本申请提供了一种用户异常操作的识别方法、识别装置和云平台,该方法包括:获取待识别操作对应的待识别指令集,待识别指令集为完成待识别操作的指令的集合,待识别操作为用户对云平台的操作;将待识别指令集输入异常操作判别模型,得到待识别操作的匹配用户,匹配用户包括已知用户和未知用户,已知用户包括已知授权用户和已知未授权用户,异常操作判别模型为使用已知用户的训练数据通过机器学习训练得到,每个已知用户的训练数据均包括:用户标签和用户操作对应的指令集;在匹配用户为已知未授权用户和未知用户的情况下,确定待识别操作为异常操作,解决了现有技术中异常操作判别模型的通用性差的问题。型的通用性差的问题。型的通用性差的问题。
【技术实现步骤摘要】
用户异常操作的识别方法、识别装置和云平台
[0001]本申请涉及云计算
,具体而言,涉及一种用户异常操作的识别方法、识别装置、计算机可读存储介质和云平台。
技术介绍
[0002]云平台的自主安全是需要着重解决的关键的问题。现有的云平台安全产品一般聚焦漏洞、后门、病毒、木马、恶意软件、垃圾邮件等传统安全威胁。传统安全产品经常采用文件特征码来识别恶意文件,也经常采用代码特征码来识别恶意代码。
[0003]而与传统安全威胁不同的是,在云平台的日常操作中也面临异常操作的安全威胁,异常操作既包括授权用户的失误操作,恶意操作;也包括假冒授权用户的恶意操作等等。目前损失最为惨重的案例大都是由内部人员恶意或失误操作所致,高于来自外部人员的网络攻击。
[0004]这些异常操作对于传统安全产品来说难以识别。主要原因在于:异常操作难以穷尽,难以一次性获取到全面的训练数据。
[0005]异常操作的要点在于操作者的主观恶意或主观失误。对于主观恶意来说,操作者想方设法避开固定常见、容易被识别的操作方式(例如假冒别人的账户执行删库操作)。而对于主观失误来说,主观失误的可能性不胜枚举,难以穷尽所有的可能。因此难以通过文件特征码或代码特征码等传统识别方法难以识别异常操作。更不用说,不同用户的操作习惯不同,难以开发兼容所有用户习惯的统一模型。
[0006]在
技术介绍
部分中公开的以上信息只是用来加强对本文所描述技术的
技术介绍
的理解,因此,
技术介绍
中可能包含某些信息,这些信息对于本领域技术人员来说并未形成在本国已知的现有技术。
技术实现思路
[0007]本申请的主要目的在于提供一种用户异常操作的识别方法、识别装置、计算机可读存储介质和云平台,以解决现有技术中异常操作判别模型的通用性差的问题。
[0008]根据本专利技术实施例的一个方面,提供了一种用户异常操作的识别方法,包括:获取待识别操作对应的待识别指令集,所述待识别指令集为完成所述待识别操作的指令的集合,所述待识别操作为用户对云平台的操作;将所述待识别指令集输入异常操作判别模型,得到所述待识别操作的匹配用户,所述匹配用户包括已知用户和未知用户,所述已知用户包括已知授权用户和已知未授权用户,所述异常操作判别模型为使用所述已知用户的训练数据通过机器学习训练得到,每个所述已知用户的所述训练数据均包括:用户标签和用户操作对应的指令集;在所述匹配用户为所述已知未授权用户和所述未知用户的情况下,确定所述待识别操作为异常操作。
[0009]可选地,将所述待识别指令集输入异常操作判别模型,得到所述待识别操作的匹配用户,包括:将所述待识别指令集输入所述异常操作判别模型,得到所述异常操作判别模
型输出的多个匹配结果,所述匹配结果与所述已知用户一一对应,所述匹配结果用于表示所述待识别指令集是否属于所述已知用户;响应于任意一个所述匹配结果为匹配成功,确定所述待识别操作的匹配用户为匹配成功的所述已知用户;响应于所有所述匹配结果均为匹配失败,确定所述待识别操作的匹配用户为所述未知用户。
[0010]可选地,所述异常操作判别模型包括多个判别子模型,所述判别子模型与所述已知用户一一对应,将所述待识别指令集输入所述异常操作判别模型,得到所述异常操作判别模型输出的多个匹配结果,包括:第一获取步骤,获取目标已知用户的历史操作对应的指令集,得到多个正样本,所述目标已知用户为所述已知用户的任意一个;第二获取步骤,获取所述目标已知用户以外的所述已知用户的历史操作对应的指令集,得到多个负样本;训练步骤,采用多个所述正样本和多个所述负样本对判别器进行训练,得到所述目标已知用户对应的所述判别子模型;重复所述第一获取步骤、所述第二获取步骤和所述训练步骤,直至得到所有的所述已知用户的所述判别子模型;将所述待识别指令集依次输入各所述判别子模型,得到多个所述匹配结果,所述匹配结果与所述判别子模型一一对应。
[0011]可选地,所述异常操作判别模型为包括多个输出单元的神经网络模型,所述输出单元与所述已知用户一一对应,将所述待识别指令集输入所述异常操作判别模型,得到所述异常操作判别模型输出的多个匹配结果,还包括:获取各所述已知用户的正样本集和负样本集,得到各所述已知用户的所述训练数据,所述正样本集与所述一一对应,所述正样本集包括对应的所述已知用户的历史操作对应的指令集,所述负样本集包括非对应已知用户的历史操作对应的指令集,所述非对应已知用户为所述负样本集对应的所述已知用户以外的所述已知用户;采用所述训练数据对判别器进行训练,得到所述异常操作判别模型,所述判别器包括多个所述输出单元;将所述待识别指令集输入所述异常操作判别模型,得到各所述输出单元输出的多个所述匹配结果。
[0012]可选地,所述负样本的获取过程还包括:在所述负样本中提取未授权指令,形成噪音源,所述未授权指令为实现未授权操作的指令;将所述噪音源的所述未授权指令输入生成器,得到所述生成器生成新的所述负样本,所述生成器用于将所述噪音源的所述未授权指令插入授权指令中。
[0013]可选地,所述异常操作判别模型的训练过程还包括:采用所述生成器和所述判别器进行对抗训练,得到所述异常操作判别模型。
[0014]可选地,所述噪音源的分布形式为正态分布或高斯混合模型。
[0015]根据本专利技术实施例的另一方面,还提供了一种用户异常操作的识别装置,包括:获取单元,用于获取待识别操作对应的待识别指令集,所述待识别指令集为完成所述待识别操作的指令的集合,所述待识别操作为用户对云管平台的操作;匹配单元,用于将所述待识别指令集输入异常操作判别模型,得到所述待识别操作的匹配用户,所述匹配用户包括已知用户和未知用户,所述已知用户包括已知授权用户和已知未授权用户,所述异常操作判别模型为使用所述已知用户的训练数据通过机器学习训练得到,每个所述已知用户的所述训练数据均包括:用户标签和用户操作对应的指令集;确定单元,用于在所述匹配用户为所述已知未授权用户和所述未知用户的情况下,确定所述待识别操作为异常操作。
[0016]根据本专利技术实施例的再一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质包括存储的程序,其中,所述程序被处理器执行时,所述处理器执行任意一种
所述的方法。
[0017]根据本专利技术实施例的另一方面,还提供了一种云平台,包括:一个或多个处理器,存储器以及一个或多个程序,其中,所述一个或多个程序被存储在所述存储器中,并且被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行任意一种所述的方法。
[0018]在本专利技术实施例中,上述用户异常操作的识别方法中,首先,获取待识别操作对应的待识别指令集,上述待识别指令集为完成上述待识别操作的指令的集合,上述待识别操作为用户对云平台的操作;然后,将上述待识别指令集输入异常操作判别模型,得到上述待识别操作的匹配用户,上述匹配用户包括已知用户和未知用户,上述已知用户包括已知授权用户和已知未授权用户,上述异常操作判别模型为使用上述已知用户的训练数据通过机器学习本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种用户异常操作的识别方法,其特征在于,包括:获取待识别操作对应的待识别指令集,所述待识别指令集为完成所述待识别操作的指令的集合,所述待识别操作为用户对云平台的操作;将所述待识别指令集输入异常操作判别模型,得到所述待识别操作的匹配用户,所述匹配用户包括已知用户和未知用户,所述已知用户包括已知授权用户和已知未授权用户,所述异常操作判别模型为使用所述已知用户的训练数据通过机器学习训练得到,每个所述已知用户的所述训练数据均包括:用户标签和用户操作对应的指令集;在所述匹配用户为所述已知未授权用户和所述未知用户的情况下,确定所述待识别操作为异常操作。2.根据权利要求1所述的方法,其特征在于,将所述待识别指令集输入异常操作判别模型,得到所述待识别操作的匹配用户,包括:将所述待识别指令集输入所述异常操作判别模型,得到所述异常操作判别模型输出的多个匹配结果,所述匹配结果与所述已知用户一一对应,所述匹配结果用于表示所述待识别指令集是否属于所述已知用户;响应于任意一个所述匹配结果为匹配成功,确定所述待识别操作的匹配用户为匹配成功的所述已知用户;响应于所有所述匹配结果均为匹配失败,确定所述待识别操作的匹配用户为所述未知用户。3.根据权利要求2所述的方法,其特征在于,所述异常操作判别模型包括多个判别子模型,所述判别子模型与所述已知用户一一对应,将所述待识别指令集输入所述异常操作判别模型,得到所述异常操作判别模型输出的多个匹配结果,包括:第一获取步骤,获取目标已知用户的历史操作对应的指令集,得到多个正样本,所述目标已知用户为所述已知用户的任意一个;第二获取步骤,获取所述目标已知用户以外的所述已知用户的历史操作对应的指令集,得到多个负样本;训练步骤,采用多个所述正样本和多个所述负样本对判别器进行训练,得到所述目标已知用户对应的所述判别子模型;重复所述第一获取步骤、所述第二获取步骤和所述训练步骤,直至得到所有的所述已知用户的所述判别子模型;将所述待识别指令集依次输入各所述判别子模型,得到多个所述匹配结果,所述匹配结果与所述判别子模型一一对应。4.根据权利要求2所述的方法,其特征在于,所述异常操作判别模型为包括多个输出单元的神经网络模型,所述输出单元与所述已知用户一一对应,将所述待识别指令集输入所述异常操作判别模型,得到所述异常操作判别模型输出的多个匹配结果,还包括:获取各所述...
【专利技术属性】
技术研发人员:张衢,张志鹏,高力鹏,范晓辉,何兴建,张云锋,
申请(专利权)人:中国邮政储蓄银行股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。