And the device user behavior recognition method based on intermediate log provided by the embodiment of the invention, the method comprises: acquiring the initial log, the initial log including user behavior log normalized; according to the occurrence time of the user behavior log in user identification, user behavior and the user behavior for the middle log, the the intermediate log first behavior frequency and frequency behavior, each user in a preset period in which the frequency behavior is the default behavior during the specified period of time in second times; according to the user behavior in the log and the existing analysis algorithm, the identification of the user behavior is abnormal. The device executes the above method. The user behavior recognition method and device based on intermediate log are provided by the embodiment of the invention, and the intermediate logs are obtained according to user behavior logs, eliminating the noise and redundant logs in the original user behavior log, thus effectively improving the efficiency of user behavior recognition.
【技术实现步骤摘要】
一种基于中间日志的用户行为识别方法及装置
本专利技术实施例涉及网络安全
,具体涉及一种基于中间日志的用户行为识别方法及装置。
技术介绍
随着网络应用技术的高速发展,用户的网络行为体现出多样化,识别出网络用户的行为,并对异常行为的用户进行管控,以保证网络的安全显得尤为重要。现有技术普遍采用通过识别用户行为日志的方法,判定用户行为是否异常,但是用户行为日志中的数据量巨大,而且包括噪音及冗余日志(例如报错日志等信息),现有方法重复对包括噪音及冗余日志的用户行为日志进行识别,导致了识别效率的低下。因此,如何提高用户行为识别的效率,成为亟须解决的问题。
技术实现思路
针对现有技术存在的问题,本专利技术实施例提供一种基于中间日志的用户行为识别方法及装置。第一方面,本专利技术实施例提供一种基于中间日志的用户行为识别方法,所述方法包括:获取初始日志,所述初始日志包括归一化的用户行为日志,其中,所述用户行为日志中的数据具有同一数据类型和同一格式;根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志,所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率,其中,所述行为频率是所述预设时段内指定时段中的第二行为次数;根据所述中间日志和已有的用户行为分析算法,识别所述用户行为是否异常。第二方面,本专利技术实施例提供一种基于中间日志的用户行为识别装置,所述装置包括:获取单元,用于获取初始日志,所述初始日志包括归一化的用户行为日志,其中,所述用户行为日志中的数据具有同一数据类型和同一格式;第一记录单元,用于根据所述用户行为日志中的用户身份标识、 ...
【技术保护点】
一种基于中间日志的用户行为识别方法,其特征在于,包括:获取初始日志,所述初始日志包括归一化的用户行为日志,其中,所述用户行为日志中的数据具有同一数据类型和同一格式;根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志,所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率,其中,所述行为频率是所述预设时段内指定时段中的第二行为次数;根据所述中间日志和已有的用户行为分析算法,识别所述用户行为是否异常。
【技术特征摘要】
1.一种基于中间日志的用户行为识别方法,其特征在于,包括:获取初始日志,所述初始日志包括归一化的用户行为日志,其中,所述用户行为日志中的数据具有同一数据类型和同一格式;根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志,所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率,其中,所述行为频率是所述预设时段内指定时段中的第二行为次数;根据所述中间日志和已有的用户行为分析算法,识别所述用户行为是否异常。2.根据权利要求1所述的方法,其特征在于,所述预设时段包括通信会话所持续的时段;相应的,所述中间日志记录有每一用户在预设时段内的第一行为次数和行为频率,包括:所述中间日志记录有每一用户在所述通信会话所持续的时段内的第一行为次数和行为频率。3.根据权利要求1或2所述的方法,其特征在于,还获取用户所属的组群;相应的,所述方法还包括:根据所述用户行为日志中的用户身份标识、用户行为和所述用户行为的发生时间获取中间日志,所述中间日志记录有所述用户所属的组群中每一用户在预设时段内的第一行为次数和行为频率。4.根据权利要求3所述的方法,其特征在于,所述预设时段还包括不同时间粒度对应的时段;相应的,所述方法还包括:所述中间日志记录有每一用户在所述不同时间粒度对应的时段内的第一行为次数和行为频率,其中,所述不同时间粒度包括每天、每周或每月;和/或,所述中间日志记录有所述用户所属的组群中每一用户在所述不同时间粒度对应的时段内的第一行为次数和行为频率。5.根据权利要求4所述的方法,其特征在于,还获取所述用户行为日志中的用户常用源IP地址,其中,所述用户常用源IP地址的累积使用次数大于等于预设次数;相应的,所述方法还包括:所述中间日志记录有每一用户使用所述用户常用源IP地址的使用时间;和/或,所述中间日志记录有所述用户所属的组群中每一用户使用所述用户常用源IP地址的使用时间。6.根据权利要求1、2、4或5所述的方法,其特征在于,所述每一用户的多条初始日志对应一条中间日志。7.一种基于中间日志的用户行为识别装置,其特征在于,包括:获取单元,用于获取初始日志,所述初始日志包括归一化的用户行为日志,其中,所述用户行为日志中的数据具有同一数据类型和同一格式;第一记录单元,用于根据所述用户行为日...
【专利技术属性】
技术研发人员:高浩浩,白敏,
申请(专利权)人:北京奇安信科技有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。