本發(fā)明公開了一種基于公鑰基礎(chǔ)設(shè)施PKI平臺的異常行為檢測方法及裝置，包括：監(jiān)控用戶實時行為；將所述用戶實時行為與預(yù)先建立的角色行為模式庫進行匹配；根據(jù)匹配結(jié)果，判斷是否存在異常行為。本發(fā)明實施例通過檢測用戶實際行為與角色行為模式庫的背離程度，定位異常行為用戶，實現(xiàn)內(nèi)部威脅預(yù)警。

技術(shù)領(lǐng)域

本發(fā)明涉及計算機技術(shù)領(lǐng)域，尤其涉及一種基于公鑰基礎(chǔ)設(shè)施(Public KeyInfrastructure，PKI)平臺的異常行為檢測方法及裝置。

背景技術(shù)

本部分旨在為權(quán)利要求書中陳述的本發(fā)明的實施方式提供背景或上下文。此處的描述不因為包括在本部分中就承認是現(xiàn)有技術(shù)。

PKI平臺是一種利用公鑰加密技術(shù)為電子商務(wù)開展提供安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKI平臺主要涉及權(quán)威認證機構(gòu)(CA)、注冊機構(gòu)(RA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)等多個系統(tǒng)的搭建。由于PKI平臺涉及多個系統(tǒng)，為了保證其證書服務(wù)的安全性，需格外防范外部和內(nèi)部威脅，其中由于內(nèi)部威脅難于檢測，因此針對PKI平臺提供一種智能化、自動化的內(nèi)部威脅安全檢測方法非常有必要。

現(xiàn)有技術(shù)中根據(jù)檢測數(shù)據(jù)的來源不同，內(nèi)部威脅檢測模型分為主體模型與客體模型。典型的主體模型有PARKER提出來的SKPAM模型和WOOD提出來的CMO模型，兩者均從內(nèi)部人員實施攻擊的基本條件出發(fā)進行建模。這兩種模型主要考慮的是懷有惡意的用戶，忽略了內(nèi)部用戶的無意行為。典型的客體模型有PARK等人提出的CRBM模型和RAY等人提出的攻擊樹裁剪模型。CRBM模型根據(jù)基于角色的訪問控制方法，通過分析用戶是否違反角色行為規(guī)范判斷是否發(fā)生內(nèi)部威脅。

但是，上述檢測模型或者忽略了內(nèi)部用戶的無意行為，或者僅僅基于角色進行判斷，均不夠全面準(zhǔn)確。

發(fā)明內(nèi)容

本發(fā)明實施例提供一種基于PKI平臺的審計數(shù)據(jù)處理方法及裝置，能夠提高異常檢測行為的準(zhǔn)確度。

一種基于公鑰基礎(chǔ)設(shè)施PKI平臺的異常行為檢測方法，包括：

監(jiān)控用戶實時行為；

將所述用戶實時行為與預(yù)先建立的角色行為模式庫進行匹配；

根據(jù)匹配結(jié)果，判斷是否存在異常行為。

優(yōu)選地，所述方法還包括：

建立角色行為模式庫，所述角色行為模式庫包括角色行為準(zhǔn)則庫和角色行為習(xí)慣庫。

優(yōu)選地，所述將所述用戶實時行為與預(yù)先建立的角色行為模式庫進行匹配，包括：

從平臺日志提取用戶實時行為，根據(jù)用戶角色將所述用戶實時行為與角色行為習(xí)慣進行匹配，得到第一匹配結(jié)果；

從所述用戶實時行為中監(jiān)測得到用戶的操作特征，根據(jù)用戶角色將所述操作特征與角色行為準(zhǔn)則進行匹配，得到第二匹配結(jié)果。

優(yōu)選地，所述根據(jù)匹配結(jié)果，判斷是否存在異常行為，包括：

當(dāng)?shù)谝黄ヅ浣Y(jié)果和/或第二匹配結(jié)果為不匹配時，則判斷存在異常行為。

優(yōu)選地，所述將所述用戶實時行為與預(yù)先建立的角色行為模式庫進行匹配，包括：

按照將用戶實時行為與角色行為模式庫進行匹配；其中，N＝max[Length(X)，Length(Y)]，-Length(X)≤k≤Length(Y)，函數(shù)Equal(i,k)為X(i)和Y(i+k)的比較結(jié)果，f值表示用戶實時行為與角色行為模式庫中數(shù)據(jù)的匹配程度，f值越大，說明X和Y的匹配程度越高；

當(dāng)f大于預(yù)設(shè)匹配閾值，則判斷用戶實時行為與角色行為模式庫匹配。

一種基于PKI平臺的異常行為檢測裝置，包括：監(jiān)控單元、匹配單元及判斷單元；其中，