一种基于中间日志的用户行为识别方法及装置制造方法及图纸

本发明专利技术实施例提供的基于中间日志的用户行为识别方法及装置，所述方法包括：获取初始日志，所述初始日志包括归一化的用户行为日志；根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数；根据所述中间日志和已有的用户行为分析算法，识别所述用户行为是否异常。所述装置执行上述方法。本发明专利技术实施例提供的基于中间日志的用户行为识别方法及装置，根据用户行为日志获取中间日志，剔除了原有用户行为日志中的噪音及冗余日志，从而有效地提高了用户行为识别的效率。

A method and device for user behavior recognition based on intermediate log

And the device user behavior recognition method based on intermediate log provided by the embodiment of the invention, the method comprises: acquiring the initial log, the initial log including user behavior log normalized; according to the occurrence time of the user behavior log in user identification, user behavior and the user behavior for the middle log, the the intermediate log first behavior frequency and frequency behavior, each user in a preset period in which the frequency behavior is the default behavior during the specified period of time in second times; according to the user behavior in the log and the existing analysis algorithm, the identification of the user behavior is abnormal. The device executes the above method. The user behavior recognition method and device based on intermediate log are provided by the embodiment of the invention, and the intermediate logs are obtained according to user behavior logs, eliminating the noise and redundant logs in the original user behavior log, thus effectively improving the efficiency of user behavior recognition.

【技术实现步骤摘要】
一种基于中间日志的用户行为识别方法及装置
本专利技术实施例涉及网络安全
，具体涉及一种基于中间日志的用户行为识别方法及装置。
技术介绍
随着网络应用技术的高速发展，用户的网络行为体现出多样化，识别出网络用户的行为，并对异常行为的用户进行管控，以保证网络的安全显得尤为重要。现有技术普遍采用通过识别用户行为日志的方法，判定用户行为是否异常，但是用户行为日志中的数据量巨大，而且包括噪音及冗余日志(例如报错日志等信息)，现有方法重复对包括噪音及冗余日志的用户行为日志进行识别，导致了识别效率的低下。因此，如何提高用户行为识别的效率，成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题，本专利技术实施例提供一种基于中间日志的用户行为识别方法及装置。第一方面，本专利技术实施例提供一种基于中间日志的用户行为识别方法，所述方法包括：获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式；根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数；根据所述中间日志和已有的用户行为分析算法，识别所述用户行为是否异常。第二方面，本专利技术实施例提供一种基于中间日志的用户行为识别装置，所述装置包括：获取单元，用于获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式；第一记录单元，用于根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数；识别单元，用于根据所述中间日志和已有的用户行为分析算法，识别所述用户行为是否异常。第三方面，本专利技术实施例提供另一种基于中间日志的用户行为识别装置，包括：处理器、存储器和总线，其中，所述处理器和所述存储器通过所述总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行如下方法：获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式；根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数；根据所述中间日志和已有的用户行为分析算法，识别所述用户行为是否异常。第四方面，本专利技术实施例提供一种非暂态计算机可读存储介质，包括：所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行如下方法：获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式；根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数；根据所述中间日志和已有的用户行为分析算法，识别所述用户行为是否异常。本专利技术实施例提供的基于中间日志的用户行为识别方法及装置，根据用户行为日志获取中间日志，剔除了原有用户行为日志中的噪音及冗余日志，从而有效地提高了用户行为识别的效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术实施例基于中间日志的用户行为识别方法的流程示意图；图2为本专利技术实施例基于中间日志的用户行为识别装置的结构示意图；图3为本专利技术实施例提供的装置实体结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚，下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。图1为本专利技术实施例基于中间日志的用户行为识别方法的流程示意图，如图1所示，本专利技术实施例提供的一种基于中间日志的用户行为识别方法，包括以下步骤：S1：获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式。具体的，装置获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式。可以先从云端和/或企业内网中获取日志，日志可以包括业务系统的日志和用户行为的日志(不同于归一化的用户行为日志)，业务系统的日志可以包括：各类云端业务活动日志、活动目录(activedirectory，以下简称“AD”)日志、虚拟专用网络(VirtualPrivateNetwork，以下简称“VPN”)访问登录日志，终端系统日志，业务系统操作审计日志，数据库系统日志，办公设备数据，例如：打印机和门禁系统等。用户行为的日志可以包括：用户登录行为日志、导入\导出数据行为日志、共享行为日志、删除行为日志等。归一化的用户行为日志的数据统一了数据类型和格式，更加便于数据入库和以后的管理使用。S2：根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数。具体的，装置根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数。用户行为日志的格式可以如表1所示：表1其中，表1中的时间戳(用户行为的发生时间)“1499765254”可以换算为小时:分钟:秒的时间表示，具体方法为本领域成熟技术，不再赘述。表1中的账号“gaohaohao@gmail.com”(用户身份标识)可以作为用户身份的标识，表1中的动作“删除”和目标对象“文件1”，表示对文件1进行了删除行为(用户行为)，表1中的其他信息不作具体说明。获取的中间日志可以包括表1中的时间戳(用户行为的发生时间)、对文件1进行了删除行为(用户行为)、表1中的账号(用户身份标识)，需要说明的是：中间日志可以通过提取初始日志的特征所获得、也可以通过自动生成获得。初始日志每一个用户可以有多条用户行为日志，多条用户行为日志可以对应一条中间日志。例如：用户A有n条用户行为日志，这n条用户行为日志对应用户A的一条中间日志；同理，用户B有m条用户行为日志，这m条用户行为日志对应用户B的一条中间日志。需要说明的是：每一用户的多条初始日志(即：还包括有归一化的业务系统的日志)也可以对应一条中间日志，本文档来自技高网...

【技术保护点】
一种基于中间日志的用户行为识别方法，其特征在于，包括：获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式；根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数；根据所述中间日志和已有的用户行为分析算法，识别所述用户行为是否异常。

【技术特征摘要】
1.一种基于中间日志的用户行为识别方法，其特征在于，包括：获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式；根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，其中，所述行为频率是所述预设时段内指定时段中的第二行为次数；根据所述中间日志和已有的用户行为分析算法，识别所述用户行为是否异常。2.根据权利要求1所述的方法，其特征在于，所述预设时段包括通信会话所持续的时段；相应的，所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率，包括：所述中间日志记录有每一用户在所述通信会话所持续的时段内的第一行为次数和行为频率。3.根据权利要求1或2所述的方法，其特征在于，还获取用户所属的组群；相应的，所述方法还包括：根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志，所述中间日志记录有所述用户所属的组群中每一用户在预设时段内的第一行为次数和行为频率。4.根据权利要求3所述的方法，其特征在于，所述预设时段还包括不同时间粒度对应的时段；相应的，所述方法还包括：所述中间日志记录有每一用户在所述不同时间粒度对应的时段内的第一行为次数和行为频率，其中，所述不同时间粒度包括每天、每周或每月；和/或，所述中间日志记录有所述用户所属的组群中每一用户在所述不同时间粒度对应的时段内的第一行为次数和行为频率。5.根据权利要求4所述的方法，其特征在于，还获取所述用户行为日志中的用户常用源IP地址，其中，所述用户常用源IP地址的累积使用次数大于等于预设次数；相应的，所述方法还包括：所述中间日志记录有每一用户使用所述用户常用源IP地址的使用时间；和/或，所述中间日志记录有所述用户所属的组群中每一用户使用所述用户常用源IP地址的使用时间。6.根据权利要求1、2、4或5所述的方法，其特征在于，所述每一用户的多条初始日志对应一条中间日志。7.一种基于中间日志的用户行为识别装置，其特征在于，包括：获取单元，用于获取初始日志，所述初始日志包括归一化的用户行为日志，其中，所述用户行为日志中的数据具有同一数据类型和同一格式；第一记录单元，用于根据所述用户行为日...

【专利技术属性】
技术研发人员：高浩浩，白敏，
申请(专利权)人：北京奇安信科技有限公司，
类型：发明
国别省市：北京,11