[发明专利]一种面向应用系统的用户行为安全监测方法

权利要求书

1.一种面向应用系统的用户行为安全监测方法，其特征在于具体步骤为：

第一步 构建面向应用系统的用户行为安全检测系统

面向应用系统的用户行为安全检测系统，包括:JS探针构建模块、JS探针管理控制模块、用户数据采集与存储模块、用户行为分析模块和结果反馈展示模块；

第二步JS探针构建模块构建JS探针库

JS探针构建模块构建满足不同需求的JS探针；构建通用性功能JS探针，包括：用户终端计算机硬件及系统信息采集探针、用户身份识别与提取探针、网络请求采集探针、用户操作探针、结果反馈探针；构建专用JS探针，包括：针对不同应用系统提取其重要用户数据、权限控制、管理操作流程内容的JS探针；JS探针库囊括多类针对不同需求的功能性JS探针，对于不同的应用系统可以经过配置文件进行不同的组合，以满足具体需求；

第三步JS探针管理控制模块管理JS探针接入与控制

JS探针管理控制模块生成总控探针control.js，将总控control.js使用script src＝”http://IP地址/control.js”/script的方式植入到应用系统的每个文件中，完成JS探针接入工作，JS总控探针一次接入即可在后台控制全部探针的开关接入情况；其次生成及修订js探针配置文件，控制各类JS探针的接入、删除和修改操作，最后当JS探针管理控制模块接收到对总控探针control.js的请求时，根据具体配置文件配置JS包含文件并返回各类信息采集探针；

第四步 用户数据采集与存储模块实现用户数据采集与存储

用户数据采集与存储模块使用JS探针采集用户终端计算机硬件及系统信息、用户身份信息、网络请求数据、用户对应用系统的操作过程信息、重点数据的访问信息和关键流程的处理过程信息，用户行为数据的采集的信息包括用户键盘输和鼠标点击信息，将采集到的信息传输到控制端，根据数据格式的特点和数据处理的方式，采用大数据框架，实现全属性和全生命周期数据的存储与计算；

第五步 用户行为分析模块分析用户行为数据

用户行为分析模块根据采集的用户行为数据对用户异常登录行为、用户自身数据安全和用户违规操作行为进行分析；通过采集用户终端计算机硬件信息及系统信息判定当前账号的登录者是否为常用登录用户；通过采集用户查看邮件信息和人员信息确定用户自身信息是否被窃取；通过识别网络请求，判定用户是否包含攻击指令，是否进行密码爆破攻击；

第六步 结果反馈展示模块反馈用户行为分析结果

结果反馈展示模块将用户行为数据分析的结果进行统计存储，供安全人员审计使用，同时将涉及用户自身数据安全的问题，包括：账户被他人登录、用户数据被非法读取和非法修改，通过JS探针的方式反馈给用户自身，在应用系统页面进行弹框显示。

2.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法，其特征在于所述JS探针构建模块的功能为构建具备各类功能的JS探针。

3.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法，其特征在于所述JS探针管理控制模块的功能为分析JS请求，使用JS配置文件控制JS探针的接入、删除和更改，完成JS探针的接入工作。

4.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法，其特征在于所述用户数据采集与存储模块的功能为使用JS探针获取用户前台的各类操作行为，并将采集结果存储到数据库中。

5.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法，其特征在于所述用户行为分析模块的功能为分析用户分为数据，给出用户行为分析结果。

6.根据权利要求1所述的一种面向应用系统的用户行为安全监测方法，其特征在于所述结果展示反馈模块的功能为将用户分析结果进行统计，供安全审计人员使用，同时将涉及用户自身的安全数据通过JS探针反馈到用户前端。