本申请实施例公开了风险用户检测方法、装置、电子设备和计算机可读介质。该方法的实施例包括:获取目标用户的线上行为数据、线下行为数据和本地设备数据;分别从该线上行为数据、该线下行为数据和该本地设备数据中提取特征信息;根据所提取的特征信息,生成该目标用户的风险系数;基于该风险系数,确定该目标用户是否为风险用户。该实施方式提高了风险用户检测的准确性。
【技术实现步骤摘要】
风险用户检测方法、装置、电子设备和计算机可读介质
本申请实施例涉及计算机
,具体涉及风险用户检测方法、装置、电子设备和计算机可读介质。
技术介绍
在如今的信息时代,数据泄密会对企业造成很大损失,因而,企业越来越重视数据的保密性,希望能够自动识别出具有数据泄密等风险的风险用户,从而维护企业的稳定。现有的方式,通常是通过对用户线上行为数据进行分析,进而将具有风险行为的用户确定为风险用户。然而,由于现实环境中存在多种复杂因素,且存在多种泄密渠道,仅通过对用户线上行为数据进行分析,通常无法准确地检测出风险用户。
技术实现思路
本申请实施例提出了风险用户检测方法、装置、电子设备和计算机可读介质,以提高对风险用户的检测的准确性。第一方面,本申请实施例提供了一种风险用户检测方法,该方法包括:获取目标用户的线上行为数据、线下行为数据和本地设备数据;分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息;根据所提取的特征信息,生成目标用户的风险系数;基于风险系数,确定目标用户是否为风险用户第二方面,本申请实施例提供了一种风险用户检测装置,该装置包括:获取单元,被配置成获取目标用户的线上行为数据、线下行为数据和本地设备数据;提取单元,被配置成分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息;生成单元,被配置成根据所提取的特征信息,生成目标用户的风险系数;确定单元,被配置成基于风险系数,确定目标用户是否为风险用户。第三方面,本申请实施例提供了一种电子设备,包括:一个或多个处理器;存储装置,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现如第一方面中所描述的方法。第四方面,本申请实施例提供了一种计算机可读介质,其上存储有计算机程序,该程序被处理器执行时实现如第一方面中所描述的方法。本申请实施例提供的风险用户检测方法、装置、电子设备和计算机可读介质,通过获取目标用户的线上行为数据、线下行为数据和本地设备数据;而后分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息;之后根据所提取的特征信息,生成目标用户的风险系数;最后基于风险系数,确定目标用户是否为风险用户。由此,可以结合线上行为数据、线下行为数据和本地设备数据的多维度信息,检测用户是否为风险用户,由于使用更全面的数据进行风险用户检测,因而,可提高检测结果的准确性。附图说明通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:图1是根据本申请的风险用户检测方法的一个实施例的流程图;图2是根据本申请的风险用户检测方法的又一个实施例的流程图;图3是根据本申请的风险用户检测装置的一个实施例的结构示意图;图4是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。具体实施方式下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关专利技术,而非对该专利技术的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关专利技术相关的部分。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。请参考图1,其示出了根据本申请的风险用户检测方法的一个实施例的流程100。该风险用户检测方法,包括以下步骤:步骤101,获取目标用户的线上行为数据、线下行为数据和本地设备数据。在本实施例中,风险用户检测方法的执行主体(如服务器等设备)可以获取目标用户的线上行为数据、线下行为数据和本地设备数据。其中,目标用户可以是待检测其是否为风险用户的任一用户,例如,可以是具有风险用户检测需求的某企业的员工。此处,线上行为数据可以是通过互联网执行操作时所产生的数据。例如,可以包括但不限于线上文件发送记录、网页访问记录、下载记录等。实践中,可以通过线上行为此处,线下行为数据可以是不依赖于互联网执行操作时所产生的数据。例如,可以包括但不限于刻录操作记录、打印操作记录、局域网传输操作记录、拷贝操作记录等。此处,本地设备数据可以是与目标用户使用的本地设备相关的数据。例如,可以包括但不限于本地设备中所存储的文件、所安装的补丁、运行的进程、所安装的软件等。步骤102,分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息。在本实施例中,上述执行主体可以分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息。其中,上述特征信息可以是用于表示线上行为、线下行为、本地设备数据的特征的信息。上述特征信息可以视为用户画像,通过对用户画像的分析,即可确定用户的风险。此处,可以通过对线上行为数据、线下行为数据和本地设备数据进行统计的方式,提取特征信息。也可以通过对线上行为数据、线下行为数据和本地设备数据进行检测后,从检测结果中提取特征信息。实践中,上述执行主体可以分别从线上行为数据、线下行为数据和本地设备数据中提取特征信息,并以向量的形式对从各项数据中提取的特征信息进行表示,从而得到多个特征向量。此外,上述执行主体还可以将各向量进行拼接,从而将所提取的特征信息表示为一个特征向量。需要说明的是,特征信息的表示方法,在本申请实施例中不作限定。在本实施例的一些可选的实现方式中,上述线上行为数据可以包括线上文件发送操作的接收对象信息。其中,上述接收对象信息可以包括接收对象的IP(InternetProtocol,互联网协议)地址和接收对象所属地域(如国家、城市等)中的至少一种。此时,上述执行主体可以基于上述接收对象信息,检测各次线上文件发送操作是否为风险操作,并生成第一检测结果;进而,从上述第一检测结果中提取第一特征信息。实践中,上述第一检测结果可以包括线上文件发送操作为风险操作的次数、比例等信息,还可以包括风险操作的执行时间等信息,此处不作限定。第一特征信息可以是上述第一检测结果中的一项或多项信息。作为示例,企业可以预先设定某些具有风险的一个或多个IP地址。若目标用户向具有风险的IP地址发送了文件,则可以认为此次线上文件发送操作为风险操作。在对线上行为数据中的各次线上文件发送操作的接收对象信息进行检测后,即可得到第一检测结果。其中,第一检测结果包括目标对象执行风险操作的次数和频率等信息。此时,可以将第一检测结果中的次数和/或频率作为第一特征信息。在本实施例的一些可选的实现方式中,上述线下行为数据可以包括线下文件操作记录。其中,线下文件操作包括以下至少一项:刻录操作、打印操作、局域网传输操作、拷贝操作。此时,上述执行主体可以对上述线下文件操作记录进行检测,确定各次线下文件操作是否为风险操作,并生成第二检测结果;从上述第二检测结果中提取第二特征信息。实践中,上述第二检测结果可以包括线下文件操作为风险操作的次数、比例等信息,还可以包括风险操作的执行时间等信息,此处不作限定。第二特征信息可以是上述第二检测结果中本文档来自技高网...
【技术保护点】
1.一种风险用户检测方法,其特征在于,所述方法包括:/n获取目标用户的线上行为数据、线下行为数据和本地设备数据;/n分别从所述线上行为数据、所述线下行为数据和所述本地设备数据中提取特征信息;/n根据所提取的特征信息,生成所述目标用户的风险系数;/n基于所述风险系数,确定所述目标用户是否为风险用户。/n
【技术特征摘要】
1.一种风险用户检测方法,其特征在于,所述方法包括:
获取目标用户的线上行为数据、线下行为数据和本地设备数据;
分别从所述线上行为数据、所述线下行为数据和所述本地设备数据中提取特征信息;
根据所提取的特征信息,生成所述目标用户的风险系数;
基于所述风险系数,确定所述目标用户是否为风险用户。
2.根据权利要求1所述的方法,其特征在于,所述线上行为数据包括线上文件发送操作的接收对象信息,所述接收对象信息包括:接收对象的IP地址和接收对象所属地域中的至少一种;以及
从所述线上行为数据中提取特征信息,包括:
基于所述接收对象信息,检测各次线上文件发送操作是否为风险操作,并生成第一检测结果;
从所述第一检测结果中提取第一特征信息。
3.根据权利要求1所述的方法,其特征在于,所述线下行为数据包括线下文件操作记录,其中,线下文件操作包括以下至少一项:刻录操作、打印操作、局域网传输操作、拷贝操作;以及
从所述线下行为数据据中提取特征信息,包括:
对所述线下文件操作记录进行检测,确定各次线下文件操作是否为风险操作,并生成第二检测结果;
从所述第二检测结果中提取第二特征信息。
4.根据权利要求1所述的方法,其特征在于,所述本地设备数据包括本地设备中所存储的文件、所安装的补丁和运行的进程;以及
从所述本地设备数据中提取特征信息,包括:
基于所述目标用户所属企业自定义的敏感文件集,检测本地设备中所存储的文件是否为敏感文件,并生成第三检测结果;
对所述本地设备所安装的补丁进行检测,生成第四检测结果;
对所述本地设备所运行的进程进行检测,生成第五检测结果;
从所述第三检测结果、所述第四检测结果和所述第五检测结果中提取第三特征信息。
5.根据权利要求1所述的方法,其特征在于,所述根据所提取的特征信息,生成所述目标用户的风险系数,包括:
...
【专利技术属性】
技术研发人员:刘阳,
申请(专利权)人:北京国双科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。