一种企业员工网络行为分析的方法和装置与流程

本发明涉及网络安全技术领域，更确切地说是一种企业员工网络行为分析的方法和装置。

背景技术：

随着企业规模的不断壮大，企业员工数量越来越多。企业管理者无法实时了解每个企业员工的工作行为，对企业员工当前工作状态无法实时获取，导致企业员工准备离职时，企业管理者对这些情况任然不了解，给工作安排带来困难。而企业员工在离职前一般会有一些异常行为：

1、大多数员工不会选择先离职再寻找新工作，而找工作过程中必然有赶招聘会、面试等耗费一定时间的进程，这些进程大多只能通过请假来实现。

2、员工离职后，一般会就职于类似行业或者类似职位。而原有的工作材料是员工在工作上的一笔很大的财富，所以员工一般会通过拷贝或者打印的方式带走公司大量的资料。而这些操作一般要在上班之前或者下班以后，单位已无他人时进行。

企业需要及时发现员工跳槽的征兆，以便于采取有效的预防措施，降低公司员工的离职成本，保证公司业务的正常运行。

本发明可以通过对企业员工访问网络行为进行监控，可以实时发现企业员工的异常行为，如某些员工在一段时间内经常访问公司的资料库并下载资料时，则该员工可能存在盗取公司技术资料的行为，提示网络管理员进行相应处理。

技术实现要素：

针对上述缺陷，本发明提供了一种企业员工网络行为分析的方法和装置。一种企业员工网络行为分析的方法，包括：记录企业员工网络行为信息；对所述企业员工网络行为信息进行汇总、分析，得到企业员工网络行为规律；使用一段时间内记录的企业员工网络行为信息和所述企业员工网络行为规律进行比较，如果所述一段时间内记录的企业员工网络行为信息和所述企业员工网络行为规律有差异，则上报企业员工网络行为异常的信息。

可选地，所述企业员工网络行为信息包括：网络访问的目的ip地址、访问时间、访问时长、网络流量、访问网络的频率、企业员工标识；所述企业员工网络行为规律包括：企业员工一段时间内网络访问的目的ip地址、网络访问时间集中点、企业员工一段时间内网络访问流量、访问网络的频率。

可选地，获取企业员工的工作计划，如果所述企业员工的工作计划与所述一段时间内记录的企业员工网络行为信息相匹配但和所述企业员工网络行为规律有差异，则不上报企业员工网络行为异常的信息。

可选地，获取企业员工使用浏览器访问网络时浏览器标签文字或图形对应的文字；对所述获取的文字进行汇总、分析，得到企业员工网络访问内容规律；使用一段时间内记录的企业员工网络访问内容和所述企业员工网络访问内容规律进行比较，如果所述一段时间内记录的企业员工网络访问内容和所述企业员工网络访问内容规律有差异，则上报企业员工网络行为异常的信息。

可选地，对一些ip地址设置特殊标志；所述企业员工网络行为信息中的网络访问的目的ip地址包含设置了特殊标志的ip地址时，上报企业员工网络行为异常的信息。

另外本发明还提出一种企业员工网络行为分析的装置，包括：记录模块、分析模块、判断模块；所述记录模块，用于记录企业员工网络行为信息；所述分析模块，用于对所述企业员工网络行为信息进行汇总、分析，得到企业员工网络行为规律；所述判断模块，用于使用一段时间内记录的企业员工网络行为信息和所述企业员工网络行为规律进行比较，如果所述一段时间内记录的企业员工网络行为信息和所述企业员工网络行为规律有差异，则上报企业员工网络行为异常的信息。

可选地，所述记录模块记录的企业员工网络行为信息包括：网络访问的目的ip地址、访问时间、访问时长、网络流量、访问网络的频率、企业员工标识；所述分析模块对所述企业员工网络行为信息进行汇总、分析得到的用户网络行为规律包括：企业员工一段时间内网络访问的目的ip地址、网络访问时间集中点、企业员工一段时间内网络访问流量、访问网络的频率。

可选地，所述判断模块，用于获取企业员工的工作计划，如果所述企业员工的工作计划与所述一段时间内记录的企业员工网络行为信息相匹配但和所述用户网络行为规律有差异，则不上报企业员工网络行为异常的信息。

可选地，所述记录模块获取企业员工使用浏览器访问网络时浏览器标签文字或图形对应的文字；所述分析模块对所述获取的文字进行汇总、分析，得到企业员工网络访问内容规律；所述判断模块使用一段时间内记录的企业员工网络访问内容和所述企业员工网络访问内容规律进行比较，如果所述一段时间内记录的企业员工网络访问内容和所述企业员工网络访问内容规律有差异，则上报企业员工网络行为异常的信息。

可选地，所述判断模块，用于对一些ip地址设置特殊标志；所述判断模块，用于判断所述企业员工网络行为信息中的网络访问的目的ip地址包含设置了特殊标志的ip地址时，上报企业员工网络行为异常的信息。

本发明的有益效果：本发明可以通过对企业员工访问网络行为进行监控，可以实时发现企业员工的异常行为，如某些员工在一段时间内经常访问公司的资料库并下载资料时，则该员工可能存在盗取公司技术资料的行为，提示网络管理员进行相应处理。

【附图说明】

图1为实现本发明各个实施例的移动终端的硬件结构示意图；

图2为如图1所示的移动终端的无线通信系统示意图；

图3是本发明提供的企业员工网络行为分析的方法实施例一的方法流程图。

图4是本发明提供的企业员工网络行为分析的方法实施例二的方法流程图。

图5是本发明提供的企业员工网络行为分析的方法实施例三的方法流程图。

图6是本发明提供的企业员工网络行为分析的方法实施例四的方法流程图。

图7是本发明提供的企业员工网络行为分析的装置实施例五的结构示意图。

【具体实施方式】

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

在后续的描述中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身没有特定的意义。因此，“模块”、“部件”或“单元”可以混合地使用。

