CN114765584A - 一种用户行为监测方法、装置、电子设备及存储介质 - Google Patents

一种用户行为监测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN114765584A
CN114765584A CN202011614260.XA CN202011614260A CN114765584A CN 114765584 A CN114765584 A CN 114765584A CN 202011614260 A CN202011614260 A CN 202011614260A CN 114765584 A CN114765584 A CN 114765584A
Authority
CN
China
Prior art keywords
behavior
security policy
target
behavior information
user behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011614260.XA
Other languages
English (en)
Inventor
王文凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Guoshuang Software Co ltd
Original Assignee
Suzhou Guoshuang Software Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Guoshuang Software Co ltd filed Critical Suzhou Guoshuang Software Co ltd
Priority to CN202011614260.XA priority Critical patent/CN114765584A/zh
Publication of CN114765584A publication Critical patent/CN114765584A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种用户行为监测方法、装置、电子设备及存储介质,所述方法包括:首先获取目标用户行为的行为信息,然后将所述行为信息与预设的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略,若所述行为信息满足所述目标安全策略时,将行为信息发送到为所述目标安全策略预先添加的条件过滤器中,如果条件过滤器的输出为所述行为信息满足所述条件过滤器的过滤条件,将所述目标用户行为确定为异常行为,如此,便可以自动判断所述目标用户行为是否为异常行为,避免了人工发生的漏检的情况,提高了准确性,可以通过为目标安全策略添加条件过滤器,使得从互联网中爬取的目标安全策略更能适应发生目标用户行为的系统的安全需求。

Description

一种用户行为监测方法、装置、电子设备及存储介质
技术领域
本发明涉及系统行为识别技术领域,尤其涉及一种用户行为监测方法、装置、电子设备及存储介质。
背景技术
日常使用系统时,如果用户操作不当,比如浏览钓鱼网站或者其他不安全的网站,很容易使账号被盗或者使系统被攻击,如此,盗取账号的一方或者是攻击系统的一方便会在该账号下,进行一些不利于系统安全的行为,而这些行为都会以操作日志的形式保存在系统中。
为了避免这些行为在安全上给系统造成负面影响,系统管理员都会逐条去查看用户的操作日志,根据自身经验判断用户的行为是否存在异常,但是人工逐条查看这种方式会耗费大量时间,且判断是否异常的结果时对自身经验具有较高依赖,主观性不高,这就会导致判断的准确性较低。
发明内容
为了解决上述技术问题或者至少部分地解决上述技术问题,本发明提供了一种用户行为监测方法、装置、电子设备以及存储介质。
第一方面,本发明提供了一种用户行为监测方法,所述方法包括:
获取目标用户行为的行为信息;
将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略;
若所述行为信息满足所述目标安全策略时,将所述行为信息发送到为所述目标安全策略预先添加的条件过滤器中;
若所述条件过滤器的输出为所述行为信息满足所述条件过滤器的过滤条件,将所述目标用户行为确定为异常行为。
本发明的可选实施方式中,所述将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略之后,所述方法还包括:
根据所述目标安全策略限制发生所述目标用户行为的用户账号的用户行为。
本发明的可选实施方式中,所述将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略之前,所述方法还包括:
将预先从互联网中预先爬取的与所述行为信息对应的安全策略确定为目标安全策略。
本发明的可选实施方式中,所述行为信息包括每次发生目标用户行为时生成的操作日志,所述目标安全策略中包括预先设置的边界值;
