[发明专利]用于安全性信息交互的异常检测装置及方法

说明书

技术领域

本发明涉及异常检测装置及方法，更具体地，涉及用于安全性信息交互的异常检测装置及方法。

背景技术

目前，随着网络应用的日益广泛以及不同领域的业务种类的日益丰富，用于安全性信息交互(即对安全性要求较高的信息交互，例如金融交易)的异常检测装置及方法变得越来越重要。

通常，异常的安全性信息交互包括如下两种类型：(1)不满足安全性信息交互系统对安全性信息交互的流程和格式等的规定；(2)满足安全性信息交互系统对正常的安全性信息交互的流程和格式等的规定，但是该安全性信息交互本身具有一定的欺诈特性(例如在金融交易领域中，攻击者利用盗取的合法用户信息进行的交易，或者合法用户进行的恶意透支行为等等)。一般而言，安全性信息交互系统自身具有检测第一种异常的能力，并可以阻止该异常的安全性信息交互过程的执行，而针对第二种异常，由于其流程和提供的认证信息通常都符合安全性信息交互系统的相关规定，因而系统自身难于检测，需要附加的异常检测装置和方法。

用于安全性信息交互的异常检测方法通常基于以下两个假设：(1)异常的安全性信息交互与正常的安全性信息交互存在较大的差异；(2)异常的安全性信息交互在所有安全性信息交互中所占的比例很小。现有的针对第二种异常的检测装置和方法主要采用如下四种检测方式中的一个：(1)基于统计的方法，首先用某个分布(如正态分布、泊松分布等)对数据点进行建模，然后用不一致检验确定异常；(2)基于偏差的方法，通过对一组对象特征进行检查来识别异常数据，与给出的描述偏离的对象被定义为异常；(3)基于距离的方法，其将孤立的(没有足够多邻居的)数据作为异常，比如Knorr算法规定，与点p的距离小于d的点的个数不超过k，则p是相对于d和k的异常；(4)基于密度的方法，其引入了局部异常因子(Local Outlier Factor，LOF)的概念，用以度量一个对象关于其周围邻居的异常程度，从而能够检测出局部异常的数据。

然而，现有的针对第二种异常的检测装置和方法存在如下问题：(1)对第一种检测方式而言，其局限性在于现实中的数据分布往往不符合任何一种已知的理想分布，另外，大多数的测试都是针对单个属性的，对于多维数据中的异常检测效果并不理想；(2)对第二种检测方式而言，其主要使用序列异常技术，即模仿人类的思维模式，从一组连续序列中发现与大多数数据不同的元素，但其误报率和漏报率较高；(3)对第三种检测方式而言，其只能检测出全局的异常数据，不适合具有多种密度的数据集，因此不能很好的检测局部异常；(4)对第四种检测方式而言，其误报率和漏报率也较高。由上可见，现有的针对第二种异常的检测装置和方法由于特征选取不恰当或者检测范围不够全面而导致误报率和漏报率较高，从而影响了安全性信息交互系统的性能和安全性。

因此，存在如下需求：提供具有高的安全性并且具有低的误报率和漏报率的异常检测装置及方法。

发明内容

为了解决上述现有技术方案所存在的问题，本发明提出了具有高的安全性并且具有低的误报率和漏报率的异常检测装置及方法。

本发明的目的是通过以下技术方案实现的：

一种用于安全性信息交互的异常检测装置，所述用于安全性信息交互的异常检测装置包括：

预处理模块，所述预处理模块用于基于数据库中的安全性信息交互记录完成预处理操以构建分类器模型和条件概率表以及用于序列比对的组表；

异常检测模块，所述异常检测模块用于接收并解析来自数据处理服务器的安全性信息交互数据，并基于所述分类器模型和条件概率表以及用于序列比对的组表判断与所述安全性信息交互数据相关联的安全性信息交互的类型，并将判断结果传送回所述数据处理服务器。

在上面所公开的方案中，优选地，所述预处理模块进一步包括：

特征提取单元，所述特征提取单元用于从所述数据库提取正常的安全性信息交互记录和已知的异常的安全性信息交互记录；

分类器模型构造单元，所述分类器模型构造单元用于基于所述提取的正常的安全性信息交互记录和所述已知的异常的安全性信息交互记录确定至少一个信息交互特征向量，并基于所述至少一个信息交互特征向量构建所述分类器模型；

条件概率表计算单元，所述条件概率表计算单元用于为每个用户计算条件概率表；

操作序列提取单元，所述操作序列提取单元用于从所述数据库提取每个用户的正常操作序列和已知的用户的异常操作序列，并按照时间将正常操作序列划分成子序列以及按照类型将异常操作序列划分成子序列；