CN117834311B - 一种用于网络安全的恶意行为识别系统 - Google Patents

Abstract

本发明公开了一种用于网络安全的恶意行为识别系统，涉及网络安全技术领域，用于解决现有恶意行为识别系统对不同类型恶意行为的识别能力不具有针对性，导致误报率较高的同时也对计算资源消耗巨大的问题，本发明包括采集模块、提取模块、识别模块、上传模块、分类模块、评价模块及优化模块；采集模块用于对用户网络流量中的数据样本进行收集；具体步骤如下：监控网络流量：通过在网络中设置监听器或者使用网络抓包工具来捕获网络流量数据，本发明，通过对用户上传的恶意行为进行分类和评估其危害程度，可以根据不同类型和危害程度的恶意行为来调整终端对其进行识别的顺序，以提高恶意行为识别的效率，并减少计算资源的消耗。

Description

一种用于网络安全的恶意行为识别系统

技术领域

本发明涉及网络安全技术领域，具体为一种用于网络安全的恶意行为识别系统。

背景技术

随着互联网的快速发展，网络安全问题日益突出。恶意行为，如网络钓鱼、恶意软件传播、黑客攻击等，给个人和组织的信息资产带来了巨大的风险和损失。为了保护网络用户的安全和隐私，恶意行为识别系统成为网络安全的重要组成部分。

目前，网络安全领域已经涌现出一些恶意行为识别系统，如基于规则的系统、基于特征提取的系统等。然而，这些系统存在一些问题：首先，识别过程中计算资源消耗大，需要庞大的计算能力，限制了系统的实时性和可扩展性；其次，系统对不同类型恶意行为的识别能力不具有针对性，导致误报率较高

为了解决上述缺陷，现提供一种技术方案。

发明内容

本发明的目的在于解决现有恶意行为识别系统对不同类型恶意行为的识别能力不具有针对性，导致误报率较高的同时也对计算资源消耗巨大的问题，而提出一种用于网络安全的恶意行为识别系统。

本发明的目的可以通过以下技术方案实现：

一种用于网络安全的恶意行为识别系统，包括：

采集模块，用于对用户网络流量中的数据样本进行收集；

提取模块，用于对数据样本进行特征提取；

识别模块，用于根据数据样本的特征结合预设的识别模型对恶意行为进行识别；还用于优化分类器的性能和效果；

上传模块，用于将用户识别到的恶意行为向数据库进行上传储存；

分类模块，用于将上传的恶意行为进行分类；

评价模块，用于对数据库中的恶意行为数据进行评价；

通过采集数据库中恶意行为的破坏性、可持续性、传播性、敏感性及经济损失，并通过以上参数对恶意行为进行危害值的分析计算；

优化模块，用于根据恶意行为的分类及评价重新进行识别规则的定制；

具体步骤如下：

获取分类模块对数据库中不同类别的恶意行为的分类及数量排序，并对每个类别中单个恶意行为的危害值按照大小进行排序；

在对安全识别扫描引擎进行配置，优选对恶意行为数量最多的类别进行扫描，在针对单一类别进行扫描识别时，同时根据该类别相对应的恶意行为危害值从大到小依次排序后，按照该顺序进行扫描识别；

将定制好的识别规则即新配置的安全识别扫描引擎对用户的识别模块进行更新，按照新的识别规则对恶意行为进行识别。

进一步的，所述分类模块中对恶意行为的分类具体包括以下类别：

社会工程类：电子邮件欺诈、网络钓鱼、假冒网站及诈骗；

恶意软件类：病毒、蠕虫、木马、勒索软件、广告软件、间谍软件及键盘记录器；

网络攻击类：DDoS 攻击、网络入侵、中间人攻击、数据包嗅探、ARP 欺骗及DNS 欺骗；

无线网络攻击类：Wi-Fi密码破解、中间人攻击及无线信号干扰；

数据泄露类：数据库攻击、文件共享不当及云服务漏洞；

分别统计社会工程类、恶意软件类、网络攻击类、无线网络攻击类及数据泄露类五个类别的恶意行为总数量，并将类别按照数量多少进行排序，完成每次数据库恶意行为的上传后，对排序的类别进行更新。

