用户操作异常检测方法及装置与流程

1.本发明涉及网络安全技术领域，特别涉及信息安全技术领域，尤其涉及一种用户操作异常检测方法及装置。


背景技术：

2.目前网络攻击的形式多样，涉及漏洞利用、病毒传播及钓鱼邮件等多种方式，用户登录作为信息系统的登录入口，是各种攻击获取合法访问凭证的第一道关卡，存在暴力破解、权限提升、绕过验证和非法启用等安全性问题。为从用户角度，实现对攻击行为的监控，一些小型机构会通过检测模型，进行日志分析报警，但是这类模型，应用到大型机构，会存在检测准确度低和效率低等问题。


技术实现要素：

3.本发明的一个目的在于提供一种用户操作异常检测方法，提高用户操作检测准确度和检测效率。本发明的另一个目的在于提供一种用户操作异常检测装置。本发明的再一个目的在于提供一种计算机设备。本发明的还一个目的在于提供一种可读介质。
4.为了达到以上目的，本发明一方面公开了一种用户操作异常检测方法，包括：
5.对获取的用户操作的系统日志文件进行解析得到待检测日志；
6.根据用户信息和所述待检测日志确定至少一个检测模型；
7.根据所述至少一个检测模型对所述待检测日志进行检测得到异常检测结果。
8.优选的，所述对获取的用户操作的系统日志文件进行解析得到待检测日志具体包括：
9.对获取的用户操作的系统日志文件基于预设解析规则进行日志提取得到不同日志类型的待检测日志。
10.优选的，所述根据用户信息和所述待检测日志确定至少一个检测模型具体包括：
11.根据用户信息和预设用户信息库确定用户的风险标记；
12.根据所述风险标记和所述待检测日志从预设检测规则库中确定至少一个待检测异常行为特征；
13.确定所述至少一个待检测异常行为特征分别对应的检测模型。
14.优选的，进一步包括在对获取的用户操作的系统日志文件进行解析得到待检测日志，之前：
15.根据用户信息对用户设置对应的风险标记；
16.将用户信息及对应的风险标记存储至预设信息库中。
17.优选的于，所述根据用户信息对用户设置对应的风险标记具体包括：
18.从目标服务器获取用户的权限信息；
19.根据用户的权限信息及目标服务器信息确定用户对应的风险标记。
20.优选的，进一步包括在对获取的用户操作的系统日志文件进行解析得到待检测日
志，之前：
21.确定多个异常行为特征；
22.确定用户不同风险标记对应的异常行为特征；
23.根据不同风险标记及对应的异常行为特征和待检测日志类型得到不同风险标记的检测规则，形成预设检测规则库。
24.优选的，进一步包括预先建立所述检测模型的步骤：
25.确定不同异常行为特征对应的日志关键字，确定检测所述日志关键字的第一检测模型；
26.确定不同异常行为特征对应的图算法，确定检测所述图算法的第二检测模型。
27.优选的，进一步包括：
28.若所述异常检测结果为存在异常，封禁所述用户操作的用户终端ip并设置所述用户信息为不可用状态。
29.优选的，进一步包括：
30.若所述异常检测结果为存在异常，根据用户信息确定是否需要自动恢复；
31.若是，将所述用户操作对应的对象数据恢复至初始状态。
32.优选的，进一步包括：
33.若所述异常检测结果为存在异常，获取权限审批信息，根据所述权限审批信息确定所述用户操作是否已审批通过，若否，则所述用户操作存在异常；
34.若是，向运维人员反馈异常行为信息以使运维人员确认所述异常行为信息是否为攻击，若是，则所述用户操作存在异常，若否，接收运维人员反馈的非攻击确认信息，更新所述检测模型。
35.本发明还公开了一种用户操作异常检测装置，包括：
36.日志文件解析模块11对获取的用户操作的系统日志文件进行解析得到待检测日志；
37.检测规则确定模块12根据用户信息和所述待检测日志确定至少一个检测模型；
38.日志异常检测模块13根据所述至少一个检测模型对所述待检测日志进行检测得到异常检测结果。
39.本发明还公开了一种计算机设备，包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，
40.所述处理器执行所述程序时实现如上所述方法。
41.本发明还公开了一种计算机可读介质，其上存储有计算机程序，
42.该程序被处理器执行时实现如上所述方法。
43.本发明的用户操作异常检测方法对获取的用户操作的系统日志文件进行解析得到待检测日志，根据用户信息和所述待检测日志确定至少一个检测模型，根据所述至少一个检测模型对所述待检测日志进行检测得到异常检测结果。从而，本发明对用户操作形成的系统日志文件进行解析得到待检测日志，可以去除大量的垃圾日志，然后根据用户信息中用户的特点和待检测日志的日志类型确定对应的检测模型，对待检测日志进行检测得到异常检测结果。因此，本发明对日志文件进行解析处理，然后根据用户信息和待检测日志确定对应的检测模型，能够有针对的对不同待检测日志和不同用户信息通过不同的检测规
则，选择合适的检测模型进行检测，提高用户操作检测准确度和检测效率。
附图说明
44.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
45.图1示出现有技术中用户操作异常检测的示意图；
46.图2示出本发明用户操作异常检测方法具体实施例的流程图；
47.图3示出本发明用户操作异常检测方法具体实施例s100的流程图；
48.图4示出本发明用户操作异常检测方法具体实施例s200的流程图；
49.图5示出本发明用户操作异常检测方法具体实施例s000的流程图；
50.图6示出本发明用户操作异常检测方法具体实施例s010的流程图；
51.图7示出本发明用户操作异常检测方法具体实施例s030的流程图；
52.图8示出本发明用户操作异常检测方法具体实施例s040的流程图；
53.图9示出本发明用户操作异常检测方法具体实施例包括s400的流程图；
54.图10示出本发明用户操作异常检测方法具体实施例s500的流程图；
55.图11示出本发明用户操作异常检测方法具体实施例s600的流程图；
56.图12示出本发明用户操作异常检测装置具体实施例的结构图；
57.图13示出本发明用户操作异常检测装置具体实施例包括信息预设模块的结构图；
58.图14示出适于用来实现本发明实施例的计算机设备的结构示意图。
具体实施方式
59.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
60.需要说明的是，本技术公开的一种用户操作异常检测方法及装置可用于信息安全技术领域，也可用于除信息安全技术领域之外的任意领域，本技术公开的一种用户操作异常检测方法及装置的应用领域不做限定。
61.现有技术中，针对手段多样的网络攻击，通常从用户角度，实现对攻击行为的监控，一些小型机构会通过自主研发模型，进行日志分析报警。例如，如图1所示，一般小型机构的用户攻击监控，主要通过对服务器原始日志数据进行分析，基于静态规则编写sql语句，构建监控模型，实现一些比较直观的异常行为报警，通过邮件、集中监控系统送出，人工进行报警跟进、确认以及处置。该监控模型框架简单，输入数据的处理、规则的逻辑构建、监控的对象都比较粗糙，而且没有一个完整、合理的评价和处置体系，缺少全面的监控对象和类型、客观的风险评估过程、高效的处理过程和方法、报警的客观定级、以及报警的自动化处置。
62.因此，现有的检测模型应用到大型机构，就会存在以下6方面的问题：1、监控范围、
类别不全面：大规模系统内用户数量大，没有形成完整的用户信息库、以及异常访问行为特征库，监控维度单一，容易遗漏一些没有明显攻击特征的非法操作行为。比如仅监控uid为0的特权用户，容易遗漏对可提权类的普通用户的关注；再如仅监控特定时间内的暴力破解登录，则不能发现密码喷洒类的入侵方式。2、报警准确性低：基于静态规则进行监控，会有大量误报的告警输出，实际绝对大数是运维人员正常操作或正常的程序互访引起，模型不够精确。3、报警缺乏客观风险级别：生成的报警没有客观定级标准，凭运维人员的经验进行处理，对于影响严重的告警类型可能怠慢处理。4、模型执行效率低：大规模系统内服务器众多，日志量大，资源有限，导致模型运行缓慢。5、业务中断风险高：对于监控到的可用性遭到破坏的用户，比如密码尝试次数过多导致用户被锁定等，手工应急处置效率较低，可能影响业务正常运行。6、系统入侵风险高：对于确认为攻击的行为，需要邮件通知有关部门、相关专业人员登录防护系统执行封禁ip等操作，不能第一时间阻断攻击，可能导致系统被进一步破坏。因此，现有的用户操作异常检测方式存在准确率低和效率低等问题。
63.为了便于理解本技术提供的技术方案，下面先对本技术技术方案的相关内容进行说明。本发明实施例提供的用户操作异常检测方法对用户操作形成的系统日志文件进行解析得到待检测日志，可以去除大量的垃圾日志，然后根据用户信息和待检测日志确定对应的检测模型对待检测日志进行检测得到异常检测结果，有计划、有目标、有标准的进行模型构建，整个监控和处置体系更加准确、高效、实用及专业，适用于大型机构的攻击监控和处置。
64.本发明实施例提供的用户操作异常检测系统包括待检测的可向用户提供服务的生产系统和用户操作异常检测装置。其中，该生产系统可包括多个服务器，用户链接至生产系统进行的相关用户操作会在系统中形成操作日志，进而形成日志文件并存储在系统中。
65.其中，用户操作异常检测装置可对获取的用户操作的系统日志文件进行解析得到待检测日志；根据用户信息和所述待检测日志确定至少一个检测模型；根据所述至少一个检测模型对所述待检测日志进行检测得到异常检测结果。
66.需要说明的是，本发明的用户操作异常检测装置可以单独设置，也可以与生产系统集成在一起，本领域技术人员可根据实际情况设置用户操作异常检测装置和生产系统，本发明对此并不作限定。
67.下面以用户操作异常检测装置作为执行主体为例，说明本发明实施例提供的用户操作异常检测方法的实现过程。可理解的是，本发明实施例提供的用户操作异常检测方法的执行主体包括但不限于该用户操作异常检测装置。
68.根据本发明的一个方面，本实施例公开了一种用户操作异常检测方法。如图2所示，本实施例中，所述方法包括：
69.s100：对获取的用户操作的系统日志文件进行解析得到待检测日志。
70.s200：根据用户信息和所述待检测日志确定至少一个检测模型。
71.s300：根据所述至少一个检测模型对所述待检测日志进行检测得到异常检测结果。
72.本发明的用户操作异常检测方法对获取的用户操作的系统日志文件进行解析得到待检测日志，根据用户信息和所述待检测日志确定至少一个检测模型，根据所述至少一个检测模型对所述待检测日志进行检测得到异常检测结果。从而，本发明对用户操作形成
的系统日志文件进行解析得到待检测日志，可以去除大量的垃圾日志，然后根据用户信息中用户的特点和待检测日志的日志类型确定对应的检测模型，对待检测日志进行检测得到异常检测结果。因此，本发明对日志文件进行解析处理，然后根据用户信息和待检测日志确定对应的检测模型，能够有针对的对不同待检测日志和不同用户信息通过不同的检测规则，选择合适的检测模型进行检测，提高用户操作检测准确度和检测效率。
73.在优选的实施方式中，如图3所示，所述s100对获取的用户操作的系统日志文件进行解析得到待检测日志具体包括：
74.s110：对获取的用户操作的系统日志文件基于预设解析规则进行日志提取得到不同日志类型的待检测日志。
75.具体的，用户通过链接至生产系统对系统进行相应的用户操作后，生产系统的服务器可通过日志文件记录用户操作的过程。从而，可从生产系统的各服务器中获取用户操作的系统日志文件，然后对日志文件进行解析得到不同类型的日志文件作为待检测日志文件。优选的，可预设不同日志类型对应的属性信息，通过解析日志文件中的属性信息可得到不同日志类型的日志文件。
76.例如，在一个具体例子中，日志类型可包括登录日志、用户权限变更日志和操作日志等日志类型，不同日志类型的属性信息可包括不同日志类型的字符、关键命令和格式等信息。可将获取的日志文件通过属性信息匹配可对日志进行区分，从而筛掉大量垃圾日志。进一步的，可将不同类型的日志分别发送至对应的数据池暂存。
77.优选的，为了保证数据完整性以及可在错误操作后及时恢复日志文件，可将日志文件备份后再进行解析得到待检测日志。
78.在优选的实施方式中，如图4所示，所述s200根据用户信息和所述待检测日志确定至少一个检测模型具体包括：
79.s210：根据用户信息和预设用户信息库确定用户的风险标记。
80.s220：根据所述风险标记和所述待检测日志从预设检测规则库中确定至少一个待检测异常行为特征。
81.s230：确定所述至少一个待检测异常行为特征分别对应的检测模型。
82.具体的，在该优选的实施方式中，为了对不同的用户设置不同的异常检测方式，可根据执行用户操作的用户信息确定用户的风险标记，可预先针对不同风险标记的用户设置相应的至少一个异常行为特征。从而，不同风险标记的用户可进行不同的异常检测，针对风险标记中风险高的用户，设置的待检测异常行为特征可多于风险标记中风险低的用户，实现对风险高的用户的严格异常检测，提高用户操作异常检测的灵活性。
83.在优选的实施方式中，如图5所示，进一步包括在对获取的用户操作的系统日志文件进行解析得到待检测日志，之前的s000：
84.s010：根据用户信息对用户设置对应的风险标记。
85.s020：将用户信息及对应的风险标记存储至预设信息库中。
86.可选的，可根据用户信息可确定用户的风险高低，从而为用户信息设置风险标记。根据用户信息和对应的风险标记形成用户信息库，通过形成用户信息库的形式可以确保高风险的用户可以进行多重异常检测，而低风险的用户仅作必要的异常检测即可，本发明兼顾了用户操作安全性要求、准确性和效率的要求，提高了用户操作异常检测的灵活性。
87.其中，可根据企业规范要求和日常运维的要求，预先确定多个异常行为特征，这些异常行为特征可能为网络攻击，异常行为特征例如可以是绕开堡垒机登录、不同应用互访、非变更时间段操作、高危操作和异常终端登录等行为。根据不同风险标记的用户需要监控的用户操作确定不同风险标记对应的异常行为特征。
88.在优选的实施方式中，如图6所示，所述s010根据用户信息对用户设置对应的风险标记具体包括：
89.s011：从目标服务器获取用户的权限信息。
90.s012：根据用户的权限信息及目标服务器信息确定用户对应的风险标记。
91.具体的，可预先从生产系统的服务器中获取用户的锁定状态、权限、用户使用方式、是否可锁定、所属人员、所属服务器类型以及承载业务等用户的权限信息，根据用户的权限信息可确定用户的风险高低，进而确定用户的风险标记，将用户的用户信息与风险标记关联对应后存储至用户信息库，该用户信息库可以为数据库。
92.在优选的实施方式中，如图7所示，所述方法进一步包括在对获取的用户操作的系统日志文件进行解析得到待检测日志，之前的s030：
93.s031：确定多个异常行为特征。
94.s032：确定用户不同风险标记对应的异常行为特征。
95.s033：根据不同风险标记及对应的异常行为特征和待检测日志类型得到不同风险标记的检测规则，形成预设检测规则库。
96.具体的，对于不同的风险标记，可确定对应的至少一个异常行为特征，将上文中需要关注的用户的风险标记与具体的异常行为特征进行组合，就能形成多种检测规则，构成全面的监控内容，所有检测规则可形成预设检测规则库。
97.在优选的实施方式中，如图8所示，所述方法进一步包括预先建立所述检测模型的步骤s040：
98.s041：确定不同异常行为特征对应的日志关键字，确定检测所述日志关键字的第一检测模型。
99.s042：确定不同异常行为特征对应的图算法，确定检测所述图算法的第二检测模型。
100.可以理解的是，对于不同异常行为特征的检测，可通过静态规则和动态规则对应的检测模型对待检测日志进行异常检测，从而保证异常检测的准确性。具体的，对于静态规则，可通过设置日志关键字，通过形成第一检测模型在日志文件中匹配上日志关键字进行异常检测，设置后一般不作改动；对于动态规则，根据一段时间内已发生的用户操作行为、频繁的互访行为，比如用户的常用命令、经常登录的终端、正常业务需要访问的应用，利用图算法建立日常行为基线，再使用机器学习聚类算法形成第二检测模型，识别异常行为，通过学习情况不断优化、动态调整。
101.检测模型主要包括根据静态、动态规则分别形成第一检测模型和第二检测模型，比如创建非法提权、非法源地址登录等模型，在检测结果异常时，可通过邮件或集中监控平台输出报警信息给运维人员。报警信息的输出需要结合用户信息库和异常行为特征，根据用户的风险程度、行为的敏感程度等要素进行定级。
102.在一个具体例子中，非法提权模型采用静态规则，即普通用户被授予特级权限。从
异常行为特征库中选择高危操作命令“usermod用户名-g特权用户组”的异常行为特征对应的第一检测模型，通过第一检测模型将待检测日志和命令进行比对，若匹配上，则输出报警信息。
103.在另一个具体例子中，非法源地址登录采用动态规则，即用户从非日常登录的终端登录。对用户1个月内的登录情况进行采集，创建“访问源-用户-目的服务器”图谱，形成合法访问的基线，通过第二检测模型对待检测日志进行检测，若某天该用户从一个新网段登录至某目的服务器，则输出报警。
104.在优选的实施方式中，如图9所示，所述方法进一步包括：
105.s400：若所述异常检测结果为存在异常，封禁所述用户操作的用户终端ip并设置所述用户信息为不可用状态。
106.具体的，在该优选的实施方式中，当异常检测结果存在异常时，为了及时制止攻击行为，可采用自动化处理以及时制止网络攻击。其中，若异常检测结果存在异常，可能存在网络攻击危险，可执行对用户操作的用户终端的ip地址实施封禁的措施，以阻断外部攻击源，同时可联动堡垒机，锁定用户，使用户不可用，阻断内部横向扩展行为。
107.在优选的实施方式中，如图10所示，所述方法进一步包括s500：
108.s510：若所述异常检测结果为存在异常，根据用户信息确定是否需要自动恢复。
109.s520：若是，将所述用户操作对应的对象数据恢复至初始状态。
110.具体的，对于某些用户信息，重要性较高，不可随意更改。在此情况下，可根据用户信息库，获取用户信息，根据用户信息确认是否需要自动解锁或恢复用户权限，若符合情况，自动恢复用户可用性。比如某用户在信息库中标记为：“不可锁定”、“用户权限uid为0”、“承载核心业务”，那么研判该用户对可用性、权限要求很高，一旦监控到它的状态被改变，需要立即恢复到初始状态。
111.在优选的实施方式中，如图11所示，所述方法进一步包括s600：
112.s610：若所述异常检测结果为存在异常，获取权限审批信息，根据所述权限审批信息确定所述用户操作是否已审批通过，若否，则所述用户操作存在异常。
113.s620：若是，向运维人员反馈异常行为信息以使运维人员确认所述异常行为信息是否为攻击，若是，则所述用户操作存在异常，若否，接收运维人员反馈的非攻击确认信息，更新所述检测模型。
114.具体的，对于检测模型的异常检测结果，可能存在误报的情况，在该优选的实施方式中，可当异常检测结果为存在异常时，获取权限审核信息，即确认该异常的用户操作是否为临时申请并已审批通过，若未审批通过，所述用户操作存在异常，若已审批通过，表示可能为临时申请通过的正常用户操作，进一步需要再向运维人员反馈该异常的用户操作以使运维人员进一步确定用户操作是否存在异常，若运维人员确认为攻击，则异常检测结果准确，用户操作存在异常。若运维人员确认为非攻击，接收运维人员传输的非攻击确认信息，表示检测模型输出的异常检测结果不准确，存在误报的情况。其中，用户确认的攻击或非攻击的异常检测结果可作为训练样本对检测模型进行进一步的训练，以不断更新检测模型，提高检测模型的异常检测准确性。
115.在一个具体例子中，在自动确认是否为攻击的情况下，可联动企业设置的权限审批系统，确认该用户的异常用户操作是否被运维人员审批通过，若未被审批通过但发生了
可疑操作，则判定为攻击；若已由用户申请并且运维人员审批通过，则联动任务系统，自动发送邮件至运维人员，并根据反馈情况，判断是否为攻击。若确认为攻击，可联动安全防护系统，实施封禁所述用户操作的用户终端ip并设置所述用户信息为不可用状态等措施，若确认非攻击：更新动态规则，防止再次误报。
116.综上，相对于现有技术中用户操作异常检测方式存在的问题，本发明相对于现有技术存在以下优点：
117.1、监控覆盖全面：利用大型机构的堡垒机，形成完整的用户信息库，对用户进行标记，重要用户加强监控、次要用户次要关注；基于异常访问行为特征库，形成多种监控规则，覆盖到无明显攻击特征的恶意行为。
118.2、报警准确性高：利用机器学习，制定动态规则，不断调整预测模型，实现准确的用户行为监控。
119.3、报警按客观风险定级：生成的报警按用户的风险程度、应用的重要级别、行为的敏感程度等要素进行定级。
120.4、模型执行效率高：对日志进行分表，化大为小、分区处理，过滤垃圾数据，降低模型运行调用的底层数据量，提升模型效率。
121.5、降低业务中断风险：
122.对于监控到的可用性遭到破坏的用户，自动发起确认流程、自动还原用户状态，第一时间恢复生产、业务。
123.6、降低系统入侵风险：
124.对于确认为攻击的行为，自动联动安全防护系统进行威胁阻断，从网络层面阻断攻击源，或自动锁定用户、回收用户权限，防止攻击者进一步入侵。
125.为了便于理解本技术提供的技术方案，下面先对本技术技术方案的相关内容进行说明。本发明实施例提供的apk应用程序开发方法根据开发人员在用户终端上对与不同组件对应的图形块
126.基于相同原理，本实施例还公开了一种用户操作异常检测装置。其中，如图12所示，所述装置包括日志文件解析模块11、检测规则确定模块12和日志异常检测模块13。
127.其中，日志文件解析模块11用于对获取的用户操作的系统日志文件进行解析得到待检测日志。
128.检测规则确定模块12用于根据用户信息和所述待检测日志确定至少一个检测模型。
129.日志异常检测模块13用于根据所述至少一个检测模型对所述待检测日志进行检测得到异常检测结果。
130.在优选的实施方式中，所述日志文件解析模块11具体用于对获取的用户操作的系统日志文件基于预设解析规则进行日志提取得到不同日志类型的待检测日志。
131.在优选的实施方式中，所述检测规则确定模块12具体用于根据用户信息和预设用户信息库确定用户的风险标记；根据所述风险标记和所述待检测日志从预设检测规则库中确定至少一个待检测异常行为特征；确定所述至少一个待检测异常行为特征分别对应的检测模型。
132.在优选的实施方式中，如图13所示，所述装置进一步包括信息预设模块10。信息预
设模块10用于在对获取的用户操作的系统日志文件进行解析得到待检测日志之前根据用户信息对用户设置对应的风险标记；将用户信息及对应的风险标记存储至预设信息库中。
133.在优选的实施方式中，所述信息预设模块10具体用于从目标服务器获取用户的权限信息；根据用户的权限信息及目标服务器信息确定用户对应的风险标记。
134.在优选的实施方式中，信息预设模块10进一步用于在对获取的用户操作的系统日志文件进行解析得到待检测日志之前确定多个异常行为特征；确定用户不同风险标记对应的异常行为特征；根据不同风险标记及对应的异常行为特征和待检测日志类型得到不同风险标记的检测规则，形成预设检测规则库。
135.在优选的实施方式中，信息预设模块10进一步用于预先建立所述检测模型：确定不同异常行为特征对应的日志关键字，确定检测所述日志关键字的第一检测模型；确定不同异常行为特征对应的图算法，确定检测所述图算法的第二检测模型。
136.在优选的实施方式中，日志异常检测模块13进一步用于若所述异常检测结果为存在异常，封禁所述用户操作的用户终端ip并设置所述用户信息为不可用状态。
137.在优选的实施方式中，日志异常检测模块13进一步用于若所述异常检测结果为存在异常，根据用户信息确定是否需要自动恢复；若是，将所述用户操作对应的对象数据恢复至初始状态。
138.在优选的实施方式中，日志异常检测模块13进一步用于若所述异常检测结果为存在异常，获取权限审批信息，根据所述权限审批信息确定所述用户操作是否已审批通过；若是，向运维人员反馈异常行为信息以使运维人员确认所述异常行为信息是否为攻击，若否，接收运维人员反馈的非攻击确认信息，更新所述检测模型。
139.由于该装置解决问题的原理与以上方法类似，因此本装置的实施可以参见方法的实施，在此不再赘述。
140.上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机设备，具体的，计算机设备例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
141.在一个典型的实例中计算机设备具体包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上所述的由客户端执行的方法，或者，所述处理器执行所述程序时实现如上所述的由服务器执行的方法。
142.下面参考图14，其示出了适于用来实现本技术实施例的计算机设备600的结构示意图。
143.如图14所示，计算机设备600包括中央处理单元(cpu)601，其可以根据存储在只读存储器(rom)602中的程序或者从存储部分608加载到随机访问存储器(ram))603中的程序而执行各种适当的工作和处理。在ram603中，还存储有系统600操作所需的各种程序和数据。cpu601、rom602、以及ram603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。
144.以下部件连接至i/o接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(crt)、液晶反馈器(lcd)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；
以及包括诸如lan卡，调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至i/o接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装如存储部分608。
145.特别地，根据本发明的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包括用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。
146.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
147.为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本技术时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
148.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
149.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
150.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
151.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
152.本领域技术人员应明白，本技术的实施例可提供为方法、系统或计算机程序产品。
因此，本技术可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
153.本技术可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本技术，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
154.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
155.以上所述仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。