CN116756736B - 用户异常行为分析方法、装置、计算机设备及存储介质 - Google Patents

Abstract

本发明实施例公开了用户异常行为分析方法、装置、计算机设备及存储介质。所述方法包括：获取用户访问行为；根据所述用户访问行为生成用户访问链路；收集所述用户访问链路中的链路数据；采用画像生成技术将所述链路数据进行访问画像；将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度；判断所述偏离程度是否大于上限值；若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为。通过实施本发明实施例的方法可实现以一定周期范围内的用户访问行为进行汇总分析，提高异常行为识别的准确率。

Description

用户异常行为分析方法、装置、计算机设备及存储介质

技术领域

本发明涉及数据安全，更具体地说是指用户异常行为分析方法、装置、计算机设备及存储介质。

背景技术

数据安全已经成为越来越热门的话题，随着数据的体量和种类不断增加，数据安全已经成为行业企业不可忽视的重要问题。企业/组织需要围绕业务经营数据和个人敏感数据，构建自下而上、层层递进的安全运营闭环能力。打造智能化的数据安全治理能力，能够解决企业数据资产不清，应用/接口资产缺乏全生命周期动态运营管理，数据流转链路不清的痛点。还可以帮助企业识别脆弱性与数据暴露面、异常访问行为和其他安全威胁。

目前现有的用户异常行为分析技术虽然能够对基础的一些账号异常进行发现，例如账号异地登录、异常IP登录等，但技术层面仍然存在问题，传统用户异常行为分析技术基于单次单点的有限信息，可能导致大量的误报情况；对于用户的业务访问过程关联能力较弱，一般集中于单一节点的异常，并无串联关系，对于访问过程中所涉及到的应用系统、功能服务、业务行为、数据存储载体、返回数据的识别能力弱；对用户访问过程的检测水平不足，用户访问过程中涉及到的业务应用、应用服务、数据库等数据载体现有技术难以关联检测，基于某个时间或者节点的潜在访问行为进行识别发现；往往异常检测随之而来的是大量的误报告警，侧面说明检测手段精度不够，存在误差范围较大的问题；上述的问题均导致异常识别的准确率较低。

因此，有必要设计一种新的方法，实现以一定周期范围内的用户访问行为进行汇总分析，提高异常行为识别的准确率。

发明内容

本发明的目的在于克服现有技术的缺陷，提供用户异常行为分析方法、装置、计算机设备及存储介质。

为实现上述目的，本发明采用以下技术方案：用户异常行为分析方法，包括：

获取用户访问行为；

根据所述用户访问行为生成用户访问链路；

收集所述用户访问链路中的链路数据；

采用画像生成技术将所述链路数据进行访问画像；

将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度；

判断所述偏离程度是否大于上限值；

若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为。

其进一步技术方案为：所述采用画像生成技术将所述链路数据进行访问画像，包括：

设定访问周期；

将所述访问周期内的链路数据采用画像生成技术生成访问画像。

其进一步技术方案为：所述将所述访问周期内的链路数据采用画像生成技术生成访问画像，包括：

将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像，其中，维度包括访问用户账号信息、访问周期、访问时间、关联IP、登录次数或访问次数、访问应用或访问接口统计、访问应用、接口；

将所述统计图像组合形成访问画像。

其进一步技术方案为：所述将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像，包括：

以所述访问周期内的链路数据的访问时间为主作为统计图像的x轴，所述访问周期内的链路数据的访问次数、访问应用或访问接口统计作为统计图像的y轴，以散点的形式按照坐标系（x，y）的方式，将散点放入坐标系中形成统计图像。

