用户行为分析日志生成方法、装置、电子设备及介质与流程

本公开涉及计算机信息处理领域，具体而言，涉及一种用户行为分析日志生成方法、装置、电子设备及计算机可读介质。

背景技术：

当今社会数据网络和数据通信业务发展非常迅速,网络安全已成为影响国家大局和长远利益的重大关键问题。随着包括防火墙、ips等网络安全技术的广泛应用,计算机网络对于外部威胁已经建立起相对完善的防御体系。与此同时,内网安全成为网络安全面临的主要问题。

日志管理软件作为一个数据中心，接收各种网络设备(防火墙、审计设备、ips、流量清洗等设备)发送的网络行为日志，通过数据中心，可以查询用户任意时间的网络流量或上网行为等日志信息，或通过日志时间、地址等信息定位具体时间内产生该日志的使用人。另外，数据中心提供强大的报表分析功能，通过报表能够分析网络及人员整体情况，为网络和人员优化调整提供数据。当日志管理中心接收到攻击日志，分析源/目的地址及端口、特征等信息后，需要手动查询网络行为日志(流量日志、审计日志等)进行网络行为分析，观察分析用户在指定时间段内的网络行为操作。这种人工手动分析各类网络行为日志，工作量大，出错率高，效率低下。

因此，需要一种新的用户行为分析日志生成方法、装置、电子设备及计算机可读介质。

在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

有鉴于此，本公开提供一种用户行为分析日志生成方法、装置、电子设备及计算机可读介质，能够自动快速确定用户遭受攻击的原因及方式、进而管理用户上网行为，维护内部往来安全，也能够提升网络管理员的工作效率。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的一方面，提出一种用户行为分析日志生成方法，该方法包括：获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址；基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志；基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据；基于所述用户行为数据生成用户行为分析日志。

在本公开的一种示例性实施例中，还包括：基于所述用户行为数据生成攻击来源分析日志；将所述用户行为分析日志和所述攻击来源分析日志推送至用户端以进行展示。

在本公开的一种示例性实施例中，基于所述用户行为数据生成攻击来源分析日志，包括：在所述用户行为数据中提取首次访问所述源互联网协议地址时的用户操作；或在所述用户行为数据中获取攻击开始时的用户操作；根据所述用户操作生成所述攻击来源分析日志。

在本公开的一种示例性实施例中，获取攻击日志之前，还包括：通过入侵防御系统发现并生成所述攻击日志。

在本公开的一种示例性实施例中，通过入侵防御系统发现并生成所述攻击日志，包括：基于入侵防御系统实时监控网络的出入协议和流量以发现并生成所述攻击日志。

在本公开的一种示例性实施例中，基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志，包括：当所述目的互联网协议地址在预设地址范围内，且距前一次生成用户行为分析日志的时间超过预设时间范围时，基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志。

在本公开的一种示例性实施例中，基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志，包括：基于所述目的互联网协议地址由所述日志管理中心提取出多个日志，日志包括：web应用审计日志、传输审计日志、邮件审计日志、论坛审计日志、流量分析日志；由所述多个日志中剔除不在所述预设时间范围内的日志。

在本公开的一种示例性实施例中，基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据，包括：在所述多个日志中进行检索，提取出包含所述源互联网协议地址的日志；在所述日志中提取所述用户行为数据。

在本公开的一种示例性实施例中，还包括：在未提取出包含所述源互联网协议地址的日志时，获取所述源互联网协议地址和目的互联网协议地址之间的会话日志；由所述会话日志中提取所述用户行为数据。

在本公开的一种示例性实施例中，基于所述用户行为数据生成用户行为分析日志，包括：按照时间顺序依次由所述日志中提取用户行为数据以生成所述用户行为分析日志。

根据本公开的一方面，提出一种用户行为分析日志生成装置，该装置包括：监控模块，用于获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址；日志模块，用于基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志；数据模块，用于基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据；分析模块，用于基于所述用户行为数据生成用户行为分析日志。

