技術(shù)領(lǐng)域

本發(fā)明涉及審計(jì)數(shù)據(jù)處理領(lǐng)域，具體地，涉及一種識(shí)別審計(jì)事件中的敏感用戶的方法及裝置。

背景技術(shù)

PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）是一種利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。PKI平臺(tái)的搭建主要涉及權(quán)威認(rèn)證機(jī)構(gòu)（Certificate Authority，簡稱為CA）、注冊(cè)機(jī)構(gòu)（Registration Authority，簡稱為RA）、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)等多個(gè)系統(tǒng)的搭建。為了實(shí)現(xiàn)多個(gè)系統(tǒng)的一體化安全管理機(jī)制，通常會(huì)統(tǒng)一記錄所有與安全相關(guān)的歷史操作事件信息來作為審計(jì)記錄，一條審計(jì)記錄通常包括審計(jì)事件的時(shí)間、用戶、類型、是否成功等審計(jì)事件，而這些審計(jì)事件通常與密鑰、證書等操作相關(guān)。審計(jì)事件可以為安全人員提供足夠多的信息，使他們能夠準(zhǔn)確定位已存在的安全漏洞和跟蹤潛在的安全隱患。

但是，活躍的PKI平臺(tái)上每天會(huì)產(chǎn)生大量的審計(jì)事件，而目前這些數(shù)據(jù)往往只起到日志作用，數(shù)據(jù)的預(yù)處理過程較少，僅以列表形式獨(dú)立展示，缺乏有效的分析和深度挖掘，導(dǎo)致在PKI平臺(tái)運(yùn)行過程中很多敏感的規(guī)律性、特征性的數(shù)據(jù)遺漏。因此需要對(duì)審計(jì)事件進(jìn)行分析。

但是，目前用來分析審計(jì)事件的方法都存在一定的不足，如：專家系統(tǒng)過分依賴于事先人為建立的知識(shí)庫；模式匹配的準(zhǔn)確性取決于事先定義的系統(tǒng)特征庫；數(shù)理統(tǒng)計(jì)中的“閾值”往往取決于管理員的經(jīng)驗(yàn)，導(dǎo)致不可避免的誤報(bào)和漏報(bào)；免疫系統(tǒng)雖然在理論上行之有效，但實(shí)際應(yīng)用時(shí)檢測(cè)率和準(zhǔn)確率不夠；數(shù)據(jù)挖掘作為一項(xiàng)通用的知識(shí)發(fā)現(xiàn)技術(shù)，可從海量數(shù)據(jù)中提取出人們感興趣的數(shù)據(jù)信息，這與分析審計(jì)事件的需求相吻合，但如何根據(jù)具體應(yīng)用場景提出合適的挖掘算法是一個(gè)難點(diǎn)。因此，提出一種新的、智能化的安全審計(jì)事件分析方案來準(zhǔn)確地、客觀地識(shí)別PKI平臺(tái)上的敏感用戶是非常必要的。

發(fā)明內(nèi)容

本發(fā)明的目的是提供一種識(shí)別審計(jì)事件中的敏感用戶的方法及裝置，用于實(shí)現(xiàn)準(zhǔn)確地、客觀地識(shí)別PKI平臺(tái)上的敏感用戶。

為了實(shí)現(xiàn)上述目的，本發(fā)明提供一種識(shí)別審計(jì)事件中的敏感用戶的方法，該方法包括：基于預(yù)設(shè)時(shí)間窗口范圍內(nèi)的公鑰基礎(chǔ)設(shè)施PKI平臺(tái)審計(jì)事件構(gòu)建用戶網(wǎng)絡(luò)，其中所述用戶網(wǎng)絡(luò)以用戶為節(jié)點(diǎn)，且以各用戶間的審計(jì)事件關(guān)聯(lián)關(guān)系為節(jié)點(diǎn)間的邊關(guān)系；計(jì)算所述用戶網(wǎng)絡(luò)中各用戶的用戶屬性值、事件特征值及邊權(quán)值；以及基于所獲取的用戶屬性值、事件特征值及邊權(quán)值，采用PageRank算法計(jì)算用戶網(wǎng)絡(luò)中各節(jié)點(diǎn)的影響力值，識(shí)別出影響力靠前的敏感用戶。

可選地，所述基于預(yù)設(shè)時(shí)間窗口范圍內(nèi)的PKI平臺(tái)審計(jì)事件構(gòu)建用戶網(wǎng)絡(luò)包括：將審計(jì)事件按時(shí)間線排序，讀取預(yù)設(shè)時(shí)間窗口范圍內(nèi)的審計(jì)事件，并按事件類型對(duì)所讀取的審計(jì)事件進(jìn)行分類；對(duì)各審計(jì)事件相關(guān)的用戶按用戶操作時(shí)間進(jìn)行排序，以獲得用戶集合；以及構(gòu)建以用戶集合中的用戶為節(jié)點(diǎn)的用戶網(wǎng)絡(luò)，并在相同事件類型的審計(jì)事件所相關(guān)的節(jié)點(diǎn)之間建立邊關(guān)系，并根據(jù)審計(jì)事件的執(zhí)行順序建立邊關(guān)系的指向性。

可選地，計(jì)算所述用戶網(wǎng)絡(luò)中各用戶的用戶屬性值包括：根據(jù)用戶的多個(gè)屬性特征及各屬性特征的比重計(jì)算用戶屬性值；其中，所述多個(gè)屬性特征至少包括用戶類型、用戶信息完整度、用戶執(zhí)行操作的次數(shù)、用戶執(zhí)行操作的頻次及用戶執(zhí)行操作的執(zhí)行結(jié)果。

可選地，計(jì)算所述用戶網(wǎng)絡(luò)中各用戶的事件特征值包括：根據(jù)不同類型審計(jì)事件的安全性及重要度對(duì)所述事件特征值進(jìn)行取值。

可選地，計(jì)算所述用戶網(wǎng)絡(luò)中各用戶的邊權(quán)值包括：預(yù)設(shè)初始邊權(quán)值為0，在檢測(cè)到兩個(gè)節(jié)點(diǎn)之間存在邊關(guān)系時(shí)，使該兩個(gè)節(jié)點(diǎn)的邊所對(duì)應(yīng)的邊權(quán)值加1。

可選地，采用PageRank算法計(jì)算用戶網(wǎng)絡(luò)中各節(jié)點(diǎn)的影響力值包括：

采用以下公式計(jì)算各節(jié)點(diǎn)之間的轉(zhuǎn)移概率，

其中，u_ij表示節(jié)點(diǎn)u_i與節(jié)點(diǎn)u_j之間的轉(zhuǎn)移概率，UI_i表示第i個(gè)節(jié)點(diǎn)的用戶屬性值，TI_i表示第i個(gè)節(jié)點(diǎn)的事件特征值，w_j→i表示第j個(gè)節(jié)點(diǎn)與第i個(gè)節(jié)點(diǎn)之間的邊關(guān)系所對(duì)應(yīng)的邊權(quán)值，α、β和γ分別為UI_i、TI_i及w_j→i在轉(zhuǎn)移概率u_ij中所占的比重值，且α+β+γ=1，d為阻尼因子，k為用戶節(jié)點(diǎn)集合O(j)中的任意第k個(gè)用戶節(jié)點(diǎn)；

采用以下公式計(jì)算各節(jié)點(diǎn)的影響力值，