进一步的，所述采集模块对用户网络流量中的数据样本进行收集的具体操作步骤如下：

监控网络流量：通过在网络中设置监听器或者使用网络抓包工具来捕获网络流量数据，通过选择在网络交换机、路由器及防火墙设备上进行监听，或者在特定节点上设置嗅探器；

数据收集：将捕获到的网络流量数据以数据包的形式进行存储，数据包包括网络层、传输层和应用层的信息；

数据预处理：在进行特征提取之前，对采集到的数据进行预处理，以去除噪声数据和不必要的信息，预处理的步骤包括以下操作：

去重：对多次捕获的同一数据包进行去重处理，只保留一份数据；

过滤：根据预设规则，过滤掉不相关的数据包，只保留与网络安全恶意行为相关的数据；

重组：对于数据包分片情况，将分片重新组合成完整的数据包；

数据格式化：将数据包中的各个字段进行解析和格式化；

数据清洗：对数据样本中存在异常、错误或不完整的数据进行数据清洗操作，具体的清洗步骤如下：

异常值处理：检测和处理异常值，包括超出正常范围的IP地址或不存在的域名；

缺失值填充：对于缺失某些字段或属性的数据包，根据已有信息进行填充；

噪声数据过滤：去除无关的噪声数据，包括重复的请求或无效的访问。

进一步的，所述提取模块对数据样本进行特征提取的具体操作步骤如下：

特征选择：从预处理后的数据样本中选择合适的特征，其中特征包括统计特征：包长度及传输速率；时序特征：时间间隔及持续时间；频域特征：频谱分析；

特征提取算法选择：选择特征提取算法，具体的特征提取算法包括基于统计方法：均值、方差；频域分析：傅里叶变换、小波变换；时序分析：自相关函数、互相关函数；机器学习：主成分分析、线性判别分析；

特征提取：根据选定的特征提取算法，从数据样本中提取出具有区分度的特征；

特征表示：将提取得到的特征表示为后续分类或机器学习操作的形式，包括可向量或矩阵数据结构来表示特征。

进一步的，所述评价模块对恶意行为危害值的分析计算的具体操作步骤如下：

恶意行为的破坏性为恶意行为对受影响系统、应用程序、数据的破坏性程度，通过分别采集系统破坏程度、应用程序影响数量及破坏的数据大小总和，并分别标定为XP、XS及XZ，归一化处理后代入以下公式：以得到破性值PO；

可持续性为恶意行为对受影响对象的持续影响时间，通过获取恶意行为的持续时间、复发频率及恢复成本，复发频率为该恶意行为的在预设时间段内发生的次数，恢复成本为恶意行为影响后恢复正常所需的时间及投入成本，将所需时间与投入成本归一化处理后进行求和得到成本值，再将持续时间、复发频率及成本值归一化处理后通过将成本值作为半径建立底圆，持续时间与复发频率之和作为高配合底圆建立圆柱体，计算此圆柱体的体积，并标定为持续值；

传播性为恶意行为的传播速度和范围，通过采集恶意行为的传播速度、传播范围及传染率，其中传染率为该恶意行为感染其他系统的比例、感染链的长度以及传播路径传播时间，将感染其他系统的比例、感染链的长度以及传播路径传播时间归一化处理后相乘得到传率值，再将得到的传播速度、传播范围及传率值归一化处理后计算总和以得到播散值；

敏感性为恶意行为对受影响对象的敏感信息，包括用户账号、密码、个人信息的影响，对恶意行为对受影响对象的敏感信息进行评价，分别五个等级，五个等级分别对应着1、2、3、4及5的感数值，当确定该恶意行为的敏感性等级后，则通过相对应的感数值进行表示；

经济损失为恶意行为导致的经济损失，包括被盗窃、停工等直接损失以及其他间接损失，并计算所有预估的经济损失之和，以得到经损值；

将计算得到的破性值、持续值、播散值、感数值及经损值分别标定为PO、CX、LZ、GS及JS，归一化处理后代入以下公式：以得到危害值WHD，式中分别为破性值、持续值、播散值、感数值及经损值的预设权重系数，并分别取值为1.023、0.953、0.985、1.224及1.112。

