(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN109327430A(43)申请公布日2019.02.12(21)申请号201810864372.7(22)申请日2018.08.01(71)申请人中国科学院、水利部成都山地灾害与环境研究所地址610041四川省成都市武侯区人民南路四段9号(72)发明人吴宇代丹姚彩云何斌陈振梁彭霖樊婷婷(74)专利代理机构北京众合诚成知识产权代理有限公司11246代理人夏艳(51)Int.Cl.H04L29/06(2006.01)H04L12/24(2006.01)权利要求书1页说明书4页附图2页(54)发明名称一种用户访问行为分析方法和装置(57)摘要本发明提供一种用户访问行为分析方法，包括：步骤1：获取用于访问网络时产生的数据所对应的TCP/IP信息；步骤2：根据所述对应的TCP/IP信息来建立源地址和目的地址之间的映射关系；步骤3：根据所述映射关系进行分析处理来得到用户访问行为日志信息。本发明方法直接从核心交换设备中读取数据，杜绝了因人为因素和使用环境的影响，能更加客观、准确、实时的反映和记录了用户的访问行为，而且不借助使用外界工具，普适性更高。CN109327430ACN109327430A权利要求书1/1页1.一种用户访问行为分析方法，其特征在于，包括：步骤1：获取用于访问网络时产生的数据所对应的TCP/IP信息；步骤2：根据所述对应的TCP/IP信息来建立源地址和目的地址之间的映射关系；步骤3：根据所述映射关系进行分析处理来得到用户访问行为日志信息。2.根据权利要求1所述的用户访问行为分析方法，其特征在于，所述对应的TCP/IP信息包括：IP头部信息和TCP头部信息。3.根据权利要求1所述的用户访问行为分析方法，其特征在于，根据所述用户访问行为日志信息来封锁特定应用的网络服务器IP和端口。4.根据权利要求3所述的用户访问行为分析方法，其特征在于，所述用户访问行为日志信息根据访问IP地址、端口号过滤、关键字过滤的组合来封锁特定应用的网络服务器IP和端口。5.一种用户访问行为分析装置，其特征在于，包括：获取单元：用于获取用于访问网络时产生的数据所对应的TCP/IP信息；处理单元：用于根据所述对应的TCP/IP信息来建立源地址和目的地址之间的映射关系；分析单元：用于根据所述映射关系进行分析处理来得到用户访问行为日志信息。6.根据权利要求5所述的用户访问行为分析装置，其特征在于，所述对应的TCP/IP信息包括：IP头部信息和TCP头部信息。7.根据权利要求5所述的用户访问行为分析装置，其特征在于，包括封锁模块，用于根据所述用户访问行为日志信息来封锁特定应用的网络服务器IP和端口。2CN109327430A说明书1/4页一种用户访问行为分析方法和装置技术领域[0001]本发明涉及大数据分析技术领域，尤其涉及一种用户访问行为分析方法和装置。背景技术[0002]在近日的全国网络安全和信息化会议上，“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”如何避免和杜绝在特定局域网环境中的网络违法和滥用现象，如何更为有效的监控和管理特殊环境下的网络访问行为，是作为保密单位网络管理人员需要考虑的首要问题。[0003]目前常用的用户访问行为分析方式主要有以下二种：[0004]第一种是使用人工抽样调查法，来对用户访问行为进行跟踪。这种方法主要是通过在对应用软件进行分类后，收集访问数据，收集使用电子邮件和各种即时通信软件(微信、QQ等)的记录以及跟踪登录各种网络社区的浏览痕迹，来进行分析和汇总。从而得到大量用户在应用软件上的使用频率、使用时间、使用时长、地域属性、群体特征、访问习惯等数据，最后形成特定时段的分析结果。这种使用人工抽样调查法是通过随机原理抽取软件数据为样本，来追溯用户主体行为习惯的方法。它的优点在于利用了统计学中的随机抽样理论和概率算法，来获得相对精确的行为轨迹。但缺点是需要动用大量的人力、财力和物力，还需要多个团队相互协作，对大量的样本数据进行分析和汇总，每一次统计所需要的时间都比较长，统计时效性较弱。[0005]第二种是用户行为日志分析法，通过在上网终端机中安装客户端软件的方法，来收集数据，从而达到实时记录用户上网行为的目的。这种方法必须通过安装的客户端软件实时收集终端机上的各种数据，比如各种网络的访问日志，安装软件信息，用户的上网使用时间，上网使用频率，用户使用习惯等，来进行分析和统计。这种安装客户端方法的优点在于时效性很强，能实时跟踪，及时处理，可以直观的反应用户所有网络访问行为。但安装的客户端经常会受到安全防护软件(比如360安全卫士)的干扰和屏蔽，同时数据收集的客户端很有可能会因用户的主观原因被人为关闭，来阻止这类软件的运