[发明专利]一种网络行为检测方法、装置、存储介质及电子设备

权利要求书

1.一种网络行为检测方法，其特征在于，包括：

获取当前网络中的各个节点之间的访问关系；

根据所述访问关系判断当前网络中是否存在网络攻击行为；

若是，则向管理员发送提示信息，所述提示信息用于提示所述管理员当前网络中存在网络攻击行为；

所述根据所述访问关系判断当前网络中是否存在网络攻击行为包括：

将所述访问关系输入预先训练的图神经网络模型，生成当前网络的特征图，所述特征图包括至少一个节点集以及所述至少一个节点集中每个节点集的特征值区间，其中，每个节点集中至少包括一个节点，同一节点集中每两个节点的特征值的差值小于或者等于预设差值阈值；

从所述特征图确定目标节点所在的目标特征值区间，所述目标节点为网络中的任意一个节点；

若所述目标节点所在的目标特征值区间与所述目标节点对应的预设特征值区间不一致，则确定当前网络存在网络攻击行为且所述目标节点为发生网络攻击行为的节点。

2.根据权利要求1所述的方法，其特征在于，所述将所述访问关系输入预先训练的图神经网络模型前，所述方法还包括：

将预设时长内的网络中的各个节点之间的访问关系输入预先训练的图神经网络模型，生成当前网络的参考特征图，所述参考特征图包括至少一个节点集，以及所述至少一个节点集中每个节点集的参考特征值区间，其中，每个节点集中至少包括一个节点，同一节点集中每两个节点的参考特征值的差值小于或者等于所述预设差值阈值；

从所述特征图确定所述目标节点所在的目标参考特征值区间；

将所述目标参考特征值区间作为与所述目标节点对应的所述预设特征值区间。

3.根据权利要求1所述的方法，其特征在于，所述获取当前网络中的各个节点之间的访问关系包括：

获取网络当前的镜像流量；

从所述镜像流量中获取当前网络中的各个节点之间的访问关系。

4.一种网络行为检测装置，其特征在于，包括：

访问关系获取模块，用于获取当前网络中的各个节点之间的访问关系；

网络攻击行为确定模块，用于根据所述访问关系判断当前网络中是否存在网络攻击行为；

提示信息发送模块，用于若是，则向管理员发送提示信息，所述提示信息用于提示所述管理员当前网络中存在网络攻击行为；

所述网络攻击行为确定模块用于：

将所述访问关系输入预先训练的图神经网络模型，生成当前网络的特征图，所述特征图包括至少一个节点集以及所述至少一个节点集中每个节点集的特征值区间，其中，每个节点集中至少包括一个节点，同一节点集中每两个节点的特征值的差值小于或者等于预设差值阈值；

从所述特征图确定目标节点所在的目标特征值区间，所述目标节点为网络中的任意一个节点；

若所述目标节点所在的目标特征值区间与所述目标节点对应的预设特征值区间不一致，则确定当前网络存在网络攻击行为且所述目标节点为发生网络攻击行为的节点。

5.根据权利要求4所述的装置，其特征在于，所述装置还包括：

参考特征图生成模块，用于将预设时长内的网络中的各个节点之间的访问关系输入预先训练的图神经网络模型，生成当前网络的参考特征图，所述参考特征图包括至少一个节点集，以及所述至少一个节点集中每个节点集的参考特征值区间，其中，每个节点集中至少包括一个节点，同一节点集中每两个节点的参考特征值的差值小于或者等于所述预设差值阈值；

目标参考特征值区间确定模块，用于从所述特征图确定所述目标节点所在的目标参考特征值区间；

预设特征值区间确定模块，用于将所述目标参考特征值区间作为与所述目标节点对应的所述预设特征值区间。

6.根据权利要求4所述的装置，其特征在于，所述访问关系获取模块用于：

获取网络当前的镜像流量；

从所述镜像流量中获取当前网络中的各个节点之间的访问关系。

7.一种电子设备，其特征在于，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条计算机指令，所述指令由所述处理器加载并执行以实现权利要求1至权利要求3任一项所述的网络行为检测方法中所执行的步骤。

8.一种计算机可读存储介质，其特征在于，所述存储介质中存储有至少一条计算机指令，所述指令由处理器加载并执行以实现权利要求1至权利要求3任一项所述的网络行为检测方法中所执行的步骤。