CN102413013A - 网络异常行为检测方法及装置 - Google Patents

Abstract

本发明提供一种网络异常行为检测方法及装置。方法包括：获取网络设备的历史日志数据；解析所述历史日志数据，生成历史网络行为数据；根据所述历史网络行为数据和规则模板，生成白名单、黑名单和基调规则；获取所述网络设备的当前日志数据；解析所述当前日志数据，生成当前网络行为数据；根据所述白名单对所述当前网络行为数据进行过滤，得到可疑行为数据；根据所述黑名单对所述可疑行为数据进行过滤，得到异常行为数据和未知行为数据；将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较，将超出所述基调规则的未知行为数据标识为异常行为数据；输出包括所述异常行为数据的告警信息。

Description

网络异常行为检测方法及装置

技术领域

本发明实施例涉及网络技术领域，尤其涉及一种网络异常行为检测方法及装置。

背景技术

随着网络的使用范围在日常生活中的日益广泛，网络信息安全的问题也愈发的重要。应用场景的多样性，使得现有的主要网络安全检测技术，如网络防火墙、入侵检测系统和网管软件等已经不能满足网络安全保障的要求。

针对上述问题，网络异常行为检测的概念被提出来了，旨在监测专有网络(如企业内部网络)的不寻常事件或趋势，如果检测到一个不寻常事件或趋势，就生成显示威胁存在的警报。

但是目前，现有技术中还没有一套系统、完整的网络异常行为检测方法，能够比较全面地检测出专有网络中各种异常行为。

发明内容

本发明实施例提供一种网络异常行为检测方法及装置，用以比较全面地检测出专有网络中各种异常行为。

一方面，本发明实施例提供了一种网络异常行为检测方法，包括：

获取网络设备的历史日志数据；

解析所述历史日志数据，生成历史网络行为数据；

根据所述历史网络行为数据和规则模板，生成白名单、黑名单和基调规则；

获取所述网络设备的当前日志数据；

解析所述当前日志数据，生成当前网络行为数据；

根据所述白名单对所述当前网络行为数据进行过滤，得到可疑行为数据；

根据所述黑名单对所述可疑行为数据进行过滤，得到异常行为数据和未知行为数据；

将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较，将超出所述基调规则的未知行为数据标识为异常行为数据；

输出包括所述异常行为数据的告警信息。

另一方面，本发明实施例提供了一种网络异常行为检测装置，包括：

第一获取模块，用于获取网络设备的历史日志数据；

第一解析模块，用于解析所述历史日志数据，生成历史网络行为数据；

生成模块，用于根据所述历史网络行为数据，生成白名单、黑名单和基调规则；

第二获取模块，用于获取所述网络设备的当前日志数据；

第二解析模块，用于解析所述当前日志数据，生成当前网络行为数据；

第一过滤模块，用于根据所述白名单对所述当前网络行为数据进行过滤，得到可疑行为数据；

第二过滤模块，用于根据所述黑名单对所述可疑行为数据进行过滤，得到异常行为数据和未知行为数据；

基调比较模块，用于将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较，将超出所述基调规则的未知行为数据标识为异常行为数据；

告警模块，用于输出包括所述异常行为数据的告警信息。

以上多个技术方案中至少一个技术方案具有如下优点或有益效果：

本发明实施例采用解析历史日志数据生成历史网络行为数据，根据历史网络行为数据和规则模板生成白名单、黑名单和基调规则，解析当前日志数据，生成当前网络行为数据，根据白名单、黑名单和基调规则依次对当前网络行为数据进行过滤、比较，确定异常行为数据的技术手段，可以比较全面地检测出专有网络中各种异常行为。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种网络异常行为检测方法的流程示意图；

图2为本发明实施例二提供的一种网络异常行为检测装置的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例一提供的一种网络异常行为检测方法的流程示意图。如图1所示，该方法包括：

