[发明专利]一种基于画像技术的用户网络行为审计建模方法

权利要求书

1.一种基于画像技术的用户网络行为审计建模方法，其特征是，该方法包括以下步骤：

通过画像技术还原网络中实体行为，形成实体的关系图谱；

通过实体的关系图谱将不同的网络安全数据合并到综合图空间中；

对综合图空间进行数据挖掘，建立E-R图分析模型。

2.根据权利要求1所述的方法，其特征是，所述形成实体的关系图谱具体包括以下方法：

通过网络采集器捕获影响网络安全的事件；

对事件进行拆分定位事件的主体、客体、事件内容；

根据系统中备案的设备信息、资产信息、人员信息以及各种监控指标和流量控制策略与事件中拆分出来的主体、客体以及事件内容进行映射对照，形成实体的关系图谱{V₁，V₂，...V_n}。

3.根据权利要求2所述的方法，其特征是，通过实体的关系图谱将不同的网络安全数据合并到综合图空间中具体包括以下方法：

通过对网络内所有网络流量进行源地址、目的地址、协议类型以及流量发生时间进行抽取，形成综合图空间{E₁，E₂，...E_n}。

4.根据权利要求2所述的方法，其特征是，对综合图空间进行数据挖掘，建立E-R图分析模型具体包括以下方法：

根据实体的关系图谱{V₁，V₂，...V_n}与综合图空间{E₁，E₂，...E_n}构建整体E-R关系图G＝(V(G)，E(G))；

在网络运行防护过程中安全防护事件存在与网络设备及相关主体的实体关联关系F＝(A(F)，R(F))，式中，A(F)∈{A₁，A₂，...A_n}；安全防护事件之间的关系为R(F)∈{R₁，R₂，...R_n}；人员与设备之间的管理关系为T＝(A(T)，L(T))；设备与文件、人员与文件的文件操作关系为Q＝(A(Q)，W(Q))；

对上述关系进行融合，得到综合实体关系图M：

形成综合关系图模型。