CN109687991B - 用户行为识别方法、装置、设备及存储介质 - Google Patents
用户行为识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN109687991B CN109687991B CN201811041732.XA CN201811041732A CN109687991B CN 109687991 B CN109687991 B CN 109687991B CN 201811041732 A CN201811041732 A CN 201811041732A CN 109687991 B CN109687991 B CN 109687991B
- Authority
- CN
- China
- Prior art keywords
- user
- time
- behavior
- target
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开一种用户行为识别方法、装置、设备及存储介质,该方法包括:日志分析平台响应于接收到的信息查询指令,获取信息查询指令中包含的用户标识以及信息查询时段,在预设时间索引中查找信息查询时段对应的日志数据,并根据用户标识从日志数据中选取目标用户对应的用户行为数据,然后对用户行为数据进行安全行为分析,并根据分析结果判断目标用户是否存在异常行为,由于是通过日志分析平台来实时获取用户在某一时段内的用户行为数据并对获取到的用户行为数据进行安全行为分析,再根据分析结果来判断目标用户是否存在异常行为,因而可以及时获知用户正常或异常的行为动态,能够有效避免由异常行为引发的信息安全问题以及网络安全问题。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种用户行为识别方法、装置、设备及存储介质。
背景技术
在计算机和网络通信领域中,不同设备之间的授权和登录是常见的操作。在多台计算机组成的网络中,为了统一管控连接到同一网络的多台计算机的账号,微软提供了一套便于操作系统账号在异地登录的控制软件活动目录(Active Directory,AD),AD控制软件运行把这些计算机组成一个域,即AD域。
现有技术中,通常使用AD域对用户的账号进行技术层面的权限控制,但现有的通过AD域进行权限控制的方法无法对用户在已有权限下的个人违章操作,如人为借用账号、超量登录或查询敏感信息等异常行为进行安全审计,缺陷明显。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供了一种用户行为识别方法、装置、设备及存储介质,旨在解决现有技术无法有效对用户的操作行为进行安全行为审计的技术问题。
为实现上述目的,本发明提供了一种用户行为识别方法,所述方法包括以下步骤:
日志分析平台响应于接收到的信息查询指令,获取所述信息查询指令中包含的用户标识以及信息查询时段;
在预设时间索引中查找所述信息查询时段对应的日志数据,并根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据;
对所述用户行为数据进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为。
优选地,所述对所述用户行为数据进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为的步骤,包括:
从所述用户行为数据中提取所述目标用户对应的账户登录信息;
对所述账户登录信息进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为。
优选地,所述对所述账户登录信息进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为的步骤,包括:
根据所述账户登录信息包含的账户标识确定出目标登录账户;
检测所述目标登录账户在预设时段内的登录次数是否超过预设次数,若超过则判定所述目标用户存在异常行为;
和/或,检测所述目标登录账户对应的登录地址中,是否存在地址信息不相同的登录地址,若存在则判定所述目标用户存在异常行为;
和/或,检测所述目标登录账户在预设时段内的登录失败次数是否超过预设阈值,若超过则判定所述目标用户存在异常行为。
优选地,所述日志分析平台响应于接收到的信息查询指令,获取所述信息查询指令中包含的用户标识以及信息查询时段的步骤之前,所述方法还包括:
日志分析平台从预设数据库中采集用户行为日志,对所述用户行为日志进行格式化处理获得日志数据;
提取所述日志数据中包含的时间参数,并根据所述时间参数建立时间参数与日志数据之间的时间索引。
优选地,所述日志分析平台从预设数据库中采集用户行为日志,对所述用户行为日志进行初始化处理获得日志数据包括:
日志分析平台响应于接收到的数据采集指令,通过预设查询语句从预设数据库中采集用户行为日志;
将所述用户行为日志中包含的时间参数进行格式化为ISO8601时间格式的时间参数,获得日志数据。
