用于识别外挂操作的方法及系统技术方案

本发明专利技术公开了一种用于识别外挂操作的方法及系统。方法包括：采集业务系统的原始操作信息；从原始操作信息提取与外挂操作相关联的操作特征；基于与外挂操作相关联的操作特征，建立外挂操作特征模型；以及利用外挂操作特征模型分析实时操作的操作信息以识别出外挂操作，从而解决了传统手段对已知外挂行为检测的不足，以及无法识别未知外挂行为的问题，进而提高了识别外挂的准确性，增强了识别外挂的适用性。

Methods and systems for identifying hanging operations

The invention discloses a method and a system for identifying plug-in operation. The methods include: collecting the original operation information of the business system, extracting the operating features associated with the external operation from the original operation information, establishing the feature model of the external operation based on the operation features associated with the external operation, and analyzing the operation information of the real-time operation by using the feature model of the external operation to identify the external operation. As a result, the shortcomings of the traditional means to detect the known external behavior, and the problem that can not identify the unknown external behavior are solved, and the accuracy of identifying the external hanging is improved, and the applicability of the recognition is enhanced.

【技术实现步骤摘要】
用于识别外挂操作的方法及系统
本专利技术总体涉及计算机系统，尤其涉及一种用于识别外挂操作的方法及系统。
技术介绍
目前，CRM(CustomerRelationshipManagement，客户关系管理)、BOSS(BusinessOperationSupportSystem，业务运营支撑系统)等业务运营支撑系统中普遍存在通过外挂脚本、程序等批量查询用户信息、详单信息或办理业务等操作，这类操作具有发生时间间隔较短，批量执行次数较多，隐蔽性强不易被发现等特点，从而带来用户敏感信息泄露和违规业务办理的风险，导致业务的安全性降低。现有技术中对外挂操作的发现手段主要是通过人工统计分析，但投入的人力资源较大，分析周期长，时效性差，人工审核的精确度也较差，并不能够有效识别业务运营支撑系统中的外挂操作，因此有必要提出改进的技术手段解决上述问题。
技术实现思路
本专利技术的主要目的在于提供一种用于识别外挂操作的方法及系统，以解决现有技术中通过人工手段识别外挂操作所导致的效率低下及效果不佳的问题。根据本专利技术实施例提供了一种用于识别外挂操作的方法，包括：采集业务系统的原始操作信息；从原始操作信息提取与外挂操作相关联的操作特征；基于与外挂操作相关联的操作特征，建立外挂操作特征模型；以及利用外挂操作特征模型分析实时操作的操作信息以识别出外挂操作。根据本专利技术实施例还提供了一种用于识别外挂操作的系统，包括：数据采集模块，用于采集业务系统的原始操作信息；特征提取模块，用于从原始操作信息提取与外挂操作相关联的操作特征；模型建立模块，用于基于与外挂操作相关联的操作特征，建立外挂操作特征模型；以及识别模块，用于利用外挂操作特征模型分析实时操作的操作信息以识别出外挂操作。根据本专利技术的技术方案，通过判定操作行为是否符合预先建立或自学习的操作特征(即，信息指纹)模型中的基本要素，进行外挂操作的有效识别。整个识别过程不需要人工干预，解决了传统手段对检测已知外挂的不足，以及无法识别未知外挂行为的问题，提高了识别外挂的准确性，增强了识别外挂的适用性，使得用户能够无需具备专业知识、无需设定和维护检测规则，即可轻松实现对外挂程序的监控，进一步提升业务系统的安全性，从而降低因外挂程序带来的用户敏感信息泄露和违规业务办理的风险。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本专利技术的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是根据本专利技术实施例的用于识别外挂操作的方法的流程图；图2是根据本专利技术实施例的外挂操作特征(例如，外挂指纹)模型的示意图；图3是根据本专利技术实施例的操作特征(例如，信息指纹)聚类的示意图；图4是根据本专利技术实施例的用于识别外挂操作的系统的结构框图。具体实施方式为使本专利技术的目的、技术方案和优点更加清楚，下面将结合本专利技术具体实施例及相应的附图对本专利技术技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。以下结合附图，详细说明本专利技术各实施例提供的技术方案。图1是根据本专利技术实施例的用于识别外挂操作的方法的流程图，如图1所示，该方法包括：在步骤S102中，采集业务系统的原始操作信息，其中业务系统可以例如是业务运营支撑系统。如本文所使用的术语“业务运营支撑系统”可以指主要应用于通信行业的业务系统，对用户执行相应业务操作。例如，业务运营支撑系统可以是CRM、BOSS、BASS(BusinessAnalysisSupportSystem，经营分析系统)、4A(AuthenticationAccountAuthorizationAudit，认证、账号、授权、审计)平台等等。但是，本专利技术的实施例不限于此方面。在一些实施例中，原始操作信息可以包括采集业务运营支撑系统的登录、查询、办理类等操作日志数据以及预定的外挂操作的操作信息中的一者或多者。在步骤S104中，从原始操作信息提取与外挂操作相关联的操作特征。然后，在步骤S106中，基于与外挂操作相关联的操作特征，建立外挂操作特征模型。在本专利技术实施例中，可以从诸如业务日志数据之类的原始操作信息中提取事件指纹(即，操作特征)来建立非法事件(例如，外挂操作特征)模型，通过各种方式精确找出这些关键的日志字段或多字段组合，并将其一一指定为外挂操作事件的指纹。如本文所使用的，术语“事件指纹”、“信息指纹”可分别指代用来区分或标识事件或信息的特征。下面给出确定外挂操作事件的指纹的关键字段或字段组合的方法。(1)、通过事件样本学习提取外挂事件指纹第一指纹：将日志中行为发生的时间作为一个指纹。例如，正常操作一般在日间工作时间，外挂操作一般在半夜；第二指纹：将日志中行为频度作为一个指纹。例如，正常操作的详单查询一般是1分钟1次，外挂操作的频度远远数倍于此数。第三号指纹：将日志中后续操作行为内容作为一个指纹。例如，正常操作在查询详单后往往还伴随着有业务办理的相关记录，而外挂操作往往只有查询详单的记录，而无后续。第四号指纹：将从日志中账号登录与操作日志的时序关联作为一个指纹。例如，正常CRM操作在登录4A后往往间隔5至30分钟不等才有对应的CRM操作，外挂程序往往没有这一时间间隔，甚至无4A登录的记录直接绕行或单位时间内多次登录这一极端情况。以上4个指纹则是通过样本中包含已有的业务日志，找出的关键字段或多字段组合，将其定义为外挂操作时间的指纹集合。也就是说只要后续的某行为主体其系统操作行为日志显示出与该指纹集合的高度相似，则系统判断其操作属于外挂操作。其中：第一指纹属于CRM日志中的单独字段；第二指纹属于多字段组合，其由操作时间及操作内容两个字段共同组成；第三指纹属于多字段组合，其由特定的操作时间+操作内容与后续的操作时间+(不同)操作内容共同组成；第四指纹属于跨系统日志多字段组合，其由4A日志的时间字段与CRM日志的时间字段共同组成。通过事件样本关键特征来提取事件指纹精准度较高，指纹设计合理。(2)、离散分析提取事件指纹在一些实施例中，对已有的海量原始系统日志进行分类，将这些行为日志区分为大概率和小概率两个类别。再采用样本对标签进行二次提炼，为其指定事件类型。例如，每秒约生成33条CRM系统日志，为则一天的日志量将达到200万条左右(非工作时间日志量骤减)。在一些实施例中，机器对CRM日志中“子账号+操作事件+操作内容+账号角色”等多字段进行聚合，可以得出以下结论：同一权限角色不同账号进行同一操作的时间区间(如工作时间9:00——17:00)；同一权限角色不同账号进行同一操作的频度(如详单查询，频度为1小时5次)；同一权限角色不同账号进行某一操作后有无后续操作(如详单查询后下一条操作内容是某业务办理)。而上述3条结论可区分出大概率的操作时间区间、操作频度、后续关联操作等内容，而分离出该3项的大概率和小概率日志之后，可再通过对样本的比对判定即可得到前述的第一至第三事件指纹，上述三个结论与一二三号事件指纹一一对应。在一些实施例中，采用离散分类分析的方法提取事件指纹，不完全依赖事件样本或人工经验，可自动剥离日志大概率与小概率的区别本文档来自技高网...

