用于安全性信息交互的异常检测装置及方法

用于安全性信息交互的异常检测装置及方法
【专利摘要】本发明提出了用于安全性信息交互的异常检测装置及方法。其中，所述方法包括下列步骤：基于数据库中的安全性信息交互记录完成预处理操以构建分类器模型和条件概率表以及用于序列比对的组表；解析安全性信息交互数据，并基于所述分类器模型和条件概率表以及用于序列比对的组表判断与所述安全性信息交互数据相关联的安全性信息交互的类型。本发明所公开的用于安全性信息交互的异常检测装置及方法具有高的安全性并且具有低的误报率和漏报率。
【专利说明】 用于安全性信息交互的异常检测装置及方法
【技术领域】
[0001]本发明涉及异常检测装置及方法，更具体地，涉及用于安全性信息交互的异常检测装置及方法。
【背景技术】
[0002]目前，随着网络应用的日益广泛以及不同领域的业务种类的日益丰富，用于安全性信息交互(即对安全性要求较高的信息交互，例如金融交易)的异常检测装置及方法变得越来越重要。
[0003]通常，异常的安全性信息交互包括如下两种类型:(I)不满足安全性信息交互系统对安全性信息交互的流程和格式等的规定；(2)满足安全性信息交互系统对正常的安全性信息交互的流程和格式等的规定，但是该安全性信息交互本身具有一定的欺诈特性(例如在金融交易领域中，攻击者利用盗取的合法用户信息进行的交易，或者合法用户进行的恶意透支行为等等)。一般而言，安全性信息交互系统自身具有检测第一种异常的能力，并可以阻止该异常的安全性信息交互过程的执行，而针对第二种异常，由于其流程和提供的认证信息通常都符合安全性信息交互系统的相关规定，因而系统自身难于检测，需要附加的异常检测装置和方法。
[0004]用于安全性信息交互的异常检测方法通常基于以下两个假设:(I)异常的安全性信息交互与正常的安全性信息交互存在较大的差异；(2)异常的安全性信息交互在所有安全性信息交互中所占的比例很小。现有的针对第二种异常的检测装置和方法主要采用如下四种检测方式中的一个:(I)基于统计的方法，首先用某个分布(如正态分布、泊松分布等)对数据点进行建模，然后用不一致检验确定异常；(2)基于偏差的方法，通过对一组对象特征进行检查来识别异常数据，与给出的描述偏离的对象被定义为异常；(3)基于距离的方法，其将孤立的(没有足够多邻居的)数据作为异常，比如Knorr算法规定，与点P的距离小于d的点的个数不超过k，则P是相对于d和k的异常；(4)基于密度的方法，其引入了局部异常因子(Local Outlier Factor,L0F)的概念,用以度量一个对象关于其周围邻居的异常程度，从而能够检测出局部异常的数据。
[0005]然而，现有的针对第二种异常的检测装置和方法存在如下问题:(I)对第一种检测方式而言，其局限性在于现实中的数据分布往往不符合任何一种已知的理想分布，另外，大多数的测试都是针对单个属性的，对于多维数据中的异常检测效果并不理想；(2)对第二种检测方式而言，其主要使用序列异常技术，即模仿人类的思维模式，从一组连续序列中发现与大多数数据不同的元素，但其误报率和漏报率较高；(3)对第三种检测方式而言，其只能检测出全局的异常数据，不适合具有多种密度的数据集，因此不能很好的检测局部异常；(4)对第四种检测方式而言，其误报率和漏报率也较高。由上可见，现有的针对第二种异常的检测装置和方法由于特征选取不恰当或者检测范围不够全面而导致误报率和漏报率较高，从而影响了安全性信息交互系统的性能和安全性。
[0006]因此，存在如下需求:提供具有高的安全性并且具有低的误报率和漏报率的异常 检测装置及方法。

【发明内容】

[0007]为了解决上述现有技术方案所存在的问题，本发明提出了具有高的安全性并且具有低的误报率和漏报率的异常检测装置及方法。
[0008]本发明的目的是通过以下技术方案实现的:
[0009]一种用于安全性信息交互的异常检测装置，所述用于安全性信息交互的异常检测装置包括:
[0010]预处理模块，所述预处理模块用于基于数据库中的安全性信息交互记录完成预处理操以构建分类器模型和条件概率表以及用于序列比对的组表；
[0011]异常检测模块，所述异常检测模块用于接收并解析来自数据处理服务器的安全性信息交互数据，并基于所述分类器模型和条件概率表以及用于序列比对的组表判断与所述安全性信息交互数据相关联的安全性信息交互的类型，并将判断结果传送回所述数据处理服务器。
[0012]在上面所公开的方案中，优选地，所述预处理模块进一步包括:
[0013]特征提取单元，所述特征提取单元用于从所述数据库提取正常的安全性信息交互记录和已知的异常的安全性信息交互记录；
[0014]分类器模型构造单元，所述分类器模型构造单元用于基于所述提取的正常的安全性信息交互记录和所述已知的异常的安全性信息交互记录确定至少一个信息交互特征向量，并基于所述至少一个信息交互特征向量构建所述分类器模型；
[0015]条件概率表计算单元，所述条件概率表计算单元用于为每个用户计算条件概率表;
[0016]操作序列提取单元，所述操作序列提取单元用于从所述数据库提取每个用户的正常操作序列和已知的用户的异常操作序列，并按照时间将正常操作序列划分成子序列以及按照类型将异常操作序列划分成子序列；
[0017]组表构造单元，所述组表构造单元用于为每个用户的正常操作序列构造第一 k元组表，并且为每个用户的已知的异常操作序列构造第二 k元组表；
[0018]存储单元，所述存储单元用于存储所述分类器模型、所述计算条件概率表、所述每个用户的正常操作序列和已知的用户的异常操作序列以及所述第一 k元组表和所述第二 k元组表。
[0019]在上面所公开的方案中，优选地，所述至少一个信息交互特征包括安全性信息交
互位置信息。
[0020]在上面所公开的方案中，优选地，基于贝叶斯定理构建所述分类器模型，并且使用后验概率判断安全性信息交互的类型。
[0021]在上面所公开的方案中，优选地，仅存在“正常的”和“异常的”两个分类，并且将待检测的安全性信息交互属于“正常的”分类的后验概率作为其第一可信因子TS。
[0022]在上面所公开的方案中，优选地，所述条件概率表计算单元基于从所述数据库提取的安全性信息交互记录为每个用户计算条件概率表的值。
[0023]在上面所公开的方案中，优选地，所述组表构造单元使用SSAHA算法为每个用户的正常操作序列构造第一 k元组表，并且为每个用户的已知的异常操作序列构造第二 k元组表。
[0024]在上面所公开的方案中，优选地，所述分类器模型构造单元进一步用于将所述至少一个信息交互特征的取值离散化。
[0025]在上面所公开的方案中，优选地，所述分类器模型构造单元进一步用于基于K-means算法将所述至少一个信息交互特征中的一个或多个的取值离散化。
[0026]在上面所公开的方案中，优选地，所述异常检测模块进一步包括:
[0027]主控制器，所述主控制器用于接收并解析来自所述数据处理服务器的安全性信息交互数据以获得与所述安全性信息交互数据相关联的当前安全性信息交互的特征向量和发起该当前安全性信息交互的用户的标识符，并将所述用户标识符和所述当前安全性信息交互的特征向量传送到分类单元，所述主控制器还用于基于所述用户标识符从所述存储单元提取发起该当前安全性信息交互的用户之前的N-1次操作以构成长度为N的操作序列，并将所述用户标识符和所述长度为N的操作序列传送到序列比对单元，所述主控制器进一步用于将接收到的来自综合判断单元的判断结果传送回所述数据处理服务器；
[0028]分类单元，所述分类单元用于基于所述解析出的用户标识符、当前安全性信息交互的特征向量、所述分类器模型以及所述条件概率表计算出该当前安全性信息交互的第一可信因子TS，以及随后将所述第一可信因子TS传送到所述综合判断单元；
[0029]序列比对单元，所述序列比对单元用于基于所述用户标识符从所述存储单元中查找相应的第一 k元组表并结合相应的第二 k元组表计算该当前安全性信息交互的第二可信因子OS，以及随后将所述第二可信因子OS传送到所述综合判断单元；
[0030]综合判断单元，所述综合判断单元用于基于接收到的所述第一可信因子TS和第二可信因子OS判断当前安全性信息交互的类型，并将判断结果传送到所述主控制器。
[0031]在上面所公开的方案中，优选地，所述分类单元根据所述用户标识符从所述存储单元中查找相应的条件概率表，并基于所述当前安全性信息交互的特征向量和所述分类器模型计算该当前安全性信息交互的第一可信因子TS。
[0032]在上面所公开的方案中，优选地，所述序列比对单元使用BLAST算法计算该当前安全性信息交互的第二可信因子OS。
[0033]在上面所公开的方案中，优选地，所述综合判断单元通过将所述第一可信因子TS和所述第二可信因子OS分别与预定的阈值相比较而判断当前安全性信息交互的类型。
[0034]本发明的目的也可以通过以下技术方案实现:
[0035]一种用于安全性信息交互的异常检测方法，所述用于安全性信息交互的异常检测方法包括下列步骤:
[0036](Al)基于数据库中的安全性信息交互记录完成预处理操以构建分类器模型和条件概率表以及用于序列比对的组表；
[0037](A2)解析安全性信息交互数据，并基于所述分类器模型和条件概率表以及用于序列比对的组表判断与所述安全性信息交互数据相关联的安全性信息交互的类型。
[0038]本发明所公开的用于安全性信息交互的异常检测装置及方法具有如下优点:具有高的安全性并且具有低的误报率和漏报率。【专利附图】

【附图说明】
[0039]结合附图，本发明的技术特征以及优点将会被本领域技术人员更好地理解，其中:
[0040]图1是根据本发明的实施例的用于安全性信息交互的异常检测装置的示意性结构图；
[0041]图2是根据本发明的实施例的用于安全性信息交互的异常检测方法的流程图。【具体实施方式】
[0042]图1是根据本发明的实施例的用于安全性信息交互的异常检测装置的示意性结构图。如图1所示，本发明所公开的异常检测装置包括预处理模块I和异常检测模块2。其中，所述预处理模块I用于基于数据库中的安全性信息交互记录完成预处理操以构建分类器模型和条件概率表以及用于序列比对的组表。所述异常检测模块2用于接收并解析来自数据处理服务器(例如交易处理服务器)的安全性信息交互数据，并基于所述分类器模型和条件概率表以及用于序列比对的组表判断与所述安全性信息交互数据相关联的安全性信息交互(例如金融交易)的类型(即是“正常的”还是“异常的”)，并将判断结果传送回所述数据处理服务器。
[0043]优选地，在本发明所公开的异常检测装置中，所述预处理模块I进一步包括特征提取单元3、分类器模型构造单元4、条件概率表计算单元5、操作序列提取单元6和组表构造单元7和存储单元12。其中，所述特征提取单元3用于从所述数据库提取正常的安全性信息交互记录(例如正常的交易记录)和已知的异常的安全性信息交互记录(例如已知的异常的交易记录)。所述分类器模型构造单元4用于基于所述提取的正常的安全性信息交互记录和所述已知的异常的安全性信息交互记录确定至少一个信息交互特征向量(示例性地，在金融领域中，所述信息交互特征可以包括交易时间、交易位置、交易金额、商户类型以及交易所属的分类等)，并基于所述至少一个信息交互特征向量构建所述分类器模型。所述条件概率表计算单元5用于为每个用户计算条件概率表(CPT)。所述操作序列提取单元6用于从所述数据库提取每个用户的正常操作序列和已知的用户的异常操作序列，并按照时间将正常操作序列划分成子序列以及按照类型将异常操作序列划分成子序列。所述组表构造单元7用于为每个用户的正常操作序列构造第一 k元组表，并且为每个用户的已知的异常操作序列构造第二 k元组表(由于异常检测由一次安全性信息交互触发，故k的取值应大于等于用户完成一次完整的安全性信息交互过程至少需要的步骤数)。所述存储单元12用于存储所述分类器模型、所述计算条件概率表、所述每个用户的正常操作序列和已知的用户的异常操作序列以及所述第一 k元组表和所述第二 k元组表。
[0044]优选地，在本发明所公开的异常检测装置中，所述至少一个信息交互特征包括安全性信息交互位置信息。
[0045]优选地，在本发明所公开的异常检测装置中，基于贝叶斯定理构建所述分类器模型(即该分类器模型是贝叶斯信念网络结构)，并且使用后验概率判断安全性信息交互的类型(即是“正常的”还是“异常的”)。
[0046]如本领域技术人员所知地，后验概率是指在给定一定条件的情况下，发生某个事件的概率。在本公开中，后验概率是指在给定当前样本的特征向量(例如与待检测的安全性信息交互相关联的安全性信息交互数据，示例性地，其包含交易时间、交易位置、交易金额、商户类型以及交易所属的分类等)时，该样本属于某个分类的概率，其可以由以下公式表不:
[0047]P(C = CjF1 = ,F2 = f2,...,Fn = fn)(I)
[0048]其中F1 = f1； F2 = f2,..., Fn = fn是当前样本特征向量的取值,而C = Ci表示该样本属于分类Ci。此外，由贝叶斯定理可知，公式(I)可转化为:
[0049]
【权利要求】
1.一种用于安全性信息交互的异常检测装置，所述用于安全性信息交互的异常检测装置包括: 预处理模块，所述预处理模块用于基于数据库中的安全性信息交互记录完成预处理操以构建分类器模型和条件概率表以及用于序列比对的组表； 异常检测模块，所述异常检测模块用于接收并解析来自数据处理服务器的安全性信息交互数据，并基于所述分类器模型和条件概率表以及用于序列比对的组表判断与所述安全性信息交互数据相关联的安全性信息交互的类型，并将判断结果传送回所述数据处理服务器。
2.根据权利要求1所述的用于安全性信息交互的异常检测装置，其特征在于，所述预处理模块进一步包括: 特征提取单元，所述特征提取单元用于从所述数据库提取正常的安全性信息交互记录和已知的异常的安全性信息交互记录； 分类器模型构造单元，所述分类器模型构造单元用于基于所述提取的正常的安全性信息交互记录和所述已知的异常的安全性信息交互记录确定至少一个信息交互特征向量，并基于所述至少一个信息交互特征向量构建所述分类器模型； 条件概率表计算单元，所述条件概率表计算单元用于为每个用户计算条件概率表； 操作序列提取单元，所述操作序列提取单元用于从所述数据库提取每个用户的正常操作序列和已知的用户的异常操作序列，并按照时间将正常操作序列划分成子序列以及按照类型将异常操作序列划分成子序列； 组表构造单元，所述组表构造单元用于为每个用户的正常操作序列构造第一 k元组表，并且为每个用户的已知的异常操作序列构造第二 k元组表； 存储单元，所述存储单元用于存储所述分类器模型、所述计算条件概率表、所述每个用户的正常操作序列和已知的用户的异常操作序列以及所述第一 k元组表和所述第二 k元组表。
3.根据权利要求2所述的用于安全性信息交互的异常检测装置，其特征在于，所述至少一个信息交互特征包括安全性信息交互位置信息。
4.根据权利要求3所述的用于安全性信息交互的异常检测装置，其特征在于，基于贝叶斯定理构建所述分类器模型，并且使用后验概率判断安全性信息交互的类型。
5.根据权利要求4所述的用于安全性信息交互的异常检测装置，其特征在于，仅存在“正常的”和“异常的”两个分类，并且将待检测的安全性信息交互属于“正常的”分类的后验概率作为其第一可信因子TS。
6.根据权利要求5所述的用于安全性信息交互的异常检测装置，其特征在于，所述条件概率表计算单元基于从所述数据库提取的安全性信息交互记录为每个用户计算条件概率表的值。
7.根据权利要求6所述的用于安全性信息交互的异常检测装置，其特征在于，所述组表构造单元使用SSAHA算法为每个用户的正常操作序列构造第一 k元组表，并且为每个用户的已知的异常操作序列构造第二 k元组表。
8.根据权利要求7所述的用于安全性信息交互的异常检测装置，其特征在于，所述分类器模型构造单元进一步用于将所述至少一个信息交互特征的取值离散化。
9.根据权利要求8所述的用于安全性信息交互的异常检测装置，其特征在于，所述分类器模型构造单元进一步用于基于K-means算法将所述至少一个信息交互特征中的一个或多个的取值离散化。
10.根据权利要求9所述的用于安全性信息交互的异常检测装置，其特征在于，所述异常检测模块进一步包括: 主控制器，所述主控制器用于接收并解析来自所述数据处理服务器的安全性信息交互数据以获得与所述安全性信息交互数据相关联的当前安全性信息交互的特征向量和发起该当前安全性信息交互的用户的标识符，并将所述用户标识符和所述当前安全性信息交互的特征向量传送到分类单元，所述主控制器还用于基于所述用户标识符从所述存储单元提取发起该当前安全性信息交互的用户之前的N-1次操作以构成长度为N的操作序列，并将所述用户标识符和所述长度为N的操作序列传送到序列比对单元，所述主控制器进一步用于将接收到的来自综合判断单元的判断结果传送回所述数据处理服务器； 分类单元，所述分类单元用于基于所述解析出的用户标识符、当前安全性信息交互的特征向量、所述分类器模型以及所述条件概率表计算出该当前安全性信息交互的第一可信因子TS，以及随后将所述第一可信因子TS传送到所述综合判断单元； 序列比对单元，所述序列比对单元用于基于所述用户标识符从所述存储单元中查找相应的第一 k元组表并结合相应的第二 k元组表计算该当前安全性信息交互的第二可信因子OS，以及随后将所述第二可信因子OS传送到所述综合判断单元； 综合判断单元，所述综合判断单元用于基于接收到的所述第一可信因子TS和第二可信因子OS判断当前安全性信 息交互的类型，并将判断结果传送到所述主控制器。
11.根据权利要求10所述的用于安全性信息交互的异常检测装置，其特征在于，所述分类单元根据所述用户标识符从所述存储单元中查找相应的条件概率表，并基于所述当前安全性信息交互的特征向量和所述分类器模型计算该当前安全性信息交互的第一可信因子TS。
12.根据权利要求11所述的用于安全性信息交互的异常检测装置，其特征在于，所述序列比对单元使用BLAST算法计算该当前安全性信息交互的第二可信因子OS。
13.根据权利要求12所述的用于安全性信息交互的异常检测装置，其特征在于，所述综合判断单元通过将所述第一可信因子TS和所述第二可信因子OS分别与预定的阈值相比较而判断当前安全性信息交互的类型。
14.一种用于安全性信息交互的异常检测方法，所述用于安全性信息交互的异常检测方法包括下列步骤: (Al)基于数据库中的安全性信息交互记录完成预处理操以构建分类器模型和条件概率表以及用于序列比对的组表； (A2)解析安全性信息交互数据，并基于所述分类器模型和条件概率表以及用于序列比对的组表判断与所述安全性信息交互数据相关联的安全性信息交互的类型。
【文档编号】G06F21/50GK103544429SQ201210241200
【公开日】2014年1月29日 申请日期:2012年7月12日 优先权日:2012年7月12日
【发明者】柴洪峰, 吴承荣, 何朔, 叶家炜, 王兴建, 廖健 申请人:中国银联股份有限公司