进一步的，所述识别模块对恶意行为进行识别的具体操作步骤如下：

首先从机器学习、统计学、深度学习三种领域中选择合适的识别模型，具体包括支持向量机（SVM）、决策树（DT）、随机森林（RF）及神经网络（NN）；

再利用已经标注好的数据样本和选定的模型，进行分类器训练，通过使用机器学习算法，从已有的数据样本中学习出一个用于分类的模型；

然后利用测试集数据对训练好的分类器进行评估，评估过程通过采用各种性能指标，以评估分类器的性能和效果；

最后利用训练好的分类器和预设的数据样本特征，对新的数据样本进行分类操作，并输出分类结果，判断数据样本是否属于恶意行为。

进一步的，所述识别模块优化分类器的性能和效果的具体操作步骤如下：

评估分类器的性能和效果的性能指标包括：准确率、召回率及F1值；

其中准确率为被正确分类的样本占总样本数的比例；通过获取真正例、真负例、假正例及假阴性，并分别标定为TP、TN、FP及FN，归一化处理后代入以下公式：ZQL = (TP +TN) / (TP + FP + TN + FN)，以得到准确率ZQL；

召回率为被正确分类为正例的样本占所有实际为正例的样本的比例，召回率的计算通过公式：ZH = TP / (TP + FN)，式中ZH为召回率；

F1值是综合考虑准确率和召回率的指标，F1值的计算公式如下：FZ = 2 * (ZQL *ZH) / (ZQL +ZH)；FZ为F1值，其中F1值FZ的取值范围在0和1之间；

将计算得到的准确率ZQL、召回率ZH及F1值FZ归一化处理后代入以下公式：以得到性效值XXZ，式中/>分别为准确率数、召回率及F1值的预设权重系数，并分别取值为1.112、1.036及0.995；

再将计算得到的性效值与预设性效阈值进行比对，当性效值低于预设性效阈值时，则判断分类器的性能和效果未达标，启动提效操作，提效操作具体步骤如下：

首先针对特征选择中选择对分类任务具有较强区分能力的特征；再选择不同的分类算法，包括决策树、朴素贝叶斯或支持向量机，以确定合适的模型，再通过交叉验证的方法，优化算法的超参数，包括学习率或正则化系数；最后预设若干个分类器，并对分类器的结果进行集成，具体方式包括投票、平均或权重；

完成提效操作后，再次对性效值进行验证，当性效值依旧低于预设性效阈值时，则再次更换模型，直至计算得到的性效值大于预设性效阈值后，则完成提效操作。

与现有技术相比，本发明的有益效果是：

本发明，通过对用户上传的恶意行为进行分类和评估其危害程度，可以根据不同类型和危害程度的恶意行为来调整终端对其进行识别的顺序，以提高恶意行为识别的效率，使得系统对恶意行为的识别更加聚焦于那些最有可能出现类别及相对应的恶意行为，帮助用户更快地检测识别出可能的威胁，并提高安全防护的响应速度，并减少计算资源的消耗。

附图说明

为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明；

图1为本发明的系统总框图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

应当理解，本披露的说明书和权利要求书中使用的术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本披露说明书中所使用的术语仅仅是出于描述特定实施例的目的，而并不意在限定本披露。如在本披露说明书和权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解 ，在本披露说明书和权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

如图1所示，一种用于网络安全的恶意行为识别系统，包括采集模块、提取模块、识别模块、上传模块、分类模块、评价模块及优化模块；

采集模块用于对用户网络流量中的数据样本进行收集；

具体步骤如下：

监控网络流量：通过在网络中设置监听器或者使用网络抓包工具来捕获网络流量数据，可以选择在网络交换机、路由器及防火墙设备上进行监听，或者在特定节点上设置嗅探器；

数据收集：将捕获到的网络流量数据以数据包的形式进行存储，数据包包括网络层、传输层和应用层的信息，如源IP地址、目标IP地址、端口号、协议类型、请求内容；

数据预处理：在进行特征提取之前，对采集到的数据进行预处理，以去除噪声数据和不必要的信息，并确保数据的一致性和可用性；预处理的步骤可以包括以下操作：去重：对多次捕获的同一数据包进行去重处理，只保留一份数据；过滤：根据预设规则，过滤掉不相关的数据包，只保留与网络安全恶意行为相关的数据；重组：对于数据包分片情况，将分片重新组合成完整的数据包；数据格式化：将数据包中的各个字段进行解析和格式化，以便后续处理和分析；数据清洗：对数据样本中存在异常、错误或不完整的数据进行数据清洗操作，具体的清洗步骤如下：

异常值处理：检测和处理异常值，如超出正常范围的IP地址、不存在的域名；缺失值填充：对于缺失某些字段或属性的数据包，根据已有信息进行填充，保证数据的完整性；噪声数据过滤：去除无关的噪声数据，包括重复的请求或无效的访问。

提取模块，用于对数据样本进行特征提取；

具体的步骤如下：

特征选择：根据网络安全恶意行为识别的需求和研究领域的特点，从预处理后的数据样本中选择合适的特征，特征包括统计特征：包长度、传输速率；时序特征：时间间隔、持续时间；频域特征：频谱分析；

特征提取算法选择：根据特征的类型和数据的特点，选择适当的特征提取算法，具体的特征提取算法包括基于统计方法：均值、方差；频域分析：傅里叶变换、小波变换；时序分析：自相关函数、互相关函数；机器学习：主成分分析、线性判别分析；

特征提取：根据选定的特征提取算法，从数据样本中提取出具有较高区分度和重要意义的特征；

特征表示：将提取得到的特征表示为后续分类或机器学习操作的形式，包括可向量或矩阵数据结构来表示特征，以便进行进一步的分析和处理；

识别模块用于根据数据样本的特征结合预设的识别模型对恶意行为进行识别；

具体的步骤如下：

首先从机器学习、统计学、深度学习三种领域中选择合适的识别模型，具体包括支持向量机（SVM）、决策树（DT）、随机森林（RF）及神经网络（NN）；再利用已经标注好的数据样本和选定的模型，进行分类器训练，通过使用机器学习算法，从已有的数据样本中学习出一个用于分类的模型；然后利用测试集数据对训练好的分类器进行评估，评估过程通过采用各种性能指标，以评估分类器的性能和效果，其中性能指标包括：准确率、召回率及F1值；

其中准确率是指被正确分类的样本占总样本数的比例，它衡量了分类器在所有样本上的分类准确程度；通过获取真正例（True Positive）、真负例（True Negative）、假正例（False Positive）及假阴性（False Negative），并分别标定为TP、TN、FP及FN，归一化处理后代入以下公式：ZQL = (TP + TN) / (TP + FP + TN + FN)，以得到准确率ZQL；

召回率为被正确分类为正例的样本占所有实际为正例的样本的比例，召回率衡量了分类器对于正例样本的查全率，召回率的计算公式如下：ZH = TP / (TP + FN)，式中ZH为召回率；

F1值是综合考虑准确率和召回率的指标，为准确率和召回率的调和平均值，F1值的计算公式如下：FZ = 2 * (ZQL * ZH) / (ZQL +ZH)；FZ为F1值，其中F1值FZ的取值范围在0和1之间，值越大表示分类器的性能越好，同时兼顾了准确率和召回率的平衡；

将计算得到的准确率ZQL、召回率ZH及F1值FZ归一化处理后代入以下公式：以得到性效值XXZ，式中/>分别为准确率ZQL的预设权重系数、召回率ZH的预设权重系数及F1值FZ的预设权重系数，并分别取值为1.112、1.036及0.995；再将计算得到的性效值XXZ与预设性效阈值进行比对，当性效值XXZ低于预设性效阈值时，则判断分类器的性能和效果未达标，启动提效操作，具体步骤如下：

首先针对特征选择中选择对分类任务具有较强区分能力的特征，并且避免使用冗余或无用的特征，以提高分类器的性能；再选择不同的分类算法，包括决策树、朴素贝叶斯或支持向量机，以选择合适的模型，再通过交叉验证的方法，优化算法的超参数，包括学习率或正则化系数，以提高分类器的性能；最后预设若干个分类器，并对分类器的结果进行集成，具体方式包括投票、平均或权重，从而提高分类器的稳定性和性能；完成提效操作后，再次对性效值XXZ进行验证，当性效值XXZ依旧低于预设性效阈值时，则再次更换模型，直至计算得到的性效值XXZ大于预设性效阈值后，则完成提效操作；最后利用训练好的分类器和预设的数据样本特征，对新的数据样本进行分类操作，并输出分类结果，判断数据样本是否属于恶意行为。

