异常用户确定方法、装置及计算机设备

技术领域

本申请属于计算机安全技术领域，尤其涉及一种异常用户确定方法、装置及计算机设备。

背景技术

随着计算机技术的快速发展，企业的工作越来越依赖于计算机设备。然而，用户在使用计算机设备工作时产生的企业数据通常为私有数据，若发生数据泄漏，则将对企业造成一定的损失。

目前，通常是采用人工检测的方式，对用户在计算机设备上的各种操作行为对应的操作日志进行检测，以识别用户是否存在异常操作行为。然而，该方式需要耗费较多的人力物力。或者，采用预设规则进行检测的方式确定异常操作行为，例如，某种行为类型的操作行为对应的操作次数是否达到预设次数。然而，该方式容易产生较多的误报，识别准确率较低。

基于此，现有技术中，检测用户在计算机设备上是否存在异常操作行为的准确率较低。

发明内容

本申请实施例提供了一种异常用户确定方法、装置及计算机设备，可以解决检测用户在计算机设备上是否存在异常操作行为的准确率较低的问题。

第一方面，本申请实施例提供了一种异常用户确定方法，该方法包括：

获取用户在预设时长内的操作日志信息；操作日志信息包括用户的操作行为和行为类型；

根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息；

基于目标日志信息，分别计算每种行为类型包含的操作行为在预设时长内的行为评分；

根据所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户。

第二方面，本申请实施例提供了一种异常用户确定装置，该装置包括：

操作日志信息获取模块，用于获取用户在预设时长内的操作日志信息；操作日志信息包括用户的操作行为和行为类型；

目标日志信息获取模块，用于根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息；

行为评分计算模块，用于基于目标日志信息，分别计算每种行为类型包含的操作行为在预设时长内的行为评分；

异常用户确定模块，用于根据所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户。

第三方面，本申请实施例提供了一种计算机设备，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现如上述第一方面的方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现如上述第一方面的方法。

第五方面，本申请实施例提供了一种计算机程序产品，当计算机程序产品在计算机设备上运行时，使得计算机设备执行上述第一方面的方法。

本申请实施例与现有技术相比存在的有益效果是：可以获取每个用户在预设时长内的操作行为和行为类型，以识别每个用户的操作行为特征。之后，根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息，以确定用户在预设时长内的每种行为类型的操作行为对应的行为评分。而后，基于所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户。以此，基于每种行为类型对应的操作行为的日志信息进行量化处理，得到表征操作行为的行为评分。进而，能够基于每种行为类型对应的操作行为综合地判断异常用户，无需基于单一的预设规则的判断方式，提高存在异常操作行为的异常用户的识别准确率。并且，在每个用户对应的行为评分后，可以将每个用户的行为评分相互之间作为参考进行比较，确定存在异常操作行为的异常用户。以此，无需设置一个固定的评分阈值进行判断，进一步地提高异常操作行为识别的准确率以及效率。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请一实施例提供的一种异常用户确定方法的实现流程图；

图2是本申请一实施例提供的一种异常用户确定方法中确定异常用的一种实现方式示意图；

图3是本申请一实施例提供的一种异常用户确定装置的结构示意图；

图4是本申请一实施例提供的一种计算机设备的结构示意图。

具体实施方式

以下描述中，为了说明而不是为了限定，提出了诸如特定系统结构、技术之类的具体细节，以便透彻理解本申请实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本申请。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本申请的描述。

应当理解，当在本申请说明书和所附权利要求书中使用时，术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

另外，在本申请说明书和所附权利要求书的描述中，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

随着计算机技术的快速发展，企业的工作越来越依赖于计算机设备。然而，用户在使用计算机设备工作时产生的企业数据通常为私有数据，若发生数据泄漏，则将对企业造成一定的损失。

目前，通常是采用人工检测的方式，对用户在计算机设备上的各种操作行为对应的操作日志进行检测，或者，采用监视软件录制用户的操作行为，以识别用户是否存在异常操作行为。然而，该方式需要耗费较多的人力物力，并且在检测过程中，容易受到人为主观因素的影响，检测效果差。以及，监视软件容易侵犯用户的隐私。

或者，采用预设规则进行检测的方式确定异常操作行为，例如，某种行为类型的操作行为对应的操作次数达到预设次数时，确定该行为类型的各个操作行为均为异常行为。例如，文档解密外发行为的操作次数达到预设次数，确定用户存在文档解密外发的异常操作行为。然而，基于预设次数进行判断的方式容易产生较多的误报，识别准确率较低。

基于此，为了提高对用户在计算机设备上是否存在异常操作行为的识别准确率，本申请实施例提供了一种异常用户确定方法，可以应用于手机、平板电脑、笔记本电脑、超级移动个人计算机(Ultra-Mobile Personal Computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等计算机设备上，本申请实施例对计算机设备的具体类型不作任何限制。

请参阅图1，图1示出了本申请实施例提供的一种异常用户确定方法的实现流程图，该方法包括如下步骤：

S101、获取用户在预设时长内的操作日志信息；操作日志信息包括用户的操作行为和行为类型。

在一实施例中，上述预设时长可以根据实际情况进行设置，对此不作限定。示例性的，上述预设时长可以为1小时的时间段。即，计算机设备可以每隔1小时执行一次异常用户确定方法，此时，预设时长为当前时刻至1小时内的时间段。例如，每天的凌晨00：00为起始时间，每隔预设时长(1小时)执行一次上述异常用户确定方法。

在一实施例中，上述操作日志信息包括但不限于用户的操作行为、行为类型、每次操作行为对应的操作时间等多种信息，对此不作限定。

其中，上述操作行为针对办公软件的操作行为，例如文档软件(Word、Excel以及PPT)、图形设计软件、模型设计软件、邮箱以及聊天软件等，对此不作限定。其中，因办公数据主要以文档的形式记录和发送。因此，本实施例中，上述操作行为可以为主要针对文档软件和邮箱的操作行为。例如，针对用户使用文档软件对文档进行新建、打开、保存、另存、打印以及内容复制等行为，还可以包括文档的解密、加密、解密外发以及加密外发等行为，对此不作限定。

需要说明的是，针对上述操作行为，其行为类型可以主要分为第一预设类型和第二预设类型两类。其中，第一预设类型可以认为是操作行为未具有泄密防护作用的类型。示例性的，第一预设类型可以为上述文档的新建、打开、保存、另存、打印以及内容复制等行为类型。第二预设类型可以认为是操作行为具有泄密防护作用的类型。示例性的，第二预设类型可以为上述文档解密类型、文档解密外发类型以及文档加密外发类型等行为类型，对此不作限定。

在一具体实施例中，可以使用Hook技术对文档、图形设计、模型等软件进行监控，以得到上述操作日志信息。

需要补充的是，上述用户可以为企业的所有员工，也可以为在预设时长内使用办公软件执行任一操作行为的用户，对此不作限定。

S102、根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息。

在一实施例中，上述目标日志信息可以认为是从操作日志信息中获取的部分日志信息。其中，基于上述对行为类型的解释，可知行为类型分为多种，本实施例中，不同的行为类型对应的目标日志信息可以各不相同。

具体的，在行为类型为第一预设类型中的任意一种时，可以将操作日志信息中每种行为类型包含的操作行为的第一操作次数，确定为目标日志信息。其中，第一预设类型包括文档的新建、打开、保存、另存、打印以及内容复制中的至少一种。

以及，在行为类型为第二预设类型中的文档解密类型时，可以将操作日志信息中每次文档解密的操作行为对应的解密信息确定为目标日志信息。示例性的，解密信息可以为解密理由、解密方式以及解密审批时长，对此不作限定。

以及，在行为类型为第二预设类型中的文档解密外发类型时，可以将操作日志信息中每次文档解密外发的操作行为对应的解密外发信息确定为目标日志信息。示例性的，解密外发信息可以为解密理由、解密方式以及解密审批时长，对此不作限定。

以及，在行为类型为第二预设类型中的文档加密外发类型时，可以将操作日志信息中文档加密外发的操作行为对应的加密外发信息，确定为目标日志信息。示例性的，加密外发信息可以包括第二操作次数。

需要说明的是，因第二预设类型中主要涉及到文档的加密和外发，因此，需获取多维度的目标日志信息，以多维度的确定用户针对文档的外发操作行为是否为异常操作行为，提高判断准确率。

其中，上述第一操作次数为预设时长内行为类型对应的操作行为的总次数。示例性的，可以采用如下方式确定每个操作行为对应的目标日志信息(第一操作次数)。详述如下：

x

其中，i表征第一预设类型中的第i种行为类型，x

可以理解的是，在基于操作日志信息检测到用户执行一次第i种行为类型对应的操作行为时，可以在第i种行为类型对应的第一操作次数上+1，得到新的第一操作次数。以此，重复上述步骤，直至遍历完整个预设时长内的操作日志信息。

其中，第二操作次数的统计方式与第一操作次数的统计方式相似，对此不再进行说明。

需要说明的是，在对文档进行解密时，其解密方式可以包括用户自主输入密码进行解密的自解密方式，将文档传输至解密软件中进行解密的落地解密方式，以及向上级领导申请解密权限的审批解密方式。

可以理解的是，对于重点保护的文档，其通常记录有重要数据。因此，存在用户自身解密权限不足，无法对文档进行自解密的场景。此时，用户通常需要在系统中提交解密申请至上级领导对应的节点。

其中，向上级领导申请时通常需要填写解密理由。以及，上级节点接收到解密申请时，上级领导需要对其进行审批。此时，解密审批时长的起始时间为提交解密申请至上级节点的时间，终止时间为解密申请同意的时间。

S103、基于目标日志信息，分别计算每种行为类型包含的操作行为在预设时长内的行为评分。

在一实施例中，基于上述S102的解释可知，不同的行为类型对应的目标日志信息不同，因此，基于目标日志信息计算行为评分的方式也通常各不相同。

具体的，第一种情况，针对第一预设类型中的任意一种行为类型：

在行为类型为第一预设类型中的任意一种时，可以将行为类型对应的第一操作次数与预设时长对应的预设权重的第一乘积，确定为行为类型对应的行为评分。即，X

其中，X

需要说明的是，可以预先设置多种预设时间段，不同的预设时间段可以对应不同的预设权重。示例性的，在8点＜t≤21点时，α

其中，基于上述对预设时长以及预设时间段的解释可知，因上述操作行为均为预设时长内的行为，因此，可以认为该预设时长内的第一预设类型中各个操作行为对应的预设时间段，均属于相同的预设时间段。基于此，可以认为预设时长内的各个操作行为对应的预设权重均需相同。

通常的，在非正常的工作时间使用企业内的计算机设备执行第一预设类型的操作行为时，可以认为此次操作行为可能为异常操作行为。因此，可以设置较大的预设权重。

在另一实施例中，针对第二预设类型中的任意一种行为类型，可以先确定行为类型中目标日志信息对应的权重，并根据权重确定行为类型对应的行为评分。其中，因第二预设类型中不同的行为类型对应的目标日志信息各不相同，因此，可以根据如下示例说明确定每种行为对应的行为评分。

具体的，第二种情况，针对第二预设类型中的文档解密类型：

在行为类型为文档解密类型时，可以先分别确定解密信息中解密理由对应的第一权重、解密方式对应的第二权重以及解密审批时长对应的第三权重。而后分别计算每次文档解密的操作行为对应的第一权重、第二权重以及第三权重的第二乘积，并将所有第二乘积确定为文档解密类型对应的行为评分。

在一实施例中，上述解密理由通常为用户在系统上提交解密申请时所填写的文字内容。需要说明的是，通常文字内容越丰富，解密理由越详尽，更可能符合规定。基于此，可以根据解密理由中的文字内容确定第一权重。

示例性的，可以采用预设的语义识别模型识别文字内容，并与预设的多个解密理由进行匹配，若匹配度大于预设匹配度，则确定第一权重为第一预设值；若匹配度小于或等于预设匹配度，则确定第一权重为第二预设值。其中，第二预设值可以大于第一预设值。例如，第二预设值可以为2，第一预设值可以为1。

在另一实施例中，还可以根据文字内容中的文字数量确定第一权重。例如，解密理由中文字内容的文字数量大于预设文字数量w时，可以设置第一权重β

在一实施例中，上述已说明解密方式包括自解密方式、落地解密方式以及审批解密方式，基于此，可以设置不同的解密方式对应不同的第二权重。示例性的，因审批解密方式需要向上级领导申请，可以认为此次文档解密为经过上级领导同意，因此，可以认为审批解密方式对应的操作行为为异常行为的可能性最低。进而，可以设置较小的第二权重γ

示例性的，审批解密方式对应的第二权重γ

在一实施例中，上述已对解密审批时长进行解释，对此不再进行说明。其中，可以设置不同的解密审批时长对应不同的第三权重δ

示例性的，在解密审批时长小于等于2min时，可以认为上级领导可能未审批解密理由和需解密的文档。此时，计算机设备无法确定用户此次的文档解密的操作行为是否为异常行为。因此，可以设置远大于其他解密审批时长对应的第三权重δ

以及，在解密审批时长大于2min，且小于等于5min时，可以认为上级领导可能未仔细审批解密理由和需解密的文档。此时，计算机设备基于解密审批时长仅能初步确定用户此次文档解密的操作行为可能为正常行为。因此，可以设置较大的第三权重δ

以及，在解密审批时长大于5min，且小于等于15min时，可以认为上级节点对应的用户可能仅查看了解密理由，并未仔细审批需解密的文档。此时，计算机设备基于解密审批时长可以较大概率地确定用户此次的文档解密的操作行为可能为正常行为。因此，可以设置较小的第三权重δ

以及，在解密审批时长大于15min时，可以认为上级领导不仅查看了解密理由，且仔细审批解密的文档。此时，计算机设备基于解密审批时长可以准确地确定用户此次的文档解密的操作行为为正常行为。因此，可以设置最小的第三权重δ

在一具体实施例中，计算机设备可以通过如下计算公式计算文档解密类型对应的行为评分：

其中，Y

基于上述公式可知，可以先计算每次文档解密的操作行为对应的第一权重、第二权重以及第三权重的第二乘积，而后将n1次文档解密的操作行为对应的第二乘积加和，即可得到文档解密类型包含的操作行为对应的行为评分。

需要特别说明的是，在解密方式为自解密方式和落地解密方式时，因不存在解密理由以及解密审批时长，因此，可以以预设值参与上述计算。示例性的，预设值可以为1。

第三种情况，针对第二预设类型中的文档解密外发类型：

在行为类型为文档解密外发类型时，可以先分别确定解密外发信息中解密理由对应的第一权重、解密方式对应的第二权重、解密审批时长对应的第三权重以及解密外发时间对应的第四权重。而后，分别计算每次文档解密外发的操作行为对应的第一权重、第二权重、第三权重以及第四权重的第三乘积，并将所有第三乘积确定为文档解密外发类型对应的行为评分。

其中，第三种情况中文档解密外发类型对应的行为评分的计算方式，与第二种情况中文档解密类型对应的行为评分的计算方式相似，区别仅在于，文档外发时，还需基于解密外发时间对应的第四权重进行计算。

具体的，也可以预先设置多种预设时间段，且每种预设时间段对应一种第四权重。此时，可以先确定解密外发时间所处的预设时间段，进而确定解密外发时间对应的第四权重。

其中，多种预设时间段可以参考上述示例说明。具体的，在8＜点t'≤21点时，ε

可以理解的是，在非正常的工作时间使用企业内的计算机设备执行文档解密外发的操作行为时，可以认为此次操作行为可能为异常操作行为。因此，可以设置较大的预设权重。

其中，基于上述对预设时长以及预设时间段的解释可知，因上述文档解密外发的操作行为均为预设时长内的行为，因此，该预设时长内的各个文档解密外发的解密外发时间均将处于属于相同的预设时间段。基于此，可以认为预设时长内的各个文档的解密外发时间对应的预设权重均需相同。

在一具体实施例中，计算机设备可以通过如下计算公式计算文档解密外发类型对应的行为评分：

其中，Y

同样的，在解密方式为自解密方式和落地解密方式时，因不存在解密理由以及解密审批时长，因此，可以以预设值参与上述计算。示例性的，预设值可以为1。

需要特别说明的是，在预设时长内，若针对文档的操作行为仅为文档解密，则此次操作行为的行为类型将标记为文档解密类型。然而，在预设时长内，若针对文档的操作行为不仅包含文档解密，且包含外发的操作行为，则此次操作行为的行为类型最终将标记为文档解密类型。也即，文档解密类型的操作行为的数量减一，文档解密外发类型的操作行为的数量加1。

在另一实施例中，在预设时长内，若针对文档的操作行为不仅包含文档解密，且包含外发的操作行为，则此次操作行为的行为类型最终将标记为文档解密类型。此时，还可以维持文档解密类型的操作行为的数量不变，仅使文档解密外发类型的操作行为的数量加1即可。

第四种情况，针对第二预设类型中的文档加密外发类型：

在行为类型为文档加密外发类型时，可以先确定加密外发信息中文档加密外发的第二操作次数，并将第二操作次数与预设时长对应的预设权重的第四乘积，确定为文档加密外发类型对应的行为评分。

其中，文档加密外发通常是为了保护文档内容不被泄漏，因此，可以认为文档加密外发的操作行为通常为正常行为。此时，仅需基于该操作行为的操作时间确定对应的预设权重即可。其中，因每隔预设时长执行上述异常用户确定方法，因此，基于操作行为的操作时间确定对应的预设权重，可以认为是基于预设时长确定预设权重。

其中，确定预设权重的方式可以参考上述α

在一具体实施例中，计算机设备可以通过如下计算公式计算文档加密外发类型对应的行为评分：

其中，Y

综上对多种情况的解释说明，即为计算每种行为类型包含的操作行为在预设时长内的行为评分的示例。

S104、根据所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户。

在一实施例中，上述所有用户分别对应的行为评分均可以分别根据上述S101至S103步骤得到，对此不再进行详细说明。在得到所有用户分别对应的行为评分时，可以将每个行为类型的行为评分与对应行为类型的预设行为评分进行比较，以确定存在异常操作行为的异常用户。

然而，以预设行为评分进行判别，在预设行为评分较大时，可能存在漏识别的情况。以及，在预设行为评分较低时，可能存在误识别的情况。因此，基于预设行为评分的识别准确率依然较低。

基于此，为了提高异常操作行为的识别准确率，可以根据如图2所示的S201-S204步骤进行识别。详述如下：

S201、根据第一预设类型中每种行为类型对应的行为评分，得到第一预设类型对应的第一行为评分。

在一实施例中，上述已说明第一预设类型包括文档的新建、打开、保存、另存、打印以及内容复制等六种行为类型，因此，可以将6种行为类型分别对应的行为评分进行加和，得到第一行为评分。

具体的，可以参照如下第一行为评分计算公式：

F(X)＝(x

其中，因每种行为类型的操作行为均位于相同预设时长，因此，预设时长对应的预设权重a

S202、根据第二预设类型中每种行为类型对应的行为评分，得到第二预设类型对应的第二行为评分。

在一实施例中，上述已说明第二预设类型包括文档解密类型、文档解密外发类型以及文档加密外发类型等三种，因此，可以将3种行为类型分别对应的行为评分进行加和，得到第二行为评分。

具体的，可以参照如下第二行为评分计算公式：

其中，ydec，yencs，ydecs，β

S203、基于第一行为评分和第二行为评分生成二维坐标；二维坐标用于表征用户在预设时长内的各个操作行为的评分。

在一实施例中，在得到第一行为评分和第二行为评分后，可以直接将第一行为评分作为二维坐标中的横坐标，以及将第二行为评分作为二维坐标中的纵坐标参与后续处理。

其中，因上述预设权重、第一权重、第二权重、第三权重以及第四权重均为大于等于1的数值，因此计算后的第一行为评分和第二行为评分的数值较大。基于此，为了降低计算难度，可以先对第一行为评分和第二行为评分进行归一化处理，而后基于归一化后的第一行为评分和第二行为评分生成二维坐标。

具体的，针对任一用户，可以先获取用户在多个历史预设时长下分别对应的历史目标评分。而后，针对目标评分，从多个历史目标评分中确定最大评分和最小评分，并计算目标评分与最小评分之间的第一评分差，以及，最大评分和最小评分之间的第二评分差。而后，将第一评分差与第二评分差之间的比值，确定为归一化后的目标评分。

其中，历史预设时长可以根据实际情况进行设置，对此不作限定。示例性的，可以获取前一天内的每个历史预设时长对应的历史目标评分。

需要说明的是，上述目标评分包括第一行为评分和第二行为评分。也即，在目标评分为第一行为评分时，历史目标评分为历史第一行为评分。此时，将从多个历史第一行为评分中，确定最大评分和最小评分。以及，第一评分差为第一行为评分与多个历史第一行为评分中最小评分之间的差值，第二评分差为多个历史第一行为评分中，最大评分和最小评分之间的差值。

同样的，在目标评分为第二行为评分时，历史目标评分为历史第二行为评分。此时，将从多个历史第二行为评分中，确定最大评分和最小评分。以及，第一评分差为第二行为评分与多个历史第二行为评分中最小评分之间的差值，第二评分差为多个历史第二行为评分中，最大评分和最小评分之间的差值。

具体的，可以参照如下公式计算归一化后的第一行为评分和第二行为评分：

其中，z为第z个用户，X

其中，z为第z个用户，Y

S204、根据所有二维坐标确定异常用户。

在一实施例中，在得到每个用户分别对应的二维坐标后，可以先根据多个二维坐标确定中心坐标。而后，分别计算每个二维坐标与中心坐标之间的间隔距离，并将间隔距离大于预设间隔距离对应的用户确定为异常用户。

其中，上述中心坐标可以为到各个二维坐标的距离之和最小的坐标，或者，为中心坐标的横坐标为各个二维坐标的横坐标的平均值，中心坐标的纵坐标为各个二维坐标的纵坐标的平均值，对此不作限定。

需要说明的是，因二维坐标能够表征用户在预设时长内的各个操作行为的评分，而中心坐标为基于二维坐标进行处理得到。因此，可以认为中心坐标能够作为多个用户在预设时长内的操作行为为正常行为时的参考基准评分。基于此，在得到每个二维坐标与中心坐标之间的间隔距离时，可以认为该间隔距离可以表征用户在预设时长内的操作行为偏离正常操作行为的偏离程度。进而，可以在间隔距离大于预设间隔距离时，确定用户在预设时长内的操作行为为异常行为。即，用户为异常用户。

其中，上述预设间隔距离可以根据实际情况进行设置，对此不作限定。然而，为了能够进一步地提高识别准确率，还可以根据上一次历史预设时长内识别出异常用户的准确率进行设置。

具体的，若上一次历史预设时长对应的识别准确率大于预设准确率，则采用上一次历史预设时长内对应的预设间隔距离；若上一次历史预设时长对应的识别准确率小于或等于预设准确率，则可以在上一次历史预设时长内对应的预设间隔距离的基础上增加目标距离。其中，目标距离可以根据实际情况进行设置，对此不作限定。

本实施例中，可以获取每个用户在预设时长内的操作行为和行为类型，以识别每个用户的操作行为特征。之后，根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息，以确定用户在预设时长内的每种行为类型的操作行为对应的行为评分。而后，基于所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户。以此，基于每种行为类型对应的操作行为的日志信息进行量化处理，得到表征操作行为的行为评分。进而，能够基于每种行为类型对应的操作行为综合地判断异常用户，无需基于单一的预设规则的判断方式，提高异常操作行为的识别准确率。并且，在每个用户对应的行为评分后，可以将每个用户的行为评分相互之间作为参考进行比较，确定存在异常操作行为的异常用户。以此，无需设置一个固定的评分阈值进行判断，进一步地提高异常操作行为识别的准确率以及效率。

在另一实施例中，在确定存在异常操作行为的异常用户后，还可以根据异常用户在预设时长内的操作行为以及每个操作行为对应的操作时间，生成异常用户在预设时长内的时序操作记录。进而，可以方便管理人员基于时序操作记录进一步地判断用户是否为异常用户，提高识别准确率。并且，无需管理人员对所有用户的时序操作记录进行审查，在保证异常用户的识别准确率的基础上，提高管理人员的工作效率。

请参阅图3，图3是本申请实施例提供的一种异常用户确定装置的结构示意图。本实施例中异常用户确定装置包括的各模块用于执行图1和图2对应的实施例中的各步骤。具体请参阅图1和图2以及图1和图2所对应的实施例中的相关描述。为了便于说明，仅示出了与本实施例相关的部分。参见图3，异常用户确定装置300可以包括：操作日志信息获取模块310、目标日志信息获取模块320、行为评分计算模块330以及异常用户确定模块340，其中：

操作日志信息获取模块310，用于获取用户在预设时长内的操作日志信息；操作日志信息包括用户的操作行为和行为类型。

目标日志信息获取模块320，用于根据行为类型，从操作日志信息中获取每个操作行为对应的目标日志信息。

行为评分计算模块330，用于基于目标日志信息，分别计算每种行为类型包含的操作行为在预设时长内的行为评分。

异常用户确定模块340，用于根据所有用户分别对应的行为评分，确定预设时长内存在异常操作行为的异常用户。

在一实施例中，目标日志信息获取模块320还用于：

若行为类型为第一预设类型中的任意一种，则将每种行为类型包含的操作行为的第一操作次数，确定为目标日志信息；第一预设类型为操作行为未具有泄密防护作用的类型；若行为类型为第二预设类型中的任意一种，则将行为类型包含的操作行为中，与行为类型对应的行为信息确定为目标日志信息；第二预设类型为操作行为具有泄密防护作用的类型。

在一实施例中，第二预设类型包括文档解密类型、文档解密外发类型以及文档加密外发类型中的至少一种；目标日志信息获取模块320还用于：

若行为类型为文档解密类型，则将操作日志信息中每次文档解密的操作行为对应的解密信息，确定为目标日志信息；若行为类型为文档解密外发类型，则将操作日志信息中每次文档解密外发的操作行为对应的解密外发信息，确定为目标日志信息；若行为类型为文档加密外发类型，则将操作日志信息中文档加密外发的操作行为的加密外发信息，确定为目标日志信息。

在一实施例中，行为评分计算模块330还用于：

针对第一预设类型中的任意一种行为类型，将行为类型对应的第一操作次数与预设时长对应的预设权重的第一乘积，确定为行为类型对应的行为评分；针对第二预设类型中的任意一种行为类型，确定行为类型中目标日志信息对应的权重，并根据权重确定行为类型对应的行为评分。

在一实施例中，行为评分计算模块330还用于：

若行为类型为文档解密类型，则分别确定解密信息中解密理由对应的第一权重、解密方式对应的第二权重以及解密审批时长对应的第三权重，并分别计算每次文档解密的操作行为对应的第一权重、第二权重以及第三权重的第二乘积，且将所有第二乘积确定为文档解密类型对应的行为评分；若行为类型为文档解密外发类型，则分别确定解密外发信息中解密理由对应的第一权重、解密方式对应的第二权重、解密审批时长对应的第三权重以及解密外发时间对应的第四权重，并分别计算每次文档解密外发的操作行为对应的第一权重、第二权重、第三权重以及第四权重的第三乘积，且将所有第三乘积确定为文档解密外发类型对应的行为评分；若行为类型为文档加密外发类型，则确定加密外发信息中文档加密外发的第二操作次数，并将第二操作次数与预设时长对应的预设权重的第四乘积，确定为文档加密外发类型对应的行为评分。

在一实施例中，异常用户确定模块340还用于：

根据第一预设类型中每种行为类型对应的行为评分，得到第一预设类型对应的第一行为评分；根据第二预设类型中每种行为类型对应的行为评分，得到第二预设类型对应的第二行为评分；基于第一行为评分和第二行为评分生成二维坐标；二维坐标用于表征用户在预设时长内的各个操作行为的评分；根据所有二维坐标确定异常用户。

在一实施例中，异常用户确定装置300，还包括：

历史目标评分获取模块，用于获取用户在多个历史预设时长下分别对应的历史目标评分。

评分确定模块，用于针对目标评分，从多个历史目标评分中确定最大评分和最小评分；目标评分包括第一行为评分和第二行为评分。

评分差计算模块，用于计算目标评分与最小评分之间的第一评分差，以及，最大评分和最小评分之间的第二评分差。

目标评分归一化模块，用于将第一评分差与第二评分差之间的比值，确定为归一化后的目标评分。

在一实施例中，异常用户确定模块340还用于：

根据多个二维坐标确定中心坐标；分别计算每个二维坐标与中心坐标之间的间隔距离；将间隔距离大于预设间隔距离对应的用户确定为异常用户。

当理解的是，图3示出的异常用户确定装置的结构示意图中，各模块用于执行图1和图2对应的实施例中的各步骤，而对于图1和图2对应的实施例中的各步骤已在上述实施例中进行详细解释，具体请参阅图1和图2以及图1和图2所对应的实施例中的相关描述，此处不再赘述。

图4是本申请一实施例提供的一种计算机设备的结构示意图。如图4所示，该实施例的计算机设备400包括：处理器410、存储器420以及存储在存储器420中并可在处理器410运行的计算机程序430，例如异常用户确定方法的程序。处理器410执行计算机程序430时实现上述各个异常用户确定方法各实施例中的步骤，例如图1所示的S101至S104。或者，处理器410执行计算机程序430时实现上述图3对应的实施例中各模块的功能，例如，图3所示的模块510至540的功能，具体请参阅图3对应的实施例中的相关描述。

示例性的，计算机程序430可以被分割成一个或多个模块，一个或者多个模块被存储在存储器420中，并由处理器410执行，以实现本申请实施例提供的异常用户确定方法。一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序430在计算机设备400中的执行过程。例如，计算机程序430可以实现本申请实施例提供的异常用户确定方法。

计算机设备400可包括，但不仅限于，处理器410、存储器420。本领域技术人员可以理解，图4仅仅是计算机设备400的示例，并不构成对计算机设备400的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如计算机设备还可以包括输入输出设备、网络接入设备、总线等。

所称处理器410可以是中央处理单元，还可以是其他通用处理器、数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

存储器420可以是计算机设备400的内部存储单元，例如计算机设备400的硬盘或内存。存储器420也可以是计算机设备400的外部存储设备，例如计算机设备400上配备的插接式硬盘，智能存储卡，闪存卡等。进一步地，存储器420还可以既包括计算机设备400的内部存储单元也包括外部存储设备。

本申请实施例提供了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行上述各个实施例中的异常用户确定方法。

本申请实施例提供了一种计算机程序产品，当计算机程序产品在计算机设备上运行时，使得计算机设备执行上述各个实施例中的异常用户确定方法。

以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围，均应包含在本申请的保护范围之内。