CN114880713B - 基于数据链路的用户行为分析方法、装置、设备及介质 - Google Patents
基于数据链路的用户行为分析方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114880713B CN114880713B CN202210756284.1A CN202210756284A CN114880713B CN 114880713 B CN114880713 B CN 114880713B CN 202210756284 A CN202210756284 A CN 202210756284A CN 114880713 B CN114880713 B CN 114880713B
- Authority
- CN
- China
- Prior art keywords
- user
- information
- sensitive
- behavior
- preset
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Abstract
本发明涉及用户行为分析技术领域,其公开了一种基于数据链路的用户行为分析方法、装置、设备及介质。其中方法包括:若接收到预设访问操作指令,则获取用户信息及数据流经接口信息;通过预设敏感接口标识检测数据流经接口信息中是否存在敏感接口;若存在,则获取与敏感接口对应的敏感字段信息;根据敏感字段信息获取敏感调用信息,并对敏感调用信息进行整合得到敏感数据链路信息;对用户信息进行数据清洗及聚类分析得到用户特征集合,根据预设用户标签库对用户特征集合中的用户特征进行匹配以构建用户画像;根据用户画像、敏感数据链路信息以及用户历史行为库对用户当前行为进行分析。本发明实施例可在一定程度上提高用户行为分析准确率。
Description
技术领域
本发明实施例涉及用户行为分析技术领域,尤其涉及一种基于数据链路的用户行为分析方法、装置、设备及介质。
背景技术
随着安全技术的发展,很多企业逐渐由安全建设初期转变向安全运营时期过渡,数据作为核心生产要素参与市场分配,已成为企业发展过程中的重要资产。数据安全事件的风险来源不仅是机器故障和外部黑客恶意攻击,还包括内部人员的恶意行为或失误操作,内部人员造成的数据泄露事件,使得企业数据安全面临严峻挑战。现有的用户行为风险分析方法只关注数据内容和用户本身的操作行为,导致风险告警误报率较高,难以将风险告警信息作为用户行为分析的依据,使得用户行为分析的准确率较低。
发明内容
本发明实施例提供了一种基于数据链路的用户行为分析方法、装置、设备及介质,旨在解决现有用户行为分析准确率较低的问题。
第一方面,本发明实施例提供了一种基于数据链路的用户行为分析方法,其包括:
若接收到预设访问操作指令,则获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息;
通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口;
若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息;
根据所述敏感字段信息获取敏感调用信息,并对所述敏感调用信息进行整合得到敏感数据链路信息;
对所述用户信息进行数据清洗得到目标用户信息,并对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像;
根据所述用户画像、所述敏感数据链路信息以及用户历史行为库对用户当前行为进行分析得到风险分析结果。
第二方面,本发明实施例还提供了一种基于数据链路的用户行为分析装置,其包括:
第一获取单元,用于若接收到预设访问操作指令,则获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息;
检测单元,用于通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口;
第二获取单元,用于若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息;
整合单元,用于根据所述敏感字段信息获取敏感调用信息,并对所述敏感调用信息进行整合得到敏感数据链路信息;
构建单元,用于对所述用户信息进行数据清洗得到目标用户信息,并对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像;
分析单元,用于根据所述用户画像、所述敏感数据链路信息以及用户历史行为库对用户当前行为进行分析得到风险分析结果。
第三方面,本发明实施例还提供了一种计算机设备,其包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时可实现上述方法。
本发明实施例提供了一种基于数据链路的用户行为分析方法、装置、设备及介质。其中,所述方法包括:若接收到预设访问操作指令,则获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息;通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口;若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息;根据所述敏感字段信息获取敏感调用信息,并对所述敏感调用信息进行整合得到敏感数据链路信息;对所述用户信息进行数据清洗得到目标用户信息,并对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像;根据所述用户画像、所述敏感数据链路信息以及用户历史行为库对用户当前行为进行分析得到风险分析结果。本发明实施例的技术方案,先根据敏感字段信息获取敏感调用信息,并对敏感调用信息进行整合得到敏感数据链路信息;再根据目标用户信息及预设用户标签库构建用户画像;最后根据用户画像、敏感数据链路信息以及用户历史行为库对用户当前行为进行分析,避免了只关注敏感数据和用户行为,可在一定程度上提高用户行为分析准确率。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于数据链路的用户行为分析方法的流程示意图;
图2为本发明实施例提供的一种基于数据链路的用户行为分析方法的子流程示意图;
图3为本发明实施例提供的一种基于数据链路的用户行为分析方法的子流程示意图;
图4为本发明实施例提供的一种基于数据链路的用户行为分析装置的示意性框图;以及
图5为本发明实施例提供的一种计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和 “包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
如在本说明书和所附权利要求书中所使用的那样,术语“如果”可以依据上下文被解释为 “当... 时”或“一旦”或“响应于确定”或“响应于检测到”。类似地,短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。
请参阅图1,图1是本发明实施例提供的基于数据链路的用户行为分析方法的流程示意图。下面对所述基于数据链路的用户行为分析方法进行详细说明。如图1所示,该方法包括以下步骤S100-S150。
S100、若接收到预设访问操作指令,则获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息。
在本发明实施例中,用户在终端的应用程序上根据自己需求进行查询、修改以及删除等访问操作时,会触发预设访问操作指令的发送,终端上的应用程序接收到所述预设访问操作指令,并根据所述预设访问操作指令进行数据请求及服务调用,在进行数据请求及服务调用过程中,通过终端上的应用程序上部署探针,根据字节码增加技术循环获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息。
S110、通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口。
S120、若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息。
在本发明实施例中,获取所述数据流经接口信息之后,通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口,其中,所述预设敏感接口标识可表征敏感接口,例如带有SENS标识的接口为敏感接口;若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息,其中,所述敏感字段信息为所述敏感接口的接口名及接口编号;可理解地,若所述数据流经接口信息中不存在所述敏感接口,表明用户当前行为不存在风险,无需进行用户行为分析,则继续对用户的下一行为进行分析。
S130、根据所述敏感字段信息获取敏感调用信息,并对所述敏感调用信息进行整合得到敏感数据链路信息。
在本发明实施例中,根据所述敏感字段信息获取敏感调用信息,其中,所述敏感调用信息包括链路ID、节点编号、父节点编号、调用开始时间以及调用结束时间;可理解地,在实际应用中,所述敏感调用信息包括多个链路ID,而针对每一所述链路ID,根据所述节点编号及所述父节点编号对所述链路ID上涉及到的所有节点关系进行整合得到初始敏感数据链路信息;根据所述调用开始时间及所述调用结束时间对所述初始敏感数据链路信息进行排序得到敏感数据链路信息。需要说明的是,在其它实施例中,所述敏感调用信息还包括节点名称、父节点名称、子节点编号以及子节点名称。还需要说明的是,在本发明实施例中,还会将所述敏感数据链路信息保存至数据库中,例如MySQL、H2等数据库。
S140、对所述用户信息进行数据清洗得到目标用户信息,并对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像。
在本发明实施例中,首先去除所述用户信息中的重复数据及异常数据,其中,所述异常数据例为在年龄信息中输入为160岁;然后通过预设填充值对所述用户信息中的缺失数据进行填充,例如,若用户性别信息缺失,则可默认填写男性或者女性;并对所述用户信息中的信息关系进行打标得到目标用户信息,例如,将业务打标成基础属性,部门打标成继承属性,继承属性继承基础属性。得到所述目标用户信息之后,会对所述目标用户信息进行聚类分析得到用户特征集合,其中,所述用户特征集合包括用户姓名、年龄、性别、爱好、工作单位等特征,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像。
请参阅图2,在一实施例中,例如,在本发明实施例中,所述步骤S140包括如下步骤S141-S143。
S141、对所述目标用户信息进行提取得到用户属性信息及用户行为信息;
S142、对所述用户属性信息及所述用户行为信息进行聚类分析得到用户属性特征集合及用户行为特征集合;
S143、根据预设用户属性标签库及预设用户行为标签库对所述用户属性特征集合及所述用户行为特征集合中的用户属性特征及用户行为特征进行匹配得到用户属性标签及用户行为标签,并将所述用户属性标签及所述用户行为标签作为用户画像。
在本发明实施例中,分别按用户属性维度及用户行为维度对所述目标用户信息提取得到用户属性信息及用户行为信息,其中,所述用户属性信息包括类别、字段、定义域、值域以及所属类别等,所述用户行为信息包括类型、字段、语义以及所属类别等;根据用户属性维度及用户行为维度设置相应的属性聚类维度及类聚类维度,根据所述属性聚类维度及所述类聚类维度对所述用户属性信息及所述用户行为信息进行聚类得到用户属性聚类结果及用户行为聚类结果,根据所述用户属性聚类结果及所述用户行为聚类结果确定用户属性特征及用户行为特征,并得到用户属性特征集合及用户行为特征集合。得到所述用户属性特征集合及所述用户行为特征集合之后,对所述用户属性特征集合进行遍历;将当前遍历到的用户属性特征作为待匹配属性特征,并将所述待匹配属性特征与预设用户属性标签库中包含的用户属性标签进行匹配;将匹配成功的所述用户属性标签作为所述待匹配属性特征对应的用户属性标签;对所述用户属性特征集合循环执行遍历操作以获取与所述用户属性特征集合相对应的用户属性标签。在实际应用中,例如,假设当前遍历到的用户属性特征为“工资:1万/月”,通过该用户属性特征与预设用户属性标签库中包含的“工资”维度的用户属性标签[低工资:低于5000/月、中等工资:高于5000/月,低于12000/月、中高工资:高于12000/月,低于16000/月、高工资:高于16000/月]进行匹配后,即可将匹配成功的用户属性标签“中等工资:高于5000/月,低于12000/月”作为“工资”维度的属性特征对应的用户属性标签。可理解地,对所述用户行为特征集合进行遍历;将当前遍历到的用户行为特征作为待匹配类特征,并将所述待匹配类特征与预设用户行为标签库中包含的用户行为标签进行匹配;将匹配成功的所述用户行为标签作为所述待匹配类特征对应的用户行为标签;对所述用户行为特征集合循环执行遍历操作以获取与所述用户行为特征集合相对应的用户行为标签。在实际应用中,假设当前遍历到的用户行为特征为“查询A表”,通过该用户行为特征与预设用户行为标签库中包含的“权限”维度的用户行为标签[员工:可查询及修改A表、经理:可查询及修改A表及B表、总裁:可查询、修改以及删除A表、B表以及C表]进行匹配后,即可将匹配成功的用户行为标签“员工:可查询及修改A表”作为“权限”维度的行为特征对应的用户行为标签。匹配得到所述用户属性标签及所述用户行为标签后,将所述用户属性标签及所述用户行为标签作为用户画像。
S150、根据所述用户画像、所述敏感数据链路信息以及用户历史行为库对用户当前行为进行分析得到风险分析结果。
在本发明实施例中,根据所述用户画像从用户历史行为库中匹配出相应的用户历史敏感行为,其中,所述用户历史敏感行为可理解为用户历史访问路径;
将所述用户历史敏感行为与所述敏感数据链路信息对应的用户行为进行匹配,即将用户历史访问路径与所述敏感数据链路信息对应的用户访问路径进行匹配;若匹配成功,表明用户当前行为不存在风险,无需进行用户行为分析,则继续对用户的下一行为进行分析;若匹配不成功,表明用户当前行为存在风险,需要进行用户行为分析,则根据所述敏感数据链路信息中的敏感数据计算用户行为风险值,根据所述用户行为风险值及预设风险行为阈值得到风险分析结果。
请参阅图3,在一实施例中,例如,在本发明实施例中,所述步骤S120包括如下步骤S151-S155。
S151、根据所述敏感数据链路信息中的敏感数据所对应的风险值计算用户行为风险值;
S152、判断所述用户行为风险值是否小于第一预设风险行为阈值,若所述用户行为风险值不小于第一预设风险行为阈值,则执行步骤S153,否则执行步骤S155;
S153、判断所述用户行为风险值是否小于第二预设风险行为阈值;若所述用户行为风险值不小于第二预设风险行为阈值,则执行步骤S154,否则执行步骤S155;
S154、将风险分析结果设置为高风险等级;
S155、继续对用户的下一行为进行分析。
在本发明实施例中,根据所述敏感数据链路信息中的敏感数据所对应的风险值计算用户行为风险值,例如,第一类敏感数据的风险值为0.1,第二类敏感数据的风险值为0.3,第三类敏感数据的风险值为0.5等;若所述敏感数据链路信息中涉及到第二类及第三类敏感数据,即用户行为风险值为0.8,而在本实施例中,第一预设风险行为阈值为0.3,第二预设风险行为阈值为0.6,在行为风险值判断过程中,首先判断所述用户行为风险值0.8是否小于第一预设风险行为阈值0.3;若不小于,则继续判断所述用户行为风险值0.8是否小于第二预设风险行为阈值0.6;若不小于,表明用户当前行为异常行为,则将风险分析结果设置为高风险。可理解地,所述用户行为风险值小于第一预设风险行为阈值时,表明用户当前行为风险较小,可将风险分析结果设置为低风险;所述用户行为风险值小于第二预设风险行为阈值时,表明用户当前行为存在一定风险,可将风险分析结果设置为中风险。
需要说明的是,在本发明实施例中,若所述风险分析结果为高风险等级,则将所述用户画像与用户账户标识关联,其中,所述用户账号标识为账户注册时分配的账户编号,即账户ID、或者账户名、用户账户绑定的手机号等,并根据所述用户账户标识查询用户所有行为,将用户所有行为发送至相关人员,以方便相关人员对用户异常行为进行分析,从而实现精准定位。还需要说明的是,对用户异常行为进行分析处理之后,可根据分析处理结果对所述用户画像进行更新,以提高下次对用户行为分析的准确性。
图4是本发明实施例提供的一种基于数据链路的用户行为分析装置200的示意性框图。如图4所示,对应于以上基于数据链路的用户行为分析方法,本发明还提供一种基于数据链路的用户行为分析装置200。该基于数据链路的用户行为分析装置200包括用于执行上述基于数据链路的用户行为分析方法的单元,该装置可以被配置于终端中。具体地,请参阅图4,该基于数据链路的用户行为分析装置200包括第一获取单元201、检测单元202、第二获取单元203、整合单元204、构建单元205以及分析单元206。
其中,所述第一获取单元201用于若接收到预设访问操作指令,则获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息;所述检测单元202用于通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口;所述第二获取单元203用于若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息;所述整合单元204用于根据所述敏感字段信息获取敏感调用信息,并对所述敏感调用信息进行整合得到敏感数据链路信息;所述构建单元205用于对所述用户信息进行数据清洗得到目标用户信息,并对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像;所述分析单元206用于根据所述用户画像、所述敏感数据链路信息以及用户历史行为库对用户当前行为进行分析得到风险分析结果。
在某些实施例,例如本实施例中,所述整合单元204包括整合子单元及排序单元。
其中,所述整合子单元用于针对每一所述链路ID,根据所述节点编号及所述父节点编号对所述链路ID上涉及到的所有节点关系进行整合得到初始敏感数据链路信息;所述排序单元用于根据所述调用开始时间及所述调用结束时间对所述初始敏感数据链路信息进行排序得到敏感数据链路信息。
在某些实施例,例如本实施例中,所述构建单元205包括提取单元、聚类分析单元以及第一匹配单元。
其中,所述提取单元用于对所述目标用户信息进行提取得到用户属性信息及用户行为信息;所述聚类分析单元用于对所述用户属性信息及所述用户行为信息进行聚类分析得到用户属性特征集合及用户行为特征集合;所述第一匹配单元用于根据预设用户属性标签库及预设用户行为标签库对所述用户属性特征集合及所述用户行为特征集合中的用户属性特征及用户行为特征进行匹配得到用户属性标签及用户行为标签,并将所述用户属性标签及所述用户行为标签作为用户画像。
在某些实施例,例如本实施例中,所述分析单元206包括第二匹配单元、第三匹配单元、计算单元以及关联单元。
其中,所述第二匹配单元用于根据所述用户画像从用户历史行为库中匹配出相应的用户历史敏感行为;所述第三匹配单元用于将所述用户历史敏感行为与所述敏感数据链路信息对应的用户行为进行匹配;所述计算单元用于若匹配不成功,则根据所述敏感数据链路信息计算用户行为风险值,根据所述用户行为风险值及预设风险行为阈值得到风险分析结果;所述关联单元用于若所述风险分析结果为高风险,则将所述用户画像与用户账户标识关联,并根据所述用户账户标识查询用户所有行为,将用户所有行为发送至相关人员,以方便相关人员对用户行为进行分析。
在某些实施例,例如本实施例中,所述计算单元包括计算子单元、第一判断单元、第二判断单元以及设置单元。
其中,所述计算子单元用于根据所述敏感数据链路信息中的敏感数据所对应的风险值计算用户行为风险值;所述第一判断单元用于判断所述用户行为风险值是否小于第一预设风险行为阈值;所述第二判断单元用于若所述用户行为风险值不小于第一预设风险行为阈值,则判断所述用户行为风险值是否小于第二预设风险行为阈值;所述设置单元用于若所述用户行为风险值不小于第二预设风险行为阈值,则将风险分析结果设置为高风险等级。
上述基于数据链路的用户行为分析装置可以实现为一种计算机程序的形式,该计算机程序可以在如图5所示的计算机设备上运行。
请参阅图5,图5是本发明实施例提供的一种计算机设备的示意性框图。该计算机设备300为具有基于数据链路的用户行为分析功能的显示设备。
参阅图5,该计算机设备300包括通过系统总线301连接的处理器302、存储器和网络接口305,其中,存储器可以包括非易失性存储介质303和内存储器304。
该非易失性存储介质303可存储操作系统3031和计算机程序3032。该计算机程序3032被执行时,可使得处理器302执行一种基于数据链路的用户行为分析方法。
该处理器302用于提供计算和控制能力,以支撑整个计算机设备300的运行。
该内存储器304为非易失性存储介质303中的计算机程序3032的运行提供环境,该计算机程序3032被处理器302执行时,可使得处理器302执行一种基于数据链路的用户行为分析方法。
该网络接口305用于与其它设备进行网络通信。本领域技术人员可以理解,图5中示出的结构,仅仅是与本发明方案相关的部分结构的框图,并不构成对本发明方案所应用于其上的计算机设备300的限定,具体的计算机设备300可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器302用于运行存储在存储器中的计算机程序3032,以实现如下步骤:若接收到预设访问操作指令,则获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息;通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口;若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息;根据所述敏感字段信息获取敏感调用信息,并对所述敏感调用信息进行整合得到敏感数据链路信息;对所述用户信息进行数据清洗得到目标用户信息,并对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像;根据所述用户画像、所述敏感数据链路信息以及用户历史行为库对用户当前行为进行分析得到风险分析结果。
在某些实施例,例如本实施例中,处理器302在实现所述对所述敏感调用信息进行整合得到敏感数据链路信息步骤时,具体实现如下步骤:针对每一所述链路ID,根据所述节点编号及所述父节点编号对所述链路ID上涉及到的所有节点关系进行整合得到初始敏感数据链路信息;根据所述调用开始时间及所述调用结束时间对所述初始敏感数据链路信息进行排序得到敏感数据链路信息。
在某些实施例,例如本实施例中,处理器302在实现所述对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像步骤时,具体实现如下步骤:对所述目标用户信息进行提取得到用户属性信息及用户行为信息;对所述用户属性信息及所述用户行为信息进行聚类分析得到用户属性特征集合及用户行为特征集合;根据预设用户属性标签库及预设用户行为标签库对所述用户属性特征集合及所述用户行为特征集合中的用户属性特征及用户行为特征进行匹配得到用户属性标签及用户行为标签,并将所述用户属性标签及所述用户行为标签作为用户画像。
在某些实施例,例如本实施例中,处理器302在实现所述根据所述用户画像、所述敏感数据链路信息以及用户历史行为库对用户当前行为进行分析得到风险分析结果步骤时,具体实现如下步骤:根据所述用户画像从用户历史行为库中匹配出相应的用户历史敏感行为;将所述用户历史敏感行为与所述敏感数据链路信息对应的用户行为进行匹配;若匹配不成功,则根据所述敏感数据链路信息计算用户行为风险值,根据所述用户行为风险值及预设风险行为阈值得到风险分析结果;若所述风险分析结果为高风险,则将所述用户画像与用户账户标识关联,并根据所述用户账户标识查询用户所有行为,将用户所有行为发送至相关人员,以方便相关人员对用户行为进行分析。
在某些实施例,例如本实施例中,处理器302在实现所述根据所述敏感数据链路信息计算用户行为风险值,根据所述用户行为风险值及预设风险行为阈值得到风险分析结果步骤时,具体实现如下步骤:根据所述敏感数据链路信息中的敏感数据所对应的风险值计算用户行为风险值;判断所述用户行为风险值是否小于第一预设风险行为阈值;若所述用户行为风险值不小于第一预设风险行为阈值,则判断所述用户行为风险值是否小于第二预设风险行为阈值;若所述用户行为风险值不小于第二预设风险行为阈值,则将风险分析结果设置为高风险等级。
在某些实施例,例如本实施例中,处理器302在实现所述对所述用户信息进行数据清洗得到目标用户信息步骤时,具体实现如下步骤:去除所述用户信息中的重复数据及异常数据得到第一用户信息,并通过预设填充值对所述第一用户信息中的缺失数据进行填充得到第二用户信息;并对所述第二用户信息中的信息关系进行打标得到第三用户信息,将所述第三用户信息作为目标用户信息。
应当理解,在本发明实施例中,处理器302可以是中央处理单元 (CentralProcessing Unit,CPU),该处理器302还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路 (Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该计算机程序被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序。该计算机程序被处理器执行时使处理器执行上述基于数据链路的用户行为分析方法的任意实施例。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详细描述的部分,可以参见其他实施例的相关描述。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,尚且本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (9)
1.一种基于数据链路的用户行为分析方法,其特征在于,包括:
若接收到预设访问操作指令,则获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息;
通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口;
若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息;
根据所述敏感字段信息获取敏感调用信息,并对所述敏感调用信息进行整合得到敏感数据链路信息;
对所述用户信息进行数据清洗得到目标用户信息,并对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像;
根据所述用户画像从用户历史行为库中匹配出相应的用户历史敏感行为;
将所述用户历史敏感行为与所述敏感数据链路信息对应的用户行为进行匹配;
若匹配不成功,则根据所述敏感数据链路信息计算用户行为风险值,根据所述用户行为风险值及预设风险行为阈值得到风险分析结果。
2.根据权利要求1所述的方法,其特征在于,所述敏感调用信息包括链路ID、节点编号、父节点编号、调用开始时间以及调用结束时间,所述对所述敏感调用信息进行整合得到敏感数据链路信息的步骤,包括:
针对每一所述链路ID,根据所述节点编号及所述父节点编号对所述链路ID上涉及到的所有节点关系进行整合得到初始敏感数据链路信息;
根据所述调用开始时间及所述调用结束时间对所述初始敏感数据链路信息进行排序得到敏感数据链路信息。
3.根据权利要求1所述的方法,其特征在于,所述对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像的步骤,包括:
对所述目标用户信息进行提取得到用户属性信息及用户行为信息;
对所述用户属性信息及所述用户行为信息进行聚类分析得到用户属性特征集合及用户行为特征集合;
根据预设用户属性标签库及预设用户行为标签库对所述用户属性特征集合及所述用户行为特征集合中的用户属性特征及用户行为特征进行匹配得到用户属性标签及用户行为标签,并将所述用户属性标签及所述用户行为标签作为用户画像。
4.根据权利要求1所述的方法,其特征在于,所述根据所述敏感数据链路信息计算用户行为风险值,根据所述用户行为风险值及预设风险行为阈值得到风险分析结果,包括:
根据所述敏感数据链路信息中的敏感数据所对应的风险值计算用户行为风险值;
判断所述用户行为风险值是否小于第一预设风险行为阈值;
若所述用户行为风险值不小于第一预设风险行为阈值,则判断所述用户行为风险值是否小于第二预设风险行为阈值;
若所述用户行为风险值不小于第二预设风险行为阈值,则将风险分析结果设置为高风险等级。
5.根据权利要求4所述的方法,其特征在于,所述若匹配不成功,则根据所述敏感数据链路信息计算用户行为风险值,根据所述用户行为风险值及预设风险行为阈值得到风险分析结果之后,还包括:
若所述风险分析结果为高风险,则将所述用户画像与用户账户标识关联,并根据所述用户账户标识查询用户所有行为,将用户所有行为发送至相关人员,以方便相关人员对用户行为进行分析。
6.根据权利要求1所述的方法,其特征在于,所述对所述用户信息进行数据清洗得到目标用户信息,包括:
去除所述用户信息中的重复数据及异常数据得到第一用户信息,并通过预设填充值对所述第一用户信息中的缺失数据进行填充得到第二用户信息;
并对所述第二用户信息中的信息关系进行打标得到第三用户信息,将所述第三用户信息作为目标用户信息。
7.一种基于数据链路的用户行为分析装置,其特征在于,包括:
第一获取单元,用于若接收到预设访问操作指令,则获取与所述预设访问操作指令相对应的用户信息及数据流经接口信息;
检测单元,用于通过预设敏感接口标识检测所述数据流经接口信息中是否存在敏感接口;
第二获取单元,用于若所述数据流经接口信息中存在所述敏感接口,则获取与所述敏感接口对应的敏感字段信息;
整合单元,用于根据所述敏感字段信息获取敏感调用信息,并对所述敏感调用信息进行整合得到敏感数据链路信息;
构建单元,用于对所述用户信息进行数据清洗得到目标用户信息,并对所述目标用户信息进行聚类分析得到用户特征集合,根据预设用户标签库对所述用户特征集合中的用户特征进行匹配以构建用户画像;
第二匹配单元,用于根据所述用户画像从用户历史行为库中匹配出相应的用户历史敏感行为;
第三匹配单元,用于将所述用户历史敏感行为与所述敏感数据链路信息对应的用户行为进行匹配;
计算单元,用于若匹配不成功,则根据所述敏感数据链路信息计算用户行为风险值,根据所述用户行为风险值及预设风险行为阈值得到风险分析结果。
8.一种计算机设备,其特征在于,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1-6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序当被处理器执行时可实现如权利要求1-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210756284.1A CN114880713B (zh) | 2022-06-30 | 2022-06-30 | 基于数据链路的用户行为分析方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210756284.1A CN114880713B (zh) | 2022-06-30 | 2022-06-30 | 基于数据链路的用户行为分析方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114880713A CN114880713A (zh) | 2022-08-09 |
CN114880713B true CN114880713B (zh) | 2022-09-27 |
Family
ID=82683424
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210756284.1A Active CN114880713B (zh) | 2022-06-30 | 2022-06-30 | 基于数据链路的用户行为分析方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114880713B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107784092A (zh) * | 2017-10-11 | 2018-03-09 | 深圳市金立通信设备有限公司 | 一种推荐热词的方法、服务器及计算机可读介质 |
CN112965979A (zh) * | 2021-03-10 | 2021-06-15 | 中国民航信息网络股份有限公司 | 一种用户行为分析方法、装置及电子设备 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110493181B (zh) * | 2019-07-05 | 2023-04-07 | 中国平安财产保险股份有限公司 | 用户行为检测方法、装置、计算机设备及存储介质 |
CN111310232A (zh) * | 2020-03-17 | 2020-06-19 | 杭州数梦工场科技有限公司 | 数据脱敏方法及装置、电子设备、存储介质 |
CN113538029A (zh) * | 2020-04-22 | 2021-10-22 | 中国移动通信集团上海有限公司 | 用户行为数据预测方法、装置、设备及介质 |
CN111614639A (zh) * | 2020-05-09 | 2020-09-01 | 深圳市云盾科技有限公司 | 一种基于边界理论的网络安全分析方法 |
CN111782620A (zh) * | 2020-06-19 | 2020-10-16 | 多加网络科技(北京)有限公司 | 一种信用链路自动跟踪平台及其方法 |
US11363000B1 (en) * | 2021-01-04 | 2022-06-14 | Bank Of America Corporation | System for virtual private network authentication sensitivity with read only sandbox integration |
CN113435912A (zh) * | 2021-06-29 | 2021-09-24 | 平安科技(深圳)有限公司 | 基于客户画像的数据分析方法、装置、设备及介质 |
-
2022
- 2022-06-30 CN CN202210756284.1A patent/CN114880713B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107784092A (zh) * | 2017-10-11 | 2018-03-09 | 深圳市金立通信设备有限公司 | 一种推荐热词的方法、服务器及计算机可读介质 |
CN112965979A (zh) * | 2021-03-10 | 2021-06-15 | 中国民航信息网络股份有限公司 | 一种用户行为分析方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN114880713A (zh) | 2022-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109918279B (zh) | 电子装置、基于日志数据识别用户异常操作的方法及存储介质 | |
WO2006047532A1 (en) | Probabilistic model for record linkage | |
JP6780655B2 (ja) | ログ分析システム、方法およびプログラム | |
WO2019061664A1 (zh) | 电子装置、基于用户上网数据的产品推荐方法及存储介质 | |
CN111090807A (zh) | 一种基于知识图谱的用户识别方法及装置 | |
US20150186195A1 (en) | Method of analysis application object which computer-executable, server performing the same and storage media storing the same | |
CN111694718A (zh) | 内网用户异常行为识别方法、装置、计算机设备及可读存储介质 | |
CN106301979B (zh) | 检测异常渠道的方法和系统 | |
JPWO2018069950A1 (ja) | ログ分析方法、システムおよびプログラム | |
CN109284331B (zh) | 基于业务数据资源的制证信息获取方法、终端设备及介质 | |
CN115774707B (zh) | 基于对象属性数据处理方法和装置、电子设备和存储介质 | |
CN114880713B (zh) | 基于数据链路的用户行为分析方法、装置、设备及介质 | |
CN108804561B (zh) | 数据同步方法及装置 | |
CN114650167B (zh) | 一种异常检测方法、装置、设备及计算机可读存储介质 | |
CN106155736B (zh) | 软件安装启动类型检测方法、装置及用户终端 | |
CN114528208A (zh) | 程序错误信息识别方法、装置、设备及介质 | |
CN109284354B (zh) | 脚本搜索方法、装置、计算机设备及存储介质 | |
CN112631905A (zh) | 执行过程数据管理方法、装置、计算机设备及存储介质 | |
CN111736848A (zh) | 包冲突定位方法、装置、电子设备及可读存储介质 | |
CN110059480A (zh) | 网络攻击行为监控方法、装置、计算机设备及存储介质 | |
CN106055625B (zh) | 一种执行业务的方法及装置 | |
CN111158746B (zh) | 一种调用关系的获取方法及装置 | |
CN114818645B (zh) | 基于数据主体的自动化报告生成方法、装置、设备及介质 | |
CN113537363B (zh) | 一种异常对象检测方法及装置、电子设备及存储介质 | |
CN112905191B (zh) | 数据处理方法、装置、计算机可读存储介质和计算机设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |