CN107465652B - 一种操作行为检测方法、服务器及*** - Google Patents

一种操作行为检测方法、服务器及*** Download PDF

Info

Publication number
CN107465652B
CN107465652B CN201610398522.0A CN201610398522A CN107465652B CN 107465652 B CN107465652 B CN 107465652B CN 201610398522 A CN201610398522 A CN 201610398522A CN 107465652 B CN107465652 B CN 107465652B
Authority
CN
China
Prior art keywords
user
analysis
behavior
dimension
behavior information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610398522.0A
Other languages
English (en)
Other versions
CN107465652A (zh
Inventor
贺啸
苏楠
陈江洪
陈武方
梁桢
郭力
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Tencent Technology Shenzhen Co Ltd
Original Assignee
Tencent Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Tencent Technology Shenzhen Co Ltd filed Critical Tencent Technology Shenzhen Co Ltd
Priority to CN201610398522.0A priority Critical patent/CN107465652B/zh
Publication of CN107465652A publication Critical patent/CN107465652A/zh
Application granted granted Critical
Publication of CN107465652B publication Critical patent/CN107465652B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Evolutionary Computation (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明提供了一种操作行为检测方法、服务器及***,该方法包括:获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。

Description

一种操作行为检测方法、服务器及***
技术领域
本发明涉及信息处理领域的信息检测技术,具体涉及一种操作行为检测方法、服务器及***。
背景技术
目前,越来越多的企业政府等机构组织使用企业IM工具,在带来便利的同时,也产生了组织架构信息泄漏的风险。比如:一位员工离职,把所在组织的所有员工的姓名、联系方式、头像、职称、岗位等敏感信息导出,在外部售卖给猎头或广告商,带来机构组织人员的不稳定因素,甚至引起犯罪。
发明内容
有鉴于此,本发明实施例的主要目的在于提供一种操作行为检测方法、服务器及***,以至少解决上述现有存在的技术问题。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种操作行为检测方法,该方法包括:
获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;
对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;
基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。
本发明实施例提供了一种服务器,所述服务器包括:
记录行为模块,用于获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;
异常分析模块,用于对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。
本发明实施例提供了一种操作行为检测***,该***包括:
客户端,用于上报用户的操作行为信息;
服务器,用于接收到客户端上报的用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。
本发明提供的一种操作行为检测方法、服务器及***,获取到用户的操作行为信息,通过从至少一个分析维度对用户的操作行为信息进行分析并且得到至少一个分析结果,进而基于分析结果确定用于针对所述用户的行为级别的检测结果。如此,通过自动的采集用户的操作行为并进而进行分析的处理方式,避免了人工进行监控带来的无检测等问题,提升了检测结果的正确率,进一步地,能够基于用户的操作对用户进行行为监控,提升了所在的***的信息安全性。
附图说明
图1为本发明实施例操作行为检测方法流程示意图一;
图2为本发明实施例组成***示意图;
图3为本发明实施例处理场景示意图;
图4为本发明实施例分析维度对应的模型示意图;
图5为本发明实施例一个分析维度进行分析得到分析结果处理示意图;
图6为本发明实施例根据分析结果得到检测结果处理示意图一;
图7为本发明实施例根据分析结果得到检测结果处理示意图二;
图8为本发明实施例操作行为检测方法流程示意图二;
图9为本发明实施例划分分析维度的优先级的示意图;
图10为本发明实施例基于不同优先级的分析结果得到检测结果示意图一;
图11为本发明实施例特基于不同优先级的分析结果得到检测结果示意图二;
图12为本发明实施例根据用户的类型发出告警信息的场景示意图;
图13为本发明实施例服务器组成结构示意图一;
图14为本发明实施例服务器组成结构示意图二;
图15为本发明实施例***组成结构示意图一;
图16为本发明实施例客户端中各个模块之间的逻辑关系图;
图17为本发明实施例***组成结构示意图二;
图18为本发明实施例服务器中各个硬件组成之间的关系图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
实施例一、
本发明实施例提供了一种操作行为检测方法,如图1所示,包括:
步骤101:获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;
步骤102:对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;
步骤103:基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。
首先需要说明的是,本实施例可以应用于网络侧,具体的,可以为应用于管理设备,或者是服务器。
上述获取到用户的操作行为信息的方式可以为:通过与其建立通信连接的客户端,获取到所述客户端上报的用户的操作行为信息。需要理解的是,本实施例中不对连接的客户端,或者针对的用户的数量进行限定,可以为一个也可以多个,可以根据实际情况进行设置。
本发明实施例的一个场景可以参见图2,在这个场景中可以存在多个用户多个客户端,并且由服务器对多个用户的客户端上传的操作行为信息进行分析,另外每一个客户端与服务器之间建立连接的方式可以不进行限定,比如用户A、用户B和用户C通过有线通信网与服务器建立连接,用户D则可以通过无线通信与服务器侧建立连接。
所述目标对象可以为本实施例所应用到的网络***相关,比如,应用到单位的管理网络***中,目标对象可以为单位的全部员工。相应的,所述至少一种操作可以为根据实际情况设定的关心的操作类型,比如,可以由查看目标对象的操作、复制目标对象的资料的操作、截屏目标对象的资料的操作、查看或截屏由至少一个目标对象组成的组织架构的操作等。
进一步的,对客户端进行用户的操作行为的采集的方式进行说明:客户端采集员工访问组织架构的行为,包括以下至少之一:查看员工资料的操作,复制员工资料操作,将员工资料截屏的操作,查看组织架构树的操作,将组织架构树截屏的操作等。
比如,参见图3提供的是一种用户A通过单位提供的笔记本查看单位的组织架构,并且查看其中目标对象A以及目标对象B的详细资料的操作行为,具体可以查看了每一个目标对象的职位、入职时长、毕业院校、联系方式等等信息。
操作行为信息中可以至少包括有以下信息:用户名,操作时间,操作IP,操作设备,操作行为类型,行为详细描述(查看了哪些员工的资料,复制了哪些员工的资料,或截屏的图片)。
本实施例提供一种处理场景,在本场景下基于至少一种分析维度进行分析,并且根据得到的表征用户为执行异常操作的分析结果的数量进行检测结果的生成。具体参见以下说明:
所述方法还包括:划分得到至少一种分析维度;其中,每一种所述分析维度中至少包括有一种分析周期、以及一种目标类型的操作。
其中,所述分析周期可以根据实际情况进行设置,比如可以设置为一个小时、24小时、15天、30天或者3个月等多种长度。另外,每一种分析维度中的目标类型的操作可以为复制操作、截屏操作、查看操作中的任意一种。
具体来说,每一种分析维度可以对应一个模型,比如,可以参见图2,图中示出四个分析维度分别对应的模型一、模型二、模型三、模型四;其中,每一个模型中均设置有对应的分析周期长度,以及针对的目标操作类型,比如,模型一中针对1个小时之内的执行复制操作,模型二可以为针对1个小时内的查看操作,模型三针对了10天内的查看操作,模型四针对了10天内的截屏操作。
可以理解的是,上述图4所示的几个分析维度对应的模型仅为一种示例,实际处理中可以具备更多的时长以及目标操作的组合操作,
具体来说,分析维度对应的模型可以包括但不限于以下几种:
模型1:统计员工在短时间(阈值可调整,例如:1个小时)查看其他员工资料数量超过一定数值(阈值可调整,例如:100位员工)。如果符合条件,那么就输出“模型1为真”,否则输出“模型1为假”。模型1会持续分析,例如:一天24小时,每个整点都会输出上一个小时所有员工的模型1结果。假设机构有3个员工,模型1输出格式如下:
2016.5.1 9:00——员工1,模型1为真;员工2,模型1为假;员工3,模型1为假。
2016.5.1 10:00——员工1,模型1为假;员工2,模型1为假;员工3,模型1为假。
2016.5.1 11:00——员工1,模型1为假;员工2,模型1为假;员工3,模型1为假。
模型2:统计员工在短时间(阈值可调整,例如:1个小时)复制其他员工资料数量超过一定数值(阈值可调整,例如:100位员工)。如果符合条件,那么就输出“模型2为真”,否则输出“模型2为假”。模型2会持续分析,例如:一天24小时,每个整点都会输出上一个小时所有员工的模型2结果。假设机构有3个员工,模型2输出格式如下:
2016.5.1 9:00——员工1,模型2为真;员工2,模型2为假;员工3,模型2为假。
2016.5.1 10:00——员工1,模型2为假;员工2,模型2为假;员工3,模型2为假。
2016.5.1 11:00——员工1,模型2为假;员工2,模型2为假;员工3,模型2为假。
模型3:统计员工在短时间(阈值可调整,例如:1个小时)截屏其他员工资料数量超过一定数值(阈值可调整,例如:100位员工)。如果符合条件,那么就输出“模型3为真”,否则输出“模型3为假”。模型3会持续分析,例如:一天24小时,每个整点都会输出上一个小时所有员工的模型3结果。模型3输出格式与模型1、模型2输出格式类似,不再赘述。
模型4:统计员工在短时间(阈值可调整,例如:1个小时)查看组织架构节点和员工的数量超过一定数值(阈值可调整,例如:20个节点或100位员工)。如果符合条件,那么就输出“模型4为真”,否则输出“模型4为假”。模型4会持续分析,例如:一天24小时,每个整点都会输出上一个小时所有员工的模型4结果。模型4输出格式与模型1、模型2输出格式类似,不再赘述。
模型5:统计员工在短时间(阈值可调整,例如:1个小时)截屏组织架构节点和员工的数量超过一定数值(阈值可调整,例如:20个节点或100位员工)。如果符合条件,那么就输出“模型5为真”,否则输出“模型5为假”。模型5会持续分析,例如:一天24小时,每个整点都会输出上一个小时所有员工的模型5结果。模型5输出格式与模型1、模型2输出格式类似,不再赘述。
模型6:统计员工在历史上(阈值可调整,例如:过去30天)查看员工资料的数量超过一定数值(阈值可调整,例如:1000位员工)。如果符合条件,那么就输出“模型6为真”,否则输出“模型6为假”。模型6会持续分析,例如:每天都会输出过去30天所有员工的模型6结果。模型6输出格式与模型1、模型2输出格式类似,不再赘述。
模型7:统计员工在历史上(阈值可调整,例如:过去30天)复制员工资料的数量超过一定数值(阈值可调整,例如:1000位员工)。如果符合条件,那么就输出“模型7为真”,否则输出“模型7为假”。模型7会持续分析,例如:每天都会输出过去30天所有员工的模型7结果。模型7输出格式与模型1、模型2输出格式类似,不再赘述。
模型8:统计员工在历史上(阈值可调整,例如:过去30天)截屏员工资料的数量超过一定数值(阈值可调整,例如:1000位员工)。如果符合条件,那么就输出“模型8为真”,否则输出“模型8为假”。模型8会持续分析,例如:每天都会输出过去30天所有员工的模型8结果。模型8输出格式与模型1、模型2输出格式类似,不再赘述。
模型9:统计员工在历史上(阈值可调整,例如:过去30天)查看组织架构节点及员工的数量超过一定数值(阈值可调整,例如:50个节点1000位员工)。如果符合条件,那么就输出“模型9为真”,否则输出“模型9为假”。模型9会持续分析,例如:每天都会输出过去30天所有员工的模型9结果。模型9输出格式与模型1、模型2输出格式类似,不再赘述。
相应的,所述对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果,包括:
从所述至少一种分析维度中逐个选取得到目标分析维度,根据选取得到的所述目标分析维度确定分析周期以及目标类型的操作;
获取到在所述分析周期内所述用户的全部操作行为信息;
基于所述全部操作行为信息,获取到所述用户执行目标类型的操作所针对的目标对象的数量;
判断所述目标对象的数量是否超过预设第一门限值,若超过,则确定在所述目标分析维度的分析结果为用户执行异常操作。
上述逐个选取得到目标分析维度可以为并行的进行选取,也就是说,可以针对分析维度的数量设置相应数量的分析通道,每一个分析通道选取一个目标分析维度,并且每一个分析通道之间的分析处理并不会相互影响。
获取到在所述分析周期内所述用户的全部操作行为信息可以为:根据当前时刻以及所述分析周期的长度确定起始时刻;基于所述起始时刻以及当前时刻,选取在上述两个时刻之间的全部操作行为信息。
比如,可以参见图5,针对了用户A的多个操作行为信息进行第一分析维度的分析,具体的:
假设用户A中的几个操作行为信息中包括有操作行为信息1:1月1号1:00、执行截屏操作、针对目标用户A,此外还有操作行为信息2、3、4、5等多个操作行为信息,在此不对其中的信息进行重复说明;
第一分析维度中至少需要对1个小时内的复制操作,假设当前时刻为2点整,那么1个小时之内为1点到2点之间的复制操作对应的操作行为信息,因此通过对用户A的操作行为信息的分析可以得到操作行为信息1和操作行为信息2两个,并且进一步根据操作行为信息1和操作行为信息2可以确定本次操作的目标对象有2个;
最终基于上述分析得到分析结果;具体来说,假设第一门限值为1,那么分析结果为用户执行了异常操作;假设第一门限值为3,那么分析结果为用户没有执行异常操作。
需要进一步地说明的是,所述分析结果可以采用1表示用户执行异常操作,采用0标识用户没有执行异常操作。
进一步地,所述基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的操作行为的行为级别的检测结果,包括:
获取到表征用户执行异常操作的分析结果的数量,判断所述数量是否超过第二门限值,若超过,则确定检测结果为所述用户为第一行为级别的用户,否则,确定检测结果为用户为第二行为级别的用户;其中,所述第一行为级别高于所述第二行为级别。
其中,所述第一行为级别可以为用户为执行高风险行为级别的用户,第二行为级别可以为用户为非高风险行为级别的用户。
上述第二门限值可以根据实际情况进行设置,还可以进一步结合分析维度的数量进行设置;比如,当前具备八个分析维度,那么第二门限值可以为4;或者直接设置第二门限值为三,在这里不对第二门限值的设置进行穷举。另外,管理人员还可以对第二门限值进行调整,可以为周期性的进行调整。
比如,参见图6,还是针对用户A的操作行为信息进行分析,可以具备N个分析维度,N为大于等于2的整数;假设当前每一个分析维度对应的分析结果均表征用户执行异常行为大于第二门限值,那么最终的检测结果为用户为高危用户。
还可以参见图7,假设当前仅有第一分析维度的分析结果表征用户执行异常行为、即小于第二门限值,检测结果可以确定用户为非高危用户。
进一步需要说明的是,上述场景中仅对用户进行高危险级别和非高危险级别两种类别的划分,实际处理中还可以设置更多的门限值,也就是说对第二行为级别的用户进行更加细化的划分,假设还可以设置小于第二门限值的第三门限值:
当分析结果表征用户执行异常行为的数量大于等于第三门限值但是小于第二门限值时,可以确定用户为待观察用户,也就是说,虽然用户不是高危类型的用户,但是需要对该用户提高警惕进行观察;当分析结果表征用户执行异常行为的数量小于第三门限值时,确定用户为正常用户。
上述两个门限值的划分方式也仅为一种处理方式,可以设置三个或更多的门限值进行细化,本实施例不进行穷举。
上述实施例应用于单位管理***中时,能够通过对每一个员工访问组织架构信息的行为进行分析,根据异常模型判断员工是否存在恶意导入组织架构信息的行为,并根据检测到的用户的行为类型确定是否向负责单位发出告警。首先,采集所有员工访问组织架构的行为,包括:查看员工资料的操作,复制员工资料操作,将员工资料截屏的操作,查看组织架构树的操作,将组织架构树截屏的操作等。然后,根据至少一个分析维度设计异常模型,包括:短时间查看大量员工资料,复制大量员工资料,截屏大量员工资料,短时间查看组织架构树多个节点及成员,截屏多个组织架构节点,历史累计查看大量员工的资料,历史累计复制大量员工资料,历史累计截屏大量员工资料,历史累计查看大量组织架构数节点的成员。最终通过告警模块,将异常行为分级,例如:分为可疑、高危两个级别。根据异常行为级别实施不同的告警措施,例如:可疑行为,采用邮件告警。高危行为,采用短信、电话告警。
可见,通过采用上述方案,就能够获取到用户的操作行为信息,通过从至少一个分析维度对用户的操作行为信息进行分析并且得到至少一个分析结果,进而基于分析结果确定用于针对所述用户的行为级别的检测结果。如此,通过自动的采集用户的操作行为并进而进行分析的处理方式,避免了人工进行监控带来的无检测等问题,提升了检测结果的正确率,进一步地,能够基于用户的操作对用户进行行为监控,提升了所在的***的信息安全性。
实施例二、
本发明实施例提供了一种操作行为检测方法,如图8所示,包括:
步骤801:获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;
步骤802:对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;
步骤803:对所述至少一个分析维度进行优先级划分,得到N个优先级分别对应的分析维度,N为大于等于二的整数;
步骤804:根据N个优先级对应的至少一个分析维度的至少一个分析结果,获取到针对所述用户的行为级别的检测结果。
首先需要说明的是,本实施例可以应用于网络侧,具体的,可以为应用于管理设备,或者是服务器。
上述获取到用户的操作行为信息的方式可以为:通过与其建立通信连接的客户端,获取到所述客户端上报的用户的操作行为信息。需要理解的是,本实施例中不对连接的客户端,或者针对的用户的数量进行限定,可以为一个也可以多个,可以根据实际情况进行设置。
本发明实施例的一个场景可以参见图2,在这个场景中可以存在多个用户多个客户端,并且由服务器对多个用户的客户端上传的操作行为信息进行分析,另外每一个客户端与服务器之间建立连接的方式可以不进行限定,比如用户A、用户B和用户C通过有线通信网与服务器建立连接,用户D则可以通过无线通信与服务器侧建立连接。
所述目标对象可以为本实施例所应用到的网络***相关,比如,应用到单位的管理网络***中,目标对象可以为单位的全部员工。相应的,所述至少一种操作可以为根据实际情况设定的关心的操作类型,比如,可以由查看目标对象的操作、复制目标对象的资料的操作、截屏目标对象的资料的操作、查看或截屏由至少一个目标对象组成的组织架构的操作等。
进一步的,对客户端进行用户的操作行为的采集的方式进行说明:客户端采集员工访问组织架构的行为,包括以下至少之一:查看员工资料的操作,复制员工资料操作,将员工资料截屏的操作,查看组织架构树的操作,将组织架构树截屏的操作等。
比如,参见图3提供的是一种用户A通过单位提供的笔记本查看单位的组织架构,并且查看其中目标对象A以及目标对象B的详细资料的操作行为,具体可以查看了每一个目标对象的职位、入职时长、毕业院校、联系方式等等信息。
操作行为信息中可以至少包括有以下信息:用户名,操作时间,操作IP,操作设备,操作行为类型,行为详细描述(查看了哪些员工的资料,复制了哪些员工的资料,或截屏的图片)。
本实施例与实施例一不同,在本场景下基于至少一种分析维度进行优先级划分,并且基于不同优先级的分析结果进行最终的检测结果的生成。具体参见以下说明:
所述方法还包括:划分得到至少一种分析维度;其中,每一种所述分析维度中至少包括有一种分析周期、以及一种目标类型的操作。
其中,所述分析周期可以根据实际情况进行设置,比如可以设置为一个小时、24小时、15天、30天或者3个月等多种长度。另外,每一种分析维度中的目标类型的操作可以为复制操作、截屏操作、查看操作中的任意一种。
具体来说,每一种分析维度可以对应一个模型,比如,可以参见图2,图中示出四个分析维度分别对应的模型一、模型二、模型三、模型四;其中,每一个模型中均设置有对应的分析周期长度,以及针对的目标操作类型,比如,模型一中针对1个小时之内的执行复制操作,模型二可以为针对1个小时内的查看操作,模型三针对了10天内的查看操作,模型四针对了10天内的截屏操作。
可以理解的是,上述图4所示的几个分析维度对应的模型仅为一种示例,实际处理中可以具备更多的时长以及目标操作的组合操作,
具体来说,分析维度对应的模型可以包括的种类与实施例一相同,这里不再进行赘述。
本实施例中,所述根据N个优先级对应的至少一个分析维度的至少一个分析结果,获取到针对所述用户的行为级别的检测结果,具体可以包括:
判断第i优先级中是否具备至少一个分析结果表征所述用户执行异常操作时,若具备至少一个分析结果表征所述用户执行异常操作,则确定所述用户为第i优先级对应的行为级别的用户,结束处理;其中,i为大于等于1且小于等于N的整数;
若不具备至少一个分析结果表征所述用户执行异常操作,则判断第i+1优先级中是否具备至少一个分析结果表征所述用户执行异常操作,依次类推。
其中,每一个优先级可以对应某种预设的行为级别,比如,第一优先级可以对应为高危级别、第二优先级可以对应疑似高危级别、第三优先级为正常级别等等。可以理解的是,上述几种优先级的行为级别的对应仅为示例,实际处理中可以将优先级划分的更加细致,从而能够对应更多的行为级别。
比如,可以参见图9,假设当前有六个分析维度,并且每一个分析维度均对应一种优先级,假设图中所示,第一分析维度和第三分析维度为第一优先级,第五和第六分析维度为第二优先级,第二和第四分析维度为第三优先级。
不论每一个分析维度对应了哪一个优先级,都会执行进行分析并且得到分析结果的处理,比如,参见图10,针对所有的分析维度均会进行处理得到每一个分析维度对应的结果,图中采用“真”来代表得到的分析结果为用户执行了异常操作,采用“假”来代表分析结果为用户未执行异常操作。
结合图10的每一个分析维度的分析结果,按照优先级的顺序进行判断,首先第一优先级对应的第一和第三分析维度对应的分析结果均为真,就是说,均表征用户执行了异常操作,由于这两个分析维度级别较高,因此就可以直接判断该用户为高危用户,然后可以不再对第二以及第三优先级的分析结果进行进一步的分析。可以理解的是,图中示例给出的第一优先级全部分析结果为真然后得到的检测结果,但是,实际处理中可以将检测结果的判决设置为只要第一优先级对应的分析维度中有一个分析结果为真,就可以确定用户为第一优先级对应的行为级别。
结合图11,假设第一优先级对应的分析维度的分析结果均为假,那么就基于第二优先级的分析结果的处理,图中可以看出第二优先级的分析结果中有一个为真,那么就确定检测结果为用户未第二优先级对应的行为级别,即疑似高危用户。
上述实施例应用于单位管理***中时,能够通过对每一个员工访问组织架构信息的行为进行分析,根据异常模型判断员工是否存在恶意导入组织架构信息的行为,并根据检测到的用户的行为类型确定是否向负责单位发出告警。首先,采集所有员工访问组织架构的行为,包括:查看员工资料的操作,复制员工资料操作,将员工资料截屏的操作,查看组织架构树的操作,将组织架构树截屏的操作等。然后,根据至少一个分析维度设计异常模型,包括:短时间查看大量员工资料,复制大量员工资料,截屏大量员工资料,短时间查看组织架构树多个节点及成员,截屏多个组织架构节点,历史累计查看大量员工的资料,历史累计复制大量员工资料,历史累计截屏大量员工资料,历史累计查看大量组织架构数节点的成员。最终通过告警模块,将异常行为分级,例如:分为可疑、高危两个级别。根据异常行为级别实施不同的告警措施,例如:可疑行为,采用邮件告警。高危行为,采用短信、电话告警。
可见,通过采用上述方案,就能够获取到用户的操作行为信息,通过从至少一个分析维度对用户的操作行为信息进行分析并且得到至少一个分析结果,进而基于分析结果确定用于针对所述用户的行为级别的检测结果。如此,通过自动的采集用户的操作行为并进而进行分析的处理方式,避免了人工进行监控带来的无检测等问题,提升了检测结果的正确率,进一步地,能够基于用户的操作对用户进行行为监控,提升了所在的***的信息安全性。
实施例三、
基于实施例一或实施例二提供的方案,本实施例针对得到检测结果之后,判断是否发出告警信息进行进一步说明:根据针对所述用户的行为级别的检测结果,确定是否生成并输出至少包括有所述用户的行为级别的提示信息。
具体来说,参见图12,根据行为级别实施不同的告警措施,例如:可疑级别,采用邮件向安全管理员告警。高危级别,采用短信、电话向安全管理员告警。正常级别,可以确定不进行告警。告警手段包括但不限于邮件、短信、电话。
如此,通过采集数据,可以及时发现员工恶意导出组织架构敏感资料的行为并发出告警,以便安全管理员采取措施阻止企业信息泄露事件。另外,通过记录员工异常行为,可以在实施法律制裁时,提供有效的电子证据。
实施例四、
本发明实施例提供了一种服务器,如图13所示,所述服务器包括:
记录行为模块1301,用于获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;
异常分析模块1302,用于对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。
上述记录行为模块,用于通过与其建立通信连接的客户端,获取到所述客户端上报的用户的操作行为信息。需要理解的是,本实施例中不对连接的客户端,或者针对的用户的数量进行限定,可以为一个也可以多个,可以根据实际情况进行设置。
本发明实施例的一个场景可以参见图2,在这个场景中可以存在多个用户多个客户端,并且由服务器对多个用户的客户端上传的操作行为信息进行分析,另外每一个客户端与服务器之间建立连接的方式可以不进行限定,比如用户A、用户B和用户C通过有线通信网与服务器建立连接,用户D则可以通过无线通信与服务器侧建立连接。
所述目标对象可以为本实施例所应用到的网络***相关,比如,应用到单位的管理网络***中,目标对象可以为单位的全部员工。相应的,所述至少一种操作可以为根据实际情况设定的关心的操作类型,比如,可以由查看目标对象的操作、复制目标对象的资料的操作、截屏目标对象的资料的操作、查看或截屏由至少一个目标对象组成的组织架构的操作等。
操作行为信息中可以至少包括有以下信息:用户名,操作时间,操作IP,操作设备,操作行为类型,行为详细描述(查看了哪些员工的资料,复制了哪些员工的资料,或截屏的图片)。
本实施例提供一种处理场景,在本场景下基于至少一种分析维度进行分析,并且根据得到的表征用户为执行异常操作的分析结果的数量进行检测结果的生成。具体参见以下说明:
所述异常分析模块,用于划分得到至少一种分析维度;其中,每一种所述分析维度中至少包括有一种分析周期、以及一种目标类型的操作。
其中,所述分析周期可以根据实际情况进行设置,比如可以设置为一个小时、24小时、15天、30天或者3个月等多种长度。另外,每一种分析维度中的目标类型的操作可以为复制操作、截屏操作、查看操作中的任意一种。
具体来说,每一种分析维度可以对应一个模型,比如,可以参见图2,图中示出四个分析维度分别对应的模型一、模型二、模型三、模型四;其中,每一个模型中均设置有对应的分析周期长度,以及针对的目标操作类型,比如,模型一中针对1个小时之内的执行复制操作,模型二可以为针对1个小时内的查看操作,模型三针对了10天内的查看操作,模型四针对了10天内的截屏操作。
可以理解的是,上述图4所示的几个分析维度对应的模型仅为一种示例,实际处理中可以具备更多的时长以及目标操作的组合操作,
具体来说,分析维度对应的模型可以包括但不限于以下几种:
模型1:统计员工在短时间(阈值可调整,例如:2个小时)查看其他员工资料数量超过一定数值(阈值可调整,例如:5位员工)。如果符合条件,那么就输出“模型1为1”,否则输出“模型1为0”。模型1会持续分析,例如:一天24小时,每个整点都会输出上一个小时所有员工的模型1结果。假设机构有3个员工,模型1输出格式如下:
2016.5.1 9:00——员工1,模型1为1;员工2,模型1为0;员工3,模型1为0。
2016.5.1 11:00——员工1,模型1为0;员工2,模型1为0;员工3,模型1为0。
2016.5.1 13:00——员工1,模型1为0;员工2,模型1为0;员工3,模型1为0。
模型2:统计员工在历史上(阈值可调整,例如:过去10天)查看员工资料的数量超过一定数值(阈值可调整,例如:40位员工)。如果符合条件,那么就输出“模型6为1”,否则输出“模型6为0”。输出格式与模型1输出格式类似,不再赘述。
所述异常分析模块,用于从所述至少一种分析维度中逐个选取得到目标分析维度,根据选取得到的所述目标分析维度确定分析周期以及目标类型的操作;获取到在所述分析周期内所述用户的全部操作行为信息;基于所述全部操作行为信息,获取到所述用户执行目标类型的操作所针对的目标对象的数量;判断所述目标对象的数量是否超过预设第一门限值,若超过,则确定在所述目标分析维度的分析结果为用户执行异常操作。
上述逐个选取得到目标分析维度可以为并行的进行选取,也就是说,可以针对分析维度的数量设置相应数量的分析通道,每一个分析通道选取一个目标分析维度,并且每一个分析通道之间的分析处理并不会相互影响。
获取到在所述分析周期内所述用户的全部操作行为信息可以为:根据当前时刻以及所述分析周期的长度确定起始时刻;基于所述起始时刻以及当前时刻,选取在上述两个时刻之间的全部操作行为信息。
比如,可以参见图5,针对了用户A的多个操作行为信息进行第一分析维度的分析,具体的:
假设用户A中的几个操作行为信息中包括有操作行为信息1:1月1号1:00、执行截屏操作、针对目标用户A,此外还有操作行为信息2、3、4、5等多个操作行为信息,在此不对其中的信息进行重复说明;
第一分析维度中至少需要对1个小时内的复制操作,假设当前时刻为2点整,那么1个小时之内为1点到2点之间的复制操作对应的操作行为信息,因此通过对用户A的操作行为信息的分析可以得到操作行为信息1和操作行为信息2两个,并且进一步根据操作行为信息1和操作行为信息2可以确定本次操作的目标对象有2个;
最终基于上述分析得到分析结果;具体来说,假设第一门限值为1,那么分析结果为用户执行了异常操作;假设第一门限值为3,那么分析结果为用户没有执行异常操作。
需要进一步地说明的是,所述分析结果可以采用1表示用户执行异常操作,采用0标识用户没有执行异常操作。
进一步地,所述异常分析模块,用于获取到表征用户执行异常操作的分析结果的数量,判断所述数量是否超过第二门限值,若超过,则确定检测结果为所述用户为第一行为级别的用户,否则,确定检测结果为用户为第二行为级别的用户;其中,所述第一行为级别高于所述第二行为级别。
其中,所述第一行为级别可以为用户为执行高风险行为级别的用户,第二行为级别可以为用户为非高风险行为级别的用户。
上述第二门限值可以根据实际情况进行设置,还可以进一步结合分析维度的数量进行设置;比如,当前具备八个分析维度,那么第二门限值可以为4;或者直接设置第二门限值为三,在这里不对第二门限值的设置进行穷举。另外,管理人员还可以对第二门限值进行调整,可以为周期性的进行调整。
比如,参见图6,还是针对用户A的操作行为信息进行分析,可以具备N个分析维度,N为大于等于2的整数;假设当前每一个分析维度对应的分析结果均表征用户执行异常行为大于第二门限值,那么最终的检测结果为用户为高危用户。
还可以参见图7,假设当前仅有第一分析维度的分析结果表征用户执行异常行为、即小于第二门限值,检测结果可以确定用户为非高危用户。
进一步需要说明的是,上述场景中仅对用户进行高危险级别和非高危险级别两种类别的划分,实际处理中还可以设置更多的门限值,也就是说对第二行为级别的用户进行更加细化的划分,假设还可以设置小于第二门限值的第三门限值:
当分析结果表征用户执行异常行为的数量大于等于第三门限值但是小于第二门限值时,可以确定用户为待观察用户,也就是说,虽然用户不是高危类型的用户,但是需要对该用户提高警惕进行观察;当分析结果表征用户执行异常行为的数量小于第三门限值时,确定用户为正常用户。
上述两个门限值的划分方式也仅为一种处理方式,可以设置三个或更多的门限值进行细化,本实施例不进行穷举。
可见,通过采用上述方案,就能够获取到用户的操作行为信息,通过从至少一个分析维度对用户的操作行为信息进行分析并且得到至少一个分析结果,进而基于分析结果确定用于针对所述用户的行为级别的检测结果。如此,通过自动的采集用户的操作行为并进而进行分析的处理方式,避免了人工进行监控带来的无检测等问题,提升了检测结果的正确率,进一步地,能够基于用户的操作对用户进行行为监控,提升了所在的***的信息安全性。
实施例五、
本发明实施例提供了一种服务器,如图13所示,所述服务器包括:
记录行为模块1301,用于获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;
异常分析模块1302,用于对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。
首先需要说明的是,本实施例可以应用于网络侧,具体的,可以为应用于管理设备,或者是服务器。
上述获取到用户的操作行为信息的方式可以为:通过与其建立通信连接的客户端,获取到所述客户端上报的用户的操作行为信息。需要理解的是,本实施例中不对连接的客户端,或者针对的用户的数量进行限定,可以为一个也可以多个,可以根据实际情况进行设置。
本发明实施例的一个场景可以参见图2,在这个场景中可以存在多个用户多个客户端,并且由服务器对多个用户的客户端上传的操作行为信息进行分析,另外每一个客户端与服务器之间建立连接的方式可以不进行限定,比如用户A、用户B和用户C通过有线通信网与服务器建立连接,用户D则可以通过无线通信与服务器侧建立连接。
所述目标对象可以为本实施例所应用到的网络***相关,比如,应用到单位的管理网络***中,目标对象可以为单位的全部员工。相应的,所述至少一种操作可以为根据实际情况设定的关心的操作类型,比如,可以由查看目标对象的操作、复制目标对象的资料的操作、截屏目标对象的资料的操作、查看或截屏由至少一个目标对象组成的组织架构的操作等。
进一步的,对客户端进行用户的操作行为的采集的方式进行说明:客户端采集员工访问组织架构的行为,包括以下至少之一:查看员工资料的操作,复制员工资料操作,将员工资料截屏的操作,查看组织架构树的操作,将组织架构树截屏的操作等。
比如,参见图3提供的是一种用户A通过单位提供的笔记本查看单位的组织架构,并且查看其中目标对象A以及目标对象B的详细资料的操作行为,具体可以查看了每一个目标对象的职位、入职时长、毕业院校、联系方式等等信息。
操作行为信息中可以至少包括有以下信息:用户名,操作时间,操作IP,操作设备,操作行为类型,行为详细描述(查看了哪些员工的资料,复制了哪些员工的资料,或截屏的图片)。
本实施例基于至少一种分析维度进行优先级划分,并且基于不同优先级的分析结果进行最终的检测结果的生成。具体参见以下说明:
所述异常分析模块,用于划分得到至少一种分析维度;其中,每一种所述分析维度中至少包括有一种分析周期、以及一种目标类型的操作。
其中,所述分析周期可以根据实际情况进行设置,比如可以设置为一个小时、24小时、15天、30天或者3个月等多种长度。另外,每一种分析维度中的目标类型的操作可以为复制操作、截屏操作、查看操作中的任意一种。
具体来说,每一种分析维度可以对应一个模型,比如,可以参见图2,图中示出四个分析维度分别对应的模型一、模型二、模型三、模型四;其中,每一个模型中均设置有对应的分析周期长度,以及针对的目标操作类型,比如,模型一中针对1个小时之内的执行复制操作,模型二可以为针对1个小时内的查看操作,模型三针对了10天内的查看操作,模型四针对了10天内的截屏操作。
可以理解的是,上述图4所示的几个分析维度对应的模型仅为一种示例,实际处理中可以具备更多的时长以及目标操作的组合操作,
具体来说,分析维度对应的模型可以包括的种类与实施例一相同,这里不再进行赘述。
本实施例中,所述异常分析模块,用于对所述至少一个分析维度进行优先级划分,得到N个优先级分别对应的分析维度,N为大于等于二的整数;根据N个优先级对应的至少一个分析维度的至少一个分析结果,获取到针对所述用户的行为级别的检测结果。
所述异常分析模块,用于判断第i优先级中是否具备至少一个分析结果表征所述用户执行异常操作时,若具备至少一个分析结果表征所述用户执行异常操作,则确定所述用户为第i优先级对应的行为级别的用户,结束处理;其中,i为大于等于1且小于等于N的整数;若不具备至少一个分析结果表征所述用户执行异常操作,则判断第i+1优先级中是否具备至少一个分析结果表征所述用户执行异常操作,依次类推。
其中,每一个优先级可以对应某种预设的行为级别,比如,第一优先级可以对应为高危级别、第二优先级可以对应疑似高危级别、第三优先级为正常级别等等。可以理解的是,上述几种优先级的行为级别的对应仅为示例,实际处理中可以将优先级划分的更加细致,从而能够对应更多的行为级别。
比如,可以参见图9,假设当前有六个分析维度,并且每一个分析维度均对应一种优先级,假设图中所示,第一分析维度和第三分析维度为第一优先级,第五和第六分析维度为第二优先级,第二和第四分析维度为第三优先级。
不论每一个分析维度对应了哪一个优先级,都会执行进行分析并且得到分析结果的处理,比如,参见图10,针对所有的分析维度均会进行处理得到每一个分析维度对应的结果,图中采用“真”来代表得到的分析结果为用户执行了异常操作,采用“假”来代表分析结果为用户未执行异常操作。
结合图10的每一个分析维度的分析结果,按照优先级的顺序进行判断,首先第一优先级对应的第一和第三分析维度对应的分析结果均为真,就是说,均表征用户执行了异常操作,由于这两个分析维度级别较高,因此就可以直接判断该用户为高危用户,然后可以不再对第二以及第三优先级的分析结果进行进一步的分析。可以理解的是,图中示例给出的第一优先级全部分析结果为真然后得到的检测结果,但是,实际处理中可以将检测结果的判决设置为只要第一优先级对应的分析维度中有一个分析结果为真,就可以确定用户为第一优先级对应的行为级别。
结合图11,假设第一优先级对应的分析维度的分析结果均为假,那么就基于第二优先级的分析结果的处理,图中可以看出第二优先级的分析结果中有一个为真,那么就确定检测结果为用户未第二优先级对应的行为级别,即疑似高危用户。
可见,通过采用上述方案,就能够获取到用户的操作行为信息,通过从至少一个分析维度对用户的操作行为信息进行分析并且得到至少一个分析结果,进而基于分析结果确定用于针对所述用户的行为级别的检测结果。如此,通过自动的采集用户的操作行为并进而进行分析的处理方式,避免了人工进行监控带来的无检测等问题,提升了检测结果的正确率,进一步地,能够基于用户的操作对用户进行行为监控,提升了所在的***的信息安全性。
实施例六、
基于实施例四或实施例五提供的方案,在图13的基础上,本实施例结合图14本实施例针对得到检测结果之后,判断是否发出告警信息进行进一步说明:所述服务器还包括:
告警模块1303,用于根据针对所述用户的行为级别的检测结果,确定是否生成并输出至少包括有所述用户的行为级别的提示信息。
具体来说,根据行为级别实施不同的告警措施,例如:可疑级别,采用邮件向安全管理员告警。高危级别,采用短信、电话向安全管理员告警。正常级别,可以确定不进行告警。告警手段包括但不限于邮件、短信、电话。
如此,通过采集数据,可以及时发现员工恶意导出组织架构敏感资料的行为并发出告警,以便安全管理员采取措施阻止企业信息泄露事件。另外,通过记录员工异常行为,可以在实施法律制裁时,提供有效的电子证据。
实施例七、
本发明实施例提供了一种操作行为检测***,如图15所示,该***包括:
客户端1501,用于上报用户的操作行为信息;
服务器1502,用于接收到客户端上报的用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。
进一步地,如图16所示,所述客户端包括:
采集模块1601,用于采集用户针对至少一个目标对象的至少一种操作;
上报模块1602,用于将采集得到的针对至少一个目标对象的至少一种操作生成用户的操作行为信息,并发送所述操作行为信息至所述服务器。
客户端采集模块1601,用于采集员工访问组织架构的行为,包括但不限于:查看员工资料的操作,复制员工资料操作,将员工资料截屏的操作,查看组织架构树的操作,将组织架构树截屏的操作等。
采集后,上报模块1602,用于按照以下格式发到服务端:用户名,操作时间,操作IP,操作设备,操作行为类型,行为详细描述(查看了哪些员工的资料,复制了哪些员工的资料,或截屏的图片)。
结合图17进一步地对本实施例的***设计进行说明,***设计分为:客户端采集模块和上报模块,服务器端的记录行为模块,服务端异常分析模块,告警模块,共4个部分。服务端记录行为模块,这个模块用于存放客户端上报的数据。数据库存储格式为:用户名,操作时间,操作IP,操作设备,操作行为类型,行为详细描述(查看了哪些员工的资料,复制了哪些员工的资料,或截屏的图片)。对于截屏的图片,使用识别图像内文字技术处理,得到截屏内包含的组织架构信息及员工姓名。然后再存储到数据库。
服务端异常分析模块,用于分析员工的异常行为。包含多种异常分析模型,彼此独立分析。至少一个分析维度对应的模型包括但不限于上述几个实施例中提供的模型,在此不做赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个模块或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或模块的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的模块可以是、或也可以不是物理上分开的,作为模块显示的部件可以是、或也可以不是物理模块,即可以位于一个地方,也可以分布到多个网络模块上;可以根据实际的需要选择其中的部分或全部模块来实现本实施例方案的目的。
另外,在本发明各实施例中的各功能模块可以全部集成在一个处理模块中,也可以是各模块分别单独作为一个模块,也可以两个或两个以上模块集成在一个模块中;上述集成的模块既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本实施例基于上述设备实施例提供一个具体的硬件,如图18所示,所述服务包括处理器、存储介质以及至少一个外部通信接口;所述处理器、存储介质以及外部通信接口均通过总线连接。所述处理器可为微处理器、中央处理器、数字信号处理器或可编程逻辑阵列等具有处理功能的电子元器件。所述存储介质中存储有计算机可执行代码。
所述硬件可以为所述服务器。所述处理器执行所述计算机可执行代码时,至少能实现以下功能:获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。

Claims (15)

1.一种操作行为检测方法,其特征在于,该方法包括:
获取到用户访问组织架构的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;所述操作包括查看员工资源,复制员工资料,将员工资料截屏,查看组织结构树,将组织结构树截屏中至少之一;
对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;
对所述至少一个分析维度进行优先级划分,得到N个优先级分别对应的分析维度,N为大于等于二的整数;
当第i优先级中具备至少一个分析结果表征所述用户执行异常操作时,确定所述用户为第i优先级对应的行为级别的用户;其中,i为大于等于1且小于等于N的整数。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
划分得到至少一种分析维度;其中,每一种所述分析维度中至少包括有一种分析周期、以及一种目标类型的操作。
3.根据权利要求2所述的方法,其特征在于,所述对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果,包括:
从所述至少一种分析维度中逐个选取得到目标分析维度,根据选取得到的所述目标分析维度确定分析周期以及目标类型的操作;
获取到在所述分析周期内所述用户的全部操作行为信息;
基于所述全部操作行为信息,获取到所述用户执行目标类型的操作所针对的目标对象的数量;
判断所述目标对象的数量是否超过预设第一门限值,若超过,则确定在所述目标分析维度的分析结果为用户执行异常操作。
4.根据权利要求3所述的方法,其特征在于,所述基于所述用户对应的至少一个分析维度的分析结果,获取到针对所述用户的行为级别的检测结果,包括:
获取到表征用户执行异常操作的分析结果的数量,判断所述数量是否超过第二门限值,若超过,则确定检测结果为所述用户为第一行为级别的用户。
5.根据权利要求1所述的方法,其特征在于,所述根据N个优先级对应的至少一个分析维度的至少一个分析结果,获取到针对所述用户的行为级别的检测结果,包括:
判断第i优先级中是否具备至少一个分析结果表征所述用户执行异常操作时,若具备至少一个分析结果表征所述用户执行异常操作,则确定所述用户为第i优先级对应的行为级别的用户,结束处理;其中,i为大于等于1且小于等于N的整数;
若不具备至少一个分析结果表征所述用户执行异常操作,则判断第i+1优先级中是否具备至少一个分析结果表征所述用户执行异常操作,依次类推。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
根据针对所述用户的行为级别的检测结果,确定是否生成并输出至少包括有所述用户的行为级别的提示信息。
7.一种服务器,其特征在于,所述服务器包括:
记录行为模块,用于获取到用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;
异常分析模块,用于,
对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;
对所述至少一个分析维度进行优先级划分,得到N个优先级分别对应的分析维度,N为大于等于二的整数;
当第i优先级中具备至少一个分析结果表征所述用户执行异常操作时,确定所述用户为第i优先级对应的行为级别的用户;其中,i为大于等于1且小于等于N的整数。
8.根据权利要求7所述的服务器,其特征在于,所述异常分析模块,用于划分得到至少一种分析维度;其中,每一种所述分析维度中至少包括有一种分析周期、以及一种目标类型的操作。
9.根据权利要求8所述的服务器,其特征在于,所述异常分析模块,用于从所述至少一种分析维度中逐个选取得到目标分析维度,根据选取得到的所述目标分析维度确定分析周期以及目标类型的操作;获取到在所述分析周期内所述用户的全部操作行为信息;基于所述全部操作行为信息,获取到所述用户执行目标类型的操作所针对的目标对象的数量;判断所述目标对象的数量是否超过预设第一门限值,若超过,则确定在所述目标分析维度的分析结果为用户执行异常操作。
10.根据权利要求9所述的服务器,其特征在于,所述异常分析模块,用于获取到表征用户执行异常操作的分析结果的数量,判断所述数量是否超过第二门限值,若超过,则确定检测结果为所述用户为第一行为级别的用户。
11.根据权利要求7所述的服务器,其特征在于,所述异常分析模块,用于判断第i优先级中是否具备至少一个分析结果表征所述用户执行异常操作时,若具备至少一个分析结果表征所述用户执行异常操作,则确定所述用户为第i优先级对应的行为级别的用户,结束处理;其中,i为大于等于1且小于等于N的整数;若不具备至少一个分析结果表征所述用户执行异常操作,则判断第i+1优先级中是否具备至少一个分析结果表征所述用户执行异常操作,依次类推。
12.根据权利要求7-11任一项所述的服务器,其特征在于,所述服务器还包括:
告警模块,用于根据针对所述用户的行为级别的检测结果,确定是否生成并输出至少包括有所述用户的行为级别的提示信息。
13.一种操作行为检测***,其特征在于,该***包括:
客户端,用于上报用户的操作行为信息;
服务器,用于接收到客户端上报的用户的操作行为信息,其中,所述操作行为信息中至少包括针对至少一个目标对象的至少一种操作;对所述用户的操作行为信息中的针对至少一个目标对象的至少一种操作进行至少一个分析维度的分析,得到所述用户对应的至少一个分析维度的分析结果;对所述至少一个分析维度进行优先级划分,得到N个优先级分别对应的分析维度,N为大于等于二的整数;当第i优先级中具备至少一个分析结果表征所述用户执行异常操作时,确定所述用户为第i优先级对应的行为级别的用户;其中,i为大于等于1且小于等于N的整数。
14.根据权利要求13所述的***,其特征在于,所述客户端包括:
采集模块,用于采集用户针对至少一个目标对象的至少一种操作;
上报模块,用于将采集得到的针对至少一个目标对象的至少一种操作生成用户的操作行为信息,并发送所述操作行为信息至所述服务器。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有程序指令,所述程序指令被执行时,可以实现如权利要求1至6任一项所述的方法。
CN201610398522.0A 2016-06-06 2016-06-06 一种操作行为检测方法、服务器及*** Active CN107465652B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610398522.0A CN107465652B (zh) 2016-06-06 2016-06-06 一种操作行为检测方法、服务器及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610398522.0A CN107465652B (zh) 2016-06-06 2016-06-06 一种操作行为检测方法、服务器及***

Publications (2)

Publication Number Publication Date
CN107465652A CN107465652A (zh) 2017-12-12
CN107465652B true CN107465652B (zh) 2020-09-11

Family

ID=60545738

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610398522.0A Active CN107465652B (zh) 2016-06-06 2016-06-06 一种操作行为检测方法、服务器及***

Country Status (1)

Country Link
CN (1) CN107465652B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108337290B (zh) * 2017-12-26 2021-06-25 努比亚技术有限公司 一种企业员工网络行为分析的方法和装置
US11245543B2 (en) 2018-06-15 2022-02-08 Microsoft Technology Licensing, Llc Identifying abnormal usage of electronic device
CN114629696A (zh) * 2022-02-28 2022-06-14 天翼安全科技有限公司 一种安全检测方法、装置、电子设备及存储介质
CN116382209B (zh) * 2023-04-19 2023-10-03 扬州市管件厂有限公司 一种无缝弯头加工的工艺优化方法及***

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795612A (zh) * 2014-01-15 2014-05-14 五八同城信息技术有限公司 即时通讯中的垃圾和违法信息检测方法
CN104239197A (zh) * 2014-10-10 2014-12-24 浪潮电子信息产业股份有限公司 一种基于大数据日志分析的管理用户异常行为发现方法
CN104767640A (zh) * 2015-03-25 2015-07-08 亚信科技(南京)有限公司 预警方法及预警***
CN105490872A (zh) * 2015-11-24 2016-04-13 湖北大学 一种网络即时通讯数据信息实时监控***及监控方法
CN106161358A (zh) * 2015-04-01 2016-11-23 阿里巴巴集团控股有限公司 联络信息的管理方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9178753B2 (en) * 2011-08-31 2015-11-03 Salesforce.Com, Inc. Computer implemented methods and apparatus for providing access to an online social network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103795612A (zh) * 2014-01-15 2014-05-14 五八同城信息技术有限公司 即时通讯中的垃圾和违法信息检测方法
CN104239197A (zh) * 2014-10-10 2014-12-24 浪潮电子信息产业股份有限公司 一种基于大数据日志分析的管理用户异常行为发现方法
CN104767640A (zh) * 2015-03-25 2015-07-08 亚信科技(南京)有限公司 预警方法及预警***
CN106161358A (zh) * 2015-04-01 2016-11-23 阿里巴巴集团控股有限公司 联络信息的管理方法及装置
CN105490872A (zh) * 2015-11-24 2016-04-13 湖北大学 一种网络即时通讯数据信息实时监控***及监控方法

Also Published As

Publication number Publication date
CN107465652A (zh) 2017-12-12

Similar Documents

Publication Publication Date Title
CN107465652B (zh) 一种操作行为检测方法、服务器及***
CN113176978B (zh) 基于日志文件的监控方法、***、设备及可读存储介质
CN108650225B (zh) 一种远程安全监测设备、***及远程安全监测方法
CN112953971B (zh) 一种网络安全流量入侵检测方法和***
CN111917877A (zh) 物联网设备的数据处理方法及装置、电子设备、存储介质
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
US20100085182A1 (en) Method for processing alarm data to generate security reports
CN110475124B (zh) 视频卡顿检测方法及装置
CN113011833A (zh) 施工现场的安全管理方法、装置、计算机设备和存储介质
CN112395156A (zh) 故障的告警方法和装置、存储介质和电子设备
CN112118261B (zh) 会话违规访问检测方法及装置
CN112650608B (zh) 异常根因定位方法以及相关装置、设备
CN110933115A (zh) 基于动态session的分析对象行为异常检测方法及装置
EP3343421A1 (en) System to detect machine-initiated events in time series data
CN111163073A (zh) 流量数据处理方法和装置
JP2017097819A (ja) アプリケーション層ログ分析を基礎とする情報セキュリティー管理システム及びその方法
CN112001443A (zh) 网络行为数据的监控方法、装置、存储介质及电子设备
CN115001934A (zh) 一种工控安全风险分析***及方法
JP2023525548A (ja) 識別方法、機器、セキュリティシステム及び記憶媒体
CN116707965A (zh) 一种威胁检测方法、装置、存储介质以及电子设备
CN110012000B (zh) 命令检测方法、装置、计算机设备以及存储介质
CN110543410A (zh) 一种处理集群指标的方法、查询集群指标的方法和装置
CN116015979B (zh) 一种智能安全态势感知方法、***和存储介质
CN109639456A (zh) 一种自动化告警的改进方法及告警数据的自动化处理平台
CN112488569A (zh) 一种风险预警方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant