[发明专利]用户终端使用情况识别方法、系统、设备及存储介质

说明书

本发明提供用户终端使用情况识别方法、系统、设备及存储介质，方法包括：确定所有用户当天的终端在线时长；过滤终端在线时长为0的用户；确定所有在线用户在终端上执行的n种操作的操作频率并绘制n维散点图；在所述n维散点图中的每个点对应每个在线用户的n个操作频率；对n维散点图中的散点进行聚类，以将所有散点划分为m个簇；确定m个簇中在特征空间中分布位置最接近原点的簇，将对应的在线用户确定为非正常使用用户。该方法可在多种安全监管、节能调控的场景中应用，对非正常使用用户的判断标准不是直接认为设定操作次数的阈值，而是通过确定分布位置最接近原点的簇来确定非正常使用用户，因此也不受具体行业工种对终端操作频次的影响。

技术领域

本发明涉及企业安全管理领域，更具体地，涉及用户终端使用情况识别方法、系统、设备及存储介质。

背景技术

在网络安全风险的威胁下，越来越多的企业开始重视日常办公中企业资料、生产数据等信息的安全问题。在企业安全制度的要求下，一般会为员工配备具有防护、审计功能的安全终端用于办公。但由于资料转移、使用习惯等原因，有些员工拒绝使用安全终端，仍私下用个人电脑办公，从而带来了企业安全隐患。

因此，对未使用安全终端进行办公的员工需要进行监控监管，确保安全制度有效执行，是企业安全管理的一大需求。

在现有的监管方案中，一般会从后台查看所有配发的安全终端是否在线，在线即认为该电脑正在被使用。这一方案存在的漏洞是，某些员工每天会将安全终端开机，并挂机（即不执行任何操作）放在一边，或只进行少量操作，员工的主要工作仍在自己的个人电脑上进行。这一违反了公司的安全管理规定的行为不但难以能够避开监管，同时增加了公司耗电成本。另一方面，由于员工工种的不同，难以从单一操作日志设定的指标去定义这些违反规定的挂机人员。

发明内容

本发明旨在克服上述现有技术的至少一种缺陷，提供用户终端使用情况识别方法、系统、设备及存储介质，用于解决现有技术中无法严格监管违反公司安全规定的挂机人员，且无法提出一种适用性广的监管方法的问题。

本发明采用的技术方案包括：

本发明提供一种基于多维操作聚类的用户终端使用情况识别方法，包括：确定所有用户当天的终端在线时长；过滤终端在线时长为0的用户，未被过滤的用户作为在线用户；确定所有在线用户在终端上执行的n种操作的操作频率；根据每个在线用户的n个操作频率绘制n维散点图，以形成n维特征空间；在所述n维散点图中的每个点对应每个在线用户的n个操作频率；将n个操作频率作为训练特征，对n维散点图中的散点进行聚类，以将所有散点划分为m个簇；确定m个簇中在特征空间中分布位置最接近原点的簇，将分布位置最接近原点的簇的散点对应的在线用户确定为非正常使用用户，将其余的在线用户确定为正常使用用户。

本发明提供的识别方法，首先过滤终端不在线的用户得到在线用户，获取并将在线用户在终端上的多种维度的操作数据映射至多维的特征空间，通过聚类将特征空间中的数据进行分类得到若干个簇，确定特征空间中分布位置相比于其他分布的簇更接近原点的簇，分布位置最接近原点的簇对应的在线用户在多种维度的操作上都执行得最少，因此将该簇对应的在线用户定义为非正常使用用户，该方法通过聚类将特征空间中的样本划分为不同的簇，再定义出最有可能是属于挂机人员，也就是非正常使用用户所在的簇。该方法综合考虑了在线用户的多维度数据，避免了单一维度标准衡量不同工种的片面性，因此可在多种安全监管、节能调控的场景中应用，且该方法对非正常使用用户的判断标准不是直接人为设定操作次数的阈值，而是基于样本在特征空间中的分布，即通过确定分布位置最接近原点的簇来确定非正常使用用户，因此也不受具体行业工种对终端操作频次的影响，有利于支撑各种企业、单位对终端的精细化管理和运营。

进一步，确定m个簇中在特征空间中分布位置最接近原点的簇，具体包括：确定每个簇的簇中心，确定向量模长最小的簇中心；将向量模长最小的簇中心所在簇作为在特征空间中分布位置最接近原点的簇。