1.一種基于用戶群行為活動的安全分析方法，其特征在于，包括以下步驟：

步驟1：將網絡或者系統中的應用系統用戶與實體用戶進行一一關聯和映射；

步驟2：通過搜集用戶在網絡或系統中的行為活動數據，提取用于用戶行為活動分析的屬性信息，形成用戶網絡行為活動記錄；

步驟3：根據用戶網絡行為活動記錄，從訪問頻率、時間、訪問途徑、訪問內容的維度，建立用戶正常行為活動模式，形成用戶行為活動基線庫；

步驟4：用戶行為活動初次判斷：將用戶的實時行為活動與用戶行為活動基線庫中的用戶正常行為活動模式對比，判斷當前用戶行為的模式，如果符合用戶正常行為活動模式，則判定為正常行為，否則預判為可疑行為模式，轉入步驟5；

步驟5：用戶行為逆向追蹤：對預判為可疑行為模式的用戶行為進行逆向追蹤和分析，明確用戶行為環節中各個節點狀況，若判定用戶行為活動為異常行為，則轉入步驟8，否則轉入步驟6；

步驟6：可疑行為二次判斷：通過將可疑行為模式的行為活動與其他相同角色的用戶行為活動進行對比分析，判斷被分析的用戶行為活動的是正常行為還是異常行為，若判定為異常行為，則進入步驟8，否則進入步驟7；

步驟7：根據步驟6的二次判斷結果，采用LRU的方式更新用戶行為活動基線庫；

步驟8：根據對用戶行為二次判斷的結果，對異常行為進行告警，并更新異常行為庫；

步驟1具體為：

在辦公系統或者業務系統中，將一個實體用戶對應多個應用系統用戶，實體用戶集用EU表示，EU＝{(eu₁,id₁)，…(eu_i,id_i)，…(eu_n,id_n)}，eu_i為實體用戶i的用戶名，id_i為實體用戶i的唯一身份標識號，應用系統用戶集用AU表示，AU＝{au₁，…au_i，…au_n}，au_i為應用系統用戶i的用戶名，實體用戶與應用系統用戶的映射關系通過統計學習的方式進行自動映射，即應用系統用戶訪問一次應用系統，記錄應用系統用戶訪問系統時的應用用戶名和id，id由ip地址、電子鑰匙、指紋、指靜脈、虹膜、視網膜之一表示，實體用戶與應用系統用戶的映射關系表示為：

F(EU,AU)＝{(EU，AU)|EU(id_i，eu_i)＝AU(id_i，au_j)}。