1.一种用于网络安全的恶意行为识别系统，其特征在于，包括：采集模块，用于对用户网络流量中的数据样本进行收集；

提取模块，用于对数据样本进行特征提取；

识别模块，用于根据数据样本的特征结合预设的识别模型对恶意行为进行识别；还用于优化分类器的性能和效果；

上传模块，用于将用户识别到的恶意行为向数据库进行上传储存；

分类模块，用于将上传的恶意行为进行分类；

评价模块，用于对数据库中的恶意行为数据进行评价；

通过采集数据库中恶意行为的破坏性、可持续性、传播性、敏感性及经济损失，并通过以上的破坏性、可持续性、传播性、敏感性及经济损失对恶意行为进行危害值的分析计算；

优化模块，用于根据恶意行为的分类及评价重新进行识别规则的定制；

具体步骤如下：

获取分类模块对数据库中不同类别的恶意行为的分类及数量排序，并对每个类别中单个恶意行为的危害值按照大小进行排序；

在对安全识别扫描引擎进行配置，优选对恶意行为数量最多的类别进行扫描，在针对单一类别进行扫描识别时，同时根据该类别相对应的恶意行为危害值从大到小依次排序后，按照该顺序进行扫描识别；

将定制好的识别规则即新配置的安全识别扫描引擎对用户的识别模块进行更新，按照新的识别规则对恶意行为进行识别；

所述评价模块对恶意行为危害值的分析计算的具体操作步骤如下：恶意行为的破坏性为恶意行为对受影响系统、应用程序、数据的破坏性程度，通过分别采集系统破坏程度、应用程序影响数量及破坏的数据大小总和，并分别标定为XP、XS及XZ，归一化处理后代入以下公式： 以得到破性值PO；

可持续性为恶意行为对受影响对象的持续影响时间，通过获取恶意行为的持续时间、复发频率及恢复成本，复发频率为该恶意行为的在预设时间段内发生的次数，恢复成本为恶意行为影响后恢复正常所需的时间及投入成本，将所需时间与投入成本归一化处理后进行求和得到成本值，再将持续时间、复发频率及成本值归一化处理后通过将成本值作为半径建立底圆，持续时间与复发频率之和作为高配合底圆建立圆柱体，计算此圆柱体的体积，并标定为持续值；

传播性为恶意行为的传播速度和范围，通过采集恶意行为的传播速度、传播范围及传染率，其中传染率为该恶意行为感染其他系统的比例、感染链的长度以及传播路径传播时间，将感染其他系统的比例、感染链的长度以及传播路径传播时间归一化处理后相乘得到传率值，再将得到的传播速度、传播范围及传率值归一化处理后计算总和以得到播散值；

敏感性为恶意行为对受影响对象的敏感信息，包括用户账号、密码、个人信息的影响，对恶意行为对受影响对象的敏感信息进行评价，分别五个等级，五个等级分别对应着1、2、

3、4及5的感数值，当确定该恶意行为的敏感性等级后，则通过相对应的感数值进行表示；

经济损失为恶意行为导致的经济损失，包括被盗窃、停工直接损失以及其他间接损失，并计算所有预估的经济损失之和，以得到经损值；

将计算得到的破性值、持续值、播散值、感数值及经损值分别标定为PO、CX、LZ、GS及JS，归一化处理后代入以下公式： 以得到危害值WHD，式中 分别为破性值、持续值、播散值、感数值及经损值的预设权重系数；

所述识别模块优化分类器的性能和效果的具体操作步骤如下：评估分类器的性能和效果的性能指标包括：准确率、召回率及F1值；

其中准确率为被正确分类的样本占总样本数的比例；通过获取真正例、真负例、假正例及假阴性，并分别标定为TP、TN、FP及FN，归一化处理后代入以下公式：ZQL = (TP + TN) / (TP + FP + TN + FN)，以得到准确率ZQL；

召回率为被正确分类为正例的样本占所有实际为正例的样本的比例，召回率的计算通过公式：ZH = TP / (TP + FN)，式中ZH为召回率；

F1值是综合考虑准确率和召回率的指标，F1值的计算公式如下：FZ = 2 * (ZQL * ZH) / (ZQL +ZH)；FZ为F1值，其中F1值FZ的取值范围在0和1之间；