优选地,所述提取所述日志数据中包含的时间参数,并根据所述时间参数建立时间参数与日志数据之间的时间索引的步骤,包括:
提取所述日志数据中包含的目标时间参数,在本地数据库中查询是否存在包含有所述目标时间参数的目标时间索引;
若不存在,则根据所述时间参数建立所述目标时间参数与所述日志数据之间的时间索引,并将建立的时间索引保存至所述本地数据库。
优选地,所述在预设时间索引中查找所述信息查询时段对应的日志数据,并根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据的步骤,包括:
确定所述信息查询时段对应的查询时间参数,将所述查询时间参数格式化为ISO8601时间格式的目标查询时间参数;
在预设时间索引中查找包含有所述目标查询时间参数的日志数据,根据所述用户标识从查找到的日志数据中选取目标用户对应的用户行为数据。
此外,为实现上述目的,本发明还提出一种用户行为识别装置,所述装置包括:指令响应模块、数据查询模块和行为分析模块;
其中,所述指令响应模块,用于在接收到信息查询指令时,获取所述信息查询指令中包含的用户标识以及信息查询时段;
所述数据查询模块,用于在预设时间索引中查找所述信息查询时段对应的日志数据,并根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据;
所述行为分析模块,用于对所述用户行为数据进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为。
此外,为实现上述目的,本发明还提出一种用户行为识别设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的用户行为识别程序,所述用户行为识别程序配置为实现如上文所述的用户行为识别方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有用户行为识别程序,所述用户行为识别程序被处理器执行时实现如上文所述的用户行为识别方法的步骤。
本发明日志分析平台响应于接收到的信息查询指令,获取信息查询指令中包含的用户标识以及信息查询时段,在预设时间索引中查找信息查询时段对应的日志数据,并根据用户标识从日志数据中选取目标用户对应的用户行为数据,然后对用户行为数据进行安全行为分析,并根据分析结果判断目标用户是否存在异常行为,由于是通过日志分析平台来实时获取用户在某一时段内的用户行为数据并进行安全行为分析,再根据分析结果来判断目标用户是否存在异常行为,因而可以及时获知用户正常或异常的行为动态,能够有效避免由异常行为引发的信息安全问题以及网络安全问题。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的用户行为识别设备的结构示意图;
图2为本发明用户行为识别方法第一实施例的流程示意图;
图3为本发明用户行为识别方法第二实施例的流程示意图;
图4为本发明用户行为识别方法第三实施例的流程示意图;
图5为本发明用户行为识别装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的用户行为识别设备结构示意图。
如图1所示,该用户行为识别设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对用户行为识别设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及用户行为识别程序。
在图1所示的用户行为识别设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明用户行为识别设备中的处理器1001、存储器1005可以设置在用户行为识别设备中,所述用户行为识别设备通过处理器1001调用存储器1005中存储的用户行为识别程序,并执行本发明实施例提供的用户行为识别方法。
本发明实施例提供了一种用户行为识别方法,参照图2,图2为本发明用户行为识别方法第一实施例的流程示意图。
本实施例中,所述用户行为识别方法包括以下步骤:
步骤S10:日志分析平台响应于接收到的信息查询指令,获取所述信息查询指令中包含的用户标识以及信息查询时段;
需要说明的是,本实施例方法的执行主体可以是具有日志分析功能的平台,即所述日志分析平台,考虑到ELK日志分析平台在大规模、多维度的日志数据分析中优势明显,本实施例中所述日志分析平台优选为ELK日志分析平台(以下简称ELK平台),此外所述信息查询指令可以由用户手动输入,也可以由预设在ELK平台中的定时任务触发生成,对此不作限制。
可理解的是,所述ELK平台是由Elasticsearch,Logstash,Kibana三种开源工具搭建而成的日志分析系统,其中,Elasticsearch是一个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能;Logstash则主要是用于日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式;Kibana可以为Logstash和ElasticSearch提供的日志分析友好的Web界面,帮助汇总、分析和搜索重要日志数据。
应理解的是,所述用户标识可以是待查询用户对应的身份标识,如姓名、工号和/或身份证号等,所述信息查询时段即本次信息查询对应的信息查询时间范围。
在具体实现中,ELK平台中的Kibana组件在接收到用户输入的信息查询指令时,解析所述信息查询指令,获取指令中携带的用户标识以及信息查询时段。
步骤S20:在预设时间索引中查找所述信息查询时段对应的日志数据,并根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据;
需要说明的是,ELK平台中的Elasticsearch组件作为一个开源分布式搜索引擎,其具有搜集数据、分析数据以及存储数据的功能,且Elasticsearch组件在存储数据时能够通过数据信息中包含的时间参数,来建立时间参数与待存储的数据信息之间的索引(即所述时间索引),然后根据建立的索引来对数据信息进行相应保存。
在具体实现中,ELK平台中的Kibana组件在Elasticsearch组件预先建立的时间索引中查找所述信息查询时段对应的日志数据,然后根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据。具体的,ELK平台中的Kibana组件先确定所述信息查询时段对应的查询时间参数,再将所述查询时间参数格式化为ISO8601时间格式的目标查询时间参数,然后在预设时间索引中查找包含有所述目标查询时间参数的日志数据,并根据所述用户标识从查找到的日志数据中选取目标用户对应的用户行为数据。
步骤S30:对所述用户行为数据进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为。
需要说明的是,在执行本步骤之前,安全审计人员可以根据历史审计经验编写一个包含有用户行为判定策略的配置文件,以使ELK平台中的Kibana组件在需要对用户行为数据进行安全行为分析时,根据所述用户行为判定策略来实现。
在具体实现中,Kibana组件在获取到目标用户对应的用户行为数据后,从预先编写的配置文件中解析出用户行为判定策略,然后根据该用户行为判定策略对用户行为数据进行安全行为分析,最后根据分析结果来判断目标用户是否存在异常行为,实现对用户异常行为的安全审计。
本实施例日志分析平台响应于接收到的信息查询指令,获取信息查询指令中包含的用户标识以及信息查询时段,在预设时间索引中查找信息查询时段对应的日志数据,并根据用户标识从日志数据中选取目标用户对应的用户行为数据,然后对用户行为数据进行安全行为分析,并根据分析结果判断目标用户是否存在异常行为,由于是通过日志分析平台来实时获取用户在某一时段内的用户行为数据并进行安全行为分析,再根据分析结果来判断目标用户是否存在异常行为,因而可以及时获知用户正常或异常的行为动态,能够有效避免由异常行为引发的信息安全问题以及网络安全问题。
参考图3,图3为本发明用户行为识别方法第二实施例的流程示意图。
基于上述第一实施例,在本实施例中,所述步骤S40包括:
步骤S401:从所述用户行为数据中提取所述目标用户对应的账户登录信息;
应理解的是,通常情况下,违规用户通过其自身拥有的账户进行违规操作大概包括:违规查询(例如查询敏感信息、机密信息)、违规登录(例如频繁登录/登出账户、在非正常时段登录账户)和/或违规审批(例如借用他人账号审批授权)等。考虑到用户的账户登录信息容易获取且易于查询,本实施例优选通过用户行为数据中的账户登录信息来对用户进行安全行为分析。
具体的,Kibana组件从获取到的用户行为数据中提取目标用户对应的账户登录信息。所述账户登录信息包括但不限于:登录账户、登录时间、登录地址和/或登录对象,其中所述登录地址可以是账户登录时所使用的登录终端所在的地理位置(地址),也可以是账户登录时对应的网络地址,如网络协议(Internet Protocol,IP)地址,还可以是登录终端的物理地址,如MAC地址(Medium Access Control Address)等,所述登录对象可以是本次账户登录对应的登录系统或平台。
步骤S402:对所述账户登录信息进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为。
需要说明的是,在本实施例中对所述账户登录信息进行安全行为分析可具体包括:根据账户登录信息包含的账户标识确定出目标登录账户;然后检测所述目标登录账户在预设时段内的登录次数是否超过预设次数;和/或,检测所述目标登录账户对应的登录地址中,是否存在地址信息不相同的登录地址;和/或,检测所述目标登录账户在预设时段内的登录失败次数是否超过预设阈值。
应理解的是,所述账户标识可以是账户名称、账户识别号(Identification,ID)等能够对不同账户进行区分的字符。
