CN107426231A - 一种识别用户行为的方法及装置 - Google Patents
一种识别用户行为的方法及装置 Download PDFInfo
- Publication number
- CN107426231A CN107426231A CN201710656778.1A CN201710656778A CN107426231A CN 107426231 A CN107426231 A CN 107426231A CN 201710656778 A CN201710656778 A CN 201710656778A CN 107426231 A CN107426231 A CN 107426231A
- Authority
- CN
- China
- Prior art keywords
- user behavior
- information
- recognition
- user
- recognition rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 87
- 230000006399 behavior Effects 0.000 claims abstract description 428
- 230000002159 abnormal effect Effects 0.000 claims description 53
- 238000010801 machine learning Methods 0.000 claims description 23
- 238000012790 confirmation Methods 0.000 claims description 21
- 238000012360 testing method Methods 0.000 claims description 11
- 241000700605 Viruses Species 0.000 claims description 8
- 210000004209 hair Anatomy 0.000 claims description 7
- 230000001052 transient effect Effects 0.000 claims description 7
- 230000003542 behavioural effect Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 claims description 3
- 230000005055 memory storage Effects 0.000 claims description 2
- 241000405414 Rehmannia Species 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 5
- 235000013399 edible fruits Nutrition 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000010606 normalization Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例提供一种识别用户行为的方法及装置,所述方法包括:获取多源用户行为信息;对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定用户行为的识别规则,并根据所述识别规则获取对应的信息;根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。所述装置执行上述方法。本发明实施例提供的识别用户行为的方法及装置,通过多种识别规则,能够高效并合理地对多种用户行为进行有效识别。
Description
技术领域
本发明实施例涉及网络安全技术领域,具体涉及一种识别用户行为的方法及装置。
背景技术
随着网络应用技术的高速发展,用户的网络行为体现出多样化,识别出网络用户的行为,并对异常行为的用户进行管控,以保证网络的安全显得尤为重要。
由于用户行为的多样化,不同类型的用户行为所适用的行为识别方法不同,因此,给企业、组织或个人合理选择行为识别方法,以发现内部威胁,比如恶意用户,粗心操作用户,用户账号被盗等带来了困难,然而,现有技术尚没有通用性较好的方法能够实现对多种用户行为的有效识别。
因此,如何高效并合理地对多源用户行为信息进行有效识别,成为亟须解决的问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种识别用户行为的方法及装置。
第一方面,本发明实施例提供一种识别用户行为的方法,所述方法包括:
获取多源用户行为信息;
对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;
确定用户行为的识别规则,并根据所述识别规则获取对应的信息;
根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
第二方面,本发明实施例提供一种识别用户行为的装置,所述装置包括:
获取单元,用于获取多源用户行为信息;
归一单元,用于对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;
确定单元,用于确定用户行为的识别规则,并根据所述识别规则获取对应的信息;
识别单元,用于根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
第三方面,本发明实施例提供另一种识别用户行为的装置,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:
获取多源用户行为信息;
对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;
确定用户行为的识别规则,并根据所述识别规则获取对应的信息;
根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如下方法:
获取多源用户行为信息;
对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;
确定用户行为的识别规则,并根据所述识别规则获取对应的信息;
根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
本发明实施例提供的识别用户行为的方法及装置,通过多种识别规则,能够高效并合理地对多种用户行为进行有效识别。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例识别用户行为的方法流程示意图;
图2为本发明实施例识别用户行为的装置结构示意图;
图3为本发明另一实施例识别用户行为的装置结构示意图;
图4为本发明实施例提供的装置实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例识别用户行为的方法流程示意图,如图1所示,本发明实施例提供的一种识别用户行为的方法,包括以下步骤:
S1:获取多源用户行为信息。
具体的,装置获取多源用户行为信息。多源可以理解为多种数据来源,多源用户行为信息可以包括但不限于多种日志:各类云业务活动日志、活动目录(active directory,以下简称“AD”)日志、虚拟专用网络(Virtual Private Network,以下简称“VPN”)访问登录日志,终端系统日志,业务系统操作审计日志,数据库系统日志,办公设备数据,例如:打印机和门禁系统等。获取的方式可以包括从数据源直接获取(也包括接收)数据;从缓存数据中获取(具体可以从缓存队列中获取)。
S2:对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式。
具体的,装置对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式。由于不同数据来源的用户行为信息的数据类型和格式类型可能不同,为了便于信息入库和以后的管理使用,需要将多源用户行为信息归一化为同一数据类型和同一格式。
S3:确定用户行为的识别规则,并根据所述识别规则获取对应的信息。
具体的,装置确定用户行为的识别规则,并根据所述识别规则获取对应的信息。识别规则可以包括第一识别规则,根据第一识别规则获取对应的第一信息,第一信息可以包括用户所属的组群用户行为信息,第一识别规则可以理解为:通过预设机器学习模型对用户行为进行识别,该预设机器学习模型内置有不同用户行为分类目录的规则组,规则组中对数据操作(如访问、分享、删除、登录等操作)定义有不同的异常行为事件。组群用户行为信息可以是:用户A所在的公司部门下的工作小组内的小组成员的行为信息。
识别规则还可以包括第二识别规则,根据第二识别规则获取对应的第二信息,第二信息可以包括用户身份标识(可以是用户ID、昵称等)、虚拟专用网络(VPN)是否发生IP跳转、用户行为的发生地及发生时间。第二识别规则可以理解为基于逻辑分析对用户行为进行识别,举例说明如下:用户A当前时刻在北京登录了系统甲,5分钟以前对应的时刻在纽约也登录了系统甲,如果VPN没有发生IP跳转,(即:通过逻辑分析同一用户不可能在如此短暂的时间间隔内从纽约到达北京,认为该行为不符合逻辑)则可以认为该用户A的账号被盗用或者共享了(即用户A的行为的识别结果为异常)。
识别规则还包括第三识别规则,根据第三识别规则获取对应的第三信息,第三信息可以包括在预设时段内用户行为的统计次数,第三识别规则可以理解为基于统计分析对用户行为进行识别,举例说明如下:用户A在一次会话内(预设时段)删除的文件个数为110次(统计次数),超过了10次(预设次数),则可以认为该用户A的行为是恶意操作(即用户A的行为的识别结果为异常)。需要说明的是:该第三识别规则中的用户行为不局限于删除,还可以包括登陆、分享、访问、留言等行为。
S4:根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
具体的,装置根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。根据第一识别规则、用户行为信息和用户所属的组群用户行为信息,确定用户行为的识别结果,具体可以是:根据用户行为信息和预设机器学习模型,确定用户行为的第一识别结果;如果第一识别结果为异常,则根据组群用户行为信息和预设机器学习模型确定组群用户行为的第二识别结果;如果第二识别结果与第一识别结果不一致,则确定用户行为的识别结果为异常。如果第二识别结果与第一识别结果一致,则确定用户行为的识别结果为正常。如果第一识别结果为正常,则直接确定用户行为的识别结果为正常。举例说明如下:用户A和用户B(用户B为用户A的组群用户)共同参与的项目需要两人同时相互配合完成,用户A导出了旧服务器中全部的数据(由于涉及的数据量很大,因此对于该行为的识别结果为异常),假如用户B将用户A导出的全部的数据处理后,再导入新服务器中(同样由于涉及的数据量很大,因此对于该行为的识别结果为异常),即第二识别结果与第一识别结果一致,则可以认为是二人执行特定的工作任务(即:确定用户A和用户B行为的识别结果为正常)。如果用户A导出了旧服务器中全部的数据,用户B没有及时将用户A导出的全部的数据处理后,再导入新服务器中(用户B的行为是正常),由于A的工作不可能单独由用户A一人完成,则认为用户A的行为不是用户A真正意图(即:确定用户行为的识别结果为异常)。如果用户A导出了旧服务器中全部的数据的5%(由于在行为规则允许的范围之内,认为该行为的识别结果为正常,则直接确定用户行为的识别结果为正常)。对于根据第二识别规则和第三识别规则的说明,可以参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过多种识别规则,能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述识别规则包括第一识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:
确定用户行为的识别规则为第一识别规则,根据所述第一识别规则获取对应的第一信息,其中,所述第一信息包括用户所属的组群用户行为信息。
具体的,装置确定用户行为的识别规则为第一识别规则,根据所述第一识别规则获取对应的第一信息,其中,所述第一信息包括用户所属的组群用户行为信息。可参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过确定第一识别规则并获取对应的第一信息,保证了对用户行为识别的正常进行。
在上述实施例的基础上,所述识别规则包括第二识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:
确定用户行为的识别规则为第二识别规则,根据所述第二识别规则获取对应的第二信息,其中,所述第二信息包括用户身份标识、虚拟专用网络是否发生IP跳转、用户行为的发生地及发生时间。
具体的,装置确定用户行为的识别规则为第二识别规则,根据所述第二识别规则获取对应的第二信息,其中,所述第二信息包括用户身份标识、虚拟专用网络是否发生IP跳转、用户行为的发生地及发生时间。可参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过确定第二识别规则并获取对应的第二信息,保证了对用户行为识别的正常进行。
在上述实施例的基础上,所述识别规则包括第三识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:
确定用户行为的识别规则为第三识别规则,根据所述第三识别规则获取对应的第三信息,其中,所述第三信息包括在预设时段内用户行为的统计次数。
具体的,装置确定用户行为的识别规则为第三识别规则,根据所述第三识别规则获取对应的第三信息,其中,所述第三信息包括在预设时段内用户行为的统计次数。可参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过确定第三识别规则并获取对应的第三信息,保证了对用户行为识别的正常进行。
在上述实施例的基础上,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:
根据所述用户行为信息和预设机器学习模型,确定所述用户行为的第一识别结果。
具体的,装置根据所述用户行为信息和预设机器学习模型,确定所述用户行为的第一识别结果。可参照上述实施例,不再赘述。
若判断获知所述第一识别结果为异常,则根据所述第一信息和所述预设机器学习模型,确定组群用户行为的第二识别结果。
具体的,装置若判断获知所述第一识别结果为异常,则根据所述第一信息和所述预设机器学习模型,确定组群用户行为的第二识别结果。可参照上述实施例,不再赘述。
