异常操作行为检测方法、装置、电子设备及存储介质与流程

1.本发明涉及数据安全技术领域，尤其涉及一种异常操作行为检测方法、装置、电子设备及存储介质。


背景技术：

2.针对数据库操作行为进行分析认定，建立异常行为预判管控机制可以有效降低数据泄露、数据篡改等安全风险。
3.现有的整体技术实现过程具体如下：
4.1、建立操作行为敏感策略库，由管理员配置如下信息：敏感表、敏感操作类型。
5.a)敏感操作类型包括select、delete、update、insert等。
6.b)敏感表一般包括了个人信息、个人账单、个人通信记录等。
7.2、建立数据库访问代理机制，所有针对数据库资源的访问行为均强制通过代理。
8.3、代理侧完成动作拦截、语句解析、策略匹配、异常判断、放行阻断整个管理流程。
9.其中，关键步骤为解析操作源发起操作时向服务端提交的操作结构化查询语言(structured query language,sql)语句，提取当前操作语句中的操作动作以及操作对象，用以与预先设置的操作内容黑白名单策略进行匹配，定义当前操作是否敏感。
10.但是，现有技术的方案中所有的判断依据均为人工预置策略，识别敏感操作的完整性依赖于策略对于敏感对象覆盖的全面性，由于客户侧业务不断扩展，接入数据无论是种类还是规模都在不断增加，同时数据加工、数据共享场景层出不穷，部分场景下产生的临时产生或者新增的敏感对象还不能及时被发现，这就导致敏感对象在被纳入管理范围之前暴露在管理范围之外，无法识别，导致数据库异常行为检测的可靠性较低。


技术实现要素：

11.本发明提供一种异常操作行为检测方法、装置、电子设备及存储介质，用以解决现有技术中数据库异常行为检测的可靠性较低的缺陷，提高了数据库异常行为检测的可靠性。
12.本发明提供一种异常操作行为检测方法，包括：
13.提取待检测操作行为对应的操作数据的特征信息；
14.基于所述特征信息生成当前行为模式；
15.比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常。
16.根据本发明提供的一种异常操作行为检测方法，所述特征信息包括：操作人、操作源ip地址、操作目标ip地址、操作时间和对象操作。
17.根据本发明提供的一种异常操作行为检测方法，所述比较所述当前行为模式和历史行为模式之前，还包括：
18.获取原始操作记录数据；
19.基于所述原始操作记录数据确定关联规则和序列模式；
20.根据所述关联规则和序列模式确定历史行为模式。
21.根据本发明提供的一种异常操作行为检测方法，所述比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常，包括：
22.采用递归式相关函数法确定所述当前行为模式和历史行为模式的相似度；
23.若相似度大于等于预设阈值，则确定所述待检测操作行为正常，否则，确定所述待检测操作行为异常。
24.根据本发明提供的一种异常操作行为检测方法，所述基于所述原始操作记录数据确定关联规则和序列模式，包括：
25.采用apriori算法从所述原始操作记录数据中挖掘出所述关联规则；
26.采用滑动窗口分割算法从所述原始操作记录数据中挖掘出所述序列模式。
27.根据本发明提供的一种异常操作行为检测方法，所述原始操作记录数据包括：操作人、操作时间、操作源ip地址、操作目标ip地址、操作动作、操作对象和操作结果。
28.根据本发明提供的一种异常操作行为检测方法，所述操作时间包括：上线日、出账日、平常日、非工作时间段和工作时间段。
29.本发明还提供一种异常操作行为检测装置，包括：
30.提取模块，用于提取待检测操作行为对应的操作数据的特征信息；
31.生成模块，用于基于所述特征信息生成当前行为模式；
32.确定模块，用于比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常。
33.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述异常操作行为检测方法的步骤。
34.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述异常操作行为检测方法的步骤。
35.本发明提供的异常操作行为检测方法、装置、电子设备及存储介质，通过分析原始操作记录，建立不同的历史行为模式，通过将当前行为模式与已确定的各种历史行为模式进行比对，识别出异常操作行为，提高了异常操作行为检测的可靠性。
附图说明
36.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
37.图1是本发明提供的异常操作行为检测方法的流程示意图；
38.图2是本发明提供的异常操作行为检测原理示意图；
39.图3是本发明提供的异常操作行为检测装置的结构示意图；
40.图4是本发明提供的电子设备的结构示意图。
具体实施方式
41.针对数据库操作行为进行分析认定，建立异常行为预判管控机制可以有效降低数据泄露、数据篡改等安全风险。
42.现有的整体技术实现过程具体如下：
43.1、建立操作行为敏感策略库，由管理员配置如下信息：敏感表、敏感操作类型。
44.a)敏感操作类型包括select、delete、update、insert等。
45.b)敏感表一般包括了个人信息、个人账单、个人通信记录等。
46.2、建立数据库访问代理机制，所有针对数据库资源的访问行为均强制通过代理。
47.3、代理侧完成动作拦截、语句解析、策略匹配、异常判断、放行阻断整个管理流程。
48.其中，关键步骤为解析操作源发起操作时向服务端提交的操作结构化查询语言(structured query language，sql)语句，提取当前操作语句中的操作动作以及操作对象，用以与预先设置的操作内容黑白名单策略进行匹配，定义当前操作是否敏感。
49.例如，一条在某运营商客户关系管理系统(customer relationship management,crm)后台数据库中查询客户订购关系的sql语句如下：
50.select c.serv_num，b.offering_name，a.p_offering_inst_id,a.offering_inst_id，a.eff_date，a.exp_date from inf_offering_inst a,pm_offering b,v_inf_subscriber c where a.offer_cde＝b.offer_cde and a.subs_id＝c.subs_id and c.serv_num＝(
′
14412345678
′
)
51.通过专业sql语句解析，可以判定如下内容：
52.当前语句的操作动作为select。涉及到的操作对象包括了三张表(inf_offering_inst，pm_offering，v_inf_subscriber)。
53.根据现场黑白名单设定规则，针对v_inf_subscriber以及inf_offering_inst是不允许进行select操作的，因此该操作会被阻断，或者由相关管理员进行二次授权，授权通过后才能继续操作。
54.现有技术解决方案通过识别操作对象及操作动作的敏感和风险度，做出是否进行拦截干预的管理判断。可以解决核心敏感数据被泄露、被篡改、被破坏的风险。但是，存在以下缺点及影响：
55.1、所有的判断依据均为人工预置策略。识别敏感操作的完整性依赖于策略对于敏感对象覆盖的全面性。当前，由于客户侧业务不断扩展，接入数据无论是种类还是规模都在不断增加，同时数据加工、数据共享场景层出不穷，部分场景下产生的临时产生或者新增的敏感对象还不能及时被发现，这就导致敏感对象在被纳入管理范围之前暴露在管理范围之外，无法识别。
56.2、通过其他技术手段解决了识别完整性的问题。但是现场应用场景复杂，人员分工各异。识别敏感操作不能直接等同于异常行为识别。例如：
57.a)周期性出账场景，需要大量的对于账务相关敏感表进行大量的查询、变更操作。
58.b)前端业务协查场景，需要针对指定手机号进行业务办理、订购服务、花费账单等敏感表进行查询，完成数据核实比对。
59.业务上线场景，需要针对业务订购表等进行插入操作。
60.3、当前针对业务场景的问题，解决方案也做了扩展，一方面，判断维度增加了用户
客户端，用户访问途径，用户访问时间等。在判定是否异常时，可以区别非常用终端、非内网环境、非工作时间段等。另一方面，引入二次协同确认模式。针对部分场景，不直接阻断，而是由另外一名人员进行相关操作场景的二次确认授权。前者的局限在于无法将个体差异影响投射在判定结果上。后者虽然通过人工介入去解决个体差异问题，但一方面这种人工判定的标准无法统一，另一方面业务流程的顺畅度被影响。例如故障定位、版本上线场景，必须有专人随时待命，否则业务流程就会停滞，关键操作无法继续。
