恶意访问识别方法、设备、存储介质及装置与流程

本发明涉及网络安全，尤其涉及一种恶意访问识别方法、设备、存储介质及装置。

背景技术：

1、针对恶意访问识别的方案中基于神经网络的安全态势识别由于隐藏层数目和隐藏层神经元较多具有较强的表达能力，被认为适合进行访问风险识别。但由于在实际处理中恶意访问记录与正常访问数据量级相差较大，训练后的模型可能会偏向于预测数量更多的类别，从而导致部分恶意访问样本无法被准确识别。同时当恶意访问行为不明显时，通过神经网络输出的各类访问安全风险的概率可能呈现相差很小的情况，分类结果存在较大不确定性的问题。

技术实现思路

1、本发明的主要目的在于提供一种恶意访问识别方法、设备、存储介质及装置，旨在解决针对恶意访问行为不明显时，无法有效识别各类访问风险导致分类结果不准确的技术问题。

2、为实现上述目的，本发明提供一种恶意访问识别方法，所述恶意访问识别方法包括以下步骤：

3、对待识别的访问信息进行预处理，获得目标特征集合；

4、基于预设风险识别模型对所述目标特征集合进行风险概率预测，获得风险预测结果，所述预设风险识别模型是对bp神经网络模型的损失函数中引入修正权重后训练获得的模型；

5、根据所述风险预测结果确定候选集用户；

6、根据所述候选集用户对应的数据传输行为确定用户访问风险类型。

7、可选地，所述基于预设风险识别模型对所述目标特征集合进行风险概率预测，获得风险预测结果的步骤，包括：

8、基于预设风险识别模型对所述目标特征集合进行风险概率预测，获得节点概率；

9、根据所述节点概率确定风险类别信息；

10、根据所述风险类别信息对用户节点进行风险标识，获得风险安全标签；

11、根据所述风险安全标签和所述节点概率确定风险预测结果。

12、可选地，所述根据所述风险预测结果确定候选集用户的步骤，包括：

13、根据所述节点概率与预设划分阈值进行对比，获得对比结果；

14、将所述对比结果为所述节点概率大于所述预设划分阈值的用户作为候选集用户。

15、可选地，所述根据所述候选集用户对应的数据传输行为确定用户访问风险类型的步骤，包括：

16、根据所述候选集用户对应的数据传输行为确定邻居节点；

17、根据所述邻居节点、所述候选集用户对应的安全风险标签以及所述节点概率确定用户社交紧密度；

18、根据所述用户社交紧密度确定用户访问风险类型。

19、可选地，所述根据所述邻居节点、所述候选集用户对应的安全风险标签以及所述节点概率确定用户社交紧密度的步骤，包括：

20、根据预设用户社交紧密度计算公式、所述邻居节点、所述候选集用户对应的安全风险标签以及所述节点概率确定用户社交紧密度；

21、所述预设用户社交紧密度计算公式包括：

22、

23、

24、

25、其中nx表示用户x的邻居节点的集；cl表示用户x访问安全风险候选集ccandidate中第l种访问风险分类；表示通过神经网络输出的节点vj网络访问类型为cl的概率，当vj为明显恶意访问节点(用户)时概率直接赋值为1；r(x,vj)表示节点x与节点vj间的社交得分，wt表示社交表现行为特征t的权重，txvj表示节点x与vj间归一化后社交表现行为特征t的得分,t∈{数据传输大小、传输次数、涉密字段个数}。

26、可选地，所述对待识别的访问信息进行预处理，获得目标特征集合的步骤之前，还包括：

27、采集用户访问行为数据，根据所述用户访问行为数据构建用户社交网络图；

28、根据所述用户社交网络图对应的访问安全风险标签和所述用户访问行为数据构建训练集；

29、基于所述训练集训练初始bp神经网络模型，获得预设风险识别模型。

30、可选地，所述基于所述训练集训练初始bp神经网络模型，获得预设风险识别模型的步骤，包括：

31、将所述训练集输入至初始bp神经网络模型的神经网络输入层，经过一次正向传播确定正向传播计算结果；

32、经过一次反向传播确定损失函数对于网络中每个参数调整网络权值矩阵和偏置向量；

33、根据所述网络权值矩阵和所述偏置向量对所述初始bp神经网络模型的网络参数进行调整，获得调整后的bp神经网络模型；

34、对所述调整后的bp神经网络模型进行迭代优化，获得预设风险识别模型。

35、此外，为实现上述目的，本发明还提出一种恶意访问识别设备，所述恶意访问识别设备包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意访问识别程序，所述恶意访问识别程序配置为实现如上文所述的恶意访问识别的步骤。

36、此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有恶意访问识别程序，所述恶意访问识别程序被处理器执行时实现如上文所述的恶意访问识别方法的步骤。

37、此外，为实现上述目的，本发明还提出一种恶意访问识别装置，所述恶意访问识别装置包括：

38、信息预处理模块，用于对待识别的访问信息进行预处理，获得目标特征集合；

39、风险预测模块，用于基于预设风险识别模型对所述目标特征集合进行风险概率预测，获得风险预测结果，所述预设风险识别模型是对bp神经网络模型的损失函数中引入修正权重后训练获得的模型；

40、用户筛选模块，用于根据所述风险预测结果确定候选集用户；

41、类型确定模块，用于根据所述候选集用户对应的数据传输行为确定用户访问风险类型。

42、本发明通过对待识别的访问信息进行预处理，获得目标特征集合；基于预设风险识别模型对所述目标特征集合进行风险概率预测，获得风险预测结果，所述预设风险识别模型是对bp神经网络模型的损失函数中引入修正权重后训练获得的模型；根据所述风险预测结果确定候选集用户；根据所述候选集用户对应的数据传输行为确定用户访问风险类型，相较于相关方案中由于样本数据量级相差较大，模型针对不明显恶意访问行为时，无法有效识别各类访问风险导致分类结果不准确。本发明通过风险预测结果确定候选集用户并对候选集用户进一步进行微小恶意访问识别，提升对微小恶意访问安全识别的准确率。

技术特征：

1.一种恶意访问识别方法，其特征在于，所述恶意访问识别方法包括以下步骤：

2.如权利要求1所述的恶意访问识别方法，其特征在于，所述基于预设风险识别模型对所述目标特征集合进行风险概率预测，获得风险预测结果的步骤，包括：

3.如权利要求2所述的恶意访问识别方法，其特征在于，所述根据所述风险预测结果确定候选集用户的步骤，包括：

4.如权利要求2所述的恶意访问识别方法，其特征在于，所述根据所述候选集用户对应的数据传输行为确定用户访问风险类型的步骤，包括：

5.如权利要求2所述的恶意访问识别方法，其特征在于，所述根据所述邻居节点、所述候选集用户对应的安全风险标签以及所述节点概率确定用户社交紧密度的步骤，包括：

6.如权利要求1所述的恶意访问识别方法，其特征在于，所述对待识别的访问信息进行预处理，获得目标特征集合的步骤之前，还包括：

7.如权利要求6所述的恶意访问识别方法，其特征在于，所述基于所述训练集训练初始bp神经网络模型，获得预设风险识别模型的步骤，包括：

8.一种恶意访问识别设备，其特征在于，所述恶意访问识别设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的恶意访问识别程序，所述恶意访问识别程序被所述处理器执行时实现如权利要求1至7中任一项所述的恶意访问识别方法。

9.一种存储介质，其特征在于，所述存储介质上存储有恶意访问识别程序，所述恶意访问识别程序被处理器执行时实现如权利要求1至7中任一项所述的恶意访问识别方法。

10.一种恶意访问识别装置，其特征在于，所述恶意访问识别装置包括：

技术总结
本发明属于网络安全技术领域，公开了一种恶意访问识别方法、设备、存储介质及装置，本发明通过对待识别的访问信息进行预处理，获得目标特征集合；基于预设风险识别模型对目标特征集合进行风险概率预测，获得风险预测结果，预设风险识别模型是对BP神经网络模型的损失函数中引入修正权重后训练获得的模型；根据风险预测结果确定候选集用户；根据候选集用户对应的数据传输行为确定用户访问风险类型，相较于相关方案中由于样本数据量级相差较大，模型针对不明显恶意访问行为无法有效识别各类访问风险导致分类结果不准确。本发明通过风险预测结果确定候选集用户并对候选集用户进一步进行微小恶意访问识别，提升对微小恶意访问安全识别的准确率。

技术研发人员：孙苑苑,赵雨,帅敏,吴祖康,陈龙,周稚鲲,谷建泽
受保护的技术使用者：中国移动通信集团江苏有限公司
技术研发日：
技术公布日：2024/2/21