间隔信息进行生成对应行为分类模型，从而在行为分类模型中加入地域信息、时间信息以及间隔信息，通过更多维度实现对网络行为信息的识别，达到提高行为识别的准确性的目的。
144.进一步地，所述网络行为分类装置还包括处理模块；
145.所述处理模块，用于将所述目标行为信息进行归一化处理，从处理后的目标行为信息中提取所述待识别网络行为的行为特征信息。
146.所述处理模块，还用于将所述目标行为信息进行量化，得到量化后的目标样本信息；通过预设分割阈值对所述量化后的目标样本信息进行归一化处理。
147.在本实施例中，为了实现对信息的有效处理，由于获取到的用户网络行为的数据格式多种多样，需要对网络行为信息进行归一化处理，从而实现对所有数据进行有效分析。
148.在具体实现中，将所述目标行为信息进行量化，得到量化后的目标行为坐标信息，将坐标(0,0.5)作为分割阈值，还可为其他参数坐标的分割阈值，本实施例对此不作限制，通过坐标(0,0.5)作为分割阈值对网络行为信息进行归一化处理，从而实现目标行为信息的归一化。
149.进一步地，所述网络行为分类装置还包括更新模块；
150.所述更新模块，用于提取所述行为类别对应的预设特征信息；通过所述预设特征信息对所述分类模型进行更新。
151.在本实施例中，还可通过识别后的目标行为信息对应的行为特征信息对所述行为分类模型进行迭代，从而对行为分类模型进行不断更新，更大限度的提高行为识别的准确性。
152.本实施例通过上述方案，通过识别后的目标行为信息对应的行为特征信息对所述行为分类模型进行迭代，从而对行为分类模型进行不断更新，更大限度的提高行为识别的准确性。
153.本发明所述网络行为识别装置采用了上述所有实施例的全部技术方案，因此至少具有上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。
154.本发明提供一种网络行为分类方法，所述网络行为分类方法包括以下步骤：
155.在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别网络行为的目标行为信息；
156.根据所述目标行为信息提取所述待识别网络行为的行为特征信息；
157.通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别。
158.优选地，所述通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别之前，所述方法还包括：
159.获取若干个历史样本信息，提取所述历史样本信息中行为特征信息与行为类别的对应关系；
160.根据所述对应关系生成行为分类模型。
161.优选地，所述通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别之前，所述方法还包括：
162.获取所述用户设备的设备信息，根据所述设备信息确定所述用户设备所处的当前地域信息；
163.根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
164.优选地，所述根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型之前，所述方法还包括：
165.获取历史样本信息中的各地域信息，根据所述地域信息对所述历史样本信息进行划分，得到不同地域信息分别对应的历史样本信息；
166.根据各地域信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
167.优选地，所述根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型之前，所述方法还包括：
168.获取所述用户设备接收所述待识别网络行为的当前时间信息；
169.根据所述当前时间信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
170.优选地，所述根据所述当前时间信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型之前，所述方法还包括：
171.获取历史样本信息中的各时间信息，根据所述时间信息对所述历史样本信息进行划分，得到不同时间信息分别对应的历史样本信息；
172.根据各时间信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
173.优选地，所述根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型之前之前，所述方法还包括：
174.获取所述待识别网络行为的前因行为信息，提取所述前因行为信息中的前因时间信息，并获取当前时间信息，根据所述前因时间信息和当前时间信息得到行为时间间隔；
175.根据所述行为间隔信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
176.优选地，所述根据所述行为间隔信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型之前，所述方法还包括：
177.获取历史样本信息中的各行为间隔信息，根据所述行为间隔信息对所述历史样本信息进行划分，得到不同行为间隔信息分别对应的历史样本信息；
178.根据各行为间隔信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
179.优选地，所述根据所述目标行为信息提取所述待识别网络行为的行为特征信息，包括：
180.将所述目标行为信息进行归一化处理；
181.从处理后的目标行为信息中提取所述待识别网络行为的行为特征信息。
182.优选地，所述将所述目标行为信息进行归一化处理，包括：
183.将所述目标行为信息进行量化，得到量化后的目标样本信息；
184.通过预设分割阈值对所述量化后的目标样本信息进行归一化处理。
185.优选地，所述根据所述目标行为信息提取所述待识别网络行为的行为特征信息，包括：
186.根据所述目标行为信息提取所述待识别网络行为中的请求类型信息；
187.根据所述所述请求类型信息确定特征提取方式，并根据所述特征提取方式提取所述待识别网络行为的行为特征信息。
188.此外，为实现上述目的，本发明还提出一种网络行为分类装置，所述网络行为分类装置包括：
189.获取模块，用于在接收到用户基于用户设备触发的待识别网络行为时，获取所述待识别网络行为的目标行为信息；
190.提取模块，用于根据所述目标行为信息提取所述待识别网络行为的行为特征信息；
191.分类模块，用于通过预设行为分类模型对所述行为特征信息进行行为分类，获得所述待识别网路行为的行为类别。
192.优选地，所述网络行为分类装置还包括：模型生成模块；
193.所述模型生成模块，用于获取若干个历史样本信息，提取所述历史样本信息中行为特征信息与行为类别的对应关系；
194.根据所述对应关系生成行为分类模型。
195.优选地，所述获取模块，还用于获取所述用户设备的设备信息，根据所述设备信息确定所述用户设备所处的当前地域信息；
196.根据所述当前地域信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
197.优选地，所述获取模块，还用于获取历史样本信息中的各地域信息，根据所述地域信息对所述历史样本信息进行划分，得到不同地域信息分别对应的历史样本信息；
198.根据各地域信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
199.优选地，所述获取模块，还用于获取所述用户设备接收所述待识别网络行为的当前时间信息；
200.根据所述当前时间信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
201.优选地，所述获取模块，还用于获取历史样本信息中的各时间信息，根据所述时间信息对所述历史样本信息进行划分，得到不同时间信息分别对应的历史样本信息；
202.根据各时间信息分别对应的历史样本信息对初始神经网络模型分别进行训练，得到预设分类模型集合。
203.优选地，所述获取模块，还用于获取所述待识别网络行为的前因行为信息，提取所述前因行为信息中的前因时间信息，并获取当前时间信息，根据所述前因时间信息和当前时间信息得到行为时间间隔；
204.根据所述行为间隔信息从预设分类模型集合中查找对应的分类模型，并将查找到的分类模型作为预设行为分类模型。
205.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。