云计算办公业务操作行为检测方法及存储介质

摘要

本申请涉及云计算和云办公技术领域，具体而言，涉及云计算办公业务操作行为检测方法及存储介质，通过操作热度校正和操作轨迹校正使得校正操作行为数据在确保操作热度准确性和操作轨迹实时性的同时，保持操作行为数据的原始操作习惯特征，且提升了校正操作行为数据的行为还原度。此外，上述的操作行为数据校正过程所需要的资源开销较少，计算量较低，便于将上述方案易用到不同的设备端，并且能满足操作行为数据校正的实时性需求。另外，上述技术方案能够应用在不同的云办公业务场景下，具有较广的适用范围。

说明书

技术领域

本申请实施例涉及云计算和云办公技术领域，具体涉及一种云计算办公业务操作行为检测方法及存储介质。

背景技术

随着科技的发展和全球一体化趋势的不断加快，传统的线下办公模式已经难以满足现目前的办公需求，云办公模式应运而生。

云办公（Cloud office）是指把传统的办公软件以瘦客户端（Thin Client）或智能客户端（Smart Client）的形式运行在网络浏览器中，从而达到轻量化目的。随着云办公技术的不断发展，现今世界顶级的云办公应用，不但对传统办公文档格式具有很强的兼容性，更展现了前所未有的特性。这样可以最大程度上地满足不同办公用户的需求。

在实际的云办公应用过程中，需要对用户的办公操作行为进行分析以实现相关办公软件或者功能的升级优化，但是相关的办公操作行为分析技术存在分析效率低下的技术问题。

发明内容

有鉴于此，本申请实施例提供了一种云计算办公业务操作行为检测方法及存储介质。

本申请实施例提供了一种云计算办公业务操作行为检测方法，应用于云计算服务器，所述方法包括：

获取目标云办公业务场景下的办公操作行为数据的显性操作行为数据以及潜在操作行为数据；

分别对所述显性操作行为数据以及潜在操作行为数据进行操作事件优化，得到第一显性操作行为数据以及第一潜在操作行为数据；

根据设定校正策略，对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息以及目标轨迹变化描述信息；

根据每个所述操作事件状态的目标操作热度信息、目标轨迹变化描述信息，得到校正操作行为数据。

优选的，所述分别对所述显性操作行为数据以及潜在操作行为数据进行操作事件优化，得到第一显性操作行为数据以及第一潜在操作行为数据的步骤，包括：

对所述显性操作行为数据进行行为数据扩展处理，得到第一显性操作行为数据；

对所述潜在操作行为数据进行行为标记处理，得到第一潜在操作行为数据。

优选的，所述根据设定校正策略，对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息以及目标轨迹变化描述信息的步骤，包括：

对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息；

将操作热度更新频率映射到轨迹变化描述空间，得到每个所述操作事件状态的目标轨迹变化描述信息；其中，所述操作热度更新频率为所述目标操作热度信息与所述操作事件状态在所述第一显性操作行为数据中的初始操作热度信息之间的比对结果。

优选的，所述对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息的步骤，包括：

针对每个所述操作事件状态，确定所述操作事件状态在所述第一显性操作行为数据中的第一操作热度校正指数，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作热度校正指数；其中，操作热度校正指数用于修改操作事件状态在操作热度校正时的操作热度；

确定所述操作事件状态在所述第一显性操作行为数据中的第一操作轨迹校正指数，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作轨迹校正指数；其中，操作轨迹校正指数于修改操作事件状态在操作轨迹校正时的操作热度；

根据所述第一操作热度校正指数、第二操作热度校正指数、第一操作轨迹校正指数以及第二操作轨迹校正指数，对所述操作事件状态进行操作热度校正以及操作轨迹校正，得到操作事件状态的目标操作热度信息。

优选的，所述确定所述操作事件状态在所述第一显性操作行为数据中的第一操作热度校正指数，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作热度校正指数的步骤，包括：

获取所述操作事件状态在所述第一显性操作行为数据中的第一操作热度信息，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作热度信息；

将所述第一操作热度信息、第二操作热度信息输入至设定的操作热度指数确定线程，得到所述第一操作热度信息的第一操作热度校正指数以及所述第二操作热度信息的第二操作热度校正指数。

优选的，所述确定所述操作事件状态在所述第一显性操作行为数据中的第一操作轨迹校正指数，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作轨迹校正指数的步骤，包括：

对所述操作事件状态进行关联处理，获取所述操作事件状态的关联操作事件在所述第一潜在操作行为数据中的第一潜在操作热度信息，以及所述关联操作事件在所述第一显性操作行为数据中的第一显性操作热度信息；

将所述第一显性操作热度信息、第一潜在操作热度信息输入至设定的操作轨迹校正指数确定线程，确定所述操作事件状态的第一操作轨迹校正指数以及所述操作事件状态的第二操作轨迹校正指数。

优选的，所述根据所述第一操作热度校正指数、第二操作热度校正指数、第一操作轨迹校正指数以及第二操作轨迹校正指数，对所述操作事件状态进行操作热度校正以及操作轨迹校正，得到操作事件状态的目标操作热度信息的步骤，包括：

对所述第一显性操作行为数据以及第一潜在操作行为数据分别进行行为轨迹识别处理，得到所述第一显性操作行为数据的第一操作轨迹数据，以及所述第一潜在操作行为数据的第二操作轨迹数据；

获取所述操作事件状态在第一操作轨迹数据中的第一操作轨迹分布，以及所述操作事件状态在第二操作轨迹数据中的第二操作轨迹分布；

将所述第一操作热度校正指数、第二操作热度校正指数、第一操作轨迹校正指数以及第二操作轨迹校正指数进行处理，得到操作事件状态的初始目标操作热度信息；

对所述初始目标操作热度信息进行业务场景映射，得到目标操作热度信息。

优选的，所述对所述第一显性操作行为数据以及第一潜在操作行为数据分别进行行为轨迹识别处理，得到所述第一显性操作行为数据的第一操作轨迹数据，以及所述第一潜在操作行为数据的第二操作轨迹数据的步骤，包括：

对初始操作行为数据的初始操作热度信息进行动态线性平滑处理，得到平滑操作行为数据，确定每个操作事件状态在所述平滑操作行为数据中的线性操作热度信息；其中，所述初始操作行为数据为所述第一显性操作行为数据或第一潜在操作行为数据；

针对每个操作事件状态，根据所述初始操作热度信息与所述线性操作热度信息的差异信息得到操作轨迹分布；

对所述初始操作行为数据进行动态全局平滑处理，得到映射操作行为数据，确定每个操作事件状态在所述映射操作行为数据中的全局操作热度信息；

根据操作热度信息与操作轨迹分布之间的第一匹配情况，确定与所述全局操作热度信息对应的初始操作轨迹分布；其中，所述第一匹配情况中，每个操作轨迹分布对应一不间断量化区间的操作热度信息；

确定与所述初始操作轨迹分布对应的操作轨迹分布；其中，若所述初始操作轨迹分布小于设定分布量化值，则所述操作轨迹分布为零；否则，所述操作轨迹分布与所述初始操作轨迹分布相同；

通过设定加权权重，对所述操作轨迹分布进行加权，得到加权后的操作轨迹分布。

优选的，所述云计算服务器与所述目标云办公业务场景下的多个入侵检测网关通信连接，所述方法还包括：

在根据校正操作行为数据确定出存在入侵检测优化需求时，获得第一入侵检测网关传入的第一入侵检测日志；所述第一入侵检测网关为目标云办公业务场景对应的多组入侵检测网关中的其中一组入侵检测网关，所述目标云办公业务场景对应的多组入侵检测网关用于对目标云办公业务场景进行入侵行为事件数记录；

在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将所述第一入侵检测日志迁移至过渡日志存留空间；其中，所述第二入侵检测网关为所述目标云办公业务场景对应的所有入侵检测网关中未完成优化的入侵检测网关；

根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标云办公业务场景对应的真实入侵检测日志。

本申请实施例还提供了一种计算机用可读存储介质，所述可读存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。

相较于现有技术，本申请实施例提供的云计算办公业务操作行为检测方法及存储介质具有以下技术效果：获取目标云办公业务场景下的办公操作行为数据的显性操作行为数据以及潜在操作行为数据后，分别对所述显性操作行为数据以及潜在操作行为数据进行操作事件优化，得到第一显性操作行为数据以及第一潜在操作行为数据；然后根据设定校正策略，对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息以及目标轨迹变化描述信息；根据每个所述操作事件状态的目标操作热度信息、目标轨迹变化描述信息，得到校正操作行为数据。通过操作热度校正和操作轨迹校正使得校正操作行为数据在确保操作热度准确性和操作轨迹实时性的同时，保持操作行为数据的原始操作习惯特征，且提升了校正操作行为数据的行为还原度。此外，上述的操作行为数据校正过程所需要的资源开销较少，计算量较低，便于将上述方案易用到不同的设备端，并且能满足操作行为数据校正的实时性需求。另外，上述技术方案能够应用在不同的云办公业务场景下，具有较广的适用范围。

在后面的描述中，将部分地陈述其他的特征。在检查后面内容和附图时，本领域的技术人员将部分地发现这些特征，或者可以通过生产或运用了解到这些特征。通过实践或使用后面所述详细示例中列出的方法、工具和组合的各个方面，当前申请中的特征可以被实现和获得。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本申请的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本申请实施例所提供的一种云计算服务器的方框示意图。

图2为本申请实施例所提供的一种云计算办公业务操作行为检测方法的流程图。

图3为本申请实施例所提供的一种云计算办公业务操作行为检测装置的框图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例只是本申请的一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

图1示出了本申请实施例所提供的一种云计算服务器10的方框示意图。本申请实施例中的云计算服务器10可以为具有数据存储、传输、处理功能的服务端，如图1所示，云计算服务器10包括：存储器11、处理器12、通信总线13和云计算办公业务操作行为检测装置20。

存储器11、处理器12和通信总线13之间直接或间接地电性连接，以实现数据的传输或交互。例如，这些元件互相之间可以通过一条或多条通讯总线或信号线实现电性连接。存储器11中存储有云计算办公业务操作行为检测装置20，所述云计算办公业务操作行为检测装置20包括至少一个可以软件或固件（firmware）的形式储存于所述存储器11中的软件功能模块，所述处理器12通过运行存储在存储器11内的软件程序以及模块，例如本申请实施例中的云计算办公业务操作行为检测装置20，从而执行各种功能应用以及数据处理，即实现本申请实施例中的云计算办公业务操作行为检测方法。

其中，所述存储器11可以是，但不限于，随机存取存储器（Random Access Memory，RAM），只读存储器（Read Only Memory，ROM），可编程只读存储器（Programmable Read-OnlyMemory，PROM），可擦除只读存储器（Erasable Programmable Read-Only Memory，EPROM），电可擦除只读存储器（Electric Erasable Programmable Read-Only Memory，EEPROM）等。其中，存储器11用于存储程序，所述处理器12在接收到执行指令后，执行所述程序。

所述处理器12可能是一种集成电路芯片，具有数据的处理能力。上述的处理器12可以是通用处理器，包括中央处理器 (Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等。可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

通信总线13用于通过网络建立云计算服务器10与其他通信终端设备之间的通信连接，实现网络信号及数据的收发操作。上述网络信号可包括无线信号或者有线信号。

可以理解，图1所示的结构仅为示意，云计算服务器10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。图1中所示的各组件可以采用硬件、软件或其组合实现。

本申请实施例还提供了一种计算机用可读存储介质，所述可读存储介质存储有计算机程序，所述计算机程序在运行时实现上述的方法。

图2示出了本申请实施例所提供的一种云计算办公业务操作行为检测的流程图。所述方法有关的流程所定义的方法步骤应用于云计算服务器10，可以由所述处理器12实现，所述方法包括以下Step100-Step400。

Step100、云计算服务器获取目标云办公业务场景下的办公操作行为数据的显性操作行为数据以及潜在操作行为数据。

本申请实施例中，目标云办公业务场景可以是本地企业办公场景、或者跨境办公场景等。显性操作行为数据可以理解为有效的、没有撤回的操作行为数据，潜在操作行为数据可以理解为无效的、存在撤回的操作行为数据。此外，显性操作行为数据还可以理解为实时的操作行为数据，潜在操作行为数据还可以理解为延时的操作行为数据。当然，显性操作行为数据以及潜在操作行为数据还可以根据实际的办公场景赋予其他定义，本申请实施例不一一穷举。

在实际实施过程中，可以通过常规的分类器模型对办公操作行为数据进行分类以得到显性操作行为数据和潜在操作行为数据。

Step200、云计算服务器分别对所述显性操作行为数据以及潜在操作行为数据进行操作事件优化，得到第一显性操作行为数据以及第一潜在操作行为数据。

在本申请实施例中，通过进行操作事件优化，能够确保操作行为数据的完整性和区分度。

在一些可能的实施例中，Step200所描述的分别对所述显性操作行为数据以及潜在操作行为数据进行操作事件优化，得到第一显性操作行为数据以及第一潜在操作行为数据，可以包括以下Step210和Step220所描述的技术方案。

Step210、对所述显性操作行为数据进行行为数据扩展处理，得到第一显性操作行为数据。

例如，数据扩展可以采用插值算法实现，以确保操作行为数据的完整度。

Step220、对所述潜在操作行为数据进行行为标记处理，得到第一潜在操作行为数据。

例如，行为标记可以提高操作行为数据的区分度。

Step300、云计算服务器根据设定校正策略，对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息以及目标轨迹变化描述信息。

例如，设定校正策略可以是根据实际需求制定的数据校正规则，操作热度可以理解为操作行为的受关注程度或者操作行为的响应频率等，操作轨迹可以是图形化的数据信息，用于表征不同操作行为之间的关联关系，比如可以通过图数据或者拓扑进行表达。进一步地，目标操作热度信息可以是校正后的操作热度信息，目标轨迹变化描述信息可以用于表征操作轨迹的变化情况，比如可以数值进行表示。

在一些可能的实施例中，Step300所描述的根据设定校正策略，对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息以及目标轨迹变化描述信息的步骤，可以包括以下Step310和Step320所描述的技术方案。

Step310、对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息。

在相关实施例中，Step310所描述的对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息的步骤，可以包括Step311-Step313。

Step311、针对每个所述操作事件状态，确定所述操作事件状态在所述第一显性操作行为数据中的第一操作热度校正指数，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作热度校正指数；其中，操作热度校正指数用于修改操作事件状态在操作热度校正时的操作热度。

例如，操作热度校正指数可以是热度操作校正权重。

进一步地，Step311所描述的确定所述操作事件状态在所述第一显性操作行为数据中的第一操作热度校正指数，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作热度校正指数的步骤，可以包括Step3111和Step3112。

Step3111、获取所述操作事件状态在所述第一显性操作行为数据中的第一操作热度信息，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作热度信息。

Step3112、将所述第一操作热度信息、第二操作热度信息输入至设定的操作热度指数确定线程，得到所述第一操作热度信息的第一操作热度校正指数以及所述第二操作热度信息的第二操作热度校正指数。

例如，操作热度指数确定线程可以是相关的操作热度指数计算公式或者算法，如此，能够结合相关算法准确确定第二操作热度校正指数。

Step312、确定所述操作事件状态在所述第一显性操作行为数据中的第一操作轨迹校正指数，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作轨迹校正指数；其中，操作轨迹校正指数于修改操作事件状态在操作轨迹校正时的操作热度。

进一步地，Step312所描述的确定所述操作事件状态在所述第一显性操作行为数据中的第一操作轨迹校正指数，以及所述操作事件状态在所述第一潜在操作行为数据中的第二操作轨迹校正指数的步骤，可以包括Step3121和Step3122。

Step3121、对所述操作事件状态进行关联处理，获取所述操作事件状态的关联操作事件在所述第一潜在操作行为数据中的第一潜在操作热度信息，以及所述关联操作事件在所述第一显性操作行为数据中的第一显性操作热度信息。

例如，关联处理可以理解为邻域分析处理。

Step3122、将所述第一显性操作热度信息、第一潜在操作热度信息输入至设定的操作轨迹校正指数确定线程，确定所述操作事件状态的第一操作轨迹校正指数以及所述操作事件状态的第二操作轨迹校正指数。

可以理解的是，通过Step3121和Step3122，能够将第一显性操作热度信息考虑在内，并结合第一显性操作热度信息、第一潜在操作热度信息准确计算第二操作轨迹校正指数，以确保将不同的操作行为类型考虑在内。

Step313、根据所述第一操作热度校正指数、第二操作热度校正指数、第一操作轨迹校正指数以及第二操作轨迹校正指数，对所述操作事件状态进行操作热度校正以及操作轨迹校正，得到操作事件状态的目标操作热度信息。

进一步地，Step313所描述的根据所述第一操作热度校正指数、第二操作热度校正指数、第一操作轨迹校正指数以及第二操作轨迹校正指数，对所述操作事件状态进行操作热度校正以及操作轨迹校正，得到操作事件状态的目标操作热度信息，可以包括Step3131-Step3134。

Step3131、对所述第一显性操作行为数据以及第一潜在操作行为数据分别进行行为轨迹识别处理，得到所述第一显性操作行为数据的第一操作轨迹数据，以及所述第一潜在操作行为数据的第二操作轨迹数据。

更进一步地，Step3131所描述的对所述第一显性操作行为数据以及第一潜在操作行为数据分别进行行为轨迹识别处理，得到所述第一显性操作行为数据的第一操作轨迹数据，以及所述第一潜在操作行为数据的第二操作轨迹数据，可以包括以下Step31311-Step31316。

Step31311、对初始操作行为数据的初始操作热度信息进行动态线性平滑处理，得到平滑操作行为数据，确定每个操作事件状态在所述平滑操作行为数据中的线性操作热度信息；其中，所述初始操作行为数据为所述第一显性操作行为数据或第一潜在操作行为数据。

例如，平滑操作行为数据可以理解为没有出现行为突变的操作行为数据。线性操作热度信息可以理解为存在时序同步性的操作热度信息。

Step31312、针对每个操作事件状态，根据所述初始操作热度信息与所述线性操作热度信息的差异信息得到操作轨迹分布。

Step31313、对所述初始操作行为数据进行动态全局平滑处理，得到映射操作行为数据，确定每个操作事件状态在所述映射操作行为数据中的全局操作热度信息。

例如，全局操作热度信息可以理解为整体层面的操作热度信息。

Step31314、根据操作热度信息与操作轨迹分布之间的第一匹配情况，确定与所述全局操作热度信息对应的初始操作轨迹分布；其中，所述第一匹配情况中，每个操作轨迹分布对应一不间断量化区间的操作热度信息。

例如，不间断量化区间可以理解为连续的数值范围。

Step31315、确定与所述初始操作轨迹分布对应的操作轨迹分布；其中，若所述初始操作轨迹分布小于设定分布量化值，则所述操作轨迹分布为零；否则，所述操作轨迹分布与所述初始操作轨迹分布相同。

例如，分布量化值用于区分不同的操作轨迹分布。

Step31316、通过设定加权权重，对所述操作轨迹分布进行加权，得到加权后的操作轨迹分布。

例如，加权权重可以为加权系数，取值范围可以是0~1。

如此设计，通过上述Step31311-Step31316，能够基于整体层面进行分析，从而确保操作轨迹数据/操作轨迹分布的完整性和实时性，避免操作轨迹数据/操作轨迹分布出现缺失。

Step3132、获取所述操作事件状态在第一操作轨迹数据中的第一操作轨迹分布，以及所述操作事件状态在第二操作轨迹数据中的第二操作轨迹分布。

例如，操作轨迹分布可以是图数据或者相关的节点化处理的轨迹节点图谱。

Step3133、将所述第一操作热度校正指数、第二操作热度校正指数、第一操作轨迹校正指数以及第二操作轨迹校正指数进行处理，得到操作事件状态的初始目标操作热度信息。

Step3134、对所述初始目标操作热度信息进行业务场景映射，得到目标操作热度信息。

如此设计，通过Step3131-Step3134，能够对初始目标操作热度信息进行业务场景映射，从而确保目标操作热度信息的办公场景适配性。

可以理解，基于上述Step311-Step313，能够将操作热度校正指数考虑在内，从而精准地得到目标操作热度信息。

Step320、将操作热度更新频率映射到轨迹变化描述空间，得到每个所述操作事件状态的目标轨迹变化描述信息。

在Step320中，所述操作热度更新频率为所述目标操作热度信息与所述操作事件状态在所述第一显性操作行为数据中的初始操作热度信息之间的比对结果。

例如，轨迹变化描述空间可以是映射空间。

可以理解，通过Step310和Step320，能够准确确定目标操作热度信息以及目标轨迹变化描述信息。

Step400、云计算服务器根据每个所述操作事件状态的目标操作热度信息、目标轨迹变化描述信息，得到校正操作行为数据。

在本申请实施例中，操作事件状态可以用于表征不同操作事件的执行情况，比如等待状态、处理状态、结束状态等，如此一来，可以将不同操作事件状态的目标操作热度信息和目标轨迹变化描述信息进行区分，从而确定出对应的校正操作行为数据。

在一些可能的实施例中，可以将每个所述操作事件状态的目标操作热度信息以及目标轨迹变化描述信息进行融合，得到每个所述操作事件状态的操作行为优化数据，然后进一步将不同的操作行为优化数据进行整合，以得到校正操作行为数据。

在一些选择性的实施例中，上述的云计算服务器还与所述目标云办公业务场景下的多个入侵检测网关通信连接，基于此，所述方法还可以包括以下技术方案：在根据校正操作行为数据确定出存在入侵检测优化需求时，获得第一入侵检测网关传入的第一入侵检测日志；所述第一入侵检测网关为目标云办公业务场景对应的多组入侵检测网关中的其中一组入侵检测网关，所述目标云办公业务场景对应的多组入侵检测网关用于对目标云办公业务场景进行入侵行为事件数记录；在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将所述第一入侵检测日志迁移至过渡日志存留空间；其中，所述第二入侵检测网关为所述目标云办公业务场景对应的所有入侵检测网关中未完成优化的入侵检测网关；根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标云办公业务场景对应的真实入侵检测日志。

例如，可以通过预设的数据挖掘模型对校正操作行为数据进行需求挖掘，在挖掘出校正操作行为数据存在入侵检测优化需求时进行后续的步骤。

在一些选择性的实施例中，上述步骤“获得第一入侵检测网关传入的第一入侵检测日志；所述第一入侵检测网关为目标云办公业务场景对应的多组入侵检测网关中的其中一组入侵检测网关，所述目标云办公业务场景对应的多组入侵检测网关用于对目标云办公业务场景进行入侵行为事件数记录；在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将所述第一入侵检测日志迁移至过渡日志存留空间；其中，所述第二入侵检测网关为所述目标云办公业务场景对应的所有入侵检测网关中未完成优化的入侵检测网关；根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标云办公业务场景对应的真实入侵检测日志”进一步可以通过以下实施方式实现。

S21，云计算服务器获得第一入侵检测网关传入的第一入侵检测日志。

在本申请实施例中，所述第一入侵检测网关为目标入侵检测场景对应的多组入侵检测网关中的其中一组入侵检测网关，所述目标入侵检测场景对应的多组入侵检测网关用于对目标入侵检测场景进行入侵行为事件数记录。

例如，第一入侵检测网关可以向信息安防服务器10上传的第一入侵检测日志，入侵检测日志中可以记录入侵行为事件，入侵行为事件可以的分类可以按照多种分类标准实现，比如在线入侵行为事件和离线入侵行为事件，又比如本地入侵行为事件和远程入侵行为事件，亦或者数据窃取事件和数据篡改事件等。

进一步地，目标入侵检测场景可以是不同的业务场景，相应的，入侵检测网关和信息安防服务器可以应用于在线支付业务场景、在线办公业务场景或者远程教育业务场景。

S22，云计算服务器在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将所述第一入侵检测日志迁移至过渡日志存留空间。

在本申请实施例中，所述第二入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中未完成优化的入侵检测网关。

例如，网关优化可以理解为入侵检测网关的配置重置或者升级，网关优化能够提高入侵检测网关的防护性能。进一步地，过渡日志存留空间可以用于对第一入侵检测日志进行缓存，过渡日志存留空间可以是备用服务器对应的存储空间也可以是其他类型的存储空间，在此不作限定。

在一些可能的实施例中，S22所描述的确定所述第一入侵检测网关优化完成，可以通过以下技术方案实现：在入侵检测日志数据库保存有所述第一入侵检测网关的入侵检测日志，且所述第一入侵检测网关未被判定为优化失败、以及所述第一入侵检测日志对应的更新频率小于所述入侵检测日志数据库保存的所述第一入侵检测网关的入侵检测日志对应的更新频率的前提下，确定所述第一入侵检测网关优化完成。

例如，入侵检测日志数据库可以是与云计算服务器对应的关系型数据库，例如MySQL数据库或者Hive数据库。

可以理解，通过考虑第一入侵检测日志对应的更新频率以及入侵检测日志数据库中的第一入侵检测网关的入侵检测日志考虑在内，从而准确可靠地判断第一入侵检测网关是否优化完成。

在一些可选的实施例中，在上述S22所描述的在确定所述第一入侵检测网关优化完成的前提下，该方法还可以包括以下内容步骤（1）和步骤（2）所描述的内容。

（1）在第三入侵检测网关皆优化完成的前提下，将所述入侵检测日志数据库中保存的所述第三入侵检测网关的入侵检测日志对应调整为所述过渡日志存留空间中迁移的各第三入侵检测网关的入侵检测日志。

（2）将所述入侵检测日志数据库中保存的所述第一入侵检测网关的入侵检测日志调整为所述第一入侵检测日志，并过滤所述目标入侵检测场景对应的所有入侵检测网关的迁移入侵检测日志。

在本申请实施例中，所述第三入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第一入侵检测网关之外的其他入侵检测网关。如此设计，能够实现对迁移入侵检测日志有效过滤和调整，从而避免迁移入侵检测日志和其他的入侵检测日志之间存在混淆和重复。

在一些可能的实施例中，上述S22所描述的在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，该方法还可以包括以下S31-S34所描述的技术方案。

S31，在确定所述第二入侵检测网关优化失败的前提下，将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志迁移至所述过渡日志存留空间。

S32，在获得到所述第二入侵检测网关传入的第二入侵检测日志的前提下，确定所述第二入侵检测日志中的入侵行为事件数是否皆为零；

S33，在所述第二入侵检测日志的中的入侵行为事件数皆为零的前提下，将所述第二入侵检测网关判定为未完成优化，过滤所述过渡日志存留空间中迁移的所述第二入侵检测网关的入侵检测日志，并将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志调整为所述第二入侵检测日志。

S34，在所述第二入侵检测日志中的入侵行为事件数存在不为零的前提下，根据所述第二入侵检测日志与所述过渡日志存留空间中迁移的所述第二入侵检测网关的入侵检测日志之间的比较结果，确定第三入侵检测日志，并将所述入侵检测日志数据库保存的所述第二入侵检测网关的入侵检测日志调整为所述第三入侵检测日志。

可以理解，通过上述S31-S34，能够根据不同入侵检测日志的中的入侵行为事件的统计数量以及入侵检测日志数据库中所保存的入侵检测日志实现入侵检测日志调整，从而实现对入侵行为事件的统计数量的精准追踪，避免入侵行为事件数在统计过程中出现偏差。

S23，云计算服务器根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志。

例如，真实入侵检测日志可以理解为实际的入侵检测日志，换言之，真实入侵检测日志能够准确记录目标入侵检测场景对应的入侵行为事件数，从而避免对入侵行为事件的统计遗漏，如此，能够确保入侵检测日志的真实性和可靠性，为后续的信息安防分析提供准确可靠的依据。

在一些示例中，在所述目标入侵检测场景对应的所有入侵检测网关中存在优化完成的入侵检测网关，以及未完成优化的入侵检测网关的前提下，所述过渡日志存留空间中迁移的入侵检测日志包括所述优化完成的入侵检测网关在本次优化完成的前提下传入的入侵检测日志，所述入侵检测日志数据库中保存的入侵检测日志包括所述优化完成的入侵检测网关在本次优化完成之前传入的入侵检测日志，以及，所述未完成优化的入侵检测网关的入侵检测日志。

在上述示例的基础上，S23所描述的根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志，可以通过以下S231和S232所描述的技术方案实现。

S231，将所述过渡日志存留空间中迁移的所述优化完成的入侵检测网关最近的入侵检测日志以及所述入侵检测日志数据库中保存的各入侵检测网关最近的入侵检测日志中在线入侵行为事件数的加权结果，与所述过渡日志存留空间中迁移的所述优化完成的入侵检测网关最近的入侵检测日志以及所述入侵检测日志数据库中保存的各入侵检测网关最近的入侵检测日志中离线入侵行为事件数的加权结果之间的差异情况，确定为所述目标入侵检测场景中的有效入侵行为事件数。

例如，最近的入侵检测日志可以理解为最新的入侵检测日志，加权结果可以理解为入侵行为事件数的和值，加权结果之间的差异情况可以理解为不同加权结果之间的差值。

进一步地，有效入侵行为事件可以理解为云计算服务器检测出的具有实际入侵攻击意图的行为事件。

S232，在所述目标入侵检测场景对应的所有入侵检测网关中存在未完成优化的入侵检测网关，以及优化失败的入侵检测网关，但不存在优化完成的入侵检测网关的前提下，所述过渡日志存留空间中迁移的入侵检测日志包括所述优化失败的入侵检测网关在被确定为优化失败之前最后一次传入的入侵检测日志，所述入侵检测日志数据库中保存的为所述所有入侵检测网关中除所述优化失败的入侵检测网关之外其他入侵检测网关传入的入侵检测日志，以及所述优化失败的入侵检测网关在确定优化失败之后传入的入侵检测日志与该入侵检测网关在过渡日志存留空间中迁移的所述在被确定为优化失败之前最后一次传入的入侵检测日志的差异化信息。

如此设计，能够将处于不同优化状态的入侵检测网关的入侵检测日志以及对应的入侵行为事件考虑在内，从而避免由于入侵检测日志数据库中保存部分入侵检测网关优化完成之前的入侵检测日志以及部分入侵检测网关优化完成后的入侵检测日志而造成入侵检测日志记录出现偏差，进而提高入侵检测场景的入侵行为事件数记录的准确性。

在一些可能的实施例中，S23所描述的根据所述过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定所述目标入侵检测场景对应的真实入侵检测日志，还可以通过以下方式实现：根据所述入侵检测日志数据库保存的各入侵检测网关最近的入侵检测日志中在线入侵行为事件数的加权结果，与所述入侵检测日志数据库保存的各入侵检测网关最近的入侵检测日志中离线入侵行为事件数的加权结果之间的差异情况，确定为所述目标入侵检测场景中的有效入侵行为事件数。

在一些示例中，未完成优化指示入侵检测网关在上一次优化步骤中优化完成的前提下，本次优化步骤未再次优化，或在上一次优化步骤中优化失败的前提下，本次优化步骤中首次优化完成。基于此，在S22所描述的在确定所述第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，该方法还包括以下两种实施方式中的其中一种。

第一种实施方式，在确定所述第二入侵检测网关优化失败的前提下，将所述第一入侵检测网关判定为未完成优化，将所述入侵检测日志数据库中保存的所述第一入侵检测网关的入侵检测日志调整为所述第一入侵检测日志，并过滤所述过渡日志存留空间中迁移的所述第一入侵检测网关的入侵检测日志；在存在第四入侵检测网关的前提下，将所述第四入侵检测网关判定为未完成优化，将所述入侵检测日志数据库中保存的所述第四入侵检测网关的入侵检测日志对应调整为所述过渡日志存留空间中迁移的各第四入侵检测网关的入侵检测日志，并过滤所述过渡日志存留空间中迁移的所述第四入侵检测网关的入侵检测日志。

在第一种实施方式中，所述第四入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第一入侵检测网关和所述第二入侵检测网关之外的其他入侵检测网关，所述优化失败表示入侵检测网关由于失败未进行优化。

第二种实施方式，在未确定所述第二入侵检测网关优化失败的前提下，确定进行所述将所述第一入侵检测日志迁移至过渡日志存留空间的步骤。

可以理解，通过对第二入侵检测网关的优化状态进行判断以执行不同的步骤，能够确保入侵检测日志的处理与实际情况相适配，从而避免在处理入侵检测日志时出现混乱。

在一些可能的实施例中，S22所描述的在确定所述第一入侵检测网关优化完成的前提下，该方法还可以包括以下S41和S42所描述的技术方案。

S41，确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件。

S42，在所述第一入侵检测网关的优化完成检测信息符合设定条件，且当前存在第二入侵检测网关的前提下，确定所述第二入侵检测网关优化失败。

在一些实施例中，所述优化完成检测信息包括迁移累积次数，基于此，上述S41所描述的确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，可以包括以下S411a和S412a所描述的技术方案。

S411a，确定所述第一入侵检测网关对应的迁移累积次数是否大于设定次数值，所述迁移累积次数用于统计所述第一入侵检测网关在优化完成的前提下传入入侵检测日志的次数。

S412a，在所述第一入侵检测网关对应的迁移累积次数大于所述设定次数值的前提下，确定所述第一入侵检测网关的优化完成检测信息符合设定条件。

在另外一些实施例中，所述优化完成检测信息包括优化完成的状态持续时长，基于此，上述S41所描述的确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，可以包括以下S411b和S412b所描述的技术方案。

S411b，确定所述第一入侵检测网关优化完成的状态持续时长是否大于设定持续时长值。

S412b，在所述第一入侵检测网关优化完成的状态持续时长大于所述设定持续时长值的前提下，确定所述第一入侵检测网关的优化完成检测信息符合设定条件。

如此设计，可以根据不同的优化完成检测信息，从不同的角度判断优化完成检测信息是否符合设定条件，以确保上述技术方案能够在尽可能多的场景下实施。

在上述内容的基础上，S22所描述的在确定所述第二入侵检测网关优化失败的前提下，该方法还可以包括以下技术方案：初始化第五入侵检测网关的优化完成检测信息，所述第五入侵检测网关为所述目标入侵检测场景对应的所有入侵检测网关中除所述第二入侵检测网关之外的其他入侵检测网关。基于此，S22所描述的在确定所述第一入侵检测网关优化完成的前提下，该方法还可以包括以下技术方案：在所述第一入侵检测网关的优化完成检测信息不符合设定条件，且不存在所述第二入侵检测网关的前提下，将所述目标入侵检测场景对应的所有入侵检测网关判定为未完成优化，并初始化所述目标入侵检测场景对应的所有入侵检测网关的优化完成检测信息。

在本申请实施例中，初始化优化完成检测信息包括将迁移累积次数或状态持续时长设置为零。

在一些示例中，所述优化完成检测信息包括迁移累积次数，基于此，上述步骤所描述的确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，还可以包括以下内容：在所述第一入侵检测网关对应的迁移累积次数未大于所述设定次数值的前提下，确定所述第一入侵检测网关的优化完成检测信息不符合设定条件。

在另外的一些示例中，所述优化完成检测信息包括优化完成的状态持续时长，基于此，上述步骤所描述的确定所述第一入侵检测网关的优化完成检测信息是否符合设定条件，还可以包括以下内容：在所述第一入侵检测网关优化完成的状态持续时长未大于所述设定持续时长值的前提下，确定所述第一入侵检测网关的优化完成检测信息不符合设定条件。

在一些可选的实施例中，在所述优化完成检测信息包括迁移累积次数的前提下，该方法还可以包括以下技术方案：在所述第一入侵检测网关的优化完成检测信息不符合设定条件，且当前存在第二入侵检测网关的前提下，对所述第一入侵检测网关对应的迁移累积次数进行汇总。

通过应用上述技术方案，获得第一入侵检测网关传入的第一入侵检测日志，在确定第一入侵检测网关优化完成，且当前存在第二入侵检测网关的前提下，将第一入侵检测日志迁移至过渡日志存留空间，并根据过渡日志存留空间中迁移的入侵检测日志，与入侵检测日志数据库中保存的入侵检测日志，确定目标入侵检测场景对应的真实入侵检测日志，通过在入侵检测场景对应的所有入侵检测网关中存在优化完成的入侵检测网关且存在未完成优化的入侵检测网关的前提下，对优化完成的入侵检测网关传入的入侵检测日志迁移到过渡日志存留空间，可以避免由于入侵检测日志数据库中保存部分入侵检测网关优化完成之前的入侵检测日志以及部分入侵检测网关优化完成后的入侵检测日志而造成入侵检测日志记录出现偏差，进而提高目标入侵检测场景的入侵行为事件数记录的准确性。

此外，通过对目标入侵检测场景的入侵行为事件数进行准确记录，能够避免漏记带来的入侵行为分析异常，从而尽可能确保信息防护服务器能够根据真实入侵检测日志进行入侵行为分析以作出相应的信息防护动作。

在一些选择性的实施例中，该方法还可以包括以下技术方案：

根据所述真实入侵检测日志进行入侵行为分析，得到入侵行为意图信息；基于所述入侵行为意图信息触发信息防护策略。

比如，入侵行为分析可以基于神经网络模型实现，入侵行为意图信息包括数据非法访问、数据篡改等，信息防护策略包括但不限于防火墙等拦截机制。

如此，可以有效确保相关数据信息的安全性。

基于上述同样的发明构思，还提供了一种云计算办公业务操作行为检测装置20，应用于云计算服务器10，所述装置包括：

数据获取模块21，获取目标云办公业务场景下的办公操作行为数据的显性操作行为数据以及潜在操作行为数据；

事件优化模块22，用于分别对所述显性操作行为数据以及潜在操作行为数据进行操作事件优化，得到第一显性操作行为数据以及第一潜在操作行为数据；

数据校正模块23，用于根据设定校正策略，对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息以及目标轨迹变化描述信息；

数据确定模块24，用于根据每个所述操作事件状态的目标操作热度信息、目标轨迹变化描述信息，得到校正操作行为数据。

综上，本申请实施例提供了云计算办公业务操作行为检测方法及存储介质具，获取目标云办公业务场景下的办公操作行为数据的显性操作行为数据以及潜在操作行为数据后，分别对所述显性操作行为数据以及潜在操作行为数据进行操作事件优化，得到第一显性操作行为数据以及第一潜在操作行为数据；然后根据设定校正策略，对所述第一显性操作行为数据以及第一潜在操作行为数据依次进行操作热度校正以及操作轨迹校正，得到所述目标云办公业务场景下的办公操作行为数据中每个操作事件状态的目标操作热度信息以及目标轨迹变化描述信息；根据每个所述操作事件状态的目标操作热度信息、目标轨迹变化描述信息，得到校正操作行为数据。

通过操作热度校正和操作轨迹校正使得校正操作行为数据在确保操作热度准确性和操作轨迹实时性的同时，保持操作行为数据的原始操作习惯特征，且提升了校正操作行为数据的行为还原度。此外，上述的操作行为数据校正过程所需要的资源开销较少，计算量较低，便于将上述方案易用到不同的设备端，并且能满足操作行为数据校正的实时性需求。另外，上述技术方案能够应用在不同的云办公业务场景下，具有较广的适用范围。

在本申请实施例所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置和方法实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

另外，在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。

所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个人计算机，云计算服务器10，或者网络设备等）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本申请的优选实施例而已，并不用于限制本申请，对于本领域的技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本申请的保护范围之内。