CN107977386A - 一种识别审计事件中的敏感用户的方法及装置 - Google Patents

Abstract

本发明涉及审计数据处理领域，公开了一种识别审计事件中的敏感用户的方法及装置，所述方法包括：基于预设时间窗口范围内的公钥基础设施PKI平台审计事件构建用户网络，其中所述用户网络以用户为节点，且以各用户间的审计事件关联关系为节点间的边关系；计算所述用户网络中各用户的用户属性值、事件特征值及边权值；以及基于所获取的用户属性值、事件特征值及边权值，采用PageRank算法计算用户网络中各节点的影响力值，识别出影响力靠前的敏感用户。本发明可以实现对PKI平台上审计事件数据进行更加深入的挖掘分析，减少了时间轴上的干扰数据，更加容易的识别出在特定时间段内PKI平台上存在异常操作的敏感用户，有效提高了PKI平台的安全性和可靠性。

Description

一种识别审计事件中的敏感用户的方法及装置

技术领域

本发明涉及审计数据处理领域，具体地，涉及一种识别审计事件中的敏感用户的方法及装置。

背景技术

PKI（Public Key Infrastructure，公钥基础设施）是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI平台的搭建主要涉及权威认证机构（Certificate Authority，简称为CA）、注册机构（Registration Authority，简称为RA）、数字证书库、密钥备份及恢复系统、证书作废系统等多个系统的搭建。为了实现多个系统的一体化安全管理机制，通常会统一记录所有与安全相关的历史操作事件信息来作为审计记录，一条审计记录通常包括审计事件的时间、用户、类型、是否成功等审计事件，而这些审计事件通常与密钥、证书等操作相关。审计事件可以为安全人员提供足够多的信息，使他们能够准确定位已存在的安全漏洞和跟踪潜在的安全隐患。

但是，活跃的PKI平台上每天会产生大量的审计事件，而目前这些数据往往只起到日志作用，数据的预处理过程较少，仅以列表形式独立展示，缺乏有效的分析和深度挖掘，导致在PKI平台运行过程中很多敏感的规律性、特征性的数据遗漏。因此需要对审计事件进行分析。

但是，目前用来分析审计事件的方法都存在一定的不足，如：专家系统过分依赖于事先人为建立的知识库；模式匹配的准确性取决于事先定义的系统特征库；数理统计中的“阈值”往往取决于管理员的经验，导致不可避免的误报和漏报；免疫系统虽然在理论上行之有效，但实际应用时检测率和准确率不够；数据挖掘作为一项通用的知识发现技术，可从海量数据中提取出人们感兴趣的数据信息，这与分析审计事件的需求相吻合，但如何根据具体应用场景提出合适的挖掘算法是一个难点。因此，提出一种新的、智能化的安全审计事件分析方案来准确地、客观地识别PKI平台上的敏感用户是非常必要的。

发明内容

本发明的目的是提供一种识别审计事件中的敏感用户的方法及装置，用于实现准确地、客观地识别PKI平台上的敏感用户。

为了实现上述目的，本发明提供一种识别审计事件中的敏感用户的方法，该方法包括：基于预设时间窗口范围内的公钥基础设施PKI平台审计事件构建用户网络，其中所述用户网络以用户为节点，且以各用户间的审计事件关联关系为节点间的边关系；计算所述用户网络中各用户的用户属性值、事件特征值及边权值；以及基于所获取的用户属性值、事件特征值及边权值，采用PageRank算法计算用户网络中各节点的影响力值，识别出影响力靠前的敏感用户。

可选地，所述基于预设时间窗口范围内的PKI平台审计事件构建用户网络包括：将审计事件按时间线排序，读取预设时间窗口范围内的审计事件，并按事件类型对所读取的审计事件进行分类；对各审计事件相关的用户按用户操作时间进行排序，以获得用户集合；以及构建以用户集合中的用户为节点的用户网络，并在相同事件类型的审计事件所相关的节点之间建立边关系，并根据审计事件的执行顺序建立边关系的指向性。

可选地，计算所述用户网络中各用户的用户属性值包括：根据用户的多个属性特征及各属性特征的比重计算用户属性值；其中，所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果。

可选地，计算所述用户网络中各用户的事件特征值包括：根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值。

可选地，计算所述用户网络中各用户的边权值包括：预设初始边权值为0，在检测到两个节点之间存在边关系时，使该两个节点的边所对应的边权值加1。

可选地，采用PageRank算法计算用户网络中各节点的影响力值包括：

采用以下公式计算各节点之间的转移概率，

其中，u_ij表示节点u_i与节点u_j之间的转移概率，UI_i表示第i个节点的用户属性值，TI_i表示第i个节点的事件特征值，w_j→i表示第j个节点与第i个节点之间的边关系所对应的边权值，α、β和γ分别为UI_i、TI_i及w_j→i在转移概率u_ij中所占的比重值，且α+β+γ=1，d为阻尼因子，k为用户节点集合O(j)中的任意第k个用户节点；

采用以下公式计算各节点的影响力值，

其中，IR_t+1(i)为节点u_i迭代t+1次后的影响力值，IR_t(j)是节点u_j迭代t次后的影响力值，，n为节点总数。

本发明还提供了一种识别审计事件中的敏感用户的装置，该装置包括：网络构建模块，用于基于预设时间窗口范围内的PKI平台审计事件构建用户网络，其中所述用户网络以用户为节点，且以各用户间的审计事件关联关系为节点间的边关系；计算模块，用于计算所述用户网络中各用户的用户属性值、事件特征值及边权值；以及识别模块，用于基于所获取的用户属性值、事件特征值及边权值，采用PageRank算法计算用户网络中各节点的影响力值，识别出影响力靠前的敏感用户。

可选地，所述网络构建模块包括：处理子模块，用于将审计事件按时间线排序，读取预设时间窗口范围内的审计事件，并按事件类型对所读取的审计事件进行分类；排序子模块，对各审计事件相关的用户按用户操作时间进行排序，以获得用户集合；以及构建子模块，用于构建以用户集合中的用户为节点的用户网络，并在相同事件类型的审计事件所相关的节点之间建立边关系，并根据审计事件的执行顺序建立边关系的指向性。

可选地，所述计算模块包括：第一计算子模块，用于根据用户的多个属性特征及各属性特征的比重计算用户属性值；其中，所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果；第二计算子模块，用于根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值；以及第三计算子模块，用于预设初始边权值为0，并在检测到两个节点之间存在审计事件关联关系时，使该两个节点之间的边所对应的边权值加1。

可选地，所述识别模块包括：第四计算子模块，用于采用以下公式计算各节点之间的转移概率，

其中，u_ij表示节点u_i与节点u_j之间的转移概率，UI_i表示第i个节点的用户属性值，TI_i表示第i个节点的事件特征值，w_j→i表示第j个节点与第i个节点之间的边关系所对应的边权值，α、β和γ分别为UI_i、TI_i及w_j→i在转移概率u_ij中所占的比重值，d为阻尼因子，k为用户节点集合O(j)中的任意第k个用户节点；

第五计算子模块，用于采用以下公式计算各节点的影响力值，

其中，IR_t+1(i)为节点u_i迭代t+1次后的影响力值，IR_t(j)是节点u_j迭代t次后的影响力值，n为节点总数。

本发明的有益效果是：本发明实施例的识别审计事件中的敏感用户的方法及装置可以实现对PKI平台上审计事件数据进行更加深入的挖掘分析，极大减少了时间轴上的干扰数据，方便相关人员更加容易的识别出在特定时间段内PKI平台上存在异常操作的敏感用户，有效提高了PKI平台的安全性和可靠性。

本发明的其它特征和优点将在随后的具体实施方式部分予以详细说明。

附图说明

附图是用来提供对本发明的进一步理解，并且构成说明书的一部分，与下面的具体实施方式一起用于解释本发明，但并不构成对本发明的限制。在附图中：

图1是本发明实施例所述的识别审计事件中的敏感用户的方法的流程示意；

图2是本发明实施例中构建用户网络的流程示意图；

图3是本发明实施例所述的识别审计事件中的敏感用户的装置的结构示意；

图4是本发明实施例中的网络构建模块的结构示意图；

图5是本发明实施例中的计算模块的结构示意图；

图6是本发明实施例中的处理模块的结构示意图。

附图标记说明

31 网络构建模块 32 计算模块

33 识别模块 311 处理子模块

312 排序子模块 313 构建子模块

321 第一计算子模块 322 第二计算子模块

323 第三计算子模块 331 第四计算子模块

332 第五计算子模块

具体实施方式

以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是，此处所描述的具体实施方式仅用于说明和解释本发明，并不用于限制本发明。

在本发明实施例中所提到的“第一、第二、第三……”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。

目前，PageRank算法主要是通过用户间的某些内在联系构成的网络来计算用户的重要性。本发明实施例利用PageRank算法的基本思路，针对PKI平台的具体场景，提出了一种基于改进PageRank算法的识别审计事件中的敏感用户的方法。图1即示出了本发明实施例所述的识别审计事件中的敏感用户的方法的流程。

如图1所示，本发明实施例所述的识别审计事件中的敏感用户的方法主要包括以下步骤：

步骤S11，基于预设时间窗口范围内的PKI平台审计事件构建用户网络。

其中，该步骤S11中构建的用户网络以用户为节点，且以各用户间的审计事件关联关系为节点间的边关系。

如图2所示，该步骤中构建用户网络的主要步骤包括：

步骤S111，将审计事件按时间线排序，读取预设时间窗口范围内的审计事件，并按事件类型对所读取的审计事件进行分类。

具体的，将PKI平台获取的所有审计事件（或审计数据）按时间线排序，设时间窗口为T，读取T范围内的审计事件集合E，再进行审计事件的分类。

优选地，可以参考以下的表1，按照审计事件类型来对审计事件进行分类，但分类方式并不限制于此。

表1审计事件分类表

步骤S112，对各审计事件相关的用户按用户操作时间进行排序，以获得用户集合。

具体地，设任意审计事件e_i∈E，将e_i相关用户按用户操作时间进行排序，则可获得用户集合N_i＝{n₁,n₂,…,n_k}。

步骤S113，构建以用户集合中的用户为节点的用户网络，并在相同事件类型的审计事件所相关的节点之间建立边关系，并根据审计事件的执行顺序建立边关系的指向性。

其中，用户网络也可称为事件传播网。

其中，相同事件类型的审计事件表明审计事件间存在关联关系，从而在具有关联关系的审计事件所相关的节点之间建立边关系。

具体地，步骤S113中提取节点和边关系可以包括以下步骤：

第1）步，设用户网络为R(VR,ER)，VR表示T范围内的用户集合，ER表示用户之间的边关系，u、v表示用户，其中w表示用户u与用户v之间的边关系的权值，即边权值，对应的边关系可写为也可写为w_j→i或者w(u→v)。

第2）步，初始化R，

第3）步，从用户集合N_i中提取边关系集合如下：

任取Er中元素e_w(u→v)，若表明边关系不存在，直接将e_w(u→v)加入ER，边权值为0，反之，将该边关系对应的边权值加1。

第4）步，若加入VR，反之不做处理。

第5）步，重复第3)-4)步，直至遍历用户集合E中所有元素。

第6）步，输出R(VR,ER)，用户网络构建完成。

步骤S12，计算所述用户网络中各用户的用户属性值、事件特征值及边权值。

优选地，计算所述用户网络中各用户的用户属性值包括：根据用户的多个属性特征及各属性特征的比重计算用户属性值。

其中，所述多个属性特征至少包括：用户类型U_type，用户信息完整度U_inf，利用这两类指标可评价用户的信用度；用户执行操作的次数T_times、执行操作的频次T_fre，执行操作的执行结果（成功与否）T_result，利用这三类指标来评价用户的行为可靠性。对这个5个属性特征指标进行量化，通过PCA主成分分析法，可确定各属性特征的比重，再根据以下公式计算用户属性值UI。

UI＝α′×U_type+β′×U_inf+χ′×T_times+δ′×T_fre+ε′×T_result

其中，α′、β′、χ′、δ′、ε′分别为各属性特征的比重。

优选地，计算所述用户网络中各用户的事件特征值包括：根据表1中描述的不同类型审计事件，综合考虑不同类型审计事件的安全性及重要度，以对审计事件按照密钥相关、证书相关、数据相关、其他四个类别进行排序，据此特征值可以依次取值为4、3、2、1。

优选地，计算所述用户网络中各用户的边权值包括：预设初始边权值为0，在检测到两个节点之间存在边关系时，使该两个节点的边所对应的边权值加1。

步骤S13，基于所获取的用户属性值、事件特征值及边权值，采用PageRank算法计算用户网络中各节点的影响力值，识别出影响力靠前的敏感用户。

具体地，首先定义转移矩阵M，便于表示用户节点间的转移概率，设事件传播网中有n个用户节点，则M为一个n×n的方阵，元素u_ij为方阵M中第i行第j列的元素，它表示由第j个节点（即节点u_j）到第i个节点（即节点u_i）的转移概率，其中，使用位置向量V来表示影响力进入事件传播网后所处的位置，V由n维列向量组成，V中的每一个分量代表处于相应节点的概率，考虑到首次进入事件传播网时节点的选择是不确定的，因此用来作为初始位置向量，用v_t表示转移t次后的位置向量，则迭代计算公式如下式：

v_t+1＝M·v_t

对于v_t+1中的第i个分量其计算公式为：

进一步地，可以采用以下公式（1）计算各节点之间的转移概率，

其中，UI_i表示第i个节点的用户属性值，TI_i表示第i个节点的事件特征值，w_j→i表示第j个节点与第i个节点之间的边关系所对应的边权值，α、β和γ分别为UI_i、TI_i及w_j→i在转移概率u_ij中所占的比重值，且α+β+γ=1，d为阻尼因子，k为用户集合O(j)中对应的任意第k个节点。其中，UI_i、TI_i及w_j→i的计算可参考上文。

其中，阻尼因子d优选为取0.85。

进一步地，计算各节点的影响力值的迭代计算公式如公式（2）所示，

其中IR_t+1(i)为节点u_i迭代t+1次后的影响力值，IR_t(j)是节点u_j迭代t次后的影响力值，n是构成的用户网络的有向图中的节点总数。

结合公式（1）和公式（2），设α=β=γ=1/3时，计算影响力值的公式可以转变化以下的公式（3）：

其中，IR_t+1(i)为节点u_i迭代t+1次后的影响力值，n为节点总数。

通过公式（3）迭代计算到结果趋于稳定后，输出IR(i)，得到用户最终排名结果，排名靠前的用户可认为是在时间窗口T范围内的敏感用户。

本实施例中计算影响力值的算法与传统的PageRank算法的主要区别在于转移概率u_ij的计算方式，在传统的基于PageRank的用户影响力分析算法中，节点间的转移概率平均分配，所以游走方式完全随机，所以转移概率其中用户节点j指向的用户节点集合由U(j)来表示。而本实施例中计算转移概率u_ij综合考虑了三点指标，即用户的个人属性、事件相关性、用户节点之间的传播关系的权值。

另外，需说明的是，本发明实施例并不限制上述步骤S11-S13以及步骤S111-S113的执行顺序，本领域技术人员可根据实际场景来调整各步骤的执行顺序。

综上所述，本发明实施例提出了适用于PKI平台审计数据的用户网络构建方法，将特定时间段内PKI平台上产生的大量审计事件数据，从用户的角度有效关联在一起，进而方便后续潜在规律的挖掘。同时，本发明实施例进一步提出了适用于PKI平台审计数据的PageRank改进算法，通过综合考虑用户属性、事件特征及边权重三类因素，实现了对特定时间段内PKI平台上敏感用户的准确、客观的识别。

因此，本发明实施例的识别审计事件中的敏感用户的方法可以实现对PKI平台上审计事件数据进行更加深入的挖掘分析，极大减少了时间轴上的干扰数据，方便相关人员更加容易的识别出在特定时间段内PKI平台上存在异常操作的敏感用户，有效提高了PKI平台的安全性和可靠性。

基于与上述实施例的识别审计事件中的敏感用户的方法相同的发明思路，本发明另一实施例还提供了一种识别审计事件中的敏感用户的装置，如图3所示，该装置包括：网络构建模块31，用于基于预设时间窗口范围内的PKI平台审计事件构建用户网络，其中所述用户网络以用户为节点，且以各用户间的审计事件关联关系为节点间的边关系；计算模块32，用于计算所述用户网络中各用户的用户属性值、事件特征值及边权值；以及识别模块33，用于基于所获取的用户属性值、事件特征值及边权值，采用PageRank算法计算用户网络中各节点的影响力值，识别出影响力靠前的敏感用户。

进一步地，如图4所示，所述网络构建模块31可以包括：处理子模块311，用于将审计事件按时间线排序，读取预设时间窗口范围内的审计事件，并按事件类型对所读取的审计事件进行分类；排序子模块312，对各审计事件相关的用户按用户操作时间进行排序，以获得用户集合；以及构建子模块313，用于构建以用户集合中的用户为节点的用户网络，并在相同事件类型的审计事件所相关的节点之间建立边关系，并根据审计事件的执行顺序建立边关系的指向性。

进一步地，如图5所示，所述计算模块32可以包括：第一计算子模块321，用于根据用户的多个属性特征及各属性特征的比重计算用户属性值；其中，所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果；第二计算子模块322，用于根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值；以及第三计算子模块323，用于预设初始边权值为0，并在检测到两个节点之间存在审计事件关联关系时，使该两个节点之间的边所对应的边权值加1。

进一步地，如图6所示，所述识别模块33可以包括：第四计算子模块331及第五计算子模块332。

其中，第四计算子模块331采用上述的公式（1）进行转移概率的计算，并采用上述的公式（2）和公式（3）进行影响力值的计算。

本实施例所述的识别审计事件中的敏感用户的装置与上述的识别审计事件中的敏感用户的方法的具体实施细节相一致，且能取得同样的有益效果，故在此不再赘述。

本领域技术人员可以理解实现上述实施例方法中的全部或部分步骤、流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，是可以通过程序来指令相关的硬件来完成，该程序存储在一个存储介质中，包括若干指令用以使得一个（可以是单片机，芯片等）或处理器（processor）执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random Access Memory）、磁碟或者光盘等各种可以存储程序代码的介质。

以上结合附图详细描述了本发明的优选实施方式，但是，本发明并不限于上述实施方式中的具体细节，在本发明的技术构思范围内，可以对本发明的技术方案进行多种简单变型，这些简单变型均属于本发明的保护范围。

另外需要说明的是，在上述具体实施方式中所描述的各个具体技术特征，在不矛盾的情况下，可以通过任何合适的方式进行组合。为了避免不必要的重复，本发明对各种可能的组合方式不再另行说明。

此外，本发明的各种不同的实施方式之间也可以进行任意组合，只要其不违背本发明的思想，其同样应当视为本发明所公开的内容。

Claims (10)

1.一种识别审计事件中的敏感用户的方法，其特征在于，该方法包括：

基于预设时间窗口范围内的公钥基础设施PKI平台审计事件构建用户网络，其中所述用户网络以用户为节点，且以各用户间的审计事件关联关系为节点间的边关系；

计算所述用户网络中各用户的用户属性值、事件特征值及边权值；以及

基于所获取的用户属性值、事件特征值及边权值，采用PageRank算法计算用户网络中各节点的影响力值，识别出影响力靠前的敏感用户。

2.根据权利要求1所述的方法，其特征在于，所述基于预设时间窗口范围内的PKI平台审计事件构建用户网络包括：

将审计事件按时间线排序，读取预设时间窗口范围内的审计事件，并按事件类型对所读取的审计事件进行分类；

对各审计事件相关的用户按用户操作时间进行排序，以获得用户集合；以及

构建以用户集合中的用户为节点的用户网络，并在相同事件类型的审计事件所相关的节点之间建立边关系，并根据审计事件的执行顺序建立边关系的指向性。

3.根据权利要求1所述的方法，其特征在于，计算所述用户网络中各用户的用户属性值包括：

根据用户的多个属性特征及各属性特征的比重计算用户属性值；

其中，所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果。

4.根据权利要求1所述的方法，其特征在于，计算所述用户网络中各用户的事件特征值包括：

根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值。

5.根据权利要求1所述的方法，其特征在于，计算所述用户网络中各用户的边权值包括：

预设初始边权值为0，在检测到两个节点之间存在边关系时，使该两个节点的边所对应的边权值加1。

6.根据权利要求1所述的方法，其特征在于，采用PageRank算法计算用户网络中各节点的影响力值包括：

采用以下公式计算各节点之间的转移概率，

<mrow> <msub> <mi>u</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>=</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <mi>d</mi> <mo>)</mo> </mrow> <mo>+</mo> <mi>d</mi> <mrow> <mo>(</mo> <mi>&amp;alpha;</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>UI</mi> <mi>i</mi> </msub> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>UI</mi> <mi>k</mi> </msub> </mrow> </mfrac> <mo>+</mo> <mi>&amp;beta;</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>TI</mi> <mi>i</mi> </msub> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>TI</mi> <mi>k</mi> </msub> </mrow> </mfrac> <mo>+</mo> <mi>&amp;gamma;</mi> <mo>&amp;times;</mo> <mfrac> <msub> <mi>w</mi> <mrow> <mi>j</mi> <mo>&amp;RightArrow;</mo> <mi>i</mi> </mrow> </msub> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>w</mi> <mrow> <mi>j</mi> <mo>&amp;RightArrow;</mo> <mi>k</mi> </mrow> </msub> </mrow> </mfrac> <mo>)</mo> </mrow> </mrow>

其中，u_ij表示节点u_i与节点u_j之间的转移概率，UI_i表示第i个节点的用户属性值，TI_i表示第i个节点的事件特征值，w_j→i表示第j个节点与第i个节点之间的边关系所对应的边权值，α、β和γ分别为UI_i、TI_i及w_j→i在转移概率u_ij中所占的比重值，且α+β+γ＝1，d为阻尼因子，k为用户节点集合O(j)中的任意第k个用户节点；

采用以下公式计算各节点的影响力值，

<mrow> <msub> <mi>IR</mi> <mrow> <mi>t</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mrow> <mo>(</mo> <msub> <mi>IR</mi> <mi>t</mi> </msub> <mo>(</mo> <mi>j</mi> <mo>)</mo> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>)</mo> </mrow> </mrow>

其中，IR_t+1(i)为节点u_i迭代t+1次后的影响力值，IR_t(j)是节点u_j迭代t次后的影响力值，n为节点总数。

7.一种识别审计事件中的敏感用户的装置，其特征在于，该装置包括：

网络构建模块，用于基于预设时间窗口范围内的PKI平台审计事件构建用户网络，其中所述用户网络以用户为节点，且以各用户间的审计事件关联关系为节点间的边关系；

计算模块，用于计算所述用户网络中各用户的用户属性值、事件特征值及边权值；以及

识别模块，用于基于所获取的用户属性值、事件特征值及边权值，采用PageRank算法计算用户网络中各节点的影响力值，识别出影响力靠前的敏感用户。

8.根据权利要求7所述的装置，其特征在于，所述网络构建模块包括：

处理子模块，用于将审计事件按时间线排序，读取预设时间窗口范围内的审计事件，并按事件类型对所读取的审计事件进行分类；

排序子模块，对各审计事件相关的用户按用户操作时间进行排序，以获得用户集合；以及

构建子模块，用于构建以用户集合中的用户为节点的用户网络，并在相同事件类型的审计事件所相关的节点之间建立边关系，并根据审计事件的执行顺序建立边关系的指向性。

9.根据权利要求7所述的装置，其特征在于，所述计算模块包括：

第一计算子模块，用于根据用户的多个属性特征及各属性特征的比重计算用户属性值；其中，所述多个属性特征至少包括用户类型、用户信息完整度、用户执行操作的次数、用户执行操作的频次及用户执行操作的执行结果；

第二计算子模块，用于根据不同类型审计事件的安全性及重要度对所述事件特征值进行取值；以及

第三计算子模块，用于预设初始边权值为0，并在检测到两个节点之间存在审计事件关联关系时，使该两个节点之间的边所对应的边权值加1。

10.根据权利要求7所述的装置，其特征在于，所述识别模块包括：

第四计算子模块，用于采用以下公式计算各节点之间的转移概率，

<mrow> <msub> <mi>u</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>=</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <mi>d</mi> <mo>)</mo> </mrow> <mo>+</mo> <mi>d</mi> <mrow> <mo>(</mo> <mi>&amp;alpha;</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>UI</mi> <mi>i</mi> </msub> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>UI</mi> <mi>k</mi> </msub> </mrow> </mfrac> <mo>+</mo> <mi>&amp;beta;</mi> <mo>&amp;times;</mo> <mfrac> <mrow> <msub> <mi>TI</mi> <mi>i</mi> </msub> </mrow> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>TI</mi> <mi>k</mi> </msub> </mrow> </mfrac> <mo>+</mo> <mi>&amp;gamma;</mi> <mo>&amp;times;</mo> <mfrac> <msub> <mi>w</mi> <mrow> <mi>j</mi> <mo>&amp;RightArrow;</mo> <mi>i</mi> </mrow> </msub> <mrow> <munder> <mo>&amp;Sigma;</mo> <mrow> <mi>k</mi> <mo>&amp;Element;</mo> <mi>O</mi> <mrow> <mo>(</mo> <mi>j</mi> <mo>)</mo> </mrow> </mrow> </munder> <msub> <mi>w</mi> <mrow> <mi>j</mi> <mo>&amp;RightArrow;</mo> <mi>k</mi> </mrow> </msub> </mrow> </mfrac> <mo>)</mo> </mrow> </mrow>

其中，u_ij表示节点u_i与节点u_j之间的转移概率，UI_i表示第i个节点的用户属性值，TI_i表示第i个节点的事件特征值，w_j→i表示第j个节点与第i个节点之间的边关系所对应的边权值，α、β和γ分别为UI_i、TI_i及w_j→i在转移概率u_ij中所占的比重值，d为阻尼因子，k为用户节点集合O(j)中的任意第k个用户节点；

第五计算子模块，用于采用以下公式计算各节点的影响力值，

<mrow> <msub> <mi>IR</mi> <mrow> <mi>t</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mrow> <mo>(</mo> <mi>i</mi> <mo>)</mo> </mrow> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mrow> <mo>(</mo> <msub> <mi>IR</mi> <mi>t</mi> </msub> <mo>(</mo> <mi>j</mi> <mo>)</mo> <mo>&amp;CenterDot;</mo> <msub> <mi>u</mi> <mrow> <mi>i</mi> <mi>j</mi> </mrow> </msub> <mo>)</mo> </mrow> </mrow>

其中，IR_t+1(i)为节点u_i迭代t+1次后的影响力值，IR_t(j)是节点u_j迭代t次后的影响力值，n为节点总数。