若判断获知所述第二识别结果与所述第一识别结果不一致,则确定所述用户行为的识别结果为异常。
具体的,装置若判断获知所述第二识别结果与所述第一识别结果不一致,则确定所述用户行为的识别结果为异常。可参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过第一识别规则,能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述方法还包括:
若判断获知所述第二识别结果与所述第一识别结果一致,则确定所述用户行为的识别结果为正常。
具体的,装置若判断获知所述第二识别结果与所述第一识别结果一致,则确定所述用户行为的识别结果为正常。可参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过第一识别规则,进一步能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述方法还包括:
若判断获知所述第一识别结果为正常,则直接确定所述用户行为的识别结果为正常。
具体的,装置若判断获知所述第一识别结果为正常,则直接确定所述用户行为的识别结果为正常。可参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过第一识别规则,更进一步能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:
若所述用户身份标识所标识用户的每两次用户行为的发生地之间的间距大于等于预设间距,且对应的发生时间之间的时间间隔小于等于预设时间间隔,且所述虚拟专用网络没有发生IP跳转,则确定所述用户行为的识别结果为异常。
具体的,装置若所述用户身份标识所标识用户的每两次用户行为的发生地之间的间距大于等于预设间距,且对应的发生时间之间的时间间隔小于等于预设时间间隔,且所述虚拟专用网络没有发生IP跳转,则确定所述用户行为的识别结果为异常。预设间距和预设时间间隔可以根据实际情况自主设置,可参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过第二识别规则,进一步能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:
若判断获知在预设时段内用户行为的统计次数大于等于预设次数,则确定所述用户行为的识别结果为异常。
具体的,装置若判断获知在预设时段内用户行为的统计次数大于等于预设次数,则确定所述用户行为的识别结果为异常。预设次数可根据实际情况自主设置,可参照上述实施例,不再赘述。
本发明实施例提供的识别用户行为的方法,通过第三识别规则,进一步能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述方法还包括:
获取用户行为发生地的本地IP地址。
具体的,装置获取用户行为发生地的本地IP地址。
若判断获知所述本地IP地址为异常,则将所述用户行为对应的用户加入黑名单。
具体的,装置若判断获知所述本地IP地址为异常,则将所述用户行为对应的用户加入黑名单。例如:从某国登录的IP认为是异常的,则根据地理库信息直接匹配黑名单的信息,黑白名单可自定义配置。
本发明实施例提供的识别用户行为的方法,通过将异常的本地IP地址对应的用户加入黑名单,能够快捷地对黑名单中的用户进行用户行为识别。
在上述实施例的基础上,所述方法还包括:
获取用户行为所访问的目的IP地址。
具体的,装置获取用户行为所访问的目的IP地址。
若所述目的IP地址存在于恶意IP地址库中,则确定所述用户行为的识别结果为异常,其中,所述恶意IP地址库预先设定有可疑网站的站点IP。
具体的,装置若判断获知所述目的IP地址存在于恶意IP地址库中,则确定所述用户行为的识别结果为异常,其中,所述恶意IP地址库预先设定有可疑网站的站点IP。恶意IP地址库可以理解为汇总的可疑网站的站点IP地址库。
本发明实施例提供的识别用户行为的方法,通过判断目的IP地址是否存在于恶意IP地址库中,能够快捷地进行用户行为识别。
在上述实施例的基础上,所述方法还包括:
获取用户所访问的文件路径。
具体的,装置获取用户所访问的文件路径。
调用病毒查杀程序对所述文件路径对应的文件进行检测,以获取检测结果。
具体的,装置调用病毒查杀程序对所述文件路径对应的文件进行检测,以获取检测结果。通过文件路径可以快速、准确地找到对应的文件,进而有针对性地对文件进行检测。
将所述检测结果作为所述用户行为的识别结果。
具体的,装置将所述检测结果作为所述用户行为的识别结果。
本发明实施例提供的识别用户行为的方法,通过将调用的病毒查杀程序的检测结果作为用户行为的识别结果,提供了有效的用户行为识别方法。
在上述实施例的基础上,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果的步骤之后,所述方法还包括:
根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息。
具体的,装置根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息。告警事件信息可以包括完善的告警事件详情。
本发明实施例提供的识别用户行为的方法,能够生成告警事件信息,有助于更好地提示用户对异常的用户行为进行处理。
在上述实施例的基础上,所述根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息的步骤之后,所述方法还包括:
根据如下公式对告警事件进行计分:
告警事件计分分值=告警事件的基础分值×告警事件的可信度系数×告警事件触发系数;
其中,所述告警事件的基础分值、所述告警事件的可信度系数和所述告警事件触发系数预先设定。
具体的,装置根据如下公式对告警事件进行计分:
告警事件计分分值=告警事件的基础分值×告警事件的可信度系数×告警事件触发系数;
其中,所述告警事件的基础分值、所述告警事件的可信度系数和所述告警事件触发系数预先设定。告警事件的可信度系数可以表示告警事件的可信程度。告警事件触发系数可以表示告警事件触发的难易程度。
本发明实施例提供的识别用户行为的方法,能够合理地计算出告警事件计分分值,有助于更好地对告警事件进行评估。
在上述实施例的基础上,所述根据如下公式对告警事件进行计分的步骤之后,所述方法还包括:
将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示。
具体的,装置将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示。可以将显示结果进行高亮显示,以引起用户的高度注意。
本发明实施例提供的识别用户行为的方法,能够显示对应的信息,有助于更好地提示用户重点关注该对应的信息。
在上述实施例的基础上,所述用户行为信息包括:用户登录的时间段、用户登录所在的地点、用户执行文件的次数;所述组群用户行为信息包括:组群用户登录的时间段、组群用户登录所在的地点、组群用户执行文件的次数。
具体的,装置中的所述用户行为信息可以包括:用户登录的时间段、用户登录所在的地点、用户执行文件的次数等,但不作具体限定;所述组群用户行为信息可以包括:组群用户登录的时间段、组群用户登录所在的地点、组群用户执行文件的次数等,但不作具体限定。
本发明实施例提供的识别用户行为的方法,能够进一步明确用户行为信息的内容。
在上述实施例的基础上,所述将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示的步骤之后,所述方法还包括:
接收用户针对所显示的用户行为信息和/或组群用户行为信息、以及所述计分分值的确认信息。
具体的,装置接收用户针对所显示的用户行为信息和/或组群用户行为信息、以及所述计分分值的确认信息。确认信息可以理解为用户对告警事件的状态确认的内容信息。
若所述确认信息包括误报信息和/或忽略信息,则将所述误报信息和/或所述忽略信息反馈,以修正所述用户行为的第一识别规则。
具体的,装置若判断获知所述确认信息包括误报信息和/或忽略信息,则将所述误报信息和/或所述忽略信息反馈,以修正所述用户行为的第一识别规则。确认信息还可以包括:已确认,已处理,待办状态等,可以对误报信息和/或忽略信息同步反馈,以修正所述用户行为的第一识别规则,以使得预设机器学习模型可以根据用户反馈的确认信息进行动态调整,进一步优化了预设机器学习模型。
本发明实施例提供的识别用户行为的方法,能够根据确认信息修正预设机器学习模型,进一步优化了预设机器学习模型,使得预设机器学习模型输出的识别结果更加准确。
图2为本发明实施例识别用户行为的装置结构示意图,如图2所示,本发明实施例提供了一种识别用户行为的装置,包括获取单元1、归一单元2、确定单元3和识别单元4,其中:
获取单元1用于获取多源用户行为信息;归一单元2用于对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定单元3用于确定用户行为的识别规则,并根据所述识别规则获取对应的信息;识别单元4用于根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
具体的,获取单元1用于获取多源用户行为信息;归一单元2用于对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定单元3用于确定用户行为的识别规则,并根据所述识别规则获取对应的信息;识别单元4用于根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
本发明实施例提供的识别用户行为的装置,通过多种识别规则,能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述识别规则包括第一识别规则;相应的,所述确定单元3具体用于:
确定用户行为的识别规则为第一识别规则,根据所述第一识别规则获取对应的第一信息,其中,所述第一信息包括用户所属的组群用户行为信息。
具体的,所述确定单元3具体用于:
确定用户行为的识别规则为第一识别规则,根据所述第一识别规则获取对应的第一信息,其中,所述第一信息包括用户所属的组群用户行为信息。
本发明实施例提供的识别用户行为的装置,通过确定第一识别规则并获取对应的第一信息,保证了对用户行为识别的正常进行。
在上述实施例的基础上,所述识别规则包括第二识别规则;相应的,所述确定单元3具体用于:
确定用户行为的识别规则为第二识别规则,根据所述第二识别规则获取对应的第二信息,其中,所述第二信息包括用户身份标识、虚拟专用网络是否发生IP跳转、用户行为的发生地及发生时间。
具体的,所述确定单元3具体用于:
确定用户行为的识别规则为第二识别规则,根据所述第二识别规则获取对应的第二信息,其中,所述第二信息包括用户身份标识、虚拟专用网络是否发生IP跳转、用户行为的发生地及发生时间。
本发明实施例提供的识别用户行为的装置,通过确定第二识别规则并获取对应的第二信息,保证了对用户行为识别的正常进行。
在上述实施例的基础上,所述识别规则包括第三识别规则;相应的,所述确定单元3具体用于:
确定用户行为的识别规则为第三识别规则,根据所述第三识别规则获取对应的第三信息,其中,所述第三信息包括在预设时段内用户行为的统计次数。
具体的,所述确定单元3具体用于:
确定用户行为的识别规则为第三识别规则,根据所述第三识别规则获取对应的第三信息,其中,所述第三信息包括在预设时段内用户行为的统计次数。
本发明实施例提供的识别用户行为的装置,通过确定第三识别规则并获取对应的第三信息,保证了对用户行为识别的正常进行。
在上述实施例的基础上,所述识别单元4具体用于:
根据所述用户行为信息和预设机器学习模型,确定所述用户行为的第一识别结果;若判断获知所述第一识别结果为异常,则根据所述第一信息和所述预设机器学习模型,确定组群用户行为的第二识别结果;若判断获知所述第二识别结果与所述第一识别结果不一致,则确定所述用户行为的识别结果为异常。
具体的,所述识别单元4具体用于:
根据所述用户行为信息和预设机器学习模型,确定所述用户行为的第一识别结果;若判断获知所述第一识别结果为异常,则根据所述第一信息和所述预设机器学习模型,确定组群用户行为的第二识别结果;若判断获知所述第二识别结果与所述第一识别结果不一致,则确定所述用户行为的识别结果为异常。
本发明实施例提供的识别用户行为的装置,通过第一识别规则,能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述识别单元4还具体用于:
若判断获知所述第二识别结果与所述第一识别结果一致,则确定所述用户行为的识别结果为正常。
具体的,所述识别单元4还具体用于:
若判断获知所述第二识别结果与所述第一识别结果一致,则确定所述用户行为的识别结果为正常。
本发明实施例提供的识别用户行为的装置,通过第一识别规则,进一步能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述识别单元4还具体用于:
若判断获知所述第一识别结果为正常,则直接确定所述用户行为的识别结果为正常。
具体的,所述识别单元4还具体用于:
若判断获知所述第一识别结果为正常,则直接确定所述用户行为的识别结果为正常。
本发明实施例提供的识别用户行为的装置,通过第一识别规则,更进一步能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述识别单元4还具体用于:
若所述用户身份标识所标识用户的每两次用户行为的发生地之间的间距大于等于预设间距,且对应的发生时间之间的时间间隔小于等于预设时间间隔,且所述虚拟专用网络没有发生IP跳转,则确定所述用户行为的识别结果为异常。
具体的,所述识别单元4还具体用于:
若所述用户身份标识所标识用户的每两次用户行为的发生地之间的间距大于等于预设间距,且对应的发生时间之间的时间间隔小于等于预设时间间隔,且所述虚拟专用网络没有发生IP跳转,则确定所述用户行为的识别结果为异常。
本发明实施例提供的识别用户行为的装置,通过第二识别规则,进一步能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述识别单元4还具体用于:
若判断获知在预设时段内用户行为的统计次数大于等于预设次数,则确定所述用户行为的识别结果为异常。
具体的,所述识别单元4还具体用于:
若判断获知在预设时段内用户行为的统计次数大于等于预设次数,则确定所述用户行为的识别结果为异常。
本发明实施例提供的识别用户行为的装置,通过第三识别规则,进一步能够高效并合理地对多种用户行为进行有效识别。
在上述实施例的基础上,所述装置还包括加入单元5,具体用于:
获取用户行为发生地的本地IP地址;若判断获知所述本地IP地址为异常,则将所述用户行为对应的用户加入黑名单。
具体的,加入单元5具体用于:
获取用户行为发生地的本地IP地址;若判断获知所述本地IP地址为异常,则将所述用户行为对应的用户加入黑名单。
本发明实施例提供的识别用户行为的装置,通过将异常的本地IP地址对应的用户加入黑名单,能够快捷地对黑名单中的用户进行用户行为识别。
在上述实施例的基础上,所述装置还包括地址确定单元6,具体用于:
获取用户行为所访问的目的IP地址;若所述目的IP地址存在于恶意IP地址库中,则确定所述用户行为的识别结果为异常,其中,所述恶意IP地址库预先设定有可疑网站的站点IP。
具体的,地址确定单元6具体用于:
获取用户行为所访问的目的IP地址;若所述目的IP地址存在于恶意IP地址库中,则确定所述用户行为的识别结果为异常,其中,所述恶意IP地址库预先设定有可疑网站的站点IP。
本发明实施例提供的识别用户行为的装置,通过判断目的IP地址是否存在于恶意IP地址库中,能够快捷地进行用户行为识别。
在上述实施例的基础上,所述装置还包括调用单元7,具体用于:
获取用户所访问的文件路径;调用病毒查杀程序对所述文件路径对应的文件进行检测,以获取检测结果;将所述检测结果作为所述用户行为的识别结果。
具体的,调用单元7具体用于:
获取用户所访问的文件路径;调用病毒查杀程序对所述文件路径对应的文件进行检测,以获取检测结果;将所述检测结果作为所述用户行为的识别结果。
本发明实施例提供的识别用户行为的装置,通过将调用的病毒查杀程序的检测结果作为用户行为的识别结果,提供了有效的用户行为识别方法。
在上述实施例的基础上,所述装置还包括告警单元8,具体用于:
根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息。
具体的,告警单元8具体用于:
根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息。
本发明实施例提供的识别用户行为的装置,能够生成告警事件信息,有助于更好地提示用户对异常的用户行为进行处理。
在上述实施例的基础上,所述装置还包括威胁计分单元9,具体用于:
根据如下公式对告警事件进行计分:
告警事件计分分值=告警事件的基础分值×告警事件的可信度系数×告警事件触发系数;
其中,所述告警事件的基础分值、所述告警事件的可信度系数和所述告警事件触发系数预先设定。
具体的,威胁计分单元9具体用于:
根据如下公式对告警事件进行计分:
告警事件计分分值=告警事件的基础分值×告警事件的可信度系数×告警事件触发系数;
其中,所述告警事件的基础分值、所述告警事件的可信度系数和所述告警事件触发系数预先设定。
本发明实施例提供的识别用户行为的装置,能够合理地计算出告警事件计分分值,有助于更好地对告警事件进行评估。
在上述实施例的基础上,所述装置还包括界面显示单元10,具体用于:
将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示。
具体的,界面显示单元10具体用于:
将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示。
本发明实施例提供的识别用户行为的装置,能够显示对应的信息,有助于更好地提示用户重点关注该对应的信息。
在上述实施例的基础上,所述用户行为信息包括:用户登录的时间段、用户登录所在的地点、用户执行文件的次数;所述组群用户行为信息包括:组群用户登录的时间段、组群用户登录所在的地点、组群用户执行文件的次数。
具体的,装置中的所述用户行为信息包括:用户登录的时间段、用户登录所在的地点、用户执行文件的次数;所述组群用户行为信息包括:组群用户登录的时间段、组群用户登录所在的地点、组群用户执行文件的次数。
本发明实施例提供的识别用户行为的装置,能够进一步明确用户行为信息的内容。
在上述实施例的基础上,图3为本发明另一实施例识别用户行为的装置结构示意图,如图3所示,所述装置还包括用户确认单元11,具体用于:
接收用户针对所显示的用户行为信息和/或组群用户行为信息、以及所述计分分值的确认信息;若所述确认信息包括误报信息和/或忽略信息,则将所述误报信息和/或所述忽略信息反馈,以修正所述用户行为的第一识别规则。
具体的,用户确认单元11具体用于:
接收用户针对所显示的用户行为信息和/或组群用户行为信息、以及所述计分分值的确认信息;若所述确认信息包括误报信息和/或忽略信息,则将所述误报信息和/或所述忽略信息反馈,以修正所述用户行为的第一识别规则。
本发明实施例提供的识别用户行为的装置,能够根据确认信息修正预设机器学习模型,进一步优化了预设机器学习模型,使得预设机器学习模型输出的识别结果更加准确。
本发明实施例提供的识别用户行为的装置具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图4为本发明实施例提供的装置实体结构示意图,如图4所示,所述装置包括:处理器(processor)401、存储器(memory)402和总线403;
其中,所述处理器401、存储器402通过总线403完成相互间的通信;
所述处理器401用于调用所述存储器402中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:获取多源用户行为信息;对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定用户行为的识别规则,并根据所述识别规则获取对应的信息;根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:获取多源用户行为信息;对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定用户行为的识别规则,并根据所述识别规则获取对应的信息;根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:获取多源用户行为信息;对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定用户行为的识别规则,并根据所述识别规则获取对应的信息;根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的装置等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的实施例各实施例技术方案的范围。
Claims (36)
1.一种识别用户行为的方法,其特征在于,包括:
获取多源用户行为信息;
对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;
确定用户行为的识别规则,并根据所述识别规则获取对应的信息;
根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
2.根据权利要求1所述的方法,其特征在于,所述识别规则包括第一识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:
确定用户行为的识别规则为第一识别规则,根据所述第一识别规则获取对应的第一信息,其中,所述第一信息包括用户所属的组群用户行为信息。
3.根据权利要求1所述的方法,其特征在于,所述识别规则包括第二识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:
确定用户行为的识别规则为第二识别规则,根据所述第二识别规则获取对应的第二信息,其中,所述第二信息包括用户身份标识、虚拟专用网络是否发生IP跳转、用户行为的发生地及发生时间。
4.根据权利要求1所述的方法,其特征在于,所述识别规则包括第三识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:
确定用户行为的识别规则为第三识别规则,根据所述第三识别规则获取对应的第三信息,其中,所述第三信息包括在预设时段内用户行为的统计次数。
5.根据权利要求2所述的方法,其特征在于,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:
根据所述用户行为信息和预设机器学习模型,确定所述用户行为的第一识别结果;
若判断获知所述第一识别结果为异常,则根据所述第一信息和所述预设机器学习模型,确定组群用户行为的第二识别结果;
若判断获知所述第二识别结果与所述第一识别结果不一致,则确定所述用户行为的识别结果为异常。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
若判断获知所述第二识别结果与所述第一识别结果一致,则确定所述用户行为的识别结果为正常。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
若判断获知所述第一识别结果为正常,则直接确定所述用户行为的识别结果为正常。
8.根据权利要求3所述的方法,其特征在于,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:
若所述用户身份标识所标识用户的每两次用户行为的发生地之间的间距大于等于预设间距,且对应的发生时间之间的时间间隔小于等于预设时间间隔,且所述虚拟专用网络没有发生IP跳转,则确定所述用户行为的识别结果为异常。
9.根据权利要求4所述的方法,其特征在于,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:
若判断获知在预设时段内用户行为的统计次数大于等于预设次数,则确定所述用户行为的识别结果为异常。
10.根据权利要求1-6、8或9任一所述的方法,其特征在于,所述方法还包括:
获取用户行为发生地的本地IP地址;
若判断获知所述本地IP地址为异常,则将所述用户行为对应的用户加入黑名单。
11.根据权利要求1-6、8或9任一所述的方法,其特征在于,所述方法还包括:
获取用户行为所访问的目的IP地址;
若所述目的IP地址存在于恶意IP地址库中,则确定所述用户行为的识别结果为异常,其中,所述恶意IP地址库预先设定有可疑网站的站点IP。
12.根据权利要求1-6、8或9任一所述的方法,其特征在于,所述方法还包括:
获取用户所访问的文件路径;
调用病毒查杀程序对所述文件路径对应的文件进行检测,以获取检测结果;
将所述检测结果作为所述用户行为的识别结果。
13.根据权利要求2-6、8或9任一所述的方法,其特征在于,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果的步骤之后,所述方法还包括:
根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息。
14.根据权利要求13所述的方法,其特征在于,所述根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息的步骤之后,所述方法还包括:
根据如下公式对告警事件进行计分:
告警事件计分分值=告警事件的基础分值×告警事件的可信度系数×告警事件触发系数;
其中,所述告警事件的基础分值、所述告警事件的可信度系数和所述告警事件触发系数预先设定。
15.根据权利要求14所述的方法,其特征在于,所述根据如下公式对告警事件进行计分的步骤之后,所述方法还包括:
将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示。
16.根据权利要求15所述的方法,其特征在于,所述用户行为信息包括:用户登录的时间段、用户登录所在的地点、用户执行文件的次数;
所述组群用户行为信息包括:组群用户登录的时间段、组群用户登录所在的地点、组群用户执行文件的次数。
17.根据权利要求15或16所述的方法,其特征在于,所述将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示的步骤之后,所述方法还包括:
接收用户针对所显示的用户行为信息和/或组群用户行为信息、以及所述计分分值的确认信息;
若所述确认信息包括误报信息和/或忽略信息,则将所述误报信息和/或所述忽略信息反馈,以修正所述用户行为的第一识别规则。
18.一种识别用户行为的装置,其特征在于,包括:
获取单元,用于获取多源用户行为信息;
归一单元,用于对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;
确定单元,用于确定用户行为的识别规则,并根据所述识别规则获取对应的信息;
识别单元,用于根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
19.根据权利要求18所述的装置,其特征在于,所述识别规则包括第一识别规则;相应的,所述确定单元具体用于:
确定用户行为的识别规则为第一识别规则,根据所述第一识别规则获取对应的第一信息,其中,所述第一信息包括用户所属的组群用户行为信息。
20.根据权利要求18所述的装置,其特征在于,所述识别规则包括第二识别规则;相应的,所述确定单元具体用于:
确定用户行为的识别规则为第二识别规则,根据所述第二识别规则获取对应的第二信息,其中,所述第二信息包括用户身份标识、虚拟专用网络是否发生IP跳转、用户行为的发生地及发生时间。
21.根据权利要求18所述的装置,其特征在于,所述识别规则包括第三识别规则;相应的,所述确定单元具体用于:
确定用户行为的识别规则为第三识别规则,根据所述第三识别规则获取对应的第三信息,其中,所述第三信息包括在预设时段内用户行为的统计次数。
22.根据权利要求19所述的装置,其特征在于,所述识别单元具体用于:
根据所述用户行为信息和预设机器学习模型,确定所述用户行为的第一识别结果;
若判断获知所述第一识别结果为异常,则根据所述第一信息和所述预设机器学习模型,确定组群用户行为的第二识别结果;
若判断获知所述第二识别结果与所述第一识别结果不一致,则确定所述用户行为的识别结果为异常。
23.根据权利要求22所述的装置,其特征在于,所述识别单元还具体用于:
若判断获知所述第二识别结果与所述第一识别结果一致,则确定所述用户行为的识别结果为正常。
24.根据权利要求22或23所述的装置,其特征在于,所述识别单元还具体用于:
若判断获知所述第一识别结果为正常,则直接确定所述用户行为的识别结果为正常。
25.根据权利要求20所述的装置,其特征在于,所述识别单元还具体用于:
若所述用户身份标识所标识用户的每两次用户行为的发生地之间的间距大于等于预设间距,且对应的发生时间之间的时间间隔小于等于预设时间间隔,且所述虚拟专用网络没有发生IP跳转,则确定所述用户行为的识别结果为异常。
26.根据权利要求21所述的装置,其特征在于,所述识别单元还具体用于:
若判断获知在预设时段内用户行为的统计次数大于等于预设次数,则确定所述用户行为的识别结果为异常。
27.根据权利要求18-23、25或26任一所述的装置,其特征在于,所述装置还包括加入单元,具体用于:
获取用户行为发生地的本地IP地址;