上传模块用于将用户识别到的恶意行为向数据库进行上传储存；

在数据库中创建表格，存储识别到的恶意行为相关信息，并设置相对应的列，包括时间戳、用户ID及行为描述，以便存储和检索数据。

分类模块用于将上传的恶意行为进行分类；将存储在数据库中恶意行为进行分类，具体类别包括：

社会工程类：电子邮件欺诈、网络钓鱼、假冒网站及诈骗；

恶意软件类：病毒、蠕虫、木马、勒索软件、广告软件、间谍软件及键盘记录器；

网络攻击类：DDoS 攻击、网络入侵、中间人攻击、数据包嗅探、ARP 欺骗及DNS 欺骗；

无线网络攻击类：Wi-Fi密码破解、中间人攻击及无线信号干扰；

数据泄露类：数据库攻击、文件共享不当及云服务漏洞；

分别统计社会工程类、恶意软件类、网络攻击类、无线网络攻击类及数据泄露类五个类别的恶意行为总数量，并将类别按照数量多少进行排序，完成每次数据库恶意行为的上传后，对排序的类别进行更新。

评价模块用于对数据库中的恶意行为数据进行评价；

采集数据库中恶意行为的破坏性、可持续性、传播性、敏感性及经济损失，通过以上参数对恶意行为进行评价；

其中恶意行为的破坏性为恶意行为对受影响系统、应用程序、数据的破坏性程度，通过分别采集系统破坏程度、应用程序影响数量及破坏的数据大小总和，并分别标定为XP、XS及XZ，归一化处理后代入以下公式：以得到破性值PO，并将得到的破性值PO作为衡量恶意行为的破坏性的标准；

可持续性为恶意行为对受影响对象的持续影响时间，通过获取恶意行为的持续时间、复发频率及恢复成本，复发频率为该恶意行为的在预设时间段内发生的次数，恢复成本为恶意行为影响后恢复正常所需的时间及投入成本，将所需时间与投入成本归一化处理后进行求和得到成本值，再将持续时间、复发频率及成本值归一化处理后通过将成本值作为半径建立底圆，持续时间与复发频率之和作为高配合底圆建立圆柱体，计算此圆柱体的体积，并标定为持续值，并以此持续值作为衡量该恶意行为的可持续性的标准，当持续值越大则该恶意行为的可持续性越大；

传播性为恶意行为的传播速度和范围，通过采集恶意行为的传播速度、传播范围及传染率，其中传染率为该恶意行为感染其他系统的比例、感染链的长度以及传播路径传播时间，将感染其他系统的比例、感染链的长度以及传播路径传播时间归一化处理后相乘得到传率值，以此传率值作为衡量传染率的标准，再将得到的传播速度、传播范围及传率值归一化处理后计算总和以得到播散值；

敏感性为恶意行为对受影响对象的敏感信息，包括用户账号、密码、个人信息的影响，对恶意行为对受影响对象的敏感信息进行评价，分别五个等级，五个等级分别对应着1、2、3、4及5的感数值，当确定该恶意行为的敏感性等级后，则通过相对应的感数值进行表示，感数值则对应该恶意行为的敏感性越高；

经济损失为恶意行为导致的经济损失，包括被盗窃、停工等直接损失以及其他间接损失，并计算所有预估的经济损失之和，以得到经损值，以此经损值作为衡量经济损失的标准；

将计算得到的破性值、持续值、播散值、感数值及经损值分别标定为PO、CX、LZ、GS及JS，归一化处理后代入以下公式：以得到危害值WHD，式中分别为破性值、持续值、播散值、感数值及经损值的预设权重系数，并分别取值为1.023、0.953、0.985、1.224及1.112；当得到的危害值WHD越大，则该恶意行为的危害性越高。

优化模块用于根据恶意行为的分类及评价重新进行识别规则的定制；

获取分类模块对数据库中不同类别的恶意行为的分类及数量排序，并对每个类别中单个恶意行为的危害值按照大小进行排序；在对安全识别扫描引擎进行配置，优选对恶意行为数量最多的类别进行扫描，在针对单一类别进行扫描识别时，同时根据该类别相对应的恶意行为危害值从大到小依次排序后，按照该顺序进行扫描识别；将制定好的识别规则即新配置的安全识别扫描引擎对用户的识别模块进行更新，从而有效提高效率，使得系统对恶意行为的识别更加聚焦于那些最有可能出现类别及相对应的恶意行为，帮助用户更快地检测识别出可能的威胁，并提高安全防护的响应速度。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (5)

1.一种用于网络安全的恶意行为识别系统，其特征在于，包括：

采集模块，用于对用户网络流量中的数据样本进行收集；

提取模块，用于对数据样本进行特征提取；

识别模块，用于根据数据样本的特征结合预设的识别模型对恶意行为进行识别；还用于优化分类器的性能和效果；

上传模块，用于将用户识别到的恶意行为向数据库进行上传储存；

分类模块，用于将上传的恶意行为进行分类；

评价模块，用于对数据库中的恶意行为数据进行评价；

通过采集数据库中恶意行为的破坏性、可持续性、传播性、敏感性及经济损失，并通过以上的破坏性、可持续性、传播性、敏感性及经济损失对恶意行为进行危害值的分析计算；

优化模块，用于根据恶意行为的分类及评价重新进行识别规则的定制；

具体步骤如下：

获取分类模块对数据库中不同类别的恶意行为的分类及数量排序，并对每个类别中单个恶意行为的危害值按照大小进行排序；

在对安全识别扫描引擎进行配置，优选对恶意行为数量最多的类别进行扫描，在针对单一类别进行扫描识别时，同时根据该类别相对应的恶意行为危害值从大到小依次排序后，按照该顺序进行扫描识别；

将定制好的识别规则即新配置的安全识别扫描引擎对用户的识别模块进行更新，按照新的识别规则对恶意行为进行识别；

所述评价模块对恶意行为危害值的分析计算的具体操作步骤如下：

恶意行为的破坏性为恶意行为对受影响系统、应用程序、数据的破坏性程度，通过分别采集系统破坏程度、应用程序影响数量及破坏的数据大小总和，并分别标定为XP、XS及XZ，归一化处理后代入以下公式：以得到破性值PO；

可持续性为恶意行为对受影响对象的持续影响时间，通过获取恶意行为的持续时间、复发频率及恢复成本，复发频率为该恶意行为的在预设时间段内发生的次数，恢复成本为恶意行为影响后恢复正常所需的时间及投入成本，将所需时间与投入成本归一化处理后进行求和得到成本值，再将持续时间、复发频率及成本值归一化处理后通过将成本值作为半径建立底圆，持续时间与复发频率之和作为高配合底圆建立圆柱体，计算此圆柱体的体积，并标定为持续值；

传播性为恶意行为的传播速度和范围，通过采集恶意行为的传播速度、传播范围及传染率，其中传染率为该恶意行为感染其他系统的比例、感染链的长度以及传播路径传播时间，将感染其他系统的比例、感染链的长度以及传播路径传播时间归一化处理后相乘得到传率值，再将得到的传播速度、传播范围及传率值归一化处理后计算总和以得到播散值；

敏感性为恶意行为对受影响对象的敏感信息，包括用户账号、密码、个人信息的影响，对恶意行为对受影响对象的敏感信息进行评价，分别五个等级，五个等级分别对应着1、2、3、4及5的感数值，当确定该恶意行为的敏感性等级后，则通过相对应的感数值进行表示；

经济损失为恶意行为导致的经济损失，包括被盗窃、停工直接损失以及其他间接损失，并计算所有预估的经济损失之和，以得到经损值；

将计算得到的破性值、持续值、播散值、感数值及经损值分别标定为PO、CX、LZ、GS及JS，归一化处理后代入以下公式：以得到危害值WHD，式中/>分别为破性值、持续值、播散值、感数值及经损值的预设权重系数；

所述识别模块优化分类器的性能和效果的具体操作步骤如下：

评估分类器的性能和效果的性能指标包括：准确率、召回率及F1值；

其中准确率为被正确分类的样本占总样本数的比例；通过获取真正例、真负例、假正例及假阴性，并分别标定为TP、TN、FP及FN，归一化处理后代入以下公式：ZQL = (TP + TN) /(TP + FP + TN + FN)，以得到准确率ZQL；

召回率为被正确分类为正例的样本占所有实际为正例的样本的比例，召回率的计算通过公式：ZH = TP / (TP + FN)，式中ZH为召回率；

F1值是综合考虑准确率和召回率的指标，F1值的计算公式如下：FZ = 2 * (ZQL * ZH)/ (ZQL +ZH)；FZ为F1值，其中F1值FZ的取值范围在0和1之间；

将计算得到的准确率ZQL、召回率ZH及FZ归一化处理后代入以下公式：以得到性效值XXZ，式中/>分别为准确率数、召回率及FZ的预设权重系数；

再将计算得到的性效值与预设性效阈值进行比对，当性效值低于预设性效阈值时，则判断分类器的性能和效果未达标，启动提效操作，提效操作具体步骤如下：

首先针对特征选择中选择对分类任务具有较强区分能力的特征；再选择不同的分类算法，包括决策树、朴素贝叶斯或支持向量机，以确定合适的模型，再通过交叉验证的方法，优化算法的超参数，包括学习率或正则化系数；最后预设若干个分类器，并对分类器的结果进行集成，具体方式包括投票、平均或权重；

