[发明专利]用于识别外挂操作的方法及系统

权利要求书

1.一种用于识别外挂操作的方法，其特征在于，包括：

采集业务系统的原始操作信息；

从所述原始操作信息提取与外挂操作相关联的操作特征；

基于所述与外挂操作相关联的操作特征，建立外挂操作特征模型；

对所述与外挂操作相关联的操作特征进行聚类，以产生与所述外挂操作相关联的操作特征的集合；

对所述集合进行重叠度判断，并合并重叠度高的集合；以及

基于经合并的集合建立所述外挂操作特征模型，

其中，当所述重叠度大于或等于第一阈值时，表明所述集合的重叠度高，以及当所述重叠度小于第一阈值时，表明所述集合的重叠度低；

以及利用所述外挂操作特征模型分析实时操作的操作信息以识别出所述外挂操作。

2.根据权利要求1所述的方法，其中所述与外挂操作相关联的操作特征包括所述外挂操作的一个或多个关键字段、或多个关键字段的组合，并且其中，所述一个或多个关键字段、或多个关键字段的组合包括下述一项或多项：操作时间、操作频度、要识别的操作的后续操作、以及操作时序。

3.根据权利要求2所述的方法，其中，所述操作时间是一个或多个关键字段，以及所述操作频度、所述要识别的操作的后续操作和所述操作时序是多个关键字段的组合。

4.根据权利要求1所述的方法，其中所述原始操作信息包括所述业务系统的历史业务日志和预定的外挂操作的操作信息中的一者或多者。

5.根据权利要求1所述的方法，其中从所述原始操作信息提取与外挂操作相关联的操作特征包括：

从所述原始操作信息提取与所述原始操作相关联的操作特征；

对与所述原始操作相关联的操作特征进行数据离散以分类为大概率操作特征和小概率操作特征；以及

提取所述小概率操作特征以得到所述与外挂操作相关联的操作特征。

6.根据权利要求1所述的方法，其中利用所述外挂操作特征模型分析实时操作的操作信息以识别出所述外挂操作包括：

分析所述实时操作的操作信息以提取与所述实时操作相关联的操作特征；以及

利用所述外挂操作特征模型与所述实时操作相关联的操作特征进行匹配，

其中，当与所述实时操作相关联的操作特征与所述外挂操作特征模型匹配时，将所述实时操作识别为所述外挂操作，以及当与所述实时操作相关联的操作特征与所述外挂操作特征模型不匹配时，丢弃所述实时操作的操作信息。

7.根据权利要求6所述的方法，其特征在于，还包括：

当与所述实时操作相关联的操作特征与所述外挂操作特征模型不匹配时，对所述实时操作重新进行分析，以修改所述外挂操作特征模型。

8.一种用于识别外挂操作的系统，其特征在于，包括：

数据采集模块，被配置为采集业务系统的原始操作信息；

特征提取模块，被配置为从所述原始操作信息提取与外挂操作相关联的操作特征；

模型建立模块，被配置为基于所述与外挂操作相关联的操作特征，建立外挂操作特征模型；

所述模型建立模块，还被配置为对所述与外挂操作相关联的操作特征进行聚类，以产生与所述外挂操作相关联的操作特征的集合；对所述集合进行重叠度判断，并合并重叠度高的集合；以及基于经合并的集合建立所述外挂操作特征模型，其中当所述重叠度大于或等于第一阈值时，表明所述集合的重叠度高，以及当所述重叠度小于第一阈值时，表明所述集合的重叠度低；以及

识别模块，被配置为利用所述外挂操作特征模型分析实时操作的操作信息以识别出所述外挂操作。

9.根据权利要求8所述的系统，其中所述与外挂操作相关联的操作特征包括所述外挂操作的一个或多个关键字段、或多个关键字段的组合，并且其中，所述一个或多个关键字段、或多个关键字段的组合包括下述一项或多项：操作时间、操作频度、要识别的操作的后续操作、以及操作时序。