Method and device of the embodiment of the invention provides a recognition of user behavior, the method comprises: obtaining multi-source information of user behavior; to normalize the multi-source user behavior information, to obtain user behavior information, normalized, the user behavior information to the same data type and the same format; determine the user behavior identification rules, and obtain the corresponding information according to the identification according to the corresponding rules; the recognition rules, the user behavior information and the information, determine the user behavior recognition results. The device executes the above method. The method and device for identifying user behavior provided by the embodiment of the invention can identify various user behaviors efficiently and reasonably through a variety of recognition rules.
【技术实现步骤摘要】
一种识别用户行为的方法及装置
本专利技术实施例涉及网络安全
,具体涉及一种识别用户行为的方法及装置。
技术介绍
随着网络应用技术的高速发展,用户的网络行为体现出多样化,识别出网络用户的行为,并对异常行为的用户进行管控,以保证网络的安全显得尤为重要。由于用户行为的多样化,不同类型的用户行为所适用的行为识别方法不同,因此,给企业、组织或个人合理选择行为识别方法,以发现内部威胁,比如恶意用户,粗心操作用户,用户账号被盗等带来了困难,然而,现有技术尚没有通用性较好的方法能够实现对多种用户行为的有效识别。因此,如何高效并合理地对多源用户行为信息进行有效识别,成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种识别用户行为的方法及装置。第一方面,本专利技术实施例提供一种识别用户行为的方法,所述方法包括:获取多源用户行为信息;对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定用户行为的识别规则,并根据所述识别规则获取对应的信息;根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。第二方面,本专利技术实施例提供一种识别用户行为的装置,所述装置包括:获取单元,用于获取多源用户行为信息;归一单元,用于对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定单元,用于确定用户行为的识别规则,并根据所述识别规则获取对应的信息;识别单元,用于根据所述识别规则、所述用户行为信息和所述对应的信 ...
【技术保护点】
一种识别用户行为的方法,其特征在于,包括:获取多源用户行为信息;对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定用户行为的识别规则,并根据所述识别规则获取对应的信息;根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。
【技术特征摘要】
1.一种识别用户行为的方法,其特征在于,包括:获取多源用户行为信息;对所述多源用户行为信息进行归一化,以获取归一化后的用户行为信息,其中,所述用户行为信息归一为同一数据类型和同一格式;确定用户行为的识别规则,并根据所述识别规则获取对应的信息;根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果。2.根据权利要求1所述的方法,其特征在于,所述识别规则包括第一识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:确定用户行为的识别规则为第一识别规则,根据所述第一识别规则获取对应的第一信息,其中,所述第一信息包括用户所属的组群用户行为信息。3.根据权利要求1所述的方法,其特征在于,所述识别规则包括第二识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:确定用户行为的识别规则为第二识别规则,根据所述第二识别规则获取对应的第二信息,其中,所述第二信息包括用户身份标识、虚拟专用网络是否发生IP跳转、用户行为的发生地及发生时间。4.根据权利要求1所述的方法,其特征在于,所述识别规则包括第三识别规则;相应的,所述确定用户行为的识别规则,并根据所述识别规则获取对应的信息,包括:确定用户行为的识别规则为第三识别规则,根据所述第三识别规则获取对应的第三信息,其中,所述第三信息包括在预设时段内用户行为的统计次数。5.根据权利要求2所述的方法,其特征在于,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:根据所述用户行为信息和预设机器学习模型,确定所述用户行为的第一识别结果;若判断获知所述第一识别结果为异常,则根据所述第一信息和所述预设机器学习模型,确定组群用户行为的第二识别结果;若判断获知所述第二识别结果与所述第一识别结果不一致,则确定所述用户行为的识别结果为异常。6.根据权利要求5所述的方法,其特征在于,所述方法还包括:若判断获知所述第二识别结果与所述第一识别结果一致,则确定所述用户行为的识别结果为正常。7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:若判断获知所述第一识别结果为正常,则直接确定所述用户行为的识别结果为正常。8.根据权利要求3所述的方法,其特征在于,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:若所述用户身份标识所标识用户的每两次用户行为的发生地之间的间距大于等于预设间距,且对应的发生时间之间的时间间隔小于等于预设时间间隔,且所述虚拟专用网络没有发生IP跳转,则确定所述用户行为的识别结果为异常。9.根据权利要求4所述的方法,其特征在于,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果,包括:若判断获知在预设时段内用户行为的统计次数大于等于预设次数,则确定所述用户行为的识别结果为异常。10.根据权利要求1-6、8或9任一所述的方法,其特征在于,所述方法还包括:获取用户行为发生地的本地IP地址;若判断获知所述本地IP地址为异常,则将所述用户行为对应的用户加入黑名单。11.根据权利要求1-6、8或9任一所述的方法,其特征在于,所述方法还包括:获取用户行为所访问的目的IP地址;若所述目的IP地址存在于恶意IP地址库中,则确定所述用户行为的识别结果为异常,其中,所述恶意IP地址库预先设定有可疑网站的站点IP。12.根据权利要求1-6、8或9任一所述的方法,其特征在于,所述方法还包括:获取用户所访问的文件路径;调用病毒查杀程序对所述文件路径对应的文件进行检测,以获取检测结果;将所述检测结果作为所述用户行为的识别结果。13.根据权利要求2-6、8或9任一所述的方法,其特征在于,所述根据所述识别规则、所述用户行为信息和所述对应的信息,确定所述用户行为的识别结果的步骤之后,所述方法还包括:根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息。14.根据权利要求13所述的方法,其特征在于,所述根据识别结果为异常的用户行为,生成针对所述异常的用户行为的告警事件信息的步骤之后,所述方法还包括:根据如下公式对告警事件进行计分:告警事件计分分值=告警事件的基础分值×告警事件的可信度系数×告警事件触发系数;其中,所述告警事件的基础分值、所述告警事件的可信度系数和所述告警事件触发系数预先设定。15.根据权利要求14所述的方法,其特征在于,所述根据如下公式对告警事件进行计分的步骤之后,所述方法还包括:将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示。16.根据权利要求15所述的方法,其特征在于,所述用户行为信息包括:用户登录的时间段、用户登录所在的地点、用户执行文件的次数;所述组群用户行为信息包括:组群用户登录的时间段、组群用户登录所在的地点、组群用户执行文件的次数。17.根据权利要求15或16所述的方法,其特征在于,所述将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示的步骤之后,所述方法还包括:接收用户针对所显示的用户行为信息和/或组群用户行为信息、以及所述计分分值的确认信息;若所述确认信息包括误报信息和/或忽略信息,则将所述误报信息和/或所述忽略信息反馈,以修正所述用户行为的第一识别规则。18.一种识别...
【专利技术属性】
技术研发人员:高浩浩,白敏,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。