用于识别外挂操作的方法及系统与流程

本发明总体涉及计算机系统，尤其涉及一种用于识别外挂操作的方法及系统。

背景技术：

目前，CRM(Customer Relationship Management，客户关系管理)、BOSS(Business Operation Support System，业务运营支撑系统)等业务运营支撑系统中普遍存在通过外挂脚本、程序等批量查询用户信息、详单信息或办理业务等操作，这类操作具有发生时间间隔较短，批量执行次数较多，隐蔽性强不易被发现等特点，从而带来用户敏感信息泄露和违规业务办理的风险，导致业务的安全性降低。

现有技术中对外挂操作的发现手段主要是通过人工统计分析，但投入的人力资源较大，分析周期长，时效性差，人工审核的精确度也较差，并不能够有效识别业务运营支撑系统中的外挂操作，因此有必要提出改进的技术手段解决上述问题。

技术实现要素：

本发明的主要目的在于提供一种用于识别外挂操作的方法及系统，以解决现有技术中通过人工手段识别外挂操作所导致的效率低下及效果不佳的问题。

根据本发明实施例提供了一种用于识别外挂操作的方法，包括：采集业务系统的原始操作信息；从原始操作信息提取与外挂操作相关联的操作特征；基于与外挂操作相关联的操作特征，建立外挂操作特征模型；以及利用外挂操作特征模型分析实时操作的操作信息以识别出外挂操作。

根据本发明实施例还提供了一种用于识别外挂操作的系统，包括：数据采集模块，用于采集业务系统的原始操作信息；特征提取模块，用于从原始操作信息提取与外挂操作相关联的操作特征；模型建立模块，用于基于与外挂操作相关联的操作特征，建立外挂操作特征模型；以及识别模块，用于利用外挂操作特征模型分析实时操作的操作信息以识别出外挂操作。

根据本发明的技术方案，通过判定操作行为是否符合预先建立或自学习的操作特征(即，信息指纹)模型中的基本要素，进行外挂操作的有效识别。整个识别过程不需要人工干预，解决了传统手段对检测已知外挂的不足，以及无法识别未知外挂行为的问题，提高了识别外挂的准确性，增强了识别外挂的适用性，使得用户能够无需具备专业知识、无需设定和维护检测规则，即可轻松实现对外挂程序的监控，进一步提升业务系统的安全性，从而降低因外挂程序带来的用户敏感信息泄露和违规业务办理的风险。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的用于识别外挂操作的方法的流程图；

图2是根据本发明实施例的外挂操作特征(例如，外挂指纹)模型的示意图；

图3是根据本发明实施例的操作特征(例如，信息指纹)聚类的示意图；

图4是根据本发明实施例的用于识别外挂操作的系统的结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明具体实施例及相应的附图对本发明技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

以下结合附图，详细说明本发明各实施例提供的技术方案。

图1是根据本发明实施例的用于识别外挂操作的方法的流程图，如图1所示，该方法包括：

在步骤S102中，采集业务系统的原始操作信息，其中业务系统可以例如是业务运营支撑系统。如本文所使用的术语“业务运营支撑系统”可以指主要应用于通信行业的业务系统，对用户执行相应业务操作。例如，业务运营支撑系统可以是CRM、BOSS、BASS(Business Analysis Support System，经营分析系统)、4A(Authentication Account Authorization Audit，认证、账号、授权、审计)平台等等。但是，本发明的实施例不限于此方面。

在一些实施例中，原始操作信息可以包括采集业务运营支撑系统的登录、查询、办理类等操作日志数据以及预定的外挂操作的操作信息中的一者或多者。

在步骤S104中，从原始操作信息提取与外挂操作相关联的操作特征。

然后，在步骤S106中，基于与外挂操作相关联的操作特征，建立外挂操作特征模型。

在本发明实施例中，可以从诸如业务日志数据之类的原始操作信息中提取事件指纹(即，操作特征)来建立非法事件(例如，外挂操作特征)模型，通过各种方式精确找出这些关键的日志字段或多字段组合，并将其一一指定为外挂操作事件的指纹。如本文所使用的，术语“事件指纹”、“信息指纹”可分别指代用来区分或标识事件或信息的特征。

下面给出确定外挂操作事件的指纹的关键字段或字段组合的方法。

(1)、通过事件样本学习提取外挂事件指纹

第一指纹：将日志中行为发生的时间作为一个指纹。例如，正常操作一般在日间工作时间，外挂操作一般在半夜；

第二指纹：将日志中行为频度作为一个指纹。例如，正常操作的详单查询一般是1分钟1次，外挂操作的频度远远数倍于此数。

第三号指纹：将日志中后续操作行为内容作为一个指纹。例如，正常操作在查询详单后往往还伴随着有业务办理的相关记录，而外挂操作往往只有查询详单的记录，而无后续。

第四号指纹：将从日志中账号登录与操作日志的时序关联作为一个指纹。例如，正常CRM操作在登录4A后往往间隔5至30分钟不等才有对应的CRM操作，外挂程序往往没有这一时间间隔，甚至无4A登录的记录直接绕行或单位时间内多次登录这一极端情况。

以上4个指纹则是通过样本中包含已有的业务日志，找出的关键字段或多字段组合，将其定义为外挂操作时间的指纹集合。也就是说只要后续的某行为主体其系统操作行为日志显示出与该指纹集合的高度相似，则系统判断其操作属于外挂操作。其中：

第一指纹属于CRM日志中的单独字段；

第二指纹属于多字段组合，其由操作时间及操作内容两个字段共同组成；

第三指纹属于多字段组合，其由特定的操作时间+操作内容与后续的操作时间+(不同)操作内容共同组成；

第四指纹属于跨系统日志多字段组合，其由4A日志的时间字段与CRM日志的时间字段共同组成。

通过事件样本关键特征来提取事件指纹精准度较高，指纹设计合理。

(2)、离散分析提取事件指纹

在一些实施例中，对已有的海量原始系统日志进行分类，将这些行为日志区分为大概率和小概率两个类别。再采用样本对标签进行二次提炼，为其指定事件类型。

例如，每秒约生成33条CRM系统日志，为则一天的日志量将达到200万条左右(非工作时间日志量骤减)。在一些实施例中，机器对CRM日志中“子账号+操作事件+操作内容+账号角色”等多字段进行聚合，可以得出以下结论：

同一权限角色不同账号进行同一操作的时间区间(如工作时间9:00——17:00)；

同一权限角色不同账号进行同一操作的频度(如详单查询，频度为1小时5次)；

同一权限角色不同账号进行某一操作后有无后续操作(如详单查询后下一条操作内容是某业务办理)。

而上述3条结论可区分出大概率的操作时间区间、操作频度、后续关联操作等内容，而分离出该3项的大概率和小概率日志之后，可再通过对样本的比对判定即可得到前述的第一至第三事件指纹，上述三个结论与一二三号事件指纹一一对应。

在一些实施例中，采用离散分类分析的方法提取事件指纹，不完全依赖事件样本或人工经验，可自动剥离日志大概率与小概率的区别。

通过上述描述可以看出，原始系统日志各字段即是事件指纹的原型。而事件指纹则确定出不同的日志字段或字段组合，将其作为能说明某一事件的特征指纹。以下以CRM系统日志举例阐明原始系统日志与指纹的关系。

在一些实施例中，CRM系统日志包括多个字段，需要找出这些字段中与某类型事件具有强关联性的字段，作为事件指纹，形成事件指纹库，以便日后采集行为日志后进行关联聚合。

(1)核心指纹生成

核心指纹可由日志中的基础字段来提取，它们是生成事件模型的关键因素。如CRM日志中，针对某类型事件，某些字段则起到至关重要的定性作用，这些字段都将作为事件定性画像的核心指纹纳入指纹体系。CRM日志中的核心指纹至少包括以下一项或多项：OPERATE_CONTENT(操作内容)、OPERATE_TIME(操作时间)、PERSON_DUTY_NAME(用户角色/职务)以及CLIENT_NETWORK_ADDRESS(客户端地址)。

这些字段加上用户基本属性字段可还原出某一事件的核心要素，即5W1H相关内容，这些字段就将作为该事件的核心指纹纳入事件指纹库。

在一些实施例中，机器分析对这份日志中所有身份为“营业员”的同一账号，提取“操作频度”这一指纹进行分析，则可以区分大概率与小概率。如某一营业员和多数营业员的操作频度或操作时间不符，则其属于小概率，该营业员的相关字段显示的内容可能贴近外挂操作这一事件指纹，系统则最终判定该营业员的行为属于外挂行为。此处以“操作频度”为例，其他相关的指纹提取和聚类方法同理，不再赘述。

分析完海量日志中所有同身份4A登录和CRM操作日志关联时序后，则可划分大概率或小概率指纹值，在事件画像时，这一指纹也是外挂这一事件的核心指纹之一。同理，不同字段组合形成的指纹通过同类的收束分析后，均可得出对该起行为的事件定性，最终根据其与外挂事件指纹集的相似程度判断其是否属于外挂。

(2)指纹模型生成

针对同一业务系统，依次通过此法形成不同事件的指纹集合，这些不同事件的指纹集合最终形成该系统的事件指纹模型。同一指纹库中不同事件的指纹可能产生字段重叠，也可能由完全不同的字段产生指纹。如IP地址这一字段在外挂程序中不作为指纹或作为权重较低的指纹，而在另一起外挂事件中又将作为核心指纹存在。这一差异也体现出在本方案的指纹体系中将存在分级情况，即指纹根据其对某一事件类型的权重高低，将有不同的重要级别。

图2根据本发明实施例示出了外挂操作特征(例如，外挂事件的指纹)模型，模型主要由上述4种核心指纹和基础指纹构成。

在对某一外挂事件相关的指纹序列构建特征集后，对其进行指纹聚类，利用相应的指纹模型算法，实现外挂指纹模型的生成。具体步骤如下：

步骤1：将某组指纹特征向量存放入列表中，选择两个距离阈值：T1和T2，其中T1>T2，参考图3，线条深的线圈为T1，线条浅的线圈为T2，T1和T2的值可以用交叉校验来确定；

步骤2：从特征向量列表中任取一特征向量P，计算P与所有特征集之间的距离(如果当前不存在特征集，则把P作为一个特征集)，如果P与某个特征集距离在T1以内，则将点P加入到这个特征集；

本发明采用相似度距离算法，用两个集合中不同元素占所有元素的比例来衡量两个特征集的区分度。具体计算方法如下：

两个集合和B交集元素的个数在A、B并集中所占的比例，称为这两个集合的距离相似系数，用符号J(A,B)表示。距离相似系数是衡量两个集合相似度的一种指标，如由以下公式所示：

在一些实施例中，与距离相似系数相反的概念，可以用如下公式(2)来表示：

假设Qi'和Q'j是两个n维向量，在其指纹维度的取值都是0或1。例如，(0,1,1,0)和(1,0,1,1)，1表示集合包含某个对应的指纹，0表示不包含该指纹。

在一些实施例中，可用下式(3)来计算J(Qi'，Q'j)

其中，p：Qi'和Q'j都是1的维度的个数，q：Qi'是1而Q'j是0的维度的个数，以及r：Qi'是0而Q′j是1的维度的个数。

步骤3：如果P曾经与某个特征集的距离在T2以内，则需要把点P从特征向量列表中删除，表示P此时与这个特征集已经够近了，因此它不可以再做其它特征集的中心了；

步骤4：重复步骤2、3，直到列表为空结束。

步骤5：从全部的指纹集合中，构建另一个指纹相关序列特征集，重复步骤1至4，对所有的指纹序列向量进行聚类。

步骤6：对所有聚类后的各个指纹集合进行重叠度判断，合并重叠度高的指纹集合形成最终的聚类结果，以此形成外挂指纹模型。

聚类后，结果如下：

Q′11＝{P11，…,P1n}

……

Q′1i＝{Pi1，…,Pin}

在步骤S108中，利用外挂操作特征模型分析实时操作的操作信息以识别出外挂操作。

具体地，根据操作日志中包含的用户关键字，包括：账号、姓名、IP地址等对用户进行归类。将归类出的每一个用户的所有操作行为进行关联，形成事件，如：“用户在XX月XX日XX点进行4A登录，在XX月XX日XX点通过4A登录到CRM系统，并于XX月XX日XX点对8142模块进行了操作，查询了用户的详单信息”。

在一些实施例中，提取用户行为事件中的关键操作指纹或时间序列，与外挂指纹模型中包含的指纹序列做近似值的匹配，如果匹配成功，则输出为外挂操作行为，如果匹配失败，则丢弃相应的事件特征数据。在一个实施例中，用户的实际操作频率每秒为5次，大于指纹模型中时间序列给定的上限频率为每秒2次，此时匹配成功，系统会识别为外挂操作行为。此为单个指纹序列的匹配方式，往往在实际情况中也存在多个指纹序列的匹配，如：从某用户的事件操作指纹来看，此用户并未通过4A登录CRM系统，但是存在CRM操作日志，并且在5分钟之内操作了100条日志，此时需要分别将用户的登录指纹、CRM操作指纹和操作时间频度与指纹模型中对应的指纹序列做匹配，如果多个指纹都匹配成功，或者超过80％的关键指纹匹配成功，则判定为外挂操作。

另外，在进行外挂指纹匹配时，并非所有的指纹序列都能一一与模型指纹完全匹配上，对于未匹配上的部分外挂指纹可以通过重新的聚合和定义后形成新的外挂指纹数据，并生成新的外挂模型，以达到模型自学习的功能。

根据本发明实施例，通过判定访问行为是否符合预先建立或自学习的指纹模型中的基本要素，进行外挂操作的有效识别。整个识别过程不需要人工干预，解决了传统手段对已知外挂检测的不足，以及无法识别未知外挂行为的问题，提高了外挂识别的准确性，增强了外挂识别的适用性，使得用户能够无需具备专业知识、无需设定、维护检测规则，即可轻松实现对业务外挂的监控，进一步提升业务系统的安全性，从而降低因外挂程序带来的用户敏感信息泄露和违规业务办理的风险。

图4是根据本发明实施例的用于识别外挂操作的系统的结构框图，如图4所示，所述系统包括：数据采集模块41、特征提取模块42、模型建立模块43、以及识别模块44。

在一些实施例中，数据采集模块41可以采集业务系统的原始操作信息(例如，业务日志数据)。

在一些实施例中，特征提取模块42可以从原始操作信息提取与外挂操作相关联的操作特征。具体地，特征提取模块42根据预设的关键字段或多字段组合从业务日志数据中提取操作特征，即，事件指纹。在一些实施例中，特征提取模块42根据业务日志数据中包含的用户关键字用户进行归类，其中用户关键字可以包括：账号、姓名、IP地址，然后将归类的每个用户的所有操作行为进行关联形成用户行为事件。

在一些实施例中，模型建立模块43基于特征提取模块42提取的与外挂操作相关联的操作特征，建立外挂操作特征模型。具体地，模型建立模块43根据预设的关键字段或多字段组合对业务日志数据进行数据离散分析，将业务日志数据分类为大概率事件和小概率事件。接下来，模型建立模块43根据小概率事件建立外挂操作模型，该模型可以例如用于识别非法事件。其中，预设的关键字段或多字段组合包括：操作时间、操作频度、后续操作。

在一些实施例中，识别模块44可以利用模型建立模块43产生的外挂操作特征模型(例如，非法事件模型)分析实时操作的操作信息以识别出外挂操作。例如，识别模块44可以根据非法事件模型对用户行为事件进行识别，以判断用户行为事件是否为非法外挂操作。

具体地，识别模块44提取用户行为事件中的关键操作指纹或时间序列，并与模型建立模块43生成的非法事件模型进行匹配。如果匹配成功，则该用户行为事件被识别为非法外挂操作。如果匹配失败，则丢弃用户行为事件。另外，在一些实施例中，在匹配失败的情形中，识别模块44可以将匹配失败的用户行为事件提供至模型建立模块43，然后模型建立模块43可以对这些用户行为事件重新进行分析来形成新的非法事件模型。

本发明的方法的操作步骤与系统的结构特征对应，可以相互参照，不再一一赘述。

根据本发明的技术方案，通过判定访问行为是否符合预先建立或自学习的指纹模型中的基本要素，进行外挂操作的有效识别。整个识别过程不需要人工干预，解决了传统手段对已知外挂检测的不足，以及无法识别未知外挂行为的问题，提高了外挂识别的准确性，增强了外挂识别的适用性，使得用户能够无需具备专业知识、无需设定、维护检测规则，即可轻松实现对业务外挂的监控，进一步提升业务系统的安全性，从而降低因外挂程序带来的用户敏感信息泄露和违规业务办理的风险。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本发明的实施例而已，并不用于限制本发明。对于本领域技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本发明的权利要求范围之内。