CN118260176A - 一种业务行为数据处理方法、装置、电子设备及存储介质 - Google Patents

一种业务行为数据处理方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN118260176A
CN118260176A CN202410363686.4A CN202410363686A CN118260176A CN 118260176 A CN118260176 A CN 118260176A CN 202410363686 A CN202410363686 A CN 202410363686A CN 118260176 A CN118260176 A CN 118260176A
Authority
CN
China
Prior art keywords
business
data
behavior
user
business behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202410363686.4A
Other languages
English (en)
Inventor
王永强
张驰俊
蔡上
陈智明
胡红
陈颖聪
李子龙
张嘉慧
谢敏敏
黄科
钟敏
王晓琪
叶嘉铮
王杜鑫
杨灵峰
林婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangdong Power Grid Co Ltd
Meizhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Original Assignee
Guangdong Power Grid Co Ltd
Meizhou Power Supply Bureau of Guangdong Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangdong Power Grid Co Ltd, Meizhou Power Supply Bureau of Guangdong Power Grid Co Ltd filed Critical Guangdong Power Grid Co Ltd
Priority to CN202410363686.4A priority Critical patent/CN118260176A/zh
Publication of CN118260176A publication Critical patent/CN118260176A/zh
Pending legal-status Critical Current

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明实施例公开了一种业务行为数据处理方法、装置、电子设备及存储介质,其中,方法包括:采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理;通过业务行为分析模型确定所述业务行为数据的危险程度评估结果;其中,所述业务行为分析模型包括危险行为指标和所述危险行为指标匹配的权重;根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。本发明实施例的技术方案能够提高业务行为数据中行为识别的准确率,从而为用户提供个性化的安全保护和风险管理。

Description

一种业务行为数据处理方法、装置、电子设备及存储介质
技术领域
本发明实施例涉及计算机软件应用技术领域,尤其涉及一种业务行为数据处理方法、装置、电子设备及存储介质。
背景技术
随着各类电子设备的普及和互联网的发展,用户在设备上的业务行为数据不断增长,这些数据对于业务***的设计和优化具有重要的参考价值。同时,基于用户的不规范操作处理,其业务行为的危险性也逐渐增加。因此,如何对用户的业务行为数据进行准确评估,并基于业务行为数据的评估结果建立对业务***的安全机制,对于***的安全性来说尤为重要。
发明内容
本发明实施例提供一种业务行为数据处理方法、装置、电子设备及存储介质,能够提高业务行为数据中行为识别的准确率,从而为用户提供个性化的安全保护和风险管理。
根据本发明的一方面,提供了一种业务行为数据处理方法,包括:
采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理;
通过业务行为分析模型确定所述业务行为数据的危险程度评估结果;其中,所述业务行为分析模型包括危险行为指标和所述危险行为指标匹配的权重;
根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。
根据本发明的另一方面,提供了一种业务行为数据处理装置,包括:
业务行为数据处理模块,用于采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理;
评估结果确定模块,用于通过业务行为分析模型确定所述业务行为数据的危险程度评估结果;其中,所述业务行为分析模型包括危险行为指标和所述危险行为指标匹配的权重;
警示建议信息生成模块,用于根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的业务行为数据处理方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的业务行为数据处理方法。