步骤101、获取网络设备的历史日志数据。

举例来说，网络异常行为检测装置获取网络设备的历史日志数据。应用中，网络异常行为检测装置可以部署在专用的分析服务器中，和所述网络设备一同设置在专有网络中，比如设置在企业内部网络中。这里的网络设备可以是防火墙、应用服务器等设备。历史日志数据可以包括网络设备中保存的一段较长时间的日志数据，比如之前2个月的所有日志数据。

步骤102、解析所述历史日志数据，生成历史网络行为数据。

通常，每条日志数据(包括历史日志数据和当前日志数据)对应一个网络行为，每个网络行为可以有其属性数据来标识，网络行为的属性数据至少包括：行为人身份(Identity)、发生时间(Time)、发生位置(Location)、行为方式(Means)、行为操作(Action)、行为对象(Resource)，含义分别如下：

1)行为人身份：在信息技术(Information Technology，简称IT)系统中，表述身份的通常就是系统账号。这里的IT系统泛指专有网络中的计算机网络、服务器、打印机、电话等IT设备组成的系统。行为人身份可以指向单个的行为人，也可以指向一个行为人群组。

2)发生时间：时间属性中包含两层概念，一个是行为发生的时刻，另一个是行为发生的频率。但频率是一个间接属性，无法从单个日志数据中直接提取。

3)发生位置：IT系统中网络行为的发生位置可以用IP地址、自动柜员机(Automated Teller Machine，简称ATM)终端号、销售终端(Point of Sale，简称POS)终端号、业务终端编号来标识。

4)行为方式：即以什么渠道完成的操作。例如在IT系统中，常见的行为方式有：专用客户端软件、中间件(对数据库访问通常采用中间件)、命令行界面(Command-line Interface，简称CLI)、远程桌面等。

5)行为操作：也称为行为类型。行为操作大体可以分为交易操作(如转账、取现、存款、支付)、数据库操作(如数据查询、数据更新)、文件操作(如下载、上传、修改等)三大类。

6)行为对象：也称为行为资源，即各种IT资源，如文件、数据库表、服务器主机、数据项等。有时需要对某些行为操作赋予两个行为对象取值，例如文件下载操作，不仅包括下载对象，还可以包括下载数量。

本实施例中可以根据历史日志数据中的每条日志数据确定其对应的历史网络行为，生成标识该历史网络行为的历史网络行为数据，每条历史网络行为数据可以包括该历史网络行为的上述多个属性数据。具体地，步骤102可以包括：

解析所述历史日志数据中的每条日志数据，确定每条日志数据对应的历史网络行为的属性数据，所述属性数据包括行为人身份、发生时间、发生位置、行为方式、行为操作和行为对象；

生成与所述每条日志数据对应的历史网络行为数据，所述历史网络行为数据包括所述历史网络行为的属性数据。

步骤103、根据所述历史网络行为数据和规则模板，生成白名单、黑名单和基调规则。

具体地，可以根据历史网络行为数据总结历史网络行为的规律，也就是说历史行为模式，然后根据用户的选择指令确定其中的白模式和黑模式，并根据用户选择的规则模板生成对应的白名单规则和黑名单规则，分别添加到白名单和黑名单中。

其中，规则模板包括至少一个属性数据的标识，规则模板可以用来确定下述步骤中的过滤/检测规则。基于上述网络行为的6个属性数据，网络行为模型由6个对应的元素构成。检测规则可以单独针对其中的某一个或某几个，这样通过组合计算，可以罗列出全部可能的规则模板，共63种，部分如表1所示。其中√符号表示该规则模板检测所对应的元素，

符号表示任意，即该规则模板不检测所对应的元素。

表3

为了更好的说明规则模板的含义，这里用几个检测规则实例加以说明。

规则模板1示例：除中间件和管理员账户外，其它任何身份的对数据库的访问都是违规的。

在很多IT系统中，只允许两个账号对数据库的访问，即中间件的账号和管理员账号admin。因此其它账号访问数据库，一律看作违规行为。这条检测规则只关注行为人身份和行为对象两个元素。

规则模板3示例：管理员账户只能在系统维护时间段从IP地址是111.111.111.111的维护终端访问数据库，其他行为都是违规的。

除了行为人身份，发生时间和发生位置也是该检测规则必须考虑的因素，有些操作一般只发生在特定时间段内发生，并且只能从某个特定的维护终端主机上进行操作。

规则模板7示例：除了通过堡垒主机以远程桌面方式进行的更新操作，其它都是违规的。

在某些IT系统的维护规定中，要求维护终端先登录到堡垒主机上，再用远程桌面的方式进行维护操作。

规则模板63只检测行为对象这个元素，该检测规则的含义是：任何人在任何时间以任何方式对某个行为对象的任何操作都是异常行为。按一般的理解，既然所有的访问都是非法的，这个行为对象，即资源也就没实际意义。但在现实中的确存在这样一种资源，通常称为蜜罐。

另外，每条基调(profile)规则均是面向特定行为人或特定行为人群组的，如表2所示。每个行为人或行为人群组的历史网络行为数据可以构造成该每个行为人或行为人群组的基调规则，即与行为人身份对应的基调规则。一旦该每个行为人或行为人群组的某个网络行为数据远远偏离这个基调规则，则判断为异常。同网络行为的属性数据一样，基调规则中发生时间的取值有两种可能，一个是时段，用区间符号[]表示，一个是频率。发生位置、行为方式、行为操作三个元素分别都可以有多个非数字取值，因此可以是元素的集合，用{}表示。行为对象的取值可能是数值的，也可能非数值。基调规则通常用于检测外部用户的异常交易行为，因此下面用一个交易行为的基调规则作为实例说明，如账户A。同时，这个基调规则也可以应用于内部用户的访问行为监控，如账户B。

表2

基调规则	发生时间	发生位置	行为方式	行为操作	行为对象
						账户A	[]，频率	{}	{A，C}	{}	{}或[]
账户B	[]	{}	{B，C}	{}	{}或[]
						账户C	[]，频率	{}	{D，E}	{}	{}或[]

举例来说，账户A银行卡交易行为的基调是：通常在中午休息12:00-13:00或晚上下班以后17:30-20:00购物，购物方式基本是在超市A(工作单位附近)和超市B(住家附近)的POS机刷卡，或是通过支付宝网络购物，还有在网上支付(onlinebank)一些账单，通常单次交易金额一般都不超过500元。则设置账号A的基调规则如下：

[12:00，13:00]，[17:30，20:00]；{超市A，支付宝，超市B}；{POS，onlinebank}；{支付，转账}；[0，500]

举例来说，账户B的终端访问行为的基调是：通常在工作时间9:00-17:00从IP地址为222.222.222.222的终端，以CLI或远程桌面的方式对文件或数据库表进行下载、上传或打开创建的操作，下载量不超过50MB，上传量不超过0.5MB。则设置账号B的基调规则如下：

[9:00，17:00]；{IP：222.222.222.222}；{CLI，远程桌面}；{下载，上传，打开创建}；{文件，数据库表}，[0，50MB][0，0.5MB]

对应地，步骤102中根据所述历史网络行为数据和规则模板，生成白名单、黑名单具体包括：

基于所述属性数据中行为人身份、发生时间、发生位置、行为方式、行为操作、行为对象的任意组合，对所述历史网络行为数据进行统计分析，生成历史行为模式；

根据第一选择指令从所述历史行为模式中选择至少一条作为白模式，并确定所述第一选择指令指定的第一规则模板，所述第一规则模板包括至少一个属性数据的标识；

将所述至少一条白模式分别与所述第一规则模板匹配，生成至少一条白名单规则，添加到所述白名单，所述白名单规则包括与所述第一规则模板对应的所述至少一个属性数据；

根据第二选择指令从所述历史行为模式中选择至少一条作为黑模式，并确定所述第二选择指令指定的第二规则模板，所述第二规则模板包括至少一个属性数据的标识；

将所述至少一条黑模式分别与所述第二规则模板匹配，生成至少一条黑名单规则，添加到所述黑名单，所述黑名单规则包括与所述第二规则模板对应的所述至少一个属性数据。

应用中，可以将所有生成的历史行为模式通过筛选界面展示给用户，用户通过选择指令选择哪些是正常的，哪些是异常的。另外，用户还可以依据已知的正常业务流量和异常行为特征，手工添加白名单规则和黑名单规则。

