技术摘要：
本说明书一个或多个实施例提供一种用户行为分析方法、装置、设备及存储介质，该方法包括：获取待分析网络流量；其中，所述待分析网络流量为局域网内不同网域之间进行网络会话时所产生的流量；基于所述待分析网络流量，得到待分析标记数据；基于所述待分析标记数据，根  全部
背景技术：
随着科技进步和社会发展，物联网已发展成为大规模、多级数字监控网络，同时依 托于视频监控的各类业务也被广泛应用，城市治安、交通监管、城市管理、安全生产、食品安 全等工作都已离不开物联网。 随着网络应用的日益扩大，用户行为的网络安全问题成为日益突出的重要问题， 亟需对用户行为进行分析和监测，以保证网络的安全。
技术实现要素：
有鉴于此，本说明书一个或多个实施例的目的在于提出一种用户行为分析方法， 以对用户行为进行分析和监测。 基于上述目的，本说明书一个或多个实施例第一方面提供了一种用户行为分析方 法，所述方法包括： 获取待分析网络流量；其中，所述待分析网络流量为局域网内不同网域之间进行 网络会话时所产生的流量； 基于所述待分析网络流量，得到待分析标记数据； 基于所述待分析标记数据，根据预先建立的常规流量模型，进行用户行为分析。 可选地，所述获取待分析网络流量，包括： 在交换机上分别设置源端口和目的端口； 基于所述交换机的端口镜像功能，将所述源端口的流量数据复制到所述目的端 口； 采集复制到所述目的端口的流量数据，得到所述待分析网络流量。 可选地，所述基于所述待分析网络流量，得到待分析标记数据，包括： 将所述待分析网络流量进行处理，得到待分析暗数据； 将所述待分析暗数据进行特征化，得到待分析标记数据。 可选地，所述将所述待分析网络流量进行处理，得到待分析暗数据，包括： 对所述待分析网络流量进行抽取、转换及加载，得到待分析暗数据。 可选地，所述将所述待分析暗数据进行特征化，得到待分析标记数据，包括： 根据网络协议将所述待分析暗数据进行特征化，得到待分析标记数据； 或， 根据访问端口将所述待分析暗数据进行特征化，得到待分析标记数据； 或， 根据特征维度将所述待分析暗数据进行特征化，得到待分析标记数据；其中，所述 4 CN 111585830 A 说　明　书 2/11 页 特征维度包括时间、流量、包数、源IP、源端口、目的IP、目的端口及协议中的一种或多种。 可选地，所述常规流量模型包括应用模型； 所述应用模型的建立方法包括： 获取常规网络流量；其中，所述常规网络流量为局域网内不同网域之间进行网络 会话时所产生的网络流量； 对所述常规网络流量进行抽取、转换及加载，得到常规暗数据； 将所述常规暗数据进行特征化处理，得到常规标记数据；其中，所述常规标记数据 包括常规网络应用及其对应的常规应用流量； 基于所述常规网络应用及其对应的常规应用流量之间的对应关系，构建应用模 型。 可选地，所述方法还包括： 将用户行为分析的结果进行可视化展示。 基于相同的目的，本说明书一个或多个实施例第二方面提供了一种用户行为分析 装置，所述装置包括： 获取模块，用户获取待分析网络流量；其中，所述待分析网络流量为局域网内不同 网域之间进行网络会话时所产生的流量； 待分析标记数据获得模块，用于基于所述待分析网络流量，得到待分析标记数据； 分析模块，用于基于所述待分析标记数据，根据预先建立的常规流量模型，进行用 户行为分析。 可选地，所述获取模块，具体用于： 在交换机上分别设置源端口和目的端口； 基于所述交换机的端口镜像功能，将所述源端口的流量数据复制到所述目的端 口； 采集复制到所述目的端口的流量数据，得到所述待分析网络流量。 可选地，所述待分析标记数据获得模块，包括： 待分析暗数据获取单元，用于将所述待分析网络流量进行处理，得到待分析暗数 据； 待分析标记数据获取单元，用于将所述待分析暗数据进行特征化，得到待分析标 记数据。 可选地，待分析暗数据获取单元，具体用于： 对所述待分析网络流量进行抽取、转换及加载，得到待分析暗数据。 可选地，待分析标记数据获取单元，具体用于： 根据网络协议将所述待分析暗数据进行特征化，得到待分析标记数据； 或， 根据访问端口将所述待分析暗数据进行特征化，得到待分析标记数据； 或， 根据特征维度将所述待分析暗数据进行特征化，得到待分析标记数据；其中，所述 特征维度包括时间、流量、包数、源IP、源端口、目的IP、目的端口及协议中的一种或多种。 可选地，所述装置还包括模型建立模块，所述模型建立模块包括应用模型建立单 5 CN 111585830 A 说　明　书 3/11 页 元，所述应用模型建立单元，用于： 获取常规网络流量；其中，所述常规网络流量为局域网内不同网域之间进行网络 会话时所产生的网络流量； 对所述常规网络流量进行抽取、转换及加载，得到常规暗数据； 将所述常规暗数据进行特征化处理，得到常规标记数据；其中，所述常规标记数据 包括常规网络应用及其对应的常规应用流量； 基于所述常规网络应用及其对应的常规应用流量之间的对应关系，构建应用模 型。 可选地，所述装置还包括客户化展示模块，用于将用户行为分析的结果进行可视 化展示。 基于相同的目的，本说明书一个或多个实施例第三方面提供了一种电子设备，包 括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行 所述程序时实现本说明书第一方面任意一项所述的方法。 基于相同的目的，本说明书一个或多个实施例第四方面提供了一种非暂态计算机 可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使 所述计算机执行本说明书第一方面任一所述方法。 从上面所述可以看出，本说明书一个或多个实施例提供的用户行为分析方法、装 置、设备及存储介质，首先获取局域网内不同网域之间进行网络会话时所产生的待分析网 络流量，然后基于待分析网络流量得到待分析标记数据，最后将待分析标记数据与预先建 立的常规流量模型进行比对，分析用户行为；通过预先建立系统性的常规流量模型，然后将 获取的待分析网络流量处理得到待分析标记数据，将待分析标记数据与常规流量模型进行 比对，对用户行为进行分析和监测，提高网络安全性。 附图说明 为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将 对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的 附图仅仅是本说明书一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性 劳动的前提下，还可以根据这些附图获得其他的附图。 图1为本说明书一个或多个实施例提供的一种用户行为分析方法的流程示意图； 图2为本说明书一个或多个实施例提供的一种用户行为分析装置的结构示意图； 图3为本说明书一个或多个实施例提供的一种更为具体的电子设备硬件结构示意 图。