本發明公開一種用戶行為識別方法、裝置、設備及存儲介質，該方法包括：日志分析平臺響應于接收到的信息查詢指令，獲取信息查詢指令中包含的用戶標識以及信息查詢時段，在預設時間索引中查找信息查詢時段對應的日志數據，并根據用戶標識從日志數據中選取目標用戶對應的用戶行為數據，然后對用戶行為數據進行安全行為分析，并根據分析結果判斷目標用戶是否存在異常行為，由于是通過日志分析平臺來實時獲取用戶在某一時段內的用戶行為數據并對獲取到的用戶行為數據進行安全行為分析，再根據分析結果來判斷目標用戶是否存在異常行為，因而可以及時獲知用戶正常或異常的行為動態，能夠有效避免由異常行為引發的信息安全問題以及網絡安全問題。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種用戶行為識別方法、裝置、設備及存儲介質。

背景技術

在計算機和網絡通信領域中，不同設備之間的授權和登錄是常見的操作。在多臺計算機組成的網絡中，為了統一管控連接到同一網絡的多臺計算機的賬號，微軟提供了一套便于操作系統賬號在異地登錄的控制軟件活動目錄(Active?Directory，AD)，AD控制軟件運行把這些計算機組成一個域，即AD域。

現有技術中，通常使用AD域對用戶的賬號進行技術層面的權限控制，但現有的通過AD域進行權限控制的方法無法對用戶在已有權限下的個人違章操作，如人為借用賬號、超量登錄或查詢敏感信息等異常行為進行安全審計，缺陷明顯。

上述內容僅用于輔助理解本發明的技術方案，并不代表承認上述內容是現有技術。

發明內容

本發明的主要目的在于提供了一種用戶行為識別方法、裝置、設備及存儲介質，旨在解決現有技術無法有效對用戶的操作行為進行安全行為審計的技術問題。

為實現上述目的，本發明提供了一種用戶行為識別方法，所述方法包括以下步驟:

日志分析平臺響應于接收到的信息查詢指令，獲取所述信息查詢指令中包含的用戶標識以及信息查詢時段；

在預設時間索引中查找所述信息查詢時段對應的日志數據，并根據所述用戶標識從所述日志數據中選取目標用戶對應的用戶行為數據；

對所述用戶行為數據進行安全行為分析，并根據分析結果判斷所述目標用戶是否存在異常行為。

優選地，所述對所述用戶行為數據進行安全行為分析，并根據分析結果判斷所述目標用戶是否存在異常行為的步驟，包括：

從所述用戶行為數據中提取所述目標用戶對應的賬戶登錄信息；

對所述賬戶登錄信息進行安全行為分析，并根據分析結果判斷所述目標用戶是否存在異常行為。

優選地，所述對所述賬戶登錄信息進行安全行為分析，并根據分析結果判斷所述目標用戶是否存在異常行為的步驟，包括：

根據所述賬戶登錄信息包含的賬戶標識確定出目標登錄賬戶；

檢測所述目標登錄賬戶在預設時段內的登錄次數是否超過預設次數，若超過則判定所述目標用戶存在異常行為；

和/或，檢測所述目標登錄賬戶對應的登錄地址中，是否存在地址信息不相同的登錄地址，若存在則判定所述目標用戶存在異常行為；

和/或，檢測所述目標登錄賬戶在預設時段內的登錄失敗次數是否超過預設閾值，若超過則判定所述目標用戶存在異常行為。

優選地，所述日志分析平臺響應于接收到的信息查詢指令，獲取所述信息查詢指令中包含的用戶標識以及信息查詢時段的步驟之前，所述方法還包括：

日志分析平臺從預設數據庫中采集用戶行為日志，對所述用戶行為日志進行格式化處理獲得日志數據；

提取所述日志數據中包含的時間參數，并根據所述時間參數建立時間參數與日志數據之間的時間索引。