在具体实现中,Kibana组件根据账户登录信息中携带的账户标识确定出本次安全审计所针对的目标登录账户,然后获取目标登录账户在信息查询时段内的登录次数、登录地址和/或登录失败次数等信息,再根据安全审计人员制定的用户行为判定策略来对这些信息进行安全行为分析,最后根据分析结果判断出目标用户是否存在异常行为。例如:当检测到目标登录账户在5分钟内,登录某一系统的登录次数超过了20次;或是目标登录账户在5分钟内,登录某一系统的登录失败次数超过了30次;又或是目标账户在同一时间段,对应有多个不同的登录IP地址,则都可以判定出目标账户对应的用户存在异常行为。
本实施例通过从用户行为数据中提取目标用户对应的账户登录信息,然后对账户登录信息进行安全行为分析,再根据分析结果判断目标用户是否存在异常行为,由于本实施例仅根据用户的账户登录信息即可判断用户是否存在异常行为,而不需要获取用户的其它操作痕迹数据,从而使得用户行为识别在易于实现的同时,也具有较高的准确率。
参考图4,图4为本发明用户行为识别方法第三实施例的流程示意图。
基于上述各实施例,在本实施例中,所述步骤S10之前,所述方法还包括:
步骤S01:日志分析平台从预设数据库中采集用户行为日志,对所述用户行为日志进行格式化处理获得日志数据;
需要说明的是,所述预设数据库可以是预先规划的用于存放用户行为日志的数据存储空间。通常数据库对应的数据来源都较为复杂,由于这些数据存放在不同的地理位置、不同的数据库、不同的应用之中,因而从这些业务系统对数据进行抽取并不是一件容易的事。考虑到上述问题本实施例中将所述预设数据库优选为操作数据存储(OperationalData Store,ODS)数据库来对从业务系统(如账户登录系统)中获取到的用户行为数据进行储存,从而使得这些用户行为数据从数据结构、数据之间的逻辑关系上都与业务系统基本保持一致,极大地降低了数据转化的复杂性。
在具体实现中,日志分析平台中的Logstash组件在接收到数据采集指令时,通过预先配置的SQL查询语句从ODS数据库中采集用户行为日志,然后将用户行为日志中包含的时间参数进行格式化为ISO8601时间格式的时间参数,获得日志数据,例如:将用户行为日志中包含的时间参数“2018-05-1116:30:30.830”格式化为ISO8601时间格式的时间参数“20180511T163030+08”。
进一步地,在本实施例中Logstash组件在采集用户行为日志时,会以上一次采集动作结束时的时间节点作为本次采集动作的起始时间节点来采集预设数量(例如1万条)的用户行为数据,然后将采集到的用户行为数据作为所述用户行为日志。
步骤S02:提取所述日志数据中包含的时间参数,并根据所述时间参数建立时间参数与日志数据之间的时间索引。
需要说明的是,所述时间参数即日志数据中携带的用户行为数据产生的时间日期。
在具体实现中,日志分析平台中的Logstash组件在完成对日志数据时间参数的格式化后,可将已经完成时间参数格式化的日志数据发送至日志分析平台中的Elasticsearch组件,由Elasticsearch组件提取日志数据中包含的(已格式化的)时间参数,然后根据所述时间参数建立时间参数与日志数据之间的时间索引。
应理解的是,ElasticSearch组件在建立索引时,会以时间参数和该时间参数对应的日志数据之间的映射关系来建立索引,但考虑到ElasticSearch组件从Logstash组件中采集数据时,会以自身采集到该数据时对应的采集时间来建立时间和数据之间的索引从而导致最终建立的索引不能真实反映出日志数据的实际产生时间,因此,本实施例需要将ElasticSearch组件建立索引的依据即采集时间对应的“@timestemp”字段重定义为日志数据中包含的时间参数对应的日期字段,进而保证最终建立的时间索引的准确性和可靠性。
在具体实现中,日志分析平台中Elasticsearch组件提取日志数据中包含的目标时间参数,在本地数据库中查询是否存在包含有所述目标时间参数的目标时间索引;若不存在,则根据所述时间参数建立所述目标时间参数与所述日志数据之间的时间索引,并将建立的时间索引保存至所述本地数据库;若存在,则直接将所述日志数据保存至所述目标时间索引对应的存储区域。
本实施例日志分析平台从预设数据库中采集用户行为日志,对用户行为日志进行格式化处理获得日志数据;提取日志数据中包含的时间参数,并根据时间参数建立时间参数与日志数据之间的时间索引,由于是根据时间参数来建议时间参数与日志数据之间的时间索引,从而能够准确地获知用户行为发生的时间节点,有效控制违规用户在非正常时间进行的违规操作。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有用户行为识别程序,所述用户行为识别程序被处理器执行时实现如上文所述的用户行为识别方法的步骤。
参照图5,图5为本发明用户行为识别装置第一实施例的结构框图。
如图5所示,本发明实施例提出的用户行为识别装置包括:指令响应模块501、数据查询模块502和行为分析模块503;
其中,所述指令响应模块501,用于在接收到信息查询指令时,获取所述信息查询指令中包含的用户标识以及信息查询时段;
需要说明的是,所述信息查询指令可以由用户手动输入,也可以由设置在用户行为识别装置中的定时任务触发生成;所述用户标识可以是待查询用户对应的身份标识,如姓名、工号和/或身份证号等;所述信息查询时段即本次信息查询对应的信息查询时间范围。
在具体实现中,指令响应模块501在接收到用户输入的信息查询指令时,解析所述信息查询指令获取指令中携带的用户标识以及信息查询时段。
所述数据查询模块502,用于在预设时间索引中查找所述信息查询时段对应的日志数据,并根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据;
在具体实现中,数据查询模块502在预先建立的时间索引中查找所述信息查询时段对应的日志数据,然后根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据。
进一步地,本实施例中所述数据查询模块502,还用于确定所述信息查询时段对应的查询时间参数,将所述查询时间参数格式化为ISO8601时间格式的目标查询时间参数,在预设时间索引中查找包含有所述目标查询时间参数的日志数据,并根据所述用户标识从查找到的日志数据中选取目标用户对应的用户行为数据。
所述行为分析模块503,用于对所述用户行为数据进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为。
需要说明的是,本实施例中安全审计人员可以根据历史审计经验编写一个包含有用户行为判定策略的配置文件,以使所述行为分析模块503在需要对用户行为数据进行安全行为分析时,根据所述用户行为判定策略来实现。
在具体实现中,行为分析模块503在获取到目标用户对应的用户行为数据后,从预先编写的配置文件中解析出用户行为判定策略,然后根据该用户行为判定策略对用户行为数据进行安全行为分析,最后根据分析结果来判断目标用户是否存在异常行为,实现对用户异常行为的安全审计。
本实施例用户行为识别装置响应于接收到的信息查询指令,获取信息查询指令中包含的用户标识以及信息查询时段,在预设时间索引中查找信息查询时段对应的日志数据,并根据用户标识从日志数据中选取目标用户对应的用户行为数据,然后对用户行为数据进行安全行为分析,并根据分析结果判断目标用户是否存在异常行为,由于是通过实时获取用户在某一时段内的用户行为数据并进行安全行为分析,再根据分析结果来判断目标用户是否存在异常行为,因而可以及时获知用户正常或异常的行为动态,能够有效避免由异常行为引发的信息安全问题以及网络安全问题。
基于本发明上述用户行为识别装置第一实施例,提出本发明用户行为识别装置的第二实施例。
在本实施例中,所述行为分析模块503,还用于从所述用户行为数据中提取所述目标用户对应的账户登录信息;对所述账户登录信息进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为。
进一步地,所述行为分析模块503,还用于根据所述账户登录信息包含的账户标识确定出目标登录账户;检测所述目标登录账户在预设时段内的登录次数是否超过预设次数,若超过则判定所述目标用户存在异常行为;和/或,检测所述目标登录账户对应的登录地址中,是否存在地址信息不相同的登录地址,若存在则判定所述目标用户存在异常行为;和/或,检测所述目标登录账户在预设时段内的登录失败次数是否超过预设阈值,若超过则判定所述目标用户存在异常行为。
在本实施例中,用户行为识别装置还包括:索引建立模块,所述索引建立模块,用于从预设数据库中采集用户行为日志,对所述用户行为日志进行格式化处理获得日志数据;提取所述日志数据中包含的时间参数,并根据所述时间参数建立时间参数与日志数据之间的时间索引。
进一步地,所述索引建立模块,还用于响应于接收到的数据采集指令,通过预设查询语句从预设数据库中采集用户行为日志;将所述用户行为日志中包含的时间参数进行格式化为ISO8601时间格式的时间参数,获得日志数据。
进一步地,所述索引建立模块,还用于提取所述日志数据中包含的时间参数,在本地数据库中查询是否存在包含有所述时间参数的目标时间索引;若不存在,则根据所述时间参数建立所述时间参数与所述日志数据之间的时间索引,并将建立的时间索引保存至所述本地数据库。
本发明用户行为识别装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (6)
1.一种用户行为识别方法,其特征在于,所述方法包括:
日志分析平台响应于接收到的信息查询指令,获取所述信息查询指令中包含的用户标识以及信息查询时段;
在预设时间索引中查找所述信息查询时段对应的日志数据,并根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据;
对所述用户行为数据进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为;
其中,所述对所述用户行为数据进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为的步骤,包括:
从所述用户行为数据中提取所述目标用户对应的账户登录信息,所述账户登录信息包括:登录账户、登录时间、登录地址和/登录对象,所述登录地址包括:登录终端所在的物理地址或网络地址;
对所述账户登录信息进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为;
所述对所述账户登录信息进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为的步骤,包括:
根据所述账户登录信息包含的账户标识确定出目标登录账户;
检测所述目标登录账户在预设时段内的登录次数是否超过预设次数,若超过则判定所述目标用户存在异常行为;
和/或,检测所述目标登录账户对应的登录地址中,是否存在地址信息不相同的登录地址,若存在则判定所述目标用户存在异常行为;
和/或,检测所述目标登录账户在预设时段内的登录失败次数是否超过预设阈值,若超过则判定所述目标用户存在异常行为;
其中,所述日志分析平台响应于接收到的信息查询指令,获取所述信息查询指令中包含的用户标识以及信息查询时段的步骤之前,所述方法还包括:
日志分析平台从预设数据库中采集用户行为日志,对所述用户行为日志进行格式化处理获得日志数据;
提取所述日志数据中包含的时间参数,并根据所述时间参数建立时间参数与日志数据之间的时间索引;
所述日志分析平台从预设数据库中采集用户行为日志,对所述用户行为日志进行初始化处理获得日志数据包括:
日志分析平台响应于接收到的数据采集指令,以上一次采集动作的结束时间节点作为起始时间节点,通过预设查询语句从预设数据库中采集用户行为日志,所述预设数据库为预先规划的用于存放所述用户行为日志的数据存储空间,所述预设查询语句为预先配置的SQL查询语句;
将所述用户行为日志中包含的时间参数格式化为ISO8601时间格式的时间参数,获得日志数据。
2.如权利要求1所述的方法,其特征在于,所述提取所述日志数据中包含的时间参数,并根据所述时间参数建立时间参数与日志数据之间的时间索引的步骤,包括:
提取所述日志数据中包含的目标时间参数,在本地数据库中查询是否存在包含有所述目标时间参数的目标时间索引;
若不存在,则根据所述时间参数建立所述目标时间参数与所述日志数据之间的时间索引,并将建立的时间索引保存至所述本地数据库。
3.如权利要求2所述的方法,其特征在于,所述在预设时间索引中查找所述信息查询时段对应的日志数据,并根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据的步骤,包括:
确定所述信息查询时段对应的查询时间参数,将所述查询时间参数格式化为所述ISO8601时间格式的目标查询时间参数;
在预设时间索引中查找包含有所述目标查询时间参数的日志数据,根据所述用户标识从查找到的日志数据中选取目标用户对应的用户行为数据。
4.一种用户行为识别装置,其特征在于,所述装置包括:指令响应模块、数据查询模块和行为分析模块;
其中,所述指令响应模块,用于在接收到信息查询指令时,获取所述信息查询指令中包含的用户标识以及信息查询时段;
所述数据查询模块,用于在预设时间索引中查找所述信息查询时段对应的日志数据,并根据所述用户标识从所述日志数据中选取目标用户对应的用户行为数据;
所述行为分析模块,用于对所述用户行为数据进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为;
所述行为分析模块,还用于从所述用户行为数据中提取所述目标用户对应的账户登录信息,所述账户登录信息包括:登录账户、登录时间、登录地址和/登录对象,所述登录地址包括:登录终端所在的物理地址或网络地址;对所述账户登录信息进行安全行为分析,并根据分析结果判断所述目标用户是否存在异常行为;
所述行为分析模块,还用于根据所述账户登录信息包含的账户标识确定出目标登录账户;检测所述目标登录账户在预设时段内的登录次数是否超过预设次数,若超过则判定所述目标用户存在异常行为;和/或,检测所述目标登录账户对应的登录地址中,是否存在地址信息不相同的登录地址,若存在则判定所述目标用户存在异常行为;和/或,检测所述目标登录账户在预设时段内的登录失败次数是否超过预设阈值,若超过则判定所述目标用户存在异常行为;
所述指令响应模块,还用于日志分析平台从预设数据库中采集用户行为日志,对所述用户行为日志进行格式化处理获得日志数据;提取所述日志数据中包含的时间参数,并根据所述时间参数建立时间参数与日志数据之间的时间索引;
所述指令响应模块,还用于日志分析平台响应于接收到的数据采集指令,以上一次采集动作的结束时间节点作为起始时间节点,通过预设查询语句从预设数据库中采集用户行为日志,所述预设数据库为预先规划的用于存放所述用户行为日志的数据存储空间,所述预设查询语句为预先配置的SQL查询语句;将所述用户行为日志中包含的时间参数格式化为ISO8601时间格式的时间参数,获得日志数据。
5.一种用户行为识别设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的用户行为识别程序,所述用户行为识别程序配置为实现如权利要求1至3中任一项所述的用户行为识别方法的步骤。
6.一种存储介质,其特征在于,所述存储介质上存储有用户行为识别程序,所述用户行为识别程序被处理器执行时实现如权利要求1至3任一项所述的用户行为识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811041732.XA CN109687991B (zh) | 2018-09-07 | 2018-09-07 | 用户行为识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811041732.XA CN109687991B (zh) | 2018-09-07 | 2018-09-07 | 用户行为识别方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109687991A CN109687991A (zh) | 2019-04-26 |
| CN109687991B true CN109687991B (zh) | 2023-04-18 |
Family
ID=66185091
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811041732.XA Active CN109687991B (zh) | 2018-09-07 | 2018-09-07 | 用户行为识别方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109687991B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110245476A (zh) * | 2019-05-31 | 2019-09-17 | 深圳市元征科技股份有限公司 | 一种基于可穿戴设备的用户管理的方法及相关装置 |
| CN110674839B (zh) * | 2019-08-16 | 2023-11-24 | 平安科技(深圳)有限公司 | 异常用户识别方法、装置、存储介质及电子设备 |
| CN111786934A (zh) * | 2019-08-26 | 2020-10-16 | 北京京东尚科信息技术有限公司 | 检测客户端正常用户的方法以及装置 |
| CN110929203B (zh) * | 2019-10-18 | 2024-03-22 | 平安科技(深圳)有限公司 | 异常用户的识别方法、装置、设备及存储介质 |
| CN110825599A (zh) * | 2019-10-24 | 2020-02-21 | 长城计算机软件与系统有限公司 | 信息管理系统监控方法、装置、介质、电子设备和系统 |
| CN110995655B (zh) * | 2019-11-06 | 2022-08-23 | 国网浙江武义县供电有限公司 | 人员与设备行为对应关系监测方法及装置 |
| CN111159515B (zh) * | 2019-11-15 | 2024-05-28 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置及电子设备 |
| CN111274461A (zh) * | 2020-01-14 | 2020-06-12 | 深信服科技股份有限公司 | 数据审计方法、数据审计装置及存储介质 |
| CN111339063A (zh) * | 2020-03-02 | 2020-06-26 | 中国平安人寿保险股份有限公司 | 假设数据智能管理方法、装置及计算机可读存储介 |
| CN111461773B (zh) * | 2020-03-27 | 2023-09-08 | 北京奇艺世纪科技有限公司 | 一种用户检测方法、装置及电子设备 |
| CN111582709B (zh) * | 2020-04-30 | 2022-12-09 | 中国工商银行股份有限公司 | 用于园区管理的信息处理方法和装置 |
| CN111737556B (zh) * | 2020-07-03 | 2021-01-26 | 和宇健康科技股份有限公司 | 一种大数据信息热度分析方法及云平台装置 |
| CN111913860B (zh) * | 2020-07-15 | 2024-02-27 | 中国民航信息网络股份有限公司 | 一种操作行为分析方法及装置 |
| CN112035507B (zh) * | 2020-08-06 | 2024-04-12 | 杭州安恒信息技术股份有限公司 | 异常查询人员预警方法、装置、电子设备和可读存储介质 |
| CN112069031B (zh) * | 2020-09-03 | 2023-06-23 | 中国平安财产保险股份有限公司 | 异常查询方法、装置、设备及计算机可读存储介质 |
| CN112328595A (zh) * | 2020-10-30 | 2021-02-05 | 上海钐昆网络科技有限公司 | 一种数据查找方法、装置、设备及存储介质 |
| CN112583812B (zh) * | 2020-12-07 | 2023-03-21 | 泰康保险集团股份有限公司 | 一种账户安全确定方法、装置、设备及介质 |
| CN112799957A (zh) * | 2021-02-20 | 2021-05-14 | 携程旅游网络技术(上海)有限公司 | 基于用户行为的故障处理方法、系统、设备和介质 |
| CN114254716B (zh) * | 2022-03-02 | 2022-05-27 | 浙江鹏信信息科技股份有限公司 | 一种基于用户行为分析的高危操作识别方法及系统 |
| CN114969450B (zh) * | 2022-04-19 | 2023-06-27 | 北京优特捷信息技术有限公司 | 一种用户行为分析方法、装置、设备及存储介质 |
| CN116170640A (zh) * | 2022-11-28 | 2023-05-26 | 北京奇艺世纪科技有限公司 | 一种异常行为确定方法、装置、计算机设备以及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107046550A (zh) * | 2017-06-14 | 2017-08-15 | 微梦创科网络科技(中国)有限公司 | 一种异常登录行为的检测方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107612882B (zh) * | 2017-08-03 | 2020-09-29 | 奇安信科技集团股份有限公司 | 一种基于中间日志的用户行为识别方法及装置 |
| CN108427705B (zh) * | 2018-01-17 | 2022-04-12 | 平安科技(深圳)有限公司 | 电子装置、分布式系统日志查询方法及存储介质 |
-
2018
- 2018-09-07 CN CN201811041732.XA patent/CN109687991B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107046550A (zh) * | 2017-06-14 | 2017-08-15 | 微梦创科网络科技(中国)有限公司 | 一种异常登录行为的检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109687991A (zh) | 2019-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109687991B (zh) | 用户行为识别方法、装置、设备及存储介质 | |
| KR101883400B1 (ko) | 에이전트리스 방식의 보안취약점 점검 방법 및 시스템 | |
| CN113779585B (zh) | 越权漏洞检测方法和装置 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| KR101496646B1 (ko) | 인스턴트 qr코드를 통한 출입관리방법 | |
| CN109165514B (zh) | 一种风险检测方法 | |
| KR101676366B1 (ko) | 사이버 공격 대응을 위한 악성코드 침해 경로 및 행위 추적을 수행하는 침해 공격 추적 시스템 및 방법 | |
| CN109361660B (zh) | 异常行为分析方法、系统、服务器及存储介质 | |
| CN109460653B (zh) | 基于规则引擎的验证方法、验证设备、存储介质及装置 | |
| CN110704816B (zh) | 接口破解的识别方法、装置、设备及存储介质 | |
| CN112615873B (zh) | 物联网设备安全检测方法、设备、存储介质及装置 | |
| US20150213272A1 (en) | Conjoint vulnerability identifiers | |
| CN112905996A (zh) | 基于多维度数据关联分析的信息安全溯源系统及方法 | |
| CN114880641A (zh) | Api资产探测方法、装置、设备和介质 | |
| CN113487328A (zh) | 业务身份切换方法及装置 | |
| CN111314326B (zh) | Http漏洞扫描主机的确认方法、装置、设备及介质 | |
| CN110691090B (zh) | 网站检测方法、装置、设备及存储介质 | |
| CN109981573B (zh) | 安全事件响应方法及装置 | |
| CN113992451B (zh) | 一种资产数据处理方法及装置 | |
| CN111125701B (zh) | 文件检测方法、设备、存储介质及装置 | |
| CN104363256B (zh) | 一种手机病毒的识别和控制方法、设备与系统 | |
| CN112436969A (zh) | 一种物联网设备管理方法、系统、设备及介质 | |
| CN111291044A (zh) | 敏感数据识别方法、装置、电子设备及存储介质 | |
| CN112688944B (zh) | 局域网安全状态检测方法、装置、设备及存储介质 | |
| CN117294527B (zh) | 一种攻击判定方法、装置、存储介质及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |