一种识别用户行为的方法及装置制造方法及图纸

本发明专利技术实施例提供一种识别用户行为的方法及装置，所述方法包括：获取多源用户行为信息；对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式；确定用户行为的识别规则，并根据所述识别规则获取对应的信息；根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。所述装置执行上述方法。本发明专利技术实施例提供的识别用户行为的方法及装置，通过多种识别规则，能够高效并合理地对多种用户行为进行有效识别。

A method and device for identifying user behavior

Method and device of the embodiment of the invention provides a recognition of user behavior, the method comprises: obtaining multi-source information of user behavior; to normalize the multi-source user behavior information, to obtain user behavior information, normalized, the user behavior information to the same data type and the same format; determine the user behavior identification rules, and obtain the corresponding information according to the identification according to the corresponding rules; the recognition rules, the user behavior information and the information, determine the user behavior recognition results. The device executes the above method. The method and device for identifying user behavior provided by the embodiment of the invention can identify various user behaviors efficiently and reasonably through a variety of recognition rules.

【技术实现步骤摘要】
一种识别用户行为的方法及装置
本专利技术实施例涉及网络安全
，具体涉及一种识别用户行为的方法及装置。
技术介绍
随着网络应用技术的高速发展，用户的网络行为体现出多样化，识别出网络用户的行为，并对异常行为的用户进行管控，以保证网络的安全显得尤为重要。由于用户行为的多样化，不同类型的用户行为所适用的行为识别方法不同，因此，给企业、组织或个人合理选择行为识别方法，以发现内部威胁，比如恶意用户，粗心操作用户，用户账号被盗等带来了困难，然而，现有技术尚没有通用性较好的方法能够实现对多种用户行为的有效识别。因此，如何高效并合理地对多源用户行为信息进行有效识别，成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种识别用户行为的方法及装置。第一方面，本专利技术实施例提供一种识别用户行为的方法，所述方法包括：获取多源用户行为信息；对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式；确定用户行为的识别规则，并根据所述识别规则获取对应的信息；根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。第二方面，本专利技术实施例提供一种识别用户行为的装置，所述装置包括：获取单元，用于获取多源用户行为信息；归一单元，用于对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式；确定单元，用于确定用户行为的识别规则，并根据所述识别规则获取对应的信息；识别单元，用于根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。第三方面，本专利技术实施例提供另一种识别用户行为的装置，包括：处理器、存储器和总线，其中，所述处理器和所述存储器通过所述总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：获取多源用户行为信息；对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式；确定用户行为的识别规则，并根据所述识别规则获取对应的信息；根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。第四方面，本专利技术实施例提供一种非暂态计算机可读存储介质，包括：所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如下方法：获取多源用户行为信息；对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式；确定用户行为的识别规则，并根据所述识别规则获取对应的信息；根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。本专利技术实施例提供的识别用户行为的方法及装置，通过多种识别规则，能够高效并合理地对多种用户行为进行有效识别。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例识别用户行为的方法流程示意图；图2为本专利技术实施例识别用户行为的装置结构示意图；图3为本专利技术另一实施例识别用户行为的装置结构示意图；图4为本专利技术实施例提供的装置实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术实施例识别用户行为的方法流程示意图，如图1所示，本专利技术实施例提供的一种识别用户行为的方法，包括以下步骤：S1：获取多源用户行为信息。具体的，装置获取多源用户行为信息。多源可以理解为多种数据来源，多源用户行为信息可以包括但不限于多种日志：各类云业务活动日志、活动目录(activedirectory，以下简称“AD”)日志、虚拟专用网络(VirtualPrivateNetwork，以下简称“VPN”)访问登录日志，终端系统日志，业务系统操作审计日志，数据库系统日志，办公设备数据，例如：打印机和门禁系统等。获取的方式可以包括从数据源直接获取(也包括接收)数据；从缓存数据中获取(具体可以从缓存队列中获取)。S2：对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式。具体的，装置对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式。由于不同数据来源的用户行为信息的数据类型和格式类型可能不同，为了便于信息入库和以后的管理使用，需要将多源用户行为信息归一化为同一数据类型和同一格式。S3：确定用户行为的识别规则，并根据所述识别规则获取对应的信息。具体的，装置确定用户行为的识别规则，并根据所述识别规则获取对应的信息。识别规则可以包括第一识别规则，根据第一识别规则获取对应的第一信息，第一信息可以包括用户所属的组群用户行为信息，第一识别规则可以理解为：通过预设机器学习模型对用户行为进行识别，该预设机器学习模型内置有不同用户行为分类目录的规则组，规则组中对数据操作(如访问、分享、删除、登录等操作)定义有不同的异常行为事件。组群用户行为信息可以是：用户A所在的公司部门下的工作小组内的小组成员的行为信息。识别规则还可以包括第二识别规则，根据第二识别规则获取对应的第二信息，第二信息可以包括用户身份标识(可以是用户ID、昵称等)、虚拟专用网络(VPN)是否发生IP跳转、用户行为的发生地及发生时间。第二识别规则可以理解为基于逻辑分析对用户行为进行识别，举例说明如下：用户A当前时刻在北京登录了系统甲，5分钟以前对应的时刻在纽约也登录了系统甲，如果VPN没有发生IP跳转，(即：通过逻辑分析同一用户不可能在如此短暂的时间间隔内从纽约到达北京，认为该行为不符合逻辑)则可以认为该用户A的账号被盗用或者共享了(即用户A的行为的识别结果为异常)。识别规则还包括第三识别规则，根据第三识别规则获取对应的第三信息，第三信息可以包括在预设时段内用户行为的统计次数，第三识别规则可以理解为基于统计分析对用户行为进行识别，举例说明如下：用户A在一次会话内(预设时段)删除的文件个数为110次(统计次数)，超过了10次(预设次数)，则可以认为该用户A的行为是恶意操作(即用户A的行为的识别结果为异常)。需要说明的是：该第三识别规则中的用户行为不局限于删除，还可以包括登陆、分享、访问、留言等行为。S4：根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。具体的，装置根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。根据第一识别规则、用户行为信息和用户所属的组群用户行为信息，确定用户行为的识别结果，具体可以是：根据用户行为信息和预设机本文档来自技高网...

【技术保护点】
一种识别用户行为的方法，其特征在于，包括：获取多源用户行为信息；对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式；确定用户行为的识别规则，并根据所述识别规则获取对应的信息；根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。

【技术特征摘要】
1.一种识别用户行为的方法，其特征在于，包括：获取多源用户行为信息；对所述多源用户行为信息进行归一化，以获取归一化后的用户行为信息，其中，所述用户行为信息归一为同一数据类型和同一格式；确定用户行为的识别规则，并根据所述识别规则获取对应的信息；根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果。2.根据权利要求1所述的方法，其特征在于，所述识别规则包括第一识别规则；相应的，所述确定用户行为的识别规则，并根据所述识别规则获取对应的信息，包括：确定用户行为的识别规则为第一识别规则，根据所述第一识别规则获取对应的第一信息，其中，所述第一信息包括用户所属的组群用户行为信息。3.根据权利要求1所述的方法，其特征在于，所述识别规则包括第二识别规则；相应的，所述确定用户行为的识别规则，并根据所述识别规则获取对应的信息，包括：确定用户行为的识别规则为第二识别规则，根据所述第二识别规则获取对应的第二信息，其中，所述第二信息包括用户身份标识、虚拟专用网络是否发生IP跳转、用户行为的发生地及发生时间。4.根据权利要求1所述的方法，其特征在于，所述识别规则包括第三识别规则；相应的，所述确定用户行为的识别规则，并根据所述识别规则获取对应的信息，包括：确定用户行为的识别规则为第三识别规则，根据所述第三识别规则获取对应的第三信息，其中，所述第三信息包括在预设时段内用户行为的统计次数。5.根据权利要求2所述的方法，其特征在于，所述根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果，包括：根据所述用户行为信息和预设机器学习模型，确定所述用户行为的第一识别结果；若判断获知所述第一识别结果为异常，则根据所述第一信息和所述预设机器学习模型，确定组群用户行为的第二识别结果；若判断获知所述第二识别结果与所述第一识别结果不一致，则确定所述用户行为的识别结果为异常。6.根据权利要求5所述的方法，其特征在于，所述方法还包括：若判断获知所述第二识别结果与所述第一识别结果一致，则确定所述用户行为的识别结果为正常。7.根据权利要求5或6所述的方法，其特征在于，所述方法还包括：若判断获知所述第一识别结果为正常，则直接确定所述用户行为的识别结果为正常。8.根据权利要求3所述的方法，其特征在于，所述根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果，包括：若所述用户身份标识所标识用户的每两次用户行为的发生地之间的间距大于等于预设间距，且对应的发生时间之间的时间间隔小于等于预设时间间隔，且所述虚拟专用网络没有发生IP跳转，则确定所述用户行为的识别结果为异常。9.根据权利要求4所述的方法，其特征在于，所述根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果，包括：若判断获知在预设时段内用户行为的统计次数大于等于预设次数，则确定所述用户行为的识别结果为异常。10.根据权利要求1-6、8或9任一所述的方法，其特征在于，所述方法还包括：获取用户行为发生地的本地IP地址；若判断获知所述本地IP地址为异常，则将所述用户行为对应的用户加入黑名单。11.根据权利要求1-6、8或9任一所述的方法，其特征在于，所述方法还包括：获取用户行为所访问的目的IP地址；若所述目的IP地址存在于恶意IP地址库中，则确定所述用户行为的识别结果为异常，其中，所述恶意IP地址库预先设定有可疑网站的站点IP。12.根据权利要求1-6、8或9任一所述的方法，其特征在于，所述方法还包括：获取用户所访问的文件路径；调用病毒查杀程序对所述文件路径对应的文件进行检测，以获取检测结果；将所述检测结果作为所述用户行为的识别结果。13.根据权利要求2-6、8或9任一所述的方法，其特征在于，所述根据所述识别规则、所述用户行为信息和所述对应的信息，确定所述用户行为的识别结果的步骤之后，所述方法还包括：根据识别结果为异常的用户行为，生成针对所述异常的用户行为的告警事件信息。14.根据权利要求13所述的方法，其特征在于，所述根据识别结果为异常的用户行为，生成针对所述异常的用户行为的告警事件信息的步骤之后，所述方法还包括：根据如下公式对告警事件进行计分：告警事件计分分值＝告警事件的基础分值×告警事件的可信度系数×告警事件触发系数；其中，所述告警事件的基础分值、所述告警事件的可信度系数和所述告警事件触发系数预先设定。15.根据权利要求14所述的方法，其特征在于，所述根据如下公式对告警事件进行计分的步骤之后，所述方法还包括：将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示。16.根据权利要求15所述的方法，其特征在于，所述用户行为信息包括：用户登录的时间段、用户登录所在的地点、用户执行文件的次数；所述组群用户行为信息包括：组群用户登录的时间段、组群用户登录所在的地点、组群用户执行文件的次数。17.根据权利要求15或16所述的方法，其特征在于，所述将所述用户行为信息和/或所述组群用户行为信息、以及所述计分分值进行显示的步骤之后，所述方法还包括：接收用户针对所显示的用户行为信息和/或组群用户行为信息、以及所述计分分值的确认信息；若所述确认信息包括误报信息和/或忽略信息，则将所述误报信息和/或所述忽略信息反馈，以修正所述用户行为的第一识别规则。18.一种识别...

【专利技术属性】
技术研发人员：高浩浩，白敏，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11