机器行为异常检测方法、装置、设备及介质与流程

本技术涉及网络安全，尤其涉及一种机器行为异常检测方法、装置、设备及介质。

背景技术：

1、从用户和安全角度，有攻击性的机器行为认证尝试，例如撞库、暴力破解行为等，会给用户账号资产带来很大的风险性甚至是巨大的损失。从数据泄露的角度，暴露在公网的数据和在内流通的数据资产，在面临不易察觉的慢速低频等机器行为的方式获取时，会给数据资产安全性带来较大的挑战。从运维操作角度，来自内部人员的长周期多次少量自动获取收集数据行为也是需要关注的风险点。现在各个节点上安全设备的接入，一定程度上减少了高频机器行为触碰。随着攻击者或者实施者技术和思维逻辑的提升，会使用多种方式组合的方式尝试绕过安全设备的检测。

2、目前技术常用的机器行为检测方法有：

3、1）初始访问认证限定。常见的是在登录页面加上验证方式，输出验证码、点击图片文字、移动滑片方式和双重认证方式等。这些方式依然会遇到对应的技术手段破解，而且登录成功之后的机器行为操作类无法检测。

4、2）使用规则阈值限定识别。根据短时间内操作次数超过预先设定阈值上限抛出异常，此方法针对高频机器行为操作访问有一定的效果，但是维度单一，会产生太多的漏报。

5、3）特征提取的机器学习模型识别机器行为。采用有监督模型检测的话，需要大量的训练数据，以专家经验对数据打标工作量巨大，而且机器学习产生的异常检测结果解释性有待商榷。采用无监督模型检测的方式，需要考虑特征选择的准确性、大量数据和算力的支撑，对现实实现环境要求较高，同样面临检测结果不好解释的问题。采用无监督和有监督模型结合的方式，先使用无监督模型方式发现异常，再使用有监督模型提升准确度是不错的选择，但是同样会遇到日志量大、日志精细颗粒度更小和算力不足的问题，例如使用鼠标操作、键盘使用等日志，是很多现场和设备不能提供的。

技术实现思路

1、本技术实施例提供了一种机器行为异常检测方法、装置、设备及介质，旨在解决相关技术中实际落地性差、检测效率低和检测结果解释性差等技术问题。

2、第一方面，本技术实施例提供了一种机器行为异常检测方法，包括：

3、获取预设时间段内的访问操作数据；

4、根据预设多维度识别方式对所述访问操作数据进行检测，以确定所述访问操作数据中是否存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据；

5、当确定所述访问操作数据中存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据时，获取所述目标访问操作数据；

6、对所述目标访问操作数据进行重检测，以再次确定所述目标访问操作数据中的访问操作行为是否属于机器访问行为操作。

7、在一个实施例中，可选的，所述预设多维度识别方式包括以下至少一项：

8、操作访问时间数组间隔错位计算识别方式；

9、移动移步滑窗识别方式；

10、时间段间隔平均划分识别方式；

11、操作时间和操作参数assic值识别方式。

12、在一个实施例中，可选的，所述操作访问时间数组间隔错位计算识别方式的识别过程包括：

13、按照目标客户端，将所述访问操作数据进行分组，并根据操作时间对分组后的访问操作数据进行聚合，得到聚合后的访问操作数据；

14、以数组方式对每个目标客户端对应的聚合后的访问操作数据进行时间间隔差计算，生成时间间隔差数组；

15、根据所述时间间隔差数组确定间隔时间差的波动情况；

16、根据所述间隔时间差的波动情况，在每个目标客户端对应的时间间隔差数组中，搜索并获取时间间隔等频且连续长度超过第一预设长度的最长等频操作访问序列；

17、将所述最长等频操作访问序列对应的访问操作数据确定为属于疑似机器访问行为操作的目标访问操作数据。

18、在一个实施例中，可选的，所述移动移步滑窗识别方式的识别过程包括：

19、按照目标客户端操作时间对所述访问操作数据进行排序，得到排序后的操作访问数据；

20、计算任意两个时间相邻的操作访问序列之间的操作时间差，得出操作时间差序列；

21、根据所述操作时间差和预设尺寸的滑窗计算每个操作时间差的变异系数；

22、根据每个操作时间差的变异系数，在每个目标客户端对应的操作时间差序列中，搜索并获取变异系数小于第一预设系数且连续长度超过第二预设长度的最长操作访问序列；

23、将所述最长操作访问序列对应的访问操作数据确定为属于疑似机器访问行为操作的目标访问操作数据。

24、在一个实施例中，可选的，所述时间段间隔平均划分识别方式的识别过程包括：

25、按照目标客户端操作时间对所述访问操作数据进行排序，得到排序后的操作访问数据；

26、按照预设时间间隔划分方式，对所述排序后的操作访问数据进行数据分组，得到多个时间间隔组；

27、确定所有时间间隔组中包含访问操作行为的第一目标时间间隔组的总数量，以及每个时间间隔组中包含的访问操作行为的次数；

28、根据所述总数量和所述次数，计算每个时间间隔组的操作数量变异系数；

29、在每个目标客户端对应的操作访问数据组中搜索并获取总数量超过预设数量且操作数量变异系数小于第二预设系数的时间间隔组序列；

30、将所述时间间隔组序列对应的访问操作数据确定为属于疑似机器访问行为操作的目标访问操作数据。

31、在一个实施例中，可选的，所述操作时间和操作参数assic值识别方式的识别过程包括：

32、根据所述访问操作数据，计算每个参数字符串的assic码值；

33、按照目标客户端，对每个参数字符串的assic码值进行分组聚合，得到每个目标客户端对应的整体assic码值；

34、根据每个目标客户端对应的整体assic码值，计算每个目标客户端的整体assic码值的变异系数、最大assic码值和时间间隔秒数；

35、根据每个目标客户端的整体assic码值的变异系数、最大assic码值和时间间隔秒数，以及预设和优化限定值，识别并获取属于疑似机器访问行为操作的目标访问操作数据。