将计算得到的准确率ZQL、召回率ZH及FZ归一化处理后代入以下公式：以得到性效值XXZ，式中 分别为准

确率数、召回率及FZ的预设权重系数；

再将计算得到的性效值与预设性效阈值进行比对，当性效值低于预设性效阈值时，则判断分类器的性能和效果未达标，启动提效操作，提效操作具体步骤如下：首先针对特征选择中选择对分类任务具有较强区分能力的特征；再选择不同的分类算法，包括决策树、朴素贝叶斯或支持向量机，以确定合适的模型，再通过交叉验证的方法，优化算法的超参数，包括学习率或正则化系数；最后预设若干个分类器，并对分类器的结果进行集成，具体方式包括投票、平均或权重；

完成提效操作后，再次对性效值进行验证，当性效值依旧低于预设性效阈值时，则再次更换模型，直至计算得到的性效值大于预设性效阈值后，则完成提效操作。

2.根据权利要求1所述的一种用于网络安全的恶意行为识别系统，其特征在于，所述分类模块中对恶意行为的分类具体包括以下类别：社会工程类：电子邮件欺诈、网络钓鱼、假冒网站及诈骗；

恶意软件类：病毒、蠕虫、木马、勒索软件、广告软件、间谍软件及键盘记录器；

网络攻击类：DDoS 攻击、网络入侵、中间人攻击、数据包嗅探、ARP 欺骗及DNS 欺骗；

无线网络攻击类：Wi‑Fi密码破解、中间人攻击及无线信号干扰；

数据泄露类：数据库攻击、文件共享不当及云服务漏洞；

分别统计社会工程类、恶意软件类、网络攻击类、无线网络攻击类及数据泄露类五个类别的恶意行为总数量，并将类别按照数量多少进行排序，完成每次数据库恶意行为的上传后，对排序的类别进行更新。

3.根据权利要求1所述的一种用于网络安全的恶意行为识别系统，其特征在于，所述采集模块对用户网络流量中的数据样本进行收集的具体操作步骤如下：监控网络流量：通过在网络中设置监听器或者使用网络抓包工具来捕获网络流量数据，通过选择在网络交换机、路由器及防火墙设备上进行监听，或者在特定节点上设置嗅探器；

数据收集：将捕获到的网络流量数据以数据包的形式进行存储，数据包包括网络层、传输层和应用层的信息；

数据预处理：在进行特征提取之前，对采集到的数据进行预处理，以去除噪声数据和不必要的信息，预处理的步骤包括以下操作：去重：对多次捕获的同一数据包进行去重处理，只保留一份数据；

过滤：根据预设规则，过滤掉不相关的数据包，只保留与网络安全恶意行为相关的数据；

重组：对于数据包分片情况，将分片重新组合成完整的数据包；

数据格式化：将数据包中的各个字段进行解析和格式化；

数据清洗：对数据样本中存在异常、错误或不完整的数据进行数据清洗操作，具体的清洗步骤如下：异常值处理：检测和处理异常值，包括超出正常范围的IP地址或不存在的域名；

缺失值填充：对于缺失某些字段或属性的数据包，根据已有信息进行填充；

噪声数据过滤：去除无关的噪声数据，包括重复的请求或无效的访问。

4.根据权利要求1所述的一种用于网络安全的恶意行为识别系统，其特征在于，所述提取模块对数据样本进行特征提取的具体操作步骤如下：特征选择：从预处理后的数据样本中选择合适的特征，其中特征包括统计特征：包长度及传输速率；时序特征：时间间隔及持续时间；频域特征：频谱分析；

特征提取算法选择：选择特征提取算法，具体的特征提取算法包括基于统计方法：均值、方差；频域分析：傅里叶变换、小波变换；时序分析：自相关函数、互相关函数；机器学习：主成分分析、线性判别分析；

特征提取：根据选定的特征提取算法，从数据样本中提取出具有区分度的特征；

特征表示：将提取得到的特征表示为后续分类或机器学习操作的形式，包括可向量或矩阵数据结构来表示特征。

5.根据权利要求1所述的一种用于网络安全的恶意行为识别系统，其特征在于，所述识别模块对恶意行为进行识别的具体操作步骤如下：首先从机器学习、统计学、深度学习三种领域中选择合适的识别模型，具体包括支持向量机、决策树、随机森林及神经网络；

再利用已经标注好的数据样本和选定的模型，进行分类器训练，通过使用机器学习算法，从已有的数据样本中学习出一个用于分类的模型；

然后利用测试集数据对训练好的分类器进行评估，评估过程通过采用各种性能指标，以评估分类器的性能和效果；

最后利用训练好的分类器和预设的数据样本特征，对新的数据样本进行分类操作，并输出分类结果，判断数据样本是否属于恶意行为。