[发明专利]一种识别审计事件中的敏感用户的方法及装置

说明书

技术领域

本发明涉及审计数据处理领域，具体地，涉及一种识别审计事件中的敏感用户的方法及装置。

背景技术

PKI（Public Key Infrastructure，公钥基础设施）是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI平台的搭建主要涉及权威认证机构（Certificate Authority，简称为CA）、注册机构（Registration Authority，简称为RA）、数字证书库、密钥备份及恢复系统、证书作废系统等多个系统的搭建。为了实现多个系统的一体化安全管理机制，通常会统一记录所有与安全相关的历史操作事件信息来作为审计记录，一条审计记录通常包括审计事件的时间、用户、类型、是否成功等审计事件，而这些审计事件通常与密钥、证书等操作相关。审计事件可以为安全人员提供足够多的信息，使他们能够准确定位已存在的安全漏洞和跟踪潜在的安全隐患。

但是，活跃的PKI平台上每天会产生大量的审计事件，而目前这些数据往往只起到日志作用，数据的预处理过程较少，仅以列表形式独立展示，缺乏有效的分析和深度挖掘，导致在PKI平台运行过程中很多敏感的规律性、特征性的数据遗漏。因此需要对审计事件进行分析。

但是，目前用来分析审计事件的方法都存在一定的不足，如：专家系统过分依赖于事先人为建立的知识库；模式匹配的准确性取决于事先定义的系统特征库；数理统计中的“阈值”往往取决于管理员的经验，导致不可避免的误报和漏报；免疫系统虽然在理论上行之有效，但实际应用时检测率和准确率不够；数据挖掘作为一项通用的知识发现技术，可从海量数据中提取出人们感兴趣的数据信息，这与分析审计事件的需求相吻合，但如何根据具体应用场景提出合适的挖掘算法是一个难点。因此，提出一种新的、智能化的安全审计事件分析方案来准确地、客观地识别PKI平台上的敏感用户是非常必要的。

发明内容

本发明的目的是提供一种识别审计事件中的敏感用户的方法及装置，用于实现准确地、客观地识别PKI平台上的敏感用户。

为了实现上述目的，本发明提供一种识别审计事件中的敏感用户的方法，该方法包括：基于预设时间窗口范围内的公钥基础设施PKI平台审计事件构建用户网络，其中所述用户网络以用户为节点，且以各用户间的审计事件关联关系为节点间的边关系；计算所述用户网络中各用户的用户属性值、事件特征值及边权值；以及基于所获取的用户属性值、事件特征值及边权值，采用PageRank算法计算用户网络中各节点的影响力值，识别出影响力靠前的敏感用户。

可选地，所述基于预设时间窗口范围内的PKI平台审计事件构建用户网络包括：将审计事件按时间线排序，读取预设时间窗口范围内的审计事件，并按事件类型对所读取的审计事件进行分类；对各审计事件相关的用户按用户操作时间进行排序，以获得用户集合；以及构建以用户集合中的用户为节点的用户网络，并在相同事件类型的审计事件所相关的节点之间建立边关系，并根据审计事件的执行顺序建立边关系的指向性。

可选地，计算所述用户网络中各用户的用户属性值包括：根据用户的多个属性特征及各属性特征的比重计算用户属性值；其中，所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果。

可选地，计算所述用户网络中各用户的事件特征值包括：根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值。

可选地，计算所述用户网络中各用户的边权值包括：预设初始边权值为0，在检测到两个节点之间存在边关系时，使该两个节点的边所对应的边权值加1。

可选地，采用PageRank算法计算用户网络中各节点的影响力值包括：

采用以下公式计算各节点之间的转移概率，

其中，u_ij表示节点u_i与节点u_j之间的转移概率，UI_i表示第i个节点的用户属性值，TI_i表示第i个节点的事件特征值，w_j→i表示第j个节点与第i个节点之间的边关系所对应的边权值，α、β和γ分别为UI_i、TI_i及w_j→i在转移概率u_ij中所占的比重值，且α+β+γ=1，d为阻尼因子，k为用户节点集合O(j)中的任意第k个用户节点；

采用以下公式计算各节点的影响力值，