36、在一个实施例中，可选的，通过高阶sql语句获取所述预设时间段内的访问操作数据，并根据预设多维度识别方式对所述访问操作数据进行检测。

37、第二方面，本技术实施例提供了一种机器行为异常检测装置，包括：

38、第一获取模块，用于获取预设时间段内的访问操作数据；

39、检测模块，用于根据预设多维度识别方式对所述访问操作数据进行检测，以确定所述访问操作数据中是否存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据；

40、第二获取模块，用于当确定所述访问操作数据中存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据时，获取所述目标访问操作数据；

41、重检测模块，用于对所述目标访问操作数据进行重检测，以再次确定所述目标访问操作数据中的访问操作行为是否属于机器访问行为操作。

42、在一个实施例中，可选的，所述检测模块包括以下至少一个单元：

43、第一识别单元，用于通过操作访问时间数组间隔错位计算识别方式对所述访问操作数据进行检测；

44、第二识别单元，用于通过移动移步滑窗识别方式对所述访问操作数据进行检测；

45、第三识别单元，用于通过时间段间隔平均划分识别方式对所述访问操作数据进行检测；

46、第四识别单元，用于通过操作时间和操作参数assic值识别方式对所述访问操作数据进行检测。

47、在一个实施例中，所述第一识别单元用于：

48、按照目标客户端，将所述访问操作数据进行分组，并根据操作时间对分组后的访问操作数据进行聚合，得到聚合后的访问操作数据；

49、以数组方式对每个目标客户端对应的聚合后的访问操作数据进行时间间隔差计算，生成时间间隔差数组；

50、根据所述时间间隔差数组确定间隔时间差的波动情况；

51、根据所述间隔时间差的波动情况，在每个目标客户端对应的时间间隔差数组中，搜索并获取时间间隔等频且连续长度超过第一预设长度的最长等频操作访问序列；

52、将所述最长等频操作访问序列对应的访问操作数据确定为属于疑似机器访问行为操作的目标访问操作数据。

53、在一个实施例中，可选的，所述第二识别单元用于：

54、按照目标客户端操作时间对所述访问操作数据进行排序，得到排序后的操作访问数据；

55、计算任意两个时间相邻的操作访问序列之间的操作时间差，得出操作时间差序列；

56、根据所述操作时间差和预设尺寸的滑窗计算每个操作时间差的变异系数；

57、根据每个操作时间差的变异系数，在每个目标客户端对应的操作时间差序列中，搜索并获取变异系数小于第一预设系数且连续长度超过第二预设长度的最长操作访问序列；

58、将所述最长操作访问序列对应的访问操作数据确定为属于疑似机器访问行为操作的目标访问操作数据。

59、在一个实施例中，可选的，所述第三识别单元用于：

60、按照目标客户端操作时间对所述访问操作数据进行排序，得到排序后的操作访问数据；

61、按照预设时间间隔划分方式，对所述排序后的操作访问数据进行数据分组，得到多个时间间隔组；

62、确定所有时间间隔组中包含访问操作行为的第一目标时间间隔组的总数量，以及每个时间间隔组中包含的访问操作行为的次数；

63、根据所述总数量和所述次数，计算每个时间间隔组的操作数量变异系数；

64、在每个目标客户端对应的操作访问数据组中搜索并获取总数量超过预设数量且操作数量变异系数小于第二预设系数的时间间隔组序列；

65、将所述时间间隔组序列对应的访问操作数据确定为属于疑似机器访问行为操作的目标访问操作数据。

66、在一个实施例中，可选的，所述第四识别单元用于：

67、根据所述访问操作数据，计算每个参数字符串的assic码值；

68、按照目标客户端，对每个参数字符串的assic码值进行分组聚合，得到每个目标客户端对应的整体assic码值；

69、根据每个目标客户端对应的整体assic码值，计算每个目标客户端的整体assic码值的变异系数、最大assic码值和时间间隔秒数；

70、根据每个目标客户端的整体assic码值的变异系数、最大assic码值和时间间隔秒数，以及预设和优化限定值，识别并获取属于疑似机器访问行为操作的目标访问操作数据。

71、在一个实施例中，可选的，通过高阶sql语句获取所述预设时间段内的访问操作数据，并根据预设多维度识别方式对所述访问操作数据进行检测。

72、第三方面，提供了一种计算机设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述机器行为异常检测方法的步骤。

73、第四方面，提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述机器行为异常检测方法的步骤。

74、以上机器行为异常检测方法、装置、设备及介质所实现的方案中，获取预设时间段内的访问操作数据；根据预设多维度识别方式对所述访问操作数据进行检测，以确定所述访问操作数据中是否存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据；当确定所述访问操作数据中存在访问操作行为属于疑似机器访问行为操作的目标访问操作数据时，获取所述目标访问操作数据；对所述目标访问操作数据进行重检测，以再次确定所述目标访问操作数据中的访问操作行为是否属于机器访问行为操作。在本发明中，可以通过预设的多维度识别方式对访问操作数据进行检测，以准确识别访问操作行为是否属于疑似机器访问行为操作，从而极大的提高检测效率和准确性。