CN108537243A - 一种违规告警方法及装置 - Google Patents

Abstract

本发明公开了一种违规告警方法及装置，所述方法包括：针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；如果该用户的第一操作记录异常，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；如果匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。用以解决现有技术中，违规告警过程中需要的人力投入大，违规告警结果的准确性不高的问题。

Description

一种违规告警方法及装置

技术领域

本发明涉及信息安全技术领域，尤其涉及一种违规告警方法及装置。

背景技术

随着互联网、云计算、物联网等新技术的广泛应用，将企业带入了信息化办公时代，在为企业带来巨大便利的同时，如何规范用户的操作，保证企业的信息安全也成为一个不可忽视的问题。企业通过对用户的操作记录的进行监测，获取用户的操作记录的操作特征，并根据用户的操作记录的操作特征与企业针对操作特征预先制定的操作规范，来判断用户的操作是否违规，并针对用户违规的操作记录产生告警，保证企业信息的安全。例如：用户的操作记录中记录的操作特征为：操作人员为普通员工、操作地址为非企业内网，企业操作规范中规定普通员工只能使用企业内网进行操作，则认为该操作记录违规，产生告警。

然而，现有的违规告警方法，多是采用黑名单的方式进行违规告警检测，即获取用户操作记录的操作特征与黑名单中保存的已知违规的操作记录的操作特征进行匹配，如果匹配成功，则说明该用户的该操作记录存在违规产生告警，然而这种方式只能检测出已经出现过的违规操作记录，对未出现过的违规操作记录则不能检测，违规告警的准确性不高，并且由于新的违规操作记录不断出现，需要投入极大的人力，不断的对黑名单进行更新，造成人力的浪费，给企业带来了负担。

发明内容

本发明提供一种违规告警方法及装置，用以解决现有技术中违规告警过程中无法对未出现过的违规操作记录进行检测，违规告警检测的准确性不高，并且需要人力投入大，给企业造成负担的问题。

本发明公开了一种违规告警方法，所述方法包括：

针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；

根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；

如果该用户的第一操作记录异常，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；

针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；

如果匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。

进一步地，预先训练所述用户操作模型的过程包括：

针对每个用户训练集中的每个第三操作记录，提取该第三操作记录的操作特征；

将该第三操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练。

进一步地，所述操作特征包括以下至少一种：

用户权限、操作设备的标识信息、操作时间、操作对象、操作内容、操作原因。

进一步地，所述方法还包括：

如果匹配成功的次数大于设定的次数阈值，将该用户的第一操作记录确定为未违规。

进一步地，所述将该用户的第一操作记录确定为未违规之后，所述方法还包括：

根据确定为未违规的该用户的第一操作记录的操作特征，对该用户的用户操作模型进行训练。

本发明公开了一种违规告警装置，所述装置包括：

第一获取模块，用于针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；

判断模块，用于根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；

第二获取模块，用于如果判断模块判断结果为是时，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；

匹配模块，用于针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；

违规告警模块，用于如果匹配模块确定的匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。

进一步地，所述装置还包括：

训练模块，用于针对每个用户训练集中的每个第三操作记录，提取该第三操作记录的操作特征；将该第三操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练。

进一步地，所述装置还包括：

确定模块，用于如果匹配模块确定的匹配成功的次数大于设定的次数阈值，将该用户的第一操作记录确定为未违规。

进一步地，所述装置还包括：

第二训练模块，用于根据确定为未违规的该用户的第一操作记录的操作特征，对该用户的用户操作模型进行训练。

本发明公开了一种违规告警方法及装置，所述方法包括：针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；如果该用户的第一操作记录异常，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；如果匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。由于在本发明实施例中，针对每个用户预先训练完成有该用户的用户操作模型，根据每个用户每个操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的该操作记录是否异常，并将设定时间长度内出现次数小于设定次数阈值的异常的操作记录确定为违规并告警，无论用户的违规操作记录是否出现过，都能准确检测出用户的违规操作记录，提高了违规告警的准确性，用户操作模型更新方便，减少了企业的负担。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例1提供的一种违规告警过程示意图；

图2为本发明实施例1提供的一种操作记录采集过程示意图；

图3为本发明实施例2提供的一种用户操作模型建立过程示意图；

图4为本发明实施例3提供的一种违规告警过程示意图；

图5为本发明实施例4提供的一种违规告警装置结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例1：

图1为本发明实施例提供的一种违规告警过程示意图，该过程包括：

S101：针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征。

在本发明实施例中，可以通过调用用户的操作日志，获取该用户操作日志中记录的该用户的第一操作记录，该用户的第一操作记录中包含该用户对应的主账号、操作源IP、登录目的IP、用于登录的从账号、操作时间等信息。

具体的，预先保存有操作特征字段的信息，在确定该用户的第一操作记录的操作特征时，可以通过识别该用户的第一操作记录中与预先保存的特征字段对应的信息，获取该用户第一操作记录的每个特征字段。在本发明实施例中，根据预先保存的特征字段，获取用户操作记录中的操作特征是现有技术，不再进行赘述。

例如：该用户的第一操作记录，记录有操作时间09:35分、操作对象工单配置模块、操作内容工单处理时间期限的信息，获取该用户的第一操作记录中操作特征字段：操作时间、操作对象、操作内容对应的信息，获得该用户第一操作记录的操作特征：操作时间09:35分、操作对象工单配置模块、操作内容工单处理时间期限。

S102：根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常，如果是，进行S103，如果否，确定该用户的第一操作记录正常。

在本发明实施例中，预先针对每个用户，对该用户的用户操作模型进行训练，并在对该用户的用户操作模型进行训练时，也是根据该用户的训练集中保存的该用户的大量的未违规的历史操作记录对该用户的用户操作模型进行训练的。具体的提取所述训练集中每条操作记录的操作特征，将操作特征按照设定的顺序，组成一个特征向量，根据获取的该用户的每个特征向量，采用预设的算法，生成该用户的用户操作模型。该预设的算法可以是隐马尔可夫模型(Hidden Markov Model，HMM)、支持向量机(Support Vector Machine，SVM)、极限学习机(Extreme Learning Machine，ELM)等。在进行用户操作记录是否异常的检测时，也是将该用户的操作记录的操作特征组成的一个特征向量，输入到该用户的操作模型中，根据该特征向量是否与所述该用户的用户操作模型中的特征向量是否匹配，确定该用户的用户操作记录是否异常。

训练完成的该用户的用户操作模型可以根据输入的该用户的第一操作记录的操作特征，判断该用户的第一操作记录是否异常，具体的，该用户的用户操作模型针对该用户第一操作记录的操作特征会输出相应的结果，确定该用户的第一操作记录是异常操作记录还是非异常操作记录，在本发明实施例中，该用户的用户操作模型根据该用户操作记录的操作特征，做出该操作记录对应的结果是现有技术，不再进行赘述。

S103：获取该用户第一操作记录之后设定时间长度内的每个第二操作记录。

在本发明实施例中，用户操作模型是根据用户的历史操作记录训练得到的，即该用户操作模型记录的是用户的历史操作习惯，但是因用户的主观原因，如用户主动将操作习惯改变，或客观原因，如用户的业务或者部门变更，都会导致该用户的操作习惯发生改变，但是此时用户操作模型还不能体现出来该用户操作习惯的变更，会认为该用户的操作习惯变更后的操作记录异常。

例如：该员工从普通职员升级为部门主管，对应的操作权限由普通权限升级为主管权限，该用户的操作权限发生变更，另外该用户处理的业务内容也由普通业务类型转为主管业务类型，导致该用户的操作习惯发生改变。此时，该用户的操作记录虽然是正常的，但是因为该用户的用户操作模型是根据该用户升级为部门主管之前的操作记录训练生成的，也会将该用户在升级为部门主管后的操作记录确定为异常。

在本发明实施例中，为了避免当用户的操作习惯发生改变时对用户的操作记录进行误判，如果该用户的第一操作记录为异常，继续监测该用户的第一操作记录之后设定时间长度内的每个第二操作记录。

具体的，如果该用户的第一操作记录异常，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录。所述设定时间长度可以为5天、7天等。例如：该用户2017年2月23日16:00对应的第一操作记录异常，设定的时间长度为5天，获取该用户2017年2月23日16:00之后2017年2月28日16:00之前的每个第二操作记录。

S104：针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数。

具体的，针对获取的所述每个第二操作记录，获取该第二操作记录的操作特征，将该第二操作记录的每个操作特征与该用户的第一操作记录的对应操作特征进行匹配，如果第二操作记录的每个操作特征都与该用户的第一操作记录的对应的操作特征匹配，则说明该第二操作记录的操作特征与该用户的第一操作记录的操作特征匹配成功，并记录匹配成功的次数。

例如：第二操作记录的操作特征为操作时间11:35、操作对象工单处理模块、操作内容工单状态，第一操作记录的操作特征为操作时间11:35、操作对象工单处理模块、操作内容工单任务调整，其中第一操作记录的操作内容工单状态与操作内容工单任务调整不匹配，则说明第二操作记录与第一操作记录不匹配。

S105：如果匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。

具体的，如果匹配成功的次数小于设定的次数阈值，则说明该用户操作习惯未发生改变，该用户的第一操作记录异常是因为该用户未按照规定或者该用户对应的权限进行操作导致的，将该用户的第一操作记录确定为违规，并进行告警。如果匹配成功的次数不小于设定的次数阈值，则说明是该用户的操作习惯发生改变，该用户的第一操作记录异常是因为该用户的操作习惯发生改变导致的，将该用户的第一操作记录确定为未违规。

由于在本发明实施例中，针对每个用户预先训练完成有该用户的用户操作模型，根据每个用户每个操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的该操作记录是否异常，并将设定时间长度内出现次数小于设定次数阈值的异常的操作记录确定为违规并告警，无论用户的违规操作记录是否出现过，都能准确检测出用户的违规操作记录，提高了违规告警的准确性，用户操作模型更新方便，减少了企业的负担。

实施例2：

在本发明实施例中的用户操作模型是根据用户训练集中的每个操作记录训练得到的，在上述实施例的基础上，在本发明实施例中，预先训练所述用户操作模型的过程包括：

针对每个用户训练集中的每个第三操作记录，提取该第三操作记录的操作特征；

将该第三操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练。

在本发明实施例中，每个用户的训练集中保存着大量已知的该用户未违规的操作记录，针对训练集中的每个已知的该用户未违规的操作记录，可以通过获取该用户的历史操作日志中记录的该用户未违规的每个操作记录确定。

具体的，针对训练集中包含的大量的该用户的第三操作记录，针对每个第三操作记录，提取该第三操作记录的操作特征组成一个特征向量，根据每个第三操作记录的操作特征组成的特征向量，采用预设的算法，对该用户的用户操作模型进行训练。该预设的算法可以是隐马尔可夫模型(Hidden MarkovModel，HMM)、支持向量机(Support VectorMachine，SVM)、极限学习机(Extreme Learning Machine，ELM)等。对用户操作模型进行训练的过程是现有技术，在本发明实施例中对该过程不再进行赘述。

该用户的用户操作模型训练完成后，当该用户的第一操作记录的操作特征输入到该用户的操作模型中，可以确定该用户的第一操作记录是否与该用户的用户操作模型匹配，从而确定该用户的第一操作记录是否异常。

图2为本发明实施例提供的一种操作记录采集过程示意图，4A系统即集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit)为一体的系统，4A系统用户触发登录操作请求，4A系统将用户登录操作请求交给堡垒主机处理，堡垒主机在实现用户登录操作的同时，会记录该用户对应的主账号、操作源IP、登录目的IP、用于登录的从账号、操作时间的信息形成操作记录，并将操作记录记录到操作日志，并存储到操作日志数据库中，大数据平台周期性的执行数据转存，将日志数据库中存储的操作日志转存至大数据平台中存储。在对用户进行违规告警检测时，可以通过调用该用户的操作日志，获取该用户的每条操作记录。

所述操作特征包括以下至少一种：

用户权限、操作设备的标识信息、操作时间、操作对象、操作内容、操作原因。

表1为本发明实施例提供的操作特征对应信息：

表1

根据表1所述操作特征包括：用户权限、操作时间、操作设备的标识信息、操作对象、操作原因、操作内容，其中用户权限对应字段名称包括所属组织、主帐号名称、……、从帐号状态信息，针对用户权限对应的每个字段名称的字段描述分别为主帐号所属组织、日志相关的主帐号名称……从帐号状态信息(锁定、活动)；操作时间对应字段名称包括日志接收时间、原始时间、是否是工作时间段，针对用户操作时间对应的每个字段名称的字段描述分别为审计管理功能接收到日志的时间、日志产生时的时间、是否是工作时间段……操作内容对应字段名称包括日志操作内容、严重级别……应用日志票据，针对操作内容对应的每个字段名称的字段描述分别为日志内容主体，如操作命令、日志在重新定义后的严重级别……应用日志票据。

具体的，在确定操作记录的操作特征时，可以提取该操作记录中的对应操作特征字段对应的信息，例如：确定操作记录的用户权限的特征，提取该操作记录对应主帐号名称、……、从帐号状态信息字段的信息，作为用户权限对应的特征；确定操作记录的操作对象的特征，提取该操作记录对应资源类型、资源负责人、……、角色名称字段的信息，作为用户操作对象对应的特征。

图3为本发明实施例提供的一种用户操作模型建立过程示意图，从大数据处理平台的分布式日志存储中提取每个用户的操作日志，针对每个用户的操作日志中记录的每个操作记录，提取该用户的每个操作记录的操作特征，将该用户的每个操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练，得到训练完成的该用户的用户操作模型。

实施例3：

为了提高违规告警的准确性，在上述各实施例的基础上，在本发明实施例中，所述方法还包括：

如果匹配成功的次数大于设定的次数阈值，将该用户的第一操作记录确定为未违规。

具体的，如果匹配成功的次数大于设定的次数阈值，则说明是因为用户的操作习惯发生改变，导致该用户的第一操作记录与该用户的用户操作模型不匹配，该用户的第一操作记录符合规定，将该用户的第一操作记录确定为未违规。

为了保证用户训练模型的准确性，所述将该用户的第一操作记录确定为未违规之后，所述方法还包括：

根据确定为未违规的该用户的第一操作记录的操作特征，对该用户的操作模型进行训练。

具体的，针对确定为未违规的该用户的第一操作记录的操作特征，根据所述确定为未违规的该用户的第一操作记录的操作特征，对该用户的用户操作模型进行训练，训练后的该用户的操作模型能够将与所述该用户第一操作记录的操作特征对应相同的操作记录确定为正常。

较佳的，为了避免处理资源的浪费，在根据确定为未违规的该用户的第一操作记录的操作特征，对该用户的操作模型进行训练时，可以是当确定为未违规的该用户的第一操作记录的数量达到设定的数量阈值时，再对该用户的用户操作模型进行训练。

图4为本发明实施例提供的一种违规告警过程示意图，该过程包括：

S401：针对每个用户训练集中的每个第三操作记录，提取该第三操作记录的操作特征；将该第三操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练。

S402：针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征。

S403：根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常，如果是，进行S404，如果否，确定该用户的第一操作记录正常。

S404：获取该用户第一操作记录之后设定时间长度内的每个第二操作记录。

S405：针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数。

S406：判断匹配成功的次数是否小于设定的次数阈值，如果是，进行S407，如果否，进行S408。

S407：将该用户的第一操作记录确定为违规并告警。

S408：将该用户的第一操作记录确定为未违规。

S409：根据确定为未违规的该用户的第一操作记录的操作特征，对该用户的操作模型进行训练。

实施例4：

图5为本发明实施例提供的一种违规告警装置结构示意图，该装置包括：

第一获取模块51，用于针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；

判断模块52，用于根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；

第二获取模块53，用于如果判断模块判断结果为是时，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；

匹配模块54，用于针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；

违规告警模块55，用于如果匹配模块确定的匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。

所述装置还包括：

训练模块56，用于针对每个用户训练集中的每个第三操作记录，提取该第三操作记录的操作特征；将该第三操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练。

所述装置还包括：

确定模块57，用于如果匹配模块确定的匹配成功的次数大于设定的次数阈值，将该用户的第一操作记录确定为未违规。

所述装置还包括：

第二训练模块58，用于根据确定为未违规的该用户的第一操作记录的操作特征，对该用户的用户操作模型进行训练。

本发明公开了一种违规告警方法及装置，所述方法包括：针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；如果该用户的第一操作记录异常，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；如果匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。由于在本发明实施例中，针对每个用户预先训练完成有该用户的用户操作模型，根据每个用户每个操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的该操作记录是否异常，并将设定时间长度内出现次数小于设定次数阈值的异常的操作记录确定为违规并告警，无论用户的违规操作记录是否出现过，都能准确检测出用户的违规操作记录，提高了违规告警的准确性，用户操作模型更新方便，减少了企业的负担。

对于系统/装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (9)

1.一种违规告警方法，其特征在于，所述方法包括：

针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；

根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；

如果该用户的第一操作记录异常，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；

针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；

如果匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。

2.如权利要求1所述的方法，其特征在于，预先训练所述用户操作模型的过程包括：

针对每个用户训练集中的每个第三操作记录，提取该第三操作记录的操作特征；

将该第三操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练。

3.如权利要求1或2所述的方法，其特征在于，所述操作特征包括以下至少一种：

用户权限、操作设备的标识信息、操作时间、操作对象、操作内容、操作原因。

4.如权利要求1所述的方法，其特征在于，所述方法还包括：

如果匹配成功的次数大于设定的次数阈值，将该用户的第一操作记录确定为未违规。

5.如权利要求4所述的方法，其特征在于，所述将该用户的第一操作记录确定为未违规之后，所述方法还包括：

根据确定为未违规的该用户的第一操作记录的操作特征，对该用户的用户操作模型进行训练。

6.一种违规告警装置，其特征在于，所述装置包括：

第一获取模块，用于针对每个用户的第一操作记录，获取该用户第一操作记录的操作特征；

判断模块，用于根据该用户第一操作记录的操作特征及针对该用户预先训练完成的用户操作模型，判断该用户的第一操作记录是否异常；

第二获取模块，用于如果判断模块判断结果为是时，获取该用户第一操作记录之后设定时间长度内的每个第二操作记录；

匹配模块，用于针对所述每个第二操作记录，获取该第二操作记录的操作特征与该用户的第一操作记录的操作特征进行匹配，确定匹配成功的次数；

违规告警模块，用于如果匹配模块确定的匹配成功的次数小于设定的次数阈值，将该用户的第一操作记录确定为违规并告警。

7.如权利要求6所述的装置，其特征在于，所述装置还包括：

训练模块，用于针对每个用户训练集中的每个第三操作记录，提取该第三操作记录的操作特征；将该第三操作记录的操作特征输入到该用户的用户操作模型中，对该用户的用户操作模型进行训练。

8.如权利要求6所述的装置，其特征在于，所述装置还包括：

确定模块，用于如果匹配模块确定的匹配成功的次数大于设定的次数阈值，将该用户的第一操作记录确定为未违规。

9.如权利要求8所述的装置，其特征在于，所述装置还包括：

第二训练模块，用于根据确定为未违规的该用户的第一操作记录的操作特征，对该用户的用户操作模型进行训练。