用户访问行为监控方法、电子装置和计算机可读存储介质与流程

本申请涉及互联网技术领域，尤其涉及一种用户访问行为监控方法、电子装置和计算机可读存储介质。

背景技术：

用户身份认证是指计算机以及计算机网络系统中确认操作者身份的过程，是一个基本的安全机制。

传统的用户身份认证方案有基于用户名和密码认证，最新的研究成果支持用户通过指纹、面部识别、虹膜等生物特征做认证。这些认证都属于瞬间的“快照式”认证，所谓“快照式”认证是指通过一个时间点的用户输入(包括生物特征输入)来验证用户的身份是否合法。

在一定的条件下，这些基于固定的口令或“快照式”生物特征的认证方式都有被绕过或者伪造的可能性。

为了解决固定登录口令或者“快照式”生物特征的认证方式被绕过或者伪造的问题，需要在用户访问站点的整个过程中，对于用户的行为特征进行持续监控，当发现用户的行为特征异常时，立即予以告警。目前对于用户访问站点的行为进行监控并检测是否存在异常的方式主要有以下几种：

1.在审计类系统内建立相应的策略，以识别正常访问和异常访问，当用户请求的url满足异常访问识别策略时(如域名命中，或者url命中)，则将命中策略的url请求视为异常url请求，进行阻断或告警。此方法的问题在于，需要有相关的安全领域专家提前预设安全策略，而如果用户访问的站点不在预设的策略范围内或者访问的是站点新增加的功能页面，则无法进行识别，继而在异常访问时阻断告警。

2.基于站点爬虫，主动爬取站点页面内容，建立url与页面内部url的关系图，即认为通常的url访问路径是从该url跳转到该url对应页面内所包含的链接，而将不符合此逻辑的url访问路径作为异常路径。此方法的问题在于，需要认为站点结构上存在的可跳转关系都是正常的，即按照网站既定结构作为检测规则，因此这种方式也是一种预设策略的检测方式；另外也没有考虑不同用户间身份和使用习惯的差异。

技术实现要素：

本申请实施例提供一种用户访问行为监控方法、电子装置和计算机可读存储介质，可基于各用户的历史网络使用习惯对各用户的访问行为进行监控，而无需预设策略。

本申请实施例第一方面提供一种用户访问行为监控方法，该方法包括：

以指定的时间窗口从实时日志队列中读取目标http日志，所述目标http日志为目标源ip访问目标站点产生的http日志；

基于所述目标http日志生成所述目标源ip的当前访问行为文件，所述当前访问行为文件反映了所述目标源ip在所述时间窗口内访问所述目标站点的行为习惯；

获取所述目标源ip对所述目标站点的历史访问行为文件，其中，所述历史访问行为文件反映了所述目标源ip访问所述目标站点的历史行为习惯；

根据所述当前访问行为文件以及所述历史访问行为文件，分析用户在所述时间窗口内对所述目标站点的访问行为是否异于对所述目标站点的历史访问行为

可选的，所述历史访问行为文件基于所述目标源ip对所述目标站点的历史url访问序列得到；

所述基于所述目标http日志生成所述目标源ip的当前访问行为文件包括：

基于所述目标http日志，获取在所述时间窗口内所述目标源ip对所述目标站点的当前url访问序列，基于所述当前url访问序列得到所述目标源ip的当前访问行为文件。

可选的，所述历史访问行为文件包括：历史访问行为图谱和/或历史访问时间序列图谱，在所述获取所述目标源ip对所述目标站点的历史访问行为文件前，还包括：

获取一段历史时间内目标源ip访问目标站点的http日志，基于所述http日志获取所述目标源ip对所述目标站点的历史url访问序列；

将所述历史url访问序列中每个url作为节点，将一个url节点到另一个url节点的跳转关系作为两节点间的一条有向边，生成所述目标源ip对于所述目标站点的历史访问行为图谱；和/或，获取所述历史url访问序列中，用户在各url上停留的时间，将所述历史url访问序列中每个url作为节点，将一个url节点到另一个url节点的跳转关系作为两节点间的一条有向边，基于用户在各url上停留的时间确定存在跳转关系的相邻节点之间的访问时间间隔，以所述节点、有向边和访问时间间隔生成所述目标源ip对于所述目标站点的历史访问时间序列图谱。

可选的，若所述历史访问行为文件包括历史访问行为图谱，所述根据所述当前访问行为文件以及所述历史访问行为文件，分析用户在所述时间窗口内对所述目标站点的访问行为是否异于对所述目标站点的历史访问行为包括：

根据所述当前url访问序列中url的先后访问关系，提取url访问子序列，其中，每个url访问子序列包含存在直接跳转关系的两个url；

对于每一个url访问子序列与所述历史访问行为图谱进行比对，若url访问子序列中含有所述历史访问行为图谱中不存在的节点，和/或，若url访问子序列间的跳转关系在所述历史访问行为图谱中不存在，则用户在所述时间窗口内对所述目标站点的访问行为异于对所述目标站点的历史访问行为；

若所述历史访问行为文件包括历史访问时间序列图谱，所述根据所述当前访问行为文件以及所述历史访问行为文件，分析用户本次对所述目标站点的访问行为是否异于对所述目标站点的历史访问行为包括：

根据所述当前url访问序列中url的先后访问关系，提取url访问子序列，其中，每个url访问子序列包含存在直接跳转关系的两个url；

获取每个url访问子序列的两个url之间的访问时间间隔；

对于每一个url访问子序列与所述历史访问时间序列图谱进行比对，若存在以下情形之一，则用户在所述时间窗口内对所述目标站点的访问行为异于对所述目标站点的历史访问行为；

情形一：url访问子序列中含有所述历史访问时间序列图谱中不存在的节点；

情形二：url访问子序列间的跳转关系在所述历史访问时间序列图谱中不存在；

情形三：url访问子序列中两个url间的访问时间间隔与所述历史访问时间序列图谱中这两个url间的访问时间间隔之差不满足预设的时间差要求。

可选的，所述基于所述http日志获取所述目标源ip对所述目标站点的历史url访问序列包括：

基于所述http日志，获取所述目标源ip访问所述目标站点的url序列；

对所述url序列中的各个url，去掉参数部分的内容，再根据各url的后缀过滤掉是页面的静态资源请求的url，基于所述url序列中剩余的url得到历史url访问序列；

所述基于所述目标http日志，获取在所述时间窗口内所述目标源ip对所述目标站点的当前url访问序列包括：

基于所述目标http日志，获取在所述时间窗口内所述目标源ip访问所述目标站点的url序列；

对所述url序列中的各个url，去掉参数部分的内容，再根据各url的后缀过滤掉是页面的静态资源请求的url，基于所述url序列中剩余的url得到当前url访问序列。

可选的，历史访问行为文件设有标识，所述标识包括访问站点的源ip、所述源ip访问的所述站点的目的ip以及目的端口，所述获取所述目标源ip对所述目标站点的历史访问行为文件包括：

基于所述目标http日志获取目标源ip、目标源ip访问的目标站点的目的ip和目的端口的信息；

基于获取的所述目标源ip、目的ip和目的端口，查询历史访问行为文件的标识，获取所述目标源ip对所述目标站点的历史访问行为文件。

可选的，在根据所述当前访问行为文件以及所述历史访问行为文件，分析用户在所述时间窗口内对所述目标站点的访问行为是否异于对所述目标站点的历史访问行为后，还包括：

若用户在所述时间窗口内对所述目标站点的访问行为异于对所述目标站点的历史访问行为，则向所述目标源ip输出访问异常的告警和/或阻断所述目标源ip当前的访问。

本申请实施例第二方面提供一种电子装置，该电子装置包括：

读取模块，用于以指定的时间窗口从实时日志队列中读取目标http日志，所述目标http日志为目标源ip访问目标站点产生的http日志；

生成模块，用于基于所述目标http日志生成所述目标源ip的当前访问行为文件，所述当前访问行为文件反映了所述目标源ip在所述时间窗口内访问所述目标站点的行为习惯；

获取模块，用于获取所述目标源ip对所述目标站点的历史访问行为文件，其中，所述历史访问行为文件反映了所述目标源ip访问所述目标站点的历史行为习惯；

处理模块，用于根据所述当前访问行为文件以及所述历史访问行为文件，分析用户在时间窗口内对所述目标站点的访问行为是否异于对所述目标站点的历史访问行为。

本申请实施例第三方面提供一种电子装置，该电子装置包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时，实现上述实施例第一方面提供的用户访问行为监控方法中的步骤。

本申请实施例第四方面提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时，实现上述实施例第一方面提供的用户访问行为监控方法中的步骤。

本申请实施例提供了一种用户访问行为监控方法、电子装置和计算机可读存储介质，通过以指定的时间窗口从实时日志队列中读取目标http日志，基于目标http日志生成目标源ip的当前访问行为文件，并获取目标源ip对目标站点的历史访问行为文件，可以根据当前访问行为文件以及历史访问行为文件，分析用户本次对目标站点的访问行为是否异于对目标站点的历史访问行为，通过本申请上述的方案可知，本申请是以用户对目标站点的历史使用习惯作为分析用户本次对目标站点的访问是否异常的依据，这种方式不用基于站点框架和站点结构预设策略，实用性和适应性更强，且充分考虑了用户的个性和习惯，有利于提升对用户异常访问行为的识别准确度。

附图说明

图1为本申请提供的用户访问行为监控方法的一个实施例流程示意图；

图2为本申请提供的历史访问行为图谱的示意图；

图3为本申请提供的历史访问时间序列图谱的示意图；

图4为本申请提供的一种并行得到多个历史访问行为文件的方法示意图；

图5为本申请提供的电子装置的一个实施例结构示意图；

图6为本申请提供的电子装置的另一个实施例结构示意图。

具体实施方式

为使得本申请的发明目的、特征、优点能够更加的明显和易懂，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而非全部实施例。基于本申请中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

现有技术中，基于策略的审计系统需要专家预设策略和基于站点框架的检测方式需要站点结构预设策略检测，都属于预先设置策略的方式，没有考虑用户身份和使用习惯，本申请实施例提供了一种用户访问行为监控方法，可基于用户的历史访问行为来分析用户当前的访问行为是否正常，提升网络访问的安全性。参见图1，本实施例中用户访问行为监控方法包括如下的步骤：

步骤101、以指定的时间窗口从实时日志队列中读取目标http日志，目标http日志为目标源ip访问目标站点产生的http日志；

可选的，本实施例中的时间窗口的长短可以是任意设置的，例如时间窗口为5分钟，时间窗口为4分钟等等，本实施例对此没有限制。本实施例中的目标站点可以是任意类型的站点，例如游戏类、购物类等等。

在本实施例中，http日志中包括但不限于访问时间、源ip和目的ip、来源url、访问url等字段，基于这些内容，可以快速、准确地获取目标源ip访问目标站点产生的目标http日志。

本实施例中目标源ip对应的终端可以是手机、平板、智能手环等移动终端，也可以是台式电脑、智能电视等固定终端，本实施例对此没有限制。

本实施例的用户访问行为监控方法可以在如服务器等电子装置上进行，也可以在多个电子装置构成的(如分布式)系统上进行，本实施例对此没有限制。为了减少获取目标源ip的目标http日志的时间，可以设置受保护站点列表，列表中包含受保护的站点的名称，在以指定的时间窗口从实时日志队列中读取目标http日志前，可以先从http日志中过滤出目的ip位于受保护站点列表的http日志，使用目的ip加上目的端口作为站点的标志。

本实施例中，对不同目标站点的分析可以是分开独立进行的，本次的目标http日志为目标源ip访问同一个目标站点产生的http日志。

步骤102、基于目标http日志生成目标源ip的当前访问行为文件，其中，该当前访问行为文件反映了目标源ip在时间窗口内访问目标站点的行为习惯；

可选的，本实施例的当前访问行为文件中可以包含目标源ip在时间窗口内访问站点的url的相关信息，例如，访问的站点的url、url的访问时间和离开时间，url之间的跳转关系等等信息。

