一种用户业务操作行为检测方法、装置、设备、存储介质与流程

1.本技术属于互联网技术领域，具体涉及一种用户业务操作行为检测方法、装置、设备、存储介质。


背景技术：

2.目前，防范操作风险、降低由操作风险带来的损失，是企业健康发展的关键，尤其是企业用户异常行为排查，是防范操作风险的重要工作内容。
3.现有技术中，在对企业用户的行为进行审计时，通常需要先收集用户参与违规行为的数据资料，然后，根据收集到的资料来对企业用户的行为进行审计，不仅需要花费较长的时间，还需要耗费较多的人力，资料收集不全时，得出的审计结果的准确性也难以得到保证。


技术实现要素：

4.本技术提供了一种用户业务操作行为检测方法、装置、设备、存储介质，用以解决现有技术中对企业用户的行为进行审计时，需要花费较长的时间、耗费较多的人力，且难以保证得出的审计结果准确性的技术问题。
5.第一方面，本技术提供一种用户业务操作行为检测方法，所述方法包括：
6.接收业务客户端发送的网页访问请求，向业务服务器转发所述网页访问请求；
7.接收所述业务服务器返回的网页访问响应，并将所述网页访问响应返回至所述业务客户端；
8.从所述业务客户端获取用户处理的业务类型和操作行为数据，并根据所述业务类型、所述操作行为数据判断是否为异常操作：
9.若是异常操作，则根据第一数据分析算法确定用户的行为风险等级；
10.否则根据所述业务类型、所述操作行为数据确定是否存在潜在异常风险；
11.若不存在所述潜在异常风险，则根据用户登陆风险等级确定所述行为风险等级；否则根据用户有权限访问的敏感数据、所述操作行为数据确定用户的潜在异常风险等级，并根据所述潜在异常风险等级、所述登陆风险等级确定所述行为风险等级。
12.在上述一种用户业务操作行为检测方法优选技术方案中，所述根据用户有权限访问的敏感数据、所述操作行为数据确定用户的潜在异常风险等级，包括：
13.根据所述用户有权限访问的敏感数据，确定所述敏感数据对应的关联数据集，每个所述关联数据集包括若干关联数据；
14.根据所述操作行为数据，确定第一关联数据，所述第一关联数据为用户的操作行为涉及的所述关联数据；
15.根据所述第一关联数据，在所述第一关联数据所在的所述关联数据集中确定第二关联数据，所述第二关联数据为所述关联数据集中，其他用户获得的所述第一关联数据之外的其他数据；
16.根据所述第一关联数据、所述第二关联数据占所述关联数据集中所有的所述关联数据的比例确定所述潜在异常风险等级。
17.在上述一种用户业务操作行为检测方法优选技术方案中，所述根据所述业务类型、所述操作行为数据确定是否存在潜在异常风险，包括：
18.将所述业务类型、所述操作行为数据输入预训练的潜在异常风险识别模型，以判断用户是否存在所述潜在异常风险。
19.在上述一种用户业务操作行为检测方法优选技术方案中，所述方法还包括：
20.若用户获取所述第一关联数据、且所述预训练的潜在异常风险识别模型判断用户存在所述潜在异常风险，则生成所述操作行为数据的联合风险标签，所述联合风险标签包括：
21.所述第一关联数据所在的所述关联数据集、所述第一关联数据的数据类型。
22.在上述一种用户业务操作行为检测方法优选技术方案中，所述方法还包括：
23.将所述其他用户获取所述第二关联数据的操作行为数据输入所述预训练的潜在异常风险识别模型，以判断所述其他用户是否存在所述潜在异常风险：
24.若是，则记录所述其他用户获取所述第二关联数据的时间。
25.在上述一种用户业务操作行为检测方法优选技术方案中，所述根据用户登陆风险等级确定所述行为风险等级，包括：
26.将所述操作行为数据进行规范化处理，获得所述操作行为数据的规范化数据集；
27.将所述规范化数据集输入至用户对应的身份识别模型，判断是否为用户本人登陆，并根据判断结果确定所述登陆风险等级；
28.根据所述登陆风险等级及第二数据分析算法确定所述行为风险等级。
29.在上述一种用户业务操作行为检测方法优选技术方案中，所述根据判断结果确定所述登陆风险等级，包括：
30.若所述身份识别模型判断为用户本人登陆，则根据第三数据分析算法确定所述登陆风险等级；
31.若所述身份识别模型判断为非用户本人登陆，则获取用户账号的登陆属性，所述登陆属性包括：所述用户账号是否为共用账号、所述用户账号的账号等级、所述用户账号的敏感程度，并根据所述用户账号的登陆属性确定所述登陆风险等级。
32.在上述一种用户业务操作行为检测方法优选技术方案中，确定所述行为风险等级后，所述方法还包括：
33.若所述行为风险等级满足预设风险条件，将用户及所述其他用户的风险操作行为视频数据按时间顺序回放，所述风险操作行为视频数据为：根据用户及所述其他用户对所述关联数据的操作行为生成的操作行为视频数据。
34.第二方面，本技术提供一种用户业务操作行为检测装置，所述装置包括：
35.代理模块，用于：
36.接收业务客户端发送的网页访问请求，向业务服务器转发所述网页访问请求；
37.接收所述业务服务器返回的网页访问响应，并将所述网页访问响应返回至所述业务客户端；
38.检测模块，用于：
39.从所述业务客户端获取用户处理的业务类型和操作行为数据，并根据所述业务类型、所述操作行为数据判断是否为异常操作：
40.若不是异常操作，则根据第一数据分析算法确定用户的行为风险等级；
41.否则根据所述业务类型、所述操作行为数据确定是否存在潜在异常风险；
42.若不存在所述潜在异常风险，则根据用户登陆风险等级确定所述行为风险等级；否则根据用户有权限访问的敏感数据、所述操作行为数据确定用户的潜在异常风险等级，并根据所述潜在异常风险等级、所述登陆风险等级确定所述行为风险等级。
43.在上述一种用户业务操作行为检测装置优选技术方案中，所述装置还包括记录回放模块，所述记录回放模块用于：
44.根据所述操作行为数据，生成用户的操作行为视频数据；
45.获取所述操作行为数据对应的所述行为风险等级，将所述行为风险等级与所述操作行为视频数据关联。
46.在上述一种用户业务操作行为检测装置优选技术方案中，所述记录回放模块还用于：
47.若所述行为风险等级满足预设风险条件，将用户及其他用户的风险操作行为视频数据按时间顺序回放，所述风险操作行为视频数据为：根据用户及所述其他用户对所述关联数据的操作行为生成的所述操作行为视频数据。
48.第三方面，本技术提供一种用户业务操作行为检测设备，所述设备包括：存储器、处理器；
49.所述存储器用于，存储计算机程序；
50.所述处理器用于，执行所述存储器中存储的计算机程序，实现如上所述的用户业务操作行为检测方法。
51.第四方面，本技术提供一种可读存储介质，所述可读存储介质上存储有计算机程序；所述计算机程序用于实现如上所述的用户业务操作行为检测方法。
52.本技术提供的一种用户业务操作行为检测方法、装置、设备、存储介质，通过接收业务客户端发送的网页访问请求以及向业务服务器转发网页访问请求、接收业务服务器返回的网页访问响应以及将网页访问响应返回至业务客户端，可以获取用户的操作行为数据，并对用户的操作行为数据进行分析，避免了使用人力进行审计分析费时费力的缺点；本技术通过对用户登陆风险、异常操作、潜在异常风险的分析，保证了审计的全面性、准确性。
附图说明
53.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术的实施例，并与说明书一起用于解释本技术的原理。
54.图1是本技术实施例提供的一种用户业务操作行为检测方法流程图；
55.图2是本技术实施例提供的一种根据用户有权限访问的敏感数据、操作行为数据确定用户的潜在异常风险等级的方法流程图；
56.图3是本技术实施例提供的图结构示意图；
57.图4是本技术实施例提供的一种根据用户登陆风险等级确定行为风险等级的方法流程图；
58.图5是本技术实施例提供的一种用户业务操作行为检测装置示意图；
59.图6是本技术实施例提供的一种用户业务操作行为检测设备示意图。
60.通过上述附图，已示出本技术明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本技术构思的范围，而是通过参考特定实施例为本领域技术人员说明本技术的概念。
具体实施方式
61.为使本技术的目的、技术方案和优点更加清楚，下面将结合本技术中的附图，对本技术中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
62.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。
63.本技术实施例中，“示例性的”或者“例如”等词用于表示例子、例证或说明。本技术中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
64.目前，防范操作风险、降低由操作风险带来的损失，是企业健康发展的关键，尤其是企业用户异常行为排查，是防范操作风险的重要工作内容。
65.现有技术中，在对企业用户的行为进行审计时，通常需要先收集用户参与违规行为的数据资料，然后，根据收集到的资料来对企业用户的行为进行审计，不仅需要花费较长的时间，还需要耗费较多的人力，资料收集不全时，得出的审计结果的准确性也难以得到保证。
66.为解决以上问题，本技术的技术构思是：通过接收业务客户端发送的网页访问请求以及向业务服务器转发网页访问请求、接收服务器返回的网页访问响应以及将网页访问响应返回至业务客户端，获取用户的操作行为数据，对用户的操作行为数据进行审计分析，通过分析用户的登陆风险、操作是否存在异常以及潜在异常风险，确定用户的行为风险等级。
67.下面以具体地实施例对本技术的技术方案以及本技术的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图，对本技术的实施例进行描述。
68.在本技术的一个可能的实施例中，提供一种用户业务操作行为检测方法。图1是本技术实施例提供的一种用户业务操作行为检测方法流程图，如图1所示，该方法包括：
69.s101、接收业务客户端发送的网页访问请求，向业务服务器转发网页访问请求；
70.接收业务服务器返回的网页访问响应，并将网页访问响应返回至业务客户端；
71.可以通过ssl加密过程的代理实现本步骤中的操作，例如使用ssl证书和业务客户端如浏览器建立连接，再代替业务客户端向业务服务器建立连接。通过本步骤中的操作，可
以获取用户通过业务客户端对业务服务器的所有网页访问，从而也就能够获得用户的所有操作行为数据。在通过ssl加密过程的代理实现本步骤中的操作时，可以保证数据在网络传输时的保密性和完整性。
72.s102、从业务客户端获取用户处理的业务类型和操作行为数据，并根据业务类型、操作行为数据判断是否为异常操作：
73.由于通过用户的操作行为数据，可以获知用户的操作行为，因此可以根据用户办理的业务类型、用户的操作行为判断用户的操作行为是否合理。其中，合理操作行为包括在办理该业务类型的业务时必须要执行的操作行为。以为客户办理业务为例，在为客户办理余额查询业务时，查询余额是必要执行的操作行为，此时，当用户执行了查询余额操作时，确定用户执行的是合理的操作行为；而当客户办理余额查询业务时，查询客户地址为非必要执行的操作行为，此时，当用户执行了查询客户地址的操作时，确定用户执行的是异常操作。
74.考虑到客户有可能进行了对应的咨询但最终却没有办理对应的业务，因此，还可以考虑用户的业务办理时长以及客户取号办理业务时选择的业务类型，当针对当前业务类型的业务办理时长明显多于该业务类型对应的平均时长时，进一步判断用户不合理的操作行为是否属于取号办理业务对应的合理操作行为，若是，则确定是合理的操作行为；若否，则将此次操作行为确定为异常操作行为。
75.若是异常操作，则s103、根据第一数据分析算法确定用户的行为风险等级；
76.可选的，若用户操作行为不合理，则直接将用户行为风险等级确定为高。
77.否则s104、根据业务类型、操作行为数据确定是否存在潜在异常风险；
78.可选的，可以将用户当前办理业务的业务类型、操作行为输入预训练的潜在异常风险识别模型，以确定是否存在潜在异常风险。
79.若不存在潜在异常风险，则s105、根据用户登陆风险等级确定行为风险等级；
80.可选的，可以通过用户对应的身份识别模型确定用户的登陆风险等级。
81.否则s106、根据用户有权限访问的敏感数据、操作行为数据确定用户的潜在异常风险等级，并根据潜在异常风险等级、登陆风险等级确定行为风险等级。
82.若根据上述潜在联合异常风险识别模型确定存在潜在异常风险，为了防止多个用户通过对多个次敏感数据的统计整合，得到最终的敏感数据，如某个数据分量为敏感数据，但是，数据总量以及除该数据分量之外的其他数据分量均为次敏感数据。因此可以通过分析用户的操作行为是否涉及敏感数据、敏感数据对应的次敏感数据，确定用户的潜在异常风险等级。
83.根据潜在异常风险等级、登陆风险等级确定行为风险等级，可以包括：用户潜在异常风险为高的情况下，若当前用户的登录风险等级为中，则确定用户行为风险等级为高；若当前用户的登录风险等级为低，则确定用户行为风险等级为中；
84.用户潜在异常风险为中的情况下，若当前用户的登录风险等级为中，则确定用户行为风险等级为中；若当前用户的登录风险等级为低，则确定用户行为风险等级为低。
85.本实施例的技术效果是：通过接收业务客户端发送的网页访问请求以及向业务服务器转发网页访问请求、接收服务器返回的网页访问响应以及将网页访问响应返回至业务客户端，可以获取用户的操作行为数据，并对用户的操作行为数据进行分析，避免了使用人
力进行审计分析费时费力的缺点；通过对用户登陆风险、异常操作、潜在异常风险的分析，尤其是考虑到通过关联数据整合获取敏感数据的情况，保证了审计的综合性、全面性、准确性。
86.在本技术一个可能的实施例中，提供一种根据用户有权限访问的敏感数据、操作行为数据确定用户的潜在异常风险等级的方法。图2是本技术实施例提供的一种根据用户有权限访问的敏感数据、操作行为数据确定用户的潜在异常风险等级的方法流程图，如图2所示，该方法包括：
87.s201、根据用户有权限访问的敏感数据，确定敏感数据对应的关联数据集，每个关联数据集包括若干关联数据；
88.需要说明的是，在以敏感数据为维度来结合该用户和其他用户的操作进行联合风险确定时，先确定当前用户有权限访问到的敏感数据，然后，对该敏感数据进行关联数据划分，得到以该敏感数据为中心的二维关联数据矩阵即关联数据集。其中，二维关联数据矩阵可以包括数据集序号，以及该序号对应的关联数据。在对该敏感数据进行关联数据划分时，获取与敏感数据相关的所有数据字段，例如，敏感数据为数据a，而数据a可以通过数据b、数据c以及数据d来获得，也可以通过数据m、数据p、数据n以及数据k来获得。则敏感数据a对应的二维关联数据矩阵可以包括数据集序号1对应的关联数据b、c、d，以及数据集序号2对应的关联数据m、p、n以及k。
89.s202、根据操作行为数据，确定第一关联数据，第一关联数据为用户的操作行为涉及的关联数据；
90.在得到敏感数据对应的二维关联数据矩阵后，判断当前用户所执行的操作行为是否涉及二维关联数据矩阵中的关联数据即第一关联数据。
91.s203、根据第一关联数据，在第一关联数据所在的关联数据集中确定第二关联数据，第二关联数据为关联数据集中，其他用户获得的第一关联数据之外的其他数据；
92.若当前用户的操作行为涉及第一关联数据，则获取第一关联数据所在的二维关联数据矩阵对应的数据集序号，并根据数据集序号对应的关联数据中的其他数据，来确定是否有其他用户获取了其他数据。若有其他用户获取了第二关联数据，则进一步确定其他用户获取该第二关联数据的行为是否涉及潜在异常风险，将其他用户获取第二关联数据的操作行为数据输入预训练的潜在异常风险识别模型，以判断其他用户是否存在潜在异常风险：若是，则记录其他用户获取第二关联数据的时间。
93.可选的，若用户获取第一关联数据、且预训练的潜在异常风险识别模型判断用户存在潜在异常风险，则生成操作行为数据的联合风险标签，联合风险标签包括：第一关联数据所在的关联数据集、第一关联数据的数据类型。每个用户，在其获取第一关联数据且存在潜在异常风险时，均会生成联合风险标签，联合风险标签和用户的操作行为数据关联。
94.s204、根据第一关联数据、第二关联数据占关联数据集中所有的关联数据的比例确定潜在异常风险等级。
95.当其他用户获取的第二关联数据与当前用户获取的第一关联数据的组合占第一关联数据、第二关联数据所在的关联数据集或二维关联数据矩阵中关联数据总数的百分之八十以上时，确定潜在异常等级为高；当其他用户获取的第二关联数据与当前用户获取的第一关联数据的组合占第一关联数据、第二关联数据所在的关联数据集或二维关联数据矩
阵中关联数据总数的百分之八十以下时，确定潜在异常风险等级为中。
96.本实施例的技术效果是：通过对用户、其他用户涉及关联数据的操作行为的分析，能够有效地分析出用户的操作行为存在的潜在异常风险，从而提升了审计的综合性、全面性以及准确性。
97.在本技术一个可能的实施例中，根据业务类型、操作行为数据确定是否存在潜在异常风险，包括：
98.将业务类型、操作行为数据输入预训练的潜在异常风险识别模型，以判断用户是否存在潜在异常风险。
99.本实施例中，在未发现用户有异常操作行为情况下会进一步其是否存在潜在联合风险。具体的，可以将业务类型、操作行为数据输入预训练的潜在异常风险识别模型，以判断用户是否存在潜在异常风险。
100.构建潜在异常风险识别模型可以通过如下步骤：
101.首先，会获取通过审计的用户操作行为来构成图结构，图3是本技术实施例提供的图结构示意图，如图2所示，图结构中的节点由两种类型数据构成，第一种类型是用户办理的业务数据，如业务类型等，另一种类型是用户办理业务数据时通过审计的操作行为数据，如操作对象、操作方式、操作时长等，这两种类型数据对应的节点分别为业务节点和行为节点。在所构建的图结构中，业务节点与业务节点之间可以存在边的关系，表征该两个业务在办理时涉及到了相同的操作行为，当涉及到的相同操作行为越多时，边越长；行为节点与行为节点之间可以存在边的关系，表征两者之间存在亲密关系，其中，当这两个行为经常在同一业务办理过程中一起出现的频率越高时，边越长。
102.在构成图结构后，通过图卷积神经网络来构建潜在异常风险识别模型。
103.本实施例中，通过图卷积神经网络来实现图结构学习，从而得到潜在异常风险识别模型。
104.具体地，本实施例中，根据图傅里叶变换，提取所有节点图结构的业务节点的特征矩阵，然后，将其输入到潜在异常风险识别模型中。
105.图卷积神经网络模型至少包括输入层，tdgcnn层、全连接层和输出层。其中，输入层包括两部分输入，即特征信息和节点信息，其中，特征信息是提取的业务节点的特征矩阵，节点信息是无向图中每一个节点连接的业务信息以及操作行为数据；tdgcnn层，即图卷积神经网络层，该层使用图卷积的方法对输入数据进行图卷积计算，从而提取业务信息以及操作行为的关联特性；全连接层采用全连接神经元将提取的关联特性结果与输出层相连；输出层采用softmax函数对结果进行分类，并作为最终的合理识别结果。
106.本实施例的技术效果是，通过预训练的潜在异常风险识别模型，可以提升对用户操作行为中潜在异常风险的识别效率和准确性。
107.在本技术一个可能的实施例中，提供一种根据用户登陆风险等级确定行为风险等级的方法。图4是本技术实施例提供的一种根据用户登陆风险等级确定行为风险等级的方法流程图，如图4所示，该方法包括：
108.s401、将操作行为数据进行规范化处理，获得操作行为数据的规范化数据集；
109.具体的，本实施例中操作行为数据可以包括：如用户办理业务时的操作对象、操作顺序以及操作时长，然后，根据这些数据来确定当前用户账号是否为用户本人登录。
110.其中，操作对象为客户操作的网址、内容字段，如客户手机号、套餐明细等；操作顺序为客户在时间上对操作对象的操作顺序，如在完善客户个人信息时，填完第一行第一列之后，是先填写第一行第二列的信息，还是先填写第二行第一列的信息；操作时长包括停留时长以及业务工作时长，业务工作时长为执行业务，如填写客户个人信息时耗费的时长，而停留时长则包括企业客户在业务工作时长之间的间隙时长，例如，填完第一行第一列之后，与填写下个信息，如第一行第二列的信息之前的时长。
111.在获得用户的上述操作行为数据后，按照预设的规则对这些历史数据进行规范化处理，得到对应的规范数据集。例如，预先设定不同的内容字段对应的编号或字母，来标识操作的内容字段；使用连续操作的操作对象所在界面的位置点构成的线段的斜率来标识操作顺序；以秒为单位来记录对应的操作时长。
112.s402、将规范化数据集输入至用户对应的身份识别模型，判断是否为用户本人登陆，并根据判断结果确定登陆风险等级；
113.该步骤中，若身份识别模型判断为用户本人登陆，则根据第三数据分析算法确定登陆风险等级，例如当确定为用户本人登录时，确定登录风险等级为低。
114.若身份识别模型判断为非用户本人登陆，则获取用户账号的登陆属性，登陆属性包括：用户账号是否为共用账号、用户账号的账号等级、用户账号的敏感程度，并根据用户账号的登陆属性确定登陆风险等级。当账号为多人共用账号时(可以通过登录情况、账号是否发生被挤占情况等来确定)、账号等级(根据相关人员为账号手动设置的重要性等级来确定)比较低、账号的敏感程度(根据该账号使用者能访问到的敏感数据或能执行的敏感行为操作的数量来确定)比较低时，确定登录风险等级为低；反之，则确定登录风险等级为中。
115.s403、根据登陆风险等级及第二数据分析算法确定行为风险等级。
116.可选的，在判断用户不存在潜在异常风险时：
117.用户的登陆风险等级为中，则行为风险等级为中；用户的登陆风险等级为低，则行为风险等级为低。
118.在前述实施例的基础上，在本技术一个可能的实施例中，确定行为风险等级后，若行为风险等级满足预设风险条件，将用户及其他用户的风险操作行为视频数据按时间顺序回放，风险操作行为视频数据为：根据用户及其他用户对关联数据的操作行为生成的操作行为视频数据。例如，当用户的行为风险等级为高或中时，将用户及其他用户的风险操作行为视频数据按时间顺序回放。
119.本实施例中，根据行为风险等级来对员工操作行为进行重点回放审计，提升审计效率。
120.在本技术一个可能的实施例中，提供一种用户业务操作行为检测装置。图5是本技术实施例提供的一种用户业务操作行为检测装置示意图，如图5所示，该装置50包括：代理模块501、检测模块502、记录回放模块503；
121.代理模块501，用于：
122.接收业务客户端发送的网页访问请求，向业务服务器转发网页访问请求；
123.接收业务服务器返回的网页访问响应，并将网页访问响应返回至业务客户端；
124.本实施例中，装置50可以旁路部署于业务客户端、业务服务器之间，无需对现有网络架构进行变动。代理模块501可以使用装置50的ssl证书和业务客户端建立连接，之后代
integrated circuit，简称：asic)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
143.存储器可能包含高速存储器(random access memory，ram)，也可能还包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。
144.总线可以是工业标准体系结构(industry standard architecture，isa)总线、外部设备互连(peripheral component，pci)总线或扩展工业标准体系结构(extended industry standard architecture，eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，本技术附图中的总线并不限定仅有一根总线或类型的总线。
145.在本技术一个可能的实施例中，提供一种可读存储介质，可读存储介质上存储有计算机程序；计算机程序用于实现如上所述的用户业务操作行为检测方法。
146.上述的计算机可读存储介质，上述可读存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。可读存储介质可以是通用或专用计算机能够存取的任何可用介质。
147.示例性的可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(application specific integrated circuits，简称：asic)中。当然，处理器和可读存储介质也可以作为分立组件存在于设备中。
148.所述单元的划分，仅仅为逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
149.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
150.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
151.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
152.本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分步骤可以通
过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
153.至此，已经结合附图所示的优选实施方式描述了本技术的技术方案，但是，本领域技术人员容易理解的是，本技术的保护范围显然不局限于这些具体实施方式，以上各实施例仅用以说明本技术的技术方案，而非对其限制；尽管参照前述各实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本技术各实施例技术方案的范围。

技术特征：
1.一种用户业务操作行为检测方法，其特征在于，所述方法包括：接收业务客户端发送的网页访问请求，向业务服务器转发所述网页访问请求；接收所述业务服务器返回的网页访问响应，并将所述网页访问响应返回至所述业务客户端；从所述业务客户端获取用户处理的业务类型和操作行为数据，并根据所述业务类型、所述操作行为数据判断是否为异常操作：若是异常操作，则根据第一数据分析算法确定用户的行为风险等级；否则根据所述业务类型、所述操作行为数据确定是否存在潜在异常风险；若不存在所述潜在异常风险，则根据用户登陆风险等级确定所述行为风险等级；否则根据用户有权限访问的敏感数据、所述操作行为数据确定用户的潜在异常风险等级，并根据所述潜在异常风险等级、所述登陆风险等级确定所述行为风险等级。2.根据权利要求1所述的方法，其特征在于，所述根据用户有权限访问的敏感数据、所述操作行为数据确定用户的潜在异常风险等级，包括：根据所述用户有权限访问的敏感数据，确定所述敏感数据对应的关联数据集，每个所述关联数据集包括若干关联数据；根据所述操作行为数据，确定第一关联数据，所述第一关联数据为用户的操作行为涉及的所述关联数据；根据所述第一关联数据，在所述第一关联数据所在的所述关联数据集中确定第二关联数据，所述第二关联数据为所述关联数据集中，其他用户获得的所述第一关联数据之外的其他数据；根据所述第一关联数据、所述第二关联数据占所述关联数据集中所有的所述关联数据的比例确定所述潜在异常风险等级。3.根据权利要求2所述的方法，其特征在于，所述根据所述业务类型、所述操作行为数据确定是否存在潜在异常风险，包括：将所述业务类型、所述操作行为数据输入预训练的潜在异常风险识别模型，以判断用户是否存在所述潜在异常风险。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：若用户获取所述第一关联数据、且所述预训练的潜在异常风险识别模型判断用户存在所述潜在异常风险，则生成所述操作行为数据的联合风险标签，所述联合风险标签包括：所述第一关联数据所在的所述关联数据集、所述第一关联数据的数据类型。5.根据权利要求3所述的方法，其特征在于，所述方法还包括：将所述其他用户获取所述第二关联数据的操作行为数据输入所述预训练的潜在异常风险识别模型，以判断所述其他用户是否存在所述潜在异常风险：若是，则记录所述其他用户获取所述第二关联数据的时间。6.根据权利要求1所述的方法，其特征在于，所述根据用户登陆风险等级确定所述行为风险等级，包括：将所述操作行为数据进行规范化处理，获得所述操作行为数据的规范化数据集；将所述规范化数据集输入至用户对应的身份识别模型，判断是否为用户本人登陆，并根据判断结果确定所述登陆风险等级；
根据所述登陆风险等级及第二数据分析算法确定所述行为风险等级。7.根据权利要求6所述的方法，其特征在于，所述根据判断结果确定所述登陆风险等级，包括：若所述身份识别模型判断为用户本人登陆，则根据第三数据分析算法确定所述登陆风险等级；若所述身份识别模型判断为非用户本人登陆，则获取用户账号的登陆属性，所述登陆属性包括：所述用户账号是否为共用账号、所述用户账号的账号等级、所述用户账号的敏感程度，并根据所述用户账号的登陆属性确定所述登陆风险等级。8.根据权利要求2所述的方法，其特征在于，确定所述行为风险等级后，所述方法还包括：若所述行为风险等级满足预设风险条件，将用户及所述其他用户的风险操作行为视频数据按时间顺序回放，所述风险操作行为视频数据为：根据用户及所述其他用户对所述关联数据的操作行为生成的操作行为视频数据。9.一种用户业务操作行为检测装置，其特征在于，所述装置包括：代理模块，用于：接收业务客户端发送的网页访问请求，向业务服务器转发所述网页访问请求；接收所述业务服务器返回的网页访问响应，并将所述网页访问响应返回至所述业务客户端；检测模块，用于：从所述业务客户端获取用户处理的业务类型和操作行为数据，并根据所述业务类型、所述操作行为数据判断是否为异常操作：若不是异常操作，则根据第一数据分析算法确定用户的行为风险等级；否则根据所述业务类型、所述操作行为数据确定是否存在潜在异常风险；若不存在所述潜在异常风险，则根据用户登陆风险等级确定所述行为风险等级；否则根据用户有权限访问的敏感数据、所述操作行为数据确定用户的潜在异常风险等级，并根据所述潜在异常风险等级、所述登陆风险等级确定所述行为风险等级。10.根据权利要求9所述的装置，其特征在于，所述装置还包括记录回放模块，所述记录回放模块用于：根据所述操作行为数据，生成用户的操作行为视频数据；获取所述操作行为数据对应的所述行为风险等级，将所述行为风险等级与所述操作行为视频数据关联。11.根据权利要求10所述的装置，其特征在于，所述记录回放模块还用于：若所述行为风险等级满足预设风险条件，将用户及其他用户的风险操作行为视频数据按时间顺序回放，所述风险操作行为视频数据为：根据用户及所述其他用户对所述关联数据的操作行为生成的所述操作行为视频数据。12.一种用户业务操作行为检测设备，其特征在于，所述设备包括：存储器、处理器；所述存储器用于，存储计算机程序；所述处理器用于，执行所述存储器中存储的计算机程序，实现如权利要求1至8中任意一项所述的用户业务操作行为检测方法。
13.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序；所述计算机程序用于实现如权利要求1至8中任意一项所述的用户业务操作行为检测方法。

技术总结
本发明涉及一种用户业务操作行为检测方法、装置、设备、存储介质，包括：将业务客户端发送的网页访问请求转发至业务服务器；将业务服务器返回的网页访问响应转发至业务客户端；从业务客户端获取用户处理的业务类型和操作行为数据，并根据业务类型、操作行为数据判断是否为异常操作：若是，则根据第一数据分析算法确定用户的行为风险等级；否则根据业务类型、操作行为数据确定是否存在潜在异常风险；若否，则根据用户登陆风险等级确定行为风险等级；若是则根据用户有权限访问的敏感数据、操作行为数据确定用户的潜在异常风险等级，并根据潜在异常风险等级、登陆风险等级确定行为风险等级。本发明提升了业务审计的效率、全面性、准确性。准确性。准确性。


技术研发人员：叶勇飞 匡石磊 黄巍
受保护的技术使用者：中国联合网络通信集团有限公司
技术研发日：2023.07.27
技术公布日：2023/10/15