异常检测方法、装置、电子设备及存储介质制造方法及图纸

本公开关于一种异常检测方法、装置、电子设备及存储介质，该方法包括：在目标待检测对象对应的运行检测心跳出现异常的情况下，获取目标待检测对象的当前运行特征信息，和目标待检测对象对应的目标应用的当前异常检测条件，当前异常检测条件为基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的；从当前运行特征信息中，获取当前异常检测条件对应的目标检测维度的目标特征信息；基于目标特征信息和当前异常检测条件，对目标待检测对象进行异常检测，得到目标待检测对象的异常检测结果。利用本公开实施例可以增强异常检测的鲁棒性，提高异常检测的准确率和覆盖率。测的准确率和覆盖率。测的准确率和覆盖率。

【技术实现步骤摘要】
异常检测方法、装置、电子设备及存储介质


[0001]本公开涉及计算机
，尤其涉及一种异常检测方法、装置、电子设备及存储介质。

技术介绍

[0002]许多游戏外挂作者通常会通过杀掉客户端侧的安全进程、禁用安全组件、篡改或伪造安全数据包，试图绕过安全检测方案。为了保护游戏运行环境，现有的心跳保活机制一般是在安全客户端集成心跳模块，通过一定的混淆机制，把心跳数据和其他安全数据糅合在一起，上报到后台。后台分发服务剥离心跳相关数据后，送到心跳检测服务进行心跳检测。客户端心跳模块在拉起时，会发送登录消息给后台心跳检测服务；后台心跳检测服务开始针对这个客户端(通常由唯一的账号确定)进行检测。接着，客户端心跳模块会定时(比如每隔10秒)发送心跳包给后台心跳检测服务，后台收到此心跳包后，即认为客户端在正常工作，直到客户端发送登出包给到心跳检测服务，停止检测。如果后台心跳检测服务在检测时，超过一定时间(比如30s)没有收到心跳包，则认为客户端有异常操作，可以将其踢出游戏。
[0003]但是，检测时间一般是根据经验值、当前游戏机制和历史网络情况共同确定的。如果偏大，会导致玩家在这段时间内的作弊被漏检测；如果偏小，会导致检测过于敏感，一旦有网络波动会产生大量的误判。可见，现有的心跳保活机制容易受客户端环境、用户网络环境、游戏数据上报机制、流量限制等多种因素干扰，导致检测覆盖率低、准确率低，极易误判。

技术实现思路

[0004]有鉴于上述存在的技术问题，本公开提出了一种异常检测方法、装置、电子设备及存储介质。r/>[0005]根据本公开实施例的一方面，提供一种异常检测方法，包括：
[0006]在目标待检测对象对应的运行检测心跳出现异常的情况下，获取所述目标待检测对象的当前运行特征信息，和所述目标待检测对象对应的目标应用的当前异常检测条件，所述当前异常检测条件为基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的，所述历史异常参考信息用于表征所述历史异常检测结果的准确程度，所述预设异常检测条件为基于所述目标应用的应用特征信息确定的目标检测维度的异常检测条件；
[0007]从所述当前运行特征信息中，获取所述目标检测维度对应的目标特征信息；
[0008]基于所述目标特征信息和所述当前异常检测条件，对所述目标待检测对象进行异常检测，得到所述目标待检测对象的异常检测结果。
[0009]根据本公开实施例的另一方面，提供一种异常检测装置，包括：
[0010]第一信息获取模块，用于在目标待检测对象对应的运行检测心跳出现异常的情况
下，获取所述目标待检测对象的当前运行特征信息，和所述目标待检测对象对应的目标应用的当前异常检测条件，所述当前异常检测条件为基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的，所述历史异常参考信息用于表征所述历史异常检测结果的准确程度，所述预设异常检测条件为基于所述目标应用的应用特征信息确定的目标检测维度的异常检测条件；
[0011]目标特征信息获取模块，用于从所述当前运行特征信息中，获取所述目标检测维度对应的目标特征信息；
[0012]异常检测模块，用于基于所述目标特征信息和所述当前异常检测条件，对所述目标待检测对象进行异常检测，得到所述目标待检测对象的异常检测结果。
[0013]根据本公开实施例的另一方面，提供一种电子设备，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令，以实现上述异常检测方法。
[0014]根据本公开实施例的另一方面，提供一种计算机可读存储介质，当所述存储介质中的指令由电子设备的处理器执行时，使得所述电子设备能够执行上述异常检测方法。
[0015]本公开的实施例提供的技术方案至少带来以下有益效果：
[0016]在目标待检测对象对应的运行检测心跳出现异常的情况下，获取目标待检测对象的当前运行特征信息和目标待检测对象对应的目标应用的当前异常检测条件，当前异常检测条件是基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的，可以实现当前异常检测条件的动态调整，预设异常检测条件为基于目标应用的应用特征信息确定的目标检测维度的异常检测条件，对于不同的应用可以独立生成不同的预设异常检测条件，可以提高异常检测对于不同应用的适应性，再从当前运行特征信息中，获取目标检测维度对应的目标特征信息，基于目标特征信息和当前异常检测条件，对目标待检测对象进行异常检测，得到目标待检测对象的异常检测结果，可以增强异常检测的鲁棒性，使得异常检测过程中由于网络状态的抖动、客户端环境的变化产生的误判量明显减少，进而可以极大的提高异常检测的准确率和覆盖率。
[0017]应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。
附图说明
[0018]此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理，并不构成对本公开的不当限定。
[0019]图1是根据一示例性实施例示出的一种应用系统的示意图；
[0020]图2是根据一示例性实施例示出的一种异常检测方法的流程图；
[0021]图3是根据一示例性实施例示出的一种异常检测装置的系统框架图；
[0022]图4是根据一示例性实施例示出的一种异常检测装置的框图；
[0023]图5是根据一示例性实施例示出的一种用于对目标待检测对象进行异常检测的电子设备的框图；
[0024]图6是根据一示例性实施例示出的另一种用于对目标待检测对象进行异常检测的电子设备的框图。
具体实施方式
[0025]以下将参考附图详细说明本申请的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。
[0026]在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
[0027]另外，为了更好的说明本申请，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本申请同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本申请的主旨。
[0028]请参阅图1，图1是根据一示例性实施例示出的一种应用系统的示意图。所述应用系统可以用于本申请的异常检测方法。如图1所示，该应用系统至少可以包括服务器01和终端02。
[0029]本申请实施例中，服务器01可以用于对目标待检测对象进行异常检测。具体地，上述服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种异常检测方法，其特征在于，所述方法包括：在目标待检测对象对应的运行检测心跳出现异常的情况下，获取所述目标待检测对象的当前运行特征信息，和所述目标待检测对象对应的目标应用的当前异常检测条件，所述当前异常检测条件为基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的，所述历史异常参考信息用于表征所述历史异常检测结果的准确程度，所述预设异常检测条件为基于所述目标应用的应用特征信息确定的目标检测维度的异常检测条件；从所述当前运行特征信息中，获取所述目标检测维度对应的目标特征信息；基于所述目标特征信息和所述当前异常检测条件，对所述目标待检测对象进行异常检测，得到所述目标待检测对象的异常检测结果。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在满足检测条件更新条件的情况下，获取所述预设异常检测条件、所述历史运行特征信息、所述历史异常检测结果和所述历史异常参考信息，所述历史异常检测结果为上一检测周期对应的多个待检测对象的异常检测结果，所述上一检测周期为当前时刻所在的当前检测周期的前一个检测周期；基于所述历史运行特征信息、所述历史异常检测结果和所述历史异常参考信息，对所述预设异常检测条件进行更新，得到所述当前异常检测条件。3.根据权利要求2所述的方法，其特征在于，所述目标检测维度包括多个检测维度，所述预设异常检测条件包括任一所述检测维度对应的异常检测条件；所述基于所述历史运行特征信息、所述历史异常检测结果和所述历史异常参考信息，对所述预设异常检测条件进行更新，得到所述当前异常检测条件，包括：基于所述历史异常检测结果和所述历史异常参考信息，对所述多个待检测对象进行异常检测分析，得到第一检测指标，所述第一检测指标表征在所述预设异常检测条件的基础上，检测得到的历史异常检测结果的准确程度和异常覆盖程度；从多个异常检测条件中，确定第一异常检测条件和第二异常检测条件，所述第一异常检测条件为所述多个异常检测条件中任意一个未更新的条件，所述第二异常检测条件为所述多个异常检测条件中除所述第一异常检测条件之外的其他条件；基于所述第一异常检测条件和预设步长，生成所述第一异常检测条件对应的检测维度的多个待选异常检测条件；从所述历史运行特征信息中，获取所述目标检测维度对应的历史特征信息；根据每个待选异常检测条件、所述第二异常检测条件和所述历史特征信息，对所述多个待检测对象进行异常检测，得到所述每个待选异常检测条件对应的待选条件检测结果；基于所述待选条件检测结果和所述历史异常参考信息，对每个待检测对象进行异常检测分析，得到所述每个待选异常检测条件对应的第二检测指标，所述第二检测指标表征在所述每个待选异常检测条件和所述第二异常检测条件的基础上，检测得到的待选条件检测结果的准确程度和异常覆盖程度；根据所述第一检测指标和所述第二检测指标，从所述多个待选异常检测条件中，确定目标检测条件；所述目标检测条件为所述多个待选异常检测条件中对应的第二检测指标高于所述第一检测指标、且对应的第二检测指标与所述第一检测指标之间差异最大的条件；
基于所述目标检测条件，更新所述第一异常检测条件，基于更新后的第一异常检测条件，重复所述从所述多个异常检测条件中，确定第一异常检测条件和第二异常检测条件至所述基于所述目标检测条件，更新所述第一异常检测条件的步骤，直至所述多个异常检测条件均更新结束。4.根据权利要求3所述的方法，其特征在于，所述根据所述第一检测指标和所述第二检测指标，从所述多个待选异常检测条件中，确定目标检测条件，包括：基于所述第一检测指标，对所述第二检测指标进行指标差异分析，得到所述每个待选异常检测条件对应的指标差异信息，所述指标差异信息表征所述每个待选异常检测条件对应的第二检测指标与所述第一检测指标之间的差异；基于所述指标差异信息，从所述多个待选异常检测条件中，筛选出所述目标检测条件。5.根据权利要求2所述的方法，其特征在于，所述预设异常检测条件包括采用下列方式获取：...

【专利技术属性】
技术研发人员：罗丹，
申请(专利权)人：腾讯科技深圳有限公司，
类型：发明
国别省市：