[发明专利]异常业务操作行为检测方法、装置、设备及可读存储介质

说明书

本发明提供了一种异常业务操作行为检测方法、装置、设备及可读存储介质，利用正常业务操作和异常业务操作产生的业务操作指令序列在统计特征上的差异，计算被检测账号当前执行的业务操作指令子序列的总转移概率，并与被检测账号的典型业务操作指令序列的总转移概率进行比较，并在符合预设的条件时，确定被检测账号当前执行的业务操作指令子序列为异常业务操作指令序列。本发明利用了正常业务操作和异常业务操作产生的业务操作指令序列在统计特征上的显著差异，提高了异常业务操作行为识别的分辨率和准确率。

技术领域

本发明涉及数据处理技术领域，更具体地说，涉及异常业务操作行为检测方法、装置、设备及可读存储介质。

背景技术

鉴于民航业务的实际需要，在机票销售、航班运营和旅客服务等多个环节上，必须向民航系统从业人员开放乘客出行记录的查询权限，以保证相关岗位上的业务操作顺利执行，但同时也给民航系统从业人员利用职务之便，盗取乘客出行信息，打开方便之门。如何有效保护乘客出行信息，特别是如何防止民航系统从业人员利用职务便利，盗取乘客出行信息，已经成为民航分销与旅客服务领域亟待解决的关键信息安全问题之一。

在无法使用限制、隐藏和加密等信息防护手段的情况下，只能通过审查工作人员的操作记录，识别盗取乘客信息行为。但由于用户业务操作记录的数据量巨大，需要先通过系统自动分析算法尽可能缩少可疑数据的范围，再转交人工进一步判断。

目前，自动分析算法是通过对比历史操作数据和当前操作数据的统计差异，识别异常业务操作行为。具体的是基于数量的多维度统计和比较，例如统计同一账号日均执行指令总量、执行不同种类指令占比、每日总计或连续执行某关键指令的次数、账号上下线时间点和主要工作时间段等，把这些统计指标作为比较基准，通过监测当前操作数据与历史操作数据的差异，识别异常业务操作行为。由于正常业务流程和盗取乘客信息行为使用同一组指令，而且违规操作执行的指令数量，往往要远少于该岗位每日正常工作时执行的指令总数，造成违规行为的操作特征，几乎总是淹没在正常业务操作统计数据的随机误差中。此外经过多年对抗，违规人员积累了丰富的反侦查经验，例如采用掺杂其它指令的方式，隐藏违规操作行为的数量统计特征。因此基于数量的统计对照方法，存在识别异常业务操作行为分辨率低、误报漏报严重的问题。

发明内容

有鉴于此，本发明提出一种异常业务操作行为检测方法、装置、设备及可读存储介质，欲提高异常业务操作行为识别的分辨率和准确率。

为了实现上述目的，现提出的方案如下：

第一方面，提供了一种异常业务操作行为检测方法，包括：

从被检测账号的原始操作日志中按原执行顺序提取业务操作指令序列，并将所述业务操作指令序列拆分为包含N个业务操作指令的业务操作指令子序列；

利用总转移概率公式计算得到所述业务操作指令子序列的总转移概率，总转移概率公式为：

式中，log(P_seq)为业务操作指令子序列的总转移概率，P_i,(i+1)为业务操作指令子序列中的第i个业务操作指令之后出现第i+1个业务操作指令的转移概率；

判断计算得到的所述业务操作指令子序列的总转移概率与所述被检测账号的典型业务操作指令序列的总转移概率的差值，与所述被检测账号的典型业务操作指令序列的总转移概率的标准差是否符合预设的条件，若是，则确定所述业务操作指令子序列为异常业务操作指令序列，所述典型业务操作指令序列为所述被检测账号所属岗位正常业务操作产生的业务操作指令序列。

第二方面，提供了一种异常业务操作行为检测装置，包括：

指令单元，用于从被检测账号的原始操作日志中按原执行顺序提取业务操作指令序列，并将所述业务操作指令序列拆分为包含N个业务操作指令的业务操作指令子序列；