本發(fā)明提供了一種異常業(yè)務(wù)操作行為檢測方法、裝置、設(shè)備及可讀存儲介質(zhì)，利用正常業(yè)務(wù)操作和異常業(yè)務(wù)操作產(chǎn)生的業(yè)務(wù)操作指令序列在統(tǒng)計特征上的差異，計算被檢測賬號當(dāng)前執(zhí)行的業(yè)務(wù)操作指令子序列的總轉(zhuǎn)移概率，并與被檢測賬號的典型業(yè)務(wù)操作指令序列的總轉(zhuǎn)移概率進(jìn)行比較，并在符合預(yù)設(shè)的條件時，確定被檢測賬號當(dāng)前執(zhí)行的業(yè)務(wù)操作指令子序列為異常業(yè)務(wù)操作指令序列。本發(fā)明利用了正常業(yè)務(wù)操作和異常業(yè)務(wù)操作產(chǎn)生的業(yè)務(wù)操作指令序列在統(tǒng)計特征上的顯著差異，提高了異常業(yè)務(wù)操作行為識別的分辨率和準(zhǔn)確率。

技術(shù)領(lǐng)域

本發(fā)明涉及數(shù)據(jù)處理技術(shù)領(lǐng)域，更具體地說，涉及異常業(yè)務(wù)操作行為檢測方法、裝置、設(shè)備及可讀存儲介質(zhì)。

背景技術(shù)

鑒于民航業(yè)務(wù)的實際需要，在機(jī)票銷售、航班運營和旅客服務(wù)等多個環(huán)節(jié)上，必須向民航系統(tǒng)從業(yè)人員開放乘客出行記錄的查詢權(quán)限，以保證相關(guān)崗位上的業(yè)務(wù)操作順利執(zhí)行，但同時也給民航系統(tǒng)從業(yè)人員利用職務(wù)之便，盜取乘客出行信息，打開方便之門。如何有效保護(hù)乘客出行信息，特別是如何防止民航系統(tǒng)從業(yè)人員利用職務(wù)便利，盜取乘客出行信息，已經(jīng)成為民航分銷與旅客服務(wù)領(lǐng)域亟待解決的關(guān)鍵信息安全問題之一。

在無法使用限制、隱藏和加密等信息防護(hù)手段的情況下，只能通過審查工作人員的操作記錄，識別盜取乘客信息行為。但由于用戶業(yè)務(wù)操作記錄的數(shù)據(jù)量巨大，需要先通過系統(tǒng)自動分析算法盡可能縮少可疑數(shù)據(jù)的范圍，再轉(zhuǎn)交人工進(jìn)一步判斷。

目前，自動分析算法是通過對比歷史操作數(shù)據(jù)和當(dāng)前操作數(shù)據(jù)的統(tǒng)計差異，識別異常業(yè)務(wù)操作行為。具體的是基于數(shù)量的多維度統(tǒng)計和比較，例如統(tǒng)計同一賬號日均執(zhí)行指令總量、執(zhí)行不同種類指令占比、每日總計或連續(xù)執(zhí)行某關(guān)鍵指令的次數(shù)、賬號上下線時間點和主要工作時間段等，把這些統(tǒng)計指標(biāo)作為比較基準(zhǔn)，通過監(jiān)測當(dāng)前操作數(shù)據(jù)與歷史操作數(shù)據(jù)的差異，識別異常業(yè)務(wù)操作行為。由于正常業(yè)務(wù)流程和盜取乘客信息行為使用同一組指令，而且違規(guī)操作執(zhí)行的指令數(shù)量，往往要遠(yuǎn)少于該崗位每日正常工作時執(zhí)行的指令總數(shù)，造成違規(guī)行為的操作特征，幾乎總是淹沒在正常業(yè)務(wù)操作統(tǒng)計數(shù)據(jù)的隨機(jī)誤差中。此外經(jīng)過多年對抗，違規(guī)人員積累了豐富的反偵查經(jīng)驗，例如采用摻雜其它指令的方式，隱藏違規(guī)操作行為的數(shù)量統(tǒng)計特征。因此基于數(shù)量的統(tǒng)計對照方法，存在識別異常業(yè)務(wù)操作行為分辨率低、誤報漏報嚴(yán)重的問題。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提出一種異常業(yè)務(wù)操作行為檢測方法、裝置、設(shè)備及可讀存儲介質(zhì)，欲提高異常業(yè)務(wù)操作行為識別的分辨率和準(zhǔn)確率。

為了實現(xiàn)上述目的，現(xiàn)提出的方案如下：

第一方面，提供了一種異常業(yè)務(wù)操作行為檢測方法，包括：

從被檢測賬號的原始操作日志中按原執(zhí)行順序提取業(yè)務(wù)操作指令序列，并將所述業(yè)務(wù)操作指令序列拆分為包含N個業(yè)務(wù)操作指令的業(yè)務(wù)操作指令子序列；

利用總轉(zhuǎn)移概率公式計算得到所述業(yè)務(wù)操作指令子序列的總轉(zhuǎn)移概率，總轉(zhuǎn)移概率公式為：

式中，log(P_seq)為業(yè)務(wù)操作指令子序列的總轉(zhuǎn)移概率，P_i,(i+1)為業(yè)務(wù)操作指令子序列中的第i個業(yè)務(wù)操作指令之后出現(xiàn)第i+1個業(yè)務(wù)操作指令的轉(zhuǎn)移概率；

判斷計算得到的所述業(yè)務(wù)操作指令子序列的總轉(zhuǎn)移概率與所述被檢測賬號的典型業(yè)務(wù)操作指令序列的總轉(zhuǎn)移概率的差值，與所述被檢測賬號的典型業(yè)務(wù)操作指令序列的總轉(zhuǎn)移概率的標(biāo)準(zhǔn)差是否符合預(yù)設(shè)的條件，若是，則確定所述業(yè)務(wù)操作指令子序列為異常業(yè)務(wù)操作指令序列，所述典型業(yè)務(wù)操作指令序列為所述被檢測賬號所屬崗位正常業(yè)務(wù)操作產(chǎn)生的業(yè)務(wù)操作指令序列。

第二方面，提供了一種異常業(yè)務(wù)操作行為檢測裝置，包括：

指令單元，用于從被檢測賬號的原始操作日志中按原執(zhí)行順序提取業(yè)務(wù)操作指令序列，并將所述業(yè)務(wù)操作指令序列拆分為包含N個業(yè)務(wù)操作指令的業(yè)務(wù)操作指令子序列；