用户行为监控方法、装置、计算机设备和存储介质与流程

本申请涉及计算机技术领域，特别是涉及一种用户行为监控方法、装置、计算机设备和存储介质。

背景技术：

随着企业规模扩大，敏感信息的信息安全对于企业发展至关重要。敏感信息包括个人隐私信息、业务经营信息、财务信息、人事信息或it运维信息等。企业的敏感信息通常分布存储在多个相应的业务系统中。敏感信息泄露会导致财产损失、网络服务崩溃、企业声誉受损等不良影响。企业为了防止敏感信息泄露，通常会采用内网限制或ip限制等措施来限制用户访问，但无疑这种方式只能降低企业外部人员窃取敏感信息的风险，却难以防范企业内部人员直接从业务系统中获取敏感信息。由于缺乏对内部人员在业务系统的操作行为的监控技术，使得敏感信息的安全性降低。

技术实现要素：

基于此，有必要针对上述技术问题，提供一种能够对内部人员在业务系统的操作行为进行监控，进而提高敏感信息安全性的用户行为监控方法、装置、计算机设备和存储介质。

一种用户行为监控方法，所述方法包括：获取多个业务终端在监控时段分别生成的操作行为日志；对所述操作行为日志进行解析，得到多个用户标识及对应的操作行为数据；获取预设的行为分析模型，将所述操作行为数据输入所述行为分析模型，计算得到多个用户标识分别对应的信息泄漏风险值；当存在所述信息泄漏风险值超过阈值时，生成信息泄漏预警，将所述信息泄露预警发送至监控终端。

在其中一个实施例中，所述获取多个业务终端在监控时段分别生成的操作行为日志的步骤包括：在数据库的空闲时间，提取多个业务终端在监控时段基于预置埋点生成的操作行为日志。

在其中一个实施例中，所述业务终端上运行了多个业务系统；对所述操作行为日志进行解析，得到多个用户标识对应的操作行为数据的步骤包括：对所述操作行为日志进行解析，得到多个操作行为字段；所述操作行为字段包括业务系统标识、用户标识和操作行为标识；将解析得到的多个操作行为字段记录至第一数据表；基于所述第一数据表，对每个用户在多个业务系统进行不同类型操作行为的实际操作次数进行统计，将统计结果记录至第二数据表；所述第二数据表记录了多个用户标识对应的操作行为数据。

在其中一个实施例中，所述预处理后的操作行为数据包括与各所述用户标识对应的操作行为标识和实际操作次数；所述计算得到多个用户标识分别对应的信息泄漏风险值的步骤包括：利用所述行为分析模型确定每个操作行为标识对应的常规操作次数；分别计算每个用户标识对应的每种操作行为标识的实际操作次数与相应的常规操作次数的差值；根据所述差值计算相应用户标识对应的信息泄露风险值。

在其中一个实施例中，所述行为分析模型包括多个操作行为标识及分别对应的操作次数区间；利用所述行为分析模型确定每个操作行为标识对应的常规操作次数的步骤包括：根据多个用户标识对应的每种操作行为标识的实际操作次数分别所属的操作次数区间，统计每种操作行为标识在不同操作次数区间对应的所述用户标识的数量；对对应的用户标识数量最多的操作次数区间进行筛选；根据筛选得到的操作次数区间的端值，确定相应操作行为标识对应的常规操作次数。

在其中一个实施例中，操作行为数据还包括部门标识；根据所述差值计算相应用户标识对应的信息泄露风险值包括：获取多个部门标识分别对应的操作行为标识和调整因子；利用调整因子对相应用户标识不同操作行为标识对应的差值进行调整；根据调整后的差值计算相应用户标识对应的信息泄露风险值。

在其中一个实施例中，所述方法还包括：当所述信息泄漏风险值超过阈值时，对相应用户标识添加风险操作标记；统计所述用户标识对应的风险操作标记的数量和时间关联度；根据所述风险操作标记的数量和时间关联度，降低所述用户标识对应的对所述业务终端的操作权限。

一种用户行为监控装置，所述装置包括：数据采集模块，用于获取多个业务终端在监控时段分别生成的操作行为日志；数据解析模块，用于对所述操作行为日志进行解析，得到多个用户标识及对应的操作行为数据；行为分析模块，用于获取预设的行为分析模型，将所述操作行为数据输入所述行为分析模型，计算得到多个用户标识分别对应的信息泄漏风险值；行为预警模块，用于当存在所述信息泄漏风险值超过阈值时，生成信息泄漏预警，将所述信息泄露预警发送至监控终端。

一种计算机设备，存储器和处理器，所述存储器存储有计算机程序；所述处理器执行所述计算机程序时实现以下步骤：获取多个业务终端在监控时段分别生成的操作行为日志；对所述操作行为日志进行解析，得到多个用户标识及对应的操作行为数据；获取预设的行为分析模型，将所述操作行为数据输入所述行为分析模型，计算得到多个用户标识分别对应的信息泄漏风险值；当存在所述信息泄漏风险值超过阈值时，生成信息泄漏预警，将所述信息泄露预警发送至监控终端。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：获取多个业务终端在监控时段分别生成的操作行为日志；对所述操作行为日志进行解析，得到多个用户标识及对应的操作行为数据；获取预设的行为分析模型，将所述操作行为数据输入所述行为分析模型，计算得到多个用户标识分别对应的信息泄漏风险值；当存在所述信息泄漏风险值超过阈值时，生成信息泄漏预警，将所述信息泄露预警发送至监控终端。

上述用户行为监控方法、装置、计算机设备和存储介质，在监控时段对用户基于业务终端的操作行为日志进行提取，可以获取相应的操作行为数据；将操作行为数据输入预设的行为分析模型，可以计算得到多个用户标识分别对应的信息泄漏风险值；通过将信息泄漏风险值与阈值对比，可以检测是否存在信息泄漏风险值超过阈值；当存在信息泄漏风险值超过阈值时，生成信息泄漏预警，通过将信息泄露预警发送至监控终端，可以提示监控终端及时采取信息防泄漏措施，从而可以提高信息安全性。

附图说明

图1为一个实施例中用户行为监控方法的应用场景图；

图2为一个实施例中用户行为监控方法的流程示意图；

图3为一个实施例中用户行为监控装置的结构框图；

图4为一个实施例中计算机设备的内部结构图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

本申请提供的用户行为监控方法，可以应用于如图1所示的应用环境中。其中，业务终端102通过网络与服务器104进行通信。监控终端106通过网络与服务器104进行通信。其中，业务终端102与监控终端106分别可以但不限于是各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备，服务器104可以用独立的服务器或者用多个服务器组成的服务器集群来实现。业务终端102上运行了一种或多种业务系统。业务系统是指企业内部用于管理个人隐私信息、业务经营信息、财务信息、人事信息、it运维信息等其中一种或多种敏感信息的系统。业务程序预先设置了埋点，用于对用户的操作行为数据进行采集。用户可以在业务终端102通过不同业务系统办理不同业务。业务系统基于预置埋点对用户在监控时段的操作行为数据进行采集。服务器104在业务终端102提取用户基于不同业务系统的操作行为数据，对获取到的多个用户标识对应的操作行为数据进行预处理。服务器104将预处理后的操作行为数据属于预设的行为分析模型，利用行为分析模型可以计算得到每个用户标识对应的信息泄露风险值。服务器104检测是否存在信息泄露风险值超过阈值，若存在，利用超过阈值的信息泄露风险值生成信息泄露预警，将信息泄露预警发送至监控终端106。监控终端106可以根据信息泄露预警及时采取信息防泄漏措施，提高信息安全性。

在一个实施例中，如图2所示，提供了一种用户行为监控方法，以该方法应用于图1中的服务器为例进行说明，包括以下步骤：

步骤202，获取多个业务终端在监控时段分别生成的操作行为日志。

用户可以在业务终端通过不同业务系统办理不同业务。操作行为日志是指通过监控用户作用于业务终端的操作事件所形成的日志。其中，操作事件可以包括开机操作及关机操作等日常操作事件，还可以包括针对于业务系统的登录操作、信息查询操作和信息下载操作等敏感操作事件。监控时段可以根据实际需求自由设置，如法定工作时间早上8:00至晚上9:00等。用户标识用于定位操作事件的操作对象，可以是业务系统的登录账号或业务终端的ip地址(internetprotocoladdress，互联网协议地址)中的至少一种。服务器按照预设时间频率在多个业务终端分别提取相应用户的操作行为日志。

步骤204，对操作行为日志进行解析，得到多个用户标识及对应的操作行为数据。

服务器对提取到的多个操作行为日志分别进行解析，得到多个用户标识对应的操作行为数据。服务器对操作行为数据进行预处理，以得到行为分析模型可以利用的输入参数。具体的，操作行为数据包括多个操作行为字段，根据多个操作行为字段对每个用户在多个业务系统进行不同类型操作行为的实际操作次数进行统计，对统计结果进行标准化处理，标准化处理后的统计结果即为预处理后的操作行为数据。

在一个实施例中，对操作行为日志进行解析，得到多个用户标识对应的操作行为数据的步骤包括：对操作行为日志进行解析，得到多个操作行为字段；操作行为字段包括业务系统标识、用户标识和操作行为标识；将解析得到的多个操作行为字段记录至第一数据表；基于第一数据表，对每个用户在多个业务系统进行不同类型操作行为的实际操作次数进行统计，将统计结果记录至第二数据表；第二数据表记录了多个用户标识对应的操作行为数据。

服务器利用预设的解析数据包对操作行为日志进行解析，得到相应的多个操作行为字段。解析数据包可以是java自带的json解析包。操作行为字段包括业务系统标识、用户标识和操作行为标识。业务系统标识是指发生操作事件的业务系统的标识，如业务系统的名称、编号等。操作行为标识用于唯一识别一个操作事件，包括操作事件名称及对应的事件描述。其中，事件描述可以是相应操作事件的相关信息，如登录操作对应的登录结果、查询操作对应查询条件、下载操作对应的文件名称等信息。容易理解，事件描述还可以包括其他信息，如操作时间等。服务器将解析得到的多个操作行为字段记录至第一数据表。第一数据表中每行数据对应一个用户的一次操作事件对应的数据。第一数据表如表一所示：

表一：

根据第一数据表，服务器对每个用户在多个业务系统进行不同类型操作行为的实际操作次数进行统计，将统计结果记录至第二数据表。第二数据表中的数据即为预处理后的操作行为数据。第二数据表中每行数据即为一个用户标识对应的操作行为数据。第二数据表记录了一个用户在监控时间进行的每种操作事件的实际操作次数。换言之，第二数据表不再对操作事件发生的业务系统进行区分，仅对不同用户的不同操作事件进行区分。第二数据表如表二所示：

表二：

第一数据表与第二数据表均可以是服务器预先存储在数据库的，也可以是临时生成的。第一数据表与第二数据表均可以是一个，也可以是多个。换言之，可以多个用户共用同一张数据表，也可以是多个用户分别具有对应的数据表，对此不作限制。

在另一个实施例中，在将统计结果记录至第二数据表后。对统计结果进行标准化处理。具体的，服务器利用预设的标准化算法对第二数据表中的每个字段进行01标准化处理，即将字段值转化为0至1之间的数字。预设的标准化算法可以是min-max标准化法(极值标准化)、z-score标准化法或decimalscalling(小数定标标准化)等。标准化处理可以提高数据分析精度，也可以减少服务器对操作行为进行分析时的计算量，从而减少服务器资源的占用。

步骤206，获取预设的行为分析模型，将操作行为数据输入行为分析模型，计算得到多个用户标识分别对应的信息泄漏风险值。

服务器中预先存储了行为分析模型。行为分析模型可以是服务器利用大量样本操作数据以及对应的分类标签，对通用的spark-mllib行为分析模型(一种机器学习模型)训练得到的。样本操作数据包括样本操作行为标识，以及对应的多种操作次数差值。操作次数差值是一种操作时间的实际操作次数与常规操作次数的差值。不同的操作次数差值对应不同的分类标签。分类标签可以是操作次数区间，如[7，10]等。

服务器利用行为分析模型确定每个操作行为标识对应的常规操作次数。服务器分别计算每个用户标识对应的每种操作行为标识的实际操作次数与相应的常规操作次数的差值，根据该查询获取对应的信息泄露风险区间。服务器获取预设的每个操作行为标识对应的权重。根据权重以及获取到的信息泄露风险区间计算每个用户标识对应的信息泄露风险值。

步骤208，当存在信息泄漏风险值超过阈值时，生成信息泄漏预警，将信息泄露预警发送至监控终端。

服务器监测是否存在用户标识对应的信息泄露风险值超过阈值。当存在信息泄漏风险值超过阈值时，服务器根据超过阈值的信息泄露风险值及对应的用户标识生成信息泄漏预警。信息泄漏预警有多种实施方式，其中一种实施方式为服务器根据每个用户标识以及相应的信息泄露风险值生成用户行为监控报表，在用户行为监控报表中将超过阈值的信息泄露风险值及对应的用户标识进行区别标记。服务器将信息泄露预警发送至监控终端，以提示监控终端即使采取信息防泄漏措施，如降低相应用户对业务系统的操作权限等。监控终端为预先指定的具有监控权限的终端。容易理解，监控终端可以包括用户终端，以直接对相应用户进行提示。

本实施例中，在监控时段对用户基于业务终端的操作行为日志进行提取，可以获取相应的操作行为数据；将操作行为数据输入预设的行为分析模型，可以计算得到多个用户标识分别对应的信息泄漏风险值；通过将信息泄漏风险值与阈值对比，可以检测是否存在信息泄漏风险值超过阈值；当存在信息泄漏风险值超过阈值时，生成信息泄漏预警，通过将信息泄露预警发送至监控终端，可以提示监控终端及时采取信息防泄漏措施，从而可以提高信息安全性。

在一个实施例中，获取多个业务终端在监控时段分别生成的操作行为日志的步骤包括：在数据库的空闲时间，提取多个业务终端在监控时段基于预置埋点生成的操作行为日志。

为了实现对用户在业务系统的操作行为进行监控，在需要监控的用户对应的业务终端上的每个业务系统预置埋点。当用户在监控时段对业务系统进行操作时，业务系统基于预置埋点对用户的操作行为进行记录，生成相应的操作行为日志。业务终端将不同业务系统生成的操作行为日志进行存储。

服务器在多个业务终端分别提取相应用户的操作行为日志。为了能够充分缓解服务器中数据库资源消耗的压力，服务器在数据库的空闲时间进行操作行为日志的提取。具体的，服务器运行监控脚本，通过监控脚本对预设时间段内数据库中的批处理任务执行状况和资源消耗状况进行监控，得到在预设时段内批处理任务的执行时间和资源消耗时间。预设时段可以是整个非工作时间的时间段或者部分非工作时间的时间段。例如，对用户行为进行监控之前的一个月内的晚上8:00～凌晨5:00的时间段等。服务器将在预设时间段内资源消耗时间进行统计，将资源消耗时间与多个批处理任务的执行时间进行比对，筛选出能够避开多个批处理任务执行时间的资源消耗时间。由于批处理任务执行时会消耗较多的数据库资源，因此避开多个批处理任务执行时间的资源消耗时间，可以作为数据库的空闲时间。由于数据库的空闲时间是在预设时间段内的，预设时间段可以是非工作时间的时间段，因此通过上述方式得到的数据库的空闲时间可以视为数据库性能最优的空闲时间。服务器对提取到多个操作行为日志进行解析，得到每个用户标识对应的操作行为数据。

本实施例中，在数据库的空闲时间对操作行为日志进行提取，可以减少对服务器资源的占用。

在一个实施例中，预处理后的操作行为数据包括与各用户标识对应的操作行为标识和实际操作次数；计算得到多个用户标识分别对应的信息泄漏风险值的步骤包括：利用行为分析模型确定每个操作行为标识对应的常规操作次数；分别计算每个用户标识对应的每种操作行为标识的实际操作次数与相应的常规操作次数的差值，根据差值计算相应用户标识对应的信息泄露风险值。

服务器利用行为分析模型，根据多个用户标识分别对应的实际操作次数，筛选每种操作行为标识对应的常规操作次数。常规操作次数是指相应操作事件较为合理的发生次数。解析得到的操作行为数据还包括多个用户标识分别对应每种操作行为标识的实际操作次数。服务器分别计算每个用户标识对应的每种操作行为标识的实际操作次数与相应的常规操作次数的差值。例如，在上述表二中，假设操作事件标识“查询客户手机号”对应的常规操作次数为20次，用户标识“用户a”对应的实际操作次数为10次，则相应的差值为10。容易理解，当差值为负数时，表示该用户进行相应操作行为的次数超过常规操作次数，存在信息泄露风险，相应操作事件可能是信息泄露风险事件。值得注意的是，当差值为负数时，表示该用户进行相应操作行为的次数少于常规操作次数，不存在信息风险，则服务器将该差值设置为0。

服务器对每个用户标识相应多个操作行为标识对应的差值进行求和，将求和结果作为相应用户标识的信息泄露风险值。在另一个实施例中，服务器计算每个差值与相应的常规操作次数的比值，对每个用户标识相应多个操作行为标识对应的比值进行求和，将求和结果作为相应用户标识的信息泄露风险值。例如，在上述实施例中，相应的比值为(20-10)/20＝0.5。

在又一个实施例中，行为分析模型包括多个操作行为标识分别对应的权值因子。不同操作事件导致信息泄露的可能性不同。权值因子可以是服务器根据不同操作事件导致信息泄露的可能性设置的。例如，查询操作相对登录操作导致信息泄露的可能性更大，下载操作相对查询操作导致信息泄露的可能性更大，则可以将登录操作、查询操作及下载操作的操作行为标识对应的权值因子依次增大。如操作行为标识“登录业务系统1”对应的权值因子可以是0.8，操作行为标识“下载员工通讯录”对应的权值因子可以是1.2，操作行为标识“查询客户手机号”对应的权值因子可以是1等。根据每个操作行为标识对应的权值因子，服务器计算每个用户标识相应多种操作行为标识对应的比值与相应权值因子的乘积，对每个用户标识对应的多个乘积进行求和，将求和结果作为该用户标识对应的信息泄露风险值。

例如，如上述表二所示，假设用户a在监控时段进行了上述4种操作事件，对应的操作行为标识依次为“登录业务系统1失败”、“下载员工通讯录”、“查询客户手机号”和“查询客户qq号”，对应的实际操作次数为2次、7次、22次和16次，对应的常规操作次数分别为2次、8次、20次和13次，则将对应的比值依次为0、0、(22-20)/20、(16-13)/12，对应的权值因子分别为0.8、1.2、1、1，则“用户a”对应的信息泄露风险值可以是0*0.8+0/8*1.2+1/10*1+1/4*1＝0.35。基于不同的操作行为标识分别设置对应的权值因子，充分考虑不同操作事件导致信息泄露的不同可能性，例如，反映下载事件是否可能导致信息泄露的标准更加倾向于下载内容，反映查询事件是否可能导致信息泄露的标准更加倾向于查询次数；更加适应实际应用情况，从而可以提高对信息泄露风险测算的准确性。

本实施例中，根据多个用户的实际操作次数动态确定相应操作行为的常规操作次数，相对传统的设置常规操作次数为固定值，动态确定常规操作次数使得常规操作次数更加符合实际情况，从而提高监控结果的准确性。

在一个实施例中，行为分析模型包括多个操作行为标识及分别对应的操作次数区间；利用行为分析模型确定每个操作行为标识对应的常规操作次数的步骤包括：根据多个用户标识对应的每种操作行为标识的实际操作次数分别所属的操作次数区间，统计每种操作行为标识在不同操作次数区间对应的用户标识的数量；对对应的用户标识数量最多的操作次数区间进行筛选；根据筛选得到的操作次数区间的端值，确定相应操作行为标识对应的常规操作次数。

服务器利用行为分析模型，对多个用户标识从不同维度进行聚类。具体的，行为分析模型包括多个操作行为标识以及分别对应的多个操作次数区间，如“查询客户手机号”对应的操作次数区间可以是[1，6]、[7，10]、[11，15]等。服务器根据多个用户标识对应的每种操作行为标识的实际操作次数分别所属的操作次数区间，从不同维度对多个用户标识进行群体划分，得到每种操作行为标识对应的多类用户群体。每类用户群体包括一个或多个用户标识。例如，将查询客户手机号的实际操作次数不超过6次的用户标识归为一类，将超过6次但不超过10次的用户标识归为一类，如此类推。

服务器统计每类用户群体对应用户标识的数量，根据用户标识的数量计算每个操作行为标识相应多类用户群体分别对应的占比。服务器筛选占比最高的一类用户群体对应的操作次数区间。例如，20％的用户对客户手机号的查询次数属于区间[1，6]，60％的用户对客户手机号的查询次数属于区间[7，10]等，则筛选得到的操作次数区间为[7，10]。

服务器根据筛选得到的操作次数区间的端值，确定相应操作行为标识对应的常规操作次数。具体的，服务器可以选取操作次数区间的其中一个端值或者两个端值之间的一个数值作为常规操作次数。例如，服务器可以计算位于该操作次数区间的多个实际操作次数的平均值，将该平均值作为常规操作次数。服务器还可以按照预设规则随机筛选该操作次数区间的一个数值作为常规操作次数。

本实施例中，预置多个操作行为标识分别对应的操作次数区间，根据用户标识数量最多的操作次数区间动态确定相应操作行为的常规操作次数，相对传统的设置常规操作次数为固定值，动态确定常规操作次数使得常规操作次数更加符合实际情况，从而提高监控结果的准确性。

在一个实施例中，操作行为数据还包括部门标识；根据差值计算相应用户标识对应的信息泄露风险值的步骤包括：获取多个部门标识分别对应的操作行为标识和调整因子；利用调整因子，对相应用户标识不同操作行为标识对应的差值进行调整；根据调整后的差值计算相应用户标识对应的信息泄露风险值。

不同部门的用户需要处理的业务不同，在业务系统的操作事件的操作频繁程度不同，存在一个部门的用户对某种操作行为的实际操作次数远多于其他部门用户进行该操作行为的实际操作次数情况，即存在该部门存在某种合理的高频率操作行为。

为了提高对信息泄露风险测算的准确性，服务器结合用户所属部门的业务性质，计算该用户的信息泄漏风险值。具体的，服务器在业务终端提取到的操作行为数据还包括用户标识对应的部门标识。服务器预先对每个存在的上述合理的高频率操作行为的部门标识设置对应的调整因子。换言之，服务器预设多种部门标识以及对应的操作行为标识和调整因子，如部门标识“市场部门”基于操作行为标识“查询客户手机号”的调整因子可以是60％。容易理解，一个部门对于一种操作行为的合理操作次数越多，对应的调整因子越小。当一个部门标识未设置对应的调整因子时，默认为100％。服务器计算得到上述差值后，检测是否存在该用户标识所属部门标识的相应操作行为标识对应的调整因子。若存在，服务器将该调整因子与差值相乘，以对差值进行调整，将乘积作为调整后的差值。服务器按照上述方式根据调整后的差值计算相应用户标识对应的信息泄露风险值。

本实施例中，结合用户所属部门的业务性质计算该用户的信息泄漏风险值，充分考虑不同部门之间的业务差异性，避免将某种高频率但合理的操作行为判定为信息泄露风险操作，适应实际应用情况，可以提高对信息泄露风险测算的准确性。

在一个实施例中，该方法还包括：当信息泄漏风险值超过阈值时，对相应用户标识添加风险操作标记；统计用户标识对应的风险操作标记的数量和时间关联度；根据风险操作标记的数量和时间关联度，降低用户标识对应的对业务终端的操作权限。

服务器不仅对用户在单一监控时段的操作行为进行监控，还对用户在多个监控时段的操作行为进行分析。具体的，每个监控时段若信息泄漏风险值超过阈值，服务器在相应用户标识添加风险操作标记。在进行风险操作标记的新增时，服务器对用户标识在预设时段内新增风险操作标记的数量进行统计。预设时段包括多个监控时段，可以根据需求自由设置，如1个月。服务器获取多个风险操作标记的标记时间，计算多个标记时间的时间关联度。多个标记时间越接近，对应的时间关联度越高；相反，多个标记时间越分散，对应的时间关联度越低。

服务器预设了多种风险操作标记数量和时间关联度的组合，以及每种组合对应的权限调整策略。服务器对比统计得到的风险操作标记的数量是否超过预设值。预设值是指预设时段内发生风险操作的上限值，如5次。若风险操作标记的数量超过预设值，则根据统计得到的风险操作标记的数量和时间关联度，获取对应的权限调整策略，根据权限调整策略降低相应用户标识对应的对业务终端的操作权限。

本实施例中，不仅对用户在单一监控时段的操作行为进行监控，还对用户在多个监控时段的操作行为进行分析，根据多个监控时段的操作行为综合判断相应用户是否存在信息泄露趋势，进一步判断是否需要降低相应用户标识的操作权限，提高监控结果的准确性。且在判断相应用户是否存在信息泄露趋势时，不仅根据发生信息泄漏风险值超过阈值情况的次数，还结合多个信息泄漏风险值超过阈值情况的时间间隔，适应实际应用情况，进一步提高监控结果的准确性。

应该理解的是，虽然图2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。

在一个实施例中，如图3所示，提供了一种用户行为监控装置，包括：数据采集模块302、数据解析模块304、行为分析模块306和行为预警模块308，其中：数据采集模块302，用于获取多个业务终端在监控时段分别生成的操作行为日志。

数据解析模块304，用于对操作行为日志进行解析，得到多个用户标识及对应的操作行为数据。

行为分析模块306，用于获取预设的行为分析模型，将操作行为数据输入行为分析模型，计算得到多个用户标识分别对应的信息泄漏风险值。

行为预警模块308，用于当存在信息泄漏风险值超过阈值时，生成信息泄漏预警，将信息泄露预警发送至监控终端。

在一个实施例中，数据解析模块304还用于在数据库的空闲时间，提取多个业务终端在监控时段基于预置埋点生成的操作行为日志。

在一个实施例中，业务终端上运行了多个业务系统；数据解析模块304还用于对操作行为日志进行解析，得到多个操作行为字段；操作行为字段包括业务系统标识、用户标识和操作行为标识；将解析得到的多个操作行为字段记录至第一数据表；基于第一数据表，对每个用户在多个业务系统进行不同类型操作行为的实际操作次数进行统计，将统计结果记录至第二数据表；第二数据表记录了多个用户标识对应的操作行为数据。

在其中一个实施例中，预处理后的操作行为数据包括与各用户标识对应的操作行为标识和实际操作次数；行为分析模块306还用于利用行为分析模型确定每个操作行为标识对应的常规操作次数；分别计算每个用户标识对应的每种操作行为标识的实际操作次数与相应的常规操作次数的差值；根据差值计算相应用户标识对应的信息泄露风险值。

在其中一个实施例中，行为分析模型包括多个操作行为标识及分别对应的操作次数区间；行为分析模块306还用于根据多个用户标识对应的每种操作行为标识的实际操作次数分别所属的操作次数区间，统计每种操作行为标识在不同操作次数区间对应的用户标识的数量；对对应的用户标识数量最多的操作次数区间进行筛选；根据筛选得到的操作次数区间的端值，确定相应操作行为标识对应的常规操作次数。

在其中一个实施例中，操作行为数据还包括部门标识；行为分析模块306还用于获取多个部门标识分别对应的操作行为标识和调整因子；利用调整因子，对相应用户标识不同操作行为标识对应的差值进行调整；根据调整后的差值计算相应用户标识对应的信息泄露风险值。

在其中一个实施例中，该装置还包括权限调整模块310，用于当信息泄漏风险值超过阈值时，对相应用户标识添加风险操作标记；统计用户标识对应的风险操作标记的数量和时间关联度；根据风险操作标记的数量和时间关联度，降低用户标识对应的对业务终端的操作权限。

关于用户行为监控装置的具体限定可以参见上文中对于用户行为监控方法的限定，在此不再赘述。上述用户行为监控装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种计算机设备，该计算机设备可以是服务器，其内部结构图可以如图4所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于行为分析模型以及多个用户标识对应的操作行为数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种用户行为监控方法。

本领域技术人员可以理解，图4中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，提供了一种计算机设备，包括存储器和处理器，该存储器存储有计算机程序，该处理器执行计算机程序时实现以下步骤：获取多个业务终端在监控时段分别生成的操作行为日志；对操作行为日志进行解析，得到多个用户标识及对应的操作行为数据；获取预设的行为分析模型，将操作行为数据输入行为分析模型，计算得到多个用户标识分别对应的信息泄漏风险值；当存在信息泄漏风险值超过阈值时，生成信息泄漏预警，将信息泄露预警发送至监控终端。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：在数据库的空闲时间，提取多个业务终端在监控时段基于预置埋点生成的操作行为日志。

在一个实施例中，业务终端上运行了多个业务系统；处理器执行计算机程序时还实现以下步骤：对操作行为日志进行解析，得到多个操作行为字段；操作行为字段包括业务系统标识、用户标识和操作行为标识；将解析得到的多个操作行为字段记录至第一数据表；基于第一数据表，对每个用户在多个业务系统进行不同类型操作行为的实际操作次数进行统计，将统计结果记录至第二数据表；第二数据表记录了多个用户标识对应的操作行为数据。

在一个实施例中，预处理后的操作行为数据包括与各用户标识对应的操作行为标识和实际操作次数；处理器执行计算机程序时还实现以下步骤：利用行为分析模型确定每个操作行为标识对应的常规操作次数；分别计算每个用户标识对应的每种操作行为标识的实际操作次数与相应的常规操作次数的差值；根据差值计算相应用户标识对应的信息泄露风险值。

在一个实施例中，行为分析模型包括多个操作行为标识及分别对应的操作次数区间；处理器执行计算机程序时还实现以下步骤：根据多个用户标识对应的每种操作行为标识的实际操作次数分别所属的操作次数区间，统计每种操作行为标识在不同操作次数区间对应的用户标识的数量；对对应的用户标识数量最多的操作次数区间进行筛选；根据筛选得到的操作次数区间的端值，确定相应操作行为标识对应的常规操作次数。

在一个实施例中，操作行为数据还包括部门标识；处理器执行计算机程序时还实现以下步骤：获取多个部门标识分别对应的操作行为标识和调整因子；利用调整因子，对相应用户标识不同操作行为标识对应的差值进行调整；根据调整后的差值计算相应用户标识对应的信息泄露风险值。

在一个实施例中，处理器执行计算机程序时还实现以下步骤：当信息泄漏风险值超过阈值时，对相应用户标识添加风险操作标记；统计用户标识对应的风险操作标记的数量和时间关联度；根据风险操作标记的数量和时间关联度，降低用户标识对应的对业务终端的操作权限。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：获取多个业务终端在监控时段分别生成的操作行为日志；对操作行为日志进行解析，得到多个用户标识及对应的操作行为数据；获取预设的行为分析模型，将操作行为数据输入行为分析模型，计算得到多个用户标识分别对应的信息泄漏风险值；当存在信息泄漏风险值超过阈值时，生成信息泄漏预警，将信息泄露预警发送至监控终端。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：在数据库的空闲时间，提取多个业务终端在监控时段基于预置埋点生成的操作行为日志。

在一个实施例中，业务终端上运行了多个业务系统；计算机程序被处理器执行时还实现以下步骤：对操作行为日志进行解析，得到多个操作行为字段；操作行为字段包括业务系统标识、用户标识和操作行为标识；将解析得到的多个操作行为字段记录至第一数据表；基于第一数据表，对每个用户在多个业务系统进行不同类型操作行为的实际操作次数进行统计，将统计结果记录至第二数据表；第二数据表记录了多个用户标识对应的操作行为数据。

在一个实施例中，预处理后的操作行为数据包括与各用户标识对应的操作行为标识和实际操作次数；计算机程序被处理器执行时还实现以下步骤：利用行为分析模型确定每个操作行为标识对应的常规操作次数；分别计算每个用户标识对应的每种操作行为标识的实际操作次数与相应的常规操作次数的差值；根据差值计算相应用户标识对应的信息泄露风险值。

在一个实施例中，行为分析模型包括多个操作行为标识及分别对应的操作次数区间；计算机程序被处理器执行时还实现以下步骤：根据多个用户标识对应的每种操作行为标识的实际操作次数分别所属的操作次数区间，统计每种操作行为标识在不同操作次数区间对应的用户标识的数量；对对应的用户标识数量最多的操作次数区间进行筛选；根据筛选得到的操作次数区间的端值，确定相应操作行为标识对应的常规操作次数。

在一个实施例中，操作行为数据还包括部门标识计算机程序被处理器执行时还实现以下步骤：获取多个部门标识分别对应的操作行为标识和调整因子；利用调整因子，对相应用户标识不同操作行为标识对应的差值进行调整；根据调整后的差值计算相应用户标识对应的信息泄露风险值。

在一个实施例中，计算机程序被处理器执行时还实现以下步骤：当信息泄漏风险值超过阈值时，对相应用户标识添加风险操作标记；统计用户标识对应的风险操作标记的数量和时间关联度；根据风险操作标记的数量和时间关联度，降低用户标识对应的对业务终端的操作权限。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。