CN107977386A - 一种识别审计事件中的敏感用户的方法及装置 - Google Patents

一种识别审计事件中的敏感用户的方法及装置 Download PDF

Info

Publication number
CN107977386A
CN107977386A CN201610941956.0A CN201610941956A CN107977386A CN 107977386 A CN107977386 A CN 107977386A CN 201610941956 A CN201610941956 A CN 201610941956A CN 107977386 A CN107977386 A CN 107977386A
Authority
CN
China
Prior art keywords
mrow
user
node
msub
value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610941956.0A
Other languages
English (en)
Inventor
孟媛媛
耿方
杜悦琨
梁宵
张梦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Aisino Corp
Original Assignee
Aisino Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Aisino Corp filed Critical Aisino Corp
Priority to CN201610941956.0A priority Critical patent/CN107977386A/zh
Publication of CN107977386A publication Critical patent/CN107977386A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2216/00Indexing scheme relating to additional aspects of information retrieval not explicitly covered by G06F16/00 and subgroups
    • G06F2216/03Data mining

Landscapes

  • Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明涉及审计数据处理领域,公开了一种识别审计事件中的敏感用户的方法及装置,所述方法包括:基于预设时间窗口范围内的公钥基础设施PKI平台审计事件构建用户网络,其中所述用户网络以用户为节点,且以各用户间的审计事件关联关系为节点间的边关系;计算所述用户网络中各用户的用户属性值、事件特征值及边权值;以及基于所获取的用户属性值、事件特征值及边权值,采用PageRank算法计算用户网络中各节点的影响力值,识别出影响力靠前的敏感用户。本发明可以实现对PKI平台上审计事件数据进行更加深入的挖掘分析,减少了时间轴上的干扰数据,更加容易的识别出在特定时间段内PKI平台上存在异常操作的敏感用户,有效提高了PKI平台的安全性和可靠性。

Description

一种识别审计事件中的敏感用户的方法及装置
技术领域
本发明涉及审计数据处理领域,具体地,涉及一种识别审计事件中的敏感用户的方法及装置。
背景技术
PKI(Public Key Infrastructure,公钥基础设施)是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI平台的搭建主要涉及权威认证机构(Certificate Authority,简称为CA)、注册机构(Registration Authority,简称为RA)、数字证书库、密钥备份及恢复系统、证书作废系统等多个系统的搭建。为了实现多个系统的一体化安全管理机制,通常会统一记录所有与安全相关的历史操作事件信息来作为审计记录,一条审计记录通常包括审计事件的时间、用户、类型、是否成功等审计事件,而这些审计事件通常与密钥、证书等操作相关。审计事件可以为安全人员提供足够多的信息,使他们能够准确定位已存在的安全漏洞和跟踪潜在的安全隐患。
但是,活跃的PKI平台上每天会产生大量的审计事件,而目前这些数据往往只起到日志作用,数据的预处理过程较少,仅以列表形式独立展示,缺乏有效的分析和深度挖掘,导致在PKI平台运行过程中很多敏感的规律性、特征性的数据遗漏。因此需要对审计事件进行分析。
但是,目前用来分析审计事件的方法都存在一定的不足,如:专家系统过分依赖于事先人为建立的知识库;模式匹配的准确性取决于事先定义的系统特征库;数理统计中的“阈值”往往取决于管理员的经验,导致不可避免的误报和漏报;免疫系统虽然在理论上行之有效,但实际应用时检测率和准确率不够;数据挖掘作为一项通用的知识发现技术,可从海量数据中提取出人们感兴趣的数据信息,这与分析审计事件的需求相吻合,但如何根据具体应用场景提出合适的挖掘算法是一个难点。因此,提出一种新的、智能化的安全审计事件分析方案来准确地、客观地识别PKI平台上的敏感用户是非常必要的。
发明内容
本发明的目的是提供一种识别审计事件中的敏感用户的方法及装置,用于实现准确地、客观地识别PKI平台上的敏感用户。
为了实现上述目的,本发明提供一种识别审计事件中的敏感用户的方法,该方法包括:基于预设时间窗口范围内的公钥基础设施PKI平台审计事件构建用户网络,其中所述用户网络以用户为节点,且以各用户间的审计事件关联关系为节点间的边关系;计算所述用户网络中各用户的用户属性值、事件特征值及边权值;以及基于所获取的用户属性值、事件特征值及边权值,采用PageRank算法计算用户网络中各节点的影响力值,识别出影响力靠前的敏感用户。
可选地,所述基于预设时间窗口范围内的PKI平台审计事件构建用户网络包括:将审计事件按时间线排序,读取预设时间窗口范围内的审计事件,并按事件类型对所读取的审计事件进行分类;对各审计事件相关的用户按用户操作时间进行排序,以获得用户集合;以及构建以用户集合中的用户为节点的用户网络,并在相同事件类型的审计事件所相关的节点之间建立边关系,并根据审计事件的执行顺序建立边关系的指向性。
可选地,计算所述用户网络中各用户的用户属性值包括:根据用户的多个属性特征及各属性特征的比重计算用户属性值;其中,所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果。
可选地,计算所述用户网络中各用户的事件特征值包括:根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值。
可选地,计算所述用户网络中各用户的边权值包括:预设初始边权值为0,在检测到两个节点之间存在边关系时,使该两个节点的边所对应的边权值加1。
可选地,采用PageRank算法计算用户网络中各节点的影响力值包括:
采用以下公式计算各节点之间的转移概率,
其中,uij表示节点ui与节点uj之间的转移概率,UIi表示第i个节点的用户属性值,TIi表示第i个节点的事件特征值,wj→i表示第j个节点与第i个节点之间的边关系所对应的边权值,α、β和γ分别为UIi、TIi及wj→i在转移概率uij中所占的比重值,且α+β+γ=1,d为阻尼因子,k为用户节点集合O(j)中的任意第k个用户节点;
采用以下公式计算各节点的影响力值,
其中,IRt+1(i)为节点ui迭代t+1次后的影响力值,IRt(j)是节点uj迭代t次后的影响力值,,n为节点总数。
