CN104579771A - 一种对用户登录登出应用系统的行为轨迹的分析方法 - Google Patents
一种对用户登录登出应用系统的行为轨迹的分析方法 Download PDFInfo
- Publication number
- CN104579771A CN104579771A CN201410850894.3A CN201410850894A CN104579771A CN 104579771 A CN104579771 A CN 104579771A CN 201410850894 A CN201410850894 A CN 201410850894A CN 104579771 A CN104579771 A CN 104579771A
- Authority
- CN
- China
- Prior art keywords
- application system
- user
- time
- log
- analytical method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种对用户登录登出应用系统的行为轨迹的分析方法,其包括如下步骤:(1)以系统外方式记录应用系统的用户访问日志;(2)对访问日志根据用户标识、应用系统标识进行分类,并根据时间排序,形成对应的连续访问日志集;(3)分析指定用户对应用系统的访问日志;(4)根据步骤(3)的分析结果构建以时间为顺序的连续的日志记录集;(5)将日志记录集的最早时间识别为该用户登录时间;(6)将日志记录集的最晚时间识别为该用户登出时间。本发明能够解决对应用系统进行系统外网络审计时,用户登录应用系统及登出应用系统的行为轨迹识别。
Description
技术领域
本发明涉及一种系统信息安全技术,具体涉及对应用系统的用户行为分析的方法。
背景技术
当前很多计算机信息系统,特别是安全等级高的信息系统,都有系统外安全审计的监管需求。系统外审计是指在应用系统之外的网络层、操作系统或数据库对应用系统进行行为审计,本发明特指网络层审计。
网络层审计一般是通过网络设备对应用系统的网络通讯进行侦听,分析网络通讯报文,记录用户访问日志。通过对访问日志的分析,可以诊断应用系统是否存在非正常的用户访问行为,比如在非工作时间有大数据量下载、用户在线时长异常、用户访问过于频繁等。在识别用户行为时,需要解决的一个基本问题是识别用户何时登录系统、何时登出系统。
但是现有技术无法有效准确地识别用户登录、登出系统的时间。由此可见提供一种能够有效识别用户登录、登出系统时间的方案是本领域亟需要解决的问题。
发明内容
针对现有技术在进行系统外日志审计时,无法有效识别用户登录、登出系统时间的问题,本发明的目的在于提供一个应用系统访问日志的分析方法,通过对应用系统的系统外访问日志的记录分析,可以有效识别用户登录该系统、登出该应用系统的时间。
为了达到上述目的,本发明采用如下的技术方案:
一种对用户登录登出应用系统的行为轨迹的分析方法,该分析方法包括如下步骤:
(1)以系统外方式记录应用系统的用户访问日志;
(2)对访问日志根据用户标识、应用系统标识进行分类,并根据时间排序,形成对应的连续访问日志集;
(3)分析指定用户对应用系统的访问日志;
(4)根据步骤(3)的分析结果构建以时间为顺序的连续的日志记录集;
(5)将日志记录集的最早时间识别为该用户登录时间;
(6)将日志记录集的最晚时间识别为该用户登出时间。
优选的,所述步骤(1)中通过网络设备记录应用系统的用户访问日志。
优选的,所述步骤(1)中所述的应用系统可以是B/S架构系统,也可以是C/S架构系统。
优选的,所述步骤(3)中以对以时间为顺序的连续日志集以时间序逐条进行日志时间及应用系统标识比较分析,来实现分析指定用户对应用系统的访问日志。
优选的,所述步骤(3)进行分析指定用户对应用系统的访问日志时,首先针对当前日志进行应用系统标识比较,若当前日志和上一条日志不属于同一应用系统,则识别为一次登出行为;若当前日志和上一条日志属于同一应用系统,则进行日志时间比较分析,若前日志和上一条日志时间间隔大于指定阀值,则识别为一次登出行为,否则进行下一条日志的分析。
优选的,所述的阀值是系统对应用系统设定的预定值。
优选的,所述的阀值是系统对应用系统的访问日志进行类聚、分析后的结果。
根据上述技术方案得到的本发明可以在网络设备记录应用系统的用户访问日志后,通过对访问日志的分析,识别出用户在每个应用系统的登录、登出时间,从而有效解决现有技术所面临的问题。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实施的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明通过对应用系统的系统外访问日志记录分析,以此来识别用户登录该系统、登出该应用系统的时间。
为此,本发明提供一种对用户登录登出应用系统的行为轨迹的分析方法,参见图1,该方法包括如下步骤:
(1)通过系统外的网络设备,记录应用系统的访问日志。
(2)将访问日志根据用户标识、应用系统标识进行分类,并根据时间排序。
(3)以时间升序顺序,针对同一用户对应用系统的日志进行逐条分析。
(4)创建该用户访问应用系统的日志记录表,表结构为首次访问时间、最后访问时间,应用系统标识。
(5)读取下一条日志记录。
(6)获取当前日志记录的应用系统标识、日志时间。
(7)首先针对当前日志进行应用系统标识比较,若当前日志和日志记录表中上一条日志不属于同一应用系统,则识别为一次登出行为;若当前日志和上一条日志属于同一应用系统,则将当前日志记录的日志时间和日志记录表对应的该应用系统最后访问时间进行比较。
(8)如果时间间隔小于阀值,更新表结构的最后访问时间为本条记录的日志时间,返回第5步。
(9)如果时间间隔大于等于阀值,则识别为用户登出。
(10)将首次访问时间识别为用户的登录时间。
(11)将最后访问时间识别为用户的退出时间。
(12)更新表结构的首次访问时间、最后访问时间为本记录的日志时间。
(13)返回第5步,直到日志处理完成。
这里需要说明的,上述的应用系统可以是B/S架构系统,也可以是C/S架构系统。
上述的阀值可以是根据应用系统类型指定的预定值,比如B/S应用一般session的超时时间为30分钟,则30分钟内的访问记录可以视为一次用户登录、登出。
针对上述的方案,以下通过一具体实例来进一步的说明。
本实例以如下用户日志记录为例,设定的间隔阀值为5分钟:
1 2014-12-12 08:00:00 UserId1 AppId1 http://localhost:8080/app1
2 2014-12-12 08:01:00 UserId1 AppId1 http://localhost:8080/app1
3 2014-12-12 08:02:00 UserId1 AppId1 http://localhost:8080/app1
4 2014-12-12 08:12:00 UserId1 AppId1 http://localhost:8080/app1
5 2014-12-12 08:40:00 UserId1 AppId1 http://localhost:8080/app1
6 2014-12-12 08:40:00 UserId1 AppId2 http://localhost:8080/app2
7 2014-12-12 08:40:00 UserId1 AppId3 http://localhost:8080/app3
8 2014-12-12 08:45:00 UserId1 AppId1 http://localhost:8080/app1
上述的用户日志记录已经根据用户标识、应用系统标识进行分类,并根据时间排序。
(1)创建访问记录表:应用标识首次访问时间最后访问时间。
(2)读取第一条记录,访问记录表数据如下:
AppId1 2014-12-1208:00:00 2014-12-1208:00:00
(3)读取第二条记录,访问记录表数据更新如下:
AppId1 2014-12-1208:00:00 2014-12-1208:01:00
(4)读取第三条记录,访问记录表数据更新如下:
AppId1 2014-12-1208:00:00 2014-12-1208:02:00
(5)读取第四条记录,本条记录的日志时间和最后访问时间间隔为10分钟,超过阀值,所以识别本条记录为用户的登出行为,该用户行为轨迹的登录时间为2014-12-12 08:00:00,登出时间为2014-12-12 08:12:00。访问记录表数据更新如下:
AppId1 2014-12-1208:12:00 2014-12-1208:12:00
(6)读取第五条记录,本条记录的日志时间和最后访问时间间隔为28分钟,超过阀值,所以识别本条记录为用户的登出行为,该用户行为轨迹的登录时间为2014-12-12 08:12:00,登出时间为2014-12-12 08:40:00。访问记录表数据更新如下:
AppId1 2014-12-1208:40:00 2014-12-1208:40:00
(7)读取第六条记录,访问记录表数据更新如下:
AppId1 2014-12-1208:40:00 2014-12-1208:40:00
AppId2 2014-12-1208:40:00 2014-12-1208:40:00
(8)读取第七条记录,访问记录表数据更新如下:
AppId1 2014-12-1208:40:00 2014-12-1208:40:00
AppId2 2014-12-1208:40:00 2014-12-1208:40:00
AppId3 2014-12-1208:40:00 2014-12-1208:40:00
(9)读取第八条记录,本条记录的日志时间和最后访问时间间隔为5分钟,超过阀值,所以识别本条记录为用户的登出行为,该用户行为轨迹的登录时间为2014-12-12 08:40:00,登出时间为2014-12-12 08:45:00。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (7)
1.一种对用户登录登出应用系统的行为轨迹的分析方法,其特征在于,所述分析方法包括如下步骤:
(1)以系统外方式记录应用系统的用户访问日志;
(2)对访问日志根据用户标识、应用系统标识进行分类,并根据时间排序,形成对应的连续访问日志集;
(3)分析指定用户对应用系统的访问日志;
(4)根据步骤(3)的分析结果构建以时间为顺序的连续的日志记录集;
(5)将日志记录集的最早时间识别为该用户登录时间;
(6)将日志记录集的最晚时间识别为该用户登出时间。
2.根据权利要求1所述的一种对用户登录登出应用系统的行为轨迹的分析方法,其特征在于,所述步骤(1)中通过网络设备记录应用系统的用户访问日志。
3.根据权利要求1所述的一种对用户登录登出应用系统的行为轨迹的分析方法,其特征在于,所述步骤(1)中所述的应用系统可以是B/S架构系统,也可以是C/S架构系统。
4.根据权利要求1所述的一种对用户登录登出应用系统的行为轨迹的分析方法,其特征在于,所述步骤(3)中以对以时间为顺序的连续日志集以时间序逐条进行日志时间及应用系统标识比较分析,来实现分析指定用户对应用系统的访问日志。
5.根据权利要求4所述的一种对用户登录登出应用系统的行为轨迹的分析方法,其特征在于,所述步骤(3)进行分析指定用户对应用系统的访问日志时,首先针对当前日志进行应用系统标识比较,若当前日志和上一条日志不属于同一应用系统,则识别为一次登出行为;若当前日志和上一条日志属于同一应用系统,则进行日志时间比较分析,若前日志和上一条日志时间间隔大于指定阀值,则识别为一次登出行为,否则进行下一条日志的分析。
6.根据权利要求5所述的一种对用户登录登出应用系统的行为轨迹的分析方法,其特征在于,所述的阀值是系统对应用系统设定的预定值。
7.根据权利要求5所述的一种对用户登录登出应用系统的行为轨迹的分析方法,其特征在于,所述的阀值是系统对应用系统的访问日志进行类聚、分析后的结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410850894.3A CN104579771B (zh) | 2014-12-31 | 2014-12-31 | 一种对用户登录登出应用系统的行为轨迹的分析方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410850894.3A CN104579771B (zh) | 2014-12-31 | 2014-12-31 | 一种对用户登录登出应用系统的行为轨迹的分析方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104579771A true CN104579771A (zh) | 2015-04-29 |
| CN104579771B CN104579771B (zh) | 2018-04-27 |
Family
ID=53095036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410850894.3A Active CN104579771B (zh) | 2014-12-31 | 2014-12-31 | 一种对用户登录登出应用系统的行为轨迹的分析方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104579771B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106126551A (zh) * | 2016-06-13 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种Hbase数据库访问日志的生成方法、装置及系统 |
| CN106603749A (zh) * | 2017-01-06 | 2017-04-26 | 浙江中都信息技术有限公司 | 一种动态ip到主机映射的高效方法 |
| CN107450087A (zh) * | 2017-08-03 | 2017-12-08 | 千寻位置网络有限公司 | 一种用于共享单车高精度定位的数据质量服务端分析方法 |
| CN108776637A (zh) * | 2018-05-04 | 2018-11-09 | 平安科技(深圳)有限公司 | 用户操作信息的获取方法、装置、计算机设备和存储介质 |
| CN110048899A (zh) * | 2019-05-29 | 2019-07-23 | 北京奇艺世纪科技有限公司 | 一种日志检测方法、装置、终端及服务器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012155455A1 (zh) * | 2011-05-13 | 2012-11-22 | 中兴通讯股份有限公司 | 一种基于web平台的日志分析方法及系统 |
| CN103001796A (zh) * | 2012-11-13 | 2013-03-27 | 北界创想(北京)软件有限公司 | 服务端处理网络日志数据的方法及装置 |
| CN103023687A (zh) * | 2012-05-31 | 2013-04-03 | 珠海市君天电子科技有限公司 | 一种关联于访问请求的统计方法及装置 |
-
2014
- 2014-12-31 CN CN201410850894.3A patent/CN104579771B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012155455A1 (zh) * | 2011-05-13 | 2012-11-22 | 中兴通讯股份有限公司 | 一种基于web平台的日志分析方法及系统 |
| CN103023687A (zh) * | 2012-05-31 | 2013-04-03 | 珠海市君天电子科技有限公司 | 一种关联于访问请求的统计方法及装置 |
| CN103001796A (zh) * | 2012-11-13 | 2013-03-27 | 北界创想(北京)软件有限公司 | 服务端处理网络日志数据的方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106126551A (zh) * | 2016-06-13 | 2016-11-16 | 浪潮电子信息产业股份有限公司 | 一种Hbase数据库访问日志的生成方法、装置及系统 |
| CN106603749A (zh) * | 2017-01-06 | 2017-04-26 | 浙江中都信息技术有限公司 | 一种动态ip到主机映射的高效方法 |
| CN106603749B (zh) * | 2017-01-06 | 2017-11-21 | 浙江中都信息技术有限公司 | 一种动态ip到主机映射的高效方法 |
| CN107450087A (zh) * | 2017-08-03 | 2017-12-08 | 千寻位置网络有限公司 | 一种用于共享单车高精度定位的数据质量服务端分析方法 |
| CN108776637A (zh) * | 2018-05-04 | 2018-11-09 | 平安科技(深圳)有限公司 | 用户操作信息的获取方法、装置、计算机设备和存储介质 |
| CN110048899A (zh) * | 2019-05-29 | 2019-07-23 | 北京奇艺世纪科技有限公司 | 一种日志检测方法、装置、终端及服务器 |
| CN110048899B (zh) * | 2019-05-29 | 2022-03-04 | 北京奇艺世纪科技有限公司 | 一种日志检测方法、装置、终端及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104579771B (zh) | 2018-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11496495B2 (en) | System and a method for detecting anomalous patterns in a network | |
| CN104579771A (zh) | 一种对用户登录登出应用系统的行为轨迹的分析方法 | |
| CN105187395B (zh) | 基于接入路由器进行恶意软件网络行为检测的方法及系统 | |
| CN108347430A (zh) | 基于深度学习的网络入侵检测和漏洞扫描方法及装置 | |
| CN108200030A (zh) | 恶意流量的检测方法、系统、装置及计算机可读存储介质 | |
| CN109687991A (zh) | 用户行为识别方法、装置、设备及存储介质 | |
| US20170078309A1 (en) | Systems and methods for detecting vulnerabilities and privileged access using cluster movement | |
| Sahlabadi et al. | Detecting abnormal behavior in social network websites by using a process mining technique | |
| CN107295021B (zh) | 一种基于集中管理的主机的安全检测方法及系统 | |
| CN109587125B (zh) | 一种网络安全大数据分析方法、系统及相关装置 | |
| CN104572976B (zh) | 网站数据更新方法和系统 | |
| CN104504264B (zh) | 虚拟人建立方法及装置 | |
| US10628278B2 (en) | Generation of end-user sessions from end-user events identified from computer system logs | |
| CN106657057A (zh) | 反爬虫系统及方法 | |
| CN104252592A (zh) | 外挂应用程序的识别方法及装置 | |
| CN104683394A (zh) | 新技术的云计算平台数据库基准测试系统及其方法 | |
| JP2020150531A (ja) | トラフィックを検出するための方法及び装置 | |
| CN107360155A (zh) | 一种基于威胁情报和沙箱技术的网络攻击自动溯源方法和系统 | |
| CN107463839A (zh) | 一种管理应用程序的系统和方法 | |
| CN103886250B (zh) | 面向业务支撑系统的数据处理方法、装置、控制器和系统 | |
| CN108111463A (zh) | 基于平均值和标准差的多维度基线自学习和异常行为分析 | |
| DE112020005071T5 (de) | Verfahren für eine datenschutzgerechte anomalie-erkennung im iot | |
| CN112437034B (zh) | 虚假终端检测方法和装置、存储介质及电子装置 | |
| CN109660656A (zh) | 一种智能终端应用程序识别方法 | |
| CN104683382A (zh) | 新型创新算法云计算平台数据库基准测试系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address | ||
| CP03 | Change of name, title or address |
Address after: 201800 Room 601, Lane 299, Lane 299, JIANGCHANG West Road, Jingan District, Shanghai Patentee after: Geer software Limited by Share Ltd Address before: 200070 B, 501E, 199 JIANGCHANG West Road, Zhabei District, Shanghai. Patentee before: Geer Software Co., Ltd., Shanghai |