异常操作检测方法、装置、存储介质及计算机程序产品与流程

本申请涉及计算机安全，特别涉及一种异常操作检测方法、装置、存储介质及计算机程序产品。

背景技术：

1、当前，在使用计算机的过程中，任何对象都可能会产生大量的操作。比如用户使用手机、电脑等设备时会产生一系列用户操作，智能家电等设备运行时会产生一系列终端操作，服务器运行时会产生一系列后台操作。这些操作通常是不会对计算机系统和用户信息安全等造成威胁的正常操作，但是不乏存在一些有可能会对计算机系统和用户信息安全造成威胁的异常操作。为了保障计算机系统和用户信息的安全，需要对异常操作进行检测。如何提升异常操作检测的准确性是业界研究热点。

技术实现思路

1、本申请提供了一种异常操作检测方法、装置、存储介质及计算机程序产品，能够提升异常操作检测的准确性。所述技术方案如下：

2、第一方面，提供了一种异常操作检测方法，该方法包括：

3、获取目标对象的历史操作数据和待检测操作数据，历史操作数据包含正常操作序列；确定历史状态转移矩阵和待检测状态转移矩阵，历史状态转移矩阵为历史操作数据的状态转移矩阵，待检测状态转移矩阵为待检测操作数据的状态转移矩阵，状态转移矩阵表征相应数据所包含的操作随时间变化的特征；确定待检测状态转移矩阵相对于历史状态转移矩阵的相对偏差；基于相对偏差，确定待检测操作数据的异常检测结果。

4、由于状态转移矩阵能够表征相应数据随包含的操作随时间变化的特征，异常操作序列的状态转移特征相对于正常操作序列的状态转移特征的相对偏差比较大，并且相对偏差相对于绝对偏差更加能够表征待检测操作数据相对于历史操作数据的平均情况的程度，因此，本方案的异常操作检测的准确性更高。

5、可选地，历史操作数据包含k个时间段的历史数据，待检测操作数据包含一个时间段的待检测数据，每个时间段包含m个子时间段，k和m均为不小于1的整数，历史状态转移矩阵包含与这k个时间段的历史数据一一对应的k组历史矩阵，每组历史矩阵包含与相应m个子时间段的历史数据一一对应的m个历史矩阵，待检测状态转移矩阵包含与相应m个子时间段的待检测数据一一对应的m个待检测矩阵；确定待检测状态转移矩阵相对于历史状态转移矩阵的相对偏差，包括：确定这m个待检测矩阵中各个待检测矩阵相对于这k组历史矩阵中各组历史矩阵的相对偏差，得到k×m个相对偏差；基于这k×m个相对偏差，确定待检测状态转移矩阵相对于历史状态转移矩阵的相对偏差。如此，通过划分子时间段的方式来确定每个子时间段的状态转移矩阵，是考虑到研究对象通常在短时间段内进行一系列关联操作，这样能够更加准确地确定待检测操作数据相对于历史操作数据的偏差，有利于进一步提升异常操作检测的准确性。

6、可选地，基于这k×m个相对偏差，确定待检测状态转移矩阵相对于历史状态转移矩阵的相对偏差，包括：将这k×m个相对偏差中的最小值，确定为待检测状态转移矩阵相对于历史状态转移矩阵的相对偏差。应当理解的是，该最小值表征待检测操作数据对应的时间段与历史的k个时间段中操作序列最接近的一个时间段的操作序列偏差，以最接近的操作序列偏差作为异常操作判定的依据，能够提升异常操作检测的准确性。

7、可选地，确定这m个待检测矩阵中各个待检测矩阵相对于这k组历史矩阵中各组历史矩阵的相对偏差，包括：对于这k组历史矩阵中的参考历史组，确定参考历史组中各个历史矩阵的n阶范数，得到m个n阶范数，n为大于1的整数，参考历史组为这k组历史矩阵中的任一组；对于这m个待检测矩阵中的第一待检测矩阵，确定第一待检测矩阵与参考历史组中各个历史矩阵之间的n阶距，得到m个n阶距，第一待检测矩阵为这m个待检测矩阵中的任一待检测矩阵；确定这m个n阶距中各个n阶距与这m个n阶范数中相应n阶范数的比值，得到m个比值；将这m个比值中的最小值，确定为第一待检测矩阵相对于参考历史组的相对偏差。也即是，按照矩阵范数的计算方式来确定相对偏差。

8、可选地，基于该相对偏差，确定待检测操作数据的异常检测结果，包括：如果待检测状态转移矩阵相对于历史状态转移矩阵的相对偏差超过异常检测阈值，则确定待检测操作数据存在异常。也即是，通过阈值比较的方式来确定异常检测结果。

9、第二方面，提供了一种异常操作检测装置，该异常操作检测装置具有实现上述第一方面中异常操作检测方法行为的功能。该异常操作检测装置包括一个或多个模块，该一个或多个模块用于实现上述第一方面所提供的异常操作检测方法。

10、第三方面，提供了一种计算设备，该计算设备包括处理器和存储器，该存储器用于存储执行上述第一方面所提供的异常操作检测方法的程序，以及存储用于实现上述第一方面所提供的异常操作检测方法所涉及的数据。该处理器被配置为用于执行该存储器中存储的程序。该计算设备还可以包括通信总线，该通信总线用于该处理器与存储器之间建立连接。

11、第四方面，提供了一种计算设备集群，包括至少一个计算设备，每个计算设备包括处理器和存储器；该至少一个计算设备的处理器用于执行该至少一个计算设备的存储器中存储的指令，以使得计算设备集群执行如上述第一方面所提供的异常操作检测方法。

12、第五方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序指令，当该计算机程序指令在处理器上运行时，使得处理器执行上述第一方面提供的异常操作检测方法。

13、第六方面，提供了一种包含指令的计算机程序产品，当该指令在处理器上运行时实现上述第一方面提供的异常操作检测方法。

14、上述第二方面、第三方面、第四方面、第五方面和第六方面所获得的技术效果与第一方面中对应的技术手段获得的技术效果近似，在这里不再赘述。

技术特征：

1.一种异常操作检测方法，其特征在于，所述方法包括：

2.如权利要求1所述的方法，其特征在于，所述历史操作数据包含k个时间段的历史数据，所述待检测操作数据包含一个时间段的待检测数据，每个时间段包含m个子时间段，所述k和m均为不小于1的整数，所述历史状态转移矩阵包含与所述k个时间段的历史数据一一对应的k组历史矩阵，每组历史矩阵包含与相应m个子时间段的历史数据一一对应的m个历史矩阵，所述待检测状态转移矩阵包含与相应m个子时间段的待检测数据一一对应的m个待检测矩阵；

3.如权利要求2所述的方法，其特征在于，所述基于所述k×m个相对偏差，确定所述待检测状态转移矩阵相对于所述历史状态转移矩阵的相对偏差，包括：

4.如权利要求2或3所述的方法，其特征在于，所述确定所述m个待检测矩阵中各个待检测矩阵相对于所述k组历史矩阵中各组历史矩阵的相对偏差，包括：

5.如权利要求1-4任一所述的方法，其特征在于，所述基于所述相对偏差，确定所述待检测操作数据的异常检测结果，包括：

6.一种异常操作检测装置，其特征在于，所述装置包括：

7.如权利要求6所述的装置，其特征在于，所述历史操作数据包含k个时间段的历史数据，所述待检测操作数据包含一个时间段的待检测数据，每个时间段包含m个子时间段，所述k和m均为不小于1的整数，所述历史状态转移矩阵包含与所述k个时间段的历史数据一一对应的k组历史矩阵，每组历史矩阵包含与相应m个子时间段的历史数据一一对应的m个历史矩阵，所述待检测状态转移矩阵包含与相应m个子时间段的待检测数据一一对应的m个待检测矩阵；

8.如权利要求7所述的装置，其特征在于，所述第二确定子模块具体用于：

9.如权利要求7或8所述的装置，其特征在于，所述第一确定子模块具体用于：

10.如权利要求6-9任一所述的装置，其特征在于，所述第三确定模块包括：

11.一种计算设备，其特征在于，所述计算设备包括处理器和存储器；

12.一种计算设备集群，其特征在于，包括至少一个计算设备，每个计算设备包括处理器和存储器；

13.一种计算机可读存储介质，其特征在于，包括计算机程序指令，当所述计算机程序指令由处理器执行时实现权利要求1-5任一所述的方法。

14.一种包含指令的计算机程序产品，其特征在于，当所述指令被处理器执行时实现权利要求1-5任一所述的方法。

技术总结
本申请公开了一种异常操作检测方法、装置、存储介质及计算机程序产品，属于计算机安全技术领域。该方案通过构造历史操作数据的状态转移矩阵和待检测操作数据的状态转移矩阵，确定待检测状态转移矩阵相对于历史状态转移矩阵的相对偏差，从而基于相对偏差来确定异常检测结果。由于状态转移矩阵能够表征相应数据随包含的操作随时间变化的特征，异常操作序列的状态转移特征相对于正常操作序列的状态转移特征的相对偏差比较大，并且相对偏差相对于绝对偏差更加能够表征待检测操作数据相对于历史操作数据的平均情况的程度，因此，本方案的异常操作检测的准确性更高。

技术研发人员：张文博,杨松,陈亮,贾心宇,邵传领,杨信志,杨冠军,黄昕睿,张虎,肖晓晟
受保护的技术使用者：深圳华为云计算技术有限公司
技术研发日：
技术公布日：2024/1/15