其进一步技术方案为：所述将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度，包括：

将所述访问画像中的散点样本数据输入至异常行为分析模型中，所述异常行为分析模型采用线性回归函数根据所述散点样本数据构建线性回归函数；

通过回归分析确定访问周期内的散点样本数据距离所述线性回归函数的偏离程度。

其进一步技术方案为：所述通过回归分析确定所述访问周期内的散点样本数据距离所述线性回归函数的偏离程度，包括：

以所述访问周期内的单个散点样本数据构建平行于x轴的直线以及平行于y轴的直线，并确定平行于x轴的直线与回归函数形成的交点、平行于y轴的直线与回归函数形成的交点、以及单个散点样本数据形成直角三角形；

计算直角三角形的面积；

通过勾股定理确定直角三角形斜边长度；

以斜边为底，用直角三角形的面积除以底得到高，以得到散点样本数据距离所述线性回归函数的偏离程度。

其进一步技术方案为：所述确定所述用户访问行为是用户异常行为之后，包括：

生成所述用户访问的风险告警信息。

本发明还提供了用户异常行为分析装置，包括：

行为获取单元，用于获取用户访问行为；

链路生成单元，用于根据所述用户访问行为生成用户访问链路；

数据收集单元，用于收集所述用户访问链路中的链路数据；

画像生成单元，用于采用画像生成技术将所述链路数据进行访问画像；

偏离程度分析单元，用于将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度；

判断单元，用于判断所述偏离程度是否大于上限值；

异常确定单元，用于若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为。

本发明还提供了一种计算机设备，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述的方法。

本发明还提供了一种存储介质，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法。

本发明与现有技术相比的有益效果是：本发明通过根据用户访问行为生成用户访问链路，并收集链路数据，采用画像生成技术生成访问画像，再借助异常行为分析模型以函数建模的方式自动化甄别访问周期内的访问行为的异常情况，实现以一定周期范围内的用户访问行为进行汇总分析，提高异常行为识别的准确率。

下面结合附图和具体实施例对本发明作进一步描述。

附图说明

为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的用户异常行为分析方法的应用场景示意图；

图2为本发明实施例提供的用户异常行为分析方法的流程示意图；

图3为本发明实施例提供的用户异常行为分析方法的子流程示意图；

图4为本发明实施例提供的用户异常行为分析方法的子流程示意图；

图5为本发明实施例提供的用户异常行为分析方法的子流程示意图；

图6为本发明实施例提供的用户异常行为分析方法的子流程示意图；

图7为本发明实施例提供的用户异常行为分析方法的访问画像示意图；

图8为本发明实施例提供的用户异常行为分析方法的线性回归函数示意图；

图9为本发明实施例提供的用户异常行为分析装置的示意性框图；

图10为本发明实施例提供的用户异常行为分析装置的画像生成单元的示意性框图；

图11为本发明实施例提供的用户异常行为分析装置的访问画像生成子单元的示意性框图；

图12为本发明实施例提供的用户异常行为分析装置的偏离程度分析单元的示意性框图；

图13为本发明实施例提供的用户异常行为分析装置的回归分析子单元的示意性框图；

图14为本发明实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和 “包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

请参阅图1和图2，图1为本发明实施例提供的用户异常行为分析方法的应用场景示意图。图2为本发明实施例提供的用户异常行为分析方法的示意性流程图。该用户异常行为分析方法应用于服务器中，该服务器与终端进行数据交互，将一段时间周期内的用户访问行为进行统计分析形成基线，脱离基线的访问行为被判定为潜在的异常行为进行告警，一方面在原有的风险监测技术基础之上，结合业务访问识别风险；另一方面，不以某个业务节点进行告警，以长时间的数据统计归纳用户长期行为习惯，告警潜在的异常访问。

图2是本发明实施例提供的用户异常行为分析方法的流程示意图。如图2所示，该方法包括以下步骤S110至S190。

S110、获取用户访问行为。

在本实施例中，用户访问行为是指业务人员在应用用户端开始按照业务流程进行业务访问，业务人员访问业务系统Web页面、在页面上进行点击操作等一系列的操作构成形成的行为内容。

S120、根据所述用户访问行为生成用户访问链路。

在本实施例中，相应的用户访问行为在应用系统后台会触发对应的业务接口调用关系；在开始访问业务系统页面时，链路追踪引擎创建一个能够代表一次完整请求链路的追踪标识即链路ID。该链路ID具有全局性，并且具有唯一性；具体可参见中国专利CN202110337078.2。

当业务用户访问不同的业务模块时，每一次的业务调用，链路追踪引擎创建对应每次调用的当前节点编号，节点编号会随着调用的增加而叠加，可参见中国专利CN2022107562841；为了将每次调用与完整的链路进行关联，每一次的调用都会带上全局追踪标识链路ID，链路ID随着上下文信息进行传输，将各节点与整个链路关联串接起来；具体可参见中国专利CN202110337078.2。链路追踪引擎将完整访问链路和调用关系进行确定，具体可参见中国专利CN202110337078.2。

S130、收集所述用户访问链路中的链路数据。

在本实施例中，链路收集器的探针会部署至需要捕获链路信息的应用上；可参见中国专利CN202110344846.7。探针收集发送数据至链路收集器，链路收集器收集的每次调用的信息，可参见中国专利CN2022107562841；链路收集器对探针传输过来的链路数据进行整合分析处理后，落入相关的数据存储中，存储介质支持MySQL、H2等进行数据存储；可参见中国专利CN202110344846.7。

S140、采用画像生成技术将所述链路数据进行访问画像。

在本实施例中，访问画像是指多个统计图像组合形成的画像，其中，统计图像以所述访问周期内的链路数据的访问时间为主作为统计图像的x轴，所述访问周期内的链路数据的访问次数、访问应用或访问接口统计作为统计图像的y轴，以散点的形式按照坐标系（x，y）的方式，将散点放入坐标系中的。

在一实施例中，请参阅图3，上述的步骤S140可包括步骤S141~S142。

S141、设定访问周期。

在本实施例中，访问周期一般为7天、14天、30天，也可选定一定时间范围作为画像生成范围。

S142、将所述访问周期内的链路数据采用画像生成技术生成访问画像。

在本实施例中，画像生成方法按照选定的访问周期，将该周期内的访问链路数据进行输入，生成访问画像，以一定访问周期内的访问数据作为样本，贴近业务真实访问的规律。

在一实施例中，请参阅图4，上述的步骤S142可包括步骤S1421~S1422。

S1421、将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像，其中，维度包括访问用户账号信息、访问周期、访问时间、关联IP、登录次数或访问次数、访问应用或访问接口统计、访问应用、接口。

具体地，以所述访问周期内的链路数据的访问时间为主作为统计图像的x轴，所述访问周期内的链路数据的访问次数、访问应用或访问接口统计作为统计图像的y轴，以散点的形式按照坐标系（x，y）的方式，将散点放入坐标系中形成统计图像。

S1422、将所述统计图像组合形成访问画像。

在本实施例中，如图7所示，由一个概览页面或者后台数据不进行前端可视化的方式展示，多个统计图像的数据，以二维坐标系的方式进行组合；维度包括：访问用户账号信息、访问周期、访问时间、关联IP、登录/访问次数、访问应用/接口统计、访问应用、接口等。

S150、将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度。

在本实施例中，偏离程度是指用户访问行为对应的散点样本数据偏离线性回归函数的偏离程度。

基于用户访问行为形成的统计图像内的数据不为线性关系，即将统计图像中的每个点连线后并不为线性关系，不能用一条直线贯穿所有的点，所以每个访问样本数据在函数图像中体现为散点；将这些散点样本数据输入到异常行为分析模型中进行分析。

在一实施例中，请参阅图5，上述的步骤S150可包括步骤S151~S152。

S151、将所述访问画像中的散点样本数据输入至异常行为分析模型中，所述异常行为分析模型采用线性回归函数根据所述散点样本数据构建线性回归函数。

在本实施例中，由于无法直接得到统计图像的线性关系，需要通过函数得到一条能够从散点中穿过所有样本的直线；异常行为分析模型采用线性回归函数，将散点样本数据进行输入，通过以下步骤完成线性回归构建：

由输入的散点样本数据和访问周期，分别计算两个变量的平均值X和Y；Σxi为全部天数相加之和，Σyi为访问次数，可以为用户访问次数或者单个应用/接口的访问次数，即X=(Σxi)/n，Y=（Σyi)/n；由于访问周期一般体现为日期，计算时可量化日期为天数，即1，2，3...n天；计算两个变量△x和△y，为单个散点样本数据与平均值的差值即△，△x1=x1-X，△x2=x2-X；...；△xn=xn-X，△y1=y1-Y，△y2=y2-Y；...；△yn=yn-Y，访问周期内有多少散点样本数据就有多少个△x和△y；为了得到回归函数的斜率b=Σ△xi△yi/Σ△²xi，需要计算Σ△xi△yi=△x1*△y1+...+△xn*△yn，即每个x和y样本与平均值的差值相乘求和；计算Σ△²xi=（△x1）²+...+（△xn）²，即每个x样本与平均值差值的平方求和；由公式求出b=Σ△xi△yi / Σ△²xi，值b即为线性回归函数的斜率值；由公式算出a=Y-b*X，按照函数格式将以上步骤计算得出的值带入到公式中，即可得出线性回归函数，如图8所示。

采用线性回归的方法建模，能够以函数的方式描述访问周期内访问样本的趋势，贴近样本缩小误差。

S152、通过回归分析确定访问周期内的散点样本数据距离所述线性回归函数的偏离程度。

在一实施例中，请参阅图6，上述的步骤S152可包括步骤S1521~ S1524。

S1521、以所述访问周期内的单个散点样本数据构建平行于x轴的直线以及平行于y轴的直线，并确定平行于x轴的直线与回归函数形成的交点、平行于y轴的直线与回归函数形成的交点、以及单个散点样本数据形成直角三角形；

S1522、计算直角三角形的面积；

S1523、通过勾股定理确定直角三角形斜边长度；

S1524、以斜边为底，用直角三角形的面积除以底得到高，以得到散点样本数据距离所述线性回归函数的偏离程度。

具体地，回归函数能够最贴切于散点样本数据的趋势，将误差下降到最小，通过回归分析能够得出访问周期内每单个访问样本数据，距离回归函数的偏离程度，计算方法如下；以单个散点样本数据构建两条分别平行与x轴和y轴的直线，与回归函数形成的交点会与样本点形成一个直角三角形，首先能够通过两条直角边计算得出三角形的面积；通过勾股定理能够得到三角形斜边长度；以斜边为底，用三角形面积除以底得到的高，即为散点样本数据到回归函数的距离，理解为散点样本数据的偏离值。

分析用户行为的原理实质为分析变量间的线性关系，得利于函数可拓展性和应用范围，可在此基础之上拓展实际用途，便于长期的业务访问数据分析。

S160、判断所述偏离程度是否大于上限值；

S170、若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为。

在本实施例中，通过提前设定的合理偏离范围或者偏离百分比，能够将散点样本数据偏离值与合理偏离范围进行对比；对比偏离程度，例如设定样本合理偏离范围上限为8%，但散点样本数据的实际偏离程度为10%，则本次用户访问访问被判别为潜在异常行为。

S180、生成所述用户访问的风险告警信息。

S190、若所述偏离程度不大于上限值时，则确定所述用户访问行为不是用户异常行为。

若散点样本数据的偏离程度在设定的合理偏离区间范围内，例如设定样本合理偏离范围上限为8%，但散点样本数据的实际偏离程度为5%，则本次访问被判别为正常业务访问行为；

对于判别为潜在异常行为的用户访问行为，对其进行风险告警，提示业务人员或运营人员，以便快速响应和处置；对于判别为正常业务访问的用户访问行为，不对其做任何告警。

本实施例的方法借助于链路追踪引擎，自动化对业务人员的访问链路信息进行获取，并搭配链路收集器对访问链路构建所需的信息进行整合收集和存储，通过画像生成方法构建访问周期内的统计图像，最后采用异常行为分析模型，对离散的访问样本进行回归函数构建，回归分析后得出样本的偏离程度，与合理偏离范围对比后筛选出异常访问行为；基于链路追踪引擎的使用，便于收集分析业务人员的访问链路信息，供业务人员和安全运营人员分析业务访问异常；基于链路数据收集器的使用，为安全人员在获取访问链路所需信息时提供便利；异常行为风险监测自动化，以函数建模的方式自动化甄别时间周期内的访问行为的异常情况；基于异常行为分析方法中的函数使用，分析和预测访问行为趋势和规律。

具体地，链路追踪引擎针对用户访问行为过程中所涉及到的用户账号、调用应用/接口、数据存储载体（数据库）、访问数据进行追踪，形成一条完整的用户访问链路，明确用户访问过程中的请求调用关系。链路收集器收集用户访问链路中的数据与信息，对应用探针传输的链路数据进行拼装，落入到数据存储中。采用画像生成方法构建汇总统计图像，以可视化/图形化的方式展现用户访问链路中各要素（用户账号、调用应用/接口、数据存储载体（数据库）、访问数据）的统计情况，包括访问用户账号、访问次数、趋势、访问时间、数据访问等信息。借助异常行为分析模型基于数学函数/模型计算出一定时间周期内的访问特征基线，依据基线与群体访问行为数据形成对比范围，以某个访问行为样本对比群体访问行为，对比形成偏离程度，按照偏离基线的多少定义是否判定为用户异常行为。

现有的风险监测方法一般围绕脆弱性和暴露面，比如返回明文密码、敏感数据接口未授权访问、单次返回敏感数据类型过多、用户登录错误提示不合理等，基本上都是围绕鉴权、接口、数据类型进行风险识别和发现。然而数据安全本身是服务于业务的，脱离业务属性的数据安全难以治本，本实施例的异常行为分析不脱离应用层用户的业务访问，将一段时间周期内的用户访问行为进行统计分析形成基线，脱离基线的访问行为被判定为潜在的异常行为进行告警。一方面在原有的风险监测技术基础之上，结合业务访问识别风险；另一方面，不以某个业务节点进行告警，以长时间的数据统计归纳用户长期行为习惯，告警潜在的异常访问。

上述的用户异常行为分析方法，通过根据用户访问行为生成用户访问链路，并收集链路数据，采用画像生成技术生成访问画像，再借助异常行为分析模型以函数建模的方式自动化甄别访问周期内的访问行为的异常情况，实现以一定周期范围内的用户访问行为进行汇总分析，提高异常行为识别的准确率。

图9是本发明实施例提供的一种用户异常行为分析装置300的示意性框图。如图9所示，对应于以上用户异常行为分析方法，本发明还提供一种用户异常行为分析装置300。该用户异常行为分析装置300包括用于执行上述用户异常行为分析方法的单元，该装置可以被配置于服务器中。具体地，请参阅图9，该用户异常行为分析装置300包括行为获取单元301、链路生成单元302、数据收集单元303、画像生成单元304、偏离程度分析单元305、判断单元306、异常确定单元307以及提示单元308、正常确定单元309。

行为获取单元301，用于获取用户访问行为；链路生成单元302，用于根据所述用户访问行为生成用户访问链路；数据收集单元303，用于收集所述用户访问链路中的链路数据；画像生成单元304，用于采用画像生成技术将所述链路数据进行访问画像；偏离程度分析单元305，用于将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度；判断单元306，用于判断所述偏离程度是否大于上限值；异常确定单元307，用于若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为；提示单元308，用于生成所述用户访问的风险告警信息；正常确定单元309，用于若所述偏离程度不大于上限值时，则确定所述用户访问行为不是用户异常行为。

在一实施例中，如图10所示，所述画像生成单元304包括周期设定子单元3041以及访问画像生成子单元3042。

周期设定子单元3041，用于设定访问周期；访问画像生成子单元3042，用于将所述访问周期内的链路数据采用画像生成技术生成访问画像。

在一实施例中，如图11所示，所述访问画像生成子单元3042包括统计图像生成模块30421以及组合模块30422。

统计图像生成模块30421，用于将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像，其中，维度包括访问用户账号信息、访问周期、访问时间、关联IP、登录次数或访问次数、访问应用或访问接口统计、访问应用、接口；组合模块30422，用于将所述统计图像组合形成访问画像。

在一实施例中，所述统计图像生成模块30421，用于以所述访问周期内的链路数据的访问时间为主作为统计图像的x轴，所述访问周期内的链路数据的访问次数、访问应用或访问接口统计作为统计图像的y轴，以散点的形式按照坐标系（x，y）的方式，将散点放入坐标系中形成统计图像。

在一实施例中，如图12所示，所述偏离程度分析单元305包括函数构建子单元3051以及回归分析子单元3052。

函数构建子单元3051，用于将所述访问画像中的散点样本数据输入至异常行为分析模型中，所述异常行为分析模型采用线性回归函数根据所述散点样本数据构建线性回归函数；回归分析子单元3052，用于通过回归分析确定访问周期内的散点样本数据距离所述线性回归函数的偏离程度。

在一实施例中，如图13所示，所述回归分析子单元3052包括三角形确定模块30521、面积计算模块30522、长度确定模块30523以及高确定模块30524。

三角形确定模块30521，用于以所述访问周期内的单个散点样本数据构建平行于x轴的直线以及平行于y轴的直线，并确定平行于x轴的直线与回归函数形成的交点、平行于y轴的直线与回归函数形成的交点、以及单个散点样本数据形成直角三角形；面积计算模块30522，用于计算直角三角形的面积；长度确定模块30523，用于通过勾股定理确定直角三角形斜边长度；高确定模块30524，用于以斜边为底，用直角三角形的面积除以底得到高，以得到散点样本数据距离所述线性回归函数的偏离程度。

需要说明的是，所属领域的技术人员可以清楚地了解到，上述用户异常行为分析装置300和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。

上述用户异常行为分析装置300可以实现为一种计算机程序的形式，该计算机程序可以在如图14所示的计算机设备上运行。

请参阅图14，图14是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器，其中，服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。

参阅图14，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。

该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令，该程序指令被执行时，可使得处理器502执行一种用户异常行为分析方法。

该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。

该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种用户异常行为分析方法。

该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解，图14中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下步骤：

获取用户访问行为；根据所述用户访问行为生成用户访问链路；收集所述用户访问链路中的链路数据；采用画像生成技术将所述链路数据进行访问画像；将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度；判断所述偏离程度是否大于上限值；若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为。

在一实施例中，处理器502在实现所述采用画像生成技术将所述链路数据进行访问画像步骤时，具体实现如下步骤：

设定访问周期；将所述访问周期内的链路数据采用画像生成技术生成访问画像。

在一实施例中，处理器502在实现所述将所述访问周期内的链路数据采用画像生成技术生成访问画像步骤时，具体实现如下步骤：

将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像，其中，维度包括访问用户账号信息、访问周期、访问时间、关联IP、登录次数或访问次数、访问应用或访问接口统计、访问应用、接口；将所述统计图像组合形成访问画像。

在一实施例中，处理器502在实现所述将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像步骤时，具体实现如下步骤：

以所述访问周期内的链路数据的访问时间为主作为统计图像的x轴，所述访问周期内的链路数据的访问次数、访问应用或访问接口统计作为统计图像的y轴，以散点的形式按照坐标系（x，y）的方式，将散点放入坐标系中形成统计图像。

在一实施例中，处理器502在实现所述将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度步骤时，具体实现如下步骤：

将所述访问画像中的散点样本数据输入至异常行为分析模型中，所述异常行为分析模型采用线性回归函数根据所述散点样本数据构建线性回归函数；通过回归分析确定访问周期内的散点样本数据距离所述线性回归函数的偏离程度。

在一实施例中，处理器502在实现所述通过回归分析确定所述访问周期内的散点样本数据距离所述线性回归函数的偏离程度步骤时，具体实现如下步骤：

以所述访问周期内的单个散点样本数据构建平行于x轴的直线以及平行于y轴的直线，并确定平行于x轴的直线与回归函数形成的交点、平行于y轴的直线与回归函数形成的交点、以及单个散点样本数据形成直角三角形；计算直角三角形的面积；通过勾股定理确定直角三角形斜边长度；以斜边为底，用直角三角形的面积除以底得到高，以得到散点样本数据距离所述线性回归函数的偏离程度。

在一实施例中，处理器502在实现所述确定所述用户访问行为是用户异常行为步骤之后，还实现如下步骤：

生成所述用户访问的风险告警信息。

应当理解，在本申请实施例中，处理器502可以是中央处理单元 (CentralProcessing Unit，CPU)，该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路 (Application Specific IntegratedCircuit，ASIC)、现成可编程门阵列 (Field-Programmable Gate Array，FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令，计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。

因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中该计算机程序被处理器执行时使处理器执行如下步骤：

获取用户访问行为；根据所述用户访问行为生成用户访问链路；收集所述用户访问链路中的链路数据；采用画像生成技术将所述链路数据进行访问画像；将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度；判断所述偏离程度是否大于上限值；若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为。

在一实施例中，所述处理器在执行所述计算机程序而实现所述采用画像生成技术将所述链路数据进行访问画像步骤时，具体实现如下步骤：

设定访问周期；将所述访问周期内的链路数据采用画像生成技术生成访问画像。

在一实施例中，所述处理器在执行所述计算机程序而实现所述将所述访问周期内的链路数据采用画像生成技术生成访问画像步骤时，具体实现如下步骤：

将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像，其中，维度包括访问用户账号信息、访问周期、访问时间、关联IP、登录次数或访问次数、访问应用或访问接口统计、访问应用、接口；将所述统计图像组合形成访问画像。

在一实施例中，所述处理器在执行所述计算机程序而实现所述将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像步骤时，具体实现如下步骤：

以所述访问周期内的链路数据的访问时间为主作为统计图像的x轴，所述访问周期内的链路数据的访问次数、访问应用或访问接口统计作为统计图像的y轴，以散点的形式按照坐标系（x，y）的方式，将散点放入坐标系中形成统计图像。

在一实施例中，所述处理器在执行所述计算机程序而实现所述将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度步骤时，具体实现如下步骤：

将所述访问画像中的散点样本数据输入至异常行为分析模型中，所述异常行为分析模型采用线性回归函数根据所述散点样本数据构建线性回归函数；通过回归分析确定访问周期内的散点样本数据距离所述线性回归函数的偏离程度。

在一实施例中，所述处理器在执行所述计算机程序而实现所述通过回归分析确定所述访问周期内的散点样本数据距离所述线性回归函数的偏离程度步骤时，具体实现如下步骤：

以所述访问周期内的单个散点样本数据构建平行于x轴的直线以及平行于y轴的直线，并确定平行于x轴的直线与回归函数形成的交点、平行于y轴的直线与回归函数形成的交点、以及单个散点样本数据形成直角三角形；计算直角三角形的面积；通过勾股定理确定直角三角形斜边长度；以斜边为底，用直角三角形的面积除以底得到高，以得到散点样本数据距离所述线性回归函数的偏离程度。

在一实施例中，所述处理器在执行所述计算机程序而实现所述确定所述用户访问行为是用户异常行为步骤之后，还实现如下步骤：

生成所述用户访问的风险告警信息。

所述存储介质可以是U盘、移动硬盘、只读存储器（Read-Only Memory，ROM）、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，终端，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (7)

1.用户异常行为分析方法，其特征在于，包括：

获取用户访问行为；

根据所述用户访问行为生成用户访问链路；

收集所述用户访问链路中的链路数据；

采用画像生成技术将所述链路数据进行访问画像；

将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度；

判断所述偏离程度是否大于上限值；

若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为；

所述采用画像生成技术将所述链路数据进行访问画像，包括：

设定访问周期；

将所述访问周期内的链路数据采用画像生成技术生成访问画像；

所述将所述访问周期内的链路数据采用画像生成技术生成访问画像，包括：

将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像，其中，维度包括访问用户账号信息、访问周期、访问时间、关联IP、登录次数或访问次数、访问应用或访问接口统计、访问应用、接口；具体地，以所述访问周期内的链路数据的访问时间为主作为统计图像的x轴，所述访问周期内的链路数据的访问次数、访问应用或访问接口统计作为统计图像的y轴，以散点的形式按照坐标系（x，y）的方式，将散点放入坐标系中形成统计图像；

将所述统计图像组合形成访问画像。

2.根据权利要求1所述的用户异常行为分析方法，其特征在于，所述将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度，包括：

将所述访问画像中的散点样本数据输入至异常行为分析模型中，所述异常行为分析模型采用线性回归函数根据所述散点样本数据构建线性回归函数；

通过回归分析确定访问周期内的散点样本数据距离所述线性回归函数的偏离程度。

3.根据权利要求2所述的用户异常行为分析方法，其特征在于，所述通过回归分析确定访问周期内的散点样本数据距离所述线性回归函数的偏离程度，包括：

以所述访问周期内的单个散点样本数据构建平行于x轴的直线以及平行于y轴的直线，并确定平行于x轴的直线与回归函数形成的交点、平行于y轴的直线与回归函数形成的交点、以及单个散点样本数据形成直角三角形；

计算直角三角形的面积；

通过勾股定理确定直角三角形斜边长度；

以斜边为底，用直角三角形的面积除以底得到高，以得到散点样本数据距离所述线性回归函数的偏离程度。

4.根据权利要求1所述的用户异常行为分析方法，其特征在于，所述确定所述用户访问行为是用户异常行为之后，包括：

生成所述用户访问的风险告警信息。

5.用户异常行为分析装置，其特征在于，包括：

行为获取单元，用于获取用户访问行为；

链路生成单元，用于根据所述用户访问行为生成用户访问链路；

数据收集单元，用于收集所述用户访问链路中的链路数据；

画像生成单元，用于采用画像生成技术将所述链路数据进行访问画像；

偏离程度分析单元，用于将所述访问画像中的散点样本数据输入至异常行为分析模型中进行分析用户访问行为的偏离程度；

判断单元，用于判断所述偏离程度是否大于上限值；

异常确定单元，用于若所述偏离程度大于上限值时，则确定所述用户访问行为是用户异常行为；

所述画像生成单元包括周期设定子单元以及访问画像生成子单元；

周期设定子单元，用于设定访问周期；访问画像生成子单元，用于将所述访问周期内的链路数据采用画像生成技术生成访问画像；

所述访问画像生成子单元包括统计图像生成模块以及组合模块；

统计图像生成模块，用于将所述访问周期内的链路数据采用画像生成技术以多个维度生成统计图像，其中，维度包括访问用户账号信息、访问周期、访问时间、关联IP、登录次数或访问次数、访问应用或访问接口统计、访问应用、接口；具体地，以所述访问周期内的链路数据的访问时间为主作为统计图像的x轴，所述访问周期内的链路数据的访问次数、访问应用或访问接口统计作为统计图像的y轴，以散点的形式按照坐标系（x，y）的方式，将散点放入坐标系中形成统计图像；组合模块，用于将所述统计图像组合形成访问画像。

6.一种计算机设备，其特征在于，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现如权利要求1至4中任一项所述的方法。

7.一种存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至4中任一项所述的方法。