本申請的實施例提供了基于多源日志識別用戶行為的方法、裝置、設備和計算機可讀存儲設備。所述方法包括向操作系統發送查詢內核日志的指令；若接收到所述操作系統反饋的查詢失敗信息，則確定所述操作系統有防護罩，獲取所述操作系統的類型和版本信息；根據所述操作系統的類型和版本信息，確定所述防護罩的打開命令；基于所述打開命令，控制所述操作系統打開所述防護罩，響應所述操作系統反饋的表示解除防護罩的消息，再次向所述操作系統發送查詢所述操作系統內核日志的指令，得到所述內核日志；獲取操作系統的變化日志，基于所述變化日志和內核日志，確定用戶的操作行為。以此方式，實現了對用戶行為的精準識別。

技術領域

本申請的實施例涉及日志分析領域，尤其涉及基于多源日志識別用戶行為的方法、裝置、設備和計算機可讀存儲設備。

背景技術

通過信息化手段輔助辦公，規范計算機文件使用，增強管理人員對網內計算機終端使用情況的了解能力，提高對存在或者可能存在的安全隱患的辨別水平，有效防止泄密事件的發生，是各政府部門與企事業單位信息化建設的重要目標。

當前，在辦公體系平臺上構建安全應用防范系統時，為了規范操作人員的文件操作習慣，需要技術人員查看系統的日志找到對應操作流程，即技術人員通過對日志信息進行分析，找到相應的操作流程。

然而，通過人工查看日志糾正操作習慣的方式，需要浪費大量的人力成本，且效率低下。

發明內容

根據本申請的實施例，提供了一種基于多源日志識別用戶行為的方案。

在本申請的第一方面，提供了一種基于多源日志識別用戶行為的方法。該方法包括：

向操作系統發送查詢內核日志的指令；

若接收到所述操作系統反饋的查詢失敗信息，則確定所述操作系統有防護罩，獲取所述操作系統的類型和版本信息；

根據所述操作系統的類型和版本信息，確定所述防護罩的打開命令；

基于所述打開命令，控制所述操作系統打開所述防護罩，響應所述操作系統反饋的表示解除防護罩的消息，再次向所述操作系統發送查詢所述操作系統內核日志的指令，得到所述內核日志；

獲取操作系統的變化日志，基于所述變化日志和內核日志，確定用戶的操作行為。

進一步地，所述基于所述打開命令，控制所述操作系統打開所述防護罩包括：

將所述打開命令輸入到對應的國產化操作系統地址，控制所述操作系統打開防護罩。

進一步地，還包括：

對所述內核日志進行解密；

通過tf-idf算法和正則表達式對解密后的內核日志進行清洗，得到干凈的內核日志。

進一步地，還包括：

通過tf-idf算法和正則表達式對所述變化日志進行清洗，得到干凈的變化日志。

進一步地，所述基于所述變化日志和內核日志，確定用戶的操作行為包括：

將所述干凈的內核日志和干凈的變化日志進行合并，得到日志集合；

對所述日志集合進行標簽處理，得到第一日志集合；

對所述第一日志集合中的日志進行關聯分析，得到同一行為的日志；

基于所述同一行為的日志，生成文件操作日志；

對所述文件操作日志進行分析，確定用戶的操作行為。

進一步地，所述對所述日志集合進行標簽處理，得到第一日志集合包括：