CN114969450A - 一种用户行为分析方法、装置、设备及存储介质 - Google Patents
一种用户行为分析方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN114969450A CN114969450A CN202210412594.1A CN202210412594A CN114969450A CN 114969450 A CN114969450 A CN 114969450A CN 202210412594 A CN202210412594 A CN 202210412594A CN 114969450 A CN114969450 A CN 114969450A
- Authority
- CN
- China
- Prior art keywords
- target user
- preset
- behavior
- query instruction
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/90335—Query processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
- G06F16/9038—Presentation of query results
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/904—Browsing; Visualisation therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明实施例公开了一种用户行为分析方法、装置、设备及存储介质,该方法包括:当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据信息查询指令,从预设数据库中查找得到目标用户对应的目标用户行为数据;根据目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。本实施例的技术方案,通过采用包括父查询指令和子查询指令的信息查询指令进行用户行为数据的查询和分析,可以实现对复杂用户行为的高效分析,可以提升用户行为分析的实时性。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种用户行为分析方法、装置、设备及存储介质。
背景技术
随着企业信息技术的高速发展,企业内部员工泄露企业信息将会对企业造成巨大的财产损失。通过进行用户行为分析以提前发现企业员工的违规行为,可以有效降低企业信息泄露事件的发生概率。
目前,现有的用户行为分析方法,主要基于复杂事件处理库和结构化数据库。其中,当基于复杂事件处理库进行用户行为分析时,可以基于复杂事件处理库预先设置统计分析规则,进而基于用户行为数据和统计分析规则进行用户行为分析。当基于结构化数据库进行用户行为分析时,主要采用统一标准将用户行为数据存储至结构化数据库中,然后采用结构化查询语言对用户行为数据进行提取和分析以实现用户行为分析。
然而,对于基于复杂事件处理库的用户行为分析方法,很难实现对较为复杂的统计分析规则的设置。而对于基于结构化数据库的用户行为分析方法,需要操作人员具有相应的结构化数据库操作能力,故具有一定的使用门槛,且存在扩展能力较弱和时效性较差的问题。
发明内容
本发明实施例提供一种用户行为分析方法、装置、设备及存储介质,可以在对用户行为进行分析时,实现对复杂用户行为的高效分析,可以提升用户行为分析的实时性。
第一方面,本发明实施例提供了一种用户行为分析方法,包括:
当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据;
其中,所述信息查询指令包括父查询指令和子查询指令,所述父查询指令包括用户标识字符,所述子查询指令包括预设字符,预设字符包括预设追加指令字符或预设关联指令字符;
根据所述目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。
第二方面,本发明实施例还提供了一种用户行为分析装置,包括:
目标用户行为数据查找模块,用于当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据;
其中,所述信息查询指令包括父查询指令和子查询指令,所述父查询指令包括用户标识字符,所述子查询指令包括预设字符,预设字符包括预设追加指令字符或预设关联指令字符;
用户行为分析模块,用于根据所述目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序;
当所述一个或多个计算机程序被所述一个或多个处理器执行,使得所述一个或多个处理器执行所述计算机程序时实现本发明任意实施例提供的用户行为分析方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,该存储介质上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例提供的用户行为分析方法。
本发明实施例提供的技术方案,当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据信息查询指令,从预设数据库中查找得到目标用户对应的目标用户行为数据;根据目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示,通过采用包括父查询指令和子查询指令的信息查询指令进行用户行为数据的查询和分析,可以实现对复杂用户行为的高效分析,可以提升用户行为分析的实时性。
附图说明
图1A是本发明实施例一中的一种用户行为分析方法的流程图;
图1B是本发明实施例一中的一种用户行为数据的示意图;
图1C是本发明实施例一中的一种目标用户行为数据的示意图;
图1D是本发明实施例一中的一种用户行为分析方法的流程示意图;
图2A是本发明实施例二中的一种用户行为分析方法的流程图;
图2B是本发明实施例二中的一种目标用户行为数据的获取流程示意图;
图2C是本发明实施例二中的一种查询结果示意图;
图3A是本发明实施例三中的一种用户行为分析方法的流程图;
图3B是本发明实施例三中的一种关联行为数据的获取流程示意图;
图3C是本发明实施例三中的一种异常行为类型的确定流程示意图;
图3D是本发明实施例三中的一种用户行为分析方法的流程示意图;
图4是本发明实施例四中的一种用户行为分析装置的结构示意图;
图5是本发明实施例五中的一种电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的实施例。虽然附图中显示了本发明的某些实施例,然而应当理解的是,本发明可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本发明。应当理解的是,本发明的附图及实施例仅用于示例性作用,并非用于限制本发明的保护范围。
实施例一
图1A为本发明实施例一提供的一种用户行为分析方法的流程图,本发明实施例可适用于根据用户行为数据对用户行为进行分析的情况;该方法可以由用户行为分析装置来执行,该装置可由硬件和/或软件组成,并一般可集成在电子设备中,典型的,可以集成在计算机设备或者服务器中。如图1A所示,该方法具体包括如下步骤:
S110、当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据。
其中,信息查询页面,可以是预先设置的用户行为数据的查询入口。在本实施例中,具有相应权限的操作人员可以通过计算机设备登录用户行为分析系统,并进入该信息查询页面。之后,操作人员可以在该信息查询页面的搜索框中输入信息查询指令。然后,可以通过预先设置的搜索引擎执行该信息查询指令,以从预设数据库中查找与该信息查询指令对应的用户行为数据。
可选的,用户行为分析系统可以实时采集企业内部所有员工的用户行为数据,并可以根据预设数据格式对用户行为数据进行标准化处理,进而将标准化处理后的用户行为数据存储至搜索引擎对应的预设数据库。其中,预设数据格式可以为键值对(Key-Value)形式,例如,标准化处理后的用户行为数据可以为员工数据“Name:zhangsan”,“Department:研发中心”,权限数据“Device:XXX.XXX.X.XX X_root_ssh”。
其中,目标用户行为数据可以包括员工信息数据、权限数据、安全设备(例如,数据防泄漏(Data leakage prevention,DLP)设备、上网行为管理(Access Control,AC)设备、终端防护(Endpoint Detection and Response,EDR)设备、防火墙以及堡垒机等)数据、邮件网关数据以及操作系统的主机日志等。数据采集方式可以包括Agent采集、脚本采集、应用程序接口采集、数据库采集以及表格采集等。在本实施例中,对用户行为数据的数据源和数据采集方式均不作具体限定。
在一个具体的例子中,若需要获取目标用户“zhangsan”在部门中存储的员工信息,则可以在信息查询页面中输入对应的信息查询指令“name:zhangsan AND appname:em_info|table id,name,age,position,laptop_ip”,以获得如图1B所示的用户行为数据。其中,id表示用户标识、name表示用户姓名、age表示用户年龄、position表示用户职位、laptop_ip表示用户所用计算机设备的网际协议地址。
其中,信息查询指令可以包括父查询指令和子查询指令,父查询指令可以包括用户标识字符,子查询指令可以包括预设字符,预设字符可以包括预设追加指令字符或预设关联指令字符。
在本实施例中,信息查询指令可以由父查询指令和子查询指令两部分组成;父查询指令中的用户标识字符,可以是目标用户在企业中的唯一身份标识。可选的,父查询指令还可以包括姓名字符、年龄字符或者网际协议(Internet Protocol,IP)地址字符等用户相关信息。
子查询指令中可以包括预设字符,预设字符用于对父查询指令和子查询指令进行分割,以及指示子查询指令的指令类型。其中,当预设字符为预设追加指令字符(例如,“append”)时,表示子查询指令的指令类型为追加指令,即需要将子查询指令对应的查询结果附加在父查询指令对应的查询结果后方。而当预设字符为预设关联指令字符(例如,“join”)时,表示子查询指令的指令类型为关联指令,即需要将子查询指令对应的查询结果与父查询指令对应的查询结果进行关联操作。
具体的,在根据信息查询指令查找目标用户行为数据时,可以通过预先设置的搜索引擎,根据父查询指令和子查询指令在预设数据库中分别进行数据检索,以获取各自对应的搜索结果作为目标用户行为数据。
值的注意的是,父查询指令和子查询指令中还可以包括多个独立查询指令,各独立查询指令之间可以通过预设管道符进行分割。典型的,预设管道符可以是“|”字符。对于相邻的多个独立查询指令,上一个独立查询指令的查询结果是下一个独立查询指令的输入,最后一个独立查询指令的输出为该信息查询指令的最终查询结果。
在本实施例中,用户只需按照指令格式编写对应的信息查询指令,即可实现对用户行为数据的查找,从而无需具有相应的结构化数据库操作能力,可以降低用户行为分析的门槛,且可以提升用户行为数据的查找效率,从而可以提升用户行为分析的实时性。此外,通过采用不同的预设字符,可以实现对应不同的数据分析操作,可以实现对复杂用户行为的高效分析。
S120、根据所述目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。
具体的,在获取到目标用户行为数据之后,可以将该目标用户行为数据与历史用户行为数据进行比对分析,或者可以将父查询指令对应的查询结果与子查询指令对应的查询结果进行比对分析。之后,可以根据比对分析结果判断目标用户行为数据中是否存在异常的数据部分(例如,首次访问的IP地址或者对企业机密文件的访问记录),从而判断该目标用户是否存在异常行为。进一步的,还可以在信息查询页面中,采用设定的格式(例如,表格格式)对比对分析结果进行可视化展示。
在一个具体的例子中,信息查询指令为“name:zhangsan AND appname:som|statscount()as cn by name,timestamp,ip,hostname,cn”,即需要从堡垒机审计日志中查询用户“zhangsan”登陆过的设备信息,对应的目标用户行为数据可以如图1C所示。通过图1C可知,“zhangsan”曾在2021年1月3日的21点40分访问了一台设备,而该时间超出了正常工作时间范围,故可知用户“zhangsan”存在工作时间异常的行为。此外,还可以进一步判断用户“zhangsan”是否具有该访问设备的访问权限,以判断用户是否存在用户权限异常的行为。
本发明实施例提供的技术方案,当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据信息查询指令,从预设数据库中查找得到目标用户对应的目标用户行为数据;根据目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示,通过采用包括父查询指令和子查询指令的信息查询指令进行用户行为数据的查询和分析,可以实现对复杂用户行为的高效分析,可以提升用户行为分析的实时性。
在本实施例的一个可选的实施方式中,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据,可以包括:
基于所述预设字符对所述信息查询指令进行划分,以获取父查询指令和子查询指令;根据所述父查询指令,从预设数据库中查找得到所述目标用户对应的第一行为数据,并根据所述子查询指令,从预设数据库中查找得到所述目标用户对应的第二行为数据;
具体的,首先在信息查询指令中进行预设字符检测,当成功检测到预设字符时,以预设字符为划分界限,将其左侧的信息查询指令部分作为父查询指令,并将剩余部分作为子查询指令。之后,通过预先设置的搜索引擎分别根据父查询指令和子查询指令进行搜索,以从预设数据库中获取该目标用户对应的第一行为数据和第二行为数据。
对应的,根据所述目标用户行为数据对所述目标用户进行用户行为分析,可以包括:根据所述目标用户对应的第一行为数据和第二行为数据对所述目标用户进行用户行为分析。
具体的,在获取到第一行为数据和第二行为数据之后,可以对第一行为数据和第二行为数据进行比对分析,或者可以对第一行为数据和第二行为数据进行关联分析,以实现对目标用户的用户行为分析。
可选的,在对目标用户进行用户行为分析之后,当根据用户行为分析结果确定该目标用户存在行为偏离、违规行为或者罕见行为等用户异常行为时,可以进一步根据目标用户对应的用户异常行为,判断目标用户是否存在越权行为或离职倾向。若确定目标用户存在越权行为或离职倾向,则可以生成目标用户对应的告警提示信息。
在本实施例的另一个可选的实施方式中,根据所述子查询指令,从预设数据库中查找得到所述目标用户对应的第二行为数据,可以包括:根据预设管道符对所述子查询指令进行划分,以获取所述子查询指令对应的至少一个独立查询指令;对各所述独立查询指令分别进行语法解析,以获取各所述独立查询指令对应的抽象语法树;根据各所述独立查询指令对应的抽象语法树,获取所述子查询指令对应的指令配置列表,并根据所述子查询指令对应的指令配置列表,获取所述子查询指令对应的数据执行管道;执行所述数据执行管道,从预设数据库中查找得到所述目标用户对应的第二行为数据。
在本实施例中,在根据子查询指令查找目标用户对应的第二行为数据时,首先,采用预设管道符“|”将子查询指令分割为多个独立查询指令;然后,逐个对独立查询指令进行语法解析,以将每个独立查询指令解析成抽象语法树。之后,对每个独立查询指令对应的抽象语法树进行抽取,以转换为指令配置列表。
其中,指令配置列表可以包括每个独立查询指令的所需资源和对于的资源权限。故对指令配置列表进行校验,并进行对所需资源的准备和对应资源权限的校验,以将指令配置列表转换为链式的数据执行管道,以等待执行。最终,执行子查询指令的数据执行管道,以从预设数据库中查找得到目标用户对应的第二行为数据。其中,数据执行管道可以包括多个查询指令。
在本实施例的一个具体的实施方式中,用户行为分析方法的流程可以如图1D所示。首先,安全人员在信息查询页面(例如,web页面)中输入针对目标用户的信息查询指令,之后,查询指令解释器对信息查询指令进行翻译,以将信息查询指令转换为搜索引擎可以识别的格式,并将翻译后的信息查询指令传递给搜索引擎。然后,由搜索引擎根据接收的翻译后的信息查询指令,在预设数据库中进行信息查询和计算,并将查询结果返回至信息查询页面进行展示。其中,搜索引擎可以包括Beaver或者Elastic Search,查询结果可以是二维表格格式,也可以是单值格式。
值得注意的是,在上述过程中,同时通过信息收集器进行用户行为数据采集,并将采集的用户行为数据发送至消息缓冲器。消息缓冲器可以对接收的用户行为数据进行标准化处理,并将标准化处理后的用户行为数据进一步发送至搜索引擎对应的预设数据库进行存储。
实施例二
图2A为本发明实施例二提供的一种用户行为分析方法的流程图,本实施例是对上述技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施方式结合。具体的,参考图2A,该方法具体包括如下步骤:
S210、当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,基于所述预设字符对所述信息查询指令进行划分,以获取父查询指令和子查询指令。
S220、根据所述父查询指令,从预设数据库中查找得到所述目标用户对应的第一行为数据,并根据所述子查询指令,从预设数据库中查找得到所述目标用户对应的第二行为数据。
S230、当所述预设字符为预设追加指令字符时,根据所述目标用户对应的第一行为数据,获取所述目标用户对应的个人行为特征,并根据所述目标用户对应的第二行为数据,获取所述目标用户对应的标准行为特征。
在本实施例中,当预设字符为预设追加指令字符时,表示当前的子查询指令的指令类型为追加指令。在获取到第一行为数据和第二行为数据之后,可以基于预设行为特征项(例如,访问IP地址、文件访问记录等)分别对第一行为数据和第二行为数据进行特征提取,以获取目标用户对应的个人行为特征和标准行为特征。在本实施例中,对预设行为特征项的类型和数量不作具体限定。
其中,个人行为特征,可以是目标用户当前的行为数据所对应的行为特征;标准行为特征,可以是目标用户的历史行为数据所对应的行为特征,或者可以是目标用户所在部门的其他用户的行为数据所对应的行为特征。
在一个具体的例子中,当预设字符为预设追加指令字符时,目标用户行为数据的获取流程可以如图2B所示。具体的,首先,基于预设追加指令字符“append”对信息查询指令进行拆分,以获取作为主查询的父查询指令“name:zhangsan AND appname:som|statscount()as cn by name,ip,hostname,cn”,以及作为子管道的子查询指令“|append[[department:dev_center AND appname:som|stats count()as cn by name,ip,hostname,cn]]”。
然后,根据父查询指令进行Query(查询),以获取目标用户在堡垒机中的访问记录。同时,通过搜索引擎执行子查询指令,以获取目标用户所在部门的其他用户在堡垒机中的访问记录。最终将子查询指令对应的查询结果追加在父查询指令对应的查询结果后方,以获取目标用户对应的目标用户行为数据。
S240、根据所述目标用户对应的个人行为特征和标准行为特征,判断所述目标用户是否与至少一个预设安全事件成功匹配。
具体的,可以将个人行为特征与标准行为特征进行比对分析,当检测到某一个个人行为特征与任何一个标准行为特征均不匹配时,可以根据预先建立的异常行为特征与预设安全事件之间的映射关系,判断所检测个人行为特征是否存在匹配的预设安全事件。具体的,可以将所检测个人行为特征与每个异常行为特征分别进行匹配,若检测到所检测个人行为特征与某一个异常行为特征成功匹配时,则可以将所检测异常行为特征对应的预设安全事件,确定为目标用户匹配的预设安全事件。
其中,预设安全事件可以包括文件访问异常、上网行为异常、邮件内容异常、工作时间异常、打印数量异常和通用串行总线设备拷贝异常中的至少一项。其中,文件访问异常可以包括文件访问频率异常、文件访问权限异常等。上网行为异常,表示用户访问的IP地址存在异常,例如,IP地址属于招聘网站。邮件内容异常,表示用户发送的邮件内容中包括敏感词或者预设关键词(例如,招聘)。工作时间异常,表示用户的工作时间不在正常工作时间范围内。打印数量异常,表示用户的文件打印数量超出了正常打印数量范围。通用串行总线(Universal Serial Bus,USB)设备拷贝异常,表示无拷贝权限的用户存在使用USB设备拷贝文件的情况。在本实施例中,对预设安全事件的类型和数量不作具体限定。
在本实施例中,可以预先建立预设安全事件与异常行为特征之间的映射关系,例如,对于上网行为异常,其对应的异常行为特征可以是访问IP地址异常;对于文件访问异常,其对应的异常行为特征可以是文件访问权限异常。
在一个具体的例子中,父查询指令可以是针对目标用户的设备登录信息的查询指令,子查询指令可以是针对目标用户所在部门的设备登录信息的查询指令,则信息查询指令可以为“name:zhangsan AND appname:som|stats count()as cn by name,ip,hostname,cn|append[[department:dev_center AND appname:som|stats count()as cnby name,ip,hostname,cn]]”。在获取到第一行为数据和第二行为数据后,将第二行为数据添加至第一行为数据的后边,并采用表格形式对第一行为数据和第二行为数据进行展示,可以获取如图2C所示的查询结果。其中,属于“zhangsan”的数据为父查询指令对应的第一行为数据,其他数据均为子查询指令对应的第二行为数据。
之后,以IP地址和hostname(主机名称)为预设特征项,分别对各第一行为数据和第二行为数据进行特征提取,以获取各个人行为特征和标准行为特征。通过对个人行为特征和标准行为特征进行比对分析,可以发现“ip:172.16.2.10”和“hostname:UnionPay-1”存在异常(不在部门的设备登录信息范围内)。
进一步的,可以通过信息查询指令“name:zhangsan AND ip:172.16.2.10ANDpassword”,获取目标用户访问该ip的日志数据为“Jan 3 21:40:03UnionPay-1sshd[15992]:Failed password for upay from 192.168.201.7port 49237 ssh2”。通过分析该日志数据,可以确定为运维账户的登录失败操作。之后,可以查找目标用户所属部门对应的权限数据,并判断该权限数据是否包括对该运维账户的使用权限。若确定权限数据不包括对该运维账户的使用权限,则可以确定目标用户存在上网行为异常。
上述设置的好处在于,通过添加追加指令,可以实现对个人行为特征与群体行为特征之间的比对分析,可以有效发现员工的偏离行为和违规行为,可以提升对用户的行为分析的效率和准确度,可以降低用户行为异常的误报概率。
S250、若确定所述目标用户与至少一个预设安全事件成功匹配,则根据所述目标用户成功匹配的各预设安全事件,获取所述目标用户对应的异常行为类型。
其中,异常行为类型可以包括行为越权和离职倾向。在本实施例中,可以预先建立异常行为类型与预设安全事件之间的关联关系,例如,行为越权可以与文件访问异常和USB设备拷贝异常关联。因此,在确定目标用户匹配的预设安全事件之后,可以根据异常行为类型与预设安全事件之间的关联关系,确定目标用户当前对应的异常行为类型。
S260、对用户行为分析结果进行可视化展示。
本发明实施例提供的技术方案,当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,基于预设字符对信息查询指令进行划分,以获取父查询指令和子查询指令,分别根据父查询指令和子查询指令,从预设数据库中查找得到目标用户对应的第一行为数据和第二行为数据;当预设字符为预设追加指令字符时,根据第一行为数据,获取目标用户对应的个人行为特征,并根据第二行为数据,获取目标用户对应的标准行为特征;当根据个人行为特征和标准行为特征,确定目标用户与多个预设安全事件成功匹配时,根据各预设安全事件,获取目标用户对应的异常行为类型;通过在预设字符为预设追加指令字符时,对个人行为特征和标准行为特征进行比对分析,可以提升对用户的行为分析准确度,可以降低用户行为异常的误判概率;此外,采用信息查询指令的形式进行用户行为分析,可以提升用户行为分析的实时性。
在本实施例的一个可选的实施方式中,在确定所述目标用户与至少一个预设安全事件成功匹配之后,还可以包括:根据所述目标用户成功匹配的各预设安全事件,以及各预设安全事件对应的预设安全权重,获取所述目标用户对应的安全评分;当检测到所述目标用户对应的安全评分小于或者等于预设安全评分阈值时,根据所述目标用户对应的第一行为数据、第二行为数据和安全评分,生成所述目标用户对应的安全告警信息。
在本实施例中,可以根据各预设安全事件可能造成的损失程度,预先为其设置对应的安全权重,例如,对于文件访问异常,由于其可能导致核心数据泄露,故可以为其设置较高的安全权重。因此,在确定目标用户匹配的预设安全事件之后,可以将各预设安全事件对应的预设安全权重进行相加,以获取目标用户对应的总安全权重。然后,可以采用预设总安全评分(例如,100)乘以该总安全权重,以获取总安全扣分,进而可以采用预设总安全评分减去该总安全扣分,以获取目标用户对应的安全评分。
进一步的,可以判断目标用户对应的安全评分是否小于或者等于预先设置的安全评分阈值,若是,则可以确定目标用户的行为存在较高风险。此时可以基于第一行为数据、第二行为数据和安全评分生成对应的安全告警信息提供给安全人员。具体的,可以先获取安全告警信息的预设模板,并将第一行为数据、第二行为数据和安全评分填充至预设模板的对应位置,以获取目标用户对应的安全告警信息。
上述设置的好处在于,可以对目标用户的行为安全性进行量化评价,从而可以实现对用户行为分析结果更加直观的展示,此外,通过及时给出安全告警信息,可以避免造成更大的企业损失。
实施例三
图3A为本发明实施例三提供的一种用户行为分析方法的流程图,本实施例是对上述技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施方式结合。具体的,参考图3A,该方法具体包括如下步骤:
S310、当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,基于所述预设字符对所述信息查询指令进行划分,以获取父查询指令和子查询指令。
S320、根据所述父查询指令,从预设数据库中查找得到所述目标用户对应的第一行为数据,并根据所述子查询指令,从预设数据库中查找得到所述目标用户对应的第二行为数据。
S330、当所述预设字符为预设关联指令字符时,对所述目标用户对应的第一行为数据和第二行为数据进行关联分析,以获取所述目标用户对应的关联行为数据。
其中,当预设字符为预设关联指令字符时,表示当前的子查询指令的指令类型为关联指令。此时,在获取到父查询指令对应的第一行为数据,以及子查询指令对应的第二行为数据之后,需要进一步对第一行为数据和第二行为数据进行关联分析,以获取关联行为数据。
可选的,对第一行为数据和第二行为数据进行关联分析,可以包括:分别建立第一行为数据和第二行为数据对应的哈希索引;然后,对两个哈希索引的索引列进行匹配检测,以获取匹配的第一行为数据和第二行为数据,并将匹配的第一行为数据和第二行为数据合并为一个关联行为数据。
在一个具体的例子中,关联行为数据的获取流程可以如图3B所示。具体的,首先,基于预设关联指令字符“join”对信息查询指令进行拆分,以获取作为主体的父查询指令“name:zhangsan AND appname:em_info table name,id,laptop_ip”和作为子管道的子查询指令“|join type=left laptop_ip[[appname:edr|stats count()by laptop_ip,id,access_file]]”。之后,根据子查询指令,获取EDR终端防护中目标用户的文件访问日志,并建立该文件访问日志对应的哈希索引。同时,根据父查询指令进行Query查询,并对Query查询结果进行统计以生成查询结果列表。对子查询指令对应的哈希索引和父查询指令对应的查询结果列表进行关联分析,以获取最终的关联行为数据。例如,“103,A3”与“103,B3”成功关联,则可以生成对应的关联行为数据为“103,A3,B3”。
在本实施例中,通过上述父查询指令和子查询指令,可以获取“zhangsan”这个ID(identification,身份标识)通过“laptop_ip”这个ip地址对EDR文件的访问记录。进一步的,通过与历史数据或者所属部门的EDR文件访问情况进行比对,可以判断用户的文件访问行为是否存在异常,可以实现对用户行为的准确分析。
S340、根据所述目标用户对应的关联行为数据,获取所述目标用户对应的关联行为特征,并从预设数据库中获取所述目标用户对应的历史行为特征。
其中,历史行为特征,可以是从历史行为数据中提取的行为特征。在本实施例中,在采集到用户行为数据之后,若根据用户行为数据检测到用户不存在异常行为,此时可以提取该用户行为数据对应的行为特征,以作为历史行为特征存储至预设数据库。或者,可以根据用户对应的行为权限设置对应的正常行为特征,以作为历史行为特征存储至预设数据库。
因此,在获取到目标用户对应的关联行为数据之后,可以首先根据预设特征项对关联行为数据进行特征提取,以获取关联行为特征;然后,可以对关联行为特征和历史行为特征进行比对分析,以判断目标用户是否存在异常行为。
S350、根据所述目标用户对应的关联行为特征和历史行为特征,判断所述目标用户是否与至少一个预设安全事件成功匹配。
具体的,采用关联行为特征与历史行为特征进行比对分析,以判断关联行为特征中是否存在与历史行为特征均不匹配的异常行为特征。若确定存在异常行为特征,则根据异常行为特征和预设安全事件之间的映射关系,确定目标用户匹配的预设安全事件。
S360、若确定所述目标用户与至少一个预设安全事件成功匹配,则根据所述目标用户成功匹配的各预设安全事件,获取所述目标用户对应的异常行为类型。
S370、对用户行为分析结果进行可视化展示。
本发明实施例提供的技术方案,通过当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,基于预设字符对信息查询指令进行划分,以获取父查询指令和子查询指令,分别根据父查询指令和子查询指令,从预设数据库中查找得到目标用户对应的第一行为数据和第二行为数据;当预设字符为预设关联指令字符时,对第一行为数据和第二行为数据进行关联分析,以获取关联行为数据;之后根据关联行为数据获取关联行为特征,并从预设数据库中获取目标用户对应的历史行为特征;当根据关联行为特征和历史行为特征,确定目标用户与多个预设安全事件成功匹配时,根据各预设安全事件,获取目标用户对应的异常行为类型;通过在预设字符为预设关联指令字符时,对父查询指令和子查询指令对应的查询结果进行关联分析,可以实现对不同数据源的用户行为数据的整合,从而可以实现对全面的用户行为数据的高效获取,可以提升用户行为数据的获取效率,从而可以提升对用户的行为分析效率。
可选的,在本实施例中,可以通过采用多个信息查询指令,以对目标用户进行不同类型的预设安全事件判断,并根据对预设安全事件的判断结果,确定目标用户对应的异常行为类型。
在一个具体的例子中,异常行为类型的确定流程可以如图3C所示。首先,获取企业中所有用户的用户信息。之后,根据获取的目标用户“guofang”的用户信息编写一个信息查询指令,通过该信息查询指令中的父查询指令,获取目标用户本周对堡垒机中图纸服务器的文件访问记录;并通过该信息查询指令的子查询指令,获取目标用户所属部门的其他用户上月对堡垒机中图纸服务器的文件访问记录。通过对上述文件访问记录进行比对分析,检测到目标用户本周访问两次“XXX合同”文件,而其所属部门的其他用户上月无该文件的文件访问记录。由此,可以确定目标用户存在文件访问异常。
此时,可以编写另一个信息查询指令,以通过该信息查询指令的父查询指令,获取目标用户访问“XXX合同”文件的日志数据,并通过该信息查询指令的子查询指令,获取目标用户与该“XXX合同”文件对应的用户权限。之后,对日志数据进行解析,获取目标用户对该文件执行的操作为USB设备拷贝,且拷贝失败后未做后续处理。此外,通过对用户权限进行分析,检测到目标用户无该文件的USB设备拷贝权限。由此,可以确定目标用户存在用户权限异常。综上,根据目标用户匹配的文件访问异常和用户权限异常,可以确定目标用户对应的异常行为类型为行为越权。
上述设置的好处在于,通过采用多个信息查询指令对用户行为进行多维度分析,可以提升对异常行为类型的判断准确度,从而可以提升对用户异常行为的处置效率。
在本实施例的一个具体的实施方式中,用户行为分析方法的流程可以如图3D所示。具体的,首先,从数据源中采集用户行为数据;其中,用户行为数据可以包括员工信息数据、权限数据、安全设备数据、漏洞威胁数据、资产数据、中间件数据、路由交换数据、主机系统数据以及数据库数据;数据采集方法可以包括但不限于Agent采集、Syslog函数采集、脚本采集、API(Application Programming Interface,应用程序接口)采集、数据库采集、Excel采集、Kafka系统采集以及SNMP(Simple Network Management Protocol,简单网络管理协议)采集。
之后,对采集的用户行为数据进行标准化处理,并将标准化处理后的用户行为数据存储至搜索引擎的数据库。当接收到信息查询指令时,根据信息查询指令,从搜索引擎的数据库中获取匹配的用户行为数据,并对用户行为数据进行分析加工。进一步的,可以对用户行为数据的分析加工结果进行可视化展示。此外,当根据用户行为数据的分析加工结果确定用户存在异常行为时,可以生成相应的告警提示信息,以使安全人员可以根据告警提示信息进行应急处置;或者,可以按照预设应急处理规则自动进行应急处置,例如,收回存在异常行为的用户的所有权限。
需要说明的是,本实施例的技术方案中,所涉及的用户个人信息的获取、存储和应用等,均符合相关法律法规的规定,且不违背公序良俗。
实施例四
图4为本发明实施例四提供的一种用户行为分析装置的结构示意图。如图4所示,该装置包括:目标用户行为数据查找模块410和用户行为分析模块420。其中,
目标用户行为数据查找模块410,用于当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据;
其中,所述信息查询指令包括父查询指令和子查询指令,所述父查询指令包括用户标识字符,所述子查询指令包括预设字符,预设字符包括预设追加指令字符或预设关联指令字符;
用户行为分析模块420,用于根据所述目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。
本发明实施例提供的技术方案,当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据信息查询指令,从预设数据库中查找得到目标用户对应的目标用户行为数据;根据目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示,通过采用包括父查询指令和子查询指令的信息查询指令进行用户行为数据的查询和分析,可以实现对复杂用户行为的高效分析,可以提升用户行为分析的实时性。
可选的,在上述技术方案的基础上,目标用户行为数据查找模块410,包括:
指令划分单元,用于基于所述预设字符对所述信息查询指令进行划分,以获取父查询指令和子查询指令;
行为数据获取单元,用于根据所述父查询指令,从预设数据库中查找得到所述目标用户对应的第一行为数据,并根据所述子查询指令,从预设数据库中查找得到所述目标用户对应的第二行为数据;
用户行为分析模块420,具体用于根据所述目标用户对应的第一行为数据和第二行为数据对所述目标用户进行用户行为分析。
可选的,在上述技术方案的基础上,行为数据获取单元,包括:
独立查询指令获取子单元,用于根据预设管道符对所述子查询指令进行划分,以获取所述子查询指令对应的至少一个独立查询指令;
抽象语法树获取子单元,用于对各所述独立查询指令分别进行语法解析,以获取各所述独立查询指令对应的抽象语法树;
数据执行管道获取子单元,用于根据各所述独立查询指令对应的抽象语法树,获取所述子查询指令对应的指令配置列表,并根据所述子查询指令对应的指令配置列表,获取所述子查询指令对应的数据执行管道;
第二行为数据获取子单元,用于执行所述数据执行管道,从预设数据库中查找得到所述目标用户对应的第二行为数据。
可选的,在上述技术方案的基础上,用户行为分析模块420,包括:
第一行为特征获取单元,用于当所述预设字符为预设追加指令字符时,根据所述目标用户对应的第一行为数据,获取所述目标用户对应的个人行为特征,并根据所述目标用户对应的第二行为数据,获取所述目标用户对应的标准行为特征;
匹配判断单元,用于根据所述目标用户对应的个人行为特征和标准行为特征,判断所述目标用户是否与至少一个预设安全事件成功匹配;
异常行为类型获取单元,用于若确定所述目标用户与至少一个预设安全事件成功匹配,则根据所述目标用户成功匹配的各预设安全事件,获取所述目标用户对应的异常行为类型。
可选的,在上述技术方案的基础上,用户行为分析模块420,包括:
关联行为数据获取单元,用于当所述预设字符为预设关联指令字符时,对所述目标用户对应的第一行为数据和第二行为数据进行关联分析,以获取所述目标用户对应的关联行为数据;
第二行为特征获取单元,用于根据所述目标用户对应的关联行为数据,获取所述目标用户对应的关联行为特征,并从预设数据库中获取所述目标用户对应的历史行为特征;
匹配判断单元,还用于根据所述目标用户对应的关联行为特征和历史行为特征,判断所述目标用户是否与至少一个预设安全事件成功匹配;
异常行为类型获取单元,还用于若确定所述目标用户与至少一个预设安全事件成功匹配,则根据所述目标用户成功匹配的各预设安全事件,获取所述目标用户对应的异常行为类型。
可选的,在上述技术方案的基础上,用户行为分析模块420,还包括:
安全评分获取单元,用于根据所述目标用户成功匹配的各预设安全事件,以及各预设安全事件对应的预设安全权重,获取所述目标用户对应的安全评分;
安全告警信息生成单元,用于当检测到所述目标用户对应的安全评分小于或者等于预设安全评分阈值时,根据所述目标用户对应的第一行为数据、第二行为数据和安全评分,生成所述目标用户对应的安全告警信息。
可选的,在上述技术方案的基础上,所述预设安全事件包括文件访问异常、上网行为异常、邮件内容异常、工作时间异常、打印数量异常和通用串行总线设备拷贝异常中的至少一项。
上述装置可执行本发明前述实施例所提供的用户行为分析方法,具备执行上述方法相应的功能模块和有益效果。未在本发明实施例中详尽描述的技术细节,可参见本发明前述实施例所提供的用户行为分析方法。
实施例五
图5为本发明实施例五提供的一种电子设备的结构示意图,如图5所示,该电子设备包括处理器510、存储器520、输入装置530和输出装置540;电子设备中处理器510的数量可以是一个或多个,图5中以一个处理器510为例;电子设备中的处理器510、存储器520、输入装置530和输出装置540可以通过总线或其他方式连接,图5中以通过总线连接为例。存储器520作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明任意实施例中的一种用户行为分析方法对应的程序指令/模块(例如,一种用户行为分析装置中的目标用户行为数据查找模块410和用户行为分析模块420)。处理器510通过运行存储在存储器520中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述的一种用户行为分析方法。也即,该程序被处理器执行时实现:
当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据;
其中,所述信息查询指令包括父查询指令和子查询指令,所述父查询指令包括用户标识字符,所述子查询指令包括预设字符,预设字符包括预设追加指令字符或预设关联指令字符;
根据所述目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。
存储器520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器520可进一步包括相对于处理器510远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置530可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入,可以包括键盘和鼠标等。输出装置540可包括显示屏等显示设备。
可选的,该电子设备可以为服务器,服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(Content Delivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
实施例六
本发明实施例六还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本发明任意实施例所述方法。当然,本发明实施例所提供的一种计算机可读存储介质,其可以执行本发明任意实施例所提供的一种用户行为分析方法中的相关操作。也即,该程序被处理器执行时实现:
当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据;
其中,所述信息查询指令包括父查询指令和子查询指令,所述父查询指令包括用户标识字符,所述子查询指令包括预设字符,预设字符包括预设追加指令字符或预设关联指令字符;
根据所述目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。
通过以上关于实施方式的描述,所属领域的技术用户可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述用户行为分析装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术用户会理解,本发明不限于这里所述的特定实施例,对本领域技术用户来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种用户行为分析方法,其特征在于,包括:
当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据;
其中,所述信息查询指令包括父查询指令和子查询指令,所述父查询指令包括用户标识字符,所述子查询指令包括预设字符,预设字符包括预设追加指令字符或预设关联指令字符;
根据所述目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。
2.根据权利要求1所述的方法,其特征在于,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据,包括:
基于所述预设字符对所述信息查询指令进行划分,以获取父查询指令和子查询指令;
根据所述父查询指令,从预设数据库中查找得到所述目标用户对应的第一行为数据,并根据所述子查询指令,从预设数据库中查找得到所述目标用户对应的第二行为数据;
根据所述目标用户行为数据对所述目标用户进行用户行为分析,包括:
根据所述目标用户对应的第一行为数据和第二行为数据对所述目标用户进行用户行为分析。
3.根据权利要求2所述的方法,其特征在于,根据所述子查询指令,从预设数据库中查找得到所述目标用户对应的第二行为数据,包括:
根据预设管道符对所述子查询指令进行划分,以获取所述子查询指令对应的至少一个独立查询指令;
对各所述独立查询指令分别进行语法解析,以获取各所述独立查询指令对应的抽象语法树;
根据各所述独立查询指令对应的抽象语法树,获取所述子查询指令对应的指令配置列表,并根据所述子查询指令对应的指令配置列表,获取所述子查询指令对应的数据执行管道;
执行所述数据执行管道,从预设数据库中查找得到所述目标用户对应的第二行为数据。
4.根据权利要求2所述的方法,其特征在于,根据所述目标用户对应的第一行为数据和第二行为数据对所述目标用户进行用户行为分析,包括:
当所述预设字符为预设追加指令字符时,根据所述目标用户对应的第一行为数据,获取所述目标用户对应的个人行为特征,并根据所述目标用户对应的第二行为数据,获取所述目标用户对应的标准行为特征;
根据所述目标用户对应的个人行为特征和标准行为特征,判断所述目标用户是否与至少一个预设安全事件成功匹配;
若确定所述目标用户与至少一个预设安全事件成功匹配,则根据所述目标用户成功匹配的各预设安全事件,获取所述目标用户对应的异常行为类型。
5.根据权利要求2所述的方法,其特征在于,根据所述目标用户对应的第一行为数据和第二行为数据对所述目标用户进行用户行为分析,包括:
当所述预设字符为预设关联指令字符时,对所述目标用户对应的第一行为数据和第二行为数据进行关联分析,以获取所述目标用户对应的关联行为数据;
根据所述目标用户对应的关联行为数据,获取所述目标用户对应的关联行为特征,并从预设数据库中获取所述目标用户对应的历史行为特征;
根据所述目标用户对应的关联行为特征和历史行为特征,判断所述目标用户是否与至少一个预设安全事件成功匹配;
若确定所述目标用户与至少一个预设安全事件成功匹配,则根据所述目标用户成功匹配的各预设安全事件,获取所述目标用户对应的异常行为类型。
6.根据权利要求4或5所述的方法,其特征在于,在确定所述目标用户与至少一个预设安全事件成功匹配之后,还包括:
根据所述目标用户成功匹配的各预设安全事件,以及各预设安全事件对应的预设安全权重,获取所述目标用户对应的安全评分;
当检测到所述目标用户对应的安全评分小于或者等于预设安全评分阈值时,根据所述目标用户对应的第一行为数据、第二行为数据和安全评分,生成所述目标用户对应的安全告警信息。
7.根据权利要求4或5所述的方法,其特征在于,所述预设安全事件包括文件访问异常、上网行为异常、邮件内容异常、工作时间异常、打印数量异常和通用串行总线设备拷贝异常中的至少一项。
8.一种用户行为分析装置,其特征在于,包括:
目标用户行为数据查找模块,用于当检测到在信息查询页面中输入的针对目标用户的信息查询指令时,根据所述信息查询指令,从预设数据库中查找得到所述目标用户对应的目标用户行为数据;
其中,所述信息查询指令包括父查询指令和子查询指令,所述父查询指令包括用户标识字符,所述子查询指令包括预设字符,预设字符包括预设追加指令字符或预设关联指令字符;
用户行为分析模块,用于根据所述目标用户行为数据对所述目标用户进行用户行为分析,并对用户行为分析结果进行可视化展示。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个计算机程序;
当所述一个或多个计算机程序被所述一个或多个处理器执行,使得所述一个或多个处理器执行所述计算机程序时实现如权利要求1-7中任一所述的用户行为分析方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1-7中任一所述的用户行为分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210412594.1A CN114969450B (zh) | 2022-04-19 | 2022-04-19 | 一种用户行为分析方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210412594.1A CN114969450B (zh) | 2022-04-19 | 2022-04-19 | 一种用户行为分析方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114969450A true CN114969450A (zh) | 2022-08-30 |
| CN114969450B CN114969450B (zh) | 2023-06-27 |
Family
ID=82976886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210412594.1A Active CN114969450B (zh) | 2022-04-19 | 2022-04-19 | 一种用户行为分析方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114969450B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116431366A (zh) * | 2023-06-07 | 2023-07-14 | 北京集度科技有限公司 | 行为路径分析方法、系统、存储端、服务端及客户端 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017107457A1 (zh) * | 2015-12-25 | 2017-06-29 | 乐视控股(北京)有限公司 | 查询推荐方法及装置 |
| CN108427758A (zh) * | 2018-03-19 | 2018-08-21 | 深信服科技股份有限公司 | 一种离职倾向分析方法、装置、设备及存储介质 |
| CN108446289A (zh) * | 2017-09-26 | 2018-08-24 | 北京中安智达科技有限公司 | 一种支持异构数据库的数据检索方法 |
| CN109508825A (zh) * | 2018-11-12 | 2019-03-22 | 平安科技(深圳)有限公司 | 员工行为风险预警方法及相关装置 |
| CN109687991A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 用户行为识别方法、装置、设备及存储介质 |
| CN113360521A (zh) * | 2021-07-08 | 2021-09-07 | 北京优特捷信息技术有限公司 | 日志查询方法、装置、设备及存储介质 |
| WO2021184572A1 (zh) * | 2020-03-20 | 2021-09-23 | 平安国际智慧城市科技股份有限公司 | 查询方法、装置、计算机设备和存储介质 |
-
2022
- 2022-04-19 CN CN202210412594.1A patent/CN114969450B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017107457A1 (zh) * | 2015-12-25 | 2017-06-29 | 乐视控股(北京)有限公司 | 查询推荐方法及装置 |
| CN108446289A (zh) * | 2017-09-26 | 2018-08-24 | 北京中安智达科技有限公司 | 一种支持异构数据库的数据检索方法 |
| CN108427758A (zh) * | 2018-03-19 | 2018-08-21 | 深信服科技股份有限公司 | 一种离职倾向分析方法、装置、设备及存储介质 |
| CN109687991A (zh) * | 2018-09-07 | 2019-04-26 | 平安科技(深圳)有限公司 | 用户行为识别方法、装置、设备及存储介质 |
| CN109508825A (zh) * | 2018-11-12 | 2019-03-22 | 平安科技(深圳)有限公司 | 员工行为风险预警方法及相关装置 |
| WO2021184572A1 (zh) * | 2020-03-20 | 2021-09-23 | 平安国际智慧城市科技股份有限公司 | 查询方法、装置、计算机设备和存储介质 |
| CN113360521A (zh) * | 2021-07-08 | 2021-09-07 | 北京优特捷信息技术有限公司 | 日志查询方法、装置、设备及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116431366A (zh) * | 2023-06-07 | 2023-07-14 | 北京集度科技有限公司 | 行为路径分析方法、系统、存储端、服务端及客户端 |
| CN116431366B (zh) * | 2023-06-07 | 2023-10-31 | 北京集度科技有限公司 | 行为路径分析方法、系统、存储端、服务端及客户端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114969450B (zh) | 2023-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6279113B1 (en) | Dynamic signature inspection-based network intrusion detection | |
| KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
| CN109768992B (zh) | 网页恶意扫描处理方法及装置、终端设备、可读存储介质 | |
| CN111866016B (zh) | 日志的分析方法及系统 | |
| CN112636957B (zh) | 基于日志的预警方法、装置、服务器及存储介质 | |
| CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
| CN107547490B (zh) | 一种扫描器识别方法、装置及系统 | |
| RU2722693C1 (ru) | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника | |
| CN111740868B (zh) | 告警数据的处理方法和装置及存储介质 | |
| CN111641658A (zh) | 一种请求拦截方法、装置、设备及可读存储介质 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN112131577A (zh) | 一种漏洞检测方法、装置、设备及计算机可读存储介质 | |
| CN111885210A (zh) | 一种基于最终用户环境的云计算网络监控系统 | |
| CN111767573A (zh) | 数据库安全管理方法、装置、电子设备及可读存储介质 | |
| CN111241104A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
| CN111274276A (zh) | 操作审计方法、装置及电子设备和计算机可读存储介质 | |
| CN114969450B (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
| CN108763916B (zh) | 业务接口安全评估方法及装置 | |
| CN110955890A (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
| CN109190408B (zh) | 一种数据信息的安全处理方法及系统 | |
| CN109165513B (zh) | 系统配置信息的巡检方法、装置和服务器 | |
| CN112769739A (zh) | 数据库操作违规处理方法、装置及设备 | |
| CN114760083B (zh) | 一种攻击检测文件的发布方法、装置及存储介质 | |
| CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
| CN112347066B (zh) | 日志处理方法、装置及服务器和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |