CN112152873A - 用户识别方法、装置、计算机设备和存储介质 - Google Patents
用户识别方法、装置、计算机设备和存储介质 Download PDFInfo
- Publication number
- CN112152873A CN112152873A CN202010907189.8A CN202010907189A CN112152873A CN 112152873 A CN112152873 A CN 112152873A CN 202010907189 A CN202010907189 A CN 202010907189A CN 112152873 A CN112152873 A CN 112152873A
- Authority
- CN
- China
- Prior art keywords
- access
- application system
- log information
- log
- access source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及一种用户识别方法、装置、计算机设备和存储介质,其中,该用户识别方法包括:获取应用系统日志;对所述应用系统日志进行标准化处理,得到日志信息;所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种;根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户。通过本申请,解决了针对安全产品,访问用户身份难以识别的问题,实现了在安全产品中快速准确识别访问用户身份。
Description
技术领域
本申请涉及数据分析领域,特别是涉及用户识别方法、装置、计算机设备和存储介质。
背景技术
随着网络发展,安全需求也日益迫切。安全需求在市场上日益增加,与此同此,客户的安全需求也愈加细化。在各种应用中,一般都分为各种角色操作。对角色进行划分,分角色进行操作是安全产品的设计主题思路之一。因此,在日志或其他轨迹信息中识别用户,是维护安全产品正常运行的重要前提。
在当前的用户识别技术中,识别用户角色基本都是在应用系统中得到用户信息。但对于安全产品,特别是对于大型的复杂网络环境而言,用户信息复杂、繁多,系统用户信息是不对外开放。因此,针对安全产品,访问用户身份难以识别,是亟待解决的技术问题。
发明内容
本申请实施例提供了一种用户识别方法、装置、计算机设备和存储介质,以至少解决相关技术中针对安全产品,访问用户身份难以识别的问题。
第一方面,本申请实施例提供了一种用户识别方法,包括:
获取应用系统日志;
对所述应用系统日志进行标准化处理,得到日志信息;所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种;
根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户。
在其中一个实施例中,所述根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:根据所述日志信息,确定至少一种用户识别规则;根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户。
在其中一个实施例中,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第一识别规则;根据所述日志信息,对每个访问源IP的访问次数进行统计;根据每个访问源IP的访问次数,查找访问次数小于第一阈值的访问源IP;将所述访问源IP对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
在其中一个实施例中,所述根据每个访问源IP的访问次数,查找访问次数小于第一阈值的访问源IP之后包括:根据所述访问次数小于第一阈值的访问源IP,查找与所述访问源IP对应的访问源客户端;若所述访问源客户端为运维人员客户端,则将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
在其中一个实施例中,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所述的用户包括:所述用户识别规则为第二识别规则;根据所述日志信息,获取每个访问源客户端的访问时间和业务语句;根据所述访问时间和业务语句绘制业务轨迹图;若所述业务轨迹图中的轨迹是不连续的,则查找业务轨迹不连续的业务轨迹图对应的所述访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
在其中一个实施例中,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第三识别规则;根据所述日志信息,对每个访问源客户端的业务并发量进行统计;所述业务并发量包括:预设时间间隔内所述访问源客户端发起的访问次数;根据每个访问源客户端的业务并发量,查找业务并发量小于第二阈值的访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
在其中一个实施例中,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第四识别规则;根据所述日志信息,对每个访问源客户端对应的操作行为返回值进行统计;根据每个访问源客户端的操作行为返回值,查找所述返回值的数据量大于第三阈值的访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
第二方面,本申请实施例提供了一种用户识别装置,包括:
获取模块:用于获取应用系统日志;
处理模块:用于对所述应用系统日志进行标准化处理,得到日志信息;所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种;
识别模块:用于根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户。
第三方面,本申请实施例提供了一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述第一方面所述的用户识别方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一方面所述的用户识别方法。
相比于相关技术,本申请实施例提供的用户识别方法,通过获取应用系统日志;对所述应用系统日志进行标准化处理,得到日志信息;所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种;根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户,解决了针对安全产品,访问用户身份难以识别的问题,实现了在安全产品中快速准确识别访问用户身份。
本申请的一个或多个实施例的细节在以下附图和描述中提出,以使本申请的其他特征、目的和优点更加简明易懂。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的用户识别方法的流程图;
图2是根据本申请实施例的用户识别装置的结构框图;
图3是根据本申请实施例的计算机设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行描述和说明。应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。基于本申请提供的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
显而易见地,下面描述中的附图仅仅是本申请的一些示例或实施例,对于本领域的普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图将本申请应用于其他类似情景。此外,还可以理解的是,虽然这种开发过程中所作出的努力可能是复杂并且冗长的,然而对于与本申请公开的内容相关的本领域的普通技术人员而言,在本申请揭露的技术内容的基础上进行的一些设计,制造或者生产等变更只是常规的技术手段,不应当理解为本申请公开的内容不充分。
在本申请中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是,本申请所描述的实施例在不冲突的情况下,可以与其它实施例相结合。
除非另作定义,本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制,可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形,意图在于覆盖不排他的包含;例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可以还包括没有列出的步骤或单元,或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电气的连接,不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象,不代表针对对象的特定排序。
用户在对运维设备进行运维时,往往会通过审计服务器来访问运维设备,那么,用户终端对运维设备的操作数据以及运维设备对用户终端返回的数据,都将通过审计服务器进行转发。在上述过程中,审计服务器可以将每个用户终端在对运维设备进行运维时产生的会话信息记录为会话日志,并将每一次会话对应的运维信息记录为运维日志,而上述会话日志和运维日志可以共同形成审计日志。因此,可以通过审计日志对运维人员的操作进行识别,从而对运维人员行为进行监控,以防止运维人员违规操作,并且可以通过运维人员的操作行为,为问题追溯提供有力依据。
本实施例还提供了一种用户识别方法。图1是根据本申请实施例的用户识别方法的流程图,如图所示,该流程包括如下步骤:
步骤S101,获取应用系统日志。
具体的,首先配置接入应用系统日志所需的信息,该信息包括但不限于接入设备IP、应用系统端口以及应用系统日志存储接口;该信息配置完成后,接入网络环境中的应用系统日志。
步骤S102,对所述应用系统日志进行标准化处理,得到日志信息。
具体的,所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种。通过正则表达式对收集到的应用系统日志进行标准化处理。正则表达式,又称规则表达式。正则表达式是对字符串操作的一种逻辑公式,就是用事先定义好的一些特定字符以及这些特定字符的组合,组成一个“规则字符串”,这个“规则字符串”用来表达对字符串的一种过滤逻辑。正则表达式是一种文本模式,该模式描述在搜索文本时要匹配的一个或多个字符串。通过正则表达式可以从应用系统日志中抽取日志信息。
步骤S103,根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户。
具体的,根据通过正则表达式抽取到的日志信息,通过预置的用户识别规则,确定该日志所属用户。
在其中一个实施例中,所述根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:根据所述日志信息,确定至少一种用户识别规则;根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户。具体的,本发明提供的用户识别方法,从访问量维度、访问连续性维度、业务并发量维度和数据量维度,这四个方面制定了用户识别规则。根据通过正则表达式抽取到的日志信息,通过与日志信息相关维度的用户识别规则,即可确定该日志信息对应的应用系统日志所属的用户。本发明提供的用户识别方法,可以根据所应用系统的系统特性将用户识别进行组合,以提高识别结果的准确性。
在其中一个实施例中,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第一识别规则;根据所述日志信息,对每个访问源IP的访问次数进行统计;根据每个访问源IP的访问次数,查找访问次数小于第一阈值的访问源IP;将所述访问源IP对应的应用系统日志确定为运维人员应用系统日志,并进行标识。具体的,本实施例从访问量维度对应用系统日志进行分析。根据抽取到的日志信息,统计每个访问源IP的访问次数。在实际应用系统中,与业务人员相比,运维人员的访问量要远远小于业务人员的访问量,因此,可以通过统计访问源IP的访问次数,确定访问数据中属于运维人员的访问。在得出识别结果之后,可以对识别结果进行标签。该用户识别方法可以通过周期性的识别,计算最终识别结果的识别正确率,根据识别正确率,确定并调整第一阈值,得出识别正确率较高的第一阈值。在本实施例中,在统计每个访问源IP的访问次数之后,还可以对所有访问源IP进行排序,将排序中访问次数少的访问源IP对应的访问数据确定为运维人员的访问。
在其中一个实施例中,所述根据每个访问源IP的访问次数,查找访问次数小于第一阈值的访问源IP之后包括:根据所述访问次数小于第一阈值的访问源IP,查找与所述访问源IP对应的访问源客户端;若所述访问源客户端为运维人员客户端,则将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。具体的,可以在查找到访问次数小于第一阈值的访问源IP之后,根据该访问源IP追溯该访问源IP对应的访问源客户端,运维人员一般使用有别于业务人员的特定客户端进行系统维护,根据该访问源客户端的识别结果,即可确定该访问源IP对应的应用系统日志是否为运维人员应用系统日志,并将识别结果进行标签。采用该追溯至访问源客户端进行识别的方法,进一步提高了识别的准确性。
在其中一个实施例中,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所述的用户包括:所述用户识别规则为第二识别规则;根据所述日志信息,获取每个访问源客户端的访问时间和业务语句;根据所述访问时间和业务语句绘制业务轨迹图;若所述业务轨迹图中的轨迹是不连续的,则查找业务轨迹不连续的业务轨迹图对应的所述访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。具体的,本实施例从访问连续性维度对应用系统日志进行分析。根据抽取到的日志信息,可以获取每个访问源客户端的访问时间和业务语句。通过业务语句可以表示业务行为。根据业务规则技术,业务规则技术可以将系统处理的业务逻辑从程序代码中抽取出来,将其转变为简单的业务规则,以结构化的业务规则数据来表示业务行为。根据访问时间和业务语句绘制业务轨迹图。由于运维人员在工作过程中遇到问题是偶发性的,因此运维人员的业务轨迹通常是不连续的、随机的。根据同一访问源客户端的业务轨迹图,若该业务轨迹图是不连续的,即可将该访问源客户端对应的应用系统日志确定为运维人员的应用系统日志,并对识别出的应用系统日志进行标签。其中,本申请对该业务轨迹图的表现形式不做限定,包括但不限于柱状图。
在其中一个实施例中,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第三识别规则;根据所述日志信息,对每个访问源客户端的业务并发量进行统计;所述业务并发量包括:预设时间间隔内所述访问源客户端发起的访问次数;根据每个访问源客户端的业务并发量,查找业务并发量小于第二阈值的访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。具体的,本实施例从业务并发量维度对应用系统日志进行分析。根据抽取到的日志信息,可以对每个访问源客户端的业务并发量进行统计。业务并发量是指一个预设时间段内的访问源客户端的访问次数,统计业务并发量可以减少统计量,提升统计效率。用户访问系统通常是通过系统发布的客户端进行访问,而运维人员进行运维时,通常采用有别于业务人员的客户端进行运维,因此,访问系统中来自同一客户端且业务并发量较大的应用系统日志通常不是来自运维人员,业务并发量小于第二阈值的访问源客户端对应的应用系统日志可以确定为运维人员应用系统日志,对识别出的应用系统日志进行标签。在得出识别结果之后,可以对识别结果进行标签。该用户识别方法可以通过周期性的识别,计算最终识别结果的识别正确率,根据识别正确率,确定并调整第二阈值,得出识别正确率较高的第二阈值。
在其中一个实施例中,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第四识别规则;根据所述日志信息,对每个访问源客户端对应的操作行为返回值进行统计;根据每个访问源客户端的操作行为返回值,查找所述返回值的数据量大于第三阈值的访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。具体的,本实施例从数据量维度对应用系统日志进行分析。根据抽取到的日志信息,对每个访问源客户端对应的操作行为返回值进行统计,针对业务人员,其作出的操作一般包括:增加、删除和查询,这些操作的返回值的数据量较小。而运维人员作出的操作行为不限于增加、删除和查询,还包括数据的导入、导出等,运维人员的操作行为返回值的数据量较大。因此将返回值的数据量大于第三阈值的访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并对识别出的应用系统日志进行标签。在得出识别结果之后,可以对识别结果进行标签。该用户识别方法可以通过周期性的识别,计算最终识别结果的识别正确率,根据识别正确率,确定并调整第三阈值,得出识别正确率较高的第三阈值。
通过上述步骤,本申请从访问量维度、访问连续性维度、业务并发量维度和数据量维度,这四个方面制定了用户识别规则。通过获取应用系统日志;对所述应用系统日志进行标准化处理,得到日志信息;所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种;根据所述日志信息和用户识别,确定所述日志信息对应的应用系统日志所属的用户。解决了在安全产品中识别运维人员身份的问题,并且本发明提出的每一种用户识别规则都可实现用户身份识别,将多种用户识别规则进行组合应用,提高了用户身份识别的准确性。
在其中一个实施例中,本申请中提及的第一识别规则、第二识别规则、第三识别规则和第四识别规则,可以根据日志信息和其中一种识别规则去进行识别,也可以将至少两种识别规则组合使用,根据日志信息和组合后的识别规则去进行识别。具体的,本申请的用户识别方法可以从访问度维度、访问连续性维度、业务并发量维度和数据量维度中的任一维度对应用系统日志进行用户识别;也可以从多个维度进行识别,从而提升用户识别的准确度。
在其中一个实施例中,一种用户识别方法包括:
A)接入日志:配置相关信息,接入网络环境中的应用系统日志。所需配置的信息包括但不限于接入设备IP、应用系统端口以及应用系统日志存储接口。
B)对搜集到的日志进行标准化处理:从日志中获取信息包括但不限于访问源IP(SIP)、访问时间、访问系统名、业务语句、操作行为、会话量和访问源客户端。
C)根据日志信息从多个维度对应用系统日志进行用户识别,包括:
C1:访问量维度:对访问源IP的访问次数进行统计,得到访问系统中同一访问源的IP访问次数进行排序。运维人员访问系统通常采用固定客户端进行访问,该固定客户端访问量小。通过访问量、追溯访问客户端、返回结果,可以识别到这些访问数据中属于运维人员的访问。
C2:访问连续性维度:针对同一访问源IP,根据业务语句绘制其业务轨迹图。运维人员的业务轨迹通常是不连续的、随机的。根据同一访问源IP的业务轨迹图,可以识别到这些访问数据中属于运维人员的访问数据。
C3:业务并发量维度:访问系统通常是通过系统发布的客户端对系统进行访问,而运维人员进行运维时通常采用有别于业务人员的客户端对系统进行访问。因此,审计日志中,来自同一客户端且并发量较大的数据通常不是运维人员操作产生的数据,访问数据中来自只有少量业务并发量客户端的数据则属于运维人员。
C4:访问连续性维度:对于同一访问源,将访问时间、业务语句通过柱状图进行显示。可以分析得出,业务人员访问系统的访问时间、业务语句通常是固定的,而且是重复的。然而,运维人员通常是在系统有维护需要或系统出问题时,才进行访问,因此事件不固定的,业务语句不固定,该柱状图呈现断点状。
C5:数据量维度:绘制同一源IP操作行为、返回值图。业务人员的操作行为涉及操作增、删、改、查,其返回值的数据量小。而运维人员的操作行为比较宽泛,不限于增、删、改、查、以及导入和导出等,其返回值的数据量可能较大,由此可以识别到属于运维人员的访问数据。
D)分析结果:在分析日志信息,得出识别结果的过程中,不限定于C1-C5中单个维度进行识别,也可以根据经验值以及系统特性进行组合识别。
所述经验值,可以是将识别规则(即C1-C5中的识别规则)进行组合后进行周期性识别,最后将识别正确率较高的组合,作为识别基线;该识别基线用于对访问次数、业务并发量和数据量的范围进行划分。
E)将识别结果进行标签。
需要说明的是,在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本实施例还提供了一种用户识别装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图2是根据本申请实施例的用户识别装置的结构框图,如图2所示,该装置包括:
获取模块10:用于获取应用系统日志。
处理模块20:用于对所述应用系统日志进行标准化处理,得到日志信息;所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种。
识别模块30:用于根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户。
识别模块30,还用于根据所述日志信息,确定至少一种用户识别规则;根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户。
识别模块30,还用于根据所述日志信息,对每个访问源IP的访问次数进行统计;根据每个访问源IP的访问次数,查找访问次数小于第一阈值的访问源IP;将所述访问源IP对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
识别模块30,还用于根据所述访问次数小于第一阈值的访问源IP,查找与所述访问源IP对应的访问源客户端;若所述访问源客户端为运维人员客户端,则将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
识别模块30,还用于根据所述日志信息,获取每个访问源客户端的访问时间和业务语句;根据所述访问时间和业务语句绘制业务轨迹图;若所述业务轨迹图中的轨迹是不连续的,则查找业务轨迹不连续的业务轨迹图对应的所述访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
识别模块30,还用于根据所述日志信息,对每个访问源客户端的业务并发量进行统计;所述业务并发量包括:预设时间间隔内所述访问源客户端发起的访问次数;根据每个访问源客户端的业务并发量,查找业务并发量小于第二阈值的访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
识别模块30,还用于根据所述日志信息,对每个访问源客户端对应的操作行为返回值进行统计;根据每个访问源客户端的操作行为返回值,查找所述返回值的数据量大于第三阈值的访问源客户端;将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
需要说明的是,上述各个模块可以是功能模块也可以是程序模块,既可以通过软件来实现,也可以通过硬件来实现。对于通过硬件来实现的模块而言,上述各个模块可以位于同一处理器中;或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。
另外,结合图3描述的本申请实施例用户识别方法可以由计算机设备来实现。图3为根据本申请实施例的计算机设备的硬件结构示意图。
计算机设备可以包括处理器41以及存储有计算机程序指令的存储器42。
具体地,上述处理器41可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者可以被配置成实施本申请实施例的一个或多个集成电路。
其中,存储器42可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器42可包括硬盘驱动器(Hard Disk Drive,简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive,简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus,简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器42可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器42可在数据处理装置的内部或外部。在特定实施例中,存储器42是非易失性(Non-Volatile)存储器。在特定实施例中,存储器42包括只读存储器(Read-Only Memory,简称为ROM)和随机存取存储器(RandomAccess Memory,简称为RAM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(ProgrammableRead-Only Memory,简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory,简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory,简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory,简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下,该RAM可以是静态随机存取存储器(Static Random-Access Memory,简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory,简称为DRAM),其中,DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory,简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory,简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory,简称SDRAM)等。
存储器42可以用来存储或者缓存需要处理和/或通信使用的各种数据文件,以及处理器41所执行的可能的计算机程序指令。
处理器41通过读取并执行存储器42中存储的计算机程序指令,以实现上述实施例中的任意一种用户识别方法。
在其中一些实施例中,计算机设备还可包括通信接口43和总线40。其中,如图3所示,处理器41、存储器42、通信接口43通过总线40连接并完成相互间的通信。
通信接口43用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口43还可以实现与其他部件例如:外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。
总线40包括硬件、软件或两者,将计算机设备的部件彼此耦接在一起。总线40包括但不限于以下至少之一:数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制,总线40可包括图形加速接口(Accelerated Graphics Port,简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture,简称为EISA)总线、前端总线(Front Side Bus,简称为FSB)、超传输(Hyper Transport,简称为HT)互连、工业标准架构(Industry Standard Architecture,简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count,简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture,简称为MCA)总线、外围组件互连(Peripheral Component Interconnect,简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment,简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus,简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线40可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线,但本申请考虑任何合适的总线或互连。
该计算机设备可以基于获取到的计算机程序指令,执行本申请实施例中的用户识别方法,从而实现结合图1描述的用户识别方法。
另外,结合上述实施例中的用户识别方法,本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种用户识别方法。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种用户识别方法,其特征在于,包括:
获取应用系统日志;
对所述应用系统日志进行标准化处理,得到日志信息;所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种;
根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户。
2.根据权利要求1所述的用户识别方法,其特征在于,所述根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:
根据所述日志信息,确定至少一种用户识别规则;
根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户。
3.根据权利要求2所述的用户识别方法,其特征在于,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第一识别规则;
根据所述日志信息,对每个访问源IP的访问次数进行统计;
根据每个访问源IP的访问次数,查找访问次数小于第一阈值的访问源IP;
将所述访问源IP对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
4.根据权利要求3所述的用户识别方法,其特征在于,所述根据每个访问源IP的访问次数,查找访问次数小于第一阈值的访问源IP之后包括:
根据所述访问次数小于第一阈值的访问源IP,查找与所述访问源IP对应的访问源客户端;
若所述访问源客户端为运维人员客户端,则将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
5.根据权利要求2所述的用户识别方法,其特征在于,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所述的用户包括:所述用户识别规则为第二识别规则;
根据所述日志信息,获取每个访问源客户端的访问时间和业务语句;
根据所述访问时间和业务语句绘制业务轨迹图;
若所述业务轨迹图中的轨迹是不连续的,则查找业务轨迹不连续的业务轨迹图对应的所述访问源客户端;
将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
6.根据权利要求2所述的用户识别方法,其特征在于,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第三识别规则;
根据所述日志信息,对每个访问源客户端的业务并发量进行统计;所述业务并发量包括:预设时间间隔内所述访问源客户端发起的访问次数;
根据每个访问源客户端的业务并发量,查找业务并发量大于第二阈值的访问源客户端;
将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
7.根据权利要求2所述的用户识别方法,其特征在于,所述根据至少一种所述用户识别规则以及日志信息,确定所述日志信息对应的应用系统日志所属的用户包括:所述用户识别规则为第四识别规则;
根据所述日志信息,对每个访问源客户端对应的操作行为返回值进行统计;
根据每个访问源客户端的操作行为返回值,查找所述返回值的数据量小于第三阈值的访问源客户端;
将所述访问源客户端对应的应用系统日志确定为运维人员应用系统日志,并进行标识。
8.一种用户识别装置,其特征在于,包括:
获取模块:用于获取应用系统日志;
处理模块:用于对所述应用系统日志进行标准化处理,得到日志信息;所述日志信息包括:访问源IP、访问时间、访问系统名、访问次数、业务语句、业务并发量、操作行为以及访问源客户端中的至少两种;
识别模块:用于根据所述日志信息,确定所述日志信息对应的应用系统日志所属的用户。
9.一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7中任一项所述的用户识别方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至7中任一项所述的用户识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010907189.8A CN112152873B (zh) | 2020-09-02 | 2020-09-02 | 用户识别方法、装置、计算机设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010907189.8A CN112152873B (zh) | 2020-09-02 | 2020-09-02 | 用户识别方法、装置、计算机设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112152873A true CN112152873A (zh) | 2020-12-29 |
| CN112152873B CN112152873B (zh) | 2022-10-21 |
Family
ID=73890547
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010907189.8A Active CN112152873B (zh) | 2020-09-02 | 2020-09-02 | 用户识别方法、装置、计算机设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112152873B (zh) |
Citations (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100091761A1 (en) * | 2008-10-10 | 2010-04-15 | Mobivox Corporation | System and Method for Placing a Call Using a Local Access Number Shared by Multiple Users |
| CN101759069A (zh) * | 2008-12-26 | 2010-06-30 | 上海三菱电梯有限公司 | 使用身份识别系统的电梯访客方法及应用和系统 |
| CN102316115A (zh) * | 2011-09-26 | 2012-01-11 | 浙江工商大学 | 一种面向横向联网的安全访问控制方法 |
| EP2523526A1 (en) * | 2010-01-08 | 2012-11-14 | ZTE Corporation | Method and system for managing configuration of network management data |
| US20130044869A1 (en) * | 2005-11-09 | 2013-02-21 | Vonage Network Llc | Method and system for customized caller identification |
| CN103237094A (zh) * | 2013-04-17 | 2013-08-07 | 北京亿赞普网络技术有限公司 | 一种识别用户的方法及装置 |
| EP2738982A1 (en) * | 2011-07-26 | 2014-06-04 | ZTE Corporation | Session association method, device and system |
| EP2835159A1 (en) * | 2013-08-08 | 2015-02-11 | Angel Playing Cards Co., Ltd. | A method for administrating a package of shuffled playing cards |
| JP2016042282A (ja) * | 2014-08-18 | 2016-03-31 | 株式会社日立システムズ | 身元確認方法および身元確認システム |
| CN106210044A (zh) * | 2016-07-11 | 2016-12-07 | 焦点科技股份有限公司 | 一种基于访问行为的活跃用户识别方法 |
| CN106791232A (zh) * | 2017-02-27 | 2017-05-31 | 成都三六时代科技有限公司 | 基于身份认证的通讯方法 |
| CN107526748A (zh) * | 2016-06-22 | 2017-12-29 | 华为技术有限公司 | 一种识别用户点击行为的方法和设备 |
| CN108108495A (zh) * | 2018-01-19 | 2018-06-01 | 厦门欣旅通科技有限公司 | 一种识别用户访问轨迹的方法及装置 |
| CN108306936A (zh) * | 2017-12-28 | 2018-07-20 | 深圳市创梦天地科技股份有限公司 | 用户指标统计方法及服务器 |
| CN108874647A (zh) * | 2018-06-12 | 2018-11-23 | 云南电网有限责任公司信息中心 | 一种业务系统用户轨迹识别方法 |
| CN109147623A (zh) * | 2018-08-29 | 2019-01-04 | 合肥市徽马信息科技有限公司 | 一种实时定位参观的博物馆用导览系统 |
| CN109241461A (zh) * | 2018-08-10 | 2019-01-18 | 新华三信息安全技术有限公司 | 一种用户画像构建方法及装置 |
| CN109359263A (zh) * | 2018-10-16 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 一种用户行为特征提取方法及系统 |
| CN109450879A (zh) * | 2018-10-25 | 2019-03-08 | 中国移动通信集团海南有限公司 | 用户访问行为监控方法、电子装置和计算机可读存储介质 |
| CN109634818A (zh) * | 2018-10-24 | 2019-04-16 | 中国平安人寿保险股份有限公司 | 日志分析方法、系统、终端及计算机可读存储介质 |
| US10341491B1 (en) * | 2018-11-26 | 2019-07-02 | Capital One Services, Llc | Identifying unreported issues through customer service interactions and website analytics |
| CN110830445A (zh) * | 2019-10-14 | 2020-02-21 | 中国平安财产保险股份有限公司 | 一种异常访问对象的识别方法及设备 |
| CN110971673A (zh) * | 2019-11-15 | 2020-04-07 | 广东浪潮大数据研究有限公司 | 一种获取深度学习平台用户活跃度的计算机装置及方法 |
| US20200120172A1 (en) * | 2018-10-10 | 2020-04-16 | NEC Laboratories Europe GmbH | Method and system for synchronizing user identities |
| CN111611508A (zh) * | 2020-05-28 | 2020-09-01 | 江苏易安联网络技术有限公司 | 一种用户实际访问网址的识别方法及装置 |
-
2020
- 2020-09-02 CN CN202010907189.8A patent/CN112152873B/zh active Active
Patent Citations (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130044869A1 (en) * | 2005-11-09 | 2013-02-21 | Vonage Network Llc | Method and system for customized caller identification |
| US20100091761A1 (en) * | 2008-10-10 | 2010-04-15 | Mobivox Corporation | System and Method for Placing a Call Using a Local Access Number Shared by Multiple Users |
| CN101759069A (zh) * | 2008-12-26 | 2010-06-30 | 上海三菱电梯有限公司 | 使用身份识别系统的电梯访客方法及应用和系统 |
| EP2523526A1 (en) * | 2010-01-08 | 2012-11-14 | ZTE Corporation | Method and system for managing configuration of network management data |
| EP2738982A1 (en) * | 2011-07-26 | 2014-06-04 | ZTE Corporation | Session association method, device and system |
| CN102316115A (zh) * | 2011-09-26 | 2012-01-11 | 浙江工商大学 | 一种面向横向联网的安全访问控制方法 |
| CN103237094A (zh) * | 2013-04-17 | 2013-08-07 | 北京亿赞普网络技术有限公司 | 一种识别用户的方法及装置 |
| EP2835159A1 (en) * | 2013-08-08 | 2015-02-11 | Angel Playing Cards Co., Ltd. | A method for administrating a package of shuffled playing cards |
| JP2016042282A (ja) * | 2014-08-18 | 2016-03-31 | 株式会社日立システムズ | 身元確認方法および身元確認システム |
| CN107526748A (zh) * | 2016-06-22 | 2017-12-29 | 华为技术有限公司 | 一种识别用户点击行为的方法和设备 |
| CN106210044A (zh) * | 2016-07-11 | 2016-12-07 | 焦点科技股份有限公司 | 一种基于访问行为的活跃用户识别方法 |
| CN106791232A (zh) * | 2017-02-27 | 2017-05-31 | 成都三六时代科技有限公司 | 基于身份认证的通讯方法 |
| CN108306936A (zh) * | 2017-12-28 | 2018-07-20 | 深圳市创梦天地科技股份有限公司 | 用户指标统计方法及服务器 |
| CN108108495A (zh) * | 2018-01-19 | 2018-06-01 | 厦门欣旅通科技有限公司 | 一种识别用户访问轨迹的方法及装置 |
| CN108874647A (zh) * | 2018-06-12 | 2018-11-23 | 云南电网有限责任公司信息中心 | 一种业务系统用户轨迹识别方法 |
| CN109241461A (zh) * | 2018-08-10 | 2019-01-18 | 新华三信息安全技术有限公司 | 一种用户画像构建方法及装置 |
| CN109147623A (zh) * | 2018-08-29 | 2019-01-04 | 合肥市徽马信息科技有限公司 | 一种实时定位参观的博物馆用导览系统 |
| US20200120172A1 (en) * | 2018-10-10 | 2020-04-16 | NEC Laboratories Europe GmbH | Method and system for synchronizing user identities |
| CN109359263A (zh) * | 2018-10-16 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 一种用户行为特征提取方法及系统 |
| CN109634818A (zh) * | 2018-10-24 | 2019-04-16 | 中国平安人寿保险股份有限公司 | 日志分析方法、系统、终端及计算机可读存储介质 |
| CN109450879A (zh) * | 2018-10-25 | 2019-03-08 | 中国移动通信集团海南有限公司 | 用户访问行为监控方法、电子装置和计算机可读存储介质 |
| US10341491B1 (en) * | 2018-11-26 | 2019-07-02 | Capital One Services, Llc | Identifying unreported issues through customer service interactions and website analytics |
| CN110830445A (zh) * | 2019-10-14 | 2020-02-21 | 中国平安财产保险股份有限公司 | 一种异常访问对象的识别方法及设备 |
| CN110971673A (zh) * | 2019-11-15 | 2020-04-07 | 广东浪潮大数据研究有限公司 | 一种获取深度学习平台用户活跃度的计算机装置及方法 |
| CN111611508A (zh) * | 2020-05-28 | 2020-09-01 | 江苏易安联网络技术有限公司 | 一种用户实际访问网址的识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112152873B (zh) | 2022-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110020422B (zh) | 特征词的确定方法、装置和服务器 | |
| CN111241389B (zh) | 一种基于矩阵的敏感词过滤方法、装置、电子设备、存储介质 | |
| US20200380125A1 (en) | Method for Detecting Libraries in Program Binaries | |
| WO2015009542A1 (en) | Semantics-oriented analysis of log message content | |
| CN108108288A (zh) | 一种日志数据解析方法、装置及设备 | |
| US20150341771A1 (en) | Hotspot aggregation method and device | |
| CN111199054B (zh) | 一种数据脱敏方法、装置及数据脱敏设备 | |
| US8977587B2 (en) | Sampling transactions from multi-level log file records | |
| US20160321036A1 (en) | Dynamically monitoring code execution activity to identify and manage inactive code | |
| CN109783457B (zh) | Cgi接口管理方法、装置、计算机设备和存储介质 | |
| US20090259669A1 (en) | Method and system for analyzing test data for a computer application | |
| CN115766258B (zh) | 一种基于因果关系图的多阶段攻击趋势预测方法、设备及存储介质 | |
| CN110287700B (zh) | 一种iOS应用安全分析方法及装置 | |
| CN115955355A (zh) | 一种攻击事件知识图谱的输出方法及装置 | |
| CN112346775A (zh) | 指标数据通用处理方法、电子设备和存储介质 | |
| WO2019056781A1 (zh) | 同义词挖掘方法、装置、设备和计算机可读存储介质 | |
| CN112347100B (zh) | 数据库索引优化方法、装置、计算机设备和存储介质 | |
| CN109977328A (zh) | 一种url分类方法及装置 | |
| CN111885034B (zh) | 物联网攻击事件追踪方法、装置和计算机设备 | |
| CN112434009A (zh) | 端到端的数据探查方法、装置、计算机设备和存储介质 | |
| CN112152873B (zh) | 用户识别方法、装置、计算机设备和存储介质 | |
| CN111221690A (zh) | 针对集成电路设计的模型确定方法、装置及终端 | |
| US9824140B2 (en) | Method of creating classification pattern, apparatus, and recording medium | |
| CN110598115A (zh) | 一种基于人工智能多引擎的敏感网页识别方法及系统 | |
| CN114116811B (zh) | 日志处理方法、装置、设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |