商业数据分析-助睿数智-互联网用户行为日志数据挖掘与分析报告
目录
主题一:时间维度下的网民网络作息分析 3
1 研究背景与意义 3
2 设计方法与理论 3
3 结果分析与可视化 4
主题二:基于人口属性的用户行为画像构建 6
1 研究背景与意义 6
2 设计方法与理论 6
3 结果分析与可视化 7
主题三:基于无监督学习的用户群体划分(聚类挖掘) 9
1 研究背景与意义 9
2 设计方法与理论 9
3 结果分析与可视化 10
4 结论与业务启示 12
主题四:基于 Apriori 算法的进程关联规则挖掘 14
1 研究背景与意义 14
2 设计方法与理论 14
3 结果分析与可视化 14
主题一:时间维度下的网民网络作息分析
1 研究背景与意义
在数字经济时代,理解用户的在线时间分布是评估产品粘性和制定分时运营策略的基础。本主题旨在通过时间序列分析方法,挖掘样本用户在长达数月的周期内产生的数百万条电脑使用日志,刻画出 2012 年中国互联网用户的标准“赛博作息”规律,揭示工作日与周末在数字行为上的时空差异。
2 设计方法与理论
本阶段研究首先对原始的 825MB 日志数据进行了清洗与结构化。提取每条记录中的绝对时间戳(根据 L_Start 与 T 偏移量计算得出),并提取对应的进程字段(P)。清洗过程中,过滤了 explorer.exe 等无业务分析价值的操作系统底层进程。随后,利用 Pandas 库聚合 24 小时维度与周维度的数据频次,为后续的热力分布及趋势分析提供基础数据表。
3 结果分析与可视化
基于对 811 万条有效行为日志的聚合计算,我们生成了以下可视化图表以直观呈现网民的时间作息规律:
图1 - 全局活跃度 周×时 热力图
图2 - 工作日 vs 周末 24小时活跃度对比折线图
图3 - Top 5 常用软件 24小时分布趋势图
四、结论与业务启示
1. 整体作息呈“朝九晚十一”双峰模式:热力图显示,用户活跃度从早晨 7 时快速攀升,于上午 9-10 时达到全天峰值;午间出现短暂低谷(午休效应);随后在 20-21 时形成第二个小高峰,23 时后迅速回落。这为内容产品的分时段推送(如早晚高峰资讯推送)提供了黄金时间窗口。
2. 工作日与周末场景差异显著:工作日的上午峰值极高,体现出强烈的办公刚需;而周末的夜间(20-22时)活跃度反超工作日,且整体起床时间推迟约 1 小时。产品运营应在周末侧重娱乐化内容的供给。
3. 浏览器主导,社交通讯全天在线:Top 5 应用被浏览器(IE、360)和 QQ 包揽,反映出当时以“浏览器上网+客户端聊天”为核心的生态。QQ 呈现出显著的“常驻后台”平稳活跃特征,彰显了社交产品的极强粘性。
主题二:基于人口属性的用户行为画像构建
1 研究背景与意义
单纯的行为分析只能解释“发生了什么”,而将人口统计学特征(Demographics)与行为日志相融合,才能回答“是谁在做”。本主题旨在打破数据孤岛,通过关联用户的性别、学历等静态属性与其软件使用偏好,构建多维度的用户行为画像,为精准营销与个性化推荐提供理论支撑。
2 设计方法与理论
本阶段首先编写数据融合脚本,通过匹配日志文件名中的用户 ID 与基础信息表(demographic.csv),实现了跨表关联(Left Join)。在特征工程层面,构建了基础字典映射规则,将出现频次最高的前 30 款进程人工归纳为五大基础维度:通讯社交、影音娱乐、游戏、办公/系统、浏览器。随后统计不同人群在各维度上的时间与频次占比,利用雷达图与词云图进行多维呈现。
3 结果分析与可视化
通过计算所有用户的高频进程分布,生成了反映应用生态的全局词云;并通过性别切分,生成了多维度的偏好对比雷达图。
图4 - 互联网用户高频进程全局词云图
图5 - 不同性别用户行为维度雷达图对比
四、结论与业务启示
1. 性别圈层带来的结构性行为差异:雷达图清晰揭示了男女群体的偏好分歧。男性在“游戏”维度的占比显著高于女性,展现出对竞技类游戏的强粘性;而女性在“影音娱乐”与“通讯社交”维度表现更优。这一特征提示游戏联运平台应重点向男性用户倾斜资源,而内容消费和社交分发则可多关注女性受众。
2. 核心应用生态的三大支柱:词云图直观反映出该时期网民的生态底色——360安全浏览器与 IE 浏览器作为核心流量入口占据绝对中心;QQ 作为社交元老紧随其后;各类 360 安全组件密集分布。这表明当时网民的数字生活高度依赖“浏览器+安全软件+即时通讯”这三驾马车。
主题三:基于无监督学习的用户群体划分(聚类挖掘)
1 研究背景与意义
传统的用户分群多依赖静态标签(如年龄、收入),难以捕捉用户在实际交互中体现的真实偏好。本阶段引入机器学习中的无监督聚类算法(K-Means),完全基于用户的客观使用频率和时段偏好,让数据“自我划分”出具有相似赛博基因的群体。这属于行为特征驱动的动态分群模式。
2 设计方法与理论
研究以 1000 名独立样本用户为对象,进行了以下特征提取与建模步骤:
特征工程:为消除信息冗余,提取了三个相互正交的维度指标:活跃强度(日均记录数)、夜猫子指数(夜间 22:00-04:00 占比)、周末指数(周末记录占比)。
数据标准化:针对量纲差异,采用 StandardScaler 对三个特征进行 Z-score 标准化。
K-Means 聚类:采用 k-means++ 初始化质心,设定 K=4,迭代 500 次使模型收敛。
PCA 降维可视化:利用主成分分析(PCA)将 3 维特征压缩至二维平面,保留了约 72.4% 的原始方差信息,实现了高维聚类结果的可视化验证。
3 结果分析与可视化
聚类模型成功将 1000 名用户划分为 4 个界限清晰的簇(Cluster)。以下是各聚类群体的核心特征均值分布及 PCA 降维散点映射:
图6 - PCA降维用户聚类散点图
图7 - 各聚类群体核心特征对比柱状图
4 结论与业务启示
典型聚类人群画像
群体 A:「深夜高频冲浪党」
聚类特征:活跃强度高,夜猫子指数高,周末指数中等
行为画像:这类用户是典型的"夜型人",日均电脑使用记录数远超平均水平,且大量活跃时段集中在 22:00 至凌晨 4:00。他们在工作日和周末均保持高频使用,说明电脑使用并非仅限于工作场景。结合日志中的进程数据推测,这类用户可能以重度游戏玩家、自由职业者、夜班程序员为主。
运营建议:可在深夜时段推送个性化内容,如夜间专属优惠、直播推荐、游戏资讯等。
群体 B:「朝九晚五上班族」
聚类特征:活跃强度中等,夜猫子指数低,周末指数低
行为画像:这类用户的活跃时间高度集中在工作日的白天时段(9:00-18:00),夜间和周末几乎不使用电脑。他们的电脑使用模式高度符合职场场景——很可能是企事业单位职员,电脑主要用于办公。
运营建议:工作日白天是触达此群体的黄金窗口,适合推送效率工具、职业培训、行业资讯等内容。
群体 C:「周末偶发潜水党」
聚类特征:活跃强度低,夜猫子指数低,周末指数高
行为画像:这类用户整体使用电脑的频率较低,但使用时段明显偏向周末。他们可能是学生、兼职人员或对电脑依赖度不高的轻度用户,只在闲暇时间偶尔使用。
运营建议:周末集中推送,内容以娱乐休闲为主(视频、购物、社交),平日推送应控制频率以避免打扰。
群体 D:「全天候超级活跃者」
聚类特征:活跃强度极高,夜猫子指数中等,周末指数中等偏高
行为画像:无论白天黑夜、工作日还是周末,这类用户始终保持高强度的电脑使用。他们是平台最核心的活跃用户,可能从事与电脑强相关的工作(IT 技术人员、电商运营等),或者是重度互联网依赖用户。
运营建议:此群体是高价值用户,适合精细化运营,提供会员权益、专属服务、Beta 测试邀请等,增强用户粘性和忠诚度。
主题四:基于 Apriori 算法的进程关联规则挖掘
1 研究背景与意义
在桌面操作系统中,用户的行为往往不是孤立的,而是存在隐蔽的上下游链路(如打开网银后立刻打开特定安全控件)。本主题通过经典的购物篮模型(Apriori),旨在挖掘出高置信度的软件并发关联规则,揭示“看不见的鼠标轨迹”,为操作系统的资源预加载和安全软件的行为检测提供核心基准。
2 设计方法与理论
分析采用“会话重构 + 关联挖掘”两阶段范式:
Sessionizing(会话重构):将用户时间上连续、间隔不超过 30 分钟的操作动作切分为一个独立的 Session,提取每个会话内出现的所有进程名,构成类似购物篮的事务数据集(共约 49,519 个有效会话)。
Apriori 挖掘:设定严格的筛选边界(最小支持度 Support = 0.02,最小置信度 Confidence = 0.3,提升度 Lift > 1.5),过滤系统自带无效进程后,利用关联规则算法提取频繁项集。
3 结果分析与可视化
算法扫描了 8092 个相关进程,最终提炼出 188 条强关联规则。我们利用 NetworkX 绘制了力导向的进程关联网络图,节点的聚合程度完美反映了软件的生态绑定关系。
图9 - 用户行为进程关联网络图 (Process Association Network)
四、结论与业务启示
1. 强力捆绑的软件子生态:规则挖掘暴露出多个极具特征的软件簇群。例如 popup_fetion → fetion(飞信弹窗与主程序,提升度高达 17.46)揭示了明确的触发链路;而 hlddzsdk → qqgame(欢乐斗地主组件与 QQ 游戏大厅,置信度 99.25%)证实了高度的组件依赖。这对于操作系统预测用户行为并进行内存预加载具有极大指导意义。
2. 智能推荐与异常拦截的双向应用:在正面业务中,系统若监测到用户打开了频繁项集中的“前件进程”,可主动在系统托盘推荐“后件进程”;在安全防护业务中,如果出现完全偏离这套关联拓扑图的异常调用组合,则可被安全软件判定为潜在的恶意劫持或病毒注入行为,从而实施拦截。