CN111221722A - 行为检测方法、装置、电子设备及存储介质 - Google Patents
行为检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111221722A CN111221722A CN201910900782.7A CN201910900782A CN111221722A CN 111221722 A CN111221722 A CN 111221722A CN 201910900782 A CN201910900782 A CN 201910900782A CN 111221722 A CN111221722 A CN 111221722A
- Authority
- CN
- China
- Prior art keywords
- functional node
- access
- access frequency
- detected
- combination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 51
- 238000000034 method Methods 0.000 claims abstract description 33
- 230000006399 behavior Effects 0.000 claims description 88
- 230000006870 function Effects 0.000 claims description 86
- 230000002159 abnormal effect Effects 0.000 claims description 31
- 238000005516 engineering process Methods 0.000 claims description 22
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000010801 machine learning Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000012163 sequencing technique Methods 0.000 claims description 3
- 206010000117 Abnormal behaviour Diseases 0.000 abstract description 8
- 238000004590 computer program Methods 0.000 description 13
- 239000000284 extract Substances 0.000 description 7
- 238000007726 management method Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 3
- 230000010354 integration Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 2
- 238000012806 monitoring device Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000006386 memory function Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
- G06F11/3636—Software debugging by tracing the execution of the program
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/362—Software debugging
- G06F11/3644—Software debugging by instrumenting at runtime
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明提供一种行为检测方法、装置、电子设备及存储介质。该方法能够当接收到行为检测指令时,获取待检测人员在预设系统中每个功能节点的第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次,调取每个功能节点的目标访问频次,并进行对比,当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序,建立所述功能节点的第一队列,拆分所述第一队列,得到第一组合,调取预设的基准组合,将所述第一组合与所述基准组合进行匹配,当在所述第一组合中有组合匹配失败时,进行安全防护,确定所述待检测人员的行为异常,更加全面、准确地检测出异常行为,并提醒相关人员。
Description
技术领域
本发明涉及安全防护技术领域,尤其涉及一种行为检测方法、装置、电子设备及存储介质。
背景技术
在现有的技术方案中,通常采用孤立森林算法检测用户行为是否异常,然而,由于孤立森林算法对样本数量的要求极高,样本不易获取,同时,所述孤立森林算法只从访问次数上对用户行为进行检测,准确率较低。
发明内容
鉴于以上内容,有必要提供一种行为检测方法、装置、电子设备及存储介质,能够更加全面、准确地检测出异常行为,进而提醒相关人员,从而避免信息泄露。
一种行为检测方法,所述方法包括:
当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据;
根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次;
调取每个功能节点的目标访问频次;
对比每个功能节点的第一访问频次与每个功能节点的目标访问频次;
当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序;
基于所述访问顺序,建立所述功能节点的第一队列;
拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合;
调取预先配置的基准组合;
将所述第一组合与所述基准组合进行匹配;
当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常。
根据本发明优选实施例,所述根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次包括:
确定访问每个功能节点时对应的访问标识;
采用非确定型有穷自动机匹配原理,从所述第一日志数据中识别出每个访问标识;
计算所述单位时间内每个访问标识的个数,得到所述待检测人员对每个功能节点的第一访问频次。
根据本发明优选实施例,在调取每个功能节点的目标访问频次之前,所述方法还包括:
获取至少一个用户访问每个功能节点的第二日志数据;
根据所述第二日志数据确定所述至少一个用户对每个功能节点进行访问的频次,作为第二访问频次;
对每个功能节点的第二访问频次进行正态分布处理,得到每个功能节点的正态分布曲线;
从所述正态分布曲线中获取满足99.7法则的第三访问频次;
将频次最高的第三访问频次确定为所述目标访问频次。
根据本发明优选实施例,所述从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序包括:
采用机器学习方法从所述第一日志数据中提取所述功能节点的访问时间;
按照所述访问时间的先后顺序对所述功能节点进行排序,得到所述功能节点的访问顺序。
根据本发明优选实施例,在调取预先配置的基准组合之前,所述方法还包括:
获取所述至少一个用户访问所述预设系统中每个功能节点的第二日志数据;
从所述第二日志数据中提取所述至少一个用户对所述功能节点的访问序列;
获取目标节点数;
以所述目标节点数为每个组合的节点个数,依次拆分所述访问序列,得到所述至少一个用户对所述功能节点进行访问的第二组合;
根据所述第二日志数据,计算所述第二组合中每个第二组合的第二访问频次;
将所述第二组合按照所述第二访问频次从高到低进行排列,得到第二队列;
对所述第二队列中配置位前的组合进行集成,得到所述目标集合,其中,所述基准组合是以配置节点数为基础,从所述目标集合中调取出的节点个数为所述配置节点数的组合。
根据本发明优选实施例,所述方法还包括:
以所述配置节点数为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,得到所述第一组合;
若所述第一组合均在所述基准组合中匹配成功,获取所述第一访问频次大于所述目标访问频次的第一功能节点;
判断所述第一功能节点是否属于目标功能节点,其中,所述目标功能节点对应的数据中含有保密信息;
当所述第一功能节点属于所述目标功能节点时,确定所述待检测人员的行为异常。
根据本发明优选实施例,在确定所述待检测人员的行为异常后,所述方法还包括:
从监控设备中获取所述待检测人员的第一人脸信息;
从所述第一日志数据中提取登入所述预设系统的目标账号;
从配置库中调取所述目标账号对应的目标人脸信息;
采用人脸识别技术判断所述第一人脸信息与所述目标人脸信息是否匹配;
当所述第一人脸信息与所述目标人脸信息匹配失败时,控制所述待检测人员对所述目标人脸信息对应的终端设备的访问权限。
一种行为检测装置,所述装置包括:
获取单元,用于当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据;
计算单元,用于根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次;
调取单元,用于调取每个功能节点的目标访问频次;
对比单元,用于对比每个功能节点的第一访问频次与每个功能节点的目标访问频次;
确定单元,用于当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序;
建立单元,用于基于所述访问顺序,建立所述功能节点的第一队列;
拆分单元,用于拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合;
所述调取单元,还用于调取预先配置的基准组合;
匹配单元,用于将所述第一组合与所述基准组合进行匹配;
所述确定单元,还用于当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常。
根据本发明优选实施例,所述计算单元具体用于:
确定访问每个功能节点时对应的访问标识;
采用非确定型有穷自动机匹配原理,从所述第一日志数据中识别出每个访问标识;
计算所述单位时间内每个访问标识的个数,得到所述待检测人员对每个功能节点的第一访问频次。
根据本发明优选实施例,所述获取单元,还用于在调取每个功能节点的目标访问频次之前,获取至少一个用户访问每个功能节点的第二日志数据;
所述确定单元,还用于根据所述第二日志数据确定所述至少一个用户对每个功能节点进行访问的频次,作为第二访问频次;
所述装置还包括:
处理单元,用于对每个功能节点的第二访问频次进行正态分布处理,得到每个功能节点的正态分布曲线;
所述获取单元,还用于从所述正态分布曲线中获取满足99.7法则的第三访问频次;
所述确定单元,还用于将频次最高的第三访问频次确定为所述目标访问频次。
根据本发明优选实施例,所述确定单元从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序包括:
采用机器学习方法从所述第一日志数据中提取所述功能节点的访问时间;
按照所述访问时间的先后顺序对所述功能节点进行排序,得到所述功能节点的访问顺序。
根据本发明优选实施例,所述获取单元,还用于在调取预先配置的基准组合之前,获取所述至少一个用户访问所述预设系统中每个功能节点的第二日志数据;
所述装置还包括:
提取单元,用于从所述第二日志数据中提取所述至少一个用户对所述功能节点的访问序列;
所述获取单元,还用于获取目标节点数;
所述拆分单元,还用于以所述目标节点数为每个组合的节点个数,依次拆分所述访问序列,得到所述至少一个用户对所述功能节点进行访问的第二组合;
所述计算单元,还用于根据所述第二日志数据,计算所述第二组合中每个第二组合的第二访问频次;
排列单元,用于将所述第二组合按照所述第二访问频次从高到低进行排列,得到第二队列;
集成单元,用于对所述第二队列中配置位前的组合进行集成,得到所述目标集合,其中,所述基准组合是以配置节点数为基础,从所述目标集合中调取出的节点个数为所述配置节点数的组合。
根据本发明优选实施例,所述拆分单元,还用于以所述配置节点数为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,得到所述第一组合;
所述获取单元,还用于若所述第一组合均在所述基准组合中匹配成功,获取所述第一访问频次大于所述目标访问频次的第一功能节点;
所述装置还包括:
判断单元,用于判断所述第一功能节点是否属于目标功能节点,其中,所述目标功能节点对应的数据中含有保密信息;
所述确定单元,还用于当所述第一功能节点属于所述目标功能节点时,确定所述待检测人员的行为异常。
根据本发明优选实施例,所述获取单元,还用于在确定所述待检测人员的行为异常后,从监控设备中获取所述待检测人员的第一人脸信息;
所述提取单元,还用于从所述第一日志数据中提取登入所述预设系统的目标账号;
所述调取单元,还用于从配置库中调取所述目标账号对应的目标人脸信息;
所述判断单元,还用于采用人脸识别技术判断所述第一人脸信息与所述目标人脸信息是否匹配;
所述装置还包括:
控制单元,用于当所述第一人脸信息与所述目标人脸信息匹配失败时,控制所述待检测人员对所述目标人脸信息对应的终端设备的访问权限。
一种电子设备,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现所述行为检测方法。
一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现所述行为检测方法。
由以上技术方案可以看出,本发明能够当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据,根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次,调取每个功能节点的目标访问频次,对比每个功能节点的第一访问频次与每个功能节点的目标访问频次,当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序,基于所述访问顺序,建立所述功能节点的第一队列,拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合,调取预先配置的基准组合,将所述第一组合与所述基准组合进行匹配,当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常,通过结合所述功能节点的访问频次及访问顺序,能够更加全面、准确地检测出异常行为,进而提醒相关人员,从而避免信息泄露。
附图说明
图1是本发明行为检测方法的较佳实施例的流程图。
图2是本发明行为检测装置的较佳实施例的功能模块图。
图3是本发明实现行为检测方法的较佳实施例的电子设备的结构示意图。
主要元件符号说明
电子设备 | 1 |
存储器 | 12 |
处理器 | 13 |
行为检测装置 | 11 |
获取单元 | 110 |
计算单元 | 111 |
调取单元 | 112 |
对比单元 | 113 |
确定单元 | 114 |
建立单元 | 115 |
拆分单元 | 116 |
匹配单元 | 117 |
处理单元 | 118 |
提取单元 | 119 |
排列单元 | 120 |
集成单元 | 121 |
判断单元 | 122 |
控制单元 | 123 |
更新单元 | 124 |
生成单元 | 125 |
发送单元 | 126 |
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面结合附图和具体实施例对本发明进行详细描述。
如图1所示,是本发明行为检测方法的较佳实施例的流程图。根据不同的需求,该流程图中步骤的顺序可以改变,某些步骤可以省略。
所述行为检测方法应用于一个或者多个电子设备中,所述电子设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital SignalProcessor,DSP)、嵌入式设备等。
所述电子设备可以是任何一种可与用户进行人机交互的电子产品,例如,个人计算机、平板电脑、智能手机、个人数字助理(Personal Digital Assistant,PDA)、游戏机、交互式网络电视(Internet Protocol Television,IPTV)、智能式穿戴式设备等。
所述电子设备还可以包括网络设备和/或用户设备。其中,所述网络设备包括,但不限于单个网络服务器、多个网络服务器组成的服务器组或基于云计算(CloudComputing)的由大量主机或网络服务器构成的云。