【技术保护点】
1.一种用于识别外挂操作的方法，其特征在于，包括：采集业务系统的原始操作信息；从所述原始操作信息提取与外挂操作相关联的操作特征；基于所述与外挂操作相关联的操作特征，建立外挂操作特征模型；以及利用所述外挂操作特征模型分析实时操作的操作信息以识别出所述外挂操作。

【技术特征摘要】
1.一种用于识别外挂操作的方法，其特征在于，包括：采集业务系统的原始操作信息；从所述原始操作信息提取与外挂操作相关联的操作特征；基于所述与外挂操作相关联的操作特征，建立外挂操作特征模型；以及利用所述外挂操作特征模型分析实时操作的操作信息以识别出所述外挂操作。2.根据权利要求1所述的方法，其中所述与外挂操作相关联的操作特征包括所述外挂操作的一个或多个关键字段、或多个关键字段的组合，并且其中，所述一个或多个关键字段、或多个关键字段的组合包括下述一项或多项：操作时间、操作频度、要识别的操作的后续操作、以及操作时序。3.根据权利要求2所述的方法，其中，所述操作时间是一个或多个关键字段，以及所述操作频度、所述要识别的操作的后续操作和所述操作时序是多个关键字段的组合。4.根据权利要求1所述的方法，其中所述原始操作信息包括所述业务系统的历史业务日志和预定的外挂操作的操作信息中的一者或多者。5.根据权利要求1所述的方法，其中从所述原始操作信息提取与外挂操作相关联的操作特征包括：从所述原始操作信息提取与所述原始操作相关联的操作特征；对与所述原始操作相关联的操作特征进行数据离散以分类为大概率操作特征和小概率操作特征；以及提取所述小概率操作特征以得到所述与外挂操作相关联的操作特征。6.根据权利要求1所述的方法，其中基于所述与外挂操作相关联的操作特征，建立外挂操作特征模型包括：对所述与外挂操作相关联的操作特征进行聚类，以产生与所述外挂操作相关联的操作特征的集合；对所述集合进行重叠度判断，并合并重叠度高的集合；以及基于经合并的集合建立所述外挂操作特征模型，其中，当所述重叠度大于或等于第一阈值时，表明所述集合的重叠度高，以及当所述重叠度小于第一阈值时，表明所述集合的重叠度低。7.根据权利要求1所述的方法，其中利用所述外挂操作特征模型分析实时操作的操作信息以识别出所述外挂操作包括：分析所述实时操作的操作信息以提取与所述实时操作相关联的操作特征；以及利用所述外挂操作特征模型与所述实时操作相关联的操作特征进行匹配，其中，当与所述实时操作相关联的操作特征与所述外挂操作特征模型匹配时，将所述实时操作识别为所述外挂操作，以及当与所述实时操作相关联的操作特征与所述外挂操作特征模型不匹配时，丢弃所述实时操作的操作信息。8.根据权利要求7所述的方法，其特征在于，还包括：当与所述实时操作相关联的操作特征与所述外挂操作特征模型不匹配时，对所述实时操作重新进行分析，以修改所述外挂操作特征模型。9.一种用于...

【专利技术属性】
技术研发人员：周晓伟，
申请(专利权)人：中国移动通信集团四川有限公司，中国移动通信集团公司，
类型：发明
国别省市：四川,51