一种恶意操作识别方法、装置、设备及可读存储介质与流程

本申请涉及安全技术领域，更具体地说，涉及一种恶意操作识别方法、装置、设备及计算机可读存储介质。

背景技术：

随着云计算的发展，很多单位的数据中心都已经交给第三方做运维，黑客和木马已经非常关注且有与之对应的应对措施。但是，针对运维人员的操作，目前尚无法判断其是善意操作还是恶意操作，即无法对恶意操作进行识别，因此，则无法及时地对恶意操作进行处理，从而则会对数据中心的安全运行带来影响。

综上所述，如何对恶意操作进行识别并及时对恶意操作进行处理，是目前本领域技术人员亟待解决的技术问题。

技术实现要素：

有鉴于此，本申请的目的是提供一种恶意操作识别方法、装置、设备及计算机可读存储介质，用于对恶意操作进行识别并及时对恶意操作进行处理。

为了实现上述目的，本申请提供如下技术方案：

一种恶意操作识别方法，包括：

接收用户的操作，并确定所述操作的操作对象；

基于预先建立的操作对象与操作值间的对应关系，确定所述操作对象的操作值，并根据所述操作对象的操作值计算所述操作的评估值；

将所述操作的评估值与预先建立的数据库进行匹配，确定与所述操作的评估值对应的目标评估值及与所述目标评估值对应的操作行为；

基于所述操作行为判断所述操作是否为恶意操作，若是，则对所述操作进行拦截。

优选的，根据所述操作对象的操作值计算所述操作的评估值，包括：

利用re＝vuser*wuser+vsub*wsub+vobj*wobj+vopertor*wopertor计算所述操作的评估值re；

其中，vuser为所述用户登录的账户对应的操作值，wuser为所述用户登录的账户对应的权重，vsub为操作主体的操作值，wsub为所述操作主体的权重，vobj为操作客体的操作值，wobj为所述操作客体的权重，vopertor为操作动作的操作值，wopertor为所述操作动作的权重，wuser+wsub+wobj+wopertor＝1。

优选的，将所述操作的评估值与预先建立的数据库进行匹配，确定与所述操作的评估值对应的目标评估值及所述目标评估值对应的操作行为，包括：

将所述数据库中的评估值划分为多个匹配组；

将所述操作的评估值分别与每个所述匹配组进行匹配；

当所述操作的评估值与其中一个所述匹配组中的评估值匹配成功，则终止匹配，并将匹配成功的评估值作为所述目标评估值，且从所述数据库中获取所述目标评估值对应的操作行为。

优选的，将所述操作的评估值分别与每个所述匹配组进行匹配，包括：

将所述匹配组中的第一个评估值作为当前评估值，并判断所述操作的评估值是否位于由所述当前评估值确定的匹配范围内；

若是，则确定匹配成功；

若否，则将所述匹配组中的下一个评估值作为所述当前评估值，并执行所述判断所述操作的评估值是否位于由所述当前评估值确定的匹配范围内的步骤。

优选的，将所述数据库中的评估值划分为多个匹配组，包括：

将所述数据库中的评估值按照奇偶数分为奇数匹配组和偶数匹配组。

优选的，在对所述操作进行拦截之后，还包括：

向所述用户发出提示。

一种恶意操作识别装置，包括：

接收模块，用于接收用户的操作，并确定所述操作的操作对象；

第一确定模块，用于基于预先建立的操作对象与操作值间的对应关系，确定所述操作对象的操作值，并根据所述操作对象的操作值计算所述操作的评估值；

第二确定模块，用于将所述操作的评估值与预先建立的数据库进行匹配，确定与所述操作的评估值对应的目标评估值及与所述目标评估值对应的操作行为；

拦截模块，用于基于所述操作行为判断所述操作是否为恶意操作，若是，则对所述操作进行拦截。

优选的，所述第一确定模块包括：

计算单元，用于利用re＝vuser*wuser+vsub*wsub+vobj*wobj+vopertor*wopertor计算所述操作的评估值re；

其中，其中，vuser为所述用户登录的账户对应的操作值，wuser为所述用户登录的账户对应的权重，vsub为操作主体的操作值，wsub为所述操作主体的权重，vobj为操作客体的操作值，wobj为所述操作客体的权重，vopertor为操作动作的操作值，wopertor为所述操作动作的权重，wuser+wsub+wobj+wopertor＝1。

一种恶意操作识别设备，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如上述任一项所述的恶意操作识别方法的步骤。