在本公开的一种示例性实施例中，还包括：来源模块，用于基于所述用户行为数据生成攻击来源分析日志；展示模块，用于将所述用户行为分析日志和所述攻击来源分析日志推送至用户端以进行展示。

根据本公开的一方面，提出一种电子设备，该电子设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如上文的方法。

根据本公开的一方面，提出一种计算机可读介质，其上存储有计算机程序，该程序被处理器执行时实现如上文中的方法。

根据本公开的用户行为分析日志生成方法、装置、电子设备及计算机可读介质，获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址；基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志；基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据；基于所述用户行为数据生成用户行为分析日志的方式，能够自动快速确定用户遭受攻击的原因及方式、进而管理用户上网行为，维护内部往来安全，也能够提升网络管理员的工作效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

通过参照附图详细描述其示例实施例，本公开的上述和其它目标、特征及优点将变得更加显而易见。下面描述的附图仅仅是本公开的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是根据一示例性实施例示出的一种用户行为分析日志生成方法及装置的系统框图。

图2是根据一示例性实施例示出的一种用户行为分析日志生成方法的流程图。

图3是根据另一示例性实施例示出的一种用户行为分析日志生成方法的流程图。

图4是根据另一示例性实施例示出的一种用户行为分析日志生成方法的流程图。

图5是根据一示例性实施例示出的一种用户行为分析日志生成装置的框图。

图6是根据另一示例性实施例示出的一种用户行为分析日志生成装置的框图。

图7是根据一示例性实施例示出的一种电子设备的框图。

具体实施方式

现在将参考附图更全面地描述示例实施例。然而，示例实施例能够以多种形式实施，且不应被理解为限于在此阐述的实施例；相反，提供这些实施例使得本公开将全面和完整，并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。

此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本公开的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本公开的各方面。

附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

应理解，虽然本文中可能使用术语第一、第二、第三等来描述各种组件，但这些组件不应受这些术语限制。这些术语乃用以区分一组件与另一组件。因此，下文论述的第一组件可称为第二组件而不偏离本公开概念的教示。如本文中所使用，术语“及/或”包括相关联的列出项目中的任一个及一或多者的所有组合。

本领域技术人员可以理解，附图只是示例实施例的示意图，附图中的模块或流程并不一定是实施本公开所必须的，因此不能用于限制本公开的保护范围。

本公开涉及到的名词解释如下：

日志管理平台，用于接收并存储网络设备产生的攻击、病毒、网络流量分析、网络行为审计、nat、会话等日志信息，对于接收到的日志通过各种形式展示给用户。

用户行为分析，是由管理员根据用户产生的上网行为审计日志、网络流量日志、nat/会话信息等日志信息来统计分析某个ip在所选时间段内进行的网络动作，帮助管理员统计用户在上网过程中进行了何种操作，浏览哪些网站，进行哪些动作。

ips(intrusionpreventionsystem)入侵防御系统，是一种安全机制，通过分析网络流量，检测入侵(包括缓冲区溢出攻击、木马、蠕虫等)，并通过一定的响应方式，实时地中止入侵行为或只进行告警提示，保护企业信息系统和网络架构免受侵害。

有鉴于现有技术中的技术难题，本公开提出的用户行为分析日志生成方法，能够在用户受到网络攻击/病毒等危害时，可以快速关联分析此时间段内用户正在进行的网络行为，便于分析用户遭受攻击/病毒的原因及方式，管理用户上网行为，维护内部网络安全，同时减少管理人员手动分析用户网络行为的工作量和错误率，提升工作效率。下面结合具体的实施例对本公开的内容进行详细描述。

图1是根据一示例性实施例示出的一种用户行为分析日志生成方法、装置、电子设备及计算机可读介质的系统框图。

如图1所示，系统架构10可以包括用户终端设备101、102、103，网络104和日志管理平台105、防火墙设备106、入侵防御系统107。网络104用以在用户终端设备101、102、103和防火墙设备106、入侵防御系统107之间提供通信链路的介质；网络104还用以在防火墙设备106、入侵防御系统107和日志管理平台105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用用户终端设备101、102、103通过网络104、防火墙设备106、入侵防御系统107与外部网络交互，以接收或发送消息等。用户终端设备101、102、103上可以安装有各种通讯客户端应用，例如购物类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

用户终端设备101、102、103可以是具有显示屏并且支持网页浏览的各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

防火墙设备106、入侵防御系统107实时监测用户终端设备101、102、103的网络流量数据，在发现外部攻击行为时，生成攻击日志。

日志管理平台105用于接收并存储防火墙设备106、入侵防御系统107监测出的攻击、病毒、网络流量分析、网络行为审计、nat、会话等日志信息。日志管理平台105对防火墙设备106、入侵防御系统107发送的攻击日志进行进行分析等处理，并将处理结果(例如用户行为分析日志、攻击来源分析日志)反馈给管理员。

日志管理平台105可例如获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址；日志管理平台105可例如基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志；日志管理平台105可例如基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据；日志管理平台105可例如基于所述用户行为数据生成用户行为分析日志。

日志管理平台105还可例如基于所述用户行为数据生成攻击来源分析日志；日志管理平台105还可例如将所述用户行为分析日志和所述攻击来源分析日志推送至用户端以进行展示。

图2是根据一示例性实施例示出的一种用户行为分析日志生成方法的流程图。用户行为分析日志生成方法20至少包括步骤s202至s208。

如图2所示，在s202中，获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址。

在一个实施例中，获取攻击日志之前，还包括：通过入侵防御系统发现并生成所述攻击日志。具体包括：基于入侵防御系统实时监控网络的出入协议和流量以发现并生成所述攻击日志。

其中，可例如通过防火墙设备发现并上报nat/会话日志至日志管理平台，携带用户进行网络操作时的源ip、目的ip、源端口、目的端口、nat后源ip、nat后目的ip、nat后源端口、nat后目的端口等信息，日志管理平台负责将此类信息收集并储存；还可例如ips设备发现并上报攻击日志至日志管理平台，主要携带信息：源ip、目的ip、源端口、目的端口、攻击类型、攻击事件、应用协议、域名和url。

可在日志管理平台配置监控用户ip/范围，ips设备通过分析用户入出协议和流量，发现用户受到网络攻击，发送攻击日志到日志管理平台。

其中，还可包含用户行为审计设备，用户行为审计设备可以审计并上报用户上网行为审计日志至日志管理平台，例如：web应用审计日志、传输审计日志、邮件审计日志、论坛审计、关键字审计、流量审计分析。审计日志中一般包含用户进行上网行为的必要信息及行为，如：用户的源ip、目的ip、源端口、目的端口、访问网址、域名、上传/下载的文件名、邮件收发人和内容及附件、上网行为的关键字匹配、网络协议或应用特征等信息。

在s204中，基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志。可例如，当所述目的互联网协议地址在预设地址范围内，且距前一次生成用户行为分析日志的时间超过预设时间范围时，基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志。

在一个实施例中，基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志，包括：基于所述目的互联网协议地址由所述日志管理中心提取出多个日志，日志包括：web应用审计日志、传输审计日志、邮件审计日志、论坛审计日志、流量分析日志；由所述多个日志中剔除不在所述预设时间范围内的日志。当日志管理平台收到攻击日志以后，监测受到攻击的目的ip是否在监控的用户ip/范围内，如果该用户为监控ip/范围内的用户，并且距离上次产生用户行为分析日志超过10分钟，则产生攻击告警日志。

在s206中，基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据。包括：在所述多个日志中进行检索，提取出包含所述源互联网协议地址的日志；在所述日志中提取所述用户行为数据。

在一个实施例中，在未提取出包含所述源互联网协议地址的日志时，获取所述源互联网协议地址和目的互联网协议地址之间的会话日志；由所述会话日志中提取所述用户行为数据。

更具体的，可例如，通过用户ip关联web审计/web搜索/web传输/论坛审计，查找在指定时间段内该用户是否访问过的网络地址，是否包含攻击日志的源ip(即攻击源)。

更具体的，可例如，通过用户ip关联邮件审计日志，查找在指定时间段内该用户收发邮件的地址，是否包含攻击日志的源ip(即攻击源)。

通过用户ip关联ftp审计日志，查找在指定时间段内该用户通过ftp上传/下载的地址，是否包含攻击日志的源ip(即攻击源)。

更具体的，可例如，通过用户ip关联流量分析日志，查找在指定时间段内该用户与攻击源ip之间的流量协议及速率大小。

s208中，基于所述用户行为数据生成用户行为分析日志。包括：按照时间顺序依次由所述日志中提取用户行为数据以生成所述用户行为分析日志。通过将以上查找到的信息按照发生时间进行排序，统计用户在10分钟内进行的网络行为操作，做为用户行为分析日志展示。

根据本公开的用户行为分析日志生成方法，获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址；基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志；基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据；基于所述用户行为数据生成用户行为分析日志的方式，能够自动快速确定用户遭受攻击的原因及方式、进而管理用户上网行为，维护内部往来安全，也能够提升网络管理员的工作效率。

应清楚地理解，本公开描述了如何形成和使用特定示例，但本公开的原理不限于这些示例的任何细节。相反，基于本公开公开的内容的教导，这些原理能够应用于许多其它实施例。

图3是根据另一示例性实施例示出的一种用户行为分析日志生成方法的流程图。图3所示的流程是对图2所示的流程的补充描述。

如图3所示，在s302中，在所述用户行为数据中提取首次访问所述源互联网协议地址时的用户操作。

在s304中，在所述用户行为数据中获取攻击开始时的用户操作。

在s306中，根据所述用户操作生成所述攻击来源分析日志。

在s308中，将所述用户行为分析日志和所述攻击来源分析日志推送至用户端以进行展示。

根据图2中提取出的日志，分析提取出用户第一次访问攻击源ip的动作(如：web搜索)及攻击开始时用户与攻击源ip进行的动作(如：web传输)，生成攻击来源分析日志。

通过将用户行为分析日志及通过分析日志得出的攻击来源分析日志提供给管理员，方便管理员分析观察用户网络行为及该用户本次遭受攻击的原因。

通过本公开中用户行为分析日志生成方法，通过实时监控攻击日志，对被攻击用户进行网络行为分析，得出发生攻击前一定时间段内，用户第一次访问攻击源ip的动作及第一次产生攻击时用户正在进行何种网络行为操作，进而判断遭受攻击的原因，不需要管理员手动查询用户网络行为。

图4是根据另一示例性实施例示出的一种用户行为分析日志生成方法的流程图。

如图4所示，在s402中，日志管理平台配置监控用户ip范围。

在s404中，收到攻击日志。

在s406中，攻击日志携带的目的ip是否在监控ip范围内。

在s408中，当前时间距离该ip距离上次产生用户行为分析日志的时间是否超过10分钟。

在s410中，查找指定时间段内该用户产生的多个日志，多个日志可包括：web应用审计日志、传输审计日志、邮件审计日志、论坛审计日志、流量分析日志。

在s412中，判断多个日志中是否包含攻击源ip。

在s414中，分析提取出用户的行为，可例如用户第一次访问攻击源的动作或者攻击开始时用户与攻击源ip进行的动作等，生成攻击来源分析日志。

在s416中，没有关联到网络行为日志时，仅查询指定时间段内该用户与攻击源ip之间的会话日志。

在s418中，生成用户行为分析日志、攻击来源分析日志，并与本次告警日志关联，以供管理员查看。

本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由cpu执行的计算机程序。在该计算机程序被cpu执行时，执行本公开提供的上述方法所限定的上述功能。所述的程序可以存储于一种计算机可读存储介质中，该存储介质可以是只读存储器，磁盘或光盘等。

此外，需要注意的是，上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

下述为本公开装置实施例，可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节，请参照本公开方法实施例。

图5是根据一示例性实施例示出的一种用户行为分析日志生成装置的框图。如图5所示，用户行为分析日志生成装置50包括：监控模块502，日志模块504，数据模块506，分析模块508。

监控模块502用于获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址；

日志模块504用于基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志；可例如，当所述目的互联网协议地址在预设地址范围内，且距前一次生成用户行为分析日志的时间超过预设时间范围时，基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志。

数据模块506用于基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据；包括：在所述多个日志中进行检索，提取出包含所述源互联网协议地址的日志；在所述日志中提取所述用户行为数据。

分析模块508用于基于所述用户行为数据生成用户行为分析日志。可例如，按照时间顺序依次由所述日志中提取用户行为数据以生成所述用户行为分析日志。

图6是根据另一示例性实施例示出的一种用户行为分析日志生成装置的框图。如图6所示，用户行为分析日志生成装置60在用户行为分析日志生成装置50的基础上还包括：来源模块602，展示模块604。

来源模块602用于基于所述用户行为数据生成攻击来源分析日志；可例如，在所述用户行为数据中提取首次访问所述源互联网协议地址时的用户操作；或在所述用户行为数据中获取攻击开始时的用户操作；根据所述用户操作生成所述攻击来源分析日志。

展示模块604用于将所述用户行为分析日志和所述攻击来源分析日志推送至用户端以进行展示。

根据本公开的用户行为分析日志生成装置，获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址；基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志；基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据；基于所述用户行为数据生成用户行为分析日志的方式，能够自动快速确定用户遭受攻击的原因及方式、进而管理用户上网行为，维护内部往来安全，也能够提升网络管理员的工作效率。

图7是根据一示例性实施例示出的一种电子设备的框图。

下面参照图7来描述根据本公开的这种实施方式的电子设备700。图7显示的电子设备700仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图7所示，电子设备700以通用计算设备的形式表现。电子设备700的组件可以包括但不限于：至少一个处理单元710、至少一个存储单元720、连接不同系统组件(包括存储单元720和处理单元710)的总线730、显示单元740等。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元710执行，使得所述处理单元710执行本说明书上述电子处方流转处理方法部分中描述的根据本公开各种示例性实施方式的步骤。例如，所述处理单元710可以执行如图2，图3，图4中所示的步骤。

所述存储单元720可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(ram)7201和/或高速缓存存储单元7202，还可以进一步包括只读存储单元(rom)7203。

所述存储单元720还可以包括具有一组(至少一个)程序模块7205的程序/实用工具7204，这样的程序模块7205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线730可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备700也可以与一个或多个外部设备700’(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备700交互的设备通信，和/或与使得该电子设备700能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口750进行。并且，电子设备700还可以通过网络适配器760与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。网络适配器760可以通过总线730与电子设备700的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备700使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是cd-rom，u盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、或者网络设备等)执行根据本公开实施方式的上述方法。

上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该计算机可读介质实现如下功能：获取攻击日志，所述攻击日志中包含源互联网协议地址和目的互联网协议地址；基于所述目的互联网协议地址和预设时间范围由日志管理中心提取出多个日志；基于所述源互联网协议地址在所述多个日志中进行检索，提取用户行为数据；基于所述用户行为数据生成用户行为分析日志。

本领域技术人员可以理解上述各模块可以按照实施例的描述分布于装置中，也可以进行相应变化唯一不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

以上具体地示出和描述了本公开的示例性实施例。应可理解的是，本公开不限于这里描述的详细结构、设置方式或实现方法；相反，本公开意图涵盖包含在所附权利要求的精神和范围内的各种修改和等效设置。