若判断获知所述本地IP地址为异常,则将所述用户行为对应的用户加入黑名单。
28.根据权利要求18-23、25或26任一所述的装置,其特征在于,所述装置还包括地址确定单元,具体用于:
获取用户行为所访问的目的IP地址;
若所述目的IP地址存在于恶意IP地址库中,则确定所述用户行为的识别结果为异常,其中,所述恶意IP地址库预先设定有可疑网站的站点IP。
29.根据权利要求18-23、25或26任一所述的装置,其特征在于,所述装置还包括调用单元,具体用于:
获取用户所访问的文件路径;
调用病毒查杀程序对所述文件路径对应的文件进行检测,以获取检测结果;
将所述检测结果作为所述用户行为的识别结果。
30.根据权利要求19-23、25或26任一所述的装置,其特征在于,所述装置还包括告警单元,具体用于:
根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息。
31.根据权利要求30所述的装置,其特征在于,所述装置还包括威胁计分单元,具体用于:
根据如下公式对告警事件进行计分:
告警事件计分分值=告警事件的基础分值×告警事件的可信度系数×告警事件触发系数;
其中,所述告警事件的基础分值、所述告警事件的可信度系数和所述告警事件触发系数预先设定。
32.根据权利要求31所述的装置,其特征在于,所述装置还包括界面显示单元,具体用于:
将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示。
33.根据权利要求32所述的装置,其特征在于,所述用户行为信息包括:用户登录的时间段、用户登录所在的地点、用户执行文件的次数;
所述组群用户行为信息包括:组群用户登录的时间段、组群用户登录所在的地点、组群用户执行文件的次数。
34.根据权利要求32或33所述的装置,其特征在于,所述装置还包括用户确认单元,具体用于:
接收用户针对所显示的用户行为信息和/或组群用户行为信息、以及所述计分分值的确认信息;
若所述确认信息包括误报信息和/或忽略信息,则将所述误报信息和/或所述忽略信息反馈,以修正所述用户行为的第一识别规则。
35.一种识别用户行为的装置,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至17任一所述的方法。
36.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至17任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710656778.1A CN107426231B (zh) | 2017-08-03 | 2017-08-03 | 一种识别用户行为的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710656778.1A CN107426231B (zh) | 2017-08-03 | 2017-08-03 | 一种识别用户行为的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107426231A true CN107426231A (zh) | 2017-12-01 |
| CN107426231B CN107426231B (zh) | 2020-05-01 |
Family
ID=60437322
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710656778.1A Active CN107426231B (zh) | 2017-08-03 | 2017-08-03 | 一种识别用户行为的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107426231B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108121912A (zh) * | 2017-12-13 | 2018-06-05 | 中国科学院软件研究所 | 一种基于神经网络的恶意云租户识别方法和装置 |
| CN109858965A (zh) * | 2019-01-25 | 2019-06-07 | 上海基分文化传播有限公司 | 一种用户识别方法和系统 |
| CN109934267A (zh) * | 2019-02-19 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 模型检测方法及装置 |
| CN109993047A (zh) * | 2017-12-28 | 2019-07-09 | 杭州海康威视系统技术有限公司 | 城市乱堆物料的违规识别方法、装置及电子设备 |
| CN110188517A (zh) * | 2018-12-14 | 2019-08-30 | 浙江宇视科技有限公司 | 一种基于角色模式的用户帐号登录方法及装置 |
| CN111385272A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 弱口令的检测方法及装置 |
| CN114553497A (zh) * | 2022-01-28 | 2022-05-27 | 中国科学院信息工程研究所 | 基于特征融合的内部威胁检测方法 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102083089A (zh) * | 2009-11-27 | 2011-06-01 | 中国移动通信集团山东有限公司 | 一种访问业务监控方法、系统及装置 |
| CN102279786A (zh) * | 2011-08-25 | 2011-12-14 | 百度在线网络技术(北京)有限公司 | 一种监测应用程序有效访问量的方法及装置 |
| CN102685224A (zh) * | 2012-04-28 | 2012-09-19 | 华为技术有限公司 | 用户行为分析方法及相关设备和系统 |
| CN103123712A (zh) * | 2011-11-17 | 2013-05-29 | 阿里巴巴集团控股有限公司 | 一种网络行为数据的监控方法和系统 |
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
| CN104426885A (zh) * | 2013-09-03 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 异常账号提供方法及装置 |
| CN104852888A (zh) * | 2014-02-17 | 2015-08-19 | 腾讯科技(深圳)有限公司 | 一种设置静态认证信息的方法及装置 |
-
2017
- 2017-08-03 CN CN201710656778.1A patent/CN107426231B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102083089A (zh) * | 2009-11-27 | 2011-06-01 | 中国移动通信集团山东有限公司 | 一种访问业务监控方法、系统及装置 |
| CN102279786A (zh) * | 2011-08-25 | 2011-12-14 | 百度在线网络技术(北京)有限公司 | 一种监测应用程序有效访问量的方法及装置 |