所述电子设备所处的网络包括但不限于互联网、广域网、城域网、局域网、虚拟专用网络(Virtual Private Network,VPN)等。
S10,当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据。
在本发明的至少一个实施例中,所述行为检测指令可以由用户触发,也可以在满足一定条件时自动触发,本发明不限制。
其中,所述满足一定条件包括,但不限于:满足第一预设时间等。
所述第一预设时间可以包括确定的时间点,或者包括一个时间段等,例如:所述第一预设时间可以是每天早上七点。
在本发明的至少一个实施例中,所述预设系统是与所述待检测人员的工作内容相对应的业务系统。
其中,所述业务系统的功能可以包括营销规划、销售、销售进程管理、客户服务管理、客户关系管理、风险防范等。
所述第一日志数据是指记录所述待检测人员在所述预设系统中每个功能节点的一系列操作的数据,所述第一日志数据在处理历史数据等任务时具有重要作用。
在本发明的至少一个实施例中,所述通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据包括:
所述电子设备通过埋点技术获取所述待检测人员在每个功能节点上的访问行为,及获取所述访问行为发生的第一访问时间,进一步地,所述电子设备记录所述访问行为及所述第一访问时间,得到每个功能节点的第一日志数据。
其中,所述埋点技术是一种私有化部署数据的采集方式,可以理解为对数据打标跟踪、跟踪数据链路等。
例如:所述第一日志数据可以包括:待检测人员甲在10点访问功能节点A,在15点访问功能节点B,在18点访问功能节点C。
通过上述实施方式,能够快速、准确地获取到所述第一日志数据,从而便于计算所述待检测人员对每个功能节点的访问频次。
S11,根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次。
在本发明的至少一个实施例中,所述第一访问频次是指在单位时间内,所述待检测人员对功能节点的访问次数。
其中,所述单位时间可以包括一个时间段等,例如:所述单位时间可以是1个小时,本发明不作限制。
在本发明的至少一个实施例中,所述电子设备根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次包括:
所述电子设备确定访问每个功能节点时对应的访问标识,进一步地,所述电子设备采用非确定型有穷自动机(Non-determinism Finite Automate,NFA)匹配原理,从所述第一日志数据中识别出每个访问标识,并计算所述单位时间内每个访问标识的个数,得到所述待检测人员对每个功能节点的第一访问频次。
例如:所述电子设备获取所述功能节点A的访问标识为jiediana,进一步地,所述电子设备从所述第一日志数据中识别出1个小时内jiediana的个数为10个,因此,对所述功能节点A的第一访问频次为10次/小时。
通过上述实施方式,能够准确地计算出所述待检测人员对每个功能节点的访问频次。
S12,调取每个功能节点的目标访问频次。
在本发明的至少一个实施例中,所述目标访问频次是基于正态分布曲线的99.7法则而确定的。
在本发明的至少一个实施例中,在调取每个功能节点的目标访问频次之前,所述方法还包括:
所述电子设备获取至少一个用户访问每个功能节点的频次,作为第二访问频次,对每个功能节点的第二访问频次进行正态分布处理,得到每个功能节点的正态分布曲线,从所述正态分布曲线中获取满足99.7法则的第三访问频次,将频次最高的第三访问频次确定为所述目标访问频次。
例如:所述至少一个用户访问所述功能节点A的期望值为20次/小时,所述至少一个用户中有99.7%的用户访问所述功能节点A的第三访问频次为15次/小时至25次/小时,因此,所述电子设备将频次最高的第三访问频次25次/小时确认为所述功能节点A的目标访问频次。
其中,所述至少一个用户包括,但不限于:对每个功能节点的访问频率较高的常规用户等。
所述第二访问频次是所述至少一个用户访问每个功能节点的频次。
例如:用户丙访问所述功能节点A的频次为10次/小时,用户丁访问所述功能节点A的频次为8次/小时,因此用户丙访问所述功能节点A的第二访问频次为10次/小时,用户丁访问所述功能节点A的第二访问频次为8次/小时。
通过上述实施方式,基于99.7法则,能够得到常规用户对每个功能节点的访问频次,进一步确定每个功能节点的目标访问频次。
S13,对比每个功能节点的第一访问频次与每个功能节点的目标访问频次。
在本发明的至少一个实施例中,在对比每个功能节点的第一访问频次与每个功能节点的目标访问频次之后,所述电子设备获取比较结果,所述比较结果可以包括以下任意一种:
(1)存在功能节点的第一访问频次大于目标访问频次。
(2)每个功能节点的第一访问频次均小于目标访问频次。
例如:所述待检测人员甲访问所述功能节点A的第一访问频次为3次/小时,访问所述功能节点B的第一访问频次为100次/小时,访问所述功能节点C的第一访问频次为4次/小时,并且所述电子设备调取到的所述功能节点A的目标访问频次为8次/小时,访问所述功能节点B的目标访问频次为10次/小时,访问所述功能节点C的目标访问频次为12次/小时,所述电子设备对比每个功能节点的第一访问频次与每个功能节点的目标访问频次,得到所述比较结果为存在功能节点B的第一访问频次大于目标访问频次。
通过上述实施方式,能够得到每个功能节点的第一访问频次与目标访问频次的比较结果,进而能够将所述比较结果作为行为检测的必备条件。
S14,当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序。
在本发明的至少一个实施例中,所述访问顺序是指所述待检测人员访问所述功能节点的顺序。
在本发明的至少一个实施例中,所述电子设备从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序包括:
所述电子设备采用机器学习方法从所述第一日志数据中提取所述功能节点的访问时间,按照所述访问时间的先后顺序对所述功能节点进行排序,得到所述功能节点的访问顺序。
例如:从所述第一日志数据中获取到所述功能节点A的访问时间为今天早上7点,所述功能节点B的访问时间为今天早上7点半,所述功能节点C的访问时间为今天早上八点,进一步地,所述电子设备按照访问时间的先后顺序对所述功能节点进行排序,得到所述功能节点的访问顺序为先访问所述功能节点A,然后访问所述功能节点B,最后访问所述功能节点C。
通过上述实施方式,能够准确地确定出所述待检测人员对所述功能节点的访问顺序,便于后续快速地建立第一队列,进而以所述访问顺序作为行为检测的条件。
S15,基于所述访问顺序,建立所述功能节点的第一队列。
在本发明的至少一个实施例中,所述第一队列是指由所述待检测人员对每个功能节点进行访问的先后顺序组成的队列。
通过上述实施方式,能够基于所述访问顺序建立所述第一队列,为后续第一组合的形成提供基础条件。
S16,拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合。
在本发明的至少一个实施例中,所述第一组合是顺序拆分所述第一队列而得来的。
在本发明的至少一个实施例中,所述电子设备拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合包括:
所述电子设备获取每个第一组合中的配置节点数,以所述配置节点数为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,得到所述待检测人员对所述功能节点进行访问的第一组合。
其中,所述配置节点数是根据所述待检测人员访问的功能节点的数量进行确定的,所述配置节点数可以是2个,也可以是3个,本发明不作限制。
例如:所述第一队列为ABCDEF,若所述电子设备获取的配置节点数为2,以所述配置节点数2作为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,则拆分得来的第一组合包括AB、BC、CD、DE、EF,若所述电子设备获取的配置节点数为3,以所述配置节点数3作为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,则拆分得来的第一组合包括ABC、BCD、CDE、DEF。
通过上述实施方式,能够直接得到所述待检测人员的第一组合。
S17,调取预先配置的基准组合。
在本发明的至少一个实施例中,所述基准组合是以所述配置节点数为基础,从目标集合中调取出的节点个数为所述配置节点数的组合。
在本发明的至少一个实施例中,在调取预先配置的基准组合之前,所述电子设备建立目标集合。
具体地,所述电子设备建立所述目标集合包括:
所述电子设备获取所述至少一个用户访问所述预设系统中每个功能节点的第二日志数据,从所述第二日志数据中提取所述至少一个用户对所述功能节点的访问序列,进一步地,所述电子设备获取目标节点数,以所述目标节点数为每个组合的节点个数,依次拆分所述访问序列,得到所述至少一个用户对所述功能节点进行访问的第二组合,根据所述第二日志数据,计算所述第二组合中每个第二组合的第二访问频次,将所述第二组合按照所述第二访问频次从高到低进行排列,得到第二队列,对所述第二队列中配置位前的组合进行集成,得到所述目标集合。
其中,所述目标节点数是根据所述预设系统的功能节点的数量确定的,所述目标节点数可以是2个,也可以是5个,本发明不作限制。
所述配置位可以是50或者是100,本发明不作限制。
通过上述实施方式,能够得到所述目标集合,便于所述电子设备按需调取所述基准组合。
在本发明至少一个实施例中,所述电子设备从所述第二日志数据中提取所述至少一个用户对所述功能节点的访问序列包括:
所述电子设备从所述第二日志数据中获取所述至少一个用户访问每个功能节点的目标访问时间,进一步地,所述电子设备将所述功能节点按照所述目标访问时间进行排序,得到所述至少一个用户对所述功能节点的访问序列。
在本发明的至少一个实施例中,所述方法还包括:
每隔第二预设时间,所述电子设备更新所述第二日志数据,根据更新后的第二日志数据,更新所述基准组合。
其中,所述第二预设时间可以是一个时间段,本发明不作限制。
S18,将所述第一组合与所述基准组合进行匹配。
在本发明的至少一个实施例中,在将所述第一组合与所述基准组合进行匹配之后,所述电子设备获取匹配结果,所述匹配结果可以包括以下任意一种:
(1)所述第一组合均在所述基准组合中匹配成功。
(2)所述第一组合中存在组合与所述基准组合匹配失败。
例如:所述第一组合为AD、BC、CD、DE、EF,所述基准组合为AB、BC、CD、DE、EF。所述第一组合中存在AD与所述基准组合匹配失败。
在本发明的至少一个实施例中,所述方法还包括:
若所述第一组合均在所述基准组合中匹配成功,所述电子设备获取所述第一访问频次大于所述目标访问频次的第一功能节点,判断所述第一功能节点是否属于目标功能节点,其中,所述目标功能节点对应的数据中含有保密信息,当所述第一功能节点属于所述目标功能节点时,确定所述待检测人员的行为异常。
通过上述实施方式,当所述待检测人员对所述目标功能节点的第一访问频次大于所述目标访问频次时,确定所述待检测人员的行为异常,从而能够采取一定的措施防止保密信息的泄露。
S19,当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常。
在本发明的至少一个实施例中,在确定所述待检测人员的行为异常后,所述方法还包括:
当确定所述待检测人员的行为异常后,所述电子设备控制所述待检测人员对所述预设系统的访问权限。
在本发明的至少一个实施例中,在确定所述待检测人员的行为异常后,所述方法还包括:
所述电子设备从监控设备中获取所述待检测人员的第一人脸信息,进一步地,所述电子设备从所述第一日志数据中提取登入所述预设系统的目标账号,并从配置库中调取所述目标账号对应的目标人脸信息,采用人脸识别技术判断所述第一人脸信息与所述目标人脸信息是否匹配,当所述第一人脸信息与所述目标人脸信息匹配失败时,控制所述待检测人员对所述目标人脸信息对应的终端设备的访问权限。
其中,所述监控设备是由摄像部分、传输部分、控制部分及显示部分四个部分组成。
所述配置库中包括所述至少一个用户的目标人脸信息。
通过上述实施方式,能够防止有人假借他人的名义进行异常操作。
在本发明的至少一个实施例中,在确定所述待检测人员的行为异常后,所述方法还包括:
当确定所述待检测人员的行为异常后,所述电子设备生成警报信息,将所述警报信息发送到指定联系人的配置设备。
其中,所述警报信息可以包括所述待检测人员的姓名及身份证、发生行为异常的时间等。
进一步地,所述指定联系人可以包括触发行为检测指令的用户等。
通过上述实施方式,当确定所述待检测人员的行为异常后,能够及时发出警报并提醒,有利于指定联系人及时做出相应的措施,进而避免造成损失。
由以上技术方案可以看出,本发明能够当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据,根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次,调取每个功能节点的目标访问频次,对比每个功能节点的第一访问频次与每个功能节点的目标访问频次,当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序,基于所述访问顺序,建立所述功能节点的第一队列,拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合,调取预先配置的基准组合,将所述第一组合与所述基准组合进行匹配,当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常,通过结合所述功能节点的访问频次及访问顺序,能够更加全面、准确地检测出异常行为,进而提醒相关人员,从而避免信息泄露。
如图2所示,是本发明行为检测装置的较佳实施例的功能模块图。所述行为检测装置11包括获取单元110、计算单元111、调取单元112、对比单元113、确定单元114、建立单元115、拆分单元116、匹配单元117、处理单元118、提取单元119、排列单元120、集成单元121、判断单元122、控制单元123、更新单元124、生成单元125以及发送单元126。本发明所称的模块/单元是指一种能够被处理器13所执行,并且能够完成固定功能的一系列计算机程序段,其存储在存储器12中。在本实施例中,关于各模块/单元的功能将在后续的实施例中详述。
当接收到行为检测指令时,获取单元110通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据。
在本发明的至少一个实施例中,所述行为检测指令可以由用户触发,也可以在满足一定条件时自动触发,本发明不限制。
其中,所述满足一定条件包括,但不限于:满足第一预设时间等。
所述第一预设时间可以包括确定的时间点,或者包括一个时间段等,例如:所述第一预设时间可以是每天早上七点。
在本发明的至少一个实施例中,所述预设系统是与所述待检测人员的工作内容相对应的业务系统。
其中,所述业务系统的功能可以包括营销规划、销售、销售进程管理、客户服务管理、客户关系管理、风险防范等。
所述第一日志数据是指记录所述待检测人员在所述预设系统中每个功能节点的一系列操作的数据,所述第一日志数据在处理历史数据等任务时具有重要作用。
在本发明的至少一个实施例中,所述获取单元110通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据包括:
所述获取单元110通过埋点技术获取所述待检测人员在每个功能节点上的访问行为,及获取所述访问行为发生的第一访问时间,进一步地,所述获取单元110记录所述访问行为及所述第一访问时间,得到每个功能节点的第一日志数据。
其中,所述埋点技术是一种私有化部署数据的采集方式,可以理解为对数据打标跟踪、跟踪数据链路等。
例如:所述第一日志数据可以包括:待检测人员甲在10点访问功能节点A,在15点访问功能节点B,在18点访问功能节点C。
通过上述实施方式,能够快速、准确地获取到所述第一日志数据,从而便于计算所述待检测人员对每个功能节点的访问频次。
根据所述第一日志数据,计算单元111计算所述待检测人员对每个功能节点的第一访问频次。
在本发明的至少一个实施例中,所述第一访问频次是指在单位时间内,所述待检测人员对功能节点的访问次数。
其中,所述单位时间可以包括一个时间段等,例如:所述单位时间可以是1个小时,本发明不作限制。
在本发明的至少一个实施例中,所述计算单元111根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次包括:
所述计算单元111确定访问每个功能节点时对应的访问标识,进一步地,所述计算单元111采用非确定型有穷自动机(Non-determinism Finite Automate,NFA)匹配原理,从所述第一日志数据中识别出每个访问标识,并计算所述单位时间内每个访问标识的个数,得到所述待检测人员对每个功能节点的第一访问频次。
例如:所述计算单元111获取所述功能节点A的访问标识为jiediana,进一步地,所述计算单元111从所述第一日志数据中识别出1个小时内jiediana的个数为10个,因此,对所述功能节点A的第一访问频次为10次/小时。
通过上述实施方式,能够准确地计算出所述待检测人员对每个功能节点的访问频次。
调取单元112调取每个功能节点的目标访问频次。
在本发明的至少一个实施例中,所述目标访问频次是基于正态分布曲线的99.7法则而确定的。
在本发明的至少一个实施例中,在调取每个功能节点的目标访问频次之前,所述方法还包括:
所述获取单元110获取至少一个用户访问每个功能节点的频次,作为第二访问频次,进一步地,处理单元118对每个功能节点的第二访问频次进行正态分布处理,得到每个功能节点的正态分布曲线,更进一步地,所述获取单元110从所述正态分布曲线中获取满足99.7法则的第三访问频次,确定单元114将频次最高的第三访问频次确定为所述目标访问频次。
例如:所述至少一个用户访问所述功能节点A的期望值为20次/小时,所述至少一个用户中有99.7%的用户访问所述功能节点A的第三访问频次为15次/小时至25次/小时,因此,所述确定单元114将频次最高的第三访问频次25次/小时确认为所述功能节点A的目标访问频次。
其中,所述至少一个用户包括,但不限于:对每个功能节点的访问频率较高的常规用户等。
所述第二访问频次是所述至少一个用户访问每个功能节点的频次。
例如:用户丙访问所述功能节点A的频次为10次/小时,用户丁访问所述功能节点A的频次为8次/小时,因此用户丙访问所述功能节点A的第二访问频次为10次/小时,用户丁访问所述功能节点A的第二访问频次为8次/小时。
通过上述实施方式,基于99.7法则,能够得到常规用户对每个功能节点的访问频次,进一步确定每个功能节点的目标访问频次。
对比单元113对比每个功能节点的第一访问频次与每个功能节点的目标访问频次。
在本发明的至少一个实施例中,在对比每个功能节点的第一访问频次与每个功能节点的目标访问频次之后,所述获取单元110获取比较结果,所述比较结果可以包括以下任意一种:
(1)存在功能节点的第一访问频次大于目标访问频次。
(2)每个功能节点的第一访问频次均小于目标访问频次。
例如:所述待检测人员甲访问所述功能节点A的第一访问频次为3次/小时,访问所述功能节点B的第一访问频次为100次/小时,访问所述功能节点C的第一访问频次为4次/小时,并且调取到的所述功能节点A的目标访问频次为8次/小时,访问所述功能节点B的目标访问频次为10次/小时,访问所述功能节点C的目标访问频次为12次/小时,所述对比单元113对比每个功能节点的第一访问频次与每个功能节点的目标访问频次,得到所述比较结果为存在功能节点B的第一访问频次大于目标访问频次。
通过上述实施方式,能够得到每个功能节点的第一访问频次与目标访问频次的比较结果,进而能够将所述比较结果作为行为检测的必备条件。
当有功能节点的第一访问频次大于目标访问频次时,所述确定单元114从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序。
在本发明的至少一个实施例中,所述访问顺序是指所述待检测人员访问所述功能节点的顺序。
在本发明的至少一个实施例中,所述确定单元114从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序包括:
所述确定单元114采用机器学习方法从所述第一日志数据中提取所述功能节点的访问时间,按照所述访问时间的先后顺序对所述功能节点进行排序,得到所述功能节点的访问顺序。
例如:从所述第一日志数据中获取到所述功能节点A的访问时间为今天早上7点,所述功能节点B的访问时间为今天早上7点半,所述功能节点C的访问时间为今天早上八点,进一步地,按照访问时间的先后顺序对所述功能节点进行排序,得到所述功能节点的访问顺序为先访问所述功能节点A,然后访问所述功能节点B,最后访问所述功能节点C。
通过上述实施方式,能够准确地确定出所述待检测人员对所述功能节点的访问顺序,便于后续快速地建立第一队列,进而以所述访问顺序作为行为检测的条件。
基于所述访问顺序,建立单元115建立所述功能节点的第一队列。
在本发明的至少一个实施例中,所述第一队列是指由所述待检测人员对每个功能节点进行访问的先后顺序组成的队列。
通过上述实施方式,能够基于所述访问顺序建立所述第一队列,为后续第一组合的形成提供基础条件。
拆分单元116拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合。
在本发明的至少一个实施例中,所述第一组合是顺序拆分所述第一队列而得来的。
在本发明的至少一个实施例中,所述拆分单元116拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合包括:
所述拆分单元116获取每个第一组合中的配置节点数,以所述配置节点数为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,得到所述待检测人员对所述功能节点进行访问的第一组合。
其中,所述配置节点数是根据所述待检测人员访问的功能节点的数量进行确定的,所述配置节点数可以是2个,也可以是3个,本发明不作限制。
例如:所述第一队列为ABCDEF,若所述拆分单元116获取的配置节点数为2,以所述配置节点数2作为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,则拆分得来的第一组合包括AB、BC、CD、DE、EF,若所述拆分单元116获取的配置节点数为3,以所述配置节点数3作为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,则拆分得来的第一组合包括ABC、BCD、CDE、DEF。
通过上述实施方式,能够直接得到所述待检测人员的第一组合。
所述调取单元112调取预先配置的基准组合。
在本发明的至少一个实施例中,所述基准组合是以所述配置节点数为基础,从目标集合中调取出的节点个数为所述配置节点数的组合。
在本发明的至少一个实施例中,在调取预先配置的基准组合之前,建立目标集合。
具体地,建立所述目标集合包括:
所述获取单元110获取所述至少一个用户访问所述预设系统中每个功能节点的第二日志数据,提取单元119从所述第二日志数据中提取所述至少一个用户对所述功能节点的访问序列,进一步地,所述获取单元110获取目标节点数,所述拆分单元116以所述目标节点数为每个组合的节点个数,依次拆分所述访问序列,得到所述至少一个用户对所述功能节点进行访问的第二组合,根据所述第二日志数据,所述计算单元111计算所述第二组合中每个第二组合的第二访问频次,排列单元120将所述第二组合按照所述第二访问频次从高到低进行排列,得到第二队列,集成单元121对所述第二队列中配置位前的组合进行集成,得到所述目标集合。
其中,所述目标节点数是根据所述预设系统的功能节点的数量确定的,所述目标节点数可以是2个,也可以是5个,本发明不作限制。
所述配置位可以是50或者是100,本发明不作限制。
通过上述实施方式,能够得到所述目标集合,便于所述调取单元112按需调取所述基准组合。
在本发明至少一个实施例中,所述建立单元115从所述第二日志数据中提取所述至少一个用户对所述功能节点的访问序列包括:
所述建立单元115从所述第二日志数据中获取所述至少一个用户访问每个功能节点的目标访问时间,进一步地,所述建立单元115将所述功能节点按照所述目标访问时间进行排序,得到所述至少一个用户对所述功能节点的访问序列。
在本发明的至少一个实施例中,所述方法还包括:
每隔第二预设时间,更新单元124更新所述第二日志数据,根据更新后的第二日志数据,所述更新单元124更新所述基准组合。
其中,所述第二预设时间可以是一个时间段,本发明不作限制。
匹配单元117将所述第一组合与所述基准组合进行匹配。
在本发明的至少一个实施例中,在将所述第一组合与所述基准组合进行匹配之后,所述获取单元110获取匹配结果,所述匹配结果可以包括以下任意一种:
(1)所述第一组合均在所述基准组合中匹配成功。
(2)所述第一组合中存在组合与所述基准组合匹配失败。
例如:所述第一组合为AD、BC、CD、DE、EF,所述基准组合为AB、BC、CD、DE、EF。所述第一组合中存在AD与所述基准组合匹配失败。
在本发明的至少一个实施例中,所述方法还包括:
若所述第一组合均在所述基准组合中匹配成功,所述获取单元110获取所述第一访问频次大于所述目标访问频次的第一功能节点,判断单元122判断所述第一功能节点是否属于目标功能节点,其中,所述目标功能节点对应的数据中含有保密信息,当所述第一功能节点属于所述目标功能节点时,所述确定单元114确定所述待检测人员的行为异常。
通过上述实施方式,当所述待检测人员对所述目标功能节点的第一访问频次大于所述目标访问频次时,确定所述待检测人员的行为异常,从而能够采取一定的措施防止保密信息的泄露。
当在所述第一组合中有组合匹配失败时,所述确定单元114确定所述待检测人员的行为异常。
在本发明的至少一个实施例中,在确定所述待检测人员的行为异常后,所述方法还包括:
当确定所述待检测人员的行为异常后,控制单元123控制所述待检测人员对所述预设系统的访问权限。
在本发明的至少一个实施例中,在确定所述待检测人员的行为异常后,所述方法还包括:
所述获取单元110从监控设备中获取所述待检测人员的第一人脸信息,进一步地,所述提取单元119从所述第一日志数据中提取登入所述预设系统的目标账号,所述调取单元112从配置库中调取所述目标账号对应的目标人脸信息,所述判断单元122采用人脸识别技术判断所述第一人脸信息与所述目标人脸信息是否匹配,当所述第一人脸信息与所述目标人脸信息匹配失败时,所述控制单元123控制所述待检测人员对所述目标人脸信息对应的终端设备的访问权限。
其中,所述监控设备是由摄像部分、传输部分、控制部分及显示部分四个部分组成。
所述配置库中包括所述至少一个用户的目标人脸信息。
通过上述实施方式,能够防止有人假借他人的名义进行异常操作。
在本发明的至少一个实施例中,在确定所述待检测人员的行为异常后,所述方法还包括:
当确定所述待检测人员的行为异常后,生成单元125生成警报信息,进一步地,发送单元126将所述警报信息发送到指定联系人的配置设备。
其中,所述警报信息可以包括所述待检测人员的姓名及身份证、发生行为异常的时间等。
进一步地,所述指定联系人可以包括触发行为检测指令的用户等。
通过上述实施方式,当确定所述待检测人员的行为异常后,能够及时发出警报并提醒,有利于指定联系人及时做出相应的措施,进而避免造成损失。
由以上技术方案可以看出,本发明能够当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据,根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次,调取每个功能节点的目标访问频次,对比每个功能节点的第一访问频次与每个功能节点的目标访问频次,当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序,基于所述访问顺序,建立所述功能节点的第一队列,拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合,调取预先配置的基准组合,将所述第一组合与所述基准组合进行匹配,当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常,通过结合所述功能节点的访问频次及访问顺序,能够更加全面、准确地检测出异常行为,进而提醒相关人员,从而避免信息泄露。
如图3所示,是本发明实现行为检测方法的较佳实施例的电子设备的结构示意图。
所述处理器13执行所述电子设备1的操作系统以及安装的各类应用程序。所述处理器13执行所述应用程序以实现上述各个行为检测方法实施例中的步骤,例如图1所示的步骤S10、S11、S12、S13、S14、S15、S16、S17、S18、S19。
或者,所述处理器13执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能,例如:当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据;根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次;调取每个功能节点的目标访问频次;对比每个功能节点的第一访问频次与每个功能节点的目标访问频次;当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序;基于所述访问顺序,建立所述功能节点的第一队列;拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合;调取预先配置的基准组合;将所述第一组合与所述基准组合进行匹配;当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常。
示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器12中,并由所述处理器13执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述电子设备1中的执行过程。例如,所述计算机程序可以被分割成获取单元110、计算单元111、调取单元112、对比单元113、确定单元114、建立单元115、拆分单元116、匹配单元117、处理单元118、提取单元119、排列单元120、集成单元121、判断单元122、控制单元123、更新单元124、生成单元125以及发送单元126。
所述存储器12可用于存储所述计算机程序和/或模块,所述处理器13通过运行或执行存储在所述存储器12内的计算机程序和/或模块,以及调用存储在存储器12内的数据,实现所述电子设备1的各种功能。所述存储器12可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据电子设备的使用所创建的数据(比如音频数据)等。此外,存储器12可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。
所述存储器12可以是电子设备1的外部存储器和/或内部存储器。进一步地,所述存储器12可以是集成电路中没有实物形式的具有存储功能的电路,如FIFO(First InFirst Out,)等。或者,所述存储器12也可以是具有实物形式的存储器,如内存条、TF卡(Trans-flash Card)等等。
所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。
其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
结合图1,所述电子设备1中的所述存储器12存储多个指令以实现一种行为检测方法,所述处理器13可执行所述多个指令从而实现:当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据;根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次;调取每个功能节点的目标访问频次;对比每个功能节点的第一访问频次与每个功能节点的目标访问频次;当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序;基于所述访问顺序,建立所述功能节点的第一队列;拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合;调取预先配置的基准组合;将所述第一组合与所述基准组合进行匹配;当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常。
具体地,所述处理器13对上述指令的具体实现方法可参考图1对应实施例中相关步骤的描述,在此不赘述。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (10)
1.一种行为检测方法,其特征在于,所述方法包括:
当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据;
根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次;
调取每个功能节点的目标访问频次;
对比每个功能节点的第一访问频次与每个功能节点的目标访问频次;
当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序;
基于所述访问顺序,建立所述功能节点的第一队列;
拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合;
调取预先配置的基准组合;
将所述第一组合与所述基准组合进行匹配;
当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常。
2.如权利要求1所述的行为检测方法,其特征在于,所述根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次包括:
确定访问每个功能节点时对应的访问标识;
采用非确定型有穷自动机匹配原理,从所述第一日志数据中识别出每个访问标识;
计算所述单位时间内每个访问标识的个数,得到所述待检测人员对每个功能节点的第一访问频次。
3.如权利要求1所述的行为检测方法,其特征在于,在调取每个功能节点的目标访问频次之前,所述方法还包括:
获取至少一个用户访问每个功能节点的第二日志数据;
根据所述第二日志数据确定所述至少一个用户对每个功能节点进行访问的频次,作为第二访问频次;
对每个功能节点的第二访问频次进行正态分布处理,得到每个功能节点的正态分布曲线;
从所述正态分布曲线中获取满足99.7法则的第三访问频次;
将频次最高的第三访问频次确定为所述目标访问频次。
4.如权利要求1所述的行为检测方法,其特征在于,所述从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序包括:
采用机器学习方法从所述第一日志数据中提取所述功能节点的访问时间;
按照所述访问时间的先后顺序对所述功能节点进行排序,得到所述功能节点的访问顺序。
5.如权利要求3所述的行为检测方法,其特征在于,在调取预先配置的基准组合之前,所述方法还包括:
获取所述至少一个用户访问所述预设系统中每个功能节点的第二日志数据;
从所述第二日志数据中提取所述至少一个用户对所述功能节点的访问序列;
获取目标节点数;
以所述目标节点数为每个组合的节点个数,依次拆分所述访问序列,得到所述至少一个用户对所述功能节点进行访问的第二组合;
根据所述第二日志数据,计算所述第二组合中每个第二组合的第二访问频次;
将所述第二组合按照所述第二访问频次从高到低进行排列,得到第二队列;
对所述第二队列中配置位前的组合进行集成,得到所述目标集合,其中,所述基准组合是以配置节点数为基础,从所述目标集合中调取出的节点个数为所述配置节点数的组合。
6.如权利要求5所述的行为检测方法,其特征在于,所述方法还包括:
以所述配置节点数为每个组合的节点个数,依次拆分所述第一队列中的所有功能节点,得到所述第一组合;
若所述第一组合均在所述基准组合中匹配成功,获取所述第一访问频次大于所述目标访问频次的第一功能节点;
判断所述第一功能节点是否属于目标功能节点,其中,所述目标功能节点对应的数据中含有保密信息;
当所述第一功能节点属于所述目标功能节点时,确定所述待检测人员的行为异常。
7.如权利要求1所述的行为检测方法,其特征在于,在确定所述待检测人员的行为异常后,所述方法还包括:
从监控设备中获取所述待检测人员的第一人脸信息;
从所述第一日志数据中提取登入所述预设系统的目标账号;
从配置库中调取所述目标账号对应的目标人脸信息;
采用人脸识别技术判断所述第一人脸信息与所述目标人脸信息是否匹配;
当所述第一人脸信息与所述目标人脸信息匹配失败时,控制所述待检测人员对所述目标人脸信息对应的终端设备的访问权限。
8.一种行为检测装置,其特征在于,所述装置包括:
获取单元,用于当接收到行为检测指令时,通过埋点技术获取待检测人员在预设系统中每个功能节点的第一日志数据;
计算单元,用于根据所述第一日志数据,计算所述待检测人员对每个功能节点的第一访问频次;
调取单元,用于调取每个功能节点的目标访问频次;
对比单元,用于对比每个功能节点的第一访问频次与每个功能节点的目标访问频次;
确定单元,用于当有功能节点的第一访问频次大于目标访问频次时,从所述第一日志数据中确定所述待检测人员对所述功能节点的访问顺序;
建立单元,用于基于所述访问顺序,建立所述功能节点的第一队列;
拆分单元,用于拆分所述第一队列,得到所述待检测人员对所述功能节点进行访问的第一组合;
所述调取单元,还用于调取预先配置的基准组合;
匹配单元,用于将所述第一组合与所述基准组合进行匹配;
所述确定单元,还用于当在所述第一组合中有组合匹配失败时,确定所述待检测人员的行为异常。
9.一种电子设备,其特征在于,所述电子设备包括:
存储器,存储至少一个指令;及
处理器,执行所述存储器中存储的指令以实现如权利要求1至7中任意一项所述的行为检测方法。
10.一种计算机可读存储介质,其特征在于:所述计算机可读存储介质中存储有至少一个指令,所述至少一个指令被电子设备中的处理器执行以实现如权利要求1至7中任意一项所述的行为检测方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910900782.7A CN111221722B (zh) | 2019-09-23 | 2019-09-23 | 行为检测方法、装置、电子设备及存储介质 |
PCT/CN2019/117530 WO2021056731A1 (zh) | 2019-09-23 | 2019-11-12 | 基于日志数据分析的行为检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910900782.7A CN111221722B (zh) | 2019-09-23 | 2019-09-23 | 行为检测方法、装置、电子设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111221722A true CN111221722A (zh) | 2020-06-02 |
CN111221722B CN111221722B (zh) | 2024-01-30 |
Family
ID=70828939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910900782.7A Active CN111221722B (zh) | 2019-09-23 | 2019-09-23 | 行为检测方法、装置、电子设备及存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN111221722B (zh) |
WO (1) | WO2021056731A1 (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640507A (zh) * | 2022-02-28 | 2022-06-17 | 天翼安全科技有限公司 | 一种WebShell的检测方法、装置及存储介质 |
CN114650187A (zh) * | 2022-04-29 | 2022-06-21 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
CN115659377A (zh) * | 2022-12-13 | 2023-01-31 | 闪捷信息科技有限公司 | 接口异常访问识别方法、装置、电子设备和存储介质 |
Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6711687B1 (en) * | 1998-11-05 | 2004-03-23 | Fujitsu Limited | Security monitoring apparatus based on access log and method thereof |
CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
CN106650433A (zh) * | 2016-12-15 | 2017-05-10 | 咪咕数字传媒有限公司 | 一种异常行为检测方法及系统 |
CN107341095A (zh) * | 2017-06-27 | 2017-11-10 | 北京优特捷信息技术有限公司 | 一种智能分析日志数据的方法及装置 |
CN108304723A (zh) * | 2018-01-17 | 2018-07-20 | 链家网(北京)科技有限公司 | 一种异常行为检测方法及装置 |
CN109450879A (zh) * | 2018-10-25 | 2019-03-08 | 中国移动通信集团海南有限公司 | 用户访问行为监控方法、电子装置和计算机可读存储介质 |
CN109688097A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
CN109976930A (zh) * | 2017-12-28 | 2019-07-05 | 腾讯科技(深圳)有限公司 | 异常数据的检测方法、系统及存储介质 |
CN110019318A (zh) * | 2017-09-11 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 一种日志匹配处理方法、装置以及电子设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6981019B1 (en) * | 2000-05-02 | 2005-12-27 | International Business Machines Corporation | System and method for a computer based cooperative work system |
CN107370628B (zh) * | 2017-08-17 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 基于埋点的日志处理方法及系统 |
CN108055281B (zh) * | 2017-12-27 | 2021-05-18 | 百度在线网络技术(北京)有限公司 | 账户异常检测方法、装置、服务器及存储介质 |
CN109241711B (zh) * | 2018-08-22 | 2023-04-18 | 平安科技(深圳)有限公司 | 基于预测模型的用户行为识别方法及装置 |
CN109522190B (zh) * | 2018-10-12 | 2023-02-03 | 中国平安人寿保险股份有限公司 | 异常用户行为识别方法及装置、电子设备、存储介质 |
-
2019
- 2019-09-23 CN CN201910900782.7A patent/CN111221722B/zh active Active
- 2019-11-12 WO PCT/CN2019/117530 patent/WO2021056731A1/zh active Application Filing
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6711687B1 (en) * | 1998-11-05 | 2004-03-23 | Fujitsu Limited | Security monitoring apparatus based on access log and method thereof |
CN106027577A (zh) * | 2016-08-04 | 2016-10-12 | 四川无声信息技术有限公司 | 一种异常访问行为检测方法及装置 |
CN106650433A (zh) * | 2016-12-15 | 2017-05-10 | 咪咕数字传媒有限公司 | 一种异常行为检测方法及系统 |
CN107341095A (zh) * | 2017-06-27 | 2017-11-10 | 北京优特捷信息技术有限公司 | 一种智能分析日志数据的方法及装置 |
CN110019318A (zh) * | 2017-09-11 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 一种日志匹配处理方法、装置以及电子设备 |
CN109976930A (zh) * | 2017-12-28 | 2019-07-05 | 腾讯科技(深圳)有限公司 | 异常数据的检测方法、系统及存储介质 |
CN108304723A (zh) * | 2018-01-17 | 2018-07-20 | 链家网(北京)科技有限公司 | 一种异常行为检测方法及装置 |
CN109688097A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 网站防护方法、网站防护装置、网站防护设备及存储介质 |
CN109450879A (zh) * | 2018-10-25 | 2019-03-08 | 中国移动通信集团海南有限公司 | 用户访问行为监控方法、电子装置和计算机可读存储介质 |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640507A (zh) * | 2022-02-28 | 2022-06-17 | 天翼安全科技有限公司 | 一种WebShell的检测方法、装置及存储介质 |
CN114640507B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 一种WebShell的检测方法、装置及存储介质 |
CN114650187A (zh) * | 2022-04-29 | 2022-06-21 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
CN114650187B (zh) * | 2022-04-29 | 2024-02-23 | 深信服科技股份有限公司 | 一种异常访问检测方法、装置、电子设备及存储介质 |
CN115659377A (zh) * | 2022-12-13 | 2023-01-31 | 闪捷信息科技有限公司 | 接口异常访问识别方法、装置、电子设备和存储介质 |
Also Published As
Publication number | Publication date |
---|---|
WO2021056731A1 (zh) | 2021-04-01 |
CN111221722B (zh) | 2024-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
AU2014237406B2 (en) | Method and apparatus for substitution scheme for anonymizing personally identifiable information | |
CN111221722A (zh) | 行为检测方法、装置、电子设备及存储介质 | |
CN111368619B (zh) | 可疑人员的检测方法、装置及设备 | |
CN107016298B (zh) | 一种网页篡改监测方法及装置 | |
CN111638908A (zh) | 接口文档生成方法、装置、电子设备及介质 | |
CN113050900B (zh) | 屏幕分享方法、装置、设备及存储介质 | |
CN110825818A (zh) | 多维特征构建方法、装置、电子设备及存储介质 | |
CN108629205A (zh) | 药品质量检测数据的监管方法及装置 | |
CN112437034B (zh) | 虚假终端检测方法和装置、存储介质及电子装置 | |
CN106549801B (zh) | 一种告警类型识别方法及设备 | |
CN111798969A (zh) | 医学药品匹配方法、装置、电子设备及存储介质 | |
CN113949652B (zh) | 基于人工智能的用户异常行为检测方法、装置及相关设备 | |
US20210075812A1 (en) | A system and a method for sequential anomaly revealing in a computer network | |
CN111680110B (zh) | 数据处理方法、装置、bi系统及介质 | |
CN116663026B (zh) | 基于区块链的数据处理方法、装置、电子设备和介质 | |
CN115037790B (zh) | 异常注册识别方法、装置、设备及存储介质 | |
CN115296892B (zh) | 数据信息服务系统 | |
CN111767571B (zh) | 一种医疗数据泄露的检测方法 | |
CN114329095A (zh) | 系统逻辑图生成方法、装置、设备及存储介质 | |
CN114925033A (zh) | 信息上链方法、装置、系统及存储介质 | |
CN113872959A (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
CN110688645A (zh) | 一种基于计算机验证码技术的大数据分析系统 | |
CN111930995B (zh) | 数据处理方法及装置 | |
CN109450700B (zh) | 可视化的业务检测方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40029438 Country of ref document: HK |
|
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |