[发明专利]一种用户画像构建方法及装置

权利要求书

1.一种用户画像构建方法，其特征在于，所述方法包括：

从各网络接入设备产生的设备日志中，获取待分析用户对应的设备日志，并对所述待分析用户对应的设备日志进行信息扩展，得到所述待分析用户的历史访问日志；

根据所述历史访问日志，统计所述待分析用户的多个历史访问行为，并根据所述多个历史访问行为，确定所述待分析用户的访问行为属性标签；

采用预设的态势感知分析策略，对所述历史访问日志进行分析，得到用于表征所述待分析用户对所访问网络的安全威胁程度的威胁程度属性标签；

根据所述访问行为属性标签及所述威胁程度属性标签，构建所述待分析用户的用户画像。

2.根据权利要求1所述的方法，其特征在于，所述从各网络接入设备产生的设备日志中，获取待分析用户对应的设备日志，并对所述待分析用户对应的设备日志进行信息扩展，得到所述待分析用户的历史访问日志，包括：

获取待分析用户在通过各网络接入设备访问网络时，各网络接入设备产生的设备日志；

对获取到的各设备日志进行归一化处理，得到指定数据格式的各设备日志；

对所述指定数据格式的各设备日志进行信息扩展，得到所述待分析用户的历史访问日志。

3.根据权利要求2所述的方法，其特征在于，所述对所述指定数据格式的各设备日志进行信息扩展，得到待分析用户的历史访问日志，包括：

从所述指定数据格式的设备日志中提取待分析用户的用户名、源地址及目的地址；

根据所述用户名，从预设账号库中查找出所述用户名对应的所述待分析用户的用户个人信息和所述待分析用户所属的组织结构信息；

根据所述目的地址，从预设资产库中查找出所述目的地址对应的所述待分析用户访问的资产信息；

根据所述目的地址，从预设业务库中查找出所述目的地址对应的所述待分析用户访问的业务系统信息；

根据所述源地址，从预设区域库中查找出所述源地址对应的所述待分析用户的登录区域信息；

基于所述用户个人信息、所述组织结构信息、所述资产信息、所述业务系统信息及所述登录区域信息，对所述设备日志进行信息扩展，得到所述待分析用户的历史访问日志。

4.根据权利要求1所述的方法，其特征在于，所述威胁程度属性标签为：所述待分析用户对所访问网络的安全威胁系数；

所述采用预设的态势感知分析策略，对所述历史访问日志进行分析，得到用于表征所述待分析用户对所访问网络的安全威胁程度的威胁程度属性标签，包括：

采用多个态势感知分析策略，分别对所述历史访问日志进行分析，得到所述待分析用户分别在各态势感知分析策略下作为威胁所访问网络的威胁源出现的次数；

根据各威胁源出现的次数以及各威胁源的威胁权重，进行加权求和，得到所述待分析用户的安全威胁系数。

5.根据权利要求4所述的方法，其特征在于，所述多个态势感知分析策略至少包括：安全事件分析策略、流量分析策略及用户异常行为分析策略；

所述采用多个态势感知分析策略，分别对所述历史访问日志进行分析，得到所述待分析用户分别在各态势感知分析策略下作为威胁所访问网络的威胁源出现的次数，包括：

采用所述安全事件分析策略，对所述历史访问日志进行分析，统计出所述待分析用户作为安全事件源出现的第一次数；

采用所述流量分析策略，对所述历史访问日志进行分析，统计出所述待分析用户作为异常流量源出现的第二次数；

采用所述用户异常行为分析策略，对所述历史访问日志进行分析，统计出所述待分析用户作为异常行为源出现的第三次数。