完成提效操作后，再次对性效值进行验证，当性效值依旧低于预设性效阈值时，则再次更换模型，直至计算得到的性效值大于预设性效阈值后，则完成提效操作。

2.根据权利要求1所述的一种用于网络安全的恶意行为识别系统，其特征在于，所述分类模块中对恶意行为的分类具体包括以下类别：

社会工程类：电子邮件欺诈、网络钓鱼、假冒网站及诈骗；

恶意软件类：病毒、蠕虫、木马、勒索软件、广告软件、间谍软件及键盘记录器；

网络攻击类：DDoS 攻击、网络入侵、中间人攻击、数据包嗅探、ARP 欺骗及DNS 欺骗；

无线网络攻击类：Wi-Fi密码破解、中间人攻击及无线信号干扰；

数据泄露类：数据库攻击、文件共享不当及云服务漏洞；

分别统计社会工程类、恶意软件类、网络攻击类、无线网络攻击类及数据泄露类五个类别的恶意行为总数量，并将类别按照数量多少进行排序，完成每次数据库恶意行为的上传后，对排序的类别进行更新。

3.根据权利要求1所述的一种用于网络安全的恶意行为识别系统，其特征在于，所述采集模块对用户网络流量中的数据样本进行收集的具体操作步骤如下：

监控网络流量：通过在网络中设置监听器或者使用网络抓包工具来捕获网络流量数据，通过选择在网络交换机、路由器及防火墙设备上进行监听，或者在特定节点上设置嗅探器；

数据收集：将捕获到的网络流量数据以数据包的形式进行存储，数据包包括网络层、传输层和应用层的信息；

数据预处理：在进行特征提取之前，对采集到的数据进行预处理，以去除噪声数据和不必要的信息，预处理的步骤包括以下操作：

去重：对多次捕获的同一数据包进行去重处理，只保留一份数据；

过滤：根据预设规则，过滤掉不相关的数据包，只保留与网络安全恶意行为相关的数据；

重组：对于数据包分片情况，将分片重新组合成完整的数据包；

数据格式化：将数据包中的各个字段进行解析和格式化；

数据清洗：对数据样本中存在异常、错误或不完整的数据进行数据清洗操作，具体的清洗步骤如下：

异常值处理：检测和处理异常值，包括超出正常范围的IP地址或不存在的域名；

缺失值填充：对于缺失某些字段或属性的数据包，根据已有信息进行填充；

噪声数据过滤：去除无关的噪声数据，包括重复的请求或无效的访问。

4.根据权利要求1所述的一种用于网络安全的恶意行为识别系统，其特征在于，所述提取模块对数据样本进行特征提取的具体操作步骤如下：

特征选择：从预处理后的数据样本中选择合适的特征，其中特征包括统计特征：包长度及传输速率；时序特征：时间间隔及持续时间；频域特征：频谱分析；

特征提取算法选择：选择特征提取算法，具体的特征提取算法包括基于统计方法：均值、方差；频域分析：傅里叶变换、小波变换；时序分析：自相关函数、互相关函数；机器学习：主成分分析、线性判别分析；

特征提取：根据选定的特征提取算法，从数据样本中提取出具有区分度的特征；

特征表示：将提取得到的特征表示为后续分类或机器学习操作的形式，包括可向量或矩阵数据结构来表示特征。

5.根据权利要求1所述的一种用于网络安全的恶意行为识别系统，其特征在于，所述识别模块对恶意行为进行识别的具体操作步骤如下：

首先从机器学习、统计学、深度学习三种领域中选择合适的识别模型，具体包括支持向量机、决策树、随机森林及神经网络；

再利用已经标注好的数据样本和选定的模型，进行分类器训练，通过使用机器学习算法，从已有的数据样本中学习出一个用于分类的模型；

然后利用测试集数据对训练好的分类器进行评估，评估过程通过采用各种性能指标，以评估分类器的性能和效果；

最后利用训练好的分类器和预设的数据样本特征，对新的数据样本进行分类操作，并输出分类结果，判断数据样本是否属于恶意行为。