本发明还提供了一种识别审计事件中的敏感用户的装置,该装置包括:网络构建模块,用于基于预设时间窗口范围内的PKI平台审计事件构建用户网络,其中所述用户网络以用户为节点,且以各用户间的审计事件关联关系为节点间的边关系;计算模块,用于计算所述用户网络中各用户的用户属性值、事件特征值及边权值;以及识别模块,用于基于所获取的用户属性值、事件特征值及边权值,采用PageRank算法计算用户网络中各节点的影响力值,识别出影响力靠前的敏感用户。
可选地,所述网络构建模块包括:处理子模块,用于将审计事件按时间线排序,读取预设时间窗口范围内的审计事件,并按事件类型对所读取的审计事件进行分类;排序子模块,对各审计事件相关的用户按用户操作时间进行排序,以获得用户集合;以及构建子模块,用于构建以用户集合中的用户为节点的用户网络,并在相同事件类型的审计事件所相关的节点之间建立边关系,并根据审计事件的执行顺序建立边关系的指向性。
可选地,所述计算模块包括:第一计算子模块,用于根据用户的多个属性特征及各属性特征的比重计算用户属性值;其中,所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果;第二计算子模块,用于根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值;以及第三计算子模块,用于预设初始边权值为0,并在检测到两个节点之间存在审计事件关联关系时,使该两个节点之间的边所对应的边权值加1。
可选地,所述识别模块包括:第四计算子模块,用于采用以下公式计算各节点之间的转移概率,
其中,uij表示节点ui与节点uj之间的转移概率,UIi表示第i个节点的用户属性值,TIi表示第i个节点的事件特征值,wj→i表示第j个节点与第i个节点之间的边关系所对应的边权值,α、β和γ分别为UIi、TIi及wj→i在转移概率uij中所占的比重值,d为阻尼因子,k为用户节点集合O(j)中的任意第k个用户节点;
第五计算子模块,用于采用以下公式计算各节点的影响力值,
其中,IRt+1(i)为节点ui迭代t+1次后的影响力值,IRt(j)是节点uj迭代t次后的影响力值,n为节点总数。
本发明的有益效果是:本发明实施例的识别审计事件中的敏感用户的方法及装置可以实现对PKI平台上审计事件数据进行更加深入的挖掘分析,极大减少了时间轴上的干扰数据,方便相关人员更加容易的识别出在特定时间段内PKI平台上存在异常操作的敏感用户,有效提高了PKI平台的安全性和可靠性。
本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。在附图中:
图1是本发明实施例所述的识别审计事件中的敏感用户的方法的流程示意;
图2是本发明实施例中构建用户网络的流程示意图;
图3是本发明实施例所述的识别审计事件中的敏感用户的装置的结构示意;
图4是本发明实施例中的网络构建模块的结构示意图;
图5是本发明实施例中的计算模块的结构示意图;
图6是本发明实施例中的处理模块的结构示意图。
附图标记说明
31 网络构建模块 32 计算模块
33 识别模块 311 处理子模块
312 排序子模块 313 构建子模块
321 第一计算子模块 322 第二计算子模块
323 第三计算子模块 331 第四计算子模块
332 第五计算子模块
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
在本发明实施例中所提到的“第一、第二、第三……”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。
目前,PageRank算法主要是通过用户间的某些内在联系构成的网络来计算用户的重要性。本发明实施例利用PageRank算法的基本思路,针对PKI平台的具体场景,提出了一种基于改进PageRank算法的识别审计事件中的敏感用户的方法。图1即示出了本发明实施例所述的识别审计事件中的敏感用户的方法的流程。
如图1所示,本发明实施例所述的识别审计事件中的敏感用户的方法主要包括以下步骤:
步骤S11,基于预设时间窗口范围内的PKI平台审计事件构建用户网络。
其中,该步骤S11中构建的用户网络以用户为节点,且以各用户间的审计事件关联关系为节点间的边关系。
如图2所示,该步骤中构建用户网络的主要步骤包括:
步骤S111,将审计事件按时间线排序,读取预设时间窗口范围内的审计事件,并按事件类型对所读取的审计事件进行分类。
具体的,将PKI平台获取的所有审计事件(或审计数据)按时间线排序,设时间窗口为T,读取T范围内的审计事件集合E,再进行审计事件的分类。
优选地,可以参考以下的表1,按照审计事件类型来对审计事件进行分类,但分类方式并不限制于此。
表1审计事件分类表
步骤S112,对各审计事件相关的用户按用户操作时间进行排序,以获得用户集合。
具体地,设任意审计事件ei∈E,将ei相关用户按用户操作时间进行排序,则可获得用户集合Ni={n1,n2,…,nk}。
步骤S113,构建以用户集合中的用户为节点的用户网络,并在相同事件类型的审计事件所相关的节点之间建立边关系,并根据审计事件的执行顺序建立边关系的指向性。
其中,用户网络也可称为事件传播网。
其中,相同事件类型的审计事件表明审计事件间存在关联关系,从而在具有关联关系的审计事件所相关的节点之间建立边关系。
具体地,步骤S113中提取节点和边关系可以包括以下步骤:
第1)步,设用户网络为R(VR,ER),VR表示T范围内的用户集合,ER表示用户之间的边关系,u、v表示用户,其中w表示用户u与用户v之间的边关系的权值,即边权值,对应的边关系可写为也可写为wj→i或者w(u→v)。
第2)步,初始化R,
第3)步,从用户集合Ni中提取边关系集合如下:
任取Er中元素ew(u→v),若表明边关系不存在,直接将ew(u→v)加入ER,边权值为0,反之,将该边关系对应的边权值加1。
第4)步,若加入VR,反之不做处理。
第5)步,重复第3)-4)步,直至遍历用户集合E中所有元素。
第6)步,输出R(VR,ER),用户网络构建完成。
步骤S12,计算所述用户网络中各用户的用户属性值、事件特征值及边权值。
优选地,计算所述用户网络中各用户的用户属性值包括:根据用户的多个属性特征及各属性特征的比重计算用户属性值。
其中,所述多个属性特征至少包括:用户类型Utype,用户信息完整度Uinf,利用这两类指标可评价用户的信用度;用户执行操作的次数Ttimes、执行操作的频次Tfre,执行操作的执行结果(成功与否)Tresult,利用这三类指标来评价用户的行为可靠性。对这个5个属性特征指标进行量化,通过PCA主成分分析法,可确定各属性特征的比重,再根据以下公式计算用户属性值UI。
UI=α′×Utype+β′×Uinf+χ′×Ttimes+δ′×Tfre+ε′×Tresult
其中,α′、β′、χ′、δ′、ε′分别为各属性特征的比重。
优选地,计算所述用户网络中各用户的事件特征值包括:根据表1中描述的不同类型审计事件,综合考虑不同类型审计事件的安全性及重要度,以对审计事件按照密钥相关、证书相关、数据相关、其他四个类别进行排序,据此特征值可以依次取值为4、3、2、1。
优选地,计算所述用户网络中各用户的边权值包括:预设初始边权值为0,在检测到两个节点之间存在边关系时,使该两个节点的边所对应的边权值加1。
步骤S13,基于所获取的用户属性值、事件特征值及边权值,采用PageRank算法计算用户网络中各节点的影响力值,识别出影响力靠前的敏感用户。
具体地,首先定义转移矩阵M,便于表示用户节点间的转移概率,设事件传播网中有n个用户节点,则M为一个n×n的方阵,元素uij为方阵M中第i行第j列的元素,它表示由第j个节点(即节点uj)到第i个节点(即节点ui)的转移概率,其中,使用位置向量V来表示影响力进入事件传播网后所处的位置,V由n维列向量组成,V中的每一个分量代表处于相应节点的概率,考虑到首次进入事件传播网时节点的选择是不确定的,因此用来作为初始位置向量,用vt表示转移t次后的位置向量,则迭代计算公式如下式:
vt+1=M·vt
对于vt+1中的第i个分量其计算公式为:
进一步地,可以采用以下公式(1)计算各节点之间的转移概率,
其中,UIi表示第i个节点的用户属性值,TIi表示第i个节点的事件特征值,wj→i表示第j个节点与第i个节点之间的边关系所对应的边权值,α、β和γ分别为UIi、TIi及wj→i在转移概率uij中所占的比重值,且α+β+γ=1,d为阻尼因子,k为用户集合O(j)中对应的任意第k个节点。其中,UIi、TIi及wj→i的计算可参考上文。
其中,阻尼因子d优选为取0.85。
进一步地,计算各节点的影响力值的迭代计算公式如公式(2)所示,
其中IRt+1(i)为节点ui迭代t+1次后的影响力值,IRt(j)是节点uj迭代t次后的影响力值,n是构成的用户网络的有向图中的节点总数。
结合公式(1)和公式(2),设α=β=γ=1/3时,计算影响力值的公式可以转变化以下的公式(3):
其中,IRt+1(i)为节点ui迭代t+1次后的影响力值,n为节点总数。
通过公式(3)迭代计算到结果趋于稳定后,输出IR(i),得到用户最终排名结果,排名靠前的用户可认为是在时间窗口T范围内的敏感用户。
本实施例中计算影响力值的算法与传统的PageRank算法的主要区别在于转移概率uij的计算方式,在传统的基于PageRank的用户影响力分析算法中,节点间的转移概率平均分配,所以游走方式完全随机,所以转移概率其中用户节点j指向的用户节点集合由U(j)来表示。而本实施例中计算转移概率uij综合考虑了三点指标,即用户的个人属性、事件相关性、用户节点之间的传播关系的权值。
另外,需说明的是,本发明实施例并不限制上述步骤S11-S13以及步骤S111-S113的执行顺序,本领域技术人员可根据实际场景来调整各步骤的执行顺序。
综上所述,本发明实施例提出了适用于PKI平台审计数据的用户网络构建方法,将特定时间段内PKI平台上产生的大量审计事件数据,从用户的角度有效关联在一起,进而方便后续潜在规律的挖掘。同时,本发明实施例进一步提出了适用于PKI平台审计数据的PageRank改进算法,通过综合考虑用户属性、事件特征及边权重三类因素,实现了对特定时间段内PKI平台上敏感用户的准确、客观的识别。
因此,本发明实施例的识别审计事件中的敏感用户的方法可以实现对PKI平台上审计事件数据进行更加深入的挖掘分析,极大减少了时间轴上的干扰数据,方便相关人员更加容易的识别出在特定时间段内PKI平台上存在异常操作的敏感用户,有效提高了PKI平台的安全性和可靠性。
基于与上述实施例的识别审计事件中的敏感用户的方法相同的发明思路,本发明另一实施例还提供了一种识别审计事件中的敏感用户的装置,如图3所示,该装置包括:网络构建模块31,用于基于预设时间窗口范围内的PKI平台审计事件构建用户网络,其中所述用户网络以用户为节点,且以各用户间的审计事件关联关系为节点间的边关系;计算模块32,用于计算所述用户网络中各用户的用户属性值、事件特征值及边权值;以及识别模块33,用于基于所获取的用户属性值、事件特征值及边权值,采用PageRank算法计算用户网络中各节点的影响力值,识别出影响力靠前的敏感用户。
进一步地,如图4所示,所述网络构建模块31可以包括:处理子模块311,用于将审计事件按时间线排序,读取预设时间窗口范围内的审计事件,并按事件类型对所读取的审计事件进行分类;排序子模块312,对各审计事件相关的用户按用户操作时间进行排序,以获得用户集合;以及构建子模块313,用于构建以用户集合中的用户为节点的用户网络,并在相同事件类型的审计事件所相关的节点之间建立边关系,并根据审计事件的执行顺序建立边关系的指向性。
进一步地,如图5所示,所述计算模块32可以包括:第一计算子模块321,用于根据用户的多个属性特征及各属性特征的比重计算用户属性值;其中,所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果;第二计算子模块322,用于根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值;以及第三计算子模块323,用于预设初始边权值为0,并在检测到两个节点之间存在审计事件关联关系时,使该两个节点之间的边所对应的边权值加1。
进一步地,如图6所示,所述识别模块33可以包括:第四计算子模块331及第五计算子模块332。
其中,第四计算子模块331采用上述的公式(1)进行转移概率的计算,并采用上述的公式(2)和公式(3)进行影响力值的计算。
本实施例所述的识别审计事件中的敏感用户的装置与上述的识别审计事件中的敏感用户的方法的具体实施细节相一致,且能取得同样的有益效果,故在此不再赘述。
本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤、流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上结合附图详细描述了本发明的优选实施方式,但是,本发明并不限于上述实施方式中的具体细节,在本发明的技术构思范围内,可以对本发明的技术方案进行多种简单变型,这些简单变型均属于本发明的保护范围。
另外需要说明的是,在上述具体实施方式中所描述的各个具体技术特征,在不矛盾的情况下,可以通过任何合适的方式进行组合。为了避免不必要的重复,本发明对各种可能的组合方式不再另行说明。
此外,本发明的各种不同的实施方式之间也可以进行任意组合,只要其不违背本发明的思想,其同样应当视为本发明所公开的内容。

Claims (10)

1.一种识别审计事件中的敏感用户的方法,其特征在于,该方法包括:
基于预设时间窗口范围内的公钥基础设施PKI平台审计事件构建用户网络,其中所述用户网络以用户为节点,且以各用户间的审计事件关联关系为节点间的边关系;
计算所述用户网络中各用户的用户属性值、事件特征值及边权值;以及
基于所获取的用户属性值、事件特征值及边权值,采用PageRank算法计算用户网络中各节点的影响力值,识别出影响力靠前的敏感用户。
2.根据权利要求1所述的方法,其特征在于,所述基于预设时间窗口范围内的PKI平台审计事件构建用户网络包括:
将审计事件按时间线排序,读取预设时间窗口范围内的审计事件,并按事件类型对所读取的审计事件进行分类;
对各审计事件相关的用户按用户操作时间进行排序,以获得用户集合;以及
构建以用户集合中的用户为节点的用户网络,并在相同事件类型的审计事件所相关的节点之间建立边关系,并根据审计事件的执行顺序建立边关系的指向性。
3.根据权利要求1所述的方法,其特征在于,计算所述用户网络中各用户的用户属性值包括:
根据用户的多个属性特征及各属性特征的比重计算用户属性值;
其中,所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果。
4.根据权利要求1所述的方法,其特征在于,计算所述用户网络中各用户的事件特征值包括:
根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值。
5.根据权利要求1所述的方法,其特征在于,计算所述用户网络中各用户的边权值包括:
预设初始边权值为0,在检测到两个节点之间存在边关系时,使该两个节点的边所对应的边权值加1。
6.根据权利要求1所述的方法,其特征在于,采用PageRank算法计算用户网络中各节点的影响力值包括:
采用以下公式计算各节点之间的转移概率,
<mrow> <msub> <mi>u</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>=</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <mi>d</mi> <mo>)</mo> </mrow> <mo>+</mo> <mi>d</mi> <mrow> <mo>(</mo> <mi>&amp;alpha;</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>UI</mi> <mi>i</mi> </msub> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>UI</mi> <mi>k</mi> </msub> </mrow> </mfrac> <mo>+</mo> <mi>&amp;beta;</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>TI</mi> <mi>i</mi> </msub> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>TI</mi> <mi>k</mi> </msub> </mrow> </mfrac> <mo>+</mo> <mi>&amp;gamma;</mi> <mo>&amp;times;</mo> <mfrac> <msub> <mi>w</mi> <mrow> <mi>j</mi> <mo>&amp;RightArrow;</mo> <mi>i</mi> </mrow> </msub> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>w</mi> <mrow> <mi>j</mi> <mo>&amp;RightArrow;</mo> <mi>k</mi> </mrow> </msub> </mrow> </mfrac> <mo>)</mo> </mrow> </mrow>
其中,uij表示节点ui与节点uj之间的转移概率,UIi表示第i个节点的用户属性值,TIi表示第i个节点的事件特征值,wj→i表示第j个节点与第i个节点之间的边关系所对应的边权值,α、β和γ分别为UIi、TIi及wj→i在转移概率uij中所占的比重值,且α+β+γ=1,d为阻尼因子,k为用户节点集合O(j)中的任意第k个用户节点;
采用以下公式计算各节点的影响力值,
<mrow> <msub> <mi>IR</mi> <mrow> <mi>t</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mrow> <mo>(</mo> <msub> <mi>IR</mi> <mi>t</mi> </msub> <mo>(</mo> <mi>j</mi> <mo>)</mo> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>)</mo> </mrow> </mrow>
其中,IRt+1(i)为节点ui迭代t+1次后的影响力值,IRt(j)是节点uj迭代t次后的影响力值,n为节点总数。
7.一种识别审计事件中的敏感用户的装置,其特征在于,该装置包括:
网络构建模块,用于基于预设时间窗口范围内的PKI平台审计事件构建用户网络,其中所述用户网络以用户为节点,且以各用户间的审计事件关联关系为节点间的边关系;
计算模块,用于计算所述用户网络中各用户的用户属性值、事件特征值及边权值;以及
识别模块,用于基于所获取的用户属性值、事件特征值及边权值,采用PageRank算法计算用户网络中各节点的影响力值,识别出影响力靠前的敏感用户。
8.根据权利要求7所述的装置,其特征在于,所述网络构建模块包括:
处理子模块,用于将审计事件按时间线排序,读取预设时间窗口范围内的审计事件,并按事件类型对所读取的审计事件进行分类;
排序子模块,对各审计事件相关的用户按用户操作时间进行排序,以获得用户集合;以及
构建子模块,用于构建以用户集合中的用户为节点的用户网络,并在相同事件类型的审计事件所相关的节点之间建立边关系,并根据审计事件的执行顺序建立边关系的指向性。
9.根据权利要求7所述的装置,其特征在于,所述计算模块包括:
第一计算子模块,用于根据用户的多个属性特征及各属性特征的比重计算用户属性值;其中,所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果;
第二计算子模块,用于根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值;以及
第三计算子模块,用于预设初始边权值为0,并在检测到两个节点之间存在审计事件关联关系时,使该两个节点之间的边所对应的边权值加1。
10.根据权利要求7所述的装置,其特征在于,所述识别模块包括:
第四计算子模块,用于采用以下公式计算各节点之间的转移概率,
<mrow> <msub> <mi>u</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>=</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <mi>d</mi> <mo>)</mo> </mrow> <mo>+</mo> <mi>d</mi> <mrow> <mo>(</mo> <mi>&amp;alpha;</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>UI</mi> <mi>i</mi> </msub> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>UI</mi> <mi>k</mi> </msub> </mrow> </mfrac> <mo>+</mo> <mi>&amp;beta;</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>TI</mi> <mi>i</mi> </msub> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>TI</mi> <mi>k</mi> </msub> </mrow> </mfrac> <mo>+</mo> <mi>&amp;gamma;</mi> <mo>&amp;times;</mo> <mfrac> <msub> <mi>w</mi> <mrow> <mi>j</mi> <mo>&amp;RightArrow;</mo> <mi>i</mi> </mrow> </msub> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>w</mi> <mrow> <mi>j</mi> <mo>&amp;RightArrow;</mo> <mi>k</mi> </mrow> </msub> </mrow> </mfrac> <mo>)</mo> </mrow> </mrow>
其中,uij表示节点ui与节点uj之间的转移概率,UIi表示第i个节点的用户属性值,TIi表示第i个节点的事件特征值,wj→i表示第j个节点与第i个节点之间的边关系所对应的边权值,α、β和γ分别为UIi、TIi及wj→i在转移概率uij中所占的比重值,d为阻尼因子,k为用户节点集合O(j)中的任意第k个用户节点;
第五计算子模块,用于采用以下公式计算各节点的影响力值,
<mrow> <msub> <mi>IR</mi> <mrow> <mi>t</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mrow> <mo>(</mo> <msub> <mi>IR</mi> <mi>t</mi> </msub> <mo>(</mo> <mi>j</mi> <mo>)</mo> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>)</mo> </mrow> </mrow>
其中,IRt+1(i)为节点ui迭代t+1次后的影响力值,IRt(j)是节点uj迭代t次后的影响力值,n为节点总数。
CN201610941956.0A 2016-10-25 2016-10-25 一种识别审计事件中的敏感用户的方法及装置 Pending CN107977386A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610941956.0A CN107977386A (zh) 2016-10-25 2016-10-25 一种识别审计事件中的敏感用户的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610941956.0A CN107977386A (zh) 2016-10-25 2016-10-25 一种识别审计事件中的敏感用户的方法及装置

Publications (1)

Publication Number Publication Date
CN107977386A true CN107977386A (zh) 2018-05-01

Family

ID=62004181

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610941956.0A Pending CN107977386A (zh) 2016-10-25 2016-10-25 一种识别审计事件中的敏感用户的方法及装置

Country Status (1)

Country Link
CN (1) CN107977386A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110011862A (zh) * 2019-04-23 2019-07-12 深圳大学 基于时间平衡的网络节点识别方法、装置及计算机设备
CN110784862A (zh) * 2019-10-24 2020-02-11 国家计算机网络与信息安全管理中心 一种基于用户通联数据的移动用户影响力评估方法和系统
CN110798467A (zh) * 2019-10-30 2020-02-14 腾讯科技(深圳)有限公司 目标对象识别方法、装置、计算机设备及存储介质
CN111090885A (zh) * 2019-12-20 2020-05-01 北京天融信网络安全技术有限公司 一种用户行为审计方法、装置、电子设备及存储介质
CN111259088A (zh) * 2020-01-13 2020-06-09 中孚安全技术有限公司 一种基于画像技术的用户网络行为审计建模方法
CN111291334A (zh) * 2018-12-07 2020-06-16 中国移动通信集团陕西有限公司 一种操作行为安全审计方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150363791A1 (en) * 2014-01-10 2015-12-17 Hybrid Application Security Ltd. Business action based fraud detection system and method
CN105260474A (zh) * 2015-10-29 2016-01-20 俞定国 一种基于信息交互网络的微博用户影响力计算方法
CN105630800A (zh) * 2014-10-29 2016-06-01 杭州师范大学 一种节点重要性排序的方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150363791A1 (en) * 2014-01-10 2015-12-17 Hybrid Application Security Ltd. Business action based fraud detection system and method
CN105630800A (zh) * 2014-10-29 2016-06-01 杭州师范大学 一种节点重要性排序的方法和系统
CN105260474A (zh) * 2015-10-29 2016-01-20 俞定国 一种基于信息交互网络的微博用户影响力计算方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
马俊: "基于话题传播的微博用户影响力分析", 《中国优秀硕士学位论文全文数据库》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111291334A (zh) * 2018-12-07 2020-06-16 中国移动通信集团陕西有限公司 一种操作行为安全审计方法及装置
CN110011862A (zh) * 2019-04-23 2019-07-12 深圳大学 基于时间平衡的网络节点识别方法、装置及计算机设备
CN110011862B (zh) * 2019-04-23 2022-03-11 深圳大学 基于时间平衡的网络节点识别方法、装置及计算机设备
CN110784862A (zh) * 2019-10-24 2020-02-11 国家计算机网络与信息安全管理中心 一种基于用户通联数据的移动用户影响力评估方法和系统
CN110798467A (zh) * 2019-10-30 2020-02-14 腾讯科技(深圳)有限公司 目标对象识别方法、装置、计算机设备及存储介质
CN111090885A (zh) * 2019-12-20 2020-05-01 北京天融信网络安全技术有限公司 一种用户行为审计方法、装置、电子设备及存储介质
CN111259088A (zh) * 2020-01-13 2020-06-09 中孚安全技术有限公司 一种基于画像技术的用户网络行为审计建模方法
CN111259088B (zh) * 2020-01-13 2024-04-26 中孚安全技术有限公司 一种基于画像技术的用户网络行为审计建模方法

Similar Documents

Publication Publication Date Title
CN107977386A (zh) 一种识别审计事件中的敏感用户的方法及装置
Tait t W− mode of single top quark production
Lin et al. Probabilistic deep autoencoder for power system measurement outlier detection and reconstruction
CN110111110A (zh) 基于知识图谱检测欺诈的方法和装置、存储介质
Anwar et al. A data-driven approach to distinguish cyber-attacks from physical faults in a smart grid
CN106201886A (zh) 一种实时数据任务的验证的代理方法及装置
Dushkin et al. An improved method for predicting the evolution of the characteristic parameters of an information system
CN108650614A (zh) 一种自动推断社会关系的移动用户位置预测方法与装置
US20230052730A1 (en) Method for predicting operation state of power distribution network with distributed generations based on scene analysis
CN107169499A (zh) 一种风险识别方法及装置
Sheykhkanloo Employing neural networks for the detection of SQL injection attack
CN107592296A (zh) 垃圾账户的识别方法和装置
Ajdani et al. Introduced a new method for enhancement of intrusion detection with random forest and PSO algorithm
CN114091034A (zh) 一种安全渗透测试方法、装置、电子设备及存储介质
Zhang et al. Identification of SNM based on low-resolution gamma-ray characteristics and neural network
CN108073597A (zh) 页面点击行为展示方法、装置和系统
CN108961019A (zh) 一种用户账户的检测方法和装置
De Moor et al. Assessing the missing data problem in criminal network analysis using forensic DNA data
Vintr et al. Evaluation of physical protection system effectiveness
CN116962093B (zh) 基于云计算的信息传输安全性监测方法及系统
Kin et al. Machine learning approach for gamma-ray spectra identification for radioactivity analysis
Petersen Data mining for network intrusion detection: A comparison of data mining algorithms and an analysis of relevant features for detecting cyber-attacks
Chen et al. Bandit strategies in social search: the case of the DARPA red balloon challenge
CN110135196A (zh) 一种基于输入数据压缩表示关联分析的数据融合防篡改方法
Anand et al. Vulnerability discovery modelling: a general framework

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20180501

RJ01 Rejection of invention patent application after publication