具体地，第一选择指令和第二选择指令都是用户通过用户界面输入的，第一选择指令用来从历史行为模式选择正常的行为模式作为白模式，并选择对应的第一规则模板，第二选择指令用来从历史行为模式选择异常的行为模式作为黑模式，并选择对应的第二规则模板。举例来说，用户从历史行为模式选择一条作为白模式，该白模式包括6个属性数据，用户确定针对该白模式，只需检测其中4个元素，因此选择只包含需检测的4个元素的规则模板，这样，生成的白名单规则中也只包含对应的4个属性数据。

步骤102中根据所述历史网络行为数据和规则模板，生成基调规则具体包括：

基于行为人身份，对所述历史网络行为数据进行统计分析和聚类分析，生成所述行为人身份对应的基调规则。

应用中，根据行为人身份进行统计分析，可以得到某个行为人的基调规则。根据行为人身份进行聚类分析，可以得到某类行为人的基调规则，这一类行为人归为一个群组。例如，分行柜员终端的业务操作极为类似，网络行为应具有明显的相似性，通过聚类分析后，分行柜员终端IP地址应自动归为一个IP群组，作为行为人群组。同时对各IP群组的行为进行聚类分析，形成该行为人群组的基调规则。

进一步地，针对基调规则，也可以根据用户选择的规则模板来匹配，即从根据历史网络行为数据得到的某个行为人身份对应的基调规则中选择对应的检测元素。

上述步骤101-103为初始化过程。

步骤104、获取所述网络设备的当前日志数据。

当前日志数据可以是最近一段时间内的日志数据，具体时间段可以由管理员设定，如前一天的日志数据，本实施例对此不做限定。

步骤105、解析所述当前日志数据，生成当前网络行为数据。

与步骤102类似的，步骤105可以包括：

解析所述当前日志数据中的每条日志数据，确定每条日志数据对应的当前网络行为的属性数据；

生成与所述每条日志数据对应的当前网络行为数据，所述当前网络行为数据包括所述当前网络行为的属性数据。

步骤106、根据所述白名单对所述当前网络行为数据进行过滤，得到可疑行为数据。

具体地，白名单过滤出来的为正常行为数据，其他的为可疑行为数据，也可以称为黑/灰行为数据。举例来说，假设管理员账户admin在系统维护时间段12:00-13:00从IP地址是111.111.111.111的维护终端访问数据库的网络行为是正常网络行为，则在白名单中设置一条网络行为路径：

{admin}；[12:00，13:00]；{IP：111.111.111.111}；{任意}；{任意}；{数据库}

其中，{admin}标识行为人身份，[12:00，13:00]标识发生时间，{IP：111.111.111.111}标识发生位置，两个{任意}分别标识行为方式和行为操作，{数据库}标识行为对象。匹配上述网络行为路径的即为正常行为数据。需要说明的是，一条网络行为路径中可以仅限定网络行为的六个属性中的至少一个属性的取值，这种情况下，未限定取值的属性视为可以取任意值。

步骤107、根据所述黑名单对所述可疑行为数据进行过滤，得到异常行为数据和未知行为数据。

具体地，黑名单过滤出来的为异常行为数据，其他的为未知行为数据。举例来说，假设账户A在时间段12:00-13:00从IP地址为222.222.222.222的终端通过专用客户端软件下载文件超过50MB的网络行为是异常网络行为，则在黑名单中设置一条网络行为路径：

{A}；[12:00，13:00]；{IP：222.222.222.222}；{专用客户端软件}；{下载}；{文件}；[50MB，∞]

其中，{A}标识行为人身份，[12:00，13:00]标识发生时间，{IP：222.222.222.222}标识发生位置，{专用客户端软件}标识行为方式，{下载}标识行为操作，{文件}和[50M，∞]标识行为对象。匹配上述网络行为路径的即为异常行为数据。需要说明的是，一条网络行为路径中可以仅限定网络行为的六个属性中的至少一个属性的取值，这种情况下，未限定取值的属性视为可以取任意值。

步骤108、将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较，将超出所述基调规则的未知行为数据标识为异常行为数据。

具体地，基调规则可以是预先设置好的，在基调规则范围内的为正常行为数据，超出基调规则的为异常行为数据。

步骤109、输出包括所述异常行为数据的告警信息。

具体地，步骤109输出的告警信息中包含步骤107和108中确定的异常行为数据。

为了适应IT系统不断推出的新业务，在本发明的又一可选的实施例中，还可以定期根据最近一段时间的日志数据进行基调规则的自学习。具体地，该方法还包括：

周期性地或根据更新指令，更新所述历史网络行为数据；

根据所述更新后的历史网络行为数据，更新所述基调规则。

这里的更新指令可以是用户通过网络异常行为检测装置的控制界面发出的。周期性更新的周期可以是预先设定好的，比如一个月。由于网络设备一直在持续地记录日志数据，因为随着时间的推进，历史日志数据也在不断的更新，本实施例中，可以根据更新的历史日志数据生成更新的历史网络行为数据，从而生成新的基调规则。

本发明实施例采用解析历史日志数据生成历史网络行为数据，根据历史网络行为数据和规则模板生成白名单、黑名单和基调规则，解析当前日志数据，生成当前网络行为数据，根据白名单、黑名单和基调规则依次对当前网络行为数据进行过滤、比较，确定异常行为数据的技术手段，可以比较全面地检测出专有网络中各种异常行为，进一步地，给用户提供了选择规则模板、自定义白名单规则和黑名单规则的接口，提高了网络异常行为检测的完备性。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

图2为本发明实施例二提供的一种网络异常行为检测装置的结构示意图。如图2所示，该装置包括：

第一获取模块21，用于获取网络设备的历史日志数据；

第一解析模块22，用于解析所述历史日志数据，生成历史网络行为数据；

生成模块23，用于根据所述历史网络行为数据，生成白名单、黑名单和基调规则；

第二获取模块24，用于获取所述网络设备的当前日志数据；

第二解析模块25，用于解析所述当前日志数据，生成当前网络行为数据；

第一过滤模块26，用于根据所述白名单对所述当前网络行为数据进行过滤，得到可疑行为数据；

第二过滤模块27，用于根据所述黑名单对所述可疑行为数据进行过滤，得到异常行为数据和未知行为数据；

基调比较模块28，用于将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较，将超出所述基调规则的未知行为数据标识为异常行为数据；

告警模块29，用于输出包括所述异常行为数据的告警信息。

在本发明的一个可选的实施例中，第一解析模块22具体用于，

解析所述历史日志数据中的每条日志数据，确定每条日志数据对应的历史网络行为的属性数据，所述属性数据包括行为人身份、发生时间、发生位置、行为方式、行为操作和行为对象；

生成与所述每条日志数据对应的历史网络行为数据，所述历史网络行为数据包括所述历史网络行为的属性数据；

第二解析模块25具体用于，

解析所述当前日志数据中的每条日志数据，确定每条日志数据对应的当前网络行为的属性数据；

生成与所述每条日志数据对应的当前网络行为数据，所述当前网络行为数据包括所述当前网络行为的属性数据。

在本发明的又一可选的实施例中，生成模块23具体用于，

基于所述属性数据中行为人身份、发生时间、发生位置、行为方式、行为操作、行为对象的任意组合，对所述历史网络行为数据进行统计分析，生成历史行为模式；

根据第一选择指令从所述历史行为模式中选择至少一条作为白模式，并确定所述第一选择指令指定的第一规则模板，所述第一规则模板包括至少一个属性数据的标识；

将所述至少一条白模式分别与所述第一规则模板匹配，生成至少一条白名单规则，添加到所述白名单，所述白名单规则包括与所述第一规则模板对应的所述至少一个属性数据；

根据第二选择指令从所述历史行为模式中选择至少一条作为黑模式，并确定所述第二选择指令指定的第二规则模板，所述第二规则模板包括至少一个属性数据的标识；

将所述至少一条黑模式分别与所述第二规则模板匹配，生成至少一条黑名单规则，添加到所述黑名单，所述黑名单规则包括与所述第二规则模板对应的所述至少一个属性数据。

进一步地，生成模块23还用于，

基于行为人身份，对所述历史网络行为数据进行统计分析和聚类分析，生成所述行为人身份对应的基调规则。。

在本发明的又一可选的实施例中，还包括：

更新模块，用于周期性地或根据更新指令，更新所述历史网络行为数据；根据所述更新后的历史网络行为数据，更新所述基调规则。

应用中，网络异常行为检测装置可以部署在专用的分析服务器中，和所述网络设备一同设置在专有网络中，比如设置在企业内部网络中。这里的网络设备可以是防火墙、应用服务器等设备。

本发明实施例二的具体实现参照本发明实施例一。本发明实施例解析历史日志数据生成历史网络行为数据，根据历史网络行为数据和规则模板生成白名单、黑名单和基调规则，采用解析当前日志数据，生成当前网络行为数据，根据白名单、黑名单和基调规则依次对当前网络行为数据进行过滤、比较，确定异常行为数据的技术手段，可以比较全面地检测出专有网络中各种异常行为。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种网络异常行为检测方法，其特征在于，包括：

获取网络设备的历史日志数据；

解析所述历史日志数据，生成历史网络行为数据；

根据所述历史网络行为数据和规则模板，生成白名单、黑名单和基调规则；

获取所述网络设备的当前日志数据；

解析所述当前日志数据，生成当前网络行为数据；

根据所述白名单对所述当前网络行为数据进行过滤，得到可疑行为数据；

根据所述黑名单对所述可疑行为数据进行过滤，得到异常行为数据和未知行为数据；

将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较，将超出所述基调规则的未知行为数据标识为异常行为数据；

输出包括所述异常行为数据的告警信息。

2.根据权利要求1所述的方法，其特征在于，所述解析所述历史日志数据，生成历史网络行为数据具体包括：

解析所述历史日志数据中的每条日志数据，确定每条日志数据对应的历史网络行为的属性数据，所述属性数据包括行为人身份、发生时间、发生位置、行为方式、行为操作和行为对象；

生成与所述每条日志数据对应的历史网络行为数据，所述历史网络行为数据包括所述历史网络行为的属性数据；

所述解析所述当前日志数据，生成当前网络行为数据具体包括：

解析所述当前日志数据中的每条日志数据，确定每条日志数据对应的当前网络行为的属性数据；

生成与所述每条日志数据对应的当前网络行为数据，所述当前网络行为数据包括所述当前网络行为的属性数据。

3.根据权利要求2所述的方法，其特征在于，所述根据所述历史网络行为数据和规则模板，生成白名单、黑名单具体包括：

基于所述属性数据中行为人身份、发生时间、发生位置、行为方式、行为操作、行为对象的任意组合，对所述历史网络行为数据进行统计分析，生成历史行为模式；

根据第一选择指令从所述历史行为模式中选择至少一条作为白模式，并确定所述第一选择指令指定的第一规则模板，所述第一规则模板包括至少一个属性数据的标识；

将所述至少一条白模式分别与所述第一规则模板匹配，生成至少一条白名单规则，添加到所述白名单，所述白名单规则包括与所述第一规则模板对应的所述至少一个属性数据；

根据第二选择指令从所述历史行为模式中选择至少一条作为黑模式，并确定所述第二选择指令指定的第二规则模板，所述第二规则模板包括至少一个属性数据的标识；

将所述至少一条黑模式分别与所述第二规则模板匹配，生成至少一条黑名单规则，添加到所述黑名单，所述黑名单规则包括与所述第二规则模板对应的所述至少一个属性数据。

4.根据权利要求3所述的方法，其特征在于，所述根据所述历史网络行为数据和规则模板，生成基调规则具体包括：

基于行为人身份，对所述历史网络行为数据进行统计分析和聚类分析，生成所述行为人身份对应的基调规则。

5.根据权利要求1-4中任一项所述的方法，其特征在于，还包括：

周期性地或根据更新指令，更新所述历史网络行为数据；

根据所述更新后的历史网络行为数据，更新所述基调规则。

6.一种网络异常行为检测装置，其特征在于，包括：

第一获取模块，用于获取网络设备的历史日志数据；

第一解析模块，用于解析所述历史日志数据，生成历史网络行为数据；

生成模块，用于根据所述历史网络行为数据，生成白名单、黑名单和基调规则；

第二获取模块，用于获取所述网络设备的当前日志数据；

第二解析模块，用于解析所述当前日志数据，生成当前网络行为数据；

第一过滤模块，用于根据所述白名单对所述当前网络行为数据进行过滤，得到可疑行为数据；

第二过滤模块，用于根据所述黑名单对所述可疑行为数据进行过滤，得到异常行为数据和未知行为数据；

基调比较模块，用于将所述未知行为数据与所述未知行为数据中行为人身份对应的基调规则比较，将超出所述基调规则的未知行为数据标识为异常行为数据；

告警模块，用于输出包括所述异常行为数据的告警信息。

7.根据权利要求6所述的装置，其特征在于，所述第一解析模块具体用于，

解析所述历史日志数据中的每条日志数据，确定每条日志数据对应的历史网络行为的属性数据，所述属性数据包括行为人身份、发生时间、发生位置、行为方式、行为操作和行为对象；

生成与所述每条日志数据对应的历史网络行为数据，所述历史网络行为数据包括所述历史网络行为的属性数据；

所述第二解析模块具体用于，

解析所述当前日志数据中的每条日志数据，确定每条日志数据对应的当前网络行为的属性数据；

生成与所述每条日志数据对应的当前网络行为数据，所述当前网络行为数据包括所述当前网络行为的属性数据。

8.根据权利要求7所述的装置，其特征在于，所述生成模块具体用于，

基于所述属性数据中行为人身份、发生时间、发生位置、行为方式、行为操作、行为对象的任意组合，对所述历史网络行为数据进行统计分析，生成历史行为模式；

根据第一选择指令从所述历史行为模式中选择至少一条作为白模式，并确定所述第一选择指令指定的第一规则模板，所述第一规则模板包括至少一个属性数据的标识；

将所述至少一条白模式分别与所述第一规则模板匹配，生成至少一条白名单规则，添加到所述白名单，所述白名单规则包括与所述第一规则模板对应的所述至少一个属性数据；

根据第二选择指令从所述历史行为模式中选择至少一条作为黑模式，并确定所述第二选择指令指定的第二规则模板，所述第二规则模板包括至少一个属性数据的标识；

将所述至少一条黑模式分别与所述第二规则模板匹配，生成至少一条黑名单规则，添加到所述黑名单，所述黑名单规则包括与所述第二规则模板对应的所述至少一个属性数据。

9.根据权利要求8所述的装置，其特征在于，所述生成模块还用于，

基于行为人身份，对所述历史网络行为数据进行统计分析和聚类分析，生成所述行为人身份对应的基调规则。

10.根据权利要求6-9中任一项所述的装置，其特征在于，还包括：

更新模块，用于周期性地或根据更新指令，更新所述历史网络行为数据；根据所述更新后的历史网络行为数据，更新所述基调规则。

Images