所述将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略,包括:
统计所述操作日志的数量;
当所述操作日志的数量大于所述边界值时,确定所述行为信息满足所述目标安全策略。
本发明的可选实施方式中,在所述根据所述目标安全策略限制发生所述目标用户行为的用户账号的用户行为之后,所述方法还包括:
将所述目标用户行为确定为异常行为。
本发明的可选实施方式中,将目标用户行为确定为异常行为之后,所述方法还包括:
根据所述异常行为的行为信息生成告警信息;
按照预设的提示方式根据所述告警信息发出告警提示。
本发明的可选实施方式中,在根据所述目标安全策略中的限制标准限制所述目标用户账号下发生的用户行为之后,所述方法还包括:
将所述目标安全策略与所述目标用户行为的行为信息发送到目标页面,以使所述目标页面按照预设展示方式展示所述目标安全策略与所述目标用户行为的行为信息。
本发明的可选实施方式中,所述获取目标用户行为的行为信息,包括:
在接收到用户行为统计库发送的数据更新提示后,确定所述数据更新提示中是否包含对目标用户行为的行为信息的更新提示,所述用户行为统计库用于对所述目标用户行为的行为信息进行实时采集和统计;
若包含,从所述用户行为统计库中获取所述目标用户行为的行为信息。
第二方面,本发明提供了一种用户行为监测装置,所述装置包括:
获取模块,用于获取目标用户行为的行为信息;
比对模块,用于将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略;
发送模块,用于若所述行为信息满足所述目标安全策略时,将所述行为信息发送到为所述目标安全策略预先添加的条件过滤器中;
确定模块,用于若所述条件过滤器的输出为所述行为信息满足所述条件过滤器的过滤条件,将所述目标用户行为确定为异常行为。
第三方面,本发明提供了一种电子设备,包括:至少一个处理器、以及与处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述第一方面中任一项所述的用户行为监测方法。
第四方面,本发明实施例提供一种存储介质,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述第一方面中任一项所述的用户行为监测方法。
本发明实施例提供的技术方案,首先获取目标用户行为的行为信息,然后将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略,若所述行为信息满足所述目标安全策略时,将行为信息发送到为所述目标安全策略预先添加的条件过滤器中,如果条件过滤器的输出为所述行为信息满足所述条件过滤器的过滤条件,将所述目标用户行为确定为异常行为,如此,既可以直接利用从互联网中爬取的目标安全策略对用户行为进行监测,又可以通过为目标安全策略添加条件过滤器,使得该目标安全策略更能适应发生目标用户行为的系统的安全需求。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本发明的实施例,并与说明书一起用于解释本发明的原理。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种用户行为监测方法的实施流程示意图;
图2为本发明实施例提供的一种用户行为监测方法中将行为信息与预设的目标安全策略进行比对的实施流程示意图;
图3为本发明实施例提供的一种用户行为监测方法中确定目标用户行为的行为信息是否满足条件过滤器的过滤条件的实施流程示意图;
图4为本发明实施例提供的一种用户行为监测方法中发出告警提示的实施流程示意图;
图5为本发明实施例提供的一种用户行为监测装置的实施结构示意图;
图6为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,为本发明实施例提供的一种用户行为监测方法的实施流程示意图,该方法具体可以包括以下步骤:
步骤S101、获取目标用户行为的行为信息。
需要说明的是,本实施例中的用户行为监测方法是用来监测被监测系统中各个用户的行为的,为了便于说明,本实施例站在某个用户的某个用户行为的角度对用户行为监测方法进行说明,也就是目标用户行为,也可以称为目标用户账号下的目标用户行为。
一般,被监测系统中发生某个行为后,会对应该行为生成一个操作日志,该操作日志中会包括该行为的标识,发生该行为的时间以及发生该行为的用户账号。
为了便于本步骤获取目标用户行为的行为信息,本实施例会以用户账号为单位,周期性从被监测系统中获取操作日志,然后存储到用户行为统计库中进行标准化地清洗,将每个用户行为的操作日志采集并统计为各用户行为的行为信息。
在一个具体的例子中,若该被监测系统中总共拥有3个用户账号:账号a、账号b和账号c,以1小时为一个时间周期,在本次的周期内,可能要获取的是8点到9点之间被监测系统在这3个用户账号下发生的用户行为。由于被监测系统中,用户行为是依靠操作日志进行记录的,因此,本实施例的用户行为统计库便可以根据本周期的时间范围,获取3个用户账号对应的操作日志。
用户行为统计库在获取到本周期的时间范围内,3个用户账号对应的操作日志之后,会根据用户账号以及操作日志中的行为标识对各操作日志进行分类,以下表中用户行为统计库获取到的本周期的时间范围内的操作日志为例:
操作日志 操作日志内容
操作日志1 用户行为a,账号a,2020年12月15日8点20分33秒
操作日志2 用户行为a,账号b,2020年12月15日8点21分13秒
操作日志3 用户行为b,账号a,2020年12月15日8点20分35秒
操作日志4 用户行为c,账号b,2020年12月15日8点25分15秒
操作日志5 用户行为b,账号c,2020年12月15日8点31分13秒
表1
首先,用户行为统计库会根据用户账号对操作日志进行一个划分,以上表为例,账号a下的操作日志有操作日志1和操作日志3,账号b下的操作日志有操作日志2和操作日志4,账号c下的操作日志有操作日志5。
然后针对每个用户账号下包括的操作日志,再根据用户行为的标识对操作日志再次划分:
那么对于账号a,操作日志1属于标识为用户行为a的用户行为,操作日志3属于标识为用户行为b的用户标识;
对于账号b,操作日志2属于标识为用户行为a的用户行为,操作日志4属于标识为用户行为c的用户行为;
对于账号c,操作日志5属于标识为用户行为b的用户行为。
最后再将划分好的操作日志加入到对应的集合中,比如对于账号a的用户行为a的操作日志1,就将其加入到账号a下用户行为a的集合中,以此就会形成如下表的每个用户账号下每个用户行为对应的集合。
Figure BDA0002875986180000071
表2
由表2可知,本次周期中,各用户账号发生用户行为的具体内容是不同的,比如本周期中,账号a下的标识为用户行为a和用户行为b的用户行为有了再次的发生,也就是标识为用户行为a和用户行为b的用户行为有了更新。
为了提高本实施例的方法获取目标用户行为的行为信息的效率,用户行为统计库中在确定好某个用户账号下的某个用户行为有了更新,可以根据发生更新的用户账号下的用户行为生成一个数据更新提示,再发送给执行本实施例的方法的主体,而执行本实施例的方法的主体在接收到该数据更新提示后,确定数据更新提示中是否包含对母校用户行为的行为信息的更新提示,如果包含,就从用户行为统计库中获取目标用户行为的行为信息,比如目标用户行为为账号a的用户行为a,那获取的行为信息中就包括以往周期加入本集合的操作日志+操作日志1。
步骤S102、将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略。
其中,目标安全策略是预先从互联网中爬取的安全策略中的一个或者多个,在确定目标安全策略时,可以将预先从互联网中爬取的与行为信息对应的安全策略确定为目标安全策略。
需要说明的是,安全策略可以包含如下信息:用户行为的标识、边界值以及限制标准,其中,边界值指的是用户行为发生的一种阈值,对于一个用户账号,安全策略中的用户行为的标识对应的用户行为发生的次数超过边界值之后,则需要利用安全策略中的限制标准限制该用户账号在被监测系统中的用户行为。
在从预爬取的安全策略中确定目标安全策略时,可以借助用户行为的标识,由于安全策略中会包括自身对应的用户行为的标识,因此,可以从预爬取的安全策略中找到包含目标用户行为的标识的安全策略作为目标安全策略。
在一个具体的例子中,从互联网中预先爬取了10条安全策略,在被监测系统被监测的初期,管理员会从这10条安全策略中选取多个安全策略,并为每个安全策略添加边界值,以选取3个为例,如下表3所示:
安全策略 用户行为标识 边界值 限制标准
安全策略1 a 3 禁止账号的所有行为
安全策略2 b 5 禁止账号发生用户行为b
安全策略3 c 3 禁止账号发生用户行为c
表3
若目标用户行为的标识为b,那么在上述安全策略1、安全策略2和安全策略3中,只有安全策略2中包含的用户行为的标识为b,那么,此时就可以将安全策略2确定为目标安全策略。
需要说明的是,行为信息中包括每次发生目标用户行为时生成的操作日志,目标安全策略中包括预先设置的边界值,那么本步骤中将行为信息与预设的目标安全策略进行比对,确定行为信息是否满足目标安全策略的具体过程可以参阅图2。
如图2所示,为本发明实施例提供的一种用户行为监测方法中将行为信息与预设的目标安全策略进行比对的实施流程示意图,该方法具体可以包括以下步骤:
步骤S201、统计操作日志的数量。
由于行为信息中包括每次发生目标用户行为时生成的操作日志,因此,操作日志的数量便等同与发生目标用户行为的次数。
另外,为了增强对异常判断的准确性,本步骤中的统计可以是统计一个时间范围内操作日志的数量,比如当前时间前的一个小时的时间范围内,具体可以根据操作日志中的时间进行统计。
下面以目标用户行为为账号a的用户行为b为例进行说明,从用户行为统计库中获取账号a的用户行为b对应的集合,该集合中会有多条操作日志,每个操作日志都会有自身生成的时间,如下表4所示:
Figure BDA0002875986180000101
表4
若当前时间为10点整,以获取当前时间之前一个小时的操作日志为准,在本例中,则可以从账号a、用户行为b对应的操作日志集合中获取到操作日志6、操作日志8、操作日志12和操作日志13,统计到的操作日志的数量则为4个。
当然,面对不同的用户行为,统计操作日志的数量时,所依据的时间也会有所不同,甚至没有时间的限制,这些都是可以预先自定义的,以满足不同系统中对于不同用户行为的监测需求。
步骤S202、当操作日志的数量大于边界值时,确定行为信息满足目标安全策略。
需要说明的是,本步骤中,操作日志的数量大于边界值指的就是发生目标用户行为的次数大于边界值,而发生目标用户行为的次数大于边界值则说明该目标用户行为可能存在异常,会影响系统的安全性。
仍以步骤S201中的具体示例进行说明,若边界值为3,此示例中统计的操作日志的数量为4,超过了边界值,这就说明账号a下的用户行为b可能存在异常。
由于目标安全策略是从互联网中爬取到的,可能并不能满足当前被监测系统的系统安全需求,因此,本实施例中还设置了条件过滤器,如步骤S103所示。
步骤S103、若行为信息满足目标安全策略时,将行为信息发送到为目标安全策略预先添加的条件过滤器中。
需要说明的是,本步骤中为目标安全策略预先添加的条件过滤器为添加的一个与目标安全策略对应的条件过滤器。
从前述过程中可以知道,管理员可以预先从安全策略库(安全策略库的来源可以参考前述说明)中选择一个或者多个安全策略作为该被监测系统的安全策略,同时,对每个安全策略各添加一个条件过滤器,条件过滤器中会设置有阈值,若行为信息中的操作日志的数量超过该阈值,则条件过滤器会输出行为信息满足条件过滤器的过滤条件。
因此,目标安全策略也会对应有自己的条件过滤器,用于对满足目标安全策略的行为信息进行再一次的过滤。
仍然延续前述说明示出的例子,若当前时间为10点整,以获取当前时间之前一个小时的操作日志为准,在本例中,则可以从账号a、用户行为b对应的操作日志集合中获取到操作日志6、操作日志8、操作日志12和操作日志13(如表4所示),统计到的操作日志的数量则为4个。若目标安全策略对应的条件过滤器中的阈值设定为5,则条件过滤器的输出则为行为信息不满足本条件过滤器的过滤条件,若目标安全策略对应的条件过滤器中的阈值设定为3,则条件过滤器的输出则为行为信息满足本条件过滤器的过滤条件。
本步骤具体可以参阅图3。如图3所示,为本发明实施例提供的一种用户行为监测方法中确定目标用户行为的行为信息是否满足条件过滤器的过滤条件的实施流程示意图,该方法具体可以包括以下步骤:
步骤S301、若行为信息满足目标安全策略时,持续获取目标用户行为的行为信息。
需要说明的是,由于用户行为统计库中目标用户行为的行为信息是在周期性更新的,在步骤S102确定目标用户行为的用户信息满足目标安全策略时,可以认为该目标用户行为可能存在异常,此时本方法便可以对该目标用户行为进行特别的关注,主动按照较高频率去从用户行为统计库中获取目标用户行为的行为信息。
由于目标用户行为可能仍然在不断地发生,为了确保输入到条件过滤器中的行为信息保持为最新的状态,本步骤可以主动按照较高频率去从用户行为统计库中获取目标用户行为的行为信息。
在一个具体的例子中,可以以秒甚至毫秒为单位,从用户行为统计库中获取目标用户行为的行为信息,比如每3秒,向用户行为统计库发送一次获取目标用户行为的行为信息的请求,然后接收用户行为统计库根据该请求返回的行为信息。
步骤S302、将持续获取的行为信息中的操作日志的数量确定为发生目标用户行为的次数。
根据前述对于用户行为统计库的说明,可以知道从用户行为统计库中获取的行为信息包括了每次发生目标用户行为时生成的操作日志,因此,本步骤中同样可以将续获取的行为信息中的操作日志的数量等同于发生目标用户行为的次数,即将持续获取的行为信息中的操作日志的数量确定为发生目标用户行为的次数。
需要说明的是,操作日志的数量的统计可以参考前述步骤S201中统计操作日志的数量的相关说明,此处不再赘述。
步骤S303、若发生目标用户行为的次数大于预设阈值时,确定行为信息满足条件过滤器的过滤条件。
本步骤中预设阈值指的就是过滤器中的条件值,过滤器中的条件可以为发生用户行为的次数大于条件值,便可以认定行为信息满足条件过滤器的过滤条件,因此,本步骤中,若发生目标用户行为的次数大于预设阈值时,则条件过滤器输出行为信息满足条件过滤器的过滤条件。
步骤S104、若条件过滤器的输出为行为信息满足条件过滤器的过滤条件,将目标用户行为确定为异常行为。
本步骤中,由于条件过滤器中过滤条件的阈值可以是管理员预先根据被监测系统的安全需求设置的值,因此,该阈值是更加符合被监测系统的安全需求的。
因此,若条件过滤器的输出为行为信息满足条件过滤器的过滤条件,则说明目标用户行为已经对被监测系统的安全带来了一定的威胁,此时便可以将该目标用户行为确定为异常行为。
本实施例中,首先获取目标用户行为的行为信息,然后将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略,若行为信息满足目标安全策略时,将行为信息发送到为目标安全策略预先添加的条件过滤器中,如果条件过滤器的输出为行为信息满足条件过滤器的过滤条件,将目标用户行为确定为异常行为,如此,既可以直接利用从互联网中爬取的目标安全策略对用户行为进行监测,又可以通过为目标安全策略添加条件过滤器,使得该目标安全策略更能适应发生目标用户行为的系统的安全需求。
为了对被监测系统进行安全保护,提前避免被监测系统的安全受到损害,在确定行为信息满足目标安全策略时,可以根据目标安全策略限制发生目标用户行为的用户账号的用户行为。
由于每条安全策略中都会包含一个限制标准,比如锁定账号,即禁止该账号在被监测系统下的所有用户行为,本步骤中在行为信息满足目标安全策略后,直接根据目标安全策略中的限制标准限制发生目标用户行为的用户账号的用户行为即可。
在一个具体的例子中,若账号a的用户行为b的行为信息中的操作日志有4条,目标安全策略中的边界值为3,此时行为信息已经满足了该目标安全策略,说明账号a下的用户行为b可能存在异常,为了保护被监测系统,此时可以直接根据目标安全策略中的限制标准限制该账号a下的用户行为,比如目标安全策略中的限制标准为禁止用户行为b,那么在本例中,便可以是直接禁止账号a下再次发生用户行为b。
另外,在给被监测系统添加安全策略时,可以对安全策略中的边界值进行重新设定,因此,在添加安全策略时,可以根据被监测系统的需求和具体情况设置边界值,若行为信息满足目标安全策略时,根据目标安全策略限制发生目标用户行为的用户账号的用户行为,然后将目标用户行为确定为异常行为。
另外,为了便于管理员对可能存在异常的用户行为的监测,可以将目标用户行为与目标安全策略进行关联显示,为了减少显示页面的数量,还可以将类型相近的用户行为对应的安全策略显示在同一显示页面中。
为了增强对异常行为的把控,在将目标用户行为确定为异常行为之后,还可以发出告警提示,具体可以参阅图4。
如图4所示,为本发明实施例提供的一种用户行为监测方法中发出告警提示的实施流程示意图,该方法具体可以包括以下步骤:
步骤S401、根据异常行为的行为信息生成告警信息;
步骤S402、按照预设的提示方式根据告警信息发出告警提示。
具体的,生成的告警信息可以包括判断为异常行为所依据的条件(比如边界值或者是过滤器中的条件值)、异常行为对应的用户行为的标识以及相应的用户账号,以便于后期的分析,预设的提示方式可以是邮件、系统消息、短息等。
在一个具体的例子中,比如账户a下的用户行为b被确定为异常行为,此时可以将用户行为b的行为信息中的操作日志的数量、操作日志的具体内容封装成告警信息,继续延续前述表4给出的示例,生成如下告警信息:
Figure BDA0002875986180000151
表5
然后通过预设的提示方式根据该告警信息发出告警提示,比如以邮件的形式,在邮件的正文中放入该告警信息,可以直接为该表5,也可以是其他的图表形式,发送到预先设置的邮箱地址中。
与上述方法实施例相对应,本发明实施例还提供了一种用户行为监测装置,如图5所示,为本发明实施例提供的一种用户行为监测装置的实施结构示意图,该装置包括:
获取模块501,用于获取目标用户行为的行为信息;
比对模块502,用于将行为信息与预设的目标安全策略进行比对,确定行为信息是否满足目标安全策略;
发送模块503,用于若行为信息满足目标安全策略时,将行为信息发送到为目标安全策略预先添加的条件过滤器中;
确定模块504,用于若条件过滤器的输出为行为信息满足条件过滤器的过滤条件,将目标用户行为确定为异常行为。
用户行为监测装置包括处理器和存储器,上述获取模块501、比对模块502、发送模块503、确定模块504等均作为程序模块存储在存储器中,由处理器执行存储在存储器中的上述程序模块来实现相应的功能。
本发明实施例还提供了一种存储介质(计算机可读存储介质)。这里的存储介质存储有一个或者多个程序。其中,存储介质可以包括易失性存储器,例如随机存取存储器;存储器也可以包括非易失性存储器,例如只读存储器、快闪存储器、硬盘或固态硬盘;存储器还可以包括上述种类的存储器的组合。
当存储介质中一个或者多个程序可被一个或者多个处理器执行,以实现上述在用户行为监测设备侧执行的用户行为监测方法。
处理器用于执行存储器中存储的用户行为监测程序,以实现以下在电子设备侧执行的用户行为监测方法的步骤:
获取目标用户行为的行为信息;
将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略;
若行为信息满足目标安全策略时,将行为信息发送到为目标安全策略预先添加的条件过滤器中;
若条件过滤器的输出为行为信息满足条件过滤器的过滤条件,将目标用户行为确定为异常行为。
本发明的可选实施方式中,将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略之后,方法还包括:
根据目标安全策略限制发生目标用户行为的用户账号的用户行为。
本发明的可选实施方式中,将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略之前,方法还包括:
将预先从互联网中预先爬取的与行为信息对应的安全策略确定为目标安全策略。
本发明的可选实施方式中,行为信息包括每次发生目标用户行为时生成的操作日志,目标安全策略中包括预先设置的边界值;
将行为信息与预设的目标安全策略进行比对,确定行为信息是否满足目标安全策略,包括:
统计操作日志的数量;
当操作日志的数量大于边界值时,确定行为信息满足目标安全策略。
本发明的可选实施方式中,在根据目标安全策略对应的限制标准限制目标用户的行为之后,方法还包括:
将目标用户行为确定为异常行为。
本发明的可选实施方式中,将目标用户行为确定为异常行为之后,方法还包括:
根据异常行为的行为信息生成告警信息;
按照预设的提示方式根据告警信息发出告警提示。
本发明的可选实施方式中,在根据目标安全策略中的限制标准限制目标用户账号下发生的用户行为之后,方法还包括:
将目标安全策略与目标用户行为的行为信息发送到目标页面,以使目标页面按照预设展示方式展示目标安全策略与目标用户行为的行为信息。
本发明的可选实施方式中,获取目标用户行为的行为信息,包括:
在接收到用户行为统计库发送的数据更新提示后,确定数据更新提示中是否包含对目标用户行为的行为信息的更新提示,用户行为统计库用于对目标用户行为的行为信息进行实时采集和统计;
若包含,从用户行为统计库中获取目标用户行为的行为信息。
本发明实施例提供了一种处理器,处理器用于运行程序,其中,程序运行时执行:获取目标用户行为的行为信息;将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略;若行为信息满足目标安全策略时,将行为信息发送到为目标安全策略预先添加的条件过滤器中;若条件过滤器的输出为行为信息满足条件过滤器的过滤条件,将目标用户行为确定为异常行为。
图6为本发明实施例提供的一种电子设备的结构示意图,图6所示的电子设备60包括:至少一个处理器601、以及与处理器601连接的至少一个存储器602、总线603;其中,处理器601、存储器602通过总线603完成相互间的通信;处理器用于调用存储器中的程序指令,以执行上述的用户行为监测方法。本文中的电子设备可以是服务器、PC、PAD、手机等。
本发明还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:
获取目标用户行为的行为信息;
将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略;
若行为信息满足目标安全策略时,将行为信息发送到为目标安全策略预先添加的条件过滤器中;
若条件过滤器的输出为行为信息满足条件过滤器的过滤条件,将目标用户行为确定为异常行为。
本发明的可选实施方式中,将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略之后,方法还包括:
根据目标安全策略限制发生目标用户行为的用户账号的用户行为。
本发明的可选实施方式中,将行为信息与从互联网中预先爬取的目标安全策略进行比对,确定行为信息是否满足目标安全策略之前,方法还包括:
将预先从互联网中预先爬取的与行为信息对应的安全策略确定为目标安全策略。
本发明的可选实施方式中,行为信息包括每次发生目标用户行为时生成的操作日志,目标安全策略中包括预先设置的边界值;
将行为信息与预设的目标安全策略进行比对,确定行为信息是否满足目标安全策略,包括:
统计操作日志的数量;
当操作日志的数量大于边界值时,确定行为信息满足目标安全策略。
本发明的可选实施方式中,在根据目标安全策略对应的限制标准限制目标用户的行为之后,方法还包括:
将目标用户行为确定为异常行为。
本发明的可选实施方式中,将目标用户行为确定为异常行为之后,方法还包括:
根据异常行为的行为信息生成告警信息;
按照预设的提示方式根据告警信息发出告警提示。
本发明的可选实施方式中,在根据目标安全策略中的限制标准限制目标用户账号下发生的用户行为之后,方法还包括:
将目标安全策略与目标用户行为的行为信息发送到目标页面,以使目标页面按照预设展示方式展示目标安全策略与目标用户行为的行为信息。
本发明的可选实施方式中,获取目标用户行为的行为信息,包括:
在接收到用户行为统计库发送的数据更新提示后,确定数据更新提示中是否包含对目标用户行为的行为信息的更新提示,用户行为统计库用于对目标用户行为的行为信息进行实时采集和统计;
若包含,从用户行为统计库中获取目标用户行为的行为信息。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在一个典型的配置中,设备包括一个或多个处理器(CPU)、存储器和总线。设备还可以包括输入/输出接口、网络接口等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本发明的实施例而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (10)

1.一种用户行为监测方法,其特征在于,所述方法包括:
获取目标用户行为的行为信息;
将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略;
若所述行为信息满足所述目标安全策略时,将所述行为信息发送到为所述目标安全策略预先添加的条件过滤器中;
若所述条件过滤器的输出为所述行为信息满足所述条件过滤器的过滤条件,将所述目标用户行为确定为异常行为。
2.根据权利要求1所述的方法,其特征在于,所述将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略之后,所述方法还包括:
若所述行为信息满足所述目标安全策略时,根据所述目标安全策略限制发生所述目标用户行为的用户账号的用户行为。
3.根据权利要求1所述的方法,其特征在于,所述将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略之前,所述方法还包括:
将预先从互联网中爬取的与所述行为信息对应的安全策略确定为目标安全策略。
4.根据权利要求1~3任一项所述的方法,其特征在于,所述行为信息包括每次发生目标用户行为时生成的操作日志,所述目标安全策略中包括预先设置的边界值;
所述将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略,包括:
统计所述操作日志的数量;
当所述操作日志的数量大于所述边界值时,确定所述行为信息满足所述目标安全策略。
5.根据权利要求2所述的方法,其特征在于,在所述根据所述目标安全策略限制发生所述目标用户行为的用户账号的用户行为之后,所述方法还包括:
将所述目标用户行为确定为异常行为。
6.据权利要求1或5所述的方法,其特征在于,所述将所述目标用户行为确定为异常行为之后,所述方法还包括:
根据所述异常行为的行为信息生成告警信息;
按照预设的提示方式根据所述告警信息发出告警提示。
7.根据权利要求5所述的方法,其特征在于,在所述根据所述目标安全策略中的限制标准限制所述目标用户账号下发生的用户行为之后,所述方法还包括:
将所述目标安全策略与所述目标用户行为的行为信息发送到目标页面,以使所述目标页面按照预设展示方式展示所述目标安全策略与所述目标用户行为的行为信息。
8.一种用户行为监测装置,其特征在于,所述装置包括:
获取模块,用于获取目标用户行为的行为信息;
比对模块,用于将所述行为信息与从互联网中预先爬取的目标安全策略进行比对,确定所述行为信息是否满足所述目标安全策略;
发送模块,用于若所述行为信息满足所述目标安全策略时,将所述行为信息发送到为所述目标安全策略预先添加的条件过滤器中;
确定模块,用于若所述条件过滤器的输出为所述行为信息满足所述条件过滤器的过滤条件,将所述目标用户行为确定为异常行为。
9.一种电子设备,其特征在于,包括:至少一个处理器、以及与处理器连接的至少一个存储器、总线;其中,所述处理器、所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行权利要求1~7中任一项所述的方法。
10.一种存储介质,其特征在于,所述存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现权利要求1~7中任一项所述的方法。
CN202011614260.XA 2020-12-30 2020-12-30 一种用户行为监测方法、装置、电子设备及存储介质 Pending CN114765584A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011614260.XA CN114765584A (zh) 2020-12-30 2020-12-30 一种用户行为监测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011614260.XA CN114765584A (zh) 2020-12-30 2020-12-30 一种用户行为监测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN114765584A true CN114765584A (zh) 2022-07-19

Family

ID=82364458

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011614260.XA Pending CN114765584A (zh) 2020-12-30 2020-12-30 一种用户行为监测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN114765584A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115589337A (zh) * 2022-11-29 2023-01-10 电子科大科园股份有限公司 网络连接方法与系统
CN115941265A (zh) * 2022-11-01 2023-04-07 南京鼎山信息科技有限公司 一种应用于云服务的大数据攻击处理方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600270A (zh) * 2018-05-10 2018-09-28 北京邮电大学 一种基于网络日志的异常用户检测方法及系统
CN109325232A (zh) * 2018-09-25 2019-02-12 北京明朝万达科技股份有限公司 一种基于lda的用户行为异常分析方法、系统及存储介质
CN110278201A (zh) * 2019-06-12 2019-09-24 深圳市腾讯计算机系统有限公司 安全策略评价方法及装置、计算机可读介质和电子设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600270A (zh) * 2018-05-10 2018-09-28 北京邮电大学 一种基于网络日志的异常用户检测方法及系统
CN109325232A (zh) * 2018-09-25 2019-02-12 北京明朝万达科技股份有限公司 一种基于lda的用户行为异常分析方法、系统及存储介质
CN110278201A (zh) * 2019-06-12 2019-09-24 深圳市腾讯计算机系统有限公司 安全策略评价方法及装置、计算机可读介质和电子设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115941265A (zh) * 2022-11-01 2023-04-07 南京鼎山信息科技有限公司 一种应用于云服务的大数据攻击处理方法及系统
CN115941265B (zh) * 2022-11-01 2023-10-03 南京鼎山信息科技有限公司 一种应用于云服务的大数据攻击处理方法及系统
CN115589337A (zh) * 2022-11-29 2023-01-10 电子科大科园股份有限公司 网络连接方法与系统
CN115589337B (zh) * 2022-11-29 2023-02-24 电子科大科园股份有限公司 网络连接方法与系统

Similar Documents

Publication Publication Date Title
US8738721B1 (en) System and method for detecting spam using clustering and rating of E-mails
EP2551786B1 (en) Efficient securing of data on mobile devices
CN109543373B (zh) 一种基于用户行为的信息识别方法及装置
RU2017118317A (ru) Система и способ автоматического расчета кибер-риска в бизнес-критических приложениях
CN107454103B (zh) 基于时间线的网络安全事件过程分析方法及系统
CN108038130B (zh) 虚假用户的自动清理方法、装置、设备及存储介质
CN109639504B (zh) 一种基于云平台的告警信息处理方法和装置
CN114765584A (zh) 一种用户行为监测方法、装置、电子设备及存储介质
CN106961410B (zh) 一种异常访问检测方法及装置
CN114363044B (zh) 一种分层告警方法、系统、存储介质和终端
CN105005528A (zh) 一种日志信息提取方法及装置
CN108306846B (zh) 一种网络访问异常检测方法及系统
CN109525611B (zh) 一种内网用户的异常外发行为检测方法及装置
CN110401660B (zh) 虚假流量的识别方法、装置、处理设备及存储介质
CN113132297B (zh) 数据泄露的检测方法及装置
CN110049028B (zh) 监控域控管理员的方法、装置、计算机设备及存储介质
CN110191097B (zh) 登录页面安全性的检测方法、系统、设备及存储介质
CN110008687B (zh) 风险应用的处理方法及装置
CN112637185B (zh) 一种网页防护方法、装置和浏览器
KR101423307B1 (ko) 정보 보안 수준 관리 시스템
CN109857748B (zh) 一种合同数据处理方法、装置及电子设备
CN111625700A (zh) 防抓取的方法、装置、设备及计算机存储介质
CN113992378B (zh) 一种安全监测方法、装置、电子设备及存储介质
US20230078713A1 (en) Determination of likely related security incidents
CN105740666A (zh) 识别线上操作风险的方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination