一种用户操作行为的判定方法及装置制造方法及图纸

技术编号:15794871 阅读:102 留言:0更新日期:2017-07-10 10:14
本发明专利技术公开了一种用户操作行为的判定方法及系统,所述方法包括:采集目标用户的当前日志数据,所述当前日志数据为所述目标用户进行其相关操作行为的日志数据;获得所述当前日志数据对应的对数概率;在所述对数概率处于预设的对数概率范围内时,提取所述当前日志数据中的当前行为特征;其中,所述预设的对数概率范围为基于所述目标用户的历史日志数据利用马尔科夫模型进行概率计算获得;基于预设的特征库中的目标行为特征,对所述当前行为特征进行分析,得到分析结果,所述目标行为特征为基于所述目标用户的历史日志数据获得,所述分析结果表征所述目标用户的操作行为状态。

【技术实现步骤摘要】
一种用户操作行为的判定方法及装置
本专利技术涉及数据处理
,特别涉及一种用户操作行为的判定方法及装置。
技术介绍
随着企业电子办公的技术发展,越来越多的用户误操作事件或泄密事件等造成难以挽回的经济损失和信誉危机,而现有的审计系统虽然在追根溯源和孤立事件分析上面具有较强的优势,但是很难对用户的操作行为进行安全性判定,特别是在早期预警和安全行为理解方面尤其不足。因此,亟需一种能够对用户日常的操作行为是否异常进行判定的技术方案。
技术实现思路
有鉴于此,本专利技术的目的在于提供一种用户操作行为的判定方法及系统,用以解决现有技术中无法有效对用户日常的操作行为进行异常判定的技术问题。本专利技术提供了一种用户操作行为的判定方法,包括:采集目标用户的当前日志数据,所述当前日志数据为所述目标用户进行其相关操作行为的日志数据;获得所述当前日志数据对应的对数概率;在所述对数概率处于预设的对数概率范围内时,提取所述当前日志数据中的当前行为特征;其中,所述预设的对数概率范围为基于所述目标用户的历史日志数据利用马尔科夫模型进行概率计算获得;基于预设的特征库中的目标行为特征,对所述当前行为特征进行分析,得到分析结果,所述目标行为特征为基于所述目标用户的历史日志数据获得,所述分析结果表征所述目标用户的操作行为状态。上述方法,优选的,提取所述当前日志数据中的当前行为特征,包括:生成所述当前日志数据基于其时间轴的量化值;基于所述量化值,获得所述目标用户的行为规则量化指标;利用所述行为规则量化指标,对所述当前日志数据进行特征量化,以得到所述当前日志数据中的当前行为特征。上述方法,优选的,基于预设的特征库中的目标行为特征,对所述当前行为特征进行分析,得到分析结果,包括:确定所述目标行为特征对应的特征阈值范围;获得所述当前行为特征的状态概率值;判断所述当前行为特征的状态概率值是否处于该特征阈值范围内,得到分析结果;其中,所述当前行为特征的状态概率值处于该特征阈值范围内时,所述分析结果表征所述目标用户的操作行为正常,否则,所述分析结果表征所述目标用户的操作行为异常。上述方法,优选的,所述当前行为特征至少包括:操作轨迹特征及操作指令特征。上述方法,优选的,采集目标用户的当前日志数据,包括:依据预设的关键字段对所述目标用户进行操作行为的原始日志数据进行数据采集,以得到所述目标用户的当前日志数据。本专利技术还提供了一种用户操作行为的判定系统,包括:数据采集单元,用于采集目标用户的当前日志数据,所述当前日志数据为所述目标用户进行其相关操作行为的日志数据;概率获得单元,用于获得所述当前日志数据对应的对数概率;特征提取单元,用于在所述对数概率处于预设的对数概率范围内时,提取所述当前日志数据中的当前行为特征;其中,所述预设的对数概率范围基于所述目标用户的历史日志数据利用马尔科夫模型进行概率计算获得;特征分析单元,用于基于预设的特征库中的目标行为特征,对所述当前行为特征进行分析,得到分析结果,所述目标行为特征为基于所述目标用户的历史日志数据获得,所述分析结果表征所述目标用户的操作行为状态。上述系统,优选的,所述特征提取单元包括:量化值生成子单元,用于生成所述当前日志数据基于其时间轴的量化值;量化指标获得子单元,用于基于所述量化值,获得所述目标用户的行为规则量化指标;特征量化子单元,用于利用所述行为规则量化指标,对所述当前日志数据进行特征量化,以得到所述当前日志数据中的当前行为特征。上述系统,优选的,所述特征分析单元包括:范围确定子单元,用于确定所述目标行为特征对应的特征阈值范围;概率值获得子单元,用于获得所述当前行为特征的状态概率值;概率值判断子单元,用于判定所述当前行为特征的状态概率值是否处于该特征阈值范围内,得到分析结果;其中,所述当前行为特征的状态概率值处于该特征阈值范围内时,所述分析结果表征所述目标用户的操作行为正常,否则,所述分析结果表征所述目标用户的操作行为异常。上述系统,优选的,所述当前行为特征至少包括:操作轨迹特征及操作指令特征。上述系统,优选的,所述数据采集单元包括:原始数据采集子单元,用于依据预设的关键字段对所述目标用户进行数据采集,以得到所述目标用户的当前日志数据。由上述方案可知,本专利技术提供的一种用户操作行为的判定方法及系统,在采集到目标用户的当前日志数据之后,获得该当前日志数据对应的对数概率,并利用基于该目标用户的历史日志数据利用马尔科夫模型所计算得到的对数概率范围,来判定该当前日志数据是否为有效的操作行为的日志数据,只有在该当前日志数据的对数概率处于计算得到的对数概率范围内时才表明该当前日志数据为目标用户进行有效的操作行为的日志数据,此时,提取该当前日志数据中的当前行为特征,进而基于特征库中的目标行为特征来对当前行为特征进行分析,进而得到表征目标用户操作行为状态是否正常的分析结果,从而实现对用户的操作行为进行有效的异常判定,实现本专利技术目的。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。图1为为本专利技术实施例一提供的一种用户操作行为的判定方法的流程图图2为本专利技术实施例二提供的一种用户操作行为的判定方法的部分流程图;图3为本专利技术实施例三提供的一种用户操作行为的判定方法的部分流程图;图4为本专利技术实施例四提供的一种用户操作行为的判定方法的流程图;图5~图7分别为本专利技术实施例的应用示例图;图8为本专利技术实施例五提供的一种用户操作行为的判定系统的结构示意图;图9为本专利技术实施例六提供的一种用户操作行为的判定系统的部分结构示意图;图10为本专利技术实施例七提供的一种用户操作行为的判定系统的部分结构示意图;图11为本专利技术实施例八提供的一种用户操作行为的判定系统的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。参考图1,为本专利技术实施例一提供的一种用户操作行为的判定方法的流程图,其中,所述方法适用于对一个或多个目标用户进行企业办公系统或互联网等操作行为是否异常进行判定。具体的,本实施例中,所述方法可以包括以下步骤:步骤101:采集目标用户的当前日常数据。其中,所述当前日志数据为所述目标用户进行其相关操作行为的日志数据。例如,所述目标用户对企业办公系统的操作系统进行各种业务操作行为,或者所述目标用户对计算机等操作系统进行网页浏览等操作行为,等等,相应的操作系统会对所述目标用户的各种操作行为进行记录,生成相应的日志数据,本实施例中对所述目标用户进行操作行为的日志数据进行采集。步骤102:获得所述当前日志数据对应的对数概率。具体的,本实施例中可以利用马尔科夫模型对应的算法获取所述当前日志数据对应的对数概率,如马尔科夫模型对应的识别规则库算法,这里的规则库可以理解为下文中的特征库,可以用来获得所述当前日志数据对应的对数本文档来自技高网...
一种用户操作行为的判定方法及装置

【技术保护点】
一种用户操作行为的判定方法,其特征在于,包括:采集目标用户的当前日志数据,所述当前日志数据为所述目标用户进行其相关操作行为的日志数据;获得所述当前日志数据对应的对数概率;在所述对数概率处于预设的对数概率范围内时,提取所述当前日志数据中的当前行为特征;其中,所述预设的对数概率范围为基于所述目标用户的历史日志数据利用马尔科夫模型进行概率计算获得;基于预设的特征库中的目标行为特征,对所述当前行为特征进行分析,得到分析结果,所述目标行为特征为基于所述目标用户的历史日志数据获得,所述分析结果表征所述目标用户的操作行为状态。

【技术特征摘要】
1.一种用户操作行为的判定方法,其特征在于,包括:采集目标用户的当前日志数据,所述当前日志数据为所述目标用户进行其相关操作行为的日志数据;获得所述当前日志数据对应的对数概率;在所述对数概率处于预设的对数概率范围内时,提取所述当前日志数据中的当前行为特征;其中,所述预设的对数概率范围为基于所述目标用户的历史日志数据利用马尔科夫模型进行概率计算获得;基于预设的特征库中的目标行为特征,对所述当前行为特征进行分析,得到分析结果,所述目标行为特征为基于所述目标用户的历史日志数据获得,所述分析结果表征所述目标用户的操作行为状态。2.根据权利要求1所述的方法,其特征在于,提取所述当前日志数据中的当前行为特征,包括:生成所述当前日志数据基于其时间轴的量化值;基于所述量化值,获得所述目标用户的行为规则量化指标;利用所述行为规则量化指标,对所述当前日志数据进行特征量化,以得到所述当前日志数据中的当前行为特征。3.根据权利要求1或2所述的方法,其特征在于,基于预设的特征库中的目标行为特征,对所述当前行为特征进行分析,得到分析结果,包括:确定所述目标行为特征对应的特征阈值范围;获得所述当前行为特征的状态概率值;判断所述当前行为特征的状态概率值是否处于该特征阈值范围内,得到分析结果;其中,所述当前行为特征的状态概率值处于该特征阈值范围内时,所述分析结果表征所述目标用户的操作行为正常,否则,所述分析结果表征所述目标用户的操作行为异常。4.根据权利要求3所述的方法,其特征在于,所述当前行为特征至少包括:操作轨迹特征及操作指令特征。5.根据权利要求1所述的方法,其特征在于,采集目标用户的当前日志数据,包括:依据预设的关键字段对所述目标用户进行操作行为的原始日志数据进行数据采集,以得到所述目标用户的当前日志数据。6.一种用户操作行为的判定系统,其特征在于,包括:数...

【专利技术属性】
技术研发人员:王曦
申请(专利权)人:亿阳安全技术有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1