本发明实施例通过采集用户的业务行为数据,并根据业务行为数据的数据类型对业务行为数据进行分类处理,以通过业务行为分析模型确定业务行为数据的危险程度评估结果,从而根据业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。由于业务行为分析模型包括危险行为指标和危险行为指标匹配的权重,因此可以准确识别业务行为模型中的危险行为,解决现有业务行为存在的准确率较低的问题,能够提高业务行为数据中行为识别的准确率,从而为用户提供个性化的安全保护和风险管理。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种业务行为数据处理方法的流程图;
图2是本发明实施例二提供的一种业务行为数据处理方法的流程图;
图3是本发明实施例二提供的一种业务行为数据处理方法的流程示意图;
图4是本发明实施例二提供的一种基于业务行为的危险程度分析***的结构示意图;
图5是本发明实施例三提供的一种业务行为数据处理装置的示意图;
图6为本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1是本发明实施例一提供的一种业务行为数据处理方法的流程图,本实施例可适用于根据包括危险行为指标和危险行为指标匹配的权重的业务行为分析模型进行业务行为分析和处理的情况,该方法可以由业务行为数据处理装置来执行,该装置可以由软件和/或硬件的方式来实现,并一般可集成在电子设备中,该电子设备可以是终端设备,也可以是服务器设备,只要能够对业务行为数据进行分析和处理即可,本发明实施例并不对电子设备的具体设备类型进行限定。相应的,如图1所示,该方法包括如下操作:
S110、采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理。
其中,用户的业务行为数据可以是用户基于任意类型电子设备进行业务操作所生成的数据。示例性的,电子设备可以是终端设备或服务器设备等,用户的业务行为数据则可以是用户基于终端进行业务操作触发的行为数据,也还可以是用户基于服务器设备进行业务操作触发的行为数据等,本发明实施例并不对触发生成业务行为数据的电子设备的类型进行限定。
可选的,可以使用插件的方式获取设备用户的业务行为数据,包括设备的日志数据、网络传输数据和应用程序数据。通过与设备或应用程序的接口进行交互,可以获取相关的业务行为数据。示例性的,以终端设备为例说明,可以监控终端设备的日志记录、网络流量捕获或与应用程序进行交互等方式来采集用户的业务行为数据。
相应的,在采集用户的业务行为数据之后,为了提高对用户的业务行为数据分析的准确率,可以首先根据业务行为数据的数据类型对业务行为数据进行分类处理,从而将用户的业务行为数据分为多种类型,并针对每个类型的业务行为数据进行危险性评估,从而提高业务行为数据评估的针对性。
S120、通过业务行为分析模型确定所述业务行为数据的危险程度评估结果;其中,所述业务行为分析模型包括危险行为指标和所述危险行为指标匹配的权重。
其中,业务行为分析模型可以用于量化评估用户的业务行为对设备或***安全性的潜在威胁程度。危险行为指标可以用于指示业务行为分析模型中危险行为的类型,即对各种与安全相关的行为特征进行危险行为定义。
在本发明的一个可选实施例中,在所述采集用户的业务行为数据之前,还可以包括:确定所述业务行为分析模型的各危险行为指标以及各所述危险行为指标匹配的权重;根据所述危险行为指标以及各所述危险行为指标匹配的权重构建所述业务行为分析模型;其中,所述危险行为指标可以包括以下至少一项:访问可疑网站、下载未知来源的应用程序、频繁更改***设置、不同业务***使用网络流量、用户不同应用使用时长、用户执行业务流程异常以及用户打开网站***类型数量。
在通过业务行为分析模型对业务行为数据进行分析之前,可以首先利用历史数据构建业务行为分析模型。可选的,可以对相关历史数据进行分析,以确定各类危险行为指标。和/或,也还可以采用大数据分析以及数据挖掘等技术,对新采集的用户的业务行为数据进行实时分析,以确定各类危险行为指标。在确定各类危险行为指标之后,可以对各类危险行为指标配置匹配的权重。
可选的,在构建业务行为分析模型的初始阶段,各危险行为指标对应的权重值可以根据安全专家的经验和/或历史数据确认的危险行为的危险级别来确定对应的取值情况。每个危险行为指标都可以被赋予一个权重,用于量化评估该危险行为指标对安全的潜在威胁程度。在模型使用阶段,可以实时对模型中各危险行为指标对应的权重值进行动态更新和优化。相应的,业务行为分析模型对匹配成功的各危险行为指标计算其危险程度评估分值,并对计算的各评估分值综合计算得到最终的危险程度评估结果。
在一个具体的例子中,可选的,当危险行为指标至少包括访问可疑网站、下载未知来源的应用程序、频繁更改***设置、不同业务***使用网络流量、用户不同应用使用时长以及用户执行业务流程异常中的一项时,各危险行为指标的初始的权重值可以根据安全专家的经验、历史数据来确认危险行为的危险级别。例如,访问可疑网站的权重可以设置为1,下载未知来源的应用程序的权重可以设置为0.7,频繁更改***的权重可以设置为0.2,不同业务***使用网络流量的权重可以设置为0.5,用户不同应用使用时长的权重可以设置为0.3,用户执行业务流程异常的权重可以设置为0.53、用户打开网站***类型数量设置0.68。
示例性的,业务行为分析模型的表达式可以为:M=a*A+b*B+c*C+……+n*N;其中,M表示业务行为分析模型,A、B、C……N为各危险行为指标,a、b、c……n为各危险行为指标的权重值。上述表达式的含义为,危险行为指标A对应的危险程度评估结果的数值为a,危险行为指标B对应的危险程度评估结果的数值为b,危险行为指标C对应的危险程度评估结果的数值为c,以此类推。其中,危险行为指标的数量可以按需配置,本发明实施例并不对危险行为指标的类型和数量进行限定。
相应的,在确定业务行为分析模型之后,即可根据业务行为分析模型对业务行为数据进行分析,以确定业务行为数据的危险程度评估结果。
示例性的,当业务行为分析模型为:M=0.5*A+0.3*B+0.3*C时,如果业务行为数据所包括的特征匹配命中了危险行为指标A和危险行为指标B,则可以通过业务行为分析模型确定的该业务行为数据的危险程度评估结果为0.5+0.3=0.8。
S130、根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。
相应的,在确定业务行为数据的危险程度评估结果之后,即可利用业务行为数据的危险程度评估结果对用户的业务行为进行总结,生成对应的危险程度报告,危险程度报告的内容可以包括但不限于危险行为的详细描述、危险程度评分和相关的统计数据等。进一步的,可以根据的危险程度报告中包括的风险点对用户的业务行为生成警示建议信息,以对用户进行相应的风险警示或建议措施。警示建议信息可以包括但不限于警告用户当前的危险行为并提醒其采取相应的安全措施。建议措施可以根据评估结果对用户提供个性化的安全建议,帮助用户降低风险。
本发明实施例通过采集用户的业务行为数据,并根据业务行为数据的数据类型对业务行为数据进行分类处理,以通过业务行为分析模型确定业务行为数据的危险程度评估结果,从而根据业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。由于业务行为分析模型包括危险行为指标和危险行为指标匹配的权重,因此可以准确识别业务行为模型中的危险行为,解决现有业务行为存在的准确率较低的问题,能够提高业务行为数据中行为识别的准确率,从而为用户提供个性化的安全保护和风险管理。
实施例二
图2是本发明实施例二提供的一种业务行为数据处理方法的流程图,图3是本发明实施例二提供的一种业务行为数据处理方法的流程示意图,本实施例以上述实施例为基础进行具体化,在本实施例中,给出了通过业务行为分析模型确定业务行为数据的危险程度评估结果的多种具体可选的实现方式。相应的,如图2和图3所示,本实施例的方法可以包括:
S210、采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理。
在本发明的一个可选实施例中,所述根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理,可以包括:在确定所述业务行为数据为设备操作数据的情况下,提取所述业务行为数据的设备操作关键信息,并根据所述设备操作关键信息生成第一类型业务行为数据;其中,所述第一类型业务行为数据包括以下至少一项:用户操作时间、用户ID、业务行为、用户操作***类型、用户执行业务***类型以及用户执行业务流程;在确定所述业务行为数据为网络流量数据的情况下,提取所述业务行为数据的流量关联关键信息,并根据所述流量关联关键信息生成第二类型业务行为数据;其中,所述第二型业务行为数据包括以下至少一项:用户ID、网络流量使用情况、用户操作***类型以及用户执行业务***类型;在确定所述业务行为数据为第三方应用的操作行为数据的情况下,提取所述业务行为数据的第三方应用直接操作关联信息,并根据所述第三方应用直接操作关联信息生成第三类型业务行为数据;其中,所述第三类型业务行为数据包括以下至少一项:用户ID、用户操作***类型、用户打开网页数量以及用户打开网站***类型数量;在确定所述业务行为数据为基于第三方应用操作业务***数据的情况下,提取所述业务行为数据的第三方应用间接操作关联信息,并根据所述第三方应用间接操作关联信息生成第四类型业务行为数据;其中,所述第四类型业务行为数据包括以下至少一项:用户ID、用户操作***类型、用户打开应用类型以及用户使用应用时长。
其中,设备操作数据可以是用户对设备(如终端或服务器等各种设备类型)进行操作的数据。设备操作关键信息可以是从用户对设备进行的各类操作数据中所提取的关键信息。第一类型业务行为数据可以是对业务行为数据的设备操作情况进行分类筛选处理后得到的一种类型的业务行为数据。网络流量数据可以是用户执行业务行为所消耗的流量数据。流量关联关键信息可以是对用户业务行为所消耗的网络流量数据中提取的关键信息。第二类型业务行为数据可以是对业务行为数据的网络流量情况进行分类筛选处理后得到的一种类型的业务行为数据。第三方应用的操作行为数据也即用户直接对第三方应用进行操作的行为数据。第三方应用直接操作关联信息可以是从用户对第三方应用进行操作的行为数据中提取的关键信息。第三类型业务行为数据可以是对业务行为数据的第三方应用直接操作情况进行分类筛选处理后得到的一种类型的业务行为数据。基于第三方应用操作业务***数据可以理解为用户通过第三方应用而非业务***的应用来操作业务***所产生的数据。第三方应用间接操作关联信息也即对用户通过第三方应用来操作业务***所产生的数据中提取的关键信息。第四类型业务行为数据可以是对业务行为数据的第三方应用间接操作情况进行分类筛选处理后得到的一种类型的业务行为数据。
在本发明实施例中,根据分类需求和业务行为数据的数据类型对业务行为数据进行分类处理,可以基本将业务行为数据分为四种类型。具体的,在采集到业务行为数据后,可以从业务行为数据中筛选出设备操作数据,并提取设备操作数据中的关键信息生成第一类型业务行为数据:<用户操作时间,用户ID,业务行为,用户操作***类型,用户执行业务***类型,用户执行业务流程>。也即,第一类型业务行为数据可以为前端直接采集的用户操作数据。和/或,可以从业务行为数据中筛选出网络流量的相关数据,并提取网络流量数据中的关键信息生成第二类型业务行为数据:<用户ID,网络流量使用情况,用户操作***类型,用户执行业务***类型>。也即,第二类型业务行为数据可以为基于流量获取的对应用户操作数据。和/或,可以从业务行为数据中筛选出对第三方应用进行直接操作行为的相关数据,并提取第三方应用的操作行为数据中的关键信息生成第三类型业务行为数据:<用户ID,用户操作***类型,用户打开网页数量,用户打开网站***类型数量>。也即,第三类型业务行为数据可以为用户对第三方应用的操作行为数据。和/或,可以从业务行为数据中筛选出通过第三方应用操作业务***的相关数据,并提取通过第三方应用操作业务***数据中的关键信息生成第四类型业务行为数据:<用户ID,用户操作***类型,用户打开应用类型,用户使用应用时长>。也即,第四类型业务行为数据可以为用户经过第三方应用登录业务***并对其进行操作的数据。
通过上述细化的分类处理,有利于后续对不同类型的业务行为数据危险行为精确的提取相关特征,特征提取准确率更高。
在本发明的一个可选实施例中,所述采集用户的业务行为数据,可以包括:通过定时任务采集用户的原始业务行为数据;所述根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理,可以包括:对所述原始业务行为数据进行行为基础分析,得到行为基础分析数据;在确定当前***时间为周期性数据评估时间的情况下,统计各时段的行为基础分析数据,得到行为统计分析数据;根据所述行为统计分析数据的数据类型对所述行为统计分析数据进行分类处理。
其中,定时任务的定时周期可以按需设定,如1小时或0.5小时等,本发明实施例并不对定时任务的定时周期的具体取值进行限定。原始业务行为数据可以是对用户原始采集的、未经处理的业务行为数据。周期性数据评估时间可以是对业务行为数据按周期评估的时间。行为基础分析数据可以是对原始业务行为数据进行行为基础分析后得到的分析数据。可以理解的是,每个定时任务在对应时段采集的原始业务行为数据都可以对应分析得到一个时段的行为基础分析数据。行为统计分析数据可以是对多个时段的行为基础分析数据进行统计分析后得到的数据。
为了解决业务行为数据量较大引起数据分析缓慢的问题,确保危险评估的准确性,本发明实施例使用定时任务(如2个小时等)的方式定时对采集的原始业务行为数据进行危险程度评估的基础数据分析,例如对原始业务行为数据进行数据预处理等各项基础数据分析内容。后续可以实时判断当前***时间,如果确定当前***时间为周期性数据评估时间,表明当前可以采用业务行为分析模型对业务行为数据进行评估。可选的,周期性数据评估时间可以按照天、星期、月份以及季度等时间间隔确定,本发明实施例对此并不进行限制。相应的,在确定当前***时间为周期性数据评估时间时,可以对上一周期性数据评估时间至当前周期性数据评估时间内生成的各时段的行为基础分析数据进行统计分析评估得到行为统计分析数据,进而在行为统计分析数据的基础上,参考行为统计分析数据的数据类型对行为统计分析数据进行分类处理。
S220、对所述业务行为数据进行数据预处理,得到预处理业务行为数据。
其中,预处理业务行为数据也即对业务行为数据进行预处理后得到的数据。
可选的,对业务行为数据进行数据预处理的方式可以包括但不限于数据清洗、数据归一化以及特征提取等方式,以对业务行为数据进行清洗和筛选数据,去除无效或冗余的信息,从而提高评估的准确性和效率。可选的,数据预处理中涉及的特征提取方式可以是对单条业务行为数据提取关键特征,如时间、用户ID以及当前打开网页等。
S230、提取所述预处理业务行为数据的危险特征。
其中,所述危险特征包括以下至少一项:登录次数、文件下载数量、网络请求频率、用户执行业务流程重复次数、用户打开网站***类型、业务行为频率、访问的资源类型、数据传输量以及用户使用其他应用情况。
可选的,可以采用统计分析以及机器学习等方法,从预处理业务行为数据中提取与危险行为相关的特征,例如统计多条业务行为数据的登录次数、文件下载数量、网络请求频率、用户执行业务流程重复次数、用户打开网站***类型等。危险特征也还可以包括但不限于业务行为频率、访问的资源类型、数据传输量、用户使用其他应用情况等特征。
S240、根据所述预处理业务行为数据的危险特征和所述业务行为分析模型计算所述业务行为数据的危险程度评估结果。
相应的,在提取到预处理业务行为数据的危险特征之后,即可将预处理业务行为数据的危险特征作为属于输入至业务行为分析模型进行匹配计算,得到业务行为数据的危险程度评估结果。可选的,还可以采用机器学习、数据挖掘以及线性回归等技术来优化业务行为分析模型,例如,通过数据挖掘技术对采集的业务行为数据进行大数据分析,并根据分析结果自动增加危险行为指标和匹配的权重等,从而进一步提高业务行为分析模型评估的准确性和效率。
S250、根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。
根据业务行为数据的危险程度评估结果可以生成指定时间段内的用户业务行为的危险程度分析报告。危险程度分析报告的内容可以包括但不限于危险行为的详细描述、危险程度评分和相关的统计数据。危险程度分析报告可以使用图表的方式进行呈现,方便用户理解和分析。例如,2024年03月12日9点到10点这一段时间内,从终端用户A在4个业务***中收集业务数据来看,终端用户A当前时刻未在营销域中有出现业务行为。此时可以比对终端用户A历史情况,当终端用户A历史同一时刻或历史一个星期不在营销域业务***上有过业务行为,则说明终端用户A已不处理营销域业务行为。根据终端业务行为偏离检测情况查看,终端用户A有过1796条业务行为异常情况,后续对其进行告警提示,并可以逐一分析业务行为异常原因。通过查看业务行为数据详情可以确定,终端用户A在做财务域的审查时,涉及到敏感数据需要反复跳转到人资域业务***进行权限认证及申请人员认证,从而导致后台多次的进行人资域业务***进行人员登录并权限认证。
相应的,根据用户业务行为的危险程度分析报告,可以对用户的业务行为进行相应的风险警示或建议措施。风险警示可以包括但不限于警告用户当前的危险行为并提醒其采取相应的安全措施。建议措施可以是根据危险程度评估结果,对用户提供的个性化的安全建议,从而帮助用户降低业务操作潜在的风险。
在本发明的一个可选实施例中,在所述根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息之前,还可以包括:根据所述业务行为数据的危险程度评估结果确定用户的危险行为类型;确定所述危险行为类型的业务行为异常原因数据;根据所述危险行为类型的业务行为异常原因数据调整所述业务行为数据的危险特征。
其中,业务行为异常原因数据可以是引起异常危险行为的原因数据。
为了进一步提高业务行为分析模型评估分析的准确率,在得到业务行为数据的危险程度评估结果之后,还可以根据业务行为数据的危险程度评估结果分析确定用户的危险行为类型,并通过异常详情排查及人工反馈等多种方式确定引起危险行为类型的业务行为异常原因数据。在得到业务行为异常原因数据之后,可以分析其合理性,并根据分析结果调整业务行为数据的危险特征。
在一个具体的例子中,用户在财务域业务***上做审查业务时,涉及到跳转到人资域业务***进行权限认证及申请人员认证的操作行为是正常行为,因此可以不计入危险行为,从而调整该用户对于此类行为的危险特征,将其调整为正常行为特征,避免业务行为分析模型误报。
在本发明的一个可选实施例中,在所述根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息之后,还可以包括:对所述警示建议信息进行学习或数据挖掘,得到危险行为反馈信息;根据所述危险行为反馈信息对所述业务行为分析模型进行优化。
其中,危险行为反馈信息可以是基于警示建议信息深度挖掘得到的对危险行为进行完善的反馈信息。
在本发明实施例中,通过业务行为分析模型的危险程度评估结果生成的警示建议信息还可以具备正向反馈作用。具体的,如图3所示,在得到警示建议信息,可以采用机器学习、大数据分析或数据挖掘等技术对警示建议信息进行学习或数据挖掘,从而基于警示建议信息获取危险行为反馈信息并对业务行为分析模型进行优化。例如,可以新增危险行为指标和危险行为指标匹配的权重,也还可以调整各危险行为指标的权重数值等。
图4是本发明实施例二提供的一种基于业务行为的危险程度分析***的结构示意图,在一个具体的例子中,如图4所示,基于业务行为的危险程度分析***的结构可以包括:数据获取模块、危险行为模型定义模块、数据预处理模块、危险特征提取模块、危险程度评估模块、报告生成模块和警示建议模块。其中,数据获取模块可以用于获取用户的业务行为数据;危险行为模型定义模块可以使用历史数据对危险行为进行危险级别定义;数据预处理模块可以用于对用户的业务行为数据进行数据预处理;危险特征提取模块可以利用统计分析、机器学习等方法,将预处理后的业务行为数据中提取与危险行为相关的特征;危险程度评估模块可以基于预先定义的危险行为模型,对业务行为数据进行危险程度评估;报告生成模块则可以用于根据评估结果生成危险程度报告,警示建议模块则可以根据报告提供风险警示或建议措施。
由此可见,上述基于业务行为的危险程度分析***可以帮助企业或机构更好地识别和评估用户的业务行为风险,从而采取相应的安全措施和防范措施,保护企业或机构的信息安全和资产安全。通过该方法,可以有效地监测和分析用户的业务行为,有效识别用户的危险行为,及时发现异常行为和潜在的威胁,可为用户提供个性化的安全保护和风险管理,从而提高信息安全管理的效率和准确性。本发明实施例提供的业务行为数据处理方法和基于业务行为的危险程度分析***具有广泛的应用前景,可在各种设备和网络环境中使用,适用性更强。
本公开的技术方案中,所涉及用户个人信息(如用户ID、用户操作时间、打开网页或网站数量、网络流量使用情况、业务行为、用户操作***类型、用户执行业务***类型、用户执行业务流程、用户打开应用类型以及用户使用应用时长等)的收集、存储、使用、加工、传输、提供和公开等处理,均符合相关法律法规的规定,且不违背公序良俗。
需要说明的是,以上各实施例中各技术特征之间的任意排列组合也属于本发明的保护范围。
实施例三
图5是本发明实施例三提供的一种业务行为数据处理装置的示意图,如图5所示,所述装置包括:业务行为数据处理模块310、评估结果确定模块320以及警示建议信息生成模块330,其中:
业务行为数据处理模块310,用于采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理;
评估结果确定模块320,用于通过业务行为分析模型确定所述业务行为数据的危险程度评估结果;其中,所述业务行为分析模型包括危险行为指标和所述危险行为指标匹配的权重;
警示建议信息生成模块330,用于根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。
本发明实施例通过采集用户的业务行为数据,并根据业务行为数据的数据类型对业务行为数据进行分类处理,以通过业务行为分析模型确定业务行为数据的危险程度评估结果,从而根据业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。由于业务行为分析模型包括危险行为指标和危险行为指标匹配的权重,因此可以准确识别业务行为模型中的危险行为,解决现有业务行为存在的准确率较低的问题,能够提高业务行为数据中行为识别的准确率,从而为用户提供个性化的安全保护和风险管理。
可选的,业务行为数据处理模块310具体用于:在确定所述业务行为数据为设备操作数据的情况下,提取所述业务行为数据的设备操作关键信息,并根据所述设备操作关键信息生成第一类型业务行为数据;其中,所述第一类型业务行为数据包括以下至少一项:用户操作时间、用户ID、业务行为、用户操作***类型、用户执行业务***类型以及用户执行业务流程;在确定所述业务行为数据为网络流量数据的情况下,提取所述业务行为数据的流量关联关键信息,并根据所述流量关联关键信息生成第二类型业务行为数据;其中,所述第二型业务行为数据包括以下至少一项:用户ID、网络流量使用情况、用户操作***类型以及用户执行业务***类型;在确定所述业务行为数据为第三方应用的操作行为数据的情况下,提取所述业务行为数据的第三方应用直接操作关联信息,并根据所述第三方应用直接操作关联信息生成第三类型业务行为数据;其中,所述第三类型业务行为数据包括以下至少一项:用户ID、用户操作***类型、用户打开网页数量以及用户打开网站***类型数量;在确定所述业务行为数据为基于第三方应用操作业务***数据的情况下,提取所述业务行为数据的第三方应用间接操作关联信息,并根据所述第三方应用间接操作关联信息生成第四类型业务行为数据;其中,所述第四类型业务行为数据包括以下至少一项:用户ID、用户操作***类型、用户打开应用类型以及用户使用应用时长。
可选的,评估结果确定模块320具体用于:对所述业务行为数据进行数据预处理,得到预处理业务行为数据;提取所述预处理业务行为数据的危险特征;其中,所述危险特征包括以下至少一项:登录次数、文件下载数量、网络请求频率、用户执行业务流程重复次数、用户打开网站***类型、业务行为频率、访问的资源类型、数据传输量以及用户使用其他应用情况;根据所述预处理业务行为数据的危险特征和所述业务行为分析模型计算所述业务行为数据的危险程度评估结果。
可选的,业务行为数据处理模块310具体用于:通过定时任务采集用户的原始业务行为数据;对所述原始业务行为数据进行行为基础分析,得到行为基础分析数据;在确定当前***时间为周期性数据评估时间的情况下,统计各时段的行为基础分析数据,得到行为统计分析数据;根据所述行为统计分析数据的数据类型对所述行为统计分析数据进行分类处理。
可选的,业务行为数据处理装置还可以包括业务行为分析模型构建模块,用于:确定所述业务行为分析模型的各危险行为指标以及各所述危险行为指标匹配的权重;根据所述危险行为指标以及各所述危险行为指标匹配的权重构建所述业务行为分析模型;其中,所述危险行为指标包括以下至少一项:访问可疑网站、下载未知来源的应用程序、频繁更改***设置、不同业务***使用网络流量、用户不同应用使用时长、用户执行业务流程异常以及用户打开网站***类型数量。
可选的,业务行为数据处理装置还可以包括模型优化模块,用于:对所述警示建议信息进行学习或数据挖掘,得到危险行为反馈信息;根据所述危险行为反馈信息对所述业务行为分析模型进行优化。
可选的,业务行为数据处理装置还可以包括危险特征调整模块,用于:根据所述业务行为数据的危险程度评估结果确定用户的危险行为类型;确定所述危险行为类型的业务行为异常原因数据;根据所述危险行为类型的业务行为异常原因数据调整所述业务行为数据的危险特征。
上述业务行为数据处理装置可执行本发明任意实施例所提供的业务行为数据处理方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明任意实施例提供的业务行为数据处理方法。
由于上述所介绍的业务行为数据处理装置为可以执行本发明实施例中的业务行为数据处理方法的装置,故而基于本发明实施例中所介绍的业务行为数据处理方法,本领域所属技术人员能够了解本实施例的XX装置的具体实施方式以及其各种变化形式,所以在此对于该业务行为数据处理装置如何实现本发明实施例中的业务行为数据处理方法不再详细介绍。只要本领域所属技术人员实施本发明实施例中业务行为数据处理方法所采用的装置,都属于本申请所欲保护的范围。
实施例四
图6示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图6所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如业务行为数据处理方法。
可选的,业务行为数据处理方法可以包括:采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理;通过业务行为分析模型确定所述业务行为数据的危险程度评估结果;其中,所述业务行为分析模型包括危险行为指标和所述危险行为指标匹配的权重;根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。
在一些实施例中,业务行为数据处理方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的业务行为数据处理方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行业务行为数据处理方法。
本文中以上描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上***的***(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行***、装置或设备使用或与指令执行***、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体***、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的***和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。

Claims (10)

1.一种业务行为数据处理方法,其特征在于,包括:
采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理;
通过业务行为分析模型确定所述业务行为数据的危险程度评估结果;其中,所述业务行为分析模型包括危险行为指标和所述危险行为指标匹配的权重;
根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理,包括:
在确定所述业务行为数据为设备操作数据的情况下,提取所述业务行为数据的设备操作关键信息,并根据所述设备操作关键信息生成第一类型业务行为数据;其中,所述第一类型业务行为数据包括以下至少一项:用户操作时间、用户ID、业务行为、用户操作***类型、用户执行业务***类型以及用户执行业务流程;
在确定所述业务行为数据为网络流量数据的情况下,提取所述业务行为数据的流量关联关键信息,并根据所述流量关联关键信息生成第二类型业务行为数据;其中,所述第二型业务行为数据包括以下至少一项:用户ID、网络流量使用情况、用户操作***类型以及用户执行业务***类型;
在确定所述业务行为数据为第三方应用的操作行为数据的情况下,提取所述业务行为数据的第三方应用直接操作关联信息,并根据所述第三方应用直接操作关联信息生成第三类型业务行为数据;其中,所述第三类型业务行为数据包括以下至少一项:用户ID、用户操作***类型、用户打开网页数量以及用户打开网站***类型数量;
在确定所述业务行为数据为基于第三方应用操作业务***数据的情况下,提取所述业务行为数据的第三方应用间接操作关联信息,并根据所述第三方应用间接操作关联信息生成第四类型业务行为数据;其中,所述第四类型业务行为数据包括以下至少一项:用户ID、用户操作***类型、用户打开应用类型以及用户使用应用时长。
3.根据权利要求1所述的方法,其特征在于,所述通过业务行为分析模型确定所述业务行为数据的危险程度评估结果,包括:
对所述业务行为数据进行数据预处理,得到预处理业务行为数据;
提取所述预处理业务行为数据的危险特征;其中,所述危险特征包括以下至少一项:登录次数、文件下载数量、网络请求频率、用户执行业务流程重复次数、用户打开网站***类型、业务行为频率、访问的资源类型、数据传输量以及用户使用其他应用情况;
根据所述预处理业务行为数据的危险特征和所述业务行为分析模型计算所述业务行为数据的危险程度评估结果。
4.根据权利要求1所述的方法,其特征在于,所述采集用户的业务行为数据,包括:
通过定时任务采集用户的原始业务行为数据;
所述根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理,包括:
对所述原始业务行为数据进行行为基础分析,得到行为基础分析数据;
在确定当前***时间为周期性数据评估时间的情况下,统计各时段的行为基础分析数据,得到行为统计分析数据;
根据所述行为统计分析数据的数据类型对所述行为统计分析数据进行分类处理。
5.根据权利要求1所述的方法,其特征在于,在所述采集用户的业务行为数据之前,还包括:
确定所述业务行为分析模型的各危险行为指标以及各所述危险行为指标匹配的权重;
根据所述危险行为指标以及各所述危险行为指标匹配的权重构建所述业务行为分析模型;
其中,所述危险行为指标包括以下至少一项:访问可疑网站、下载未知来源的应用程序、频繁更改***设置、不同业务***使用网络流量、用户不同应用使用时长、用户执行业务流程异常以及用户打开网站***类型数量。
6.根据权利要求5所述的方法,其特征在于,在所述根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息之后,还包括:
对所述警示建议信息进行学习或数据挖掘,得到危险行为反馈信息;
根据所述危险行为反馈信息对所述业务行为分析模型进行优化。
7.根据权利要求3所述的方法,其特征在于,在所述根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息之前,还包括:
根据所述业务行为数据的危险程度评估结果确定用户的危险行为类型;
确定所述危险行为类型的业务行为异常原因数据;
根据所述危险行为类型的业务行为异常原因数据调整所述业务行为数据的危险特征。
8.一种业务行为数据处理装置,其特征在于,包括:
业务行为数据处理模块,用于采集用户的业务行为数据,并根据所述业务行为数据的数据类型对所述业务行为数据进行分类处理;
评估结果确定模块,用于通过业务行为分析模型确定所述业务行为数据的危险程度评估结果;其中,所述业务行为分析模型包括危险行为指标和所述危险行为指标匹配的权重;
警示建议信息生成模块,用于根据所述业务行为数据的危险程度评估结果对用户的业务行为生成警示建议信息。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一所述的业务行为数据处理方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一所述的业务行为数据处理方法。
CN202410363686.4A 2024-03-28 2024-03-28 一种业务行为数据处理方法、装置、电子设备及存储介质 Pending CN118260176A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410363686.4A CN118260176A (zh) 2024-03-28 2024-03-28 一种业务行为数据处理方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410363686.4A CN118260176A (zh) 2024-03-28 2024-03-28 一种业务行为数据处理方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN118260176A true CN118260176A (zh) 2024-06-28

Family

ID=91606406

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410363686.4A Pending CN118260176A (zh) 2024-03-28 2024-03-28 一种业务行为数据处理方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN118260176A (zh)

Similar Documents

Publication Publication Date Title
US11586972B2 (en) Tool-specific alerting rules based on abnormal and normal patterns obtained from history logs
US11245713B2 (en) Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events
US20210250368A1 (en) Automated web traffic anomaly detection
CN110442712B (zh) 风险的确定方法、装置、服务器和文本审理***
CN112153044B (zh) 流量数据的检测方法及相关设备
CN112702342B (zh) 网络事件处理方法、装置、电子设备及可读存储介质
CN112596990B (zh) 告警风暴的处理方法、装置及终端设备
CN110348718B (zh) 业务指标监控方法、装置及电子设备
CN112650608B (zh) 异常根因定位方法以及相关装置、设备
CN115204733A (zh) 数据审计方法、装置、电子设备及存储介质
CN117375985A (zh) 安全风险指数的确定方法及装置、存储介质、电子装置
CN110401660B (zh) 虚假流量的识别方法、装置、处理设备及存储介质
CN111897700A (zh) 应用指标监控方法及装置、电子设备和可读存储介质
CN113269378A (zh) 一种网络流量处理方法、装置、电子设备和可读存储介质
CN116471174B (zh) 一种日志数据监测***、方法、装置和存储介质
CN117093627A (zh) 信息挖掘的方法、装置、电子设备和存储介质
CN117149565A (zh) 云平台关键性能指标的状态检测方法、装置、设备及介质
CN115134386B (zh) 一种物联网态势感知***、方法、设备及介质
CN118260176A (zh) 一种业务行为数据处理方法、装置、电子设备及存储介质
CN110677271A (zh) 基于elk的大数据告警方法、装置、设备及存储介质
CN107357703B (zh) 一种终端应用耗电检测方法及服务器
CN115277472A (zh) 一种多维工控***网络安全风险预警***及方法
CN113961441A (zh) 告警事件处理方法、审计方法、装置、设备、介质和产品
CN114238069A (zh) 一种Web应用防火墙测试方法、装置、电子设备、介质及产品
CN114329450A (zh) 数据安全处理方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination