[发明专利]一种基于用户行为分析的事中安全审计方法

权利要求书

1.一种基于用户行为分析的事中安全审计方法，其特征在于，检测用户操作行为，若用户操作为高危行为，则判断用户触发高危行为的次数，若触发的次数大于等于触发阈值，则锁定用户账号并发送邮件进行告警；当用户操作行为为高危行为，则进一步的检测操作的高危行为的安全等级，并检测该安全等级的触发次数，若触发的次数大于等于触发锁定次数，则锁定用户并发送邮件进行告警；根据高危程度和高危程度对高危行为的安全等级设定权重；进而评估得出各程度高危行为的触发锁定次数；包括以下步骤：

步骤S100：自定义配置各程度高危行为安全等级的触发权重关系，进而得出线性关系矩阵图；

步骤S200：计算各程度高危行为的最大特征向量、最大特征根和矩阵一致性指标；

步骤S300：通过最大特征向量统计各程度高危行为触发锁定次数；

包括以下步骤：

步骤S100：线性关系矩阵图：

步骤S200：所述最大特征向量、最大特征根和矩阵一致性指标的计算如下：

1)将A矩阵每一列归一化：

2)由A矩阵除以1)归一化的结果，得到B矩阵：

3)对2)中得到的B矩阵按行求和，得到

4)根据3)中得到的归一化处理，得出最大特征向量w，

w＝(w₁,w₂,...,w_n)^T

5)由最大特征向量w与A矩阵相乘，得到(Aw)矩阵，(Aw)＝A*w，

6)计算最大特征根λ_max，n为安全等级配置表中出现的高危程度级别个数：

7)根据6)计算矩阵一致性指标C.I：

2.根据权利要求1所述的一种基于用户行为分析的事中安全审计方法，其特征在于，当C.I值大于等于0时，则配置的高危行为安全等级行为符合逻辑，每次配置安全等级时，都会检查配置是否满足矩阵一致性指标，当不满足时，则提醒用户该配置不符合逻辑。

3.根据权利要求1所述的一种基于用户行为分析的事中安全审计方法，其特征在于，当确定了用户的高危行为的安全等级时，则查询高危行为关联表数据是否存在关联数据，若没有关联数据，则高危行为关联表中增加一条数据，其中count字段内对应高危程度的count值＝1,uid＝用户id,dangerid＝高危行为安全等级表中的id,type＝2；当用户再次触发同类型的高危行为时，则count字段内对应高危程度的count值加1。

4.根据权利要求1所述的一种基于用户行为分析的事中安全审计方法，其特征在于，当用户的操作被认定为高危行为时，则查询高危行为关联表数据是否存在关联数据，若没有关联数据，则高危行为关联表中增加一条数据，其中count＝1,uid＝用户id,dangerid＝高危行为表中的id,type＝1；当用户再次触发同类型的高危行为时，则count值加1。