移动终端可以以各种形式来实施。例如，本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、pda(个人数字助理)、pad(平板电脑)、pmp(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字tv、台式计算机等等的固定终端。下面，假设终端是移动终端。然而，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本发明的实施方式的构造也能够应用于固定类型的终端。

图1为实现本发明各个实施例的移动终端的硬件结构示意。

移动终端100可以包括无线通信单元110、a/v(音频/视频)输入单元120、用户输入单元130、感测单元140、输出单元150、存储器160、接口单元170、控制器180和电源单元190等等。图1示出了具有各种组件的移动终端，但是应理解的是，并不要求实施所有示出的组件。可以替代地实施更多或更少的组件。将在下面详细描述移动终端的元件。

无线通信单元110通常包括一个或多个组件，其允许移动终端100与无线通信系统或网络之间的无线电通信。例如，无线通信单元可以包括广播接收模块111、移动通信模块112、无线互联网模块113、短程通信模块114和位置信息模块115中的至少一个。

广播接收模块111经由广播信道从外部广播管理服务器接收广播信号和/或广播相关信息。广播信道可以包括卫星信道和/或地面信道。广播管理服务器可以是生成并发送广播信号和/或广播相关信息的服务器或者接收之前生成的广播信号和/或广播相关信息并且将其发送给终端的服务器。广播信号可以包括tv广播信号、无线电广播信号、数据广播信号等等。而且，广播信号可以进一步包括与tv或无线电广播信号组合的广播信号。广播相关信息也可以经由移动通信网络提供，并且在该情况下，广播相关信息可以由移动通信模块112来接收。广播信号可以以各种形式存在，例如，其可以以数字多媒体广播(dmb)的电子节目指南(epg)、数字视频广播手持(dvb-h)的电子服务指南(esg)等等的形式而存在。广播接收模块111可以通过使用各种类型的广播系统接收信号广播。特别地，广播接收模块111可以通过使用诸如多媒体广播-地面(dmb-t)、数字多媒体广播-卫星(dmb-s)、数字视频广播-手持(dvb-h)，前向链路媒体(mediaflo@)的数据广播系统、地面数字广播综合服务(isdb-t)等等的数字广播系统接收数字广播。广播接收模块111可以被构造为适合提供广播信号的各种广播系统以及上述数字广播系统。经由广播接收模块111接收的广播信号和/或广播相关信息可以存储在存储器160(或者其它类型的存储介质)中。

移动通信模块112将无线电信号发送到基站(例如，接入点、节点b等等)、外部终端以及服务器中的至少一个和/或从其接收无线电信号。这样的无线电信号可以包括语音通话信号、视频通话信号、或者根据文本和/或多媒体消息发送和/或接收的各种类型的数据。

无线互联网模块113支持移动终端的无线互联网接入。该模块可以内部或外部地耦接到终端。该模块所涉及的无线互联网接入技术可以包括wlan(无线lan)(wi-fi)、wibro(无线宽带)、wimax(全球微波互联接入)、hsdpa(高速下行链路分组接入)等等。

短程通信模块114是用于支持短程通信的模块。短程通信技术的一些示例包括蓝牙tm、射频识别(rfid)、红外数据协会(irda)、超宽带(uwb)、紫蜂tm等等。

位置信息模块115是用于检查或获取移动终端的位置信息的模块。位置信息模块的典型示例是gps(全球定位系统)。根据当前的技术，gps模块115计算来自三个或更多卫星的距离信息和准确的时间信息并且对于计算的信息应用三角测量法，从而根据经度、纬度和高度准确地计算三维当前位置信息。当前，用于计算位置和时间信息的方法使用三颗卫星并且通过使用另外的一颗卫星校正计算出的位置和时间信息的误差。此外，gps模块115能够通过实时地连续计算当前位置信息来计算速度信息。

a/v输入单元120用于接收音频或视频信号。a/v输入单元120可以包括相机121和麦克风122，相机121对在视频捕获模式或图像捕获模式中由图像捕获装置获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元151上。经相机121处理后的图像帧可以存储在存储器160(或其它存储介质)中或者经由无线通信单元110进行发送，可以根据移动终端的构造提供两个或更多相机121。麦克风122可以在电话通话模式、记录模式、语音识别模式等等运行模式中经由麦克风接收声音(音频数据)，并且能够将这样的声音处理为音频数据。处理后的音频(语音)数据可以在电话通话模式的情况下转换为可经由移动通信模块112发送到移动通信基站的格式输出。麦克风122可以实施各种类型的噪声消除(或抑制)算法以消除(或抑制)在接收和发送音频信号的过程中产生的噪声或者干扰。

用户输入单元130可以根据用户输入的命令生成键输入数据以控制移动终端的各种操作。用户输入单元130允许用户输入各种类型的信息，并且可以包括键盘、锅仔片、触摸板(例如，检测由于被接触而导致的电阻、压力、电容等等的变化的触敏组件)、滚轮、摇杆等等。特别地，当触摸板以层的形式叠加在显示单元151上时，可以形成触摸屏。

感测单元140检测移动终端100的当前状态，(例如，移动终端100的打开或关闭状态)、移动终端100的位置、用户对于移动终端100的接触(即，触摸输入)的有无、移动终端100的取向、移动终端100的加速或减速移动和方向等等，并且生成用于控制移动终端100的操作的命令或信号。例如，当移动终端100实施为滑动型移动电话时，感测单元140可以感测该滑动型电话是打开还是关闭。另外，感测单元140能够检测电源单元190是否提供电力或者接口单元170是否与外部装置耦接。感测单元140可以包括接近传感器141。

接口单元170用作至少一个外部装置与移动终端100连接可以通过的接口。例如，外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(i/o)端口、视频i/o端口、耳机端口等等。识别模块可以是存储用于验证用户使用移动终端100的各种信息并且可以包括用户识别模块(uim)、客户识别模块(sim)、通用客户识别模块(usim)等等。另外，具有识别模块的装置(下面称为"识别装置")可以采取智能卡的形式，因此，识别装置可以经由端口或其它连接装置与移动终端100连接。接口单元170可以用于接收来自外部装置的输入(例如，数据信息、电力等等)并且将接收到的输入传输到移动终端100内的一个或多个元件或者可以用于在移动终端和外部装置之间传输数据。

另外，当移动终端100与外部底座连接时，接口单元170可以用作允许通过其将电力从底座提供到移动终端100的路径或者可以用作允许从底座输入的各种命令信号通过其传输到移动终端的路径。从底座输入的各种命令信号或电力可以用作用于识别移动终端是否准确地安装在底座上的信号。输出单元150被构造为以视觉、音频和/或触觉方式提供输出信号(例如，音频信号、视频信号、警报信号、振动信号等等)。输出单元150可以包括显示单元151、音频输出模块152、警报单元153等等。

显示单元151可以显示在移动终端100中处理的信息。例如，当移动终端100处于电话通话模式时，显示单元151可以显示与通话或其它通信(例如，文本消息收发、多媒体文件下载等等)相关的用户界面(ui)或图形用户界面(gui)。当移动终端100处于视频通话模式或者图像捕获模式时，显示单元151可以显示捕获的图像和/或接收的图像、示出视频或图像以及相关功能的ui或gui等等。

同时，当显示单元151和触摸板以层的形式彼此叠加以形成触摸屏时，显示单元151可以用作输入装置和输出装置。显示单元151可以包括液晶显示器(lcd)、薄膜晶体管lcd(tft-lcd)、有机发光二极管(oled)显示器、柔性显示器、三维(3d)显示器等等中的至少一种。这些显示器中的一些可以被构造为透明状以允许用户从外部观看，这可以称为透明显示器，典型的透明显示器可以例如为toled(透明有机发光二极管)显示器等等。根据特定想要的实施方式，移动终端100可以包括两个或更多显示单元(或其它显示装置)，例如，移动终端可以包括外部显示单元(未示出)和内部显示单元(未示出)。触摸屏可用于检测触摸输入压力以及触摸输入位置和触摸输入面积。

音频输出模块152可以在移动终端处于呼叫信号接收模式、通话模式、记录模式、语音识别模式、广播接收模式等等模式下时，将无线通信单元110接收的或者在存储器160中存储的音频数据转换音频信号并且输出为声音。而且，音频输出模块152可以提供与移动终端100执行的特定功能相关的音频输出(例如，呼叫信号接收声音、消息接收声音等等)。音频输出模块152可以包括扬声器、蜂鸣器等等。

警报单元153可以提供输出以将事件的发生通知给移动终端100。典型的事件可以包括呼叫接收、消息接收、键信号输入、触摸输入等等。除了音频或视频输出之外，警报单元153可以以不同的方式提供输出以通知事件的发生。例如，警报单元153可以以振动的形式提供输出，当接收到呼叫、消息或一些其它进入通信(incomingcommunication)时，警报单元153可以提供触觉输出(即，振动)以将其通知给用户。通过提供这样的触觉输出，即使在用户的移动电话处于用户的口袋中时，用户也能够识别出各种事件的发生。警报单元153也可以经由显示单元151或音频输出模块152提供通知事件的发生的输出。

存储器160可以存储由控制器180执行的处理和控制操作的软件程序等等，或者可以暂时地存储己经输出或将要输出的数据(例如，电话簿、消息、静态图像、视频等等)。而且，存储器160可以存储关于当触摸施加到触摸屏时输出的各种方式的振动和音频信号的数据。

存储器160可以包括至少一种类型的存储介质，所述存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等等)、随机访问存储器(ram)、静态随机访问存储器(sram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、可编程只读存储器(prom)、磁性存储器、磁盘、光盘等等。而且，移动终端100可以与通过网络连接执行存储器160的存储功能的网络存储装置协作。

控制器180通常控制移动终端的总体操作。例如，控制器180执行与语音通话、数据通信、视频通话等等相关的控制和处理。另外，控制器180可以包括用于再现(或回放)多媒体数据的多媒体模块181，多媒体模块181可以构造在控制器180内，或者可以构造为与控制器180分离。控制器180可以执行模式识别处理，以将在触摸屏上执行的手写输入或者图片绘制输入识别为字符或图像。

电源单元190在控制器180的控制下接收外部电力或内部电力并且提供操作各元件和组件所需的适当的电力。

这里描述的各种实施方式可以以使用例如计算机软件、硬件或其任何组合的计算机可读介质来实施。对于硬件实施，这里描述的实施方式可以通过使用特定用途集成电路(asic)、数字信号处理器(dsp)、数字信号处理装置(dspd)、可编程逻辑装置(pld)、现场可编程门阵列(fpga)、处理器、控制器、微控制器、微处理器、被设计为执行这里描述的功能的电子单元中的至少一种来实施，在一些情况下，这样的实施方式可以在控制器180中实施。对于软件实施，诸如过程或功能的实施方式可以与允许执行至少一种功能或操作的单独的软件模块来实施。软件代码可以由以任何适当的编程语言编写的软件应用程序(或程序)来实施，软件代码可以存储在存储器160中并且由控制器180执行。

至此，己经按照其功能描述了移动终端。下面，为了简要起见，将描述诸如折叠型、直板型、摆动型、滑动型移动终端等等的各种类型的移动终端中的滑动型移动终端作为示例。因此，本发明能够应用于任何类型的移动终端，并且不限于滑动型移动终端。

如图1中所示的移动终端100可以被构造为利用经由帧或分组发送数据的诸如有线和无线通信系统以及基于卫星的通信系统来操作。

现在将参考图2描述其中根据本发明的移动终端能够操作的通信系统。

这样的通信系统可以使用不同的空中接口和/或物理层。例如，由通信系统使用的空中接口包括例如频分多址(fdma)、时分多址(tdma)、码分多址(cdma)和通用移动通信系统(umts)(特别地，长期演进(lte))、全球移动通信系统(gsm)等等。作为非限制性示例，下面的描述涉及cdma通信系统，但是这样的教导同样适用于其它类型的系统。

参考图2，cdma无线通信系统可以包括多个移动终端100、多个基站(bs)270、基站控制器(bsc)275和移动交换中心(msc)280。msc280被构造为与公共电话交换网络(pstn)290形成接口。msc280还被构造为与可以经由回程线路耦接到基站270的bsc275形成接口。回程线路可以根据若干己知的接口中的任一种来构造，所述接口包括例如e1/t1、atm，ip、ppp、帧中继、hdsl、adsl或xdsl。将理解的是，如图2中所示的系统可以包括多个bsc2750。

每个bs270可以服务一个或多个分区(或区域)，由多向天线或指向特定方向的天线覆盖的每个分区放射状地远离bs270。或者，每个分区可以由用于分集接收的两个或更多天线覆盖。每个bs270可以被构造为支持多个频率分配，并且每个频率分配具有特定频谱(例如，1.25mhz,5mhz等等)。

分区与频率分配的交叉可以被称为cdma信道。bs270也可以被称为基站收发器子系统(bts)或者其它等效术语。在这样的情况下，术语"基站"可以用于笼统地表示单个bsc275和至少一个bs270。基站也可以被称为"蜂窝站"。或者，特定bs270的各分区可以被称为多个蜂窝站。

如图2中所示，广播发射器(bt)295将广播信号发送给在系统内操作的移动终端100。如图1中所示的广播接收模块111被设置在移动终端100处以接收由bt295发送的广播信号。在图2中，示出了几个全球定位系统(gps)卫星300。卫星300帮助定位多个移动终端100中的至少一个。

在图2中，描绘了多个卫星300，但是理解的是，可以利用任何数目的卫星获得有用的定位信息。如图1中所示的gps模块115通常被构造为与卫星300配合以获得想要的定位信息。替代gps跟踪技术或者在gps跟踪技术之外，可以使用可以跟踪移动终端的位置的其它技术。另外，至少一个gps卫星300可以选择性地或者额外地处理卫星dmb传输。

作为无线通信系统的一个典型操作，bs270接收来自各种移动终端100的反向链路信号。移动终端100通常参与通话、消息收发和其它类型的通信。特定基站270接收的每个反向链路信号被在特定bs270内进行处理。获得的数据被转发给相关的bsc275。bsc提供通话资源分配和包括bs270之间的软切换过程的协调的移动管理功能。bsc275还将接收到的数据路由到msc280，其提供用于与pstn290形成接口的额外的路由服务。类似地，pstn290与msc280形成接口，msc与bsc275形成接口，并且bsc275相应地控制bs270以将正向链路信号发送到移动终端100。

基于上述移动终端硬件结构以及通信系统，提出本发明方法各个实施例。

企业员工是企业的主体，是企业最重要的资源，员工的行为直接影响企业的生存和发展。高离职率会导致产品品质、服务质量、生产效率、顾客和员工忠诚度下降；同时，高离职率会削弱管理效果，影响人员管理和培训质量以及员工团队凝聚力。员工离职是我国经济体制改革和市场经济发展的必然产物，适当的员工离职可促进人员合理流动，优化社会劳动力配置，有利于形成良好的人才观；但过高的离职率会造成企业的技术和经验流失，降低员工士气，增加管理成本，严重影响到企业的竞争力和生产效率。

随着中国人口红利快速消失，外出工作人员减少，企业将面临招工难、人员流动大、劳动力成本快速推进等较大难题。据前程无忧《2012离职与调薪调研报告》显示，2012年上半年中国企业平均调薪9.8％，超过中国gdp增幅，2011年各行业企业员工平均离职率达18.9％，为2008年金融危机以来最高值；其中，传统服务业员工离职率高达21.2％，制造业员工离职率也高达20.5％。因此，在激烈的市场竞争中如何减少员工离职行为，稳定员工队伍，提高工作效率已成为企业关注的焦点。员工离职主要因素

造成员工离职的因素是多样的，但主要有员工个人因素和组织因素两方面。

(一)个人因素

1.个人特征因素。

一般包括年龄、任期、婚姻状况等方面。总体来讲通常年轻人比较不稳定，一方面年轻气盛，喜欢新鲜事物，导致长期在同一组织中易产生倦怠情绪；另一方面年轻人有上进心，不甘心从始至终从事一种工作，希望得到更好的发展机会。

2.个人家庭因素。

一般包括家庭收入和家人支持等方面。如果员工的收入是家庭最主要的经济来源，随着个人能力提升和经验累积，通常会凭借自身能力跳槽到工作环境好、薪酬福利高的企业，以改善家庭经济条件。

3.个人心理因素。

主要表现在公平感和成就感两方面。薪酬是员工与企业的心理契约，员工的薪酬水平除与自身能力相匹配外，还会产生以下三种心理比较：一是与公司内部其他同事比较；二是与公司外同行比较；三是与自己的实际付出、贡献比较，当员工感到不公平时就极有可能产生离职的想法。

(二)组织因素

组织因素是导致员工离职最直接、最根本因素，对员工离职发生作用的涵盖面很广，主要分为工作因素和制度因素。

1.工作因素。

主要有工作单调或复杂度、工作压力两方面。工作过于单调易使员工产生倦怠感，但复杂程度太高，工作负荷过大，会使员工产生心理压力，萌生离职念头。高强度的体力劳动易使员工身体和心理上产生疲惫，如制造企业实行轮班运转制度，造成员工生活作息规律紊乱。因此，工作压力与离职之间是正相关的关系。

2.制度因素。

制度因素主要有薪酬福利制度、激励制度和培训晋升制度三方面。

这三个方面呈正相关性，没有公平公正的薪酬、考核制度，就不能为员工晋升提供有力的正向依据，对任何一项不满都可能导致员工离职。

因此，企业管理者或人力资源部门需要及时发现员工跳槽的征兆，以便于采取有效的预防措施，降低公司员工的离职成本，保证公司业务的正常运行。企业员工离职前，一般都会有一些异常行为，主要有以下行为：

1.隔三岔五地请半天或一天的假

大多数员工不会选择先离职再寻找新工作，而找工作过程中必然有赶招聘会、面试等耗费一定时间的进程，这些进程大多只能通过请假来实现。

2.接听电话变成神秘

员工计划离职时，必定会与朋友、家人聊及此事以期获得他们的建议，而取用的联系方式必定为私人专线----手机。为了保证离职计划的秘密性，手机可以有效地防止同事得知之。此外，员工在接到新单位的面试通知时，也会避开同事。

3.办公室个人物品突然减少

办公室内个人物品偶有增减，这是一个正常的现象，本无可厚非，如果个人物品突然一夜之间减少大半，那多半是此人去意已决。

4.突然延长工作时间

员工离职后，一般会就职于类似行业或者类似职位。而原有的工作材料是员工在工作上的一笔很大的财富，所以员工一般会通过拷贝或者打印的方式带走公司大量的资料。而这些操作一般要在上班之前或者下班以后，单位已无他人时进行。

5.改变工作态度

一旦员工面试通过，便会尽快结束原单位工作的扫尾部分，并不愿意再招揽新的业务。而且，此时人的心态会发生很大的改变，如果平时是个老好人或者逆来顺受的话，便会直接拒绝新的工作，并且态度坚决或者蛮横。如果平时很果敢且作风强硬的话，便会借故推脱，且处事变得异常圆滑。

6.与同事的私下交流次数变多

一是因为扫尾工作已处理得差不多，时间比较充裕；二是对自己离职的决定会有一些犹豫，所以会时不时地与同事聊天，从同事那里得到公司目前的情况，并旁敲侧击离职的事情，以期得到同事对自己离职想法的肯定。

实施例一

参考图3，一种企业员工网络行为分析的方法，包括：

s101、记录企业员工网络行为信息。

企业员工每天需要登录电脑进行工作处理，企业员工登录电脑后，需要访问相应网络，如访问内部局域网或互联网。企业员工一般每天上班后都会使用邮件客户端软件收发邮件；登录企业内部即时通讯软件进行企业员工之间的业务交流；浏览互联网，了解相关资讯。

系统记录企业员工访问网络的相关信息：网络访问的目的ip地址，访问时间、访问时长、网络流量、访问网络的频率、企业员工标识。获取这些信息后，把这些信息保存到数据库中，便于后续对这些信息进行分析。

网络访问的目的ip地址从网络数据包中获取，如tcp、udp协议的数据包中获取；访问时间为企业员工访问该目的ip地址开始时间；访问时长为企业员工访问该目的ip地址的时长，同时累计该企业员工一天中访问网络的总时长；网络流量为企业员工一天中访问该目的ip地址的网络流量，同时累计该企业员工一天中访问所有网络的总流量；访问网络的频率为企业员工一天中访问某个网站或网址的次数；企业员工标识为用户登录电脑的用户名或员工使用的电脑名称。

记录企业员工访问网络的相关信息，本地数据库存储后，也可以发送到第三方服务器进行存储，编译第三方服务器统一对企业员工的网络行为进行分析。

s102、对企业员工网络行为信息进行汇总、分析，得到企业员工网络行为规律。

对记录的企业员工网络信息进行分析，得到用户主要访问的目的ip地址(如用户访问的目的ip前5名的ip地址信息，一般企业员工主要访问的目的ip地址是和自己工作强相关的服务器)。如用户每天上班后首先打开邮件客户端收发邮件，然后再开启企业内部即时通讯软件进行员工之间的业务交流，那邮件服务器、企业内部及时通讯软件服务器的ip地址就是用户主要访问的目的ip地址。获取用户主要访问的目的ip地址可以通过数据库查询得到，即数据库中记录条数靠前的目的ip地址(如数据库中记录条数前5名的目的ip地址标识为用户主要访问的目的ip地址)。

对记录的网络访问时间进行统计，统计企业员工主要访问的目的ip地址主要是在哪个时间段进行访问，如该企业员工访问邮件服务器时间主要集中在8:30-9:30、17:00-18:00。统计企业员工每天主要在那些时间段访问网络，如主要在8:30-10:00、16:00-18:00。

对记录的网络流量进行统计，统计企业员工一天中访问的目的ip地址的流量、访问流量最大的目的ip地址，统计企业员工一天中总共的网络流量。

对记录的网络访问频率进行统计，统计企业员工一天中访问一个目的ip地址的次数。如一个企业员工一天访问网络邮件服务器的次数为10-20次。

对以上分析、统计后的信息进行保存，以该企业员工标识信息(如企业员工登录电脑的用户名)为索引，存储以上信息到数据库中。从而得到该企业员工的网络行为规律数据，如该企业员工一般在8:30-9:30访问企业邮箱服务器、10:00-10:30访问文档服务器下载文档进行处理、每天访问网络的网络流量在2g-5g之间。

s103、使用一段时间内记录的企业员工网络行为信息和企业员工网络行为规律进行比较，如果一段时间内记录的企业员工网络行为信息和企业员工网络行为规律有差异，则上报企业员工网络行为异常的信息。

对当天或当前连续一段时间(如一个星期)记录的企业员工网络行为信息进行分析和汇总后得到的该企业员工当天或当前连续一段时间(如一个星期)的网络行为规律和该企业员工的历史网络行为规律进行比较，通过比较分析该企业员工当天或当前连续一段时间(如一个星期)的网络行为和历史的网络行为规律是否有较大的差异。如该企业员工在当前连续一段时间都是在17:00-18:00才访问邮件服务器，而该企业员工历史记录的网络行为规律是在8:30-9:30访问邮件服务器，则认为该企业员工当前一段时间的网络行为有异常，需要上报企业员工网络行为异常的信息给相应系统或部门(如人力资源部)。

主要从企业员工访问网络的时间、主要访问的目的ip地址、网络流量等方面进行比较，如果当前的这些信息和历史记录的网络行为规律差别较大时，需要上报企业员工网络行为异常的信息给相应系统或部门(如人力资源部)。上报的企业员工网络行为异常信息包括该企业员工当前一段时间的网络行为规律、企业员工标识(如企业员工登录电脑的账号)。

相应部门收到企业员工网络行为异常信息后，可以采取相应措施。如与该员工进行交流，了解该员工的当前状态；或从该员工的周边同事了解该员工是否有离职倾向。

本实施例在通过比较企业员工当前网络行为规律和历史网络行为规律的差异，判断该企业员工是否有异常行为。发现该企业员工有异常行为后，可以和该员工进行交流，避免该员工进行离职，从而提升企业管理效率。

实施例二

参考图4，本实施例在实施例一的基础上增加以下步骤：

s104、获取企业员工的工作计划，如果企业员工的工作计划与一段时间内记录的企业员工网络行为信息相匹配但和用户网络行为规律有差异，则不上报企业员工网络行为异常的信息。

企业员工一般都会在每个季度或每个月制定一份工作计划，如某个员工加入某个项目组后，需要为该企业员工指定一份工作计划。工作计划包含以下内容：工作类型、工作内容、任务强度、计划时长。

判断一段时间内记录的企业员工网络行为信息和用户网络行为规律有差异后，获取该企业员工这一段时间的工作计划，通过分析工作计划来判断该企业员工一段时间内记录的企业员工网络行为信息是否存在异常。如工作类型为软件开发、工作强度大，而该企业员工这一段时间内记录的企业员工网络行为信息和这些工作计划匹配(网络流量增加、访问的目的ip地址更多)，则不上报该企业员工网络行为异常的信息。

如果该企业员工这一段时间内记录的企业员工网络行为信息和这些工作计划不匹配，则需要上报该企业员工网络行为异常的信息。如工作类型为流程跟踪、工作强度小，而该企业员工这一段时间内记录的企业员工网络行为信息和这些工作计划不匹配(网络流量增加、访问的目的ip地址更多)，则需要上报该企业员工网络行为异常的信息。

导入企业员工工作计划，可由第三方系统(如员工考评系统)自动导入。第三方系统在企业员工或该员工主管提交该企业员工的工作计划后，自动导入到企业员工网络行为分析系统中。后续企业员工或该员工主管修改了该企业员工的工作计划后，也需要实时同步到企业员工网络行为分析系统中。

本实施例在企业员工网络行为分析中导入企业员工工作计划，通过工作计划来判断企业员工是否存在网络行为异常，提高了判断的准确性、提升了用户体验。

实施例三

参考图5，本实施例在实施例一的基础上增加以下步骤：

s105、对一些ip地址设置特殊标志；企业员工网络行为信息中的网络访问的目的ip地址包含设置了特殊标志的ip地址时，上报企业员工网络行为异常的信息。

网络管理员对一些敏感的目的ip地址进行标识，如对招聘网站的ip地址、竞争对手的网站ip地址进行标识。只要企业员工网络行为信息包含这些设置了特殊标志的ip地址时，上报企业员工网络行为异常的信息。

网络管理员可以对这些敏感的目的ip地址进行标识进一步进行设置，设置企业员工在一段时间内(如一周内)访问敏感的目的ip地址达到一定次数(如一周访问超过10次)时，才上报企业员工网络行为异常的信息。

网络管理员可以为每个企业员工设置独立的敏感的目的ip地址、访问次数，即每个企业员工的敏感的目的ip地址、访问次数都可以不同，有自己的独立参数。

本实施例在企业员工网络行为分析中设置敏感的目的ip地址，企业员工访问这些敏感的目的ip地址达到一定次数时上报网络行为异常，提高了判断的灵活性、提升了用户体验。

实施例四

参考图6，本实施例在实施例一的基础上增加以下步骤，包括：

s106、获取企业员工使用浏览器访问网络时浏览器标签文字或图形对应的文字。

企业员工每天需要登录电脑进行工作处理，企业员工登录电脑后，需要访问相应网络，如访问内部局域网或互联网。企业员工一般会使用浏览器访问企业内部网络或互联网，了解相关资讯或进行相应业务处理。

系统记录企业员工通过浏览器访问网络时浏览器标签文字或图形对应的文字。获取这些文字内容后，把这些文字内容保存到数据库中，便于后续对这些文字内容进行分析。浏览器标签文字一般是网络内容的概述，通过获取企业员工访问网络时浏览器标签文字或图形对应的文字，就可以知道企业员工主要关注那方面的内容，如企业员工主要访问企业内部网站的技术论坛的java技术内容。

s107、对获取的文字进行汇总、分析，得到企业员工网络访问内容规律。

对记录的企业员工通过浏览器访问网络时浏览器标签文字或图形对应的文字信息进行分析，得到企业员工主要访问的相关内容。如企业员工主要访问企业内部网站的技术论坛的java技术内容。

对以上分析、统计后的信息进行保存，以该企业员工标识信息(如企业员工登录电脑的用户名)为索引，存储以上信息到数据库中。从而得到该企业员工的网络访问内容规律，如该企业员工一般在18:30-20:30访问企业内部网站的技术论坛的java技术内容。

s108、使用一段时间内记录的企业员工网络访问内容和企业员工网络访问内容规律进行比较，如果一段时间内记录的企业员工网络访问内容和企业员工网络访问内容规律有差异，则上报企业员工网络行为异常的信息。

对当天或当前连续一段时间(如一个星期)记录的企业员工网络访问内容进行分析和汇总后得到的该企业员工当天或当前连续一段时间(如一个星期)的网络访问内容规律和该企业员工的历史网络访问内容规律进行比较，通过比较分析该企业员工当天或当前连续一段时间(如一个星期)的网络访问内容规律和历史的网络访问内容是否有较大的差异。如该企业员工在当前连续一段时间都是在18:30-20:30访问企业内部网站的技术论坛的大数据技术内容，而该企业员工历史记录的网络内容访问规律是在18:30-20:30访问企业内部网站的技术论坛的java技术内容，则认为该企业员工当前一段时间的网络行为有异常，需要上报企业员工网络行为异常的信息给相应系统或部门(如人力资源部)。

相应部门收到企业员工网络行为异常信息后，可以采取相应措施。如与该员工进行交流，了解该员工的当前状态；或从该员工的周边同事了解该员工是否有离职倾向。

本实施例在通过比较企业员工当前网络访问内容规律和历史网络访问内容规律的差异，判断该企业员工是否有异常行为。发现该企业员工有异常行为后，可以和该员工进行交流，避免该员工进行离职，从而提升企业管理效率。

实施例五

参考图7，一种企业员工网络行为分析的装置，该装置包括记录模块p201、分析模块p202及判断模块p203。

记录模块p20，用于记录企业员工网络行为信息。

企业员工每天需要登录电脑进行工作处理，企业员工登录电脑后，需要访问相应网络，如访问内部局域网或互联网。企业员工一般每天上班后都会使用邮件客户端软件收发邮件；登录企业内部即时通讯软件进行企业员工之间的业务交流；浏览互联网，了解相关资讯。

系统记录企业员工访问网络的相关信息：网络访问的目的ip地址，访问时间、访问时长、网络流量、网络访问频率、企业员工标识。获取这些信息后，把这些信息保存到数据库中，便于后续对这些信息进行分析。

网络访问的目的ip地址从网络数据包中获取，如tcp、udp协议的数据包中获取；访问时间为企业员工访问该目的ip地址开始时间；访问时长为企业员工访问该目的ip地址的时长，同时累计该企业员工一天中访问网络的总时长；网络流量为企业员工一天中访问该目的ip地址的网络流量，同时累计该企业员工一天中访问所有网络的总流量；访问网络的频率为企业员工一天中访问某个网站或网址的次数；企业员工标识为用户登录电脑的用户名或员工使用的电脑名称。

记录企业员工访问网络的相关信息，本地数据库存储后，也可以发送到第三方服务器进行存储，编译第三方服务器统一对企业员工的网络行为进行分析。

分析模块p202，用于对企业员工网络行为信息进行汇总、分析，得到用户网络行为规律。

对记录的企业员工网络信息进行分析，得到用户主要访问的目的ip地址(如用户访问的目的ip前5名的ip地址信息，一般企业员工主要访问的目的ip地址是和自己工作强相关的服务器)。如用户每天上班后首先打开邮件客户端收发邮件，然后再开启企业内部即时通讯软件进行员工之间的业务交流，那邮件服务器、企业内部及时通讯软件服务器的ip地址就是用户主要访问的目的ip地址。获取用户主要访问的目的ip地址可以通过数据库查询得到，即数据库中记录条数靠前的目的ip地址(如数据库中记录条数前5名的目的ip地址标识为用户主要访问的目的ip地址)。

对记录的网络访问时间进行统计，统计企业员工主要访问的目的ip地址主要是在哪个时间段进行访问，如该企业员工访问邮件服务器时间主要集中在8:30-9:30、17:00-18:00。统计企业员工每天主要在那些时间段访问网络，如主要在8:30-10:00、16:00-18:00。

对记录的网络流量进行统计，统计企业员工一天中访问的目的ip地址的流量、访问流量最大的目的ip地址，统计企业员工一天中总共的网络流量。

对记录的网络访问频率进行统计，统计企业员工一天中访问一个目的ip地址的次数。如一个企业员工一天访问网络邮件服务器的次数为10-20次。

对以上分析、统计后的信息进行保存，以该企业员工标识信息(如企业员工登录电脑的用户名)为索引，存储以上信息到数据库中。从而得到该企业员工的网络行为规律数据，如该企业员工一般在8:30-9:30访问企业邮箱服务器、10:00-10:30访问文档服务器下载文档进行处理、每天访问网络的网络流量在2g-5g之间。

判断模块p203，用于使用一段时间内记录的企业员工网络行为信息和用户网络行为规律进行比较，如果一段时间内记录的企业员工网络行为信息和用户网络行为规律有差异，则上报企业员工网络行为异常的信息。

对当天或当前连续一段时间(如一个星期)记录的企业员工网络行为信息进行分析和汇总后得到的该企业员工当天或当前连续一段时间(如一个星期)的网络行为规律和该企业员工的历史网络行为规律进行比较，通过比较分析该企业员工当天或当前连续一段时间(如一个星期)的网络行为和历史的网络行为规律是否有较大的差异。如该企业员工在当前连续一段时间都是在17:00-18:00才访问邮件服务器，而该企业员工历史记录的网络行为规律是在8:30-9:30访问邮件服务器，则认为该企业员工当前一段时间的网络行为有异常，需要上报企业员工网络行为异常的信息给相应系统或部门(如人力资源部)。

主要从企业员工访问网络的时间、主要访问的目的ip地址、网络流量等方面进行比较，如果当前的这些信息和历史记录的网络行为规律差别较大时，需要上报企业员工网络行为异常的信息给相应系统或部门(如人力资源部)。上报的企业员工网络行为异常信息包括该企业员工当前一段时间的网络行为规律、企业员工标识(如企业员工登录电脑的账号)。

相应部门收到企业员工网络行为异常信息后，可以采取相应措施。如与该员工进行交流，了解该员工的当前状态；或从该员工的周边同事了解该员工是否有离职倾向。

本实施例在通过比较企业员工当前网络行为规律和历史网络行为规律的差异，判断该企业员工是否有异常行为。发现该企业员工有异常行为后，可以和该员工进行交流，避免该员工进行离职，从而提升企业管理效率。

实施例六

本实施例在实施例五的基础上，判断模块p203还用于获取企业员工的工作计划，如果企业员工的工作计划与一段时间内记录的企业员工网络行为信息相匹配但和用户网络行为规律有差异，则不上报企业员工网络行为异常的信息。

企业员工一般都会在每个季度或每个月制定一份工作计划，如某个员工加入某个项目组后，需要为该企业员工指定一份工作计划。工作计划包含以下内容：工作类型、工作内容、任务强度、计划时长。

判断一段时间内记录的企业员工网络行为信息和用户网络行为规律有差异后，获取该企业员工这一段时间的工作计划，通过分析工作计划来判断该企业员工一段时间内记录的企业员工网络行为信息是否存在异常。如工作类型为软件开发、工作强度大，而该企业员工这一段时间内记录的企业员工网络行为信息和这些工作计划匹配(网络流量增加、访问的目的ip地址更多)，则不上报该企业员工网络行为异常的信息。

如果该企业员工这一段时间内记录的企业员工网络行为信息和这些工作计划不匹配，则需要上报该企业员工网络行为异常的信息。如工作类型为流程跟踪、工作强度小，而该企业员工这一段时间内记录的企业员工网络行为信息和这些工作计划不匹配(网络流量增加、访问的目的ip地址更多)，则需要上报该企业员工网络行为异常的信息。

导入企业员工工作计划，可由第三方系统(如员工考评系统)自动导入。第三方系统在企业员工或该员工主管提交该企业员工的工作计划后，自动导入到企业员工网络行为分析系统中。后续企业员工或该员工主管修改了该企业员工的工作计划后，也需要实时同步到企业员工网络行为分析系统中。

本实施例在企业员工网络行为分析中导入企业员工工作计划，通过工作计划来判断企业员工是否存在网络行为异常，提高了判断的准确性、提升了用户体验。

实施例七

本实施例在实施例五的基础上，判断模块p203还用于对一些ip地址设置特殊标志；企业员工网络行为信息中的网络访问的目的ip地址包含设置了特殊标志的ip地址时，上报企业员工网络行为异常的信息。

网络管理员对一些敏感的目的ip地址进行标识，如对招聘网站的ip地址、竞争对手的网站ip地址进行标识。只要企业员工网络行为信息包含这些设置了特殊标志的ip地址时，上报企业员工网络行为异常的信息。

网络管理员可以对这些敏感的目的ip地址进行标识进一步进行设置，设置企业员工在一段时间内(如一周内)访问敏感的目的ip地址达到一定次数(如一周访问超过10次)时，才上报企业员工网络行为异常的信息。

网络管理员可以为每个企业员工设置独立的敏感的目的ip地址、访问次数，即每个企业员工的敏感的目的ip地址、访问次数都可以不同，有自己的独立参数。

本实施例在企业员工网络行为分析中设置敏感的目的ip地址，企业员工访问这些敏感的目的ip地址达到一定次数时上报网络行为异常，提高了判断的灵活性、提升了用户体验。

实施例八

本实施例在实施例五的基础上，记录模块p20，还用于获取企业员工使用浏览器访问网络时浏览器标签文字或图形对应的文字。

企业员工每天需要登录电脑进行工作处理，企业员工登录电脑后，需要访问相应网络，如访问内部局域网或互联网。企业员工一般会使用浏览器访问企业内部网络或互联网，了解相关资讯或进行相应业务处理。

系统记录企业员工通过浏览器访问网络时浏览器标签文字或图形对应的文字。获取这些文字内容后，把这些文字内容保存到数据库中，便于后续对这些文字内容进行分析。浏览器标签文字一般是网络内容的概述，通过获取企业员工访问网络时浏览器标签文字或图形对应的文字，就可以知道企业员工主要关注那方面的内容，如企业员工主要访问企业内部网站的技术论坛的java技术内容。

分析模块p202，还用于对获取的文字进行汇总、分析，得到企业员工网络访问内容规律。

对记录的企业员工通过浏览器访问网络时浏览器标签文字或图形对应的文字信息进行分析，得到企业员工主要访问的相关内容。如企业员工主要访问企业内部网站的技术论坛的java技术内容。

对以上分析、统计后的信息进行保存，以该企业员工标识信息(如企业员工登录电脑的用户名)为索引，存储以上信息到数据库中。从而得到该企业员工的网络访问内容规律，如该企业员工一般在18:30-20:30访问企业内部网站的技术论坛的java技术内容。

判断模块p203，还用于使用一段时间内记录的企业员工网络访问内容和企业员工网络访问内容规律进行比较，如果一段时间内记录的企业员工网络访问内容和企业员工网络访问内容规律有差异，则上报企业员工网络行为异常的信息。

对当天或当前连续一段时间(如一个星期)记录的企业员工网络访问内容进行分析和汇总后得到的该企业员工当天或当前连续一段时间(如一个星期)的网络访问内容规律和该企业员工的历史网络访问内容规律进行比较，通过比较分析该企业员工当天或当前连续一段时间(如一个星期)的网络访问内容规律和历史的网络访问内容是否有较大的差异。如该企业员工在当前连续一段时间都是在18:30-20:30访问企业内部网站的技术论坛的大数据技术内容，而该企业员工历史记录的网络内容访问规律是在18:30-20:30访问企业内部网站的技术论坛的java技术内容，则认为该企业员工当前一段时间的网络行为有异常，需要上报企业员工网络行为异常的信息给相应系统或部门(如人力资源部)。

相应部门收到企业员工网络行为异常信息后，可以采取相应措施。如与该员工进行交流，了解该员工的当前状态；或从该员工的周边同事了解该员工是否有离职倾向。

本实施例在通过比较企业员工当前网络访问内容规律和历史网络访问内容规律的差异，判断该企业员工是否有异常行为。发现该企业员工有异常行为后，可以和该员工进行交流，避免该员工进行离职，从而提升企业管理效率。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

上面结合附图对本发明的实施例进行了描述，但是本发明并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本发明的启示下，在不脱离本发明宗旨和权利要求所保护的范围情况下，还可做出很多形式，这些均属于本发明的保护之内。