[发明专利]告警方法、告警装置、终端设备及计算机可读存储介质

权利要求书

1.一种告警方法，其特征在于，包括：

基于指定用户对指定终端的操作所获得的操作信息，获取指定用户的第一行为特征数据；

若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为，则检测是否获取到对所述指定用户的目标告警信息，其中，所述目标告警信息基于所述指定用户的网络数据生成，所述网络数据基于所述指定用户对网络的访问得到；所述目标告警信息为根据所述网络数据判断所述网络数据是否满足预设告警条件，若所述网络数据满足预设告警条件，则生成所述目标告警信息；所述预设告警条件基于数据失陷指标确定；其中，所述数据失陷指标包括终端所访问的域名、IP地址、URL、文件哈希值以及SSL证书，以及终端上运行的服务和进程；

若获取到所述目标告警信息，则根据所述异常行为和所述目标告警信息，对所述指定用户进行告警；

所述目标指标包括至少一个目标群组指标；

在若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为，则检测是否获取到对所述指定用户的目标告警信息之前，还包括：

基于所述指定用户的至少两个属性特征，确定所述指定用户所属的目标用户群组；

从预设数据库中，获取属于所述目标用户群组的所有用户在第一时间段内的第二行为特征数据；

根据所述第二行为特征数据，确定所述目标用户群组的至少一个群组指标，并将所述目标用户群组的至少一个群组指标作为至少一个所述目标群组指标。

2.如权利要求1所述的告警方法，其特征在于，所述基于指定用户对指定终端的操作所获得的操作信息，获取指定用户的第一行为特征数据，包括：

从所述指定用户所对应的互联网接口处，获取目标时间段内的DNS信息和/或流量信息；

获取目标时间段内所述指定用户的日志信息；

对所述日志信息，以及所述DNS信息和/或流量信息进行信息提取，获得所述第一行为特征数据。

3.如权利要求1所述的告警方法，其特征在于，所述目标指标包括至少一个目标个人指标；

在若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为，则检测是否获取到对所述指定用户的目标告警信息之前，还包括：

获取所述指定用户在第二时间段内的第三行为特征数据，并根据所述第三行为特征数据，确定至少一个所述目标个人指标。

4.如权利要求1所述的告警方法，其特征在于，所述若根据所述第一行为特征数据和所述指定用户所对应的目标指标确定出所述指定用户存在异常行为，则检测是否获取到对所述指定用户的目标告警信息，包括：

将所述第一行为特征数据中的各个特征数据与对应的目标指标分别进行比对；

若所述第一行为特征数据中的任一特征数据与对应的目标指标的比对结果不符合对应的预设条件，则确定所述指定用户存在一次异常行为；

若确定所述指定用户存在至少一次异常行为，则获取所述指定用户的异常行为的次数，并检测是否获取到对所述指定用户的目标告警信息；

所述若获取到所述目标告警信息，则根据所述异常行为和所述目标告警信息，对所述指定用户进行告警，包括：

若获取到所述目标告警信息，则根据所述指定用户的异常行为的次数和所述目标告警信息，对所述指定用户进行告警。

5.如权利要求1至4任意一项所述的告警方法，其特征在于，所述若获取到所述目标告警信息，则根据所述异常行为和所述目标告警信息，对所述指定用户进行告警，包括：

若获取到所述目标告警信息，则根据所述异常行为和所述目标告警信息，确定所述指定用户所对应的告警等级；

根据所述告警等级，确定对所述指定用户的告警方式；

根据所述告警方式，对所述指定用户进行告警。

6.如权利要求5所述的告警方法，其特征在于，所述根据所述告警等级，确定对所述指定用户的告警方式，包括：

若所述告警等级为第一等级，则向所述指定用户发送关于所述异常行为和所述目标告警信息的告警信息；

若所述告警等级为第二等级，则断开所述指定用户的终端设备的网络连接。