异常检测方法、装置、电子设备及存储介质与流程

本公开涉及计算机，尤其涉及一种异常检测方法、装置、电子设备及存储介质。

背景技术：

1、许多游戏外挂作者通常会通过杀掉客户端侧的安全进程、禁用安全组件、篡改或伪造安全数据包，试图绕过安全检测方案。为了保护游戏运行环境，现有的心跳保活机制一般是在安全客户端集成心跳模块，通过一定的混淆机制，把心跳数据和其他安全数据糅合在一起，上报到后台。后台分发服务剥离心跳相关数据后，送到心跳检测服务进行心跳检测。客户端心跳模块在拉起时，会发送登录消息给后台心跳检测服务；后台心跳检测服务开始针对这个客户端(通常由唯一的账号确定)进行检测。接着，客户端心跳模块会定时(比如每隔10秒)发送心跳包给后台心跳检测服务，后台收到此心跳包后，即认为客户端在正常工作，直到客户端发送登出包给到心跳检测服务，停止检测。如果后台心跳检测服务在检测时，超过一定时间(比如30s)没有收到心跳包，则认为客户端有异常操作，可以将其踢出游戏。

2、但是，检测时间一般是根据经验值、当前游戏机制和历史网络情况共同确定的。如果偏大，会导致玩家在这段时间内的作弊被漏检测；如果偏小，会导致检测过于敏感，一旦有网络波动会产生大量的误判。可见，现有的心跳保活机制容易受客户端环境、用户网络环境、游戏数据上报机制、流量限制等多种因素干扰，导致检测覆盖率低、准确率低，极易误判。

技术实现思路

1、有鉴于上述存在的技术问题，本公开提出了一种异常检测方法、装置、电子设备及存储介质。

2、根据本公开实施例的一方面，提供一种异常检测方法，包括：

3、在目标待检测对象对应的运行检测心跳出现异常的情况下，获取所述目标待检测对象的当前运行特征信息，和所述目标待检测对象对应的目标应用的当前异常检测条件，所述当前异常检测条件为基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的，所述历史异常参考信息用于表征所述历史异常检测结果的准确程度，所述预设异常检测条件为基于所述目标应用的应用特征信息确定的目标检测维度的异常检测条件；

4、从所述当前运行特征信息中，获取所述目标检测维度对应的目标特征信息；

5、基于所述目标特征信息和所述当前异常检测条件，对所述目标待检测对象进行异常检测，得到所述目标待检测对象的异常检测结果。

6、根据本公开实施例的另一方面，提供一种异常检测装置，包括：

7、第一信息获取模块，用于在目标待检测对象对应的运行检测心跳出现异常的情况下，获取所述目标待检测对象的当前运行特征信息，和所述目标待检测对象对应的目标应用的当前异常检测条件，所述当前异常检测条件为基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的，所述历史异常参考信息用于表征所述历史异常检测结果的准确程度，所述预设异常检测条件为基于所述目标应用的应用特征信息确定的目标检测维度的异常检测条件；

8、目标特征信息获取模块，用于从所述当前运行特征信息中，获取所述目标检测维度对应的目标特征信息；

9、异常检测模块，用于基于所述目标特征信息和所述当前异常检测条件，对所述目标待检测对象进行异常检测，得到所述目标待检测对象的异常检测结果。

10、根据本公开实施例的另一方面，提供一种电子设备，包括：处理器；用于存储所述处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令，以实现上述异常检测方法。

11、根据本公开实施例的另一方面，提供一种计算机可读存储介质，当所述存储介质中的指令由电子设备的处理器执行时，使得所述电子设备能够执行上述异常检测方法。

12、本公开的实施例提供的技术方案至少带来以下有益效果：

13、在目标待检测对象对应的运行检测心跳出现异常的情况下，获取目标待检测对象的当前运行特征信息和目标待检测对象对应的目标应用的当前异常检测条件，当前异常检测条件是基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的，可以实现当前异常检测条件的动态调整，预设异常检测条件为基于目标应用的应用特征信息确定的目标检测维度的异常检测条件，对于不同的应用可以独立生成不同的预设异常检测条件，可以提高异常检测对于不同应用的适应性，再从当前运行特征信息中，获取目标检测维度对应的目标特征信息，基于目标特征信息和当前异常检测条件，对目标待检测对象进行异常检测，得到目标待检测对象的异常检测结果，可以增强异常检测的鲁棒性，使得异常检测过程中由于网络状态的抖动、客户端环境的变化产生的误判量明显减少，进而可以极大的提高异常检测的准确率和覆盖率。

14、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

技术特征：

1.一种异常检测方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

3.根据权利要求2所述的方法，其特征在于，所述目标检测维度包括多个检测维度，所述预设异常检测条件包括任一所述检测维度对应的异常检测条件；所述基于所述历史运行特征信息、所述历史异常检测结果和所述历史异常参考信息，对所述预设异常检测条件进行更新，得到所述当前异常检测条件，包括：

4.根据权利要求3所述的方法，其特征在于，所述根据所述第一检测指标和所述第二检测指标，从所述多个待选异常检测条件中，确定目标检测条件，包括：

5.根据权利要求2所述的方法，其特征在于，所述预设异常检测条件包括采用下列方式获取：

6.根据权利要求1-5任一项所述的方法，其特征在于，所述历史异常参考信息包括多个待检测对象各自对应的对象类型，所述历史异常参考信息包括采用下列方式获取：

7.根据权利要求1-6任一项所述的方法，其特征在于，所述基于所述目标特征信息和所述当前异常检测条件，对所述目标待检测对象进行异常检测，得到所述目标待检测对象的异常检测结果，包括：

8.根据权利要求7所述的方法，其特征在于，所述基于所述目标特征信息和所述当前异常检测条件，对所述目标待检测对象进行异常检测，得到所述目标待检测对象的异常检测结果，包括：

9.根据权利要求8所述的方法，其特征在于，所述在所述累计异常对象数量大于等于第一预设数量阈值的情况下，确定所述异常检测结果为所述第一检测结果之后，所述方法还包括：

10.根据权利要求1所述的方法，其特征在于，所述方法还包括：

11.一种异常检测装置，其特征在于，所述装置包括：

12.一种电子设备，其特征在于，包括：

13.一种非易失性计算机可读存储介质，其上存储有计算机程序指令，其特征在于，所述计算机程序指令被处理器执行时实现权利要求1至10中任意一项所述的异常检测方法。

技术总结
本公开关于一种异常检测方法、装置、电子设备及存储介质，该方法包括：在目标待检测对象对应的运行检测心跳出现异常的情况下，获取目标待检测对象的当前运行特征信息，和目标待检测对象对应的目标应用的当前异常检测条件，当前异常检测条件为基于历史运行特征信息、历史异常检测结果和历史异常参考信息，对预设异常检测条件更新得到的；从当前运行特征信息中，获取当前异常检测条件对应的目标检测维度的目标特征信息；基于目标特征信息和当前异常检测条件，对目标待检测对象进行异常检测，得到目标待检测对象的异常检测结果。利用本公开实施例可以增强异常检测的鲁棒性，提高异常检测的准确率和覆盖率。

技术研发人员：罗丹
受保护的技术使用者：腾讯科技（深圳）有限公司
技术研发日：
技术公布日：2024/1/16