CN107977303A - 一种操作行为监控方法、移动终端以及计算机可读存储介质 - Google Patents
一种操作行为监控方法、移动终端以及计算机可读存储介质 Download PDFInfo
- Publication number
- CN107977303A CN107977303A CN201711240846.2A CN201711240846A CN107977303A CN 107977303 A CN107977303 A CN 107977303A CN 201711240846 A CN201711240846 A CN 201711240846A CN 107977303 A CN107977303 A CN 107977303A
- Authority
- CN
- China
- Prior art keywords
- computer
- behavior
- user
- file
- law
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种操作行为监控方法,采集用户访问计算机的行为数据;对所述行为数据进行分析确定所述用户访问计算机的行为规律;通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控。本发明还公开了一种移动终端和计算机可读存储介质,解决了相关技术中无法对用户访问计算机的异常操作行为进行监控使得数据丢失的风险较大的问题,通过对用户访问计算机的行为监控,可以实时发现用户的异常行为,降低了数据丢失的风险。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种操作行为监控方法、移动终端以及计算机可读存储介质。
背景技术
随着企业规模的不断壮大,企业员工数量越来越多。企业管理者无法实时了解每个企业员工的工作行为,对企业员工当前工作状态无法实时获取,导致企业员工准备离职时,企业管理者对这些情况任然不了解,给工作安排带来困难。员工离职后,一般会就职于类似行业或者类似职位。而原有的工作材料是员工在工作上的一笔很大的财富,所以员工可能会通过拷贝或者打印的方式带走公司大量的资料。而这些操作一般要在上班之前或者下班以后,单位已无他人时进行。
企业需要及时发现员工的异常操作行为,以便于采取有效的预防措施,降低公司员工的离职成本,保证公司业务的正常运行。
针对相关技术中无法对用户访问计算机的异常操作行为进行监控使得数据丢失的风险较大的问题,目前尚未提出解决方案。
发明内容
本发明的主要目的在于提出一种操作行为监控方法、移动终端以及计算机可读存储介质,旨在解决相关技术中无法对用户访问计算机的异常操作行为进行监控使得数据丢失的风险较大的问题。
为实现上述目的,本发明实施例提出一种操作行为监控方法,包括:
采集用户访问计算机的行为数据;
对所述行为数据进行分析确定所述用户访问计算机的行为规律;
通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控。
可选的,通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控包括:
将确定的所述行为规律与预先存储的用户访问计算机的行为规律进行对比;
根据对比的结果对所述用户访问计算机的操作行为进行监控。
可选的,在采集用户访问计算机的行为数据之前,所述方法还包括:
采集预定时间内用户访问计算机的行为数据;
根据采集的所述行为数据确定所述用户访问计算机的行为规律;
存储所述行为规律。
可选的,根据对比的结果对所述用户访问计算机的操作行为进行监控包括:
在确定的所述行为规律与预先存储的行为规律存在较大差异的情况下,上报用户访问计算机行为异常的告警消息。
可选的,所述方法还包括:
接收工作计划;
判断所述工作计划是否指示在预定时间内需要大量访问文件;
在判断结果为是的情况下,保存所述工作计划。
可选的,通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控包括:
在所述预定时间内检测到访问文件的次数增加较多;
判断访问文件与所述工作计划是否匹配;
在判断结果为是的情况下,放弃上报用户访问计算机行为异常的告警消息。
可选的,判断所述工作计划是否指示在预定时间内需要大量访问文件包括:
根据所述工作计划对用户访问计算机的行为与所述预先存储的用户访问计算机的行为规律进行比较;
根据比较的结果判断所述工作计划是否指示在预定时间内需要大量访问文件。
可选的,所述行为数据包括以下至少之一:
关机时间、访问文件类型、文件操作次数及文件操作类型、计算机操作记录,其中,所述计算机操作记录包括安装系统和/或清理磁盘记录;所述文件操作类型包括以下至少之一:创建文件、修改文件、删除文件、文件类型、文件大小。
根据本发明实施例的另一方面,还提供了一种移动终端,所述移动终端包括:处理器、存储器及通信总线,其中,
所述通信总线,用于实现所述处理器和所述存储器之间的连接通信;
所述处理器,用于执行存储器中存储的操作行为监控程序,以实现以下步骤:
采集用户访问计算机的行为数据;
对所述行为数据进行分析确定所述用户访问计算机的行为规律;
通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
将确定的所述行为规律与预先存储的用户访问计算机的行为规律进行对比;
根据对比的结果对所述用户访问计算机的操作行为进行监控。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
在采集用户访问计算机的行为数据之前,采集预定时间内用户访问计算机的行为数据;
根据采集的所述行为数据确定所述用户访问计算机的行为规律;
存储所述行为规律。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
在确定的所述行为规律与预先存储的行为规律存在较大差异的情况下,上报用户访问计算机行为异常的告警消息。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
接收工作计划;
判断所述工作计划是否指示在预定时间内需要大量访问文件;
在判断结果为是的情况下,保存所述工作计划。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
在所述预定时间内检测到访问文件的次数增加较多;
判断访问文件与所述工作计划是否匹配;
在判断结果为是的情况下,放弃上报用户访问计算机行为异常的告警消息。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
根据所述工作计划对用户访问计算机的行为与所述预先存储的用户访问计算机的行为规律进行比较;
根据比较的结果判断所述工作计划是否指示在预定时间内需要大量访问文件。
可选的,所述行为数据包括以下至少之一:
关机时间、访问文件类型、文件操作次数及文件操作类型、计算机操作记录,其中,所述计算机操作记录包括安装系统和/或清理磁盘记录;所述文件操作类型包括以下至少之一:创建文件、修改文件、删除文件、文件类型、文件大小。
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述操作行为监控方法的步骤。
通过本发明,采集用户访问计算机的行为数据;对所述行为数据进行分析确定所述用户访问计算机的行为规律;通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控,解决了相关技术中无法对用户访问计算机的异常操作行为进行监控使得数据丢失的风险较大的问题,通过对用户访问计算机的行为监控,可以实时发现用户的异常行为,降低了数据丢失的风险。
附图说明
图1为实现本发明各个实施例一可选的移动终端的硬件结构示意图;
图2为如图1所示的移动终端的无线通信系统示意图;
图3是根据本发明实施例的操作行为监控方法的流程图;
图4是根据本发明实施例的异常行为告警的示意图;
图5是根据本发明实施例的移动终端的框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
终端可以以各种形式来实施。例如,本发明中描述的终端可以包括诸如手机、平板电脑、笔记本电脑、掌上电脑、个人数字助理(Personal Digital Assistant,PDA)、便捷式媒体播放器(Portable Media Player,PMP)、导航装置、可穿戴设备、智能手环、计步器等移动终端,以及诸如数字TV、台式计算机等固定终端。
后续描述中将以移动终端为例进行说明,本领域技术人员将理解的是,除了特别用于移动目的的元件之外,根据本发明的实施方式的构造也能够应用于固定类型的终端。
请参阅图1,其为实现本发明各个实施例的一种移动终端的硬件结构示意图,该移动终端100可以包括:RF(Radio Frequency,射频)单元101、WiFi模块102、音频输出单元103、A/V(音频/视频)输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、处理器110、以及电源111等部件。本领域技术人员可以理解,图1中示出的移动终端结构并不构成对移动终端的限定,移动终端可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图1对移动终端的各个部件进行具体的介绍:
射频单元101可用于收发信息或通话过程中,信号的接收和发送,具体的,将基站的下行信息接收后,给处理器110处理;另外,将上行的数据发送给基站。通常,射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元101还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于GSM(Global System of Mobile communication,全球移动通讯系统)、GPRS(General Packet Radio Service,通用分组无线服务)、CDMA2000(CodeDivision Multiple Access 2000,码分多址2000)、WCDMA(Wideband Code DivisionMultiple Access,宽带码分多址)、TD-SCDMA(Time Division-Synchronous CodeDivision Multiple Access,时分同步码分多址)、FDD-LTE(Frequency DivisionDuplexing-Long Term Evolution,频分双工长期演进)和TDD-LTE(Time DivisionDuplexing-Long Term Evolution,分时双工长期演进)等。
WiFi属于短距离无线传输技术,移动终端通过WiFi模块102可以帮助用户收发电子邮件、浏览网页和访问流式媒体等,它为用户提供了无线的宽带互联网访问。虽然图1示出了WiFi模块102,但是可以理解的是,其并不属于移动终端的必须构成,完全可以根据需要在不改变发明的本质的范围内而省略。
音频输出单元103可以在移动终端100处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时,将射频单元101或WiFi模块102接收的或者在存储器109中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元103还可以提供与移动终端100执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元103可以包括扬声器、蜂鸣器等等。
A/V输入单元104用于接收音频或视频信号。A/V输入单元104可以包括图形处理器(Graphics Processing Unit,GPU)1041和麦克风1042,图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元106上。经图形处理器1041处理后的图像帧可以存储在存储器109(或其它存储介质)中或者经由射频单元101或WiFi模块102进行发送。麦克风1042可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风1042接收声音(音频数据),并且能够将这样的声音处理为音频数据。处理后的音频(语音)数据可以在电话通话模式的情况下转换为可经由射频单元101发送到移动通信基站的格式输出。麦克风1042可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。
移动终端100还包括至少一种传感器105,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1061的亮度,接近传感器可在移动终端100移动到耳边时,关闭显示面板1061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别手机姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;至于手机还可配置的指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
显示单元106用于显示由用户输入的信息或提供给用户的信息。显示单元106可包括显示面板1061,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置显示面板1061。
用户输入单元107可用于接收输入的数字或字符信息,以及产生与移动终端的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元107可包括触控面板1071以及其他输入设备1072。触控面板1071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1071上或在触控面板1071附近的操作),并根据预先设定的程式驱动相应的连接装置。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器110,并能接收处理器110发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1071。除了触控面板1071,用户输入单元107还可以包括其他输入设备1072。具体地,其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种,具体此处不做限定。
进一步的,触控面板1071可覆盖显示面板1061,当触控面板1071检测到在其上或附近的触摸操作后,传送给处理器110以确定触摸事件的类型,随后处理器110根据触摸事件的类型在显示面板1061上提供相应的视觉输出。虽然在图1中,触控面板1071与显示面板1061是作为两个独立的部件来实现移动终端的输入和输出功能,但是在某些实施例中,可以将触控面板1071与显示面板1061集成而实现移动终端的输入和输出功能,具体此处不做限定。
接口单元108用作至少一个外部装置与移动终端100连接可以通过的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元108可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端100和外部装置之间传输数据。
存储器109可用于存储软件程序以及各种数据。存储器109可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器109可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器110是移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分,通过运行或执行存储在存储器109内的软件程序和/或模块,以及调用存储在存储器109内的数据,执行移动终端的各种功能和处理数据,从而对移动终端进行整体监测。处理器110可包括一个或多个处理单元;优选的,处理器110可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器110中。
移动终端100还可以包括给各个部件供电的电源111(比如电池),优选的,电源111可以通过电源管理系统与处理器110逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管图1未示出,移动终端100还可以包括蓝牙模块等,在此不再赘述。
为了便于理解本发明实施例,下面对本发明的移动终端所基于的通信网络系统进行描述。
请参阅图2,图2为本发明实施例提供的一种通信网络系统架构图,该通信网络系统为通用移动通信技术的LTE系统,该LTE系统包括依次通讯连接的UE(User Equipment,用户设备)201,E-UTRAN(Evolved UMTS Terrestrial Radio Access Network,演进式UMTS陆地无线接入网)202,EPC(Evolved Packet Core,演进式分组核心网)203和运营商的IP业务204。
具体地,UE201可以是上述终端100,此处不再赘述。
E-UTRAN202包括eNodeB2021和其它eNodeB2022等。其中,eNodeB2021可以通过回程(backhaul)(例如X2接口)与其它eNodeB2022连接,eNodeB2021连接到EPC203,eNodeB2021可以提供UE201到EPC203的接入。
EPC203可以包括MME(Mobility Management Entity,移动性管理实体)2031,HSS(Home Subscriber Server,归属用户服务器)2032,其它MME2033,SGW(Serving Gate Way,服务网关)2034,PGW(PDN Gate Way,分组数据网络网关)2035和PCRF(Policy andCharging Rules Function,政策和资费功能实体)2036等。其中,MME2031是处理UE201和EPC203之间信令的控制节点,提供承载和连接管理。HSS2032用于提供一些寄存器来管理诸如归属位置寄存器(图中未示)之类的功能,并且保存有一些有关服务特征、数据速率等用户专用的信息。所有用户数据都可以通过SGW2034进行发送,PGW2035可以提供UE 201的IP地址分配以及其它功能,PCRF2036是业务数据流和IP承载资源的策略与计费控制策略决策点,它为策略与计费执行功能单元(图中未示)选择及提供可用的策略和计费控制决策。
IP业务204可以包括因特网、内联网、IMS(IP Multimedia Subsystem,IP多媒体子系统)或其它IP业务等。
虽然上述以LTE系统为例进行了介绍,但本领域技术人员应当知晓,本发明不仅仅适用于LTE系统,也可以适用于其他无线通信系统,例如GSM、CDMA2000、WCDMA、TD-SCDMA以及未来新的网络系统等,此处不做限定。
基于上述移动终端硬件结构以及通信网络系统,提出本发明方法各个实施例。
实施例1
基于上述的移动终端,本发明实施例提供了一种操作行为监控方法,图3是根据本发明实施例的操作行为监控方法的流程图,如图3所示,该方法包括以下步骤:
步骤S301,采集用户访问计算机的行为数据;
步骤S302,对所述行为数据进行分析确定所述用户访问计算机的行为规律;
步骤S303,通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控。
通过上述步骤,采集用户访问计算机的行为数据;对所述行为数据进行分析确定所述用户访问计算机的行为规律;通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控,解决了相关技术中无法对用户访问计算机的异常操作行为进行监控使得数据丢失的风险较大的问题,通过对用户访问计算机的行为监控,可以实时发现用户的异常行为,降低了数据丢失的风险。
可选的,通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控包括:将确定的所述行为规律与预先存储的用户访问计算机的行为规律进行对比;根据对比的结果对所述用户访问计算机的操作行为进行监控。
可选的,在采集用户访问计算机的行为数据之前,所述方法还包括:采集预定时间内用户访问计算机的行为数据;根据采集的所述行为数据确定所述用户访问计算机的行为规律;存储所述行为规律。
可选的,根据对比的结果对所述用户访问计算机的操作行为进行监控包括:在确定的所述行为规律与预先存储的行为规律存在较大差异的情况下,上报用户访问计算机行为异常的告警消息。
可选的,所述方法还包括:接收工作计划;判断所述工作计划是否指示在预定时间内需要大量访问文件;在判断结果为是的情况下,保存所述工作计划。
可选的,通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控可以包括:在所述预定时间内检测到访问文件的次数增加较多;判断访问文件与所述工作计划是否匹配;在判断结果为是的情况下,放弃上报用户访问计算机行为异常的告警消息。
可选的,判断所述工作计划是否指示在预定时间内需要大量访问文件可以包括:根据所述工作计划对用户访问计算机的行为与所述预先存储的用户访问计算机的行为规律进行比较,根据比较的结果判断所述工作计划是否指示在预定时间内需要大量访问文件,在所述工作计划对用户访问计算机的行为与所述预先存储的用户访问计算机的行为规律差异较大的情况下,确定所述工作计划指示在预定时间内需要大量访问文件;在所述工作计划对用户访问计算机的行为与所述预先存储的用户访问计算机的行为规律差异较小或几乎相同的情况下,说明所述工作计划没有指示在预定时间内需要大量访问文件,即在预定时间内部需要大量访问文件。
可选的,所述行为数据包括以下至少之一:关机时间、访问文件类型、文件操作次数及文件操作类型、计算机操作记录,其中,所述计算机操作记录包括安装系统和/或清理磁盘记录;所述文件操作类型包括以下至少之一:创建文件、修改文件、删除文件、文件类型、文件大小。
记录用户访问本地计算机的行为:开关机时间、访问文件类型、文件操作次数及文件类型统计(创建文件、修改文件、删除文件,文件类型,文件大小等)、计算机操作记录(安装系统、清理磁盘记录等),系统把这些记录保存到系统中(如数据库中)。对记录的用户访问本地计算机的行为进行汇总、分析,得到用户访问网络的行为规律,如用户每天开机时间集中在8:00~9:00、关机时间集中在18:00~19:00、文件操作在20~50个、一周清理1~2次磁盘。
图4是根据本发明实施例的异常行为告警的示意图,如图4所示,系统对每天记录的用户访问本地计算机的行为和用户访问本地计算机的行为的历史记录进行比较,如果用户最近的用户访问本地计算机的行为和历史记录数据比较差异较大时,系统上报用户访问本地计算机的行为的告警。可以通过无线连接将告警发送给预先设置的移动终端上,管理员通过操控移动终端对上报的告警进行处理,如分析用户访问本地计算机的行为是否存在一些异常、是否拷贝、阅读了非法数据。
系统也可以导入用户的工作计划,根据用户工作计划来对用户访问本地计算机的行为和用户访问本地计算机的行为的历史记录进行比较。如果用户的工作计划这段时间需要大量访问文件,则系统在比较时发现用户的访问文件数突然增加较多,但与工作计划相匹配时,也不产生告警。
记录用户访问本地计算机的行为,然后对这些数据进行分析,得到用户访问本地计算机的行为规律。然后对用户访问本地计算机的行为和过去的行为规律进行比较,存在较大差异时上报用户访问本地计算机的行为异常的告警信息。
本发明实施例,通过用户访问本地计算机的行为监控,可以实时发现用户的异常行为,如某些员工在一段时间内经常阅读设计文档(为找工作做准备)时,则该员工可能存在离职的行为,需要网络管理员进行处理(上报人力资源部进行干预)。
记录企业员工网络行为信息。
企业员工每天需要登录电脑进行工作处理,企业员工登录电脑后,需要访问相应网络,如访问内部局域网或互联网。企业员工一般每天上班后都会使用邮件客户端软件收发邮件;登录企业内部即时通讯软件进行企业员工之间的业务交流;浏览互联网,了解相关资讯。
系统记录企业员工访问网络的相关信息:网络访问的目的IP地址,访问时间、访问时长、网络流量、企业员工标识。获取这些信息后,把这些信息保存到数据库中,编译后续对这些信息进行分析。
网络访问的目的IP地址从网络数据包中获取,如TCP、UDP协议的数据包中获取;访问时间为企业员工访问该目的IP地址开始时间;访问时长为企业员工访问该目的IP地址的时长,同时累计该企业员工一天中访问网络的总时长;网络流量为企业员工一天中访问该目的IP地址的网络流量,同时累计该企业员工一天中访问所有网络的总流量;企业员工标识为用户登录电脑的用户名或员工使用的电脑名称。
记录企业员工访问网络的相关信息,本地数据库存储后,也可以发送到第三方服务器进行存储,编译第三方服务器统一对企业员工的网络行为进行分析。
对企业员工网络行为信息进行汇总、分析,得到用户网络行为规律。对记录的企业员工网络信息进行分析,得到用户主要访问的目的IP地址(如用户访问的目的IP前5名的IP地址信息,一般企业员工主要访问的目的IP地址是和自己工作强相关的服务器)。如用户每天上班后首先打开邮件客户端收发邮件,然后再开启企业内部即时通讯软件进行员工之间的业务交流,那邮件服务器、企业内部及时通讯软件服务器的IP地址就是用户主要访问的目的IP地址。获取用户主要访问的目的IP地址可以通过数据库查询得到,即数据库中记录条数靠前的目的IP地址(如数据库中记录条数前5名的目的IP地址标识为用户主要访问的目的IP地址)。
对记录的网络访问时间进行统计,统计企业员工主要访问的目的IP地址主要是在哪个时间段进行访问,如该企业员工访问邮件服务器时间主要集中在8:30~9:30、17:00~18:00。统计企业员工每天主要在那些时间段访问网络,如主要在8:30~10:00、16:00~18:00。
对记录的网络流量进行统计,统计企业员工一天中访问的目的IP地址的流量、访问流量最大的目的IP地址,统计企业员工一天中总共的网络流量。
对以上分析、统计后的信息进行保存,以该企业员工标识信息(如企业员工登录电脑的用户名)为索引,存储以上信息到数据库中。从而得到该企业员工的网络行为规律数据,如该企业员工一般在8:30~9:30访问企业邮箱服务器、10:00~10:30访问文档服务器下载文档进行处理、每天访问网络的网络流量在2G~5G之间。
使用一段时间内记录的企业员工网络行为信息和用户网络行为规律进行比较,如果一段时间内记录的企业员工网络行为信息和用户网络行为规律有差异,则上报企业员工网络行为异常的信息。对当天或当前连续一段时间(如一个星期)记录的企业员工网络行为信息进行分析和汇总后得到的该企业员工当天或当前连续一段时间(如一个星期)的网络行为规律和该企业员工的历史网络行为规律进行比较,通过比较分析该企业员工当天或当前连续一段时间(如一个星期)的网络行为和历史的网络行为规律是否有较大的差异。如该企业员工在当前连续一段时间都是在17:00~18:00才访问邮件服务器,而该企业员工历史记录的网络行为规律是在8:30~9:30范围邮件服务器,则认为该企业员工当前一段时间的网络行为有异常,需要上报企业员工网络行为异常的信息给相应系统或部门(如人力资源部)。
主要从企业员工访问网络的时间、主要访问的目的IP地址、网络流量等方面进行比较,如果当前的这些信息和历史记录的网络行为规律差别较大时,需要上报企业员工网络行为异常的信息给相应系统或部门(如人力资源部)。上报的企业员工网络行为异常信息包括该企业员工当前一段时间的网络行为规律、企业员工标识(如企业员工登录电脑的账号)。
相应部门收到企业员工网络行为异常信息后,可以采取相应措施。如与该员工进行交流,了解该员工的当前状态;或从该员工的周边同事了解该员工是否有离职倾向。
本实施例在通过比较企业员工当前网络行为规律和历史网络行为规律的差异,判断该企业员工是否有异常行为。发现该企业员工有异常行为后,可以和该员工进行交流,避免该员工进行离职,从而提升企业管理效率。
采集用户操控计算机的行为信息,当用户每在被监控终端上进行一次操作时,根据用户的操作生成一个相应的行为信息,其中该行为信息包括:行为参数和时间参数,行为参数中包含有至少一种类别的行为数据,时间参数包括:行为开始时刻和当前时刻。
可选地,行为数据的类型包括:文本的编辑、文件的下载复制等。用户的行为信息还包括:开关机时间、访问文件类型、文件操作次数及文件类型统计(创建文件、修改文件、删除文件,文件类型,文件大小等)、计算机操作记录(安装系统、清理磁盘记录等),系统把这些记录保存到系统中(如数据库中)
计算机内部生成行为信息时,对于时间参数中的行为开始时刻的确定机制大致如下:可以通过在被监控终端内设置一个计时器,每当被监控终端生成一条行为信息后,则计时器进行重置,并重新开始计时。此时,可以在被监控终端生成行为信息之前,获取到计时器内的计时时间,并将计时时间与预设计时阈值进行比较;当计时器内的计时时间大于预设计时阈值时,则说明用户进行本次操与进行上一次操作的间隔较大,即这两次操作行为并不是一个连续操作行为,此时被监控终端对应本次操作行为生成的行为信息内的行为开始时刻为当前时刻;当计时器内的计时时间小于或等于预设计时阈值时,则说明用户进行本次操与进行上一次操作的间隔较小,即这两次操作行为是一个连续操作行为,此时被监控终端对应本次操作行为生成的行为信息内的行为开始时刻等于被监控终端对应上一次操作行为生成的行为信息内的行为开始时刻。
对于时间参数中的当前时刻,其可以通过设置于计算机内的具有时间显示功能的应用来获取。
在检测到用户的行为数据存在异常时,计算机在根据用户的操作生成相应的行为信息之后,其通过内置的通信模块将该行为信息上报给管理员,以供管理员进行相应的处理。
实施例2
根据本发明实施例的另一方面,还提供了一种移动终端,图5是根据本发明实施例的移动终端的框图,如图5所示,所述移动终端包括:处理器、存储器及通信总线,其中,
所述通信总线,用于实现所述处理器和所述存储器之间的连接通信;
所述处理器,用于执行存储器中存储的操作行为监控程序,以实现以下步骤:
采集用户访问计算机的行为数据;
对所述行为数据进行分析确定所述用户访问计算机的行为规律;
通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
将确定的所述行为规律与预先存储的用户访问计算机的行为规律进行对比;
根据对比的结果对所述用户访问计算机的操作行为进行监控。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
在采集用户访问计算机的行为数据之前,采集预定时间内用户访问计算机的行为数据;
根据采集的所述行为数据确定所述用户访问计算机的行为规律;
存储所述行为规律。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
在确定的所述行为规律与预先存储的行为规律存在较大差异的情况下,上报用户访问计算机行为异常的告警消息。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
接收工作计划;
判断所述工作计划是否指示在预定时间内需要大量访问文件;
在判断结果为是的情况下,保存所述工作计划。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
在所述预定时间内检测到访问文件的次数增加较多;
判断访问文件与所述工作计划是否匹配;
在判断结果为是的情况下,放弃上报用户访问计算机行为异常的告警消息。
可选的,所述处理器还用于执行操作行为监控程序,以实现以下步骤:
根据所述工作计划对用户访问计算机的行为与所述预先存储的用户访问计算机的行为规律进行比较;
根据比较的结果判断所述工作计划是否指示在预定时间内需要大量访问文件。
可选的,所述行为数据包括以下至少之一:
关机时间、访问文件类型、文件操作次数及文件操作类型、计算机操作记录,其中,所述计算机操作记录包括安装系统和/或清理磁盘记录;所述文件操作类型包括以下至少之一:创建文件、修改文件、删除文件、文件类型、文件大小。
实施例3
根据本发明实施例的另一方面,还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述操作行为监控方法的以下步骤:
S11,采集用户访问计算机的行为数据;
S12,对所述行为数据进行分析确定所述用户访问计算机的行为规律;
S13,通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控。
本发明实施例,采集用户访问计算机的行为数据;对所述行为数据进行分析确定所述用户访问计算机的行为规律;通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控,解决了相关技术中无法对用户访问计算机的异常操作行为进行监控使得数据丢失的风险较大的问题,通过对用户访问计算机的行为监控,可以实时发现用户的异常行为,降低了数据丢失的风险。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,这些均属于本发明的保护之内。
Claims (10)
1.一种操作行为监控方法,其特征在于,包括:
采集用户访问计算机的行为数据;
对所述行为数据进行分析确定所述用户访问计算机的行为规律;
通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控。
2.根据权利要求1所述的方法,其特征在于,通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控包括:
将确定的所述行为规律与预先存储的用户访问计算机的行为规律进行对比;
根据对比的结果对所述用户访问计算机的操作行为进行监控。
3.根据权利要求2所述的方法,其特征在于,在采集用户访问计算机的行为数据之前,所述方法还包括:
采集预定时间内用户访问计算机的行为数据;
根据采集的所述行为数据确定所述用户访问计算机的行为规律;
存储所述行为规律。
4.根据权利要求2所述的方法,其特征在于,根据对比的结果对所述用户访问计算机的操作行为进行监控包括:
在确定的所述行为规律与预先存储的行为规律存在较大差异的情况下,上报用户访问计算机行为异常的告警消息。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收工作计划;
判断所述工作计划是否指示在预定时间内需要大量访问文件;
在判断结果为是的情况下,保存所述工作计划。
6.根据权利要求5所述的方法,其特征在于,通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控包括:
在所述预定时间内检测到访问文件的次数增加较多;
判断访问文件与所述工作计划是否匹配;
在判断结果为是的情况下,放弃上报用户访问计算机行为异常的告警消息。
7.根据权利要求5所述的方法,其特征在于,判断所述工作计划是否指示在预定时间内需要大量访问文件包括:
根据所述工作计划对用户访问计算机的行为与所述预先存储的用户访问计算机的行为规律进行比较;
根据比较的结果判断所述工作计划是否指示在预定时间内需要大量访问文件。
8.根据权利要求1至7中任一项所述的方法,其特征在于,所述行为数据包括以下至少之一:
关机时间、访问文件类型、文件操作次数及文件操作类型、计算机操作记录,其中,所述计算机操作记录包括安装系统和/或清理磁盘记录;所述文件操作类型包括以下至少之一:创建文件、修改文件、删除文件、文件类型、文件大小。
9.一种移动终端,其特征在于,所述移动终端包括:处理器、存储器及通信总线,其中,
所述通信总线,用于实现所述处理器和所述存储器之间的连接通信;
所述处理器,用于执行存储器中存储的操作行为监控程序,以实现以下步骤:
采集用户访问计算机的行为数据;
对所述行为数据进行分析确定所述用户访问计算机的行为规律;
通过判断所述行为规律是否存在异常的方式对所述用户访问计算机的操作行为进行监控。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1-8中任一项所述操作行为监控方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711240846.2A CN107977303A (zh) | 2017-11-30 | 2017-11-30 | 一种操作行为监控方法、移动终端以及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711240846.2A CN107977303A (zh) | 2017-11-30 | 2017-11-30 | 一种操作行为监控方法、移动终端以及计算机可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107977303A true CN107977303A (zh) | 2018-05-01 |
Family
ID=62008707
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711240846.2A Pending CN107977303A (zh) | 2017-11-30 | 2017-11-30 | 一种操作行为监控方法、移动终端以及计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107977303A (zh) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108829572A (zh) * | 2018-05-30 | 2018-11-16 | 北京奇虎科技有限公司 | 用户登录行为的分析方法及装置 |
CN109241769A (zh) * | 2018-08-09 | 2019-01-18 | 福州瑞芯微电子股份有限公司 | 一种电子设备隐私安全预警方法和系统 |
CN109242280A (zh) * | 2018-08-22 | 2019-01-18 | 泰康保险集团股份有限公司 | 用户行为数据处理方法、装置、电子设备及可读介质 |
CN109918278A (zh) * | 2019-01-24 | 2019-06-21 | 平安科技(深圳)有限公司 | 用户系统的操作次数的监控方法、装置及计算机存储介质 |
CN111444534A (zh) * | 2020-03-12 | 2020-07-24 | 中国建设银行股份有限公司 | 监测用户操作的方法、装置、设备和计算机可读介质 |
CN111475639A (zh) * | 2020-03-31 | 2020-07-31 | 掌阅科技股份有限公司 | 阅读监控方法、计算设备及计算机存储介质 |
CN111797140A (zh) * | 2020-07-06 | 2020-10-20 | 上海弘连网络科技有限公司 | 基于智能终端电子数据的异常行为分析方法 |
WO2021012741A1 (zh) * | 2019-07-24 | 2021-01-28 | 深圳壹账通智能科技有限公司 | 基于经验库的异常前端操作提醒的方法及相关设备 |
CN113158185A (zh) * | 2021-03-05 | 2021-07-23 | 杭州数梦工场科技有限公司 | 安全检测方法与装置 |
CN113934616A (zh) * | 2021-12-16 | 2022-01-14 | 深圳市活力天汇科技股份有限公司 | 一种基于用户操作时序判断异常用户的方法 |
CN116578460A (zh) * | 2023-06-30 | 2023-08-11 | 中科乐约健康科技(深圳)有限公司 | 一种医疗机构前置数据安全监控方法、系统及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1627699A (zh) * | 2004-06-24 | 2005-06-15 | 西安交通大学 | 异常文件访问自适应检测方法 |
US7373524B2 (en) * | 2004-02-24 | 2008-05-13 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user behavior for a server application |
CN103886068A (zh) * | 2014-03-20 | 2014-06-25 | 北京国双科技有限公司 | 用于互联网用户行为分析的数据处理方法和装置 |
CN104881353A (zh) * | 2015-06-15 | 2015-09-02 | 成都千寻科技有限公司 | 面向Hive平台的用户行为审计系统及方法 |
CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
CN106911668A (zh) * | 2017-01-10 | 2017-06-30 | 同济大学 | 一种基于用户行为模型的身份认证方法及系统 |
-
2017
- 2017-11-30 CN CN201711240846.2A patent/CN107977303A/zh active Pending
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7373524B2 (en) * | 2004-02-24 | 2008-05-13 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user behavior for a server application |
CN1627699A (zh) * | 2004-06-24 | 2005-06-15 | 西安交通大学 | 异常文件访问自适应检测方法 |
CN103886068A (zh) * | 2014-03-20 | 2014-06-25 | 北京国双科技有限公司 | 用于互联网用户行为分析的数据处理方法和装置 |
CN104881353A (zh) * | 2015-06-15 | 2015-09-02 | 成都千寻科技有限公司 | 面向Hive平台的用户行为审计系统及方法 |
CN106911668A (zh) * | 2017-01-10 | 2017-06-30 | 同济大学 | 一种基于用户行为模型的身份认证方法及系统 |
CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108829572A (zh) * | 2018-05-30 | 2018-11-16 | 北京奇虎科技有限公司 | 用户登录行为的分析方法及装置 |
CN109241769A (zh) * | 2018-08-09 | 2019-01-18 | 福州瑞芯微电子股份有限公司 | 一种电子设备隐私安全预警方法和系统 |
CN109242280A (zh) * | 2018-08-22 | 2019-01-18 | 泰康保险集团股份有限公司 | 用户行为数据处理方法、装置、电子设备及可读介质 |
CN109918278B (zh) * | 2019-01-24 | 2022-03-11 | 平安科技(深圳)有限公司 | 用户系统的操作次数的监控方法、装置及计算机存储介质 |
CN109918278A (zh) * | 2019-01-24 | 2019-06-21 | 平安科技(深圳)有限公司 | 用户系统的操作次数的监控方法、装置及计算机存储介质 |
WO2021012741A1 (zh) * | 2019-07-24 | 2021-01-28 | 深圳壹账通智能科技有限公司 | 基于经验库的异常前端操作提醒的方法及相关设备 |
CN111444534A (zh) * | 2020-03-12 | 2020-07-24 | 中国建设银行股份有限公司 | 监测用户操作的方法、装置、设备和计算机可读介质 |
CN111475639A (zh) * | 2020-03-31 | 2020-07-31 | 掌阅科技股份有限公司 | 阅读监控方法、计算设备及计算机存储介质 |
CN111475639B (zh) * | 2020-03-31 | 2023-08-29 | 掌阅科技股份有限公司 | 阅读监控方法、计算设备及计算机存储介质 |
CN111797140A (zh) * | 2020-07-06 | 2020-10-20 | 上海弘连网络科技有限公司 | 基于智能终端电子数据的异常行为分析方法 |
CN113158185A (zh) * | 2021-03-05 | 2021-07-23 | 杭州数梦工场科技有限公司 | 安全检测方法与装置 |
CN113934616A (zh) * | 2021-12-16 | 2022-01-14 | 深圳市活力天汇科技股份有限公司 | 一种基于用户操作时序判断异常用户的方法 |
CN113934616B (zh) * | 2021-12-16 | 2022-03-18 | 深圳市活力天汇科技股份有限公司 | 一种基于用户操作时序判断异常用户的方法 |
CN116578460A (zh) * | 2023-06-30 | 2023-08-11 | 中科乐约健康科技(深圳)有限公司 | 一种医疗机构前置数据安全监控方法、系统及装置 |
CN116578460B (zh) * | 2023-06-30 | 2024-03-15 | 中科乐约健康科技(深圳)有限公司 | 一种医疗机构前置数据安全监控方法、系统及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107977303A (zh) | 一种操作行为监控方法、移动终端以及计算机可读存储介质 | |
CN107861688A (zh) | 一种数据删除方法、终端及可读存储介质 | |
CN107798099A (zh) | 一种日志信息抓取方法、终端和计算机可读存储介质 | |
CN107395858A (zh) | 一种通知消息的提示方法、终端及计算机可读存储介质 | |
CN107463602A (zh) | 一种日志处理方法及服务器、客户端 | |
CN107729133A (zh) | 一种运行应用程序的方法、终端和计算机可读存储介质 | |
CN107332845A (zh) | 会议投影批注方法、移动终端及计算机可读存储介质 | |
CN107135128A (zh) | 调用链数据采集方法、移动终端及计算机可读存储介质 | |
CN108022077A (zh) | 一种提醒事项处理方法、终端及计算机可读存储介质 | |
CN107729131A (zh) | 一种事件处理方法、终端及计算机可读存储介质 | |
CN110460568A (zh) | 一种自动举报方法、终端及计算机可读存储介质 | |
CN107220132A (zh) | 一种文件创建信息的监听方法、设备及存储介质 | |
CN109068167A (zh) | 录屏交互方法、移动终端、可穿戴设备及存储介质 | |
CN107592415A (zh) | 语音发送方法、终端和计算机可读存储介质 | |
CN107657583A (zh) | 一种截图方法、终端及计算机可读存储介质 | |
CN109299039A (zh) | 一种文件管理方法、设备及计算机可读存储介质 | |
CN107679176A (zh) | 一种提高应用打开速度的方法、终端、服务器、计算机可读存储介质 | |
CN107562652A (zh) | 一种清理缓存垃圾的方法、计算机可读介质及设备 | |
CN107135156A (zh) | 调用链数据采集方法、移动终端及计算机可读存储介质 | |
CN109542802A (zh) | 缓存数据的清理方法、装置、移动终端及存储介质 | |
CN109117105A (zh) | 一种协同桌面交互调控方法、设备及计算机可读存储介质 | |
CN107819941A (zh) | 联系人消息快速获取方法、终端及计算机可读存储介质 | |
CN108011937A (zh) | 消息推送方法、服务器、智能终端及计算机可读存储介质 | |
CN107846725A (zh) | 一种通知消息的处理方法、终端及存储介质 | |
CN107682544A (zh) | 一种待办事项提醒方法、终端和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180501 |
|
RJ01 | Rejection of invention patent application after publication |