61.综上所属，要想更有效的实现操作行为异常识别，在提升异常行为安全管理有效性的同时降低对于业务的干扰，必须引入其他技术手段，以达到如下目标：
62.1、需要能够综合考虑数据库操作场景下的各种可能影响到异常判定的属性，并能够充分考虑各属性为维度之间的相关性。例如时间、源ip、目标ip、人员类型、操作动作、操作目标。
63.2、要能够充分考虑并适配数据库场景下场景的变动可扩展性。例如，人员调动、新资产出现、新数据库操作语法出现，新版本上线带来的新业务对象增加。
64.3、减少人工干预，无需手工配置过多的预置规则。能够根据实际场景，不断的自动发现新的规则，并对于已有规则不断进行调整。
65.本技术实施例针对数据库访问行为进行数据挖掘分析，找寻用户操作过程中所体现出的某种规律性，建立用户数据访问的正常使用模式(normal usage profiles)，利用该模式对当前用户的行为进行比较和判断，识别未知的行为方式或场景，达到行为异常检测(anomaly detection)的目的。
66.本技术实施例涉及的名词解释如下：
67.异常检测(anomaly detection)：通过对于正常行为模式及未知行为模式进行比对，发现两者差异，识别异常行为模式。其关键技术实现在于正常行为模式的建立以及如何利用该模式对当前行为模式进行比较和判断。
68.数据挖掘(data mining)：针对特定应用场景，进行数据分析的完整过程，目的是为了从包含大量冗余信息的数据中提取隐藏的有效情报，从而作为正确判断的依据和基础。在本发明中，通过针对原始数据进行智能化处理，用以抽象出有利于进行判断和比较的用户行为描述模型。
69.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
70.下面结合一些附图描述本发明的异常操作行为检测方法、装置、电子设备及存储介质。
71.模式识别是一种通过数学手段研究模式的自动处理和判读的方法，其中模式指针对环境和客体的统称。其中，统计模式识别的核心思想是有相似性的样本在模式空间中互相接近。针对数据库操作场景，通过分析原始操作记录，提炼有效维度，建立特征向量，就可以将不同的操作场景进行分类，建立不同的模式，通过将当前操作与已确定的各种模式进行比对，就可以发现未识别的新模式，这种模式就可以定义为异常操作模式，而相关操作可以定性为异常操作。
72.图1是本发明提供的异常操作行为检测方法的流程示意图，如图1所示，本技术实施例提供一种异常操作行为检测方法，该方法包括：
73.步骤101、提取待检测操作行为对应的操作数据的特征信息；
74.步骤102、基于所述特征信息生成当前行为模式；
75.步骤103、比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常。
76.可选地，所述特征信息包括：操作人、操作源ip地址、操作目标ip地址、操作时间和对象操作。
77.可选地，所述比较所述当前行为模式和历史行为模式之前，还包括：
78.获取原始操作记录数据；
79.基于所述原始操作记录数据确定关联规则和序列模式；
80.根据所述关联规则和序列模式确定历史行为模式。
81.可选地，所述比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常，包括：
82.采用递归式相关函数法确定所述当前行为模式和历史行为模式的相似度；
83.若相似度大于等于预设阈值，则确定所述待检测操作行为正常，否则，确定所述待检测操作行为异常。
84.可选地，所述基于所述原始操作记录数据确定关联规则和序列模式，包括：
85.采用apriori算法从所述原始操作记录数据中挖掘出所述关联规则；
86.采用滑动窗口分割算法从所述原始操作记录数据中挖掘出所述序列模式。
87.可选地，所述原始操作记录数据包括：操作人、操作时间、操作源ip地址、操作目标ip地址、操作动作、操作对象和操作结果。
88.可选地，所述操作时间包括：上线日、出账日、平常日、非工作时间段和工作时间段。
89.具体来说，图2是本发明提供的异常操作行为检测原理示意图，如图2所示，异常操作行为检测的整个过程可以包括三个阶段，数据采集及预处理、模式挖掘以及模式比较。
90.1、数据采集及预处理
91.该阶段的主要目的是为了将收集到的数据库操作原始操作记录进行转化重组，形成一组支持模式挖掘的记录。
92.数据库原始操作记录已有属性包括：操作人、操作时间、操作源ip、操作目标ip、操作动作、操作对象、操作结果等。
93.其中，操作结果指当前语句是否执行成功。执行失败的原因可能是语法错误、操作目标异常等原因。在异常判断场景下，异常与否决定于操作行为是否发生，而不在于操作行为是否生效，因此该属性可以暂时忽略。
94.操作时间属性可以分为两个部分，日期和时间。其中，由于业务要求，客户现场日期可以划分为上线日、出账日、平常日(分别定义为o、b、n)。时间可以划分为非工作时间段和工作时间段(nw、w)。
95.将操作对象和操作动作进行组合，作为一个属性——对象操作，便于场景归并。部分场景下，单条sql语句涉及多张影响表，此时根据操作动作类型进行判断。其中，针对
insert、update、delete等数据变更型操作，对于操作对象只保留被影响记录的主表。针对select等数据查询型操作，对于操作对象保留所有需要提取属性展示的表，按照数量，拆分为多条记录。每条记录，其他属性一致，操作对象为影响表。
96.为便于归并，将所有操作对象全部转为大写。
97.经过预处理后的数据库原始操作记录可以如表1所示。
98.表1经过预处理后的数据库原始操作记录
[0099][0100]
2、模式挖掘
[0101]
本阶段的主要目的是通过对于前置阶段预处理形成的数据进行处理，发现模式规律。本技术实施例主要采用两种方式：关联规则挖掘及序列模式挖掘。
[0102]
关联规则挖掘：简单理解就是找到所有数据出现的规则。例如，a用户经常在平常日的工作时间段(8：00-18：00)通过特定ip地址(192.169.2.133)连接访问业务数据库(10.33.22.33)执行针对用户订购业务表(inf_offering_inst)执行查询(select)操作，就是一条规则。
[0103]
本技术实施例采用的是apriori算法。其核心步骤如下：
[0104]
输入：数据集合d，支持度阈值α。
[0105]
输出：最大的频繁k项集。
[0106]
1)扫描整个数据集，得到所有出现过的数据，作为候选频繁1项集。k＝1，频繁0项集为空集。
[0107]
2)挖掘频繁k项集
[0108]
a)扫描数据计算候选频繁k项集的支持度。
[0109]
b)去除候选频繁k项集中支持度低于阈值的数据集，得到频繁k项集。如果得到的频繁k项集为空，则直接返回频繁k-1项集的集合作为算法结果，算法结束。如果得到的频繁k项集只有一项，则直接返回频繁k项集的集合作为算法结果，算法结束。
[0110]
c)基于频繁k项集，连接生成候选频繁k 1项集。
[0111]
3)令k＝k 1，转入步骤2。
[0112]
序列模式挖掘：通过对包含候选序列的用户进行计数来计算候选序列的支持度，进而发现满足支持度要求的序列。例如，用户a在配合前端进行业务定位时，会首先在客户业务订购表中查询(select)具体某条记录存在后，在通过update变更该表中的记录。
[0113]
本技术实施例中采用了滑动窗口分割算法：
[0114]
假设s是用户a的对象操作集合s＝{s1,s2,
…
,s n}，其中si(i＝1,2,
…
,n)代表用户a执行的一条数据库操作命令。指定滑动窗口的最大长度为max len，最小支持度为minsup。
[0115]
第一步，设定滑动窗口宽度的初始值为len＝1，在s中查找支持度大于minsup的长度为1的序列，此时相当于查找出现概率大于minsup的数据库操作命令。
[0116]
第二步，递增滑动窗口宽度(len＝len 1)，将窗口的左边界重合在s1处，得到从s中获取的长度为len的子序列sub1＝{s1,
…
,slen}，逐步向后滑动窗口，直到窗口的右边界与sn重合。每滑动一步，都得到一个长度为len的子序列。滑动过程完成后，得到从s中获取的n-len 1个长度为len的子序列subi＝{si，
…
，si len-1}(i＝1,2,
…
,n-len 1)，对这n-len 1个子序列进行支持度计算，得到满足minsup要求的长度为len的序列。
[0117]
第三步，重复第二步，直到len＝maxlen。挖掘出的用户行为模式存放于数据库中，数据库各字的名称、类型及含义如表2所示。
[0118]
表2数据库各字的名称、类型及含义
[0119][0120][0121]
3、模式比对
[0122]
获取用户的数据库操作历史行为模式和当前行为模式之后，通过模式比较工作，以识别当前行为是否呈现异常。行为模式包括关联规则和序列模式，两者在形式上都表现为某种序列。其中，关联规则的序列由同一操作记录的不同字段值组成，序列模式的序列由不同操作记录的字段值组成。因此，模式比较工作就转变为针对序列的比较。通过引入相似度(similarity)的概念用以表征不同行为模式之间的吻合程度。相似度的取值范围为[0,1]，值越大，参与比较的序列吻合程度越大，相似度为1时两者完全吻合，相似度为0则两者完全不吻合。
[0123]
比较过程具体如下：
[0124]
假设x和y代表要进行比较的两个序列，x(i)表示x序列的第i个单元(0≤i≤length(x)-1)，y(i k)表示y序列的第i k个单元(0≤i k≤length(y)-1)，定义函数equ(i，k)为x(i)和y(i k)的比较结果。
[0125]
由于实际现场数据库操作场景下，人员操作不同于程序，不可能完全根据某一序列，同时可能业务的差异，临时增加操作步骤，此时如果算法步进行专门处理，容易导致计
算出的相似度降低，影响异常判断结果。例如：
[0126]
历史模式下，a用户的操作序列可能是：
[0127]
查询a表数据；
[0128]
查询b表数据；
[0129]
更新c表数据；
[0130]
删除d表数据。
[0131]
而当前场景下，操作序列如下：
[0132]
查询a表数据；
[0133]
查询b表数据；
[0134]
查询e表数据；
[0135]
更新c表数据；
[0136]
删除d表数据。
[0137]
人工观察，两个序列场景肯定存在强关联性，但如果直接计算两个序列中的最大重合度子序列，那么只会找到(查询a表数据、查询b表数据)，相似度为2/5＝0.4。因此，本技术实施例中，采用递归式相关函数法。
[0138]
假设s1和s2为两个待比较的序列，maxsub为s1和s2中具有最大重合度的子序列，定义距离差(location_difference)的表达式如下：
[0139]
loc_diff＝factot*|bl-b2|
[0140]
其中b1和b2分别代表maxsub在s1和s2中的起始位置，factor则是表示影响程度的差值因子，由用户指定，取值范围为[0,1]间的实数。默认差值因子取值为0.5。
[0141]
算法描述如下：
[0142]
1)计算s1和s2的最大长度max length；
[0143]
2)调用calc_corre函数计算s1和s2的相关值(correlation)，并得到重合度最大的子序列(maxsub)分别在s1和s2中所处的位置；
[0144]
3)result值加上correlation；
[0145]
4)计算最大重合子序列(maxsub)在s1和s2中的距离差(location-difference)，令result减去该距离差；
[0146]
5)清除s1中的最大重合子序列(maxsub)，得到新的s1；
[0147]
6)清除s2中的最大重合子序列(maxsub)，得到新的s2；
[0148]
7)如果correlation不为0，并且s1和s2都不为空，则回到2)，计算新的s1和s2的相关函数，否则转向8)；
[0149]
8)result除以原始序列的最大长度max length；
[0150]
9)返回result值。
[0151]
选取部分现场用户的数据库操作记录按照前述的方法进行分析，部分提取的用户数据库操作命令关联规则如表3所示。
[0152]
表3部分提取的用户数据库操作命令关联规则
[0153][0154]
部分提取用户数据库操作命令序列规则如表4所示。
[0155]
表4部分提取用户数据库操作命令序列规则
[0156][0157][0158]
从前表所给出的历史行为模式(history)可以看出，现场人员基本登录源ip固定、涉及业务固定，针对特定业务场景的处理也可以区分日期分布和时间分布。
[0159]
对于现场人员，采用相同的方法进行关联规则和序列模式的挖掘，是可以得到各个用户的历史行为模式(history)，针对特定用户模拟异常数据库操作会话过程，生成当前模式，与历史模式进行比较(差值因子取值为0.5)。比较结果如表5所示。
[0160]
表5历史模式与当前模式对比表
[0161][0162]
当用户行为异常时，异常行为模式与正常行为模式相似度体现巨大差异。说明利用数据挖掘技术对用户命令进行关联规则及序列模式的发掘，可以有效地发现用户行为模式，而采用递归式相关函数序列匹配算法，计算用户的历史模式和当前模式的相似度，则为准确判断用户行为提供了可能。
[0163]
与其他的操作个人信息数据的异常行为判断方法相比，本技术实施例的优点在于：
[0164]
1、引入数据挖掘技术，结合关联规则及序列模式进行模式挖掘，基于用户行为模式发现用户行为异常。
[0165]
2、通过序列模式发现，基于用户前后行为关联关系发现异常。
[0166]
3、使用递归式相关函数序列匹配算法进行序列模式匹配，增强模式匹配过程的数据抗干扰性。
[0167]
图3是本发明提供的异常操作行为检测装置的结构示意图，如图3所示，本技术实施例提供一种异常操作行为检测装置，具体包括提取模块301、生成模块302和确定模块303，其中：
[0168]
提取模块301用于提取待检测操作行为对应的操作数据的特征信息；生成模块302用于基于所述特征信息生成当前行为模式；确定模块303用于比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常。
[0169]
本技术实施例提供的异常操作行为检测装置，可以用于执行上述相应实施例中所述的方法，通过本实施例提供的装置执行上述相应实施例中所述方法的具体步骤与上述相应实施例相同，且能够达到相同的技术效果，在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
[0170]
图4是本发明提供的电子设备的结构示意图，如图4所示，该电子设备可以包括：处理器(processor)410、通信接口(communications interface)420、存储器(memory)430和通信总线440，其中，处理器410，通信接口420，存储器430通过通信总线440完成相互间的通信。处理器410可以调用存储器430中的逻辑指令，以执行异常操作行为检测方法，该方法包括：提取待检测操作行为对应的操作数据的特征信息；
[0171]
基于所述特征信息生成当前行为模式；
[0172]
比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常。
[0173]
此外，上述的存储器430中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0174]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法所提供的异常操作行为检测方法，该方法包括：提取待检测操作行为对应的操作数据的特征信息；
[0175]
基于所述特征信息生成当前行为模式；
[0176]
比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常。
[0177]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各提供的异常操作行为检测方法，该方法包括：提取待检测操作行为对应的操作数据的特征信息；
[0178]
基于所述特征信息生成当前行为模式；
[0179]
比较所述当前行为模式和历史行为模式，并根据比较结果确定待检测操作行为是否出现异常。
[0180]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0181]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施
例或者实施例的某些部分所述的方法。
[0182]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。