| CN103123712A (zh) * | 2011-11-17 | 2013-05-29 | 阿里巴巴集团控股有限公司 | 一种网络行为数据的监控方法和系统 |
| CN103368904A (zh) * | 2012-03-27 | 2013-10-23 | 百度在线网络技术(北京)有限公司 | 移动终端、可疑行为检测及判定系统和方法 |
| CN102685224A (zh) * | 2012-04-28 | 2012-09-19 | 华为技术有限公司 | 用户行为分析方法及相关设备和系统 |
| CN104426885A (zh) * | 2013-09-03 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 异常账号提供方法及装置 |
| CN104852888A (zh) * | 2014-02-17 | 2015-08-19 | 腾讯科技(深圳)有限公司 | 一种设置静态认证信息的方法及装置 |
| CN103824069A (zh) * | 2014-03-19 | 2014-05-28 | 北京邮电大学 | 一种基于多主机日志关联的入侵检测方法 |
Non-Patent Citations (1)
| Title |
|---|
| 陈大鹏: "基于用户行为分析与识别的数据库入侵检测系统的研究", 《中国优秀硕士论文全文数据库信息科技辑》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108121912A (zh) * | 2017-12-13 | 2018-06-05 | 中国科学院软件研究所 | 一种基于神经网络的恶意云租户识别方法和装置 |
| CN108121912B (zh) * | 2017-12-13 | 2021-11-09 | 中国科学院软件研究所 | 一种基于神经网络的恶意云租户识别方法和装置 |
| CN109993047A (zh) * | 2017-12-28 | 2019-07-09 | 杭州海康威视系统技术有限公司 | 城市乱堆物料的违规识别方法、装置及电子设备 |
| CN110188517A (zh) * | 2018-12-14 | 2019-08-30 | 浙江宇视科技有限公司 | 一种基于角色模式的用户帐号登录方法及装置 |
| CN111385272A (zh) * | 2018-12-29 | 2020-07-07 | 北京奇虎科技有限公司 | 弱口令的检测方法及装置 |
| CN109858965A (zh) * | 2019-01-25 | 2019-06-07 | 上海基分文化传播有限公司 | 一种用户识别方法和系统 |
| CN109934267A (zh) * | 2019-02-19 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 模型检测方法及装置 |
| CN109934267B (zh) * | 2019-02-19 | 2023-10-20 | 创新先进技术有限公司 | 模型检测方法及装置 |
| CN114553497A (zh) * | 2022-01-28 | 2022-05-27 | 中国科学院信息工程研究所 | 基于特征融合的内部威胁检测方法 |
| CN114553497B (zh) * | 2022-01-28 | 2022-11-15 | 中国科学院信息工程研究所 | 基于特征融合的内部威胁检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107426231B (zh) | 2020-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107426231A (zh) | 一种识别用户行为的方法及装置 | |
| CN107579956B (zh) | 一种用户行为的检测方法和装置 | |
| CN108881265B (zh) | 一种基于人工智能的网络攻击检测方法及系统 | |
| US20200184847A1 (en) | A system and method for on-premise cyber training | |
| JP2019067398A (ja) | 電子メッセージベースのセキュリティ脅威の自動軽減 | |
| WO2017059294A1 (en) | Systems and methods for detecting vulnerabilities and privileged access using cluster movement | |
| CN106888106A (zh) | 智能电网中的it资产大规模侦测系统 | |
| CN108833185B (zh) | 一种网络攻击路线还原方法及系统 | |
| CN105577799B (zh) | 一种数据库集群的故障检测方法和装置 | |
| CN110896386B (zh) | 识别安全威胁的方法、装置、存储介质、处理器和终端 | |
| CN110213207A (zh) | 一种基于日志分析的网络安全防御方法及设备 | |
| CN110351237B (zh) | 用于数控机床的蜜罐方法及装置 | |
| CN110099044A (zh) | 云主机安全检测系统及方法 | |
| CN106126551A (zh) | 一种Hbase数据库访问日志的生成方法、装置及系统 | |
| CN111177779A (zh) | 数据库审计方法、其装置、电子设备及计算机存储介质 | |
| CN103581185A (zh) | 对抗免杀测试的云查杀方法、装置及系统 | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| CN113901450A (zh) | 一种工业主机终端安全防护系统 | |
| CN113836237A (zh) | 对数据库的数据操作进行审计的方法及装置 | |
| CN109800571A (zh) | 事件处理方法和装置、以及存储介质和电子装置 | |
| CN116015983A (zh) | 一种基于数字孪生体的网络安全漏洞分析方法及系统 | |
| CN110019318A (zh) | 一种日志匹配处理方法、装置以及电子设备 | |
| Zammit | A machine learning based approach for intrusion prevention using honeypot interaction patterns as training data | |
| JP2017508487A (ja) | 対話式アプリケーションにおいて標識アイコンを追加するための方法およびデバイス | |
| CN107612882B (zh) | 一种基于中间日志的用户行为识别方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100015 Jiuxianqiao Chaoyang District Beijing Road No. 10, building 15, floor 17, layer 1701-26, 3 Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |