一种互联网用户行为分析预警系统及方法

摘要

本发明所述的一种互联网用户行为分析预警系统及方法，数据包采集模块采集完整的网络数据包并存入数据存储服务器中，数据包挖掘模块对数据进行检索和过滤，将过滤得到的数据按不同的类别进行分类，确保分类数据的有效性。检索得到的分类数据与匹配模板所存储的预警条件进行匹配，并可分析用户使用互联网的行为，自动判断用户使用互联网行为的危害性。系统的匹配模板自动生成模块可实现人工结合机器智能更新模板数据库，降低人工成本的同时确保匹配模板的时效性，有别于传统的固定的计算方法来判断用户使用互联网的行为。将用户使用互联网的详细数据在所有类别下的匹配结果汇总反馈，可方便网络监控人员第一时间预警将要发生的网络危害。

说明书

技术领域

本发明涉及一种网络安全系统及方法。具体地说涉及一种互联网用户行 为分析预警系统及方法。

背景技术

随着互联网技术的不断发展，不良信息对社会的影响越来越大。网络工 具，随着QQ、微博等不断涌现使得信息的传递变得十分迅速，稍有不甚不 良信息如谣言便可大规模传播。如何规范引导用户正确上网，控制不良信息 的传播是网络管理者所要面对的核心问题。作为预防网络危害的主要手段是 对用户网络行为进行监控与分析。传统的网络监控行为通常有以下两种：一 种是通过数据包采集记录被监控的网民的上网信息，以把网民的上网行为进 行进一步区分，分析用户上网行为；另一种是通过设置关键词或通过用户举 报过滤不良网站，阻止用户访问。

中国专利文献CN102946319A公开了一种网络用户行为信息分析系统 及分析方法，用于该系统包括：网络用户行为数据获取模块、网络用户行为 数据预处理模块、网络用户行为数据存储服务器、网络用户行为数据存储服 务器、分析结果显示模块。该分析方法包括以下四个步骤：1.网络用户行为 数据获取模块通过基于应用层的网站程序(埋点程序)获取用户数据；2.通过 网络用户行为数据预处理模块对网站日志进行识别，筛选出用于用户行为信 息分析的用户行为数据；3.通过行为序列分析将提取的用户行为数据转换成 行为数据，并存储；4.通过网络用户行为数据分析模块运用系统设定的用户 行为模式挖掘方法对用户行为数据进行分析；5.将用户行为信息分析的结果 反馈在用户终端显示器界面。埋点程序是基于应用层的网站程序，能够采集 用户使用普通网站的信息，若用户通过其它通信软件比如QQ,进行互联网通 信时，则该埋点程序无法获取用户使用互联网的完整信息。因此可能遗漏一 些重要数据的采集、分析，造成采集的数据不够全面。另外，该专利文献公 开的网络用户行为信息分析系统及分析方法采用固定的支持度计算和相关 性分析对用户使用互联网行为数据进行挖掘，只能够挖掘已经总结过的已知 的用户行为，当用户出现新的行为时，上述专利文献公开的方案就需要通过 不断的软件和系统升级定义相应的新行为作为挖掘和分析的内容，因此，上 述专利文献公开的网络用户行为信息分析系统及分析方法的挖掘和分析均 具有滞后性，无法预警用户新的网络行为存在的潜在危害如减少该滞后则需 要提高更新的频率，这样使得成本大大提高。

发明内容

为此，本发明所要解决的技术问题在于现有技术中通过埋点程序无法获 取用户使用互联网的详细信息，以及通过固定的计算方法挖掘和分析用户行 为带来的无法兼顾低成本和同时解决滞后性，无法预警用户新的网络行为存 在的潜在危害。从而提出一种互联网用户行为分析预警系统及方法。

为解决上述技术问题，本发明采用的技术方案为：

一种互联网用户行为分析预警系统，包括以下模块：

数据包采集模块，采集被监控设备网络端口上所有的数据包，并将数据 包发送至数据存储服务器；

数据存储服务器，存储采集到的数据包；

数据包挖掘模块，检索所述数据存储服务器存储的数据包，过滤得到有 效的数据并按不同的类别进行分类，将得到的分类数据与匹配模板进行匹 配，并根据匹配程度确定用户行为安全等级；

匹配模板自动生成模块，按设定的分类类别生成匹配模板，在设定周期 内自动检索互联网中的热门信息并在过滤后作为预警条件存储，或人工添加 预警条件；

匹配结果反馈模块，反馈所述数据包挖掘模块的匹配结果。

所述数据包挖掘模块将过滤得到的有效数据按以下类别进行分类：

(1)网站链接，包括用户所访问网站的链接以及网站主要内容概要和标 签内容；

(2)用户身份，包括用户输入账户、密码信息；

(3)关键词，包括用户输入频率高的词语、短句。

所述匹配模板进一步包括以下三个匹配子模板：

(1)：特定网站分类子模板，将网站信息实时自动更新存储或人工添加 网站信息，将网站主要分为：色情网站、涉密网站、反动网站、诈骗网站、 暴力网站；

(2)：特定人群分类子模板，与相关安全部门的数据库相连，获取相关 特定人群的信息记录或人工添加特定人群的信息记录，将特定人群分为：在 逃犯人、嫌疑犯人、具有反动倾向的人、具有暴力倾向的人、具有自杀倾向 的人；

(3)：特定关键词子模板，设置筛选条件自动将互联网中高频率出现的 非法关键词或关键字，以及对所述非法关键词或关键字做智能逻辑组合和变 形后的词汇进行截留，得到符合条件的关键词并存储或人工添加特定的关键 词并存储。

所述数据包挖掘模块还包括以下三个子模块：

网络内容挖掘子模块，读取用户所访问网站的链接与所述特定网站分类 子模板存储的预警条件进行匹配并判断所访问网站的安全等级；根据用户输 入账户、密码信息确定用户身份，并将所述用户与所述特定人群分类子模板 存储的预警条件进行匹配并判断用户的安全等级；读取网站标签内容及检索 用户输入频率高的词语和短句，得到用户输入的关键词，将得到的关键词与 所述特定关键词子模板进行匹配并判断所输入的关键词的安全等级；

网络结构挖掘子模块，读取用户所访问网站的链接，通过所述特定网站 分类子模板存储的预警条件进行网站归类，判断用户所访问网站间的关系， 根据统计用户访问网站的类别，进行用户上网行为动机的归类；

网络用法挖掘子模块，通过用户访问网站的记录对上网用户进行分类。

所述匹配结果反馈模块中，匹配结果反馈将数据包挖掘匹配的结果以报 表方式进行反馈，并可根据需要设置以下报警方式：声音报警、短信报警、 邮件报警、操作界面弹窗。

一种互联网用户行为分析预警方法，包括以下步骤：

S1：数据包采集，采集被监控设备网络端口上所有的数据包；

S2：数据包存储，存储采集到的数据包；

S3：数据包挖掘，检索存储的数据包，过滤得到有效的数据并按不同的 类别进行分类，将得到的分类数据与匹配模板进行匹配，并根据匹配程度确 定用户行为安全等级；

S4：匹配模板自动生成，按设定的分类类别生成匹配模板，在设定周期 内自动检索互联网中热门信息过滤后作为预警条件存储，或人工添加预警条 件；

S5：匹配结果反馈，反馈匹配结果。

在步骤S4中，将过滤得到的有效数据按以下类别进行分类：

(1)网站链接，包括用户所访问网站的链接以及网站主要内容概要和标 签内容；

(2)用户身份，包括用户输入账户、密码信息；

(3)关键词，包括用户输入频率高的词语、短句。

所述匹配模板进一步包括以下三个匹配子模板：

(1)：特定网站分类子模板，将网站信息实时自动更新存储或人工添加 网站信息，将网站主要分为：色情网站、涉密网站、反动网站、诈骗网站、 暴力网站；

(2)：特定人群分类子模板，与相关安全部门的数据库相连，获取相关 特定人群的信息记录或人工添加特定人群的信息记录，将特定人群分为：在 逃犯人、嫌疑犯人、具有反动倾向的人、具有暴力倾向的人、具有自杀倾向 的人；

(3)：特定关键词子模板，设置筛选条件自动将互联网中高频率出现的 非法关键词或关键字，以及对所述非法关键词或关键字做智能逻辑组合和变 形后的词汇进行截留，得到符合条件的关键词并存储或人工添加特定的关键 词并存储。

在步骤S3中还包括以下三个步骤：

S31：网络内容挖掘，读取用户所访问网站的链接与所述特定网站分类 子模板存储的预警条件进行匹配并判断所访问网站的安全等级；根据用户输 入账户、密码信息确定用户身份，并将所述用户与所述特定人群分类子模板 存储的预警条件进行匹配并判断用户的安全等级；读取网站标签内容并检索 用户输入频率高的词语和短句，得到用户输入的关键词，将得到的关键词与 所述特定关键词子模板进行匹配并判断所输入的关键词的安全级别；

S32：网络结构挖掘，读取用户所访问网站的连接，通过所述特定网站 分类子模板存储的预警条件进行网站归类，判断用户所访问网站间的关系， 根据统计用户访问网站的类别，进行用户上网行为动机的归类；

S33：网络用法挖掘，通过用户访问网站的记录对所有上网用户进行分 类。

所述步骤S6中，匹配结果反馈将数据包挖掘匹配的结果以报表方式进 行反馈，并可根据需要设置以下报警方式：声音报警、短信报警、邮件报警、 操作界面弹窗。

本发明的上述技术方案相比现有技术具有以下优点：

1.本发明所述的一种互联网用户行为分析预警系统，数据包采集模块采 集完整的网络数据包并存入数据存储服务器中，数据包挖掘模块对数据存储 服务器中的海量数据进行检索和过滤，将过滤得到的数据按不同的类别进行 分类，确保分类数据的有效性。检索得到的分类数据与匹配模板所存储的预 警条件进行匹配，并可分析用户使用互联网的行为，自动判断用户使用互联 网行为的危害性。系统的匹配模板自动生成模块可实现人工结合机器智能更 新模板数据库，降低人工成本的同时确保匹配模板的时效性。将用户使用互 联网的详细数据在所有类别下的匹配结果汇总反馈，可方便网络监控人员第 一时间预警将要发生的网络危害。

2.本发明所述的一种互联网用户行为分析预警系统，数据包挖掘模块将 用户使用互联网的详细数据按以下类别进行分类：(1)网站链接，包括用户 所访问网站的链接以及网站主要内容概要，可记录用户所有访问网站的地址 记录，通过记录网站主要内容概要可判断出网站类型；(2)用户身份，通过 用户输入账户、密码信息可确认用户身份，方便系统或监控人员识别用户； (3)关键词，通过记录用户输入频率高的词语、短句可以方便系统进行检索、 分析出用户潜在行为。

3.本发明所述的一种互联网用户行为分析预警系统的模板数据库进一 步包括以下匹配子模板：(1)特定网站分类子模板，用于记录不同的网站链 接，并可实时更新数据，确保数据的及时性；(2)特定人群分类子模板，可 与外部数据库相连接，获取相关特定人群的信息记录，可将特定人群分为不 同的类型，使分类更加齐全；(3)特定关键词子模板，存储有指定的词汇， 并可设置筛选条件，自动将互联网中高频出现的热门词汇进行过滤，得到符 合条件的关键词并存储。模板数据库的匹配子模板数据可自动更新，使得匹 配子模板数据能及时自动更新，避免因系统模板因模板陈旧导致新的潜在风 险得不到预防。

4.本发明所述的一种互联网用户行为分析预警系统的数据包挖掘模块 进一步包括以下子模块：(1)网络内容挖掘子模块，用于将用户输入的网络 链接与所述的特定网站分类子模板存储的预警条件进行匹配，并得到访问网 站的安全等级，可自动监控并记录用户每次访问网站的安全等级；根据用户 输入的账号密码得出的用户的身份信息，将得到的身份信息与所述特定人群 分类子模板进行匹配得到用户身份安全等级，可使系统自动识别用户身份。 根据用户所访问网站的网站标签内容及数据结构的文本得到用户所输入的 词汇，并与所述特定关键词子模板进行匹配，并得到所输入词语的安全等级， 系统可详细记录用户具体输入的词语。(2)网络结构挖掘模块，读取用户所 访问网站的链接，通过所述特定网站分类子模板存储的预警条件进行网站归 类，可了解用户所访问网站的类别。从而可以对用户上网行为动机的归类。 (3)网络用法挖掘子模块，通过用户在使用互联网过程中的访问记录，对上 网用户进行分类，方便后台监控人员查阅。

5.本发明所述的一种互联网用户行为分析预警系统的结果反馈模块可 将匹配结果以报表的方式详细反馈，并可根据需要设置多种报警方式方便提 醒后台监控人员及时发现网络危险情形。

6.本发明所述的一种互联网用户行为分析预警方法，采集模块采集完整 的网络数据包并存储，对存储的数据包的进行检索和过滤，将过滤得到的数 据按不同的类别进行分类，确保分类数据的有效性。检索得到的分类数据与 匹配模板所存储的预警条件进行匹配，并可分析用户使用互联网的行为，可 自动判断用户使用互联网行为的危害性。系统的匹配模板自动生成模块可实 现人工结合机器智能更新模板数据库，降低人工成本的同时确保匹配模板的 时效性。将用户使用互联网的详细数据在所有类别下的匹配结果反馈，可方 便网络监控人员第一时间预警将要发生的网络危害。

7.本发明所述的一种互联网用户行为分析预警方法，数据分类的步骤 中将用户使用互联网的详细数据按以下类别进行分类：(1)网站链接，包括 用户所访问网站的链接以及网站主要内容概要，可记录用户所有访问网站的 地址记录，通过记录网站主要内容概要可判断出网站类型；(2)用户身份， 通过用户输入账户、密码信息可确认用户身份，方便系统或监控人员识别用 户；(3)关键词，通过记录用户输入频率高的词语、短句可以方便系统进行 检索、分析出用户潜在行为。

8.本发明所述的一种互联网用户行为分析预警方法的生成匹配模板的 步骤进一步包括以下匹配子模板：(1)特定网站分类子模板，用于记录不同 的网站链接，并可实时更新数据，确保数据的及时性；(2)特定人群分类子 模板，可与外部数据库相连接，获取相关特定人群的信息记录，可将特定人 群分为不同的类型，使分类更加齐全；(3)特定关键词子模板，存储有指定 的词汇，并可设置筛选条件，自动将互联网中高频出现的热门词汇进行过滤， 得到符合条件的关键词并存储。匹配子模板数据可自动更新，使得匹配子模 板数据能及时自动更新，避免因系统模板因模板陈旧导致新的潜在风险得不 到预防。

9.本发明所述的一种互联网用户行为分析预警方法的数据包挖掘步骤 进一步包括以下步骤：(1)网络内容挖掘子，用于将用户输入的网络链接与 所述的特定网站分类子模板存储的预警条件进行匹配，并得到访问网站的安 全等级，可自动监控并记录用户每次访问网站的安全等级；根据用户输入的 账号密码得出的用户的身份信息，将得到的身份信息与所述特定人群分类子 模板进行匹配得到用户身份安全等级，可使系统自动识别用户身份。根据用 户所访问网站的网站标签内容及数据结构的文本得到用户所输入的词汇，并 与所述特定关键词子模板进行匹配，并得到所输入词语的安全等级，系统可 详细记录用户具体输入的词语。(2)网络结构挖掘，读取用户所访问网站的 链接，通过所述特定网站分类子模板存储的预警条件进行网站归类，可了解 用户所访问网站的类别。从而可以对用户上网行为动机的归类。(3)网络用 法挖掘子，通过用户在使用互联网过程中的访问记录，对上网用户进行分类， 方便后台监控人员查阅。

10.本发明所述的一种互联网用户行为分析预警方法的结果反馈步骤可 将匹配结果以报表的方式详细反馈，并可根据需要设置多种报警方式方便提 醒后台监控人员及时发现网络危险情形。

附图说明

为了使本发明的内容更容易被清楚的理解，下面根据本发明的具体实施 例并结合附图，对本发明作进一步详细的说明，其中

图1是本发明一个实施例的一种互联网用户行为分析预警系统的结构 框图；

图2是本发明一个实施例的一种互联网用户行为分析预警方法的流程 图。

图中附图标记表示为：1-数据包采集模块；2-数据存储服务器；3-数据 包挖掘模块；4-匹配模板自动生成模块；5-结果反馈模块。

具体实施方式

实施例1

参见图1所示，为本发明一个实施例的一种互联网用户行为分析预警系 统，包括以下模块：

数据包采集模块1：采集被监控设备网络端口上所有的数据包，并将数 据包发送至数据存储服务器2。具体过程为：所述数据包采集模块1通过被 监控设备的网卡驱动层基于Libpcap（数据包捕获函数库）进行数据包采集， 可采集到如QQ聊天记录、飞信、微信、微博、通过代理服务器登入的网站 等数据，并将复制的数据包发送至数据存储服务器2。

数据存储服务器2，存储采集到的数据包；数据存储服务器2可以是常 规的服务器设备。数据存储服务器2可在设定周期到达后，自动删除数据存 储服务器2中存储的历史数据。

数据包挖掘模块3：首先将数据存储服务器2中存储的数据包，进行解 析，每一个数据包都带有一个序列号和应答号，数据包挖掘模块3将数据包 的序列号和应答号进行拼接，从而还原一个完整的数据即得到用户使用互联 网的详细数据。并对获取的详细数据进行检索，过滤得到有效的数据并按不 同的类别进行分类；过滤的条件可以是：过滤无有效内容的数据包。将得到 的分类数据与匹配模板自动生成模块4中匹配模板中存储的预警条件进行 匹配，并根据匹配程度确定用户行为安全等级。例如所述互联网用户行为分 析系统（简称系统）通过检索用户输入关键词，采集用户输入关键词（例如 可选取30个关键词），关键词类别下设置有关键词匹配模板，系统自动检索 互联网信息，在关键词匹配模板生成关键词数据。关键词匹配模板存储有涉 及反动、暴力、色情等敏感词汇。将用户输入的关键词（30个）与关键词 的匹配模板内存储的关键词进行匹配。计算关键词匹配百分比（用户输入的 关键词与关键词匹配模板匹配的词数/用户输入关键词数），根据匹配百分比 判断用户危险等级，若用户输入的关键词中有24个与关键词的匹配模板内 存储的关键词匹配，则该用户的关键词匹配百分比为：24/30=80%,属于极度 危险等级。也可根据需要通过管理员设置相应的关键词风险等级，例如发现 用户输入“藏独”、“法轮功”、“疆独”等关键词，将用户行为划分为严重风 险级别。所述数据包挖掘模块3对匹配结果进行记录。还例如数据包挖掘模 块3通过统计用户访问的网站的链接，通过相应的网站链接匹配模板的网站 类型的匹配可分析用户上网行为的动机。

匹配模板自动生成模块4：按设定的分类类别生成匹配模板，在设定周 期内自动检索互联网中的热门信息并在过滤后作为预警条件存储，或人工添 加预警条件。可以设置网站链接匹配子模板、用户账户匹配子模板、关键词 匹配子模板等子模板，用于设置该类别下的用户使用互联网的数据的预警条 件。

匹配结果反馈模块5：反馈所述数据包挖掘模块的匹配结果。

本发明所述的一种互联网用户行为分析预警系统，数据包采集模块1采 集完整的网络数据包并存入数据存储服务器2中，数据包挖掘模块3对数据 存储服务器2中的海量数据进行检索和过滤，将过滤得到的数据按不同的类 别进行分类，确保分类数据的有效性。检索得到的分类数据与匹配模板所存 储的预警条件进行匹配，并可分析用户使用互联网的行为，可自动判断用户 使用互联网行为的危害性。系统的匹配模板自动生成模块可实现人工结合机 器智能更新模板数据库，降低人工成本的同时确保匹配模板的时效性。将用 户使用互联网的详细数据在所有类别下的匹配结果反馈，可方便网络监控人 员第一时间预警将要发生的网络危害。

实施例2

作为本发明的一个实施例，在上述实施例1的基础上，所述的一种互联 网用户行为分析预警系统中的数据包挖掘模块3将过滤得到的有效数据按 以下类别进行分类：

(1)网站链接，包括用户所访问网站的链接以及网站主要内容概要和标 签内容（也可以是网站主要标题）。

(2)用户身份，包括用户输入账户、密码信息。

(3)关键词，包括用户输入频率高的词语、短句（通过信息检索，记录 用户输入频率高的词语、短句）。

也可根据需要设置其它的类别，同样可实现本发明的目的。

本发明所述的一种互联网用户行为分析预警系统，数据包挖掘模块3将 用户使用互联网的详细数据按以上类别进行分类，通过记录用户输入频率高 的词语、短句可以方便系统进行检索、分析出用户潜在行为。

实施例3

作为本发明的一个实施例，在上述实施例1或2的基础上，所述匹配模 板进一步包括以下三个匹配子模板：

(1)：特定网站分类子模板，将网站信息实时自动更新存储或人工添加 网站信息，将网站主要分为：色情网站、涉密网站、反动网站、诈骗网站、 暴力网站。

(2)：特定人群分类子模板，与相关安全部门的数据库相连，获取相关 特定人群的信息记录或人工添加特定人群的信息记录，将特定人群分为：在 逃犯人、嫌疑犯人、具有反动倾向的人、具有暴力倾向的人、具有自杀倾向 的人。

(3)：特定关键词子模板，设置筛选条件自动将互联网中高频率出现的 非法关键词或关键字，以及对所述非法关键词或关键字做智能逻辑组合和变 形后的词汇进行截留，得到符合条件的关键词并存储。特定关键词子模板可 智能分析抓取互联网中的敏感关键字，采用模板对比模式（可根据需要设置 对应的模板，如关键字死、杀、砍或拼音“sha、kan”等）对比关键字前后 内容，支持模糊识别，分析该关键词是否处于非法状态，比如可将读音与常 见非法词语一样的词语定性为潜在非法关键词以及对所述非法关键词或关 键字做智能逻辑组合和变形后的词汇进行截留，得到符合条件的关键词并存 储。也可通过人工添加特定的关键词并存储。

也可根据需要设置其它类别的子模板，同样可实现本发明的目的。

本发明所述的一种互联网用户行为分析预警系统的模板数据库进一步 包括以上匹配子模板，模板数据库的匹配子模板数据可自动更新，使得匹配 子模板数据能及时自动更新，避免因系统模板因模板陈旧导致新的潜在风险 得不到预防。

实施例4

作为本发明的一个实施例，在上述实施例3的基础上，所述数据包挖掘 模块3还包括以下三个子模块：

网络内容挖掘子模块，读取用户所访问网站的链接与所述特定网站分类 子模板存储的预警条件进行匹配并判断所访问网站的安全等级。网站的安全 级别也可由管理员进行设置，每种风险级别对应的风险等级不同。根据用户 输入账户、密码信息确定用户身份，并将所述用户与所述特定人群分类子模 板存储的预警条件进行匹配并判断用户的安全等级。读取网站标签内容及检 索用户输入频率高的词语和短句，得到用户输入的关键词，将得到的关键词 与所述特定关键词子模板进行匹配并判断所输入的关键词的安全等级。

网络结构挖掘子模块，读取用户所访问网站的链接，通过所述特定网站 分类子模板存储的预警条件进行网站归类，判断用户所访问网站间的关系 （如从属、包含、类似等），根据统计用户访问网站的类别，进行用户上网 行为动机的归类。

网络用法挖掘子模块，通过用户访问网站的记录（比如使用代理服务器 的记录，使用网络交易的记录、使用通信软件的记录及详细内容）对用户进 行分类。

本发明所述的一种互联网用户行为分析预警系统的数据包挖掘模块3 进一步包括以上子模块，通过用户在使用互联网过程中的访问记录，对上网 用户进行分类，方便后台监控人员查阅。

实施例5

作为本发明的一个实施例，在上述1-4任一实施例的基础上，所述匹配 结果反馈模块5中，匹配结果反馈将数据包挖掘模块匹配结果以报表方式进 行反馈，并可根据需要设置以下报警方式：声音报警、短信报警、邮件报警、 操作界面弹窗。也可根据需要设置其它反馈和报警形式，同样可实现本发明 的目的。

本发明所述的一种互联网用户行为分析预警系统的结果反馈模块可将 匹配结果以报表的方式详细反馈，并可根据需要设置多种报警方式方便提醒 后台监控人员及时发现网络危险情形。

实施例6

参加图2所示，为本发明一个实施例的一种互联网用户行为分析预警方 法，包括以下步骤：

S1：数据包采集，采集被监控设备网络端口上所有的数据包。具体过程 为：通过被监控设备的网卡驱动层基于Libpcap（数据包捕获函数库）进行 数据包采集，可采集到如QQ聊天记录、飞信、微信、微博、通过代理服务 器登入的网站等数据。

S2：数据包存储，存储采集到的数据包。可根据需要设置在规定周期内 自动删除存储的历史数据。

S3：数据包挖掘，由于每一个数据包都带有一个序列号和应答号，首先 需对数据包的序列号和应答号进行拼接，得到用户使用互联网的详细数据。 检索详细数据，过滤得到有效的数据并按不同的类别进行分类；过滤的条件 可以是：过滤无有效内容的数据包。将得到的分类数据与匹配模板进行匹配， 并根据匹配程度确定用户行为安全等级。例如所述互联网用户行为分析系统 （简称系统）通过检索用户输入关键词，采集用户输入关键词（例如可选取 30个关键词），关键词类别下设置有关键词匹配模板，系统自动检索互联网 信息，在关键词匹配模板生成关键词数据。关键词匹配模板存储有涉及反动、 暴力、色情等敏感词汇。将用户输入的关键词（30个）与关键词的匹配模 板内存储的关键词进行匹配。计算关键词匹配百分比（用户输入的关键词与 关键词匹配模板匹配的词数/用户输入关键词数），根据匹配百分比判断用户 危险等级，若用户输入的关键词中有24个与关键词的匹配模板内存储的关 键词匹配，则该用户的关键词匹配百分比为：24/30=80%，属于极度危险等 级。也可根据需要通过管理员设置相应的关键词风险等级，例如发现用户输 入“藏独”、“法轮功”、“疆独”等关键词，将用户行为划分为严重风险级别。 还例如通过统计用户访问的网站的链接，通过相应的网站链接匹配模板的网 站类型的匹配可分析用户上网行为的动机。

S4：匹配模板自动生成，按设定的分类类别生成匹配模板，在设定周期 内自动检索互联网中热门信息过滤后作为预警条件存储，或人工添加预警条 件。

S5：匹配结果反馈，反馈匹配结果。

本发明所述的一种互联网用户行为分析预警方法，采集模块采集完整的 网络数据包并存储，对存储的数据包的进行检索和过滤，将过滤得到的数据 按不同的类别进行分类，确保分类数据的有效性。检索得到的分类数据与匹 配模板所存储的预警条件进行匹配，并可分析用户使用互联网的行为，可自 动判断用户使用互联网行为的危害性。系统的匹配模板自动生成模块可实现 人工结合机器智能更新模板数据库，降低人工成本的同时确保匹配模板的时 效性。将用户使用互联网的详细数据在所有类别下的匹配结果反馈，可方便 网络监控人员第一时间预警将要发生的网络危害。

实施例7

作为本发明的一个实施例，在上述实施例6的基础上，在所述步骤S4 中，将过滤得到的有效数据按以下类别进行分类：

(1)网站链接，包括用户所访问网站的链接以及网站主要内容概要和标 签内容（也可以是网站主要标题）；

(2)用户身份，包括用户输入账户、密码信息；

(3)关键词，包括用户输入频率高的词语、短句（通过信息检索，记录 用户输入频率高的词语、短句）。

也可根据需要设置其它的类别，同样可实现本发明的目的。

本发明所述的一种互联网用户行为分析预警方法，数据分类的步骤中将 用户使用互联网的详细数据按上述类别进行分类，可以方便系统进行检索、 分析出用户潜在行为。

实施例8

作为本发明的一个实施例，在上述实施例6或7的基础上，所述匹配模 板进一步包括以下三个匹配子模板：

(1)：特定网站分类子模板，将网站信息实时自动更新存储或人工添加 网站信息，将网站主要分为：色情网站、涉密网站、反动网站、诈骗网站、 暴力网站。

(2)：特定人群分类子模板，与相关安全部门的数据库相连，获取相关 特定人群的信息记录或人工添加特定人群的信息记录，将特定人群分为：在 逃犯人、嫌疑犯人、具有反动倾向的人、具有暴力倾向的人、具有自杀倾向 的人。

(3)：特定关键词子模板，设置筛选条件自动将互联网中高频率出现的 非法关键词或关键字，以及对所述非法关键词或关键字做智能逻辑组合和变 形后的词汇进行截留，得到符合条件的关键词并存储。特定关键词子模板可 智能分析抓取互联网中的敏感关键字，采用模板对比模式（可根据需要设置 对应的模板，如关键字死、杀、砍或拼音“sha、kan”等）对比关键字前后 内容，支持模糊识别，分析该关键词是否处于非法状态，比如可将读音与常 见非法词语一样的词语定性为潜在非法关键词以及对所述非法关键词或关 键字做智能逻辑组合和变形后的词汇进行截留，得到符合条件的关键词并存 储。也可人工添加特定的关键词并存储。

也可根据需要设置其它类别的子模板，同样可实现本发明的目的。

本发明所述的一种互联网用户行为分析预警方法的生成匹配模板的步 骤进一步包括以上三种匹配子模板，所述匹配子模板数据可自动更新，使得 匹配子模板数据能及时自动更新，避免因系统模板因模板陈旧导致新的潜在 风险得不到预防。

实施例9

作为本发明的一个实施例，在上述实施例8的基础上，所述步骤S3中 还包括以下三个步骤：

S31：网络内容挖掘，读取用户所访问网站的链接与所述特定网站分类 子模板存储的预警条件进行匹配并判断所访问网站的安全等级。网站的安全 级别也可由管理员进行设置，每种风险级别对应的风险等级不同。根据用户 输入账户、密码信息确定用户身份，并将所述用户与所述特定人群分类子模 板存储的预警条件进行匹配并判断用户的安全等级。读取网站标签内容并检 索用户输入频率高的词语和短句，得到用户输入的关键词，将得到的关键词 与所述特定关键词子模板进行匹配并判断所输入的关键词的安全级别。

S32：网络结构挖掘，读取用户所访问网站的连接，通过所述特定网站 分类子模板存储的预警条件进行网站归类，判断用户所访问网站间的关系 （如从属、包含、类似等），根据统计用户访问网站的类别，进行用户上网 行为动机的归类。

S33：网络用法挖掘，通过用户访问网站的记录（如使用代理服务器的 记录，使用网络交易的记录、使用通信软件的记录及详细内容）对用户进行 分类。

本发明所述的一种互联网用户行为分析预警方法的数据包挖掘步骤进 一步包括以上步骤，通过用户在使用互联网过程中的访问记录，对上网用户 进行分类，方便后台监控人员查阅。

实施例10

作为本发明的一个实施例，在上述6-9任一实施例的基础上，所述步骤 S5中，匹配结果反馈将数据包挖掘匹配的结果以报表方式进行反馈，并可 根据需要设置以下报警方式：声音报警、短信报警、邮件报警、操作界面弹 窗。也可根据需要设置其它反馈和报警形式，同样可实现本发明的目的。

本发明所述的一种互联网用户行为分析预警方法的结果反馈步骤可将 匹配结果以报表的方式详细反馈，并可根据需要设置多种报警方式方便提醒 后台监控人员及时发现网络危险情形。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式 的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做 出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷 举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围 之中。