CN109241461B - 一种用户画像构建方法及装置 - Google Patents
一种用户画像构建方法及装置 Download PDFInfo
- Publication number
- CN109241461B CN109241461B CN201810908883.4A CN201810908883A CN109241461B CN 109241461 B CN109241461 B CN 109241461B CN 201810908883 A CN201810908883 A CN 201810908883A CN 109241461 B CN109241461 B CN 109241461B
- Authority
- CN
- China
- Prior art keywords
- user
- analyzed
- log
- historical access
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供了一种用户画像构建方法及装置,方法包括:从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对待分析用户对应的设备日志进行信息扩展,得到待分析用户的历史访问日志;根据历史访问日志,统计待分析用户的多个历史访问行为,并根据多个历史访问行为,确定待分析用户的访问行为属性标签;采用预设的态势感知分析策略,对历史访问日志进行分析,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;根据访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像。通过本方案,可以实现通过用户画像展示用户访问行为的同时,展示用户对所访问网络的威胁程度。
Description
技术领域
本发明涉及数据处理技术领域,特别是涉及一种用户画像构建方法及装置。
背景技术
用户画像即为用户行为属性的标签化,目前已有的互联网用户画像的构建方法为,先获取互联网用户的历史上网行为日志,再对获取到的互联网用户的历史上网行为日志进行分析,建立互联网用户的访问行为属性标签,构建用户画像。
如上述,目前的用户画像构建方法,主要是对获取到的用户访问网络的历史上网行为日志进行分析,分析出用户访问网络的访问行为的属性标签,并根据这些属性标签构建用户画像。但是,根据上述方法构建的用户画像主要集中于互联网访问,构建的用户画像主要用于个性化的为用户提供精准推荐,显然,目前的根据用户访问网络的访问行为属性标签构建出的用户画像仅仅粗略展示了用户的访问行为,且采用上述用户画像构建方法构建的用户画像无法展示用户对所访问网络的威胁程度。
发明内容
目前的用户画像构建方法主要采用大数据分析技术,对采集到的用户访问互联网的访问日志进行分析,提取出各种用户访问互联网行为的属性标签,为个性化推荐和广告提供数据支撑。这种用户画像构建方法严重依赖设备对访问行为的分析结果;对访问日志本身提供的信息进行部分丰富,所丰富的信息较少,没有关联企业内网对用户的属性信息,而且没有关联到更为丰富的其他维度的分析结果,所提取的属性标签主要集中在网络访问,用于对用户精准推荐,然而,由于互联网与企业内网的网络接入应用场景存在较大的差异,上述的分析过程不能完全适用于企业内网,针对用户对企业内网的安全威胁所提供的数据支持能力较弱。
本发明实施例的目的在于提供一种用户画像构建方法及装置,以实现通过用户画像更为全面地展示用户访问行为的同时,展示用户对所访问网络的威胁程度。具体技术方案如下:
第一方面,本发明实施例提供了一种用户画像构建方法,所述方法包括:
从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对所述待分析用户对应的设备日志进行信息扩展,得到所述待分析用户的历史访问日志;
根据所述历史访问日志,统计所述待分析用户的多个历史访问行为,并根据所述多个历史访问行为,确定所述待分析用户的访问行为属性标签;
采用预设的态势感知分析策略,对所述历史访问日志进行分析,得到用于表征所述待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;
根据所述访问行为属性标签及所述威胁程度属性标签,构建所述待分析用户的用户画像。
第二方面,本发明实施例提供了一种用户画像构建装置,所述装置包括:
信息扩展模块,用于从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对所述待分析用户对应的设备日志进行信息扩展,得到所述待分析用户的历史访问日志;
统计分析模块,用于根据所述历史访问日志,统计所述待分析用户的多个历史访问行为,并根据所述多个历史访问行为,确定所述待分析用户的访问行为属性标签;采用预设的态势感知分析策略,对所述历史访问日志进行分析,得到用于表征所述待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;
构建模块,用于根据所述访问行为属性标签及所述威胁程度属性标签,构建所述待分析用户的用户画像。
第三方面,本发明实施例提供了一种服务器,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使执行本发明实施例第一方面所述的方法步骤。
第四方面,本发明实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行本发明实施例第一方面所述的方法步骤。
本发明实施例提供的一种用户画像构建方法及装置,从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对该待分析用户对应的设备日志进行信息扩展,得到该待分析用户的历史访问日志,根据历史访问日志,统计待分析用户的多个历史访问行为,并根据多个历史访问行为,确定待分析用户的访问行为属性标签,采用预设的态势感知分析策略,对历史访问日志进行分析,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签,根据访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像。通过对历史访问行为的统计,得到待分析用户的访问行为属性标签,并且通过采用态势感知分析策略分析历史访问行为,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;基于访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像,通过用户画像即可以更全面的展示待分析用户的用户访问行为,又可以展示待分析用户对所访问网络的安全威胁程度。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例的用户画像构建方法的流程示意图;
图2为本发明实施例的获取历史访问日志的流程示意图;
图3为本发明实施例的对设备日志进行信息扩展的流程示意图;
图4为本发明实施例的用户画像构建系统的系统架构示意图;
图5为本发明实施例的用户画像构建装置的结构示意图;
图6为本发明实施例的服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了实现通过用户画像展示用户访问行为的同时,展示用户对所访问网络的威胁程度,本发明实施例提供了一种用户画像构建方法、装置、服务器及机器可读存储介质。
下面,首先对本发明实施例所提供的一种用户画像构建方法进行介绍。
如图1所示,对本发明实施例所提供的一种用户画像构建方法进行更为详细的介绍,该用户画像构建方法可以包括如下步骤:
S101,从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对该待分析用户对应的设备日志进行信息扩展,得到该待分析用户的历史访问日志。
历史访问日志为待分析用户在访问网络时所产生的历史访问信息的集合,示例性的,历史访问日志可以包括但不限于待分析用户的访问时长、登录区域、登录终端地址、认证失败的次数等等。
实际应用中,待分析用户可以通过SSLVPN(Security Socket Layer-VirtualPrivate Network,基于安全套接层协议的虚拟专用网络)网关、EAD(Endpoint AdmissionDefense,端点准入防御)网关等网络接入设备来访问网络,这些网络接入设备在接收到待分析用户的访问请求后,会产生设备日志,具体的,设备日志中通常会记录访问请求中携带的待分析用户的用户名、目的地址、源地址等信息。通过对这些设备日志进行信息扩展,相应的扩展得到待分析用户的历史访问日志。
示例性的,参阅图2所示,本发明实施例中,从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对该待分析用户对应的设备日志进行信息扩展,得到该待分析用户的历史访问日志,可以包括如下步骤:
S201,获取待分析用户在通过各网络接入设备访问网络时,各网络接入设备产生的设备日志。
S202,对获取到的各设备日志进行归一化处理,得到指定数据格式的各设备日志。
S203,对指定数据格式的各设备日志进行信息扩展,得到待分析用户的历史访问日志。
需要说明的是,本发明实施例中,对设备日志进行信息扩展的过程,其实质就是丰富设备日志的过程。
实际应用中,由于不同网络接入设备所产生的设备日志的数据格式可能不同,那么,就需要对获取到的各设备日志进行归一化处理,以使得归一化后的各设备日志具有统一的指定数据格式。进一步的,由于设备日志中没有用户个人信息、资产等运维信息等,那么,为了得到更全面的用户访问行为,就需要根据归一化后的指定数据格式的各设备日志,获取用户个人信息、组织结构信息、登录区域信息、用户访问的资产信息、用户访问的业务系统信息等信息,并根据获取到的上述信息对设备日志进行信息扩展处理,得到待分析用户的历史访问日志。显然,通过信息扩展后得到的历史访问日志既包括原始的设备日志,还包括获取到的上述信息。
本发明实施例中,针对每一个指定数据格式的设备日志,分别进行信息扩展处理。如图3所示,本发明实施例中,对指定数据格式的各设备日志进行信息扩展,得到待分析用户的历史访问日志,可以包括如下步骤。
第一步,从指定数据格式的设备日志中提取待分析用户的用户名、源地址及目的地址。
其中,源地址为待分析用户所登录终端的IP地址和/或MAC地址等,目的地址为待分析用户所访问资源的IP地址和/或MAC地址等。
第二步,根据用户名,从预设账号库中查找出用户名对应的待分析用户的用户个人信息和待分析用户所属的组织结构信息。
预设账号库中存储有与用户名对应的用户个人信息和组织结构信息,则基于待分析用户的用户名,可以直接从预设账号库中查找待分析用户的用户个人信息和组织结构信息。用户个人信息即为用户自身的属性相关信息,例如用户姓名,性别,年龄等信息,组织结构信息为用户所属组织的属性相关信息,例如用户所属的公司、部门、分组等信息。
第三步,根据目的地址,从预设资产库中查找出目的地址对应的待分析用户访问的资产信息。
预设资产库中存储有与目的地址对应的资产信息,则基于待分析用户的目的地址,可以直接从预设资产库中查找待分析用户访问的资产信息。
第四步,根据目的地址,从预设业务库中查找出目的地址对应的待分析用户访问的业务系统信息。
预设业务库中存储有与目的地址对应的业务系统信息,则基于待分析用户的目的地址,可以直接从预设业务库中查找待分析用户访问的业务系统信息。
第五步,根据源地址,从预设区域库中查找出源地址对应的待分析用户的登录区域信息。
预设区域库中存储有与源地址对应的登录区域信息,则基于待分析用户的源地址,可以直接从预设区域库中查找待分析用户的登录区域信息。
上述预设账号库、预设资产库、预设业务库及预设区域库可以为预先配置的数据库。可选的,上述各数据库维护在智能运维平台上。
第六步,基于用户个人信息、组织结构信息、资产信息、业务系统信息及登录区域信息,对设备日志进行信息扩展,得到待分析用户的历史访问日志。
根据查找出的待分析用户的用户个人信息、用户组织信息、访问的资产信息、访问的业务系统信息和登录区域信息对设备日志进行多维度的信息扩展,得到待分析用户的历史访问日志,进而使得通过该历史访问日志得到的待分析用户的历史访问行为全面覆盖,更有益于提高用户画像构建的准确性。
通过对设备日志进行信息扩展后得到的历史访问日志中还可以包括用户登录的时间段、用户在线时长、用户登录所使用的终端设备信息、用户登录失败的次数等,历史访问日志中包含的信息越多,所构建的用户画像就会越准确。
上述第二步、第三步、第四步和第五步的执行顺序不分先后,可以同步进行,也可顺序进行,这里不做具体限定。在得到待分析用户的历史访问日志后,可以将历史访问日志存储至数据库中,以供可视化日志检索使用。
S102,根据历史访问日志,统计待分析用户的多个历史访问行为,并根据多个历史访问行为,确定待分析用户的访问行为属性标签。
在获取到历史访问日志之后,可以对历史访问日志进行分析统计,得到多个历史访问行为,并继续对多个历史访问行为进行分析统计,可以确定待分析用户的访问行为属性标签。
通过信息流任务进行分析统计的维度信息可以包括以下维度中的至少一种:待分析用户的资源总访问量统计,以及待分析用户的资源总访问量在所有用户中的排名;待分析用户总访问时长统计,以及待分析用户的总访问时长在所有用户中的排名;待分析用户的源IP地址总量统计;待分析用户登录的区域统计;待分析用户对网络资源访问操作的授权次数统计,以及授权次数占总访问次数的占比;待分析用户对网络资产的访问次数统计;待分析用户登录时间点分布统计,例如对全天24小时进行划分,统计待分析用户登录的时间点分布情况;待分析用户登录时长分析用户访问业务系统的次数统计;待分析用户认证失败的次数统计;待分析分布统计;待用户认证终端类型统计;待分析用户当前是否在线的判断;根据待分析用户的认证、登录、访问资源等,通过时间维度建立的访问序列等。通过信息流任务进行分析统计的信息维度越多,得到的访问行为属性标签则越全面,越能够准确的反映待分析用户访问网络的访问行为,因此,一般情况下,尽可能多的从各维度统计分析历史访问日志,从而得到更为详尽的访问行为属性标签。
访问行为属性标签即为用户访问网络时,产生的各维度的标签信息,例如,待分析用户的资源总访问量很大,并且待分析用户的资源总访问量排在所有用户的前三名,则待分析用户的访问行为属性标签包括:高资源访问量用户;再例如,待分析用户登录的区域主要在北京和上海,则待分析用户的访问行为属性标签包括:常用登录区域为北京和上海,等等。这里不再一一列举。
S103,采用预设的态势感知分析策略,对历史访问日志进行分析,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签。
所谓态势感知分析策略,指的是检测分析用户对所访问网络的安全威胁程度的策略。态势感知分析策略可以是服务器本身自带的功能,也可以是第三方提供的服务。采用态势感知分析策略对历史访问日志进行分析,可以判断待分析用户是否对所访问网络产生威胁,例如,采用安全事件分析策略分析历史访问日志可以判断待分析用户是否为安全事件源,采用流量分析策略分析历史访问日志可以判断待分析用户是否为异常流量源,采用用户异常行为分析策略分析历史访问日志可以判断待分析用户是否为异常行为源。
可选的,威胁程度属性标签可以为:待分析用户对所访问网络的安全威胁系数。
本发明实施例中,采用预设的态势感知分析策略,对历史访问日志进行分析,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签,可以包括如下步骤:
采用多个态势感知分析策略,分别对历史访问日志进行分析,得到待分析用户分别在各态势感知分析策略下作为威胁所访问网络的威胁源出现的次数;
根据各威胁源出现的次数以及各威胁源的威胁权重,进行加权求和,得到待分析用户的安全威胁系数。
如上所述,态势感知分析策略可以包括多种,为了提高用户对所访问网络的威胁统计的准确性,可以采用多种态势感知分析策略分别对历史访问日志进行分析。各威胁源的威胁权重为根据威胁源的类型预先配置的,或者根据不同的用户需求和/或不同应用场景动态配置的,当然,也可以是结合当前应用场景实时分配的。不同的威胁源对所访问网络的安全威胁程度不同,为了综合性地判断待分析用户对所访问网络的安全威胁程度,可以通过对各威胁源的威胁权重以及各威胁源的出现次数进行加权得到综合判定安全威胁程度的安全威胁系数,安全威胁系数越大,则待分析用户对所访问网络的安全威胁程度越强。
可选的,多个态势感知分析策略至少可以包括:安全事件分析策略、流量分析策略及用户异常行为分析策略。
本发明实施例中,采用多个态势感知分析策略,分别对历史访问日志进行分析,得到待分析用户分别在各态势感知分析策略下作为威胁所访问网络的威胁源出现的次数的步骤,可以包括如下步骤:
采用安全事件分析策略,对历史访问日志进行分析,统计出待分析用户作为安全事件源出现的第一次数;
采用流量分析策略,对历史访问日志进行分析,统计出待分析用户作为异常流量源出现的第二次数;
采用用户异常行为分析策略,对历史访问日志进行分析,统计出待分析用户作为异常行为源出现的第三次数。
具体的,对第一次数的统计可以是采用安全事件分析策略,对历史访问日志进行分析,判断待分析用户是否为安全事件源,若待分析用户为安全事件源,则待分析用户座位安全事件源出现的次数加一,最终统计出待分析用户作为安全事件源出现的第一次数;对第二次数的统计可以是采用流量分析策略,对历史访问日志进行分析,得到待分析用户的流量使用情况,根据流量使用情况,判断待分析用户是否为异常流量源,若待分析用户为异常流量源,则待分析用户作为异常流量源出现的次数加一,最终统计出待分析用户作为异常流量源出现的第二次数;对第三次数的统计可以是采用用户异常行为分析策略,对历史访问日志进行分析,判断待分析用户是否为异常行为源;若待分析用户为异常行为源,则待分析用户作为异常行为源出现的次数加一,最终统计出待分析用户作为异常行为源出现的第三次数。
当然,除了上述安全事件分析策略、流量分析策略和用户异常行为分析策略以外,态势感知分析策略还可以包括其他异常分析策略,针对第k种异常分析策略,k为大于等于1的正整数,统计出的待分析用户作为威胁源出现的次数可以定义为Tk,则可以采用以下公式计算待分析用户的安全威胁系数:
其中,ωk为针对第k种态势感知分析策略相对应的威胁源配置的威胁权重,各威胁源的威胁权重可以基于各态势感知分析策略所对应的异常对网络的威胁程度进行相关配置,例如,待分析用户作为安全事件源时,待分析用户的访问直接会威胁到网络的运行安全,对网络威胁最大,则针对安全事件分析策略相对应的安全事件源配置的威胁权重最大;待分析用户作为异常行为源时,对网络威胁较小,则针对用户异常行为分析相对应的异常行为源配置的威胁权重较小,所有ωk的累加和为1。当然,本发明实施例中,可以根据不同的用户需求和/或不同应用场景,动态配置各态势感知分析策略相对应的威胁源的威胁权重,本发明实施例中,在此不做具体限定。
S102与S103的执行顺序不分先后,可以同步进行,也可顺序进行,本发明实施例中,在此不做具体限定。
S104,根据访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像。
构建的用户画像中包括待分析用户的访问行为属性标签和威胁程度属性标签,所统计的访问行为属性标签、威胁程度属性标签和用户画像可以存储至全文搜索数据库(如Elaticsearch数据库)中,以通过可视化展示。用户画像的展示,可以是以列表的形式展示访问行为属性标签及威胁程度属性标签,也可以是以条目的形式展示访问行为属性标签及威胁程度属性标签。具体的展示形式在这里不做限定。
应用本发明实施例,从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对该待分析用户对应的设备日志进行信息扩展,得到该待分析用户的历史访问日志,根据历史访问日志,统计待分析用户的多个历史访问行为,并根据多个历史访问行为,确定待分析用户的访问行为属性标签,采用预设的态势感知分析策略,对历史访问日志进行分析,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签,根据访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像。通过对历史访问行为的统计,得到待分析用户的访问行为属性标签,并且通过采用态势感知分析策略分析历史访问行为,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;基于访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像,通过用户画像即可以展示待分析用户的用户访问行为,又可以展示待分析用户对所访问网络的安全威胁程度。
并且,通过对设备日志进行信息扩展,扩展得到的历史访问日志能够更为全面的覆盖用户的访问行为,因此,能够保证更为全面地展示用户访问行为,提高了用户画像构建的准确性。
下面,结合具体的业务应用场景,描述本发明实施例提供的用户画像构建方法的一种具体的应用。
本发明实施例中,一种可能实施方式为,用户画像构建系统的系统架构如图4所示,态势感知统一日志采集处理平台对SSLVPN网关、EAD网关等网络接入设备的日志进行收集并归一化处理,之后把归一化后的日志信息发往Kafka集群中,使用Spark丰富任务,基于智能运维信息,对态势感知统一日志采集处理平台采集并处理的日志进行丰富,丰富出用户个人信息、组织结构信息、用户登录区域信息、用户访问的资产信息、用户访问的业务系统信息等,丰富后的日志会存入数据库HBase,供可视化日志检索使用。使用Spark计算统计任务,基于安全事件分析、流量分析、异常行为分析等,对丰富后的日志进行安全威胁程度检测,并将检测结果存入数据库Elasticsearch,供可视化报表展示。
相应于上述方法实施例,本发明实施例提供了一种用户画像构建装置,如图5所示,该用户画像构建装置可以包括:
信息扩展模块510,用于从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对所述待分析用户对应的设备日志进行信息扩展,得到所述待分析用户的历史访问日志;
统计分析模块520,用于根据所述历史访问日志,统计所述待分析用户的多个历史访问行为,并根据所述多个历史访问行为,确定所述待分析用户的访问行为属性标签;采用预设的态势感知分析策略,对所述历史访问日志进行分析,得到用于表征所述待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;
构建模块530,用于根据所述访问行为属性标签及所述威胁程度属性标签,构建所述待分析用户的用户画像。
可选的,所述信息扩展模块510,具体可以用于:
获取待分析用户在通过各网络接入设备访问网络时,各网络接入设备产生的设备日志;
对获取到的各设备日志进行归一化处理,得到指定数据格式的各设备日志;
对所述指定数据格式的各设备日志进行信息扩展,得到所述待分析用户的历史访问日志。
可选的,所述信息扩展模块510,具体可以用于:
从所述指定数据格式的设备日志中提取待分析用户的用户名、源地址及目的地址;
根据所述用户名,从预设账号库中查找出所述用户名对应的所述待分析用户的用户个人信息和所述待分析用户所属的组织结构信息;
根据所述目的地址,从预设资产库中查找出所述目的地址对应的所述待分析用户访问的资产信息;
根据所述目的地址,从预设业务库中查找出所述目的地址对应的所述待分析用户访问的业务系统信息;
根据所述源地址,从预设区域库中查找出所述源地址对应的所述待分析用户的登录区域信息;
基于所述用户个人信息、所述组织结构信息、所述资产信息、所述业务系统信息及所述登录区域信息,对所述设备日志进行信息扩展,得到所述待分析用户的历史访问日志。
可选的,所述威胁程度属性标签可以为:所述待分析用户对所访问网络的安全威胁系数;
所述统计分析模块520,具体可以用于:
采用多个态势感知分析策略,分别对所述历史访问日志进行分析,得到所述待分析用户分别在各态势感知分析策略下作为威胁所访问网络的威胁源出现的次数;
根据各威胁源出现的次数以及各威胁源的威胁权重,进行加权求和,得到所述待分析用户的安全威胁系数。
可选的,所述多个态势感知分析策略至少包括:安全事件分析策略、流量分析策略及用户异常行为分析策略;
所述统计分析模块520,具体可以用于:
采用所述安全事件分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为安全事件源出现的第一次数;
采用所述流量分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为异常流量源出现的第二次数;
采用所述用户异常行为分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为异常行为源出现的第三次数。
应用本发明实施例,从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对该待分析用户对应的设备日志进行信息扩展,得到该待分析用户的历史访问日志,根据历史访问日志,统计待分析用户的多个历史访问行为,并根据多个历史访问行为,确定待分析用户的访问行为属性标签,采用预设的态势感知分析策略,对历史访问日志进行分析,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签,根据访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像。通过对历史访问行为的统计,得到待分析用户的访问行为属性标签,并且通过采用态势感知分析策略分析历史访问行为,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;基于访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像,通过用户画像即可以展示待分析用户的用户访问行为,又可以展示待分析用户对所访问网络的安全威胁程度。
并且,通过对设备日志进行信息扩展,扩展得到的历史访问日志能够更为全面的覆盖用户的访问行为,因此,能够保证更为全面地展示用户访问行为,提高了用户画像构建的准确性。
本发明实施例还提供了一种服务器,如图6所示,包括处理器601和机器可读存储介质602,所述机器可读存储介质602存储有能够被所述处理器601执行的机器可执行指令,所述处理器601被所述机器可执行指令促使执行本发明实施例提供的用户画像构建方法的所有步骤。
上述计算机可读存储介质可以包括RAM(Random Access Memory,随机存取存储器),也可以包括NVM(Non-volatile Memory,非易失性存储器),例如至少一个磁盘存储器。可选的,计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是DSP(Digital Signal Processor,数字信号处理器)、ASIC(Application Specific Integrated Circuit,专用集成电路)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例中,处理器601通过读取机器可读存储介质602中存储的机器可执行指令,被机器可执行指令促使能够实现:从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对该待分析用户对应的设备日志进行信息扩展,得到该待分析用户的历史访问日志,根据历史访问日志,统计待分析用户的多个历史访问行为,并根据多个历史访问行为,确定待分析用户的访问行为属性标签,采用预设的态势感知分析策略,对历史访问日志进行分析,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签,根据访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像。通过对历史访问行为的统计,得到待分析用户的访问行为属性标签,并且通过采用态势感知分析策略分析历史访问行为,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;基于访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像,通过用户画像即可以展示待分析用户的用户访问行为,又可以展示待分析用户对所访问网络的安全威胁程度。
另外,为了实现通过用户画像展示用户访问行为的同时,展示用户对所访问网络的威胁程度,本发明实施例提供了一种机器可读存储介质,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行本发明实施例所提供的用户画像构建方法的所有步骤。
本发明实施例中,机器可读存储介质在运行时执行本发明实施例所提供的用户画像构建方法的机器可执行指令,因此能够实现:从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对该待分析用户对应的设备日志进行信息扩展,得到该待分析用户的历史访问日志,根据历史访问日志,统计待分析用户的多个历史访问行为,并根据多个历史访问行为,确定待分析用户的访问行为属性标签,采用预设的态势感知分析策略,对历史访问日志进行分析,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签,根据访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像。通过对历史访问行为的统计,得到待分析用户的访问行为属性标签,并且通过采用态势感知分析策略分析历史访问行为,得到用于表征待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;基于访问行为属性标签及威胁程度属性标签,构建待分析用户的用户画像,通过用户画像即可以展示待分析用户的用户访问行为,又可以展示待分析用户对所访问网络的安全威胁程度。
对于服务器以及机器可读存储介质实施例而言,由于其涉及的方法内容基本相似于前述的方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、服务器及机器可读存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种用户画像构建方法,其特征在于,所述方法包括:
从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对所述待分析用户对应的设备日志进行信息扩展,得到所述待分析用户的历史访问日志;
根据所述历史访问日志,统计所述待分析用户的多个历史访问行为,并根据所述多个历史访问行为,确定所述待分析用户的访问行为属性标签;
采用预设的态势感知分析策略,对所述历史访问日志进行分析,得到用于表征所述待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;
根据所述访问行为属性标签及所述威胁程度属性标签,构建所述待分析用户的用户画像。
2.根据权利要求1所述的方法,其特征在于,所述从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对所述待分析用户对应的设备日志进行信息扩展,得到所述待分析用户的历史访问日志,包括:
获取待分析用户在通过各网络接入设备访问网络时,各网络接入设备产生的设备日志;
对获取到的各设备日志进行归一化处理,得到指定数据格式的各设备日志;
对所述指定数据格式的各设备日志进行信息扩展,得到所述待分析用户的历史访问日志。
3.根据权利要求2所述的方法,其特征在于,所述对所述指定数据格式的各设备日志进行信息扩展,得到待分析用户的历史访问日志,包括:
从所述指定数据格式的设备日志中提取待分析用户的用户名、源地址及目的地址;
根据所述用户名,从预设账号库中查找出所述用户名对应的所述待分析用户的用户个人信息和所述待分析用户所属的组织结构信息;
根据所述目的地址,从预设资产库中查找出所述目的地址对应的所述待分析用户访问的资产信息;
根据所述目的地址,从预设业务库中查找出所述目的地址对应的所述待分析用户访问的业务系统信息;
根据所述源地址,从预设区域库中查找出所述源地址对应的所述待分析用户的登录区域信息;
基于所述用户个人信息、所述组织结构信息、所述资产信息、所述业务系统信息及所述登录区域信息,对所述设备日志进行信息扩展,得到所述待分析用户的历史访问日志。
4.根据权利要求1所述的方法,其特征在于,所述威胁程度属性标签为:所述待分析用户对所访问网络的安全威胁系数;
所述采用预设的态势感知分析策略,对所述历史访问日志进行分析,得到用于表征所述待分析用户对所访问网络的安全威胁程度的威胁程度属性标签,包括:
采用多个态势感知分析策略,分别对所述历史访问日志进行分析,得到所述待分析用户分别在各态势感知分析策略下作为威胁所访问网络的威胁源出现的次数;
根据各威胁源出现的次数以及各威胁源的威胁权重,进行加权求和,得到所述待分析用户的安全威胁系数。
5.根据权利要求4所述的方法,其特征在于,所述多个态势感知分析策略至少包括:安全事件分析策略、流量分析策略及用户异常行为分析策略;
所述采用多个态势感知分析策略,分别对所述历史访问日志进行分析,得到所述待分析用户分别在各态势感知分析策略下作为威胁所访问网络的威胁源出现的次数,包括:
采用所述安全事件分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为安全事件源出现的第一次数;
采用所述流量分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为异常流量源出现的第二次数;
采用所述用户异常行为分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为异常行为源出现的第三次数。
6.一种用户画像构建装置,其特征在于,所述装置包括:
信息扩展模块,用于从各网络接入设备产生的设备日志中,获取待分析用户对应的设备日志,并对所述待分析用户对应的设备日志进行信息扩展,得到所述待分析用户的历史访问日志;
统计分析模块,用于根据所述历史访问日志,统计所述待分析用户的多个历史访问行为,并根据所述多个历史访问行为,确定所述待分析用户的访问行为属性标签;采用预设的态势感知分析策略,对所述历史访问日志进行分析,得到用于表征所述待分析用户对所访问网络的安全威胁程度的威胁程度属性标签;
构建模块,用于根据所述访问行为属性标签及所述威胁程度属性标签,构建所述待分析用户的用户画像。
7.根据权利要求6所述的装置,其特征在于,所述信息扩展模块,具体用于:
获取待分析用户在通过各网络接入设备访问网络时,各网络接入设备产生的设备日志;
对获取到的各设备日志进行归一化处理,得到指定数据格式的各设备日志;
对所述指定数据格式的各设备日志进行信息扩展,得到所述待分析用户的历史访问日志。
8.根据权利要求7所述的装置,其特征在于,所述信息扩展模块,具体用于:
从所述指定数据格式的设备日志中提取待分析用户的用户名、源地址及目的地址;
根据所述用户名,从预设账号库中查找出所述用户名对应的所述待分析用户的用户个人信息和所述待分析用户所属的组织结构信息;
根据所述目的地址,从预设资产库中查找出所述目的地址对应的所述待分析用户访问的资产信息;
根据所述目的地址,从预设业务库中查找出所述目的地址对应的所述待分析用户访问的业务系统信息;
根据所述源地址,从预设区域库中查找出所述源地址对应的所述待分析用户的登录区域信息;
基于所述用户个人信息、所述组织结构信息、所述资产信息、所述业务系统信息及所述登录区域信息,对所述设备日志进行信息扩展,得到所述待分析用户的历史访问日志。
9.根据权利要求6所述的装置,其特征在于,所述威胁程度属性标签为:所述待分析用户对所访问网络的安全威胁系数;
所述统计分析模块,具体用于:
采用多个态势感知分析策略,分别对所述历史访问日志进行分析,得到所述待分析用户分别在各态势感知分析策略下作为威胁所访问网络的威胁源出现的次数;
根据各威胁源出现的次数以及各威胁源的威胁权重,进行加权求和,得到所述待分析用户的安全威胁系数。
10.根据权利要求9所述的装置,其特征在于,所述多个态势感知分析策略至少包括:安全事件分析策略、流量分析策略及用户异常行为分析策略;
所述统计分析模块,具体用于:
采用所述安全事件分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为安全事件源出现的第一次数;
采用所述流量分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为异常流量源出现的第二次数;
采用所述用户异常行为分析策略,对所述历史访问日志进行分析,统计出所述待分析用户作为异常行为源出现的第三次数。
11.一种服务器,其特征在于,包括处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令,所述处理器被所述机器可执行指令促使执行权利要求1-5任一所述的方法。
12.一种机器可读存储介质,其特征在于,存储有机器可执行指令,在被处理器调用和执行时,所述机器可执行指令促使所述处理器执行权利要求1-5任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810908883.4A CN109241461B (zh) | 2018-08-10 | 2018-08-10 | 一种用户画像构建方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810908883.4A CN109241461B (zh) | 2018-08-10 | 2018-08-10 | 一种用户画像构建方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109241461A CN109241461A (zh) | 2019-01-18 |
| CN109241461B true CN109241461B (zh) | 2020-05-22 |
Family
ID=65071174
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810908883.4A Active CN109241461B (zh) | 2018-08-10 | 2018-08-10 | 一种用户画像构建方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109241461B (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110020687B (zh) * | 2019-04-10 | 2021-11-05 | 北京神州泰岳软件股份有限公司 | 基于操作人员态势感知画像的异常行为分析方法及装置 |
| CN110365698A (zh) * | 2019-07-29 | 2019-10-22 | 杭州数梦工场科技有限公司 | 风险评估方法与装置 |
| CN112311612B (zh) * | 2019-07-29 | 2022-11-01 | 腾讯科技(深圳)有限公司 | 一种信息构建方法、装置及存储介质 |
| CN111091351A (zh) * | 2019-12-16 | 2020-05-01 | 北京政信1890智能科技有限公司 | 用户画像构建方法、装置、电子设备和可读存储介质 |
| CN111475691B (zh) * | 2020-03-06 | 2021-11-02 | 拉扎斯网络科技(上海)有限公司 | 一种推荐对象数据的获取方法、装置及电子设备 |
| CN111507878B (zh) * | 2020-04-08 | 2023-06-02 | 北京信息科技大学 | 一种基于用户画像的网络犯罪嫌疑人侦查方法及系统 |
| CN113542880B (zh) * | 2020-04-20 | 2022-11-29 | 中国移动通信集团河北有限公司 | 一种短视频业务质量检测方法和装置 |
| CN111786814B (zh) * | 2020-06-05 | 2024-05-28 | 腾讯科技(深圳)有限公司 | 一种日志处理方法和装置 |
| CN112104618A (zh) * | 2020-08-27 | 2020-12-18 | 深信服科技股份有限公司 | 一种信息确定方法、信息确定设备和计算机可读存储介质 |
| CN112152873B (zh) * | 2020-09-02 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 用户识别方法、装置、计算机设备和存储介质 |
| CN112399419A (zh) * | 2020-12-01 | 2021-02-23 | 天翼电子商务有限公司 | 一种基于动态规则的威胁设备识别方法 |
| CN112804196A (zh) * | 2020-12-25 | 2021-05-14 | 北京明朝万达科技股份有限公司 | 日志数据的处理方法及装置 |
| CN113377718A (zh) * | 2021-05-24 | 2021-09-10 | 石化盈科信息技术有限责任公司 | 日志信息处理方法、装置、计算机设备及存储介质 |
| CN115664845B (zh) * | 2022-12-07 | 2023-05-23 | 北京市大数据中心 | 基于多源数据协同的安全画像方法、设备、介质 |
| CN116015979B (zh) * | 2023-02-23 | 2023-06-16 | 网思科技股份有限公司 | 一种智能安全态势感知方法、系统和存储介质 |
| CN117473225A (zh) * | 2023-10-17 | 2024-01-30 | 杭州智顺科技有限公司 | 日志数据治理方法、装置、电子设备及可读存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8095979B2 (en) * | 2007-01-26 | 2012-01-10 | Microsoft Corporation | Analysis of event information to perform contextual audit |
| CN106503015A (zh) * | 2015-09-07 | 2017-03-15 | 国家计算机网络与信息安全管理中心 | 一种构建用户画像的方法 |
| CN106504099A (zh) * | 2015-09-07 | 2017-03-15 | 国家计算机网络与信息安全管理中心 | 一种构建用户画像的系统 |
| CN107016103A (zh) * | 2017-04-12 | 2017-08-04 | 北京焦点新干线信息技术有限公司 | 一种构建用户画像的方法及装置 |
| WO2017186106A1 (zh) * | 2016-04-29 | 2017-11-02 | 腾讯科技(深圳)有限公司 | 获取用户画像的方法及装置 |
-
2018
- 2018-08-10 CN CN201810908883.4A patent/CN109241461B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8095979B2 (en) * | 2007-01-26 | 2012-01-10 | Microsoft Corporation | Analysis of event information to perform contextual audit |
| CN106503015A (zh) * | 2015-09-07 | 2017-03-15 | 国家计算机网络与信息安全管理中心 | 一种构建用户画像的方法 |
| CN106504099A (zh) * | 2015-09-07 | 2017-03-15 | 国家计算机网络与信息安全管理中心 | 一种构建用户画像的系统 |
| WO2017186106A1 (zh) * | 2016-04-29 | 2017-11-02 | 腾讯科技(深圳)有限公司 | 获取用户画像的方法及装置 |
| CN107016103A (zh) * | 2017-04-12 | 2017-08-04 | 北京焦点新干线信息技术有限公司 | 一种构建用户画像的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109241461A (zh) | 2019-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109241461B (zh) | 一种用户画像构建方法及装置 | |
| US7970934B1 (en) | Detecting events of interest | |
| US8126874B2 (en) | Systems and methods for generating statistics from search engine query logs | |
| US11720915B2 (en) | Behavioral content discovery | |
| US20080189281A1 (en) | Presenting web site analytics associated with search results | |
| US20140201048A1 (en) | Method and apparatus of identifying a website user | |
| WO2017113677A1 (zh) | 处理用户行为数据的方法和系统 | |
| CN108989150A (zh) | 一种登录异常检测方法及装置 | |
| WO2019161027A1 (en) | System and method for bot detection | |
| EP3805957A1 (en) | Computer-implemented method and apparatus for determining a relevance of a node in a network | |
| CN110135978B (zh) | 用户金融风险评估方法、装置、电子设备和可读介质 | |
| CN108366012B (zh) | 一种社交关系建立方法、装置及电子设备 | |
| CN110401660B (zh) | 虚假流量的识别方法、装置、处理设备及存储介质 | |
| CN112328802A (zh) | 数据处理方法、装置和服务器 | |
| CN111612085B (zh) | 一种对等组中异常点的检测方法及装置 | |
| US11373103B2 (en) | Artificial intelligence based system and method for predicting and preventing illicit behavior | |
| US10296924B2 (en) | Document performance indicators based on referral context | |
| CN112347457A (zh) | 异常账户检测方法、装置、计算机设备和存储介质 | |
| US9444674B2 (en) | Heuristic analysis of responses to user requests | |
| US8005775B2 (en) | System and method for detecting human judgment drift and variation control | |
| CN117033552A (zh) | 情报评价方法、装置、电子设备及存储介质 | |
| CN112685618A (zh) | 用户特征识别方法、装置、计算设备及计算机存储介质 | |
| CN112104656B (zh) | 一种网络威胁数据获取方法、装置、设备及介质 | |
| CN113052509A (zh) | 模型评估方法、模型评估装置、电子设备和存储介质 | |
| CN113300997A (zh) | 多维度网络设备评估方法和装置、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |