一种数据分析方法和系统与流程

文档序号：12839051阅读：257来源：国知局

本发明涉及计算机网络安全技术领域，尤其涉及一种数据分析方法和系统。

背景技术：

随着互联网的飞速发展，基于浏览器/服务器模式(browser/server，b/s)架构系统已经被广泛运用到生活和工作的各个领域。为了解决上述所涉及的系统安全问题，入侵防御系统/入侵检测系统(intrusionpreventionsystem/intrusiondetectionsystem，ips/ids)及防火墙等防护方式得到广泛运用。

然而，现有的ips/ids，防火墙等防护方式仅能对介于局域网和互联网之间起到防护作用；对于基于超文本传输协议(hypertexttransferprotocol，http)访问的b/s架构系统，服务器端信任浏览器端发送来的全部数据，而浏览器端发送来的数据包经常被恶意篡改，使服务器遭受越权访问，跨站脚本攻击，结构化查询语言(structuredquerylanguage，sql)注入等互联网攻击，从而给系统安全以及用户信息保护带来极大挑战。

基于此，用户行为分析系统可以通过对用户操作日志进行分析审计的方式，做到事后告警攻击行为。但是，由于用户日志量巨大，故完全依靠人工分析审计是件不可能做到的事情。而且，因没有固定的分类模型，故无法准确从正常用户操作行为中识别出异常用户操作。

技术实现要素：

有鉴于此，为解决上述问题本发明实施例提供一种数据分析方法和系统。

为达到上述目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供一种数据分析方法，所述方法包括：

获取用户行为数据；

根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；

将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；

若所述比对结果为所述用户行为轨迹未拟合到所述网络地图上，确定所述用户行为轨迹为异常行为轨迹。

上述方案中，在绘制得到用户行为轨迹之后，所述方法还包括：

检测所述用户行为轨迹是否满足第一预设条件，所述第一预设条件用于表明所述用户行为轨迹中在同一统一资源定位符url上的停留时间与正常操作时间阈值之间的时间间隔小于预设阈值；

若所述用户行为轨迹满足第一预设条件，则确定所述用户行为轨迹对应用户行为为攻击行为。

上述方案中，所述方法还包括：

若所述用户行为轨迹不满足第一预设条件，继续检测所述用户行为轨迹是否满足第二预设条件，所述第二预设条件用于表明所述用户行为轨迹中在同一url上的上传数据不同；

若所述用户行为轨迹不满足第二预设条件，则继续执行将所述用户行为轨迹与网站地图进行轨迹拟合比对的处理操作；

若所述用户行为轨迹满足第二预设条件，则确定所述用户行为轨迹对应用户行为为攻击行为。

上述方案中，所述方法还包括：

若所述比对结果为所述用户行为轨迹能够拟合到所述网络地图上，将所述用户行为轨迹与用户权限地图进行拟合判断处理；

若所述拟合判断结果表明所述用户行为轨迹超出用户权限边界，则确定所述用户行为轨迹对应用户行为发生越权攻击。

上述方案中，所述方法还包括：

若所述拟合判断结果表明所述用户行为轨迹未超出用户权限边界，对所述用户行为轨迹进行聚类判断，得到聚类判断结果；

若所述聚类判断结果表明所述用户行为轨迹为多数用户行为，则确定所述用户行为轨迹为正常用户轨迹，记录并添加所述用户行为轨迹到用户权限地图；

若所述聚类判断结果表明所述用户行为轨迹为少数用户行为，则确定所述用户行为轨迹为异常行为轨迹。

上述方案中，所述确定所述用户行为轨迹为异常行为轨迹之后，所述方法还包括：

对所述用户行为轨迹进行人工审计分析，以进一步判断所述用户行为轨迹是否为攻击行为；

若确定所述用户行为轨迹为攻击行为，则记录并添加所述用户行为轨迹到用户权限地图。

本发明实施例还提供一种数据分析系统，所述系统包括获取模块、绘制模块、拟合比对模块和确定模块；

所述获取模块，用于获取用户行为数据；

所述绘制模块，用于根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；

所述拟合比对模块，用于将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；

所述确定模块，用于若所述比对结果为所述用户行为轨迹未拟合到所述网络地图上，确定所述用户行为轨迹为异常行为轨迹。

上述方案中，所述系统还包括检测模块；

所述检测模块，用于检测所述用户行为轨迹是否满足第一预设条件，所述第一预设条件用于表明所述用户行为轨迹中在同一统一资源定位符url上的停留时间与正常操作时间阈值之间的时间间隔小于预设阈值；

所述确定模块，还用于若所述用户行为轨迹满足第一预设条件，则确定所述用户行为轨迹对应用户行为为攻击行为。

上述方案中，所述检测模块，还用于若所述用户行为轨迹不满足第一预设条件，继续检测所述用户行为轨迹是否满足第二预设条件，所述第二预设条件用于表明所述用户行为轨迹中在同一url上的上传数据不同；

相应的，所述拟合比对模块，还用于若所述用户行为轨迹不满足第二预设条件，则继续执行将所述用户行为轨迹与网站地图进行轨迹拟合比对的处理操作；

所述确定模块，还用于若所述用户行为轨迹满足第二预设条件，则确定所述用户行为轨迹对应用户行为为攻击行为。

上述方案中，所述系统还包括拟合判断模块；

所述拟合判断模块，用于若所述比对结果为所述用户行为轨迹能够拟合到所述网络地图上，将所述用户行为轨迹与用户权限地图进行拟合判断处理；

所述确定模块，还用于若所述拟合判断结果表明所述用户行为轨迹超出用户权限边界，则确定所述用户行为轨迹对应用户行为发生越权攻击。

上述方案中，所述系统还包括聚类判断模块；

所述聚类判断模块，用于若所述拟合判断结果表明所述用户行为轨迹未超出用户权限边界，对所述用户行为轨迹进行聚类判断，得到聚类判断结果；

所述确定模块，还用于若所述聚类判断结果表明所述用户行为轨迹为多数用户行为，则确定所述用户行为轨迹为正常用户轨迹，记录并添加所述用户行为轨迹到用户权限地图；还用于若所述聚类判断结果表明所述用户行为轨迹为少数用户行为，则确定所述用户行为轨迹为异常行为轨迹。

上述方案中，所述系统还包括人工审计分析模块；

所述人工审计分析模块，用于对所述用户行为轨迹进行人工审计分析，以进一步判断所述用户行为轨迹是否为攻击行为；若确定所述用户行为轨迹为攻击行为，则记录并添加所述用户行为轨迹到用户权限地图。

本发明实施例中，获取用户行为数据；根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；若所述比对结果为所述用户行为轨迹未拟合到所述网络地图上，确定所述用户行为轨迹为异常行为轨迹。如此，通过网站地图和用户行为轨迹的拟合，最大程度的发现异常攻击行为，从而避免在用户日志量较大的情况下，无法完全依靠人工分析审计的方式进行异常行为分析的问题。

附图说明

图1为本发明实施例数据分析方法的实现流程示意图一；

图2为本发明实施例用户行为分析系统的架构图；

图3为本发明实施例数据分析方法的实现流程示意图二；

图4为本发明实施例数据分析方法的实现流程示意图三；

图5为本发明实施例数据分析方法的实现流程示意图四；

图6为本发明实施例数据分析方法的具体实现流程示意图；

图7为本发明实施例数据分析系统的组成结构示意图。

具体实施方式

下面结合附图及具体实施例对本发明再作进一步详细的说明。

实施例一

图1为本发明实施例数据分析方法的实现流程示意图一，如图1所示，本发明实施例数据分析方法包括：

步骤101，获取用户行为数据；

其中，所述用户行为数据包括登陆时间、用户唯一标识、统一资源定位符(uniformresourcelocator，url)、停留时间、上传数据等信息。

具体地，结合如图2所示的用户行为分析系统，所述用户行为分析系统中的用户日志记录器是获取用户行为数据的重要来源；故可以直接从用户记录器中获取用户行为数据。

步骤102，根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；

这里，所述用户行为数据中所包括的登陆时间、用户唯一标识、url、停留时间、上传数据等信息之间存在有关联关系。相应地，如图2所示，所述用户行为分析系统中的用户行为轨迹描绘器根据所述用户醒悟数据中的关联关系，举例来说，以用户的唯一标识为区别，以登陆时间关联用户日志间的前后关系，从而描绘得到用户从登录站点，到离开站点全过程的用户行为轨迹。

步骤103，将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；

其中，所述网站地图是由如图2所示的网站地图绘制器利用网络爬虫技术绘制网站结构树，以及各链接之间的关联关系，从而形成的整个网站的脉络地图。这里，用户的正常操作行为应为在地图上相邻连接之间顺序变换。如用户操作行为出现跳跃转换或者出现在所赋予权限外的某个网站地点均可被辨识出为攻击性行为。因此，如图2所示，网站地图绘制器和轨迹拟合判断器、正常行为归类器、异常行为归类器间均存在着联系。网站地图绘制器为后三者提供基础地图服务，是后三者做行为识别判断的基础。

步骤104，若所述比对结果为所述用户行为轨迹未拟合到所述网络地图上，确定所述用户行为轨迹为异常行为轨迹。

结合本发明实施例所述步骤103～104，如图2所示，所述用户数据分析系统中的用户行为轨迹描绘器与轨迹拟合判断器相连，为轨迹拟合判断器提供用户行为轨迹。具体地，轨迹拟合器是用来将用户的行为轨迹与网站地图绘制器产生的网站地图做比较对比；若轨迹能恰当的拟合到网站地图上，则将此轨迹传递至正常行为归类器，以供分析；对于无法拟合到网站地图上的用户轨迹，将其定义为异常用户行为，传递至异常行为归类器。

本发明实施例所述数据分析方法，获取用户行为数据；根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；若所述比对结果为所述用户行为轨迹未拟合到所述网络地图上，确定所述用户行为轨迹为异常行为轨迹。如此，通过网站地图和用户行为轨迹的拟合，最大程度的发现异常攻击行为，从而避免在用户日志量较大的情况下，无法完全依靠人工分析审计的方式进行异常行为分析的问题。

实施例二

图3为本发明实施例数据分析方法的实现流程示意图二，如图3所示，本发明实施例数据分析方法包括：

步骤301，获取用户行为数据；

其中，所述用户行为数据包括登陆时间、用户唯一标识、url、停留时间、上传数据等信息。

步骤302，根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；

步骤303，检测所述用户行为轨迹是否满足第一预设条件；

其中，所述第一预设条件用于表明所述用户行为轨迹中在同一统一资源定位符url上的停留时间与正常操作时间阈值之间的时间间隔小于预设阈值。

步骤304，若所述用户行为轨迹满足第一预设条件，则确定所述用户行为轨迹对应用户行为为攻击行为。

步骤305，若所述用户行为轨迹不满足第一预设条件，继续检测所述用户行为轨迹是否满足第二预设条件；

其中，所述第二预设条件用于表明所述用户行为轨迹中在同一url上的上传数据不同。

步骤306，若所述用户行为轨迹满足第二预设条件，则确定所述用户行为轨迹对应用户行为为攻击行为。

这里，结合本发明实施例步骤302～306，在描绘用户行为轨迹的同时，对用户行为作初步分析，其中可通过在同一url上停留的时间与认为正常操作时间阈值间的比较，辨别出操作来自人工还是来自自动化工具。并以此为标准，初步辨别出攻击自动化工具产生的攻击行为。而且还可通过对同url，不同的上传数据，以及前后轨迹间上传数据的不同，进一步发掘识别出可能的攻击行为。

步骤307，若所述用户行为轨迹不满足第二预设条件，则继续将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；

步骤308，若所述比对结果为所述用户行为轨迹未拟合到所述网络地图上，确定所述用户行为轨迹为异常行为轨迹。

结合本发明实施例所述步骤307～308，如图2所示，所述用户数据分析系统中的用户行为轨迹描绘器与轨迹拟合判断器相连，为轨迹拟合判断器提供用户行为轨迹。具体地，轨迹拟合器是用来将用户的行为轨迹与网站地图绘制器产生的网站地图做比较对比；若轨迹能恰当的拟合到网站地图上，则将此轨迹传递至正常行为归类器，以供分析；对于无法拟合到网站地图上的用户轨迹，将其定义为异常用户行为，传递至异常行为归类器。

通过本发明实施例所述数据分析方法，通过网站地图和用户行为轨迹的拟合，最大程度的发现异常攻击行为，从而避免在用户日志量较大的情况下，无法完全依靠人工分析审计的方式进行异常行为分析的问题。

实施例三

图4为本发明实施例数据分析方法的实现流程示意图三，如图4所示，本发明实施例数据分析方法包括：

步骤401，获取用户行为数据；

其中，所述用户行为数据包括登陆时间、用户唯一标识、url、停留时间、上传数据等信息。

步骤402，根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；

步骤403，将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；

结合本发明实施例所述步骤402～403，如图2所示，所述用户数据分析系统中的用户行为轨迹描绘器与轨迹拟合判断器相连，为轨迹拟合判断器提供用户行为轨迹。具体地，轨迹拟合器是用来将用户的行为轨迹与网站地图绘制器产生的网站地图做比较对比；若轨迹能恰当的拟合到网站地图上，则将此轨迹传递至正常行为归类器，以供分析。

步骤404，若所述比对结果为所述用户行为轨迹能够拟合到所述网络地图上，将所述用户行为轨迹与用户权限地图进行拟合判断处理；

步骤405，若所述拟合判断结果表明所述用户行为轨迹超出用户权限边界，则确定所述用户行为轨迹对应用户行为发生越权攻击。

步骤406，若所述拟合判断结果表明所述用户行为轨迹未超出用户权限边界，对所述用户行为轨迹进行聚类判断，得到聚类判断结果；

步骤407，若所述聚类判断结果表明所述用户行为轨迹为多数用户行为，则确定所述用户行为轨迹为正常用户轨迹，记录并添加所述用户行为轨迹到用户权限地图；

步骤408，若所述聚类判断结果表明所述用户行为轨迹为少数用户行为，则确定所述用户行为轨迹为异常行为轨迹。

这里，如图2所示，结合本发明实施例步骤404～408，对于可拟合到网站地图的用户行为轨迹，正常行为归类器将采用模式识别聚类的方法，将用户行为轨迹归类。以网站的大多数用户行为均为正常操作，异常攻击行为仅为少数操作作为辨别依据，识别出正常用户行为的操作轨迹。并将此操作轨迹反馈给轨迹拟合器，以识别正常行为。对于无法归类到正常行为的轨迹，传递至异常行为归类器。

通过本发明实施例所述数据分析方法，通过网站地图和用户行为轨迹的拟合，最大程度的发现异常攻击行为，从而避免在用户日志量较大的情况下，无法完全依靠人工分析审计的方式进行异常行为分析的问题；进一步地，通过正常行为归类器能够自动辨识用户的正常操作行为，极大的减少的人工审计分析工作的工作量。

实施例四

图5为本发明实施例数据分析方法的实现流程示意图四，如图5所示，本发明实施例数据分析方法包括：

步骤501，获取用户行为数据；

其中，所述用户行为数据包括登陆时间、用户唯一标识、url、停留时间、上传数据等信息。

步骤502，根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；

步骤503，将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；

结合本发明实施例所述步骤502～503，如图2所示，所述用户数据分析系统中的用户行为轨迹描绘器与轨迹拟合判断器相连，为轨迹拟合判断器提供用户行为轨迹。具体地，轨迹拟合器是用来将用户的行为轨迹与网站地图绘制器产生的网站地图做比较对比；若轨迹能恰当的拟合到网站地图上，则将此轨迹传递至正常行为归类器，以供分析。

步骤504，若所述比对结果为所述用户行为轨迹能够拟合到所述网络地图上，将所述用户行为轨迹与用户权限地图进行拟合判断处理；

步骤505，若所述拟合判断结果表明所述用户行为轨迹超出用户权限边界，则确定所述用户行为轨迹对应用户行为发生越权攻击。

步骤506，若所述拟合判断结果表明所述用户行为轨迹未超出用户权限边界，对所述用户行为轨迹进行聚类判断，得到聚类判断结果；

步骤507，若所述聚类判断结果表明所述用户行为轨迹为多数用户行为，则确定所述用户行为轨迹为正常用户轨迹，记录并添加所述用户行为轨迹到用户权限地图；

步骤508，若所述聚类判断结果表明所述用户行为轨迹为少数用户行为，则确定所述用户行为轨迹为异常行为轨迹；

这里，如图2所示，结合本发明实施例步骤504～508，对于可拟合到网站地图的用户行为轨迹，正常行为归类器将采用模式识别聚类的方法，将用户行为轨迹归类。以网站的大多数用户行为均为正常操作，异常攻击行为仅为少数操作作为辨别依据，识别出正常用户行为的操作轨迹。并将此操作轨迹反馈给轨迹拟合器，以识别正常行为。对于无法归类到正常行为的轨迹，传递至异常行为归类器。

步骤509，对所述用户行为轨迹进行人工审计分析，以进一步判断所述用户行为轨迹是否为攻击行为；

步骤510，若确定所述用户行为轨迹为攻击行为，则记录并添加所述用户行为轨迹到用户权限地图。

这里，如图2所示，结合步骤509～510，所述用户行为分析系统中的异常行为归类器对于无法拟合的行为轨迹以及不能归类到正常行为的轨迹，将提请人工审计分析。将结果记录并反馈到轨迹拟合判断器，增加自动识别判断样本，使用户行为分析工作形成闭环处理。通过分析行为，迭代优化工作，提升用户行为分析工作效率。

通过本发明实施例所述数据分析方法，通过网站地图和用户行为轨迹的拟合，最大程度的发现异常攻击行为，从而避免在用户日志量较大的情况下，无法完全依靠人工分析审计的方式进行异常行为分析的问题；进一步地，通过正常行为归类器能够自动辨识用户的正常操作行为，极大的减少的人工审计分析工作的工作量；而且，将轨迹拟合判断器、正常行为归类器、及异常行为归类器三者对用户行为分析做了闭环处理，从而可通过分析行为，迭代优化工作，有效提升用户行为分析工作效率。

实施例五

图6为本发明实施例数据分析方法的具体实现流程示意图，如图6所示，本发明实施例数据分析方法包括：

步骤601，网站地图绘制器利用爬虫技术绘制网站地图；

步骤602，用户访问网站，用户日志记录器记录用户行为数据；

步骤603，用户行为描绘器利用步骤602产生的用户行为数据，通过用户的唯一标识id、url、访问时间，上传数据等信息之间的关联关系，绘制用户行为轨迹；

步骤604，用户行为描绘器利用同一url上停留的时间与正常认为操作时间阈值间的比较，确定时间间隔是否小于预设阈值；

这里，若时间间隔小于预设阈值，则转步骤605；否则，转步骤606；

步骤605，认定访问来自于自动化工具，并以此为标准，辨别出攻击自动化工具产生的攻击行为，做告警处理。

步骤606，对同url，上传数据是否相同，做判定。

这里，若同url，不同上传数据则转步骤607，否则转步骤608；

步骤607，同url，不同上传数据，则为攻击工具加载的不同测试载荷，判定为攻击行为，做告警处理。

步骤608，轨迹拟合器将用户行为轨迹和网站地图做拟合比对处理。若不能在地图上寻找到连续不间断的访问轨迹，则转步骤609，否则转步骤610；

步骤609，因用户行为轨迹存在着跳跃，判定为异常行为，转步骤613。

步骤610，用户轨迹与用户权限地图做拟合，判断是否超出用户权限边界。若超出用户权限边界，则转步骤611，否则转步骤612；

步骤611，用户超出权限边界，发生越权攻击，做告警处理。

步骤612，可以拟合到网站地图的用户轨迹，提交正常行为归类器来对用户行为轨迹进行聚类判断。

这里，正常行为归类器认为通过用户行为描绘器，轨迹拟合器的过滤，剩余行为大多数为正常操作行为，攻击行为仅为少数。因此通过正常行为辨别阈值，对归类后的用户行为做归类判断，即聚类判断。若用户属于多数行为，则判定为正常用户轨迹，做记录处理，并供用户行为拟合器拟合判定使用；若属少数行为，则转步骤613；

步骤613，通过异常行为归类器对属于少数的用户行为做人工审计分析，判定是否为攻击行为，若判定为攻击行为，则做记录处理，并供用户行为拟合器拟合判定使用，用以识别异常攻击行为。

本发明实施例通过网站地图和用户行为轨迹的拟合，最大程度的发现异常攻击行为；通过正常行为归类器来自动辨识用户的正常操作行为，极大的减少的人工审计分析工作的工作量；而且，将轨迹拟合判断器、正常行为归类器、及异常行为归类器三者对用户行为分析做了闭环处理，从而可通过分析行为，迭代优化工作，有效提升用户行为分析工作效率。

实施例六

图7为本发明实施例数据分析系统的组成结构示意图，如图7所示，所述数据分析系统70包括获取模块701、绘制模块702、拟合比对模块703和确定模块704；

所述获取模块701，用于获取用户行为数据；

所述绘制模块702，用于根据所述用户行为数据中的关联关系，绘制得到用户行为轨迹；

所述拟合比对模块703，用于将所述用户行为轨迹与网站地图进行轨迹拟合比对，得到比对结果；

所述确定模块704，用于若所述比对结果为所述用户行为轨迹未拟合到所述网络地图上，确定所述用户行为轨迹为异常行为轨迹。

在一实施方式中，如图7所示，所述系统还包括检测模块705；

所述检测模块705，用于检测所述用户行为轨迹是否满足第一预设条件，所述第一预设条件用于表明所述用户行为轨迹中在同一统一资源定位符url上的停留时间与正常操作时间阈值之间的时间间隔小于预设阈值；

所述确定模块704，还用于若所述用户行为轨迹满足第一预设条件，则确定所述用户行为轨迹对应用户行为为攻击行为。

在一实施方式中，如图7所示，所述检测模块705，还用于若所述用户行为轨迹不满足第一预设条件，继续检测所述用户行为轨迹是否满足第二预设条件，所述第二预设条件用于表明所述用户行为轨迹中在同一url上的上传数据不同；

相应的，所述拟合比对模块703，还用于若所述用户行为轨迹不满足第二预设条件，则继续执行将所述用户行为轨迹与网站地图进行轨迹拟合比对的处理操作；

所述确定模块704，还用于若所述用户行为轨迹满足第二预设条件，则确定所述用户行为轨迹对应用户行为为攻击行为。

在一实施方式中，如图7所示，所述系统还包括拟合判断模块706；

所述拟合判断模块706，用于若所述比对结果为所述用户行为轨迹能够拟合到所述网络地图上，将所述用户行为轨迹与用户权限地图进行拟合判断处理；

所述确定模块704，还用于若所述拟合判断结果表明所述用户行为轨迹超出用户权限边界，则确定所述用户行为轨迹对应用户行为发生越权攻击。

在一实施方式中，如图7所示，所述系统还包括聚类判断模块707；

所述聚类判断模块707，用于若所述拟合判断结果表明所述用户行为轨迹未超出用户权限边界，对所述用户行为轨迹进行聚类判断，得到聚类判断结果；

所述确定模块704，还用于若所述聚类判断结果表明所述用户行为轨迹为多数用户行为，则确定所述用户行为轨迹为正常用户轨迹，记录并添加所述用户行为轨迹到用户权限地图；还用于若所述聚类判断结果表明所述用户行为轨迹为少数用户行为，则确定所述用户行为轨迹为异常行为轨迹。

在一实施方式中，如图7所示，所述系统还包括人工审计分析模块708；

所述人工审计分析模块708，用于对所述用户行为轨迹进行人工审计分析，以进一步判断所述用户行为轨迹是否为攻击行为；若确定所述用户行为轨迹为攻击行为，则记录并添加所述用户行为轨迹到用户权限地图。

在实际应用中，本发明实施例所述数据分析系统中的各模块及其各模块均可以通过所述数据分析系统中的处理器实现，也可以通过具体的逻辑电路实现；比如，在实际应用中，可由位于所述数据处理装置的中央处理器(cpu)、微处理器(mpu)、数字信号处理器(dsp)、或现场可编程门阵列(fpga)等实现。另外，结合本发明实施例用户行为分析系统的架构，本发明实施例所述数据分析系统中的所述获取模块701可以由用户日志记录器来实现；所述绘制模块702和检测模块705可以由用户行为轨迹描绘器来实现；所述拟合比对模块703和确定模块704可以由网站地图绘制器和轨迹拟合判断器结合来实现；所述拟合判断模块706和聚类判断模块707可以由正常行为归类器来实现；所述人工审计分析模块708可以由异常行为归类器来实现。

本发明实施例六所述数据分析系统，为实施例一至五所述的方法提供了具体实现的硬件，能用于实现实施例一至五中任意所述的技术方案，同样的，可以通过网站地图和用户行为轨迹的拟合，最大程度的发现异常攻击行为；通过正常行为归类器来自动辨识用户的正常操作行为，极大的减少的人工审计分析工作的工作量；而且，将轨迹拟合判断器、正常行为归类器、及异常行为归类器三者对用户行为分析做了闭环处理，从而可通过分析行为，迭代优化工作，有效提升用户行为分析工作效率。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统和方法，可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

完整全部详细技术资料下载

当前第1页1 2

该技术已申请专利。仅供学习研究，如用于商业用途，请联系技术所有人。
技术研发人员：李佩瑞;
技术所有人：中国移动通信集团河北有限公司;
我是此专利的发明人

上一篇：拆垛手端拾器更换快速定位系统的制作方法与工艺
上一篇：一种同步轮内孔滚压装置的制作方法

该领域下的技术专家
如您需求助技术专家，请点此查看客服电话进行咨询。
1、王老师：1.数字信号处理 2.传感器技术及应用 3.机电一体化产品开发 4.机械工程测试技术 5.逆向工程技术研究
2、王老师：1.机器人 2.嵌入式控制系统开发
3、孙老师：1.振动信号时频分析理论与测试系统设计 2.汽车检测系统设计 3.汽车电子控制系统设计
4、毕老师：机构动力学与控制
5、袁老师：1.计算机视觉 2.无线网络及物联网
如您是高校老师，可以点此联系我们加入专家库。