步骤103、获取目标源ip对目标站点的历史访问行为文件，其中，历史访问行为文件反映了目标源ip访问目标站点的历史行为习惯；

可选的，本实施例的历史访问行为文件中可以包含目标源ip在时间窗口内访问站点的url的相关信息，例如，访问的站点的url、url的访问时间和离开时间，url之间的跳转关系等等信息。

步骤104、根据当前访问行为文件以及历史访问行为文件，分析用户在时间窗口内对目标站点的访问行为是否异于对目标站点的历史访问行为。

在分析用户在时间窗口内对目标站点的访问行为是否异于对目标站点的历史访问行为时，可以根据当前访问行为文件中目标源ip对url的访问规律与历史访问行为文件中目标源ip对url的访问规律，来分析用户在时间窗口内的访问行为是否异常。

可选的，本实施例中，历史访问行为文件基于目标源ip对目标站点的历史url访问序列得到。历史访问行为文件包括：历史访问行为图谱和/或历史访问时间序列图谱，在获取目标源ip对目标站点的历史访问行为文件前，还包括生成历史访问行为图谱和/或历史访问时间序列图谱的步骤。

对于历史访问行为图谱，其生成方法包括：

获取一段历史时间内目标源ip访问目标站点的http日志，基于http日志获取目标源ip对目标站点的历史url访问序列；将历史url访问序列中每个url作为节点，将一个url节点到另一个url节点的跳转关系作为两节点间的一条有向边，生成目标源ip对于目标站点的历史访问行为图谱。

本实施例中，获取一段历史时间内目标源ip访问目标站点的http日志前，可以先从http日志中过滤出目的ip位于受保护站点列表的http日志，然后再在过滤出的日志中获取目标http日志，这有助于减少获取目标http日志的时间。

本实施例中，生成的历史访问行为图谱如图2所示，用户在站点的一、二、三级业务下访问了多项业务，每项业务的跳转关系如图2，在最上面的用户访问站点路径中，用户从业务入口的节点进入站点，之后跳转到业务1的节点，从业务1的节点跳转到业务1-1的节点，从业务1-1的节点跳转到业务1-1-1的节点。

对于历史访问时间序列图谱，其生成方法包括：获取一段历史时间内目标源ip访问目标站点的http日志，基于http日志获取目标源ip对目标站点的历史url访问序列；获取历史url访问序列中用户在各url上停留的时间，将历史url访问序列中每个url作为节点，将一个url节点到另一个url节点的跳转关系作为两节点间的一条有向边，基于用户在各url上停留的时间确定存在跳转关系的相邻节点之间的访问时间间隔，以节点、有向边和访问时间间隔生成目标源ip对于目标站点的历史访问时间序列图谱。

可选的，对历史访问时间序列图谱可以是在历史访问行为图谱的基础上对目标源ip(即用户)在各个节点上停留的时间进行刻画得到，例如，可以基于图2中的用户访问行为图谱得到图3中的用户访问时间序列图谱。如图3所示，用户从业务入口的节点进入站点，在业务入口的节点上停留2秒，之后跳转到业务2的节点，在业务2的节点上停留4s，之后从业务2的节点跳转到业务2-2的节点，在业务2-2的节点上停留2s，之后，从业务2-2的节点跳转到业务2-2-1的节点，在业务2-2-1的节点上停留x秒，之后跳转到xxx节点上······。

可选的，在本实施例中，基于目标http日志生成目标源ip的当前访问行为文件包括：基于目标http日志，获取在时间窗口内目标源ip对目标站点的当前url访问序列，基于当前url访问序列得到目标源ip的当前访问行为文件。

当前url访问序列包含了当前的时间窗口内目标源ip访问站点的url的顺序等信息。

在上述历史访问行为图谱和历史访问时间序列图谱的基础上，本实施例可以较为准确地分析用户在时间窗口内对目标站点的访问行为，是否异于对目标站点的历史访问行为。

可选的，基于历史访问行为图谱，根据当前访问行为文件以及历史访问行为文件，分析用户在时间窗口内对目标站点的访问行为是否异于对目标站点的历史访问行为包括：

根据当前url访问序列中url的先后访问关系，提取url访问子序列，其中，每个url访问子序列包含存在直接跳转关系的两个url；

对于每一个url访问子序列与历史访问行为图谱进行比对，若url访问子序列中含有历史访问行为图谱中不存在的节点，和/或，若url访问子序列间的跳转关系在历史访问行为图谱中不存在，则用户在时间窗口内对目标站点的访问行为异于对目标站点的历史访问行为，若所有的url访问子序列中的节点都在历史访问行为图谱中存在，且各个url访问子序列间的跳转关系在历史访问行为图谱中也都存在，则用户在时间窗口内对目标站点的访问行为不异于对目标站点的历史访问行为。

根据当前url访问序列中url的先后访问关系，提取url访问子序列时，可以根据从访问时间最早的url开始提取，将存在直接跳转关系的两个url作为一个子序列，其中，不同url子序列中可以有一个url重复，例如对于url1-url2-url3-url4的序列，提取url访问子序列url1-url2、url2-url3、url3-url4，又例如，根据当前url访问序列中url的先后访问关系，从元素为n的当前url访问序列的url集合中，提取出n-1个子序列，例如对于{u1,u2,u3...un}的url集合，得到的子序列为{u1->u2,u2->u3,...,un-1->un}等等。

在得到上述的图谱之后，可以将图谱序列化为二进制对象，将序列化得到的数据存储在hdfs(hadoop分布式文件系统)上，以供使用。当然，本实施例中并不限于将序列化得到的数据存储在hdfs上，也可以以其他方式存储，例如存在特定的一个服务器上等等。

可选的，基于历史访问时间序列图谱，根据当前访问行为文件以及历史访问行为文件，分析用户本次对目标站点的访问行为是否异于对目标站点的历史访问行为包括：

根据当前url访问序列中url的先后访问关系，提取url访问子序列，其中，每个url访问子序列包含存在直接跳转关系的两个url；

获取每个url访问子序列的两个url之间的访问时间间隔；

对于每一个url访问子序列与历史访问时间序列图谱进行比对，若存在以下情形之一，则用户在时间窗口内对目标站点的访问行为异于对目标站点的历史访问行为，若所有的url访问子序列中的节点都在历史访问时间序列图谱存在，各个url访问子序列间的跳转关系也都在历史访问时间序列图谱中存在，且各个url访问子序列中两个url间的访问时间间隔与历史访问时间序列图谱中这两个url间的访问时间间隔之差满足预设的时间差要求，则用户在时间窗口内对目标站点的访问行为不异于对目标站点的历史访问行为；

情形一：url访问子序列中含有历史访问时间序列图谱中不存在的节点；

情形二：url访问子序列间的跳转关系在历史访问时间序列图谱中不存在；

情形三：url访问子序列中两个url之间的访问时间间隔与历史访问时间序列图谱中这两个url之间的访问时间间隔之差不满足预设的时间差要求。

在基于历史访问时间序列图谱的方案中，提取url访问子序列的方式参见上述的相关描述，在此不再赘述。预设的时间差要求包括但不限于url访问子序列中两个url之间的访问时间间隔，与历史访问行为图谱中这两个url之间的访问时间间隔之差不超过一定标准，例如url访问子序列中两个url之间的访问时间间隔，不超过历史访问行为图谱中这两个url之间的访问时间间隔的三倍。

可以理解的是，在上述基于历史访问行为图谱和历史访问时间序列图谱的分析过程中，需要先对序列化的历史访问行为图谱和历史访问时间序列图谱进行反序列化后得到图谱对象，再进行上述的分析。

在一个示例中，为了避免url中掺杂的静态资源的干扰，需要在生成历史访问行为文件和当前访问行为文件的过程中对url进行去噪处理，可选的，在生成历史访问行为文件的过程中，在获取一段历史时间内目标源ip访问目标站点的http日志后，需要对http日志中的url进行去噪。可选的，上述基于http日志获取目标源ip对目标站点的历史url访问序列包括：

基于http日志，获取目标源ip访问目标站点的url序列；

对url序列中的各个url，去掉参数部分的内容，再根据各url的后缀过滤掉是页面的静态资源请求的url，基于url序列中剩余的url得到历史url访问序列。

可选的，在生成当前访问行为文件的过程中，也需要对url进行去噪处理，上述基于目标http日志，获取在时间窗口内目标源ip对目标站点的当前url访问序列包括：

基于目标http日志，获取在时间窗口内目标源ip访问目标站点的url序列；

对url序列中的各个url，去掉参数部分的内容，再根据各url的后缀过滤掉是页面的静态资源请求的url，基于url序列中剩余的url得到当前url访问序列。

在上述方案中，去掉url的参数部分的内容可以是去掉url中问号后的所有内容。根据各url的后缀过滤掉是页面的静态资源请求的url时，若url的后缀属于预设后缀，如属于js(javascript脚本)、css(样式文件)、png/jpg/gif/jpeg(图片文件)等，则认为url是页面的静态资源请求，不属于本申请实施例中的url路径分析的范畴，将这些url过滤掉，余下属于页面的动态资源请求的url进行后续的分析，即历史url访问序列和当前url访问序列中的url是目标源ip对目标站点的动态资源请求的url。

为了便于快速、准确地获取到历史访问行为文件，快速、准确地得到时间窗口内用户访问行为是否异常的结论，本实施例中，历史访问行为文件设有标识，标识包括访问站点的源ip、源ip访问的站点的目的ip以及目的端口。

可选的，在生成史访问行为图谱和/或历史访问时间序列图谱后，还包括：以目标源ip、目标源ip访问的目标站点的目的ip和目的端口对历史访问行为文件进行标识。

可选的，上述获取目标源ip对目标站点的历史访问行为文件的步骤包括：

基于目标http日志获取目标源ip、目标源ip访问的目标站点的目的ip和目的端口的信息；

基于获取的目标源ip、目的ip和目的端口，查询历史访问行为文件的标识，获取目标源ip对目标站点的历史访问行为文件。

可选的，本实施例中，在根据当前访问行为文件以及历史访问行为文件，分析用户在时间窗口内对目标站点的访问行为是否异于对目标站点的历史访问行为后，还包括：若用户在时间窗口内对目标站点的访问行为异于对目标站点的历史访问行为，则向目标源ip输出访问异常的告警和/或阻断目标源ip当前的访问(阻断目标源ip当前对目标站点的访问)。

由于历史http日志中，有非常多的源ip访问站点对，为了提高上述图谱的生成性能，本实施例中可以使用如spark的分布式算子并行地生成目标源ip访问目标站点的历史访问行为文件(上述的两个图谱)，即本申请中，采用分布式算子并行地得到多个源ip-站点对的历史访问行为文件。可以理解的是，并行得到的多个历史访问行为文件中，可以出现源ip对多个不同站点的历史访问行为文件，也可以出现不同源ip对同一个站点的历史访问行为文件。

本实施例中，也可以采用如spark的分布式算子并行地执行上述的步骤101-104，对多个目标源ip的当前用户访问行为进行分析。

如图4所示，服务器或系统可以先读取n天的http日志，从http日志中提取时间、源ip和目的ip、来源url、访问url等字段，基于这些字段，过滤掉日志中内网站点的流量，过滤出目的ip位于受保护站点列表的http日志，然后对http日志中的url进行去噪处理(具体去噪的过程参见上述的实施例内容)，按照源ip+目的ip+目的端口的信息对http日志中的url进行聚合，得到不同的源ip-站点对的url访问序列，然后进入分布式流程，如图4中，进入三个并列的分布式流程中进行不同的源ip-站点对的历史访问行为文件的获取。如图4所示，并列的分布式流程中得到的序列化后的图谱对象会放入hdfs中进行存储。

为了解决现有技术中的问题，本申请实施例还提出一种电子装置，参见图5，该电子装置包括：

读取模块501，用于以指定的时间窗口从实时日志队列中读取目标http日志，目标http日志为目标源ip访问目标站点产生的http日志；

生成模块502，用于基于目标http日志生成目标源ip的当前访问行为文件，当前访问行为文件反映了目标源ip在时间窗口内访问目标站点的行为习惯；

获取模块503，用于获取目标源ip对目标站点的历史访问行为文件，其中，历史访问行为文件反映了目标源ip访问目标站点的历史行为习惯；

处理模块504，用于根据当前访问行为文件以及历史访问行为文件，分析用户在时间窗口对目标站点的访问行为是否异于对目标站点的历史访问行为。

可选的，历史访问行为文件基于目标源ip对目标站点的历史url访问序列得到。获取模块503，用于基于目标http日志，获取在时间窗口内目标源ip对目标站点的当前url访问序列，基于当前url访问序列得到目标源ip的当前访问行为文件。

可选的，本实施例中，历史访问行为文件包括：历史访问行为图谱和/或历史访问时间序列图谱，电子装置还包括第二生成模块，该第二生成模块用于在获取目标源ip对目标站点的历史访问行为文件前，获取一段历史时间内目标源ip访问目标站点的http日志，基于http日志获取目标源ip对目标站点的历史url访问序列；以及将历史url访问序列中每个url作为节点，将一个url节点到另一个url节点的跳转关系作为两节点间的一条有向边，生成目标源ip对于目标站点的历史访问行为图谱。和/或，第二生成模块用于在获取目标源ip对目标站点的历史访问行为文件前，获取一段历史时间内目标源ip访问目标站点的http日志，基于http日志获取目标源ip对目标站点的历史url访问序列，获取历史url访问序列中用户在各url上停留的时间，将历史url访问序列中每个url作为节点，将一个url节点到另一个url节点的跳转关系作为两节点间的一条有向边，基于用户在各url上停留的时间确定存在跳转关系的相邻节点之间的访问时间间隔，以节点、有向边和访问时间间隔生成目标源ip对于目标站点的历史访问时间序列图谱。

可选的，若历史访问行为文件包括历史访问行为图谱，处理模块504，用于根据当前url访问序列中url的先后访问关系，提取url访问子序列，其中，每个url访问子序列包含存在直接跳转关系的两个url；对于每一个url访问子序列与历史访问行为图谱进行比对，若url访问子序列中含有历史访问行为图谱中不存在的节点，和/或，若url访问子序列间的跳转关系在历史访问行为图谱中不存在，则用户在时间窗口内对目标站点的访问行为异于对目标站点的历史访问行为，若所有的url访问子序列中的节点都在历史访问行为图谱存在，且各个url访问子序列间的跳转关系在历史访问行为图谱中存在，则用户在时间窗口内对目标站点的访问行为不异于对目标站点的历史访问行为。

若历史访问行为文件包括历史访问时间序列图谱，处理模块504，用于根据当前url访问序列中url的先后访问关系，提取url访问子序列，其中，每个url访问子序列包含存在直接跳转关系的两个url；获取每个url访问子序列的两个url之间的访问时间间隔；对于每一个url访问子序列与历史访问时间序列图谱进行比对，若存在以下情形之一，则用户在时间窗口内对目标站点的访问行为异于对目标站点的历史访问行为，若所有的url访问子序列中的节点都在历史访问时间序列图谱存在，各个url访问子序列间的跳转关系也都在历史访问时间序列图谱中存在，且各个url访问子序列中两个url之间的访问时间间隔与历史访问时间序列图谱中这两个url之间的访问时间间隔之差满足预设的时间差要求，则用户在时间窗口内对目标站点的访问行为不异于对目标站点的历史访问行为；

情形一：url访问子序列中含有历史访问时间序列图谱中不存在的节点；

情形二：url访问子序列间的跳转关系在历史访问时间序列图谱中不存在；

情形三：url访问子序列中两个url之间的访问时间间隔与历史访问时间序列图谱中这两个url之间的访问时间间隔之差不满足预设的时间差要求。

可选的，第二生成模块，用于基于一段历史时间内目标源ip访问目标站点的http日志，获取目标源ip访问目标站点的url序列；对url序列中的各个url，去掉参数部分的内容，再根据各url的后缀过滤掉是页面的静态资源请求的url，基于url序列中剩余的url得到历史url访问序列。

可选的，生成模块502，用于基于目标http日志，获取在时间窗口内目标源ip访问目标站点的url序列；对url序列中的各个url，去掉参数部分的内容，再根据各url的后缀过滤掉是页面的静态资源请求的url，基于url序列中剩余的url得到当前url访问序列。

可选的，历史访问行为文件设有标识，标识包括访问站点的源ip、源ip访问的站点的目的ip以及目的端口。获取模块503，用于基于目标http日志获取目标源ip、目标源ip访问的目标站点的目的ip和目的端口的信息；基于获取的目标源ip、目的ip和目的端口，查询历史访问行为文件的标识，获取目标源ip对目标站点的历史访问行为文件。

可选的，本实施例的电子装置还包括异常应对模块，用于接收处理模块的分析结果，若用户在时间窗口内对目标站点的访问行为异于对目标站点的历史访问行为，则向目标源ip输出访问异常的告警和/或阻断目标源ip当前的访问。

图6为本申请实施例提供一种电子装置。该电子装置可用于实现图1所示实施例中的用户访问行为监控方法。如6所示，该电子装置主要包括：

存储器601、处理器602及存储在存储器601上并可在处理器602上运行的计算机程序，处理器602执行该计算机程序时，实现图1所示实施例中的用户访问行为监控方法。

进一步的，该电子装置还包括：通信总线603，上述存储器601和处理器602通过总线603连接。

存储器601可以是高速随机存取记忆体(ram，randomaccessmemory)存储器，也可为非不稳定的存储器(non-volatilememory)，例如磁盘存储器。存储器601用于存储一组可执行程序代码，处理器602与存储器601耦合。

通过本申请实施例，可以以指定的时间窗口从实时日志队列中读取目标http日志，基于目标http日志生成目标源ip的当前访问行为文件，并获取目标源ip对目标站点的历史访问行为文件，可以根据当前访问行为文件以及历史访问行为文件，分析用户本次对目标站点的访问行为是否异于对目标站点的历史访问行为，基于上述方案可知本申请是以用户对目标站点的历史使用习惯作为分析用户本次对目标站点的访问是否异常的依据，这种方式不用基于站点框架和站点结构预设策略，实用性和适应性更强，且充分考虑了用户的个性和习惯，有利于提升对用户异常访问行为的识别准确度。

进一步的，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质可以是设置于上述各实施例中的电子装置中，该计算机可读存储介质可以是前述图6所示实施例中的存储器。该计算机可读存储介质上存储有计算机程序，该程序被处理器执行时实现图1所示实施例中的用户访问行为监控方法。进一步的，该计算机可存储介质还可以是u盘、移动硬盘、只读存储器(rom，read-onlymemory)、ram、磁碟或者光盘等各种可以存储程序代码的介质。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或模块的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能模块可以集成在一个处理模块中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个可读存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括：u盘、移动硬盘、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，对于前述的各方法实施例，为了简便描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本申请并不受所描述的动作顺序的限制，因为依据本申请，某些步骤可以采用其它顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定都是本申请所必须的。

在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其它实施例的相关描述。

以上为对本申请所提供的用户访问行为监控方法、电子装置及计算机可读存储介质的描述，对于本领域的技术人员，依据本申请实施例的思想，在具体实施方式及应用范围上均会有改变之处，综上，本说明书内容不应理解为对本申请的限制。