一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时实现如上述任一项所述的恶意操作识别方法的步骤。

本申请提供了一种恶意操作识别方法、装置、设备及计算机可读存储介质，其中，该方法包括：接收用户的操作，并确定操作的操作对象；基于预先建立的操作对象与操作值间的对应关系，确定操作对象的操作值，并根据操作对象的操作值计算操作的评估值；将操作的评估值与预先建立的数据库进行匹配，确定与操作的评估值对应的目标评估值及与目标评估值对应的操作行为；基于操作行为判断操作是否为恶意操作，若是，则对操作进行拦截。

本申请公开的上述技术方案，在接收到用户的操作之后，基于预先建立的操作对象与操作值间的对应关系确定操作中操作对象的操作值，并根据操作对象的操作值计算操作的评估值，且通过将操作的评估值与预先建立的数据库进行匹配来确定与操作对应的目标评估值及目标评估值对应的操作行为，然后，基于确定出的操作行为判断操作是否为恶意操作，并在确定出是恶意操作时对其进行拦截，以实现对恶意操作的识别并在识别到恶意操作时进行拦截处理，从而尽量保证数据中心运行的安全性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种恶意操作识别方法的流程图；

图2为本申请实施例提供的一种恶意操作识别装置的结构示意图；

图3为本申请实施例提供的一种恶意操作识别设备的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

参见图1，其示出了本申请实施例提供的一种恶意操作识别方法的流程图，本申请实施例提供的一种恶意操作识别方法，可以包括：

s11：接收用户的操作，并确定操作的操作对象。

在用户对数据中心进行操作时，其可以通过登录账户而对数据中心进行操作，相应地，数据中心可以接收用户对数据中心的操作，并可以确定操作的操作对象。

s12：基于预先建立的操作对象与操作值间的对应关系，确定操作对象的操作值，并根据操作对象的操作值计算操作的评估值。

其中，在接收用户的操作之前，可以预先通过实验设置操作对象与操作值间的对应关系。

在执行完步骤s11之后，则可以基于预先建立的操作对象与操作值间的对应关系确定操作对象所对应的操作值，并可以根据操作对象的操作值计算操作的评估值，例如：通过操作对象的操作值确定用户test对文件普通文件test.txt的删除的正常动作评估值为100，用户test对关系系统文的正常删除动作评估值为110，用户administrator对核心文件的编辑恶意动作评估值为120。

s13：将操作的评估值与预先建立的数据库进行匹配，确定与操作的评估值对应的目标评估值及与目标评估值对应的操作行为。

其中，在接收用户的操作之前，也可以预先基于实验等建立包含多个评估值与各操作行为间对应关系的数据库。需要说明的是，这里提及的操作行为具体可以分为正常类1、正常类2正常类3、异常类4……且评估值及其对应的操作行为可以以数据表的形式存储在数据库中，例如：如表1所示，其示出了数据库内评估值与操作行为间的对应关系表：

表1数据库内评估值与操作行为间的对应关系表

另外，这里提及的数据库需要包含各种可能出现的操作行为及其对应的评估值，以便于提高操作匹配的准确性和可靠性。

在执行完步骤s12之后，可以将操作的评估值与预先建立的数据库进行匹配，以确定与操作的评估值对应的目标评估值、目标评估值所对应的操作行为。

其中，在确定与操作的评估值对应的目标评估值、目标评估值所对应的操作行为之后，还可以向用户返回目标评估值及目标评估值对应的操作行为，以便于用户及时了解状态。

s14：基于操作行为判断操作是否为恶意操作；若是，则执行步骤s15；

s15：对操作进行拦截。

在确定出与操作对应的目标评估值及目标评估值对应的操作行为之后，可以基于操作行为判断用户所进行的操作是否为恶意操作，其中，若操作行为为正常类，则确定用户所执行的操作不为恶意操作，若操作行为不为正常类，则确定操作为恶意操作，并可以对识别到的恶意操作进行拦截，即可以对恶意操作进行阻止，以避免恶意操作对数据中心的安全运行造成影响。

本申请公开的上述技术方案，在接收到用户的操作之后，基于预先建立的操作对象与操作值间的对应关系确定操作中操作对象的操作值，并根据操作对象的操作值确定操作的评估值，且通过将操作的评估值与预先建立的数据库进行匹配来确定与操作对应的目标评估值及目标评估值对应的操作行为，然后，基于确定出的操作行为判断操作是否为恶意操作，并在确定出是恶意操作时对其进行拦截，以实现对恶意操作的识别并在识别到恶意操作时进行拦截处理，从而尽量保证数据中心运行的安全性。

本申请实施例提供的一种恶意操作识别方法，根据操作对象的操作值计算操作的评估值，可以包括：

利用re＝vuser*wuser+vsub*wsub+vobj*wobj+vopertor*wopertor计算操作的评估值re；

其中，vuser为用户登录的账户对应的操作值，wuser为用户登录的账户对应的权重，vsub为操作主体的操作值，wsub为操作主体的权重，vobj为操作客体的操作值，wobj为操作客体的权重，vopertor为操作动作的操作值，wopertor为所述操作动作的权重，wuser+wsub+wobj+wopertor＝1。

在根据操作对象的操作值计算操作的评估值时，具体可以利用公式re＝vuser*wuser+vsub*wsub+vobj*wobj+vopertor*wopertor进行计算，其中，re为操作的评估值，vuser为用户登录的账户对应的操作值，wuser为用户登录的账户对应的权重，vsub为操作主体的操作值，wsub为操作主体的权重，vobj为操作客体的操作值，wsub为操作客体的权重，vopertor为操作动作的操作值，wopertor为操作动作的权重，wuser+wsub+wobj+wopertor＝1，wuser、wsub、wsub及wopertor的具体数值可以根据经验进行设置，例如wuser可以为0.1，wsub可以为0.2，wsub可以为0.3，wopertor可以为0.4，当然，也可以对这些权重进行调整。

本申请实施例提供的一种恶意操作识别方法，将操作的评估值与预先建立的数据库进行匹配，确定与操作的评估值对应的目标评估值及目标评估值对应的操作行为，可以包括：

将数据库中的评估值划分为多个匹配组；

将操作的评估值分别与每个匹配组进行匹配；

当操作的评估值与其中一个匹配组中的评估值匹配成功，则终止匹配，并将匹配成功的评估值作为目标评估值，且从数据库中获取目标评估值对应的操作行为。

在将操作的评估值与预先建立的数据库进行匹配，确定与操作的评估值对应的目标评估值及目标评估值对应的操作行为时，考虑到数据库中包含有许多的评估值，为了提高匹配的效率，以便于尽快对恶意操作进行识别，从而便于尽量降低恶意操作对数据中心安全运行的影响，则可以将数据库中的评估值划分为多个匹配组，并可以同时将操作的评估值分别与划分得到的每个匹配组进行匹配，在进行匹配时，当操作的评估值与其中任意一个匹配组中的评估值匹配成功，则终止匹配，即不再继续进行匹配，也即实现所谓的自杀机制，以便于提高匹配效率。在匹配成功终止匹配时，可以将匹配成功的评估值作为目标评估值，并可以从数据库中获取目标评估值所对应的操作行为，以便于根据操作行为确定用户所执行的操作是否为恶意操作。

本申请实施例提供的一种恶意操作识别方法，将操作的评估值分别与每个匹配组进行匹配，可以包括：

将匹配组中的第一个评估值作为当前评估值，并判断操作的评估值是否位于由当前评估值确定的匹配范围内；

若是，则确定匹配成功；

若否，则将匹配组中的下一个评估值作为当前评估值，并执行判断操作的评估值是否位于由当前评估值确定的匹配范围内的步骤。

在将操作的评估值分别与每个匹配组进行匹配时，可以分别将每个匹配组中的第一个评估值作为当前评估值，并判断操作的评估值是否位于由当前评估值确定的匹配范围内，若操作的评估值位于由当前评估值确定的匹配范围内，则确定匹配成功，若操作的评估值不位于由当前评估值确定的匹配范围内，则分别将各匹配组中的下一个评估值(即位于当前评估值后面的一个评估值)作为当前评估值，并执行判断操作的评估值是否位于由当前评估值确定的匹配范围内的步骤，直至匹配成功为止。其中，上述提及的匹配范围具体可以为以当前评估值为中心向左右两边扩展预设误差(例如10或20等)而得到的范围(包括端点值)，例如：以当前评估值为100、预设误差为20为例，则对应的匹配范围即为80-100(包括80和100)，也即当操作的评估值为80-100之间的任一值时，与其匹配的目标评估值均为100。

通过上述判断操作的评估值是否位于由当前评估值确定的匹配范围内来实现模糊匹配，以便于提高匹配的效率。

本申请实施例提供的一种恶意操作识别方法，将数据库中的评估值划分为多个匹配组，可以包括：

将数据库中的评估值按照奇偶数分为奇数匹配组和偶数匹配组。

在对数据库中的评估值进行划分时，具体可以将数据库中的评估值按照奇数、偶数分为奇数匹配组和偶数匹配组，其中，奇数匹配组中包含的评估值均为奇数，偶数匹配组中包含的评估值均为偶数。

当然，也可以按照其他的方式来将数据库中的评估值划分为多个匹配组，这里对划分的方式不做任何限定。

本申请实施例提供的一种恶意操作识别方法，在对操作进行拦截之后，还可以包括：

向用户发出提示。

在对操作进行拦截之后，还可以向用户发出提示，以便于用户及时对操作进行纠正或采取其他措施而降低恶意操作对数据中心的影响。

本申请实施例还提供的一种恶意操作识别装置，参见图2，其示出了本申请实施例提供的一种恶意操作识别装置的结构示意图，可以包括：

接收模块21，用于接收用户的操作，并确定操作的操作对象；

第一确定模块22，用于基于预先建立的操作对象与操作值间的对应关系，确定操作对象的操作值，并根据操作对象的操作值计算操作的评估值；

第二确定模块23，用于将操作的评估值与预先建立的数据库进行匹配，确定与操作的评估值对应的目标评估值及与目标评估值对应的操作行为；

拦截模块24，用于基于操作行为判断操作是否为恶意操作，若是，则对操作进行拦截。

本申请实施例提供的一种恶意操作识别装置，第一确定模块22可以包括：

计算单元，用于利用re＝vuser*wuser+vsub*wsub+vobj*wobj+vopertor*wopertor计算操作的评估值re；

其中，vuser为用户登录的账户对应的操作值，wuser为用户登录的账户对应的权重，vsub为操作主体的操作值，wsub为操作主体的权重，vobj为操作客体的操作值，wobj为操作客体的权重，vopertor为操作动作的操作值，wopertor为所述操作动作的权重，wuser+wsub+wobj+wopertor＝1。

本申请实施例提供的一种恶意操作识别装置，第二确定模块23可以包括：

划分单元，用于将数据库中的评估值划分为多个匹配组；

匹配单元，用于将操作的评估值分别与每个匹配组进行匹配；

获取单元，用于当操作的评估值与其中一个匹配组中的评估值匹配成功，则终止匹配，并将匹配成功的评估值作为目标评估值，且从数据库中获取目标评估值对应的操作行为。

本申请实施例提供的一种恶意操作识别装置，匹配单元可以包括：

判断子单元，用于将匹配组中的第一个评估值作为当前评估值，并判断操作的评估值是否位于由当前评估值确定的匹配范围内；

确定子单元，用于若操作的评估值位于由当前评估值确定的匹配范围内，则确定匹配成功；

执行子单元，用于若操作的评估值不位于由当前评估值确定的匹配范围内，则将匹配组中的下一个评估值作为当前评估值，并执行判断操作的评估值是否位于由当前评估值确定的匹配范围内的步骤。

本申请实施例提供的一种恶意操作识别装置，划分单元可以包括：

划分子单元，用于将数据库中的评估值按照奇偶数分为奇数匹配组和偶数匹配组。

本申请实施例提供的一种恶意操作识别装置，还可以包括：

提示模块，用于在对操作进行拦截之后，向用户发出提示。

本申请实施例还提供了一种恶意操作识别设备，参见图3，其示出了本申请实施例提供的一种恶意操作识别设备的结构示意图，可以包括：

存储器31，用于存储计算机程序；

处理器32，用于执行存储器31存储的计算机程序时可实现如下步骤：

接收用户的操作，并确定操作的操作对象；基于预先建立的操作对象与操作值间的对应关系，确定操作对象的操作值，并根据操作对象的操作值计算操作的评估值；将操作的评估值与预先建立的数据库进行匹配，确定与操作的评估值对应的目标评估值及与目标评估值对应的操作行为；基于操作行为判断操作是否为恶意操作，若是，则对操作进行拦截。

本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被处理器执行时可实现如下步骤：

接收用户的操作，并确定操作的操作对象；基于预先建立的操作对象与操作值间的对应关系，确定操作对象的操作值，并根据操作对象的操作值计算操作的评估值；将操作的评估值与预先建立的数据库进行匹配，确定与操作的评估值对应的目标评估值及与目标评估值对应的操作行为；基于操作行为判断操作是否为恶意操作，若是，则对操作进行拦截。

该计算机可读存储介质包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

本申请实施例提供的一种恶意操作识别装置、设备及计算机可读存储介质中相关部分的说明可以参见本申请实施例提供的一种恶意操作识别方法中对应部分的详细说明，在此不再赘述。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。另外，本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明，以免过多赘述。

对所公开的实施例的上述说明，使本领域技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。