异常用户确定方法技术

本申请实施例适用于计算机安全技术领域，提供了一种异常用户确定方法

【技术实现步骤摘要】
异常用户确定方法、装置及计算机设备


[0001]本申请属于计算机安全
，尤其涉及一种异常用户确定方法
、
装置及计算机设备
。

技术介绍

[0002]随着计算机技术的快速发展，企业的工作越来越依赖于计算机设备
。
然而，用户在使用计算机设备工作时产生的企业数据通常为私有数据，若发生数据泄漏，则将对企业造成一定的损失
。
[0003]目前，通常是采用人工检测的方式，对用户在计算机设备上的各种操作行为对应的操作日志进行检测，以识别用户是否存在异常操作行为
。
然而，该方式需要耗费较多的人力物力
。
或者，采用预设规则进行检测的方式确定异常操作行为，例如，某种行为类型的操作行为对应的操作次数是否达到预设次数
。
然而，该方式容易产生较多的误报，识别准确率较低
。
[0004]基于此，现有技术中，检测用户在计算机设备上是否存在异常操作行为的准确率较低
。

技术实现思路

[0005]本申请实施例提供了一种异常用户确定方法
、
装置及计算机设备，可以解决检测用户在计算机设备上是否存在异常操作行为的准确率较低的问题
。
[0006]第一方面，本申请实施例提供了一种异常用户确定方法，该方法包括：
[0007]获取用户在预设时长内的操作日志信息；操作日志信息包括用户的操作行为和行为类型；
[0008]根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息；
[0009]基于目标日志信息，分别计算每种行为类型包含的操作行为在预设时长内的行为评分；
[0010]根据所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户
。
[0011]第二方面，本申请实施例提供了一种异常用户确定装置，该装置包括：
[0012]操作日志信息获取模块，用于获取用户在预设时长内的操作日志信息；操作日志信息包括用户的操作行为和行为类型；
[0013]目标日志信息获取模块，用于根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息；
[0014]行为评分计算模块，用于基于目标日志信息，分别计算每种行为类型包含的操作行为在预设时长内的行为评分；
[0015]异常用户确定模块，用于根据所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户
。
[0016]第三方面，本申请实施例提供了一种计算机设备，包括存储器
、
处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述第一方面的方法
。
[0017]第四方面，本申请实施例提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现如上述第一方面的方法
。
[0018]第五方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在计算机设备上运行时，使得计算机设备执行上述第一方面的方法
。
[0019]本申请实施例与现有技术相比存在的有益效果是：可以获取每个用户在预设时长内的操作行为和行为类型，以识别每个用户的操作行为特征
。
之后，根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息，以确定用户在预设时长内的每种行为类型的操作行为对应的行为评分
。
而后，基于所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户
。
以此，基于每种行为类型对应的操作行为的日志信息进行量化处理，得到表征操作行为的行为评分
。
进而，能够基于每种行为类型对应的操作行为综合地判断异常用户，无需基于单一的预设规则的判断方式，提高存在异常操作行为的异常用户的识别准确率
。
并且，在每个用户对应的行为评分后，可以将每个用户的行为评分相互之间作为参考进行比较，确定存在异常操作行为的异常用户
。
以此，无需设置一个固定的评分阈值进行判断，进一步地提高异常操作行为识别的准确率以及效率
。
附图说明
[0020]为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图
。
[0021]图1是本申请一实施例提供的一种异常用户确定方法的实现流程图；
[0022]图2是本申请一实施例提供的一种异常用户确定方法中确定异常用的一种实现方式示意图；
[0023]图3是本申请一实施例提供的一种异常用户确定装置的结构示意图；
[0024]图4是本申请一实施例提供的一种计算机设备的结构示意图
。
具体实施方式
[0025]以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构
、
技术之类的具体细节，以便透彻理解本申请实施例
。
然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请
。
在其它情况中，省略对众所周知的系统
、
装置
、
电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述
。
[0026]应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征
、
整体
、
步骤
、
操作
、
元素和
/
或组件的存在，但并不排除一个或多个其它特征
、
整体
、
步骤
、
操作
、
元素
、
组件和
/
或其集合的存在或添加
。
[0027]另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性
。
[0028]随着计算机技术的快速发展，企业的工作越来越依赖于计算机设备
。
然而，用户在使用计算机设备工作时产生的企业数据通常为私有数据，若发生数据泄漏，则将对企业造成一定的损失
。
[0029]目前，通常是采用人工检测的方式，对用户在计算机设备上的各种操作行为对应的操作日志进行检测，或者，采用监视软件录制用户的操作行为，以识别用户是否存在异常操作行为
。
然而，该方式需要耗费较多的人力物力，并且在检测过程中，容易受到人为主观因素的影响，检测效果差
。
以及，监视软件容易侵犯用户的隐私
。
[0030]或者，采用预设规则进行检测的方式确定异常操作行为，例如，本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种异常用户确定方法，其特征在于，所述方法包括：获取用户在预设时长内的操作日志信息；所述操作日志信息包括所述用户的操作行为和行为类型；根据所述行为类型，从所述操作日志信息中获取每个所述操作行为对应的目标日志信息；基于所述目标日志信息，分别计算每种所述行为类型包含的所述操作行为在所述预设时长内的行为评分；根据所有所述用户分别对应的行为评分，确定所述预设时长内存在异常操作行为的异常用户
。2.
根据权利要求1所述的方法，其特征在于，所述根据所述行为类型，从所述操作日志信息中获取每个所述操作行为对应的目标日志信息，包括：若所述行为类型为第一预设类型中的任意一种，则将每种所述行为类型包含的操作行为的第一操作次数，确定为所述目标日志信息；所述第一预设类型为所述操作行为未具有泄密防护作用的类型；若所述行为类型为第二预设类型中的任意一种，则将所述行为类型包含的操作行为中，与所述行为类型对应的行为信息确定为所述目标日志信息；所述第二预设类型为所述操作行为具有泄密防护作用的类型
。3.
根据权利要求2所述的方法，其特征在于，所述第二预设类型包括文档解密类型
、
文档解密外发类型以及文档加密外发类型中的至少一种；所述若所述行为类型为第二预设类型中的任意一种；若所述行为类型为第二预设类型中的任意一种，则将所述行为类型包含的操作行为中，与所述行为类型对应的行为信息确定为所述目标日志信息，包括：若所述行为类型为所述文档解密类型，则将所述操作日志信息中每次所述文档解密的操作行为对应的解密信息，确定为所述目标日志信息；若所述行为类型为所述文档解密外发类型，则将所述操作日志信息中每次所述文档解密外发的操作行为对应的解密外发信息，确定为所述目标日志信息；若所述行为类型为所述文档加密外发类型，则将所述操作日志信息中所述文档加密外发的操作行为的加密外发信息，确定为所述目标日志信息
。4.
根据权利要求3所述的方法，其特征在于，所述基于所述目标日志信息，分别计算每种所述行为类型包含的所述操作行为在所述预设时长内的行为评分，包括：针对所述第一预设类型中的任意一种行为类型，将所述行为类型对应的第一操作次数与所述预设时长对应的预设权重的第一乘积，确定为所述行为类型对应的行为评分；针对所述第二预设类型中的任意一种行为类型，确定所述行为类型中所述目标日志信息对应的权重，并根据所述权重确定所述行为类型对应的行为评分
。5.
根据权利要求4所述的方法，其特征在于，所述确定所述行为类型中所述目标日志信息对应的权重，并根据所述权重确定所述行为类型对应的行为评分，包括：若所述行为类型为所述文档解密类型，则分别确定所述解密信息中解密理由对应的第一权重
、
解密方式对应的第二权重以及解密审批时长对应的第三权重，并分别计算每次所述文档解密的操作行为对应的第一权重
、
第二权重以及第三权重的第二乘积，且将所有所述第二乘积确定为所述文档解密类型对应的行为评分；
若所述行为类型为所...

【专利技术属性】
技术研发人员：陈亮，马静伟，高志磊，
申请(专利权)人：长城汽车股份有限公司，
类型：发明
国别省市：