一种用户行为监控方法、系统及存储介质与流程

1.本发明涉及安全技术领域，具体涉及一种用户行为监控方法、系统及存储介质。


背景技术：

2.目前，网络安全防护系统大部分关注的重点仍然是攻击行为或恶意操作，而这些行为的主体是用户，做为服务端，只能被动的等待客户端的访问和操作，导致对用户行为威胁的感知只能是先感知行为，再定位行为主体的用户。
3.对于网络系统的安全防护，大部分只能从系统服务端本身来进行安全检测和各种防护工作，而很多安全问题的入口往往是各种网络系统的客户端，因此对客户端的防护工作也应该网络安全环境建设的一部分，而如何去引导客户端的安全防护是工作的难点也是重点。如果将监控的主体转换为用户，即需要对注册用户的不同维度进行评估，判断其是否存在潜在的危险操作和行为的感知，以此来实现对用户行为的管控。


技术实现要素：

4.为了解决上述背景技术中提到的至少一个问题，本发明提供了一种用户行为监控方法、系统及存储介质，通过系统注册的用户的不同维度，通过特定的计算方法给出威胁分数，通过监控用户的威胁分数的动态变化，来实现对用户潜在危险操作和行为的感知，根据评分的结果，对用户采用不同的强制措施，并督促用户在后续的操作中进行改进，以此提高用户的自我安全保护和对系统的安全保护。
5.本发明实施例提供的具体技术方案如下：
6.第一方面，提供一种用户行为监控方法，所述方法包括：
7.对用户行为威胁度进行划分，并计算威胁度的维度分值；
8.根据所述威胁度的维度分值，计算得到第一评分周期内的用户威胁度评分；
9.根据所述第一评分周期内的用户威胁度评分，执行对应的强制操作；
10.计算第二评分周期内的用户威胁度评分，并且与所述第一评分周期内的用户威胁度评分对比；
11.根据对比结果，执行对应的强制操作。
12.若用户威胁度评分减少，则执行降低等级的强制操作。
13.进一步的，根据对比结果，执行对应的强制操作，具体包括：
14.若用户威胁度评分减少，则执行降低等级的强制操作；
15.若所述用户威胁度评分未减少，则继续执行所述强制操作，并增加执行更高等级的强制操作。
16.进一步的，所述方法还包括：
17.当所述用户威胁度评分超过预设值时，提交用户行为信息进行审核；
18.若审核通过，则将当前评分周期内的所述用户威胁度评分清零。
19.进一步的，对用户行为威胁度进行划分，并计算威胁度的维度分值，具体包括：
20.将用户行为威胁度划分为用户自身威胁性和用户行为威胁性；
21.根据所述用户自身威胁性的维度，计算得到用户自身威胁的维度分值；
22.根据所述用户行为威胁性的维度，计算得到用户行为威胁的维度分值。
23.进一步的，所述用户自身威胁的维度分值的计算公式为：
[0024][0025]
其中，rh为用户自身威胁性的维度分值；ri为每个维度的用户自身威胁的威胁度分值；ki为加权值；μ为归一化参数；
[0026]
所述用户行为威胁的维度分值的计算公式为：
[0027][0028]
其中，w
p
为用户行为威胁性的维度分值；wi为每个维度的用户行为威胁的威胁度分值；k
pi
为加权值；μ为归一化参数。
[0029]
进一步的，根据所述威胁度的维度分值，计算第一评分周期内的用户威胁度评分，具体包括：
[0030]
结合所述用户自身威胁的维度分值和所述用户行为威胁的维度分值，计算所述第一评分周期内的用户威胁度评分。
[0031]
进一步的，所述用户威胁度评分的计算公式如下：
[0032][0033]
其中，t为用户威胁度评分；rh为用户自身威胁的维度分值；w
p
为用户行为威胁的维度分值；μ为归一化参数。
[0034]
进一步的，所述用户自身威胁性的维度至少包括用户权限等级、用户协议种类、用户密码安全性、加密协议安全等级和用户注册时间及活跃度中的一种或者多种；
[0035]
所述用户行为威胁性的维度至少包括访问活跃度、访问成功率、写访问请求占比、用户访问的地点和越权行为中的一种或者多种。
[0036]
第二方面，提供用户行为监控系统，所述系统包括：
[0037]
维度计算模块，所述维度计算模块用于对用户行为威胁度进行划分，并计算威胁度的维度分值；
[0038]
评分计算模块，所述评分计算模块用于根据所述威胁度的维度分值，计算得到第一评分周期内的用户威胁度评分；
[0039]
第一执行模块，所述执行模块用于根据所述第一评分周期内的用户威胁度评分，执行对应的强制操作；
[0040]
对比模块，所述对比模块用于计算第二评分周期内的用户威胁度评分，并且与所述第一评分周期内的用户威胁度评分对比；
[0041]
第二执行模块，根据对比结果，执行对应的操作。
[0042]
第三方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
[0043]
对用户行为威胁度进行划分，并计算威胁度的维度分值；
[0044]
根据所述威胁度的维度分值，计算得到第一评分周期内的用户威胁度评分；
[0045]
根据所述第一评分周期内的用户威胁度评分，执行对应的强制操作；
[0046]
计算第二评分周期内的用户威胁度评分，并且与所述第一评分周期内的用户威胁度评分对比；
[0047]
根据对比结果，执行对应的操作。
[0048]
本发明实施例具有如下有益效果：
[0049]
1.本发明实施例提供的对用户行为进行划分，并计算威胁度的维度分值，然后根据威胁度的维度分值，计算得到第一评分周期内的用户威胁度评分，根据第一评分周期内的用户威胁度评分，执行对应的强制操作；然后继续进行监控，计算第二评分周期内的用户威胁度评分，并且与第一评分周期内的用户威胁度评分对比，若第二评分周期内的用户威胁度评分减少，则执行降低等级的强制操作，具体的，将强制操作划分为多个等级，根据用户威胁度评分的多少，采取对应的措施，包括将用户操作在日志中进行特殊标记、对用户的所有操作均设置二次认证、以及设置无法登陆，通过对使用者进行人工审查进行具体的处理，通过对用户端的监控和评分管理，可以发现各种新的潜在威胁，同时通过这种方法，引导用户端的用户为自身以及网络系统安全的防护做出相应的努力，以此提高用户的自我安全保护和对系统的安全保护；
[0050]
2.当用户威胁度评分超过预设值时，提交用户行为信息进行审核，通过人工审核用户以及用户的行为原因是合理的，则审核通过，将当前评分周期内的用户威胁度清零，然后再一下周期内，继续对用户进行监控；
[0051]
3.将用户行为威胁度划分为用户自身威胁性和用户行为威胁性，再通过对用户自身威胁性和用户行为威胁性中的不同维度的威胁性的计算，提高对用户行为监控的准确性，通过监控覆盖的全面性。
附图说明
[0052]
为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0053]
图1示出本技术中的用户行为监控方法的示意图；
[0054]
图2示出本技术中的用户行为监控系统的示意图；
[0055]
图3示出可被用于实施本技术中所述的各个实施例的示例性系统。
具体实施方式
[0056]
为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0057]
目前，网络安全防护系统大部分关注的重点仍然是攻击行为或恶意操作，而这些
行为的主体是用户，做为服务端，只能被动的等待客户端的访问和操作，导致对用户行为威胁的感知只能是先感知行为，再定位行为主体的用户。
[0058]
对于网络系统的安全防护，大部分只能从系统服务端本身来进行安全检测和各种防护工作，而很多安全问题的入口往往是各种网络系统的客户端，因此对客户端的防护工作也应该网络安全环境建设的一部分，而如何去引导客户端的安全防护是工作的难点也是重点。如果将监控的主体转换为用户，即需要对注册用户的不同维度进行评估，判断其是否存在潜在的危险操作和行为的感知，以此来实现对用户行为的管控。基于以上问题，本技术提出了一种用户行为监控方法、系统及存储介质，通过系统注册的用户的不同维度，通过特定的计算方法给出威胁分数，通过监控用户的威胁分数的动态变化，来实现对用户潜在危险操作和行为的感知，根据评分的结果，对用户采用不同的强制措施，并督促用户在后续的操作中进行改进，以此提高用户的自我安全保护和对系统的安全保护。
[0059]
实施例一
[0060]
一种用户行为监控方法，如图1所示，所述方法包括以下步骤：
[0061]
步骤s1：对用户行为威胁度进行划分，并计算威胁度的维度分值。
[0062]
通常来说，风险有两个属性：后果(consequence)和可能性(likelihood)。后果往往由对象的价值决定，一般情况下是静态的，而可能性与对象的行为有关，一般是动态的。本实施例中通过后果和可能性对应的用户自身威胁性和用户行为威胁性这两个维度，来计算后续的威胁度评分。
[0063]
步骤s1.1：用户行为威胁度进行划分，并计算威胁度的维度分值，具体包括：
[0064]
将用户行为威胁度划分为用户自身威胁性和用户行为威胁性；
[0065]
根据所述用户自身威胁性的维度，计算得到用户自身威胁的维度分值。
[0066]
具体的，用户自身威胁性进一步划分为用户权限等级、用户协议种类、用户密码安全性、加密协议安全等级和用户注册时间及活跃度五个维度，然后分别计算这五个维度对应的威胁度评分，即用户自身威胁的威胁度评分ri。具体的，ri包括用户权限等级
‑‑‑
r1、用户协议种类
‑‑‑
r2、用户密码安全性审查
‑‑‑
r3、加密协议安全等级
‑‑‑
r4、用户注册时间及活跃度
‑‑‑
r5，以上五个维度对应的威胁度评分的范围为“0～10”，颗粒度为0.01，以web系统a为例，统计获取系统a连续2年的数据库信息，以下对于不同维度的威胁度分值的计算均为第一评分周期内，即第一年内的评分。
[0067]
(1)用户权限等级—r1的计算规则如下
[0068]
用户权限等级用于确定用户的基准价值，以系统a为例，设置系统a的用户分为5个等级，并且每个等级对应不同的基准值，即不同的评分：最高等级为“5”分；高等级为“4”分；中等级为“3”分；较低等级为“2”分；最低等级为“1”分，根据使用系统a的用户的等级，获得对应的分值作为用户权限等级r1的分值。
[0069]
(2)用户协议种类—r2的计算规则如下
[0070]
常用的网络协议包括：https、ssh、ipmi、sftp、snmp、smtp、ldap、ad、radius、mysql等等。不同的用户会给予不同的协议访问权限，根据该用户被允许连接到服务器的协议种类的数量，给出了用户不同的价值评分r2；首先设置一阈值，即用户被允许连接1个网络协议则对应的评分为1；用户被允许连接2个网络协议则对应的评分为2；用户被允许连接3个网络协议则对应的评分为3，以此列推，用户被允许连接到10个网络协议则对应的评分为
10；根据系统a中的用户被允许连接到的网络协议的个数获得用户协议种类r2的分值。
[0071]
(3)用户密码安全性审核—r3的计算规则如下
[0072]
使用通用字典匹配用户的密码复杂度，给出不同的复杂度评分，复杂度月底，则威胁度分数r3的分值越高。具体的，使用纯数字组成的密码则设置复杂度评分为“5”分；使用数字加字母的密码设置复杂度评分为“4”分；使用数字加字母，并设置字母的大小写不同的复杂度评分为“3”分；使用数值加不同大小写的字母，并加特殊符号的复杂度评分为“1”分，以此类推，根据系统a需要的密码安全等级设置不同的分值等级，然后根据用户的密码的复杂程度获得用户密码安全性审核r3的分值，其中复杂度评分越低，则对应的r3的分值越高。
[0073]
(4)加密协议安全等级—r4的计算规则如下
[0074]
具体的，以https协议为例，openssl支持tls1.3、tls1.2、tls1.1、tls1.0、tls3.0等多种等级的协议(根据安全性从高至低排序)，服务端往往会提供一个支持的加密套件范围供客户端进行选择，根据客户端与服务器端最后建立连接使用的加密套件，就可以反向判定出客户端本地的openssl等组件版本是否及时更新，是否使用了安全的本地配置等信息。具体的，设置不同安全性的协议tls1.3、tls1.2、tls1.1、tls1.0、tls3.0对应的分值分别为“10”分、“8”分、“6”分、“4”分、“2”分；由此根据系统a中的加密套件对应的协议的等级获得加密协议安全等级r4的评分。
[0075]
(5)用户注册时间及活跃度—r5的计算规则如下
[0076]
根据用户的注册时间及活跃度，给用户价值和威胁度综合分级，等级依次降低，对应的评分也从5至1依次降低。具体的，常住用户即老用户(类似大v)，系统默认用户及系统创建初期就存在的用户，其对应的评分“5”分；新用户，即当日新创建的用户或者一周内创建的用户，但是总登录次数不超过2次的用户，其对应的评分为“4”分；一般用户，即非新用户和空白的日常用户，其对应的评分为“3”分；空户，即注册后未曾登录的用户，其对应的评分为“2”分；无权限用户，即未授权访问，无任何权限但是尝试进行发包请求的用户，其对应的评分为“1”分。由此，可根据使用系统a的用户进行判断，并获得其对应的用户注册时间及活跃度r5的评分。
[0077]
基于以上五个维度的威胁性分值的计算，则用户自身威胁的维度分值的计算公式为：
[0078][0079]
其中，rh为用户自身威胁性的维度分值，其范围为[0,10]；ri为每个维度的用户自身威胁的威胁度分值，其范围为[0,10]；ki为加权值，本实施例中为均分，即ki为0.2；μ为归一化参数，用于确保，rh的数值在[0,10]之间。
[0080]
步骤s1.2：根据所述用户行为威胁性的维度，计算得到用户行为威胁的维度分值。
[0081]
具体的，用户行为威胁性进一步划分为访问活跃度、访问成功率、写访问请求占比和越权行为五个维度，然后分别计算这五个维度对应的威胁度评分，即用户行为威胁的威胁度分值wi。具体的，wi包括访问活跃度
‑‑‑
w1、访问成功率
‑‑‑
w2、写访问请求占比
‑‑‑
w3、用户访问的地点
‑‑‑
w4、越权行为
‑‑‑
w5，以上五个维度对应的威胁度评分的范围为“0～10”，颗粒度为0.01，以web系统a为例，统计获取系统a连续2年的数据库信息，以下对于不同
维度的威胁度分值的计算均为第一评分周期内，即第一年内的评分。
[0082]
(1)访问活跃度—w1的计算规则如下
[0083]
统计得知web系统a的平均每天有30个活跃用户登录，平均每个人每日的登录次数为5次，平均每个人每日发送web请求量为60次。然后将这里用户的日登陆阈值设置为5次，web请求量的阈值设置为60次。并如果用户在10分钟之内即达到上述登录和请求量的阈值，则直接将用户的访问活跃度评分设置为“10”分；如果用户在60分钟之内达到上述登录和请求量的阈值，则直接将访问活跃度评分设置为“3.6”分；若如果用户在24小时之内达到上述登录和请求量的阈值，则直接将访问活跃度评分设置为“0.15”分；单个用户访问频率次数超过对应的阈值则增加该用户的访问活跃度评分。
[0084]
(2)访问成功率—w2的计算规则如下
[0085]
访问成功率表示的意义是正常连接建立在所有连接数中的占比，本实施例中定义为请求获取正常相应的在所有请求中的占比。正常响应的代码是：200和300系列的响应码；异常响应的代码是：400、401、403、404等400系列响应码，及500的服务器内部异常响应码。具体的，以系统a为例，平均正常响应占总请求的占比为19/20，即异常响应/总请求的占比为1/20，以此将评分阈值定位5％。当用户发送请求达到web请求阈值时，才进行此项目的评分，默认为30次请求，可根据系统的日常访问量进行自定义调整，若用户写入请求占比超过5％，则威胁评分加1分；且次占比每增加5％，需要再增加1分，直到达到10分，若比例超过50％，则直接得到10分。
[0086]
(3)写访问请求占比—w3的计算规则如下
[0087]
通常情况下，写入请求即post、put、patch、delete等可以改变服务器上的文件或者服务器内容的请求，读取请求即get等仅可以读取信息而无法修改服务器上信息的请求。以系统a为例，平均写入访问在读取请求中的占比为1/19，即写入请求在总请求数中的占比为1/20，将此数据评分的阈值设置为5％，仅当用户发送请求达到web请求达到阈值(默认为30次请求，可根据系统的日常访问量进行自定义调整)，才进行此维度的评分；若用户写入请求占比超过5％，则威胁分数增加1分，且此占比每增加5％，需要再增加1分，直到达到10分，若比例超过50％，则直接得到10分。
[0088]
(4)用户访问的地点—w4的计算规则如下
[0089]
用户访问的地点身份，即用户的ip是否为固定ip，每次用户登录或访问请求的ip是否变更。具体的，用户访问的地点的基础威胁度评分为0分，用户每次登录或者访问请求ip与之前的ip均不同，则威胁行为分值加1分；若系统部署在内网环境下，可以配置此处的规则要求为ip所在的网段与之前访问的ip所在网段不同，威胁行为分数加1分。
[0090]
(5)越权行为—w5的计算规则如下
[0091]
具体的，用户的越权行为的基础威胁度评分为0分，若用户向服务器发送了本身权限范围之外的请求(例如https请求获得了来自服务器的401或403请求)，则用户的威胁行为分数加1。
[0092]
基于以上用户行为的五个维度的威胁度的数值的计算，同时结合用户行为威胁的维度分值的计算公式为：
[0093][0094]
其中，w
p
为用户行为威胁性的维度分值，其数值范围为[0,10]；wi为每个维度的用户行为威胁的威胁度分值，其数值范围为[0,10]；k
pi
为加权值，本实施例中设置为均分，即k
pi
为0.2；μ为归一化参数，用于确保w
p
的数值范围为[0,10]之间。
[0095]
步骤s2：根据所述威胁度的维度分值，计算得到第一评分周期内的用户威胁度评分。
[0096]
具体的，基于步骤s1中的计算，可以得到第一评分周期内的用户自身威胁的维度分值和用户行为威胁的维度分值，结合用户自身威胁的维度分值和用户行为威胁的维度分值，计算所述第一评分周期内的用户威胁度评分，其计算公式如下：
[0097][0098]
其中，t为用户威胁度评分；rh为用户自身威胁的维度分值，其数值范围为[0,10]；wp为用户行为威胁的维度分值，其数值范围为[0,10]；μ为归一化参数，用于确保t的数值范围为[0,10]之间。
[0099]
通过以上计算过程，可获得对系统中用户自身的威胁性以及用户具体行为的威胁性的评分，其中对于系统本身的访问较为频繁或者写操作占比高，只要阈值根据实际情况进行调节就会使得基于本技术中的用户威胁度评分的监控在较为精准的范围内。
[0100]
步骤s3：根据所述第一评分周期内的用户威胁度评分，执行对应的强制操作。
[0101]
本实施例中将威胁度评分的范围设置为0～10，其中“0”代表安全，“10”代表危险，根据评分将用户划分为以下风险等级：
[0102]
低风险用户，其用户威胁度评分为0.0～3.9分；中风险用户，其用户威胁度评分为4.0～6.9分；高风险用户，其用户威胁度评分为7.0～10.0分。针对不同风险等级的用户，系统将采用不同的强制措施，具体的，当用户为低风险用户时，该用户操作将在日志中特殊标记；当用户为中风险用户时，该用户的所有操作都需要二次认证；当用户为高风险用户时，该用户将无法登陆，需要对用户使用者进行人工审查。
[0103]
步骤s4：计算第二评分周期内的用户威胁度评分，并将第二评分周期内的用户威胁度评分与第一评分周期内的用户威胁度评分对比，根据对比结果，执行对应的操作。
[0104]
具体的，通过步骤s1和步骤s2中的计算过程，计算得到第二评分周期内的用户威胁度评分，若第二评分周期内的用户威胁度评分相比于上一个评分周期内用户威胁度评分减少，则取消对于用户的高等级的强制操作，然后执行对应等级的强制操作或者降低等级的强制操作。
[0105]
步骤s5：若用户威胁度评分减少，则执行降低等级的强制操作；若用户威胁度评分未减少，则继续执行强制操作，并增加执行更高等级的强制操作。
[0106]
例如，系统a的第一个评分周期内的用户威胁度评分为5.2分，此时根据用户风险等级划分，此用户为中风险用户，服务端设置该用户的所有操作都需要二次认证；然后对系统a的第二个评分周期内的用户威胁度评分进行计算，计算得分为2.5分，此时服务端取消对用户的所有操作需要二次认证的强制措施，然后执行更低等级的强制措施，将该用户的操作在日志中进行特殊标记。
[0107]
若用户威胁度评分未减少，则继续执行强制操作，并增加执行更高等级的强制操作。
[0108]
例如，系统a的第一个评分周期内的用户威胁度评分为2.2分，此时根据用户风险等级划分，此用户为低风险用户，服务端将用户操作均在日志中进行特殊标记；然后对系统a的第二个评分周期内的用户威胁度评分进行计算，计算得分为6.5分，此时服务端继续执行将用户所有操作均在日志中进行特殊标记的步骤，同时设置该用户的所有操作都需要二次认证。
[0109]
对于一些特殊情况的用户，若此类用户的用户威胁度评分超过预设值，此时提交用户及用户行为的信息和原因，并通过认证审核系统进行审核，若审核通过，则将当前评分周期内的用户威胁度评分清零，然后回复正常，并在下一个评分周期内对用户开始进一步监控。
[0110]
通过以上步骤，通过系统注册的用户的不同维度，通过特定的计算方法给出威胁分数，通过监控用户的威胁分数的动态变化，来实现对用户潜在危险操作和行为的感知，根据评分的结果，对用户采用不同的强制措施，并督促用户在后续的操作中进行改进，以此提高用户的自我安全保护和对系统的安全保护。同时，当需要提高对系统的监控力度时，可以增加其他维度的监控，以进一步确保系统中的潜在威胁，引导客户端中用户自身以及用户对于网络系统的安全进行更加安全的操作。
[0111]
实施例二
[0112]
对应上述实施例，本技术提供了一种用户行为监控系统，如图2所示，所述系统包括：
[0113]
维度计算模块，所述维度计算模块用于对用户行为威胁度进行划分，并计算威胁度的维度分值；
[0114]
评分计算模块，所述评分计算模块用于根据威胁度的维度分值，计算得到第一评分周期内的用户威胁度评分；
[0115]
第一执行模块，所述执行模块用于根据第一评分周期内的用户威胁度评分，执行对应的强制操作；
[0116]
对比模块，所述对比模块用于计算第二评分周期内的用户威胁度评分，并且与第一评分周期内的用户威胁度评分对比；
[0117]
第二执行模块，根据对比结果，执行对应的操作。
[0118]
所述系统还包括：第二执行模块还用于在用户威胁度评分减少时，则执行降低等级的强制操作；若所述用户威胁度评分未减少，则继续执行所述强制操作，并增加执行更高等级的强制操作。
[0119]
审核模块，审核模块用于在此类用户的用户威胁度评分超过预设值时，提交用户及用户行为的信息和原因，并通过认证审核系统进行审核，若审核通过，则将当前评分周期内的用户威胁度评分清零。
[0120]
可选地，维度计算模块具体还包括将用户行为威胁度划分为用户自身威胁性和用户行为威胁性；根据用户自身威胁性的维度，计算得到用户自身威胁的维度分值；根据用户行为威胁性的维度，计算得到用户行为威胁的维度分值。
[0121]
可选地，用户自身威胁的维度分值的计算公式为：
[0122][0123]
其中，rh为用户自身威胁性的维度分值；ri为每个维度的用户自身威胁的威胁度分值；ki为加权值；μ为归一化参数；
[0124]
所述用户行为威胁的维度分值的计算公式为：
[0125][0126]
其中，w
p
为用户行为威胁性的维度分值；wi为每个维度的用户行为威胁的威胁度分值；k
pi
为加权值；μ为归一化参数。
[0127]
可选地，评分计算模块具体包括结合用户自身威胁的维度分值和用户行为威胁的维度分值，计算第一评分周期内的用户威胁度评分，其中，用户威胁度评分的计算公式如下：
[0128][0129]
其中，t为用户威胁度评分；rh为用户自身威胁的维度分值；w
p
为用户行为威胁的维度分值；μ为归一化参数。
[0130]
可选地，用户自身威胁性的维度至少包括用户权限等级、用户协议种类、用户密码安全性、加密协议安全等级和用户注册时间及活跃度。用户行为威胁性的维度至少包括访问活跃度、访问成功率、写访问请求占比、用户访问的地点和越权行为。
[0131]
实施例三
[0132]
图3示出可被用于实施本技术中所述的各个实施例的示例性设备。
[0133]
如图3所示，在一些实施例中，系统能够作为各所述实施例中的任意一个用于用户行为监控的上述设备。在一些实施例中，系统可包括具有指令的一个或多个计算机可读介质(例如，系统存储器或nvm/存储设备)以及与该一个或多个计算机可读介质耦合并被配置为执行指令以实现模块从而执行本技术中所述的动作的一个或多个处理器(例如，(一个或多个)处理器)。
[0134]
实施例四
[0135]
在一个本实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述方法实施例中的各步骤：
[0136]
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram
(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
[0137]
尽管已描述了本发明实施例中的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例中范围的所有变更和修改。
[0138]
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。