CN111291334A

CN111291334A - 一种操作行为安全审计方法及装置

Info

Publication number: CN111291334A
Application number: CN201811496357.8A
Authority: CN
Inventors: 张晓�; 康慧秦; 王斌; 花小齐
Original assignee: China Mobile Communications Group Co Ltd; China Mobile Group Shanxi Co Ltd
Current assignee: China Mobile Communications Group Co Ltd; China Mobile Group Shanxi Co Ltd
Priority date: 2018-12-07
Filing date: 2018-12-07
Publication date: 2020-06-16

Abstract

本发明公开了一种操作行为安全审计方法及装置，用以解决现有的4A审计系统无法针对用户操作行为引起的安全漏洞进行审计管控的问题。所述操作行为安全审计方法，包括：获取待审计用户在审计时间段内的操作行为特征值集合，操作行为特征值用于表征所述操作行为的操作程度；针对每一待审计用户的操作行为特征值进行归一化；根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度；根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常；当确定存在操作异常时，根据预设算法确定所述操作行为的操作异常用户，以对所述操作行为进行安全审计。

Description

一种操作行为安全审计方法及装置

技术领域

本发明涉及系统安全评价领域，尤其涉及一种操作行为安全审计方法及装置。

背景技术

随着运营商业务规模和用户基数的不断扩大，支撑系统的数量及负荷呈现爆发式增长，随之带来的安全风险也越来越大。目前已建成的以4A(Authentication,Authorization,Accounting and Audit，认证，授权，记账，审计)系统为主要特征的运营商信息网络安全防护体系中，内外网之间部署的信息安全网络隔离装置实现了逻辑强隔离，能够保障运营商支撑系统的安全可靠运行。

然而，随着运营商业务的快速发展，信息内外网边界交互日益频繁，遭受攻击的可能性也不断增加。作为信息网第二道防线的信息内外网边界，承载着大量的外网业务和内网数据库服务的重要信息交互，然而，信息安全网络隔离装置目前仅能提供实时在线的SQL(Structured Query Language，结构化查询语言)语句过滤，更详细的安全事件采集和分析工作难以应对，导致难以评估边界安全状态、难以发现和追溯恶意攻击等问题日益突出。并且，4A系统作为整个内网系统的权限控制中心，目前主要功能时对账号的系统使用权限进行控制，如是否有访问权限，是否有增删改查权限，但上述权限并没有针对用户的操作行为进行具体化管控，如针对某一具体账号频繁进行查询操作进行管控预警的操作，从而无法对此类安全漏洞进行审计管控。

发明内容

为了解决现有的4A审计系统无法针对用户操作行为引起的安全漏洞进行审计管控的问题，本发明实施例提供了一种操作行为安全审计方法及装置。

第一方面，本发明实施例提供了一种操作行为安全审计方法，包括：

获取待审计用户在审计时间段内的操作行为特征值集合，所述操作行为特征值用于表征所述操作行为的操作程度；

针对每一待审计用户的操作行为特征值进行归一化；

根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度；

根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常；

当确定存在操作异常时，根据预设算法确定所述操作行为的操作异常用户，以对所述操作行为进行安全审计。

本发明实施例提供的操作行为安全审计方法，行为审计平台获取待审计用户在审计时间段内的操作行为特征值集合，所述操作行为特征值用于表征所述操作行为的操作程度，针对每一待审计用户的操作行为特征值进行归一化，根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度，进而，根据行为信息熵判定所述待审计用户针对所述操作行为是否存在操作异常，当确定存在操作异常时，根据预设算法确定所述操作行为的操作异常用户，以对所述操作行为进行安全审计，相比于现有技术，通过对待审计用户的操作行为指标运用熵权法进行统筹计算，生成操作行为对应的行为信息熵，根据行为信息熵确定待审计用户针对所述操作行为是否存在操作异常，当存在操作异常时，并进一步确定所述操作行为的操作异常用户，完成了根据用户操作行为异常进行安全审计，实现了由用户操作行为引起的安全漏洞的审计管控。

较佳地，过以下公式对每一待审计用户的操作行为特征值进行归一化：

其中，P_i表示第i个用户的操作行为特征值的归一化值，i＝1,2,……,n，n为用户数量；

X_i表示第i个用户的操作行为特征值。

较佳地，根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，具体包括：

通过以下公式计算所述操作行为对应的行为信息熵：

其中，e表示所述操作行为对应的行为信息熵。

较佳地，根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常，具体包括：

当所述行为信息熵小于预设阈值时，确定所述待审计用户针对所述操作行为存在操作异常；

当所述行为信息熵大于等于所述预设阈值时，确定所述待审计用户针对所述操作行为不存在操作异常。

较佳地，所述预设算法包括DBSCAN算法和K-Means算法；则

根据预设算法确定所述操作行为的操作异常用户，具体包括：

利用所述DBSCAN算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，获得第一聚类数据；

利用所述K-Means算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，获得第二聚类数据；

将所述第一聚类数据和所述第二聚类数据取交集；

将所述操作行为特征值集合中所述交集以外的操作行为特征值对应的用户确定为操作异常用户。

上述较佳的实施方式中，采用DBSCAN(Density-Based Spatial Clustering ofApplications with Noise，具有噪声的基于密度的聚类方法)算法和K-Means(K均值)算法分别对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，并将两者获得的聚类数据取交集，将所述操作行为特征值集合中所述交集以外的操作行为特征值对应的用户确定为操作异常用户，由于DBSCAN算法能够有效地去除白噪声，通过与K-Means算法融合，获得更准确的聚类数据，使得对操作行为特征值异常的数据的定位更加精确。

第二方面，本发明实施例提供了一种操作行为安全审计装置，包括：

获取单元，用于获取待审计用户在审计时间段内的操作行为特征值集合，所述操作行为特征值用于表征所述操作行为的操作程度；

处理单元，用于针对每一待审计用户的操作行为特征值进行归一化；

计算单元，用于根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度；

第一确定单元，用于根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常；

第二确定单元，用于当确定存在操作异常时，根据预设算法确定所述操作行为的操作异常用户，以对所述操作行为进行安全审计。

较佳地，所述处理单元，具体用于通过以下公式对每一待审计用户的操作行为特征值进行归一化：

X_i表示第i个用户的操作行为特征值。

较佳地，所述计算单元，具体用于通过以下公式计算所述操作行为对应的行为信息熵：

其中，e表示所述操作行为对应的行为信息熵。

较佳地，所述第一确定单元，具体用于当所述行为信息熵小于预设阈值时，确定所述待审计用户针对所述操作行为存在操作异常；当所述行为信息熵大于等于所述预设阈值时，确定所述待审计用户针对所述操作行为不存在操作异常。

较佳地，所述预设算法包括DBSCAN算法和K-Means算法；

所述第二确定单元，具体用于利用所述DBSCAN算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，获得第一聚类数据；利用所述K-Means算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，获得第二聚类数据；将所述第一聚类数据和所述第二聚类数据取交集；将所述操作行为特征值集合中所述交集以外的操作行为特征值对应的用户确定为操作异常用户。

本发明提供的操作行为安全审计装置的技术效果可以参见上述第一方面或第一方面的各个实现方式的技术效果，此处不再赘述。

第三方面，本发明实施例提供了一种通信设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时实现本发明所述的操作行为安全审计方法。

第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现本发明所述的操作行为安全审计方法中的步骤。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例提供的操作行为安全审计方法的实施流程示意图；

图2为本发明实施例中，确定所述操作行为的操作异常用户的实施流程示意图；

图3为根据本发明实施例提供的操作行为安全审计方法构建的安全审计监控预警体系架构图。

图4为本发明实施例提供的操作行为安全审计装置的结构示意图；

图5为本发明实施例提供的通信设备的结构示意图。

具体实施方式

本发明实施例提供的操作行为安全审计方法的实施原理是：行为审计平台获取待审计用户在审计时间段内的操作行为特征值集合，所述操作行为特征值用于表征所述操作行为的操作程度，针对每一待审计用户的操作行为特征值进行归一化，根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度，进而，根据行为信息熵判定所述待审计用户针对所述操作行为是否存在操作异常，当确定存在操作异常时，根据预设算法确定所述操作行为的操作异常用户，以对所述操作行为进行安全审计，相比于现有技术，通过对待审计用户的操作行为指标运用熵权法进行统筹计算，生成操作行为对应的行为信息熵，根据行为信息熵确定待审计用户针对所述操作行为是否存在操作异常，当存在操作异常时，并进一步确定所述操作行为的操作异常用户，完成了根据用户操作行为异常进行安全审计，实现了由用户操作行为引起的安全漏洞的审计管控。

以下结合说明书附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明，并且在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

在本文中，需要理解的是，本发明所涉及的技术术语中：

1、DBSCAN算法：是一个比较有代表性的基于密度的聚类算法。它将簇定义为密度相连的点的最大集合，能够把具有足够高密度的区域划分为簇，并可在噪声的空间数据库中发现任意形状的聚类。

(1)DBSCAN中的几个定义：

Ε邻域：给定对象半径为Ε内的区域称为该对象的Ε邻域；

核心对象：如果给定对象Ε邻域内的样本点数大于等于MinPts，则称该对象为核心对象；

直接密度可达：对于样本集合D，如果样本点q在p的Ε邻域内，并且p为核心对象，那么对象q从对象p直接密度可达。

密度可达：对于样本集合D，给定一串样本点p1,p2….pn，p＝p1,q＝pn,假如对象pi从pi-1直接密度可达，那么对象q从对象p密度可达。

密度相连：存在样本集合D中的一点o，如果对象o到对象p和对象q都是密度可达的，那么p和q密度相联。

可以发现，密度可达是直接密度可达的传递闭包，并且这种关系是非对称的。密度相连是对称关系。DBSCAN目的是找到密度相连对象的最大集合。

例如:假设半径Ε＝3，MinPts＝3，点p的E邻域中有点{m,p,p1,p2,o},点m的E邻域中有点{m,q,p,m1,m2},点q的E邻域中有点{q,m},点o的E邻域中有点{o,p,s},点s的E邻域中有点{o,s,s1}。

那么核心对象有p,m,o,s(q不是核心对象，因为它对应的E邻域中点数量等于2，小于MinPts＝3)。

点m从点p直接密度可达，因为m在p的E邻域内，并且p为核心对象。

点q从点p密度可达，因为点q从点m直接密度可达，并且点m从点p直接密度可达。

点q到点s密度相连，因为点q从点p密度可达，并且s从点p密度可达。

(2)DBSCAN算法描述:

输入:包含n个对象的数据库，半径Eps，最少数目MinPts。

输出:所有生成的簇，达到密度要求。

(3)算法步骤：

DBScan需要二个参数：扫描半径(Eps)和最小包含点数(MinPts)。任选一个未被访问(unvisited)的点开始，找出与其距离在Eps之内(包括Eps)的所有附近点。

如果附近点的数量≥MinPts，则当前点与其附近点形成一个簇，并且出发点被标记为已访问(visited)，然后递归，以相同的方法处理该簇内所有未被标记为已访问(visited)的点，从而对簇进行扩展。

如果附近点的数量<MinPts，则该点暂时被标记作为噪声点。

如果簇充分地被扩展，即簇内的所有点被标记为已访问，然后用同样的算法去处理未被访问的点。

2、K-Means算法：是硬聚类算法，是典型的基于原型的目标函数聚类方法的代表，它是数据点到原型的某种距离作为优化的目标函数，利用函数求极值的方法得到迭代运算的调整规则。K-Means算法以欧式距离作为相似度测度，它是求对应某一初始聚类中心向量V最优分类，使得评价指标J最小。算法采用误差平方和准则函数作为聚类准则函数。

K-Means算法是很典型的基于距离的聚类算法，采用距离作为相似性的评价指标，即认为两个对象的距离越近，其相似度就越大。该算法认为簇是由距离靠近的对象组成的，因此把得到紧凑且独立的簇作为最终目标。

k个初始类聚类中心点的选取对聚类结果具有较大的影响，因为在该算法第一步中是随机的选取任意k个对象作为初始聚类的中心，初始地代表一个簇。该算法在每次迭代中对数据集中剩余的每个对象，根据其与各个簇中心的距离将每个对象重新赋给最近的簇。当考察完所有数据对象后，一次迭代运算完成，新的聚类中心被计算出来。如果在一次迭代前后，J的值没有发生变化，说明算法已经收敛。

K-Means算法描述：

输入：聚类个数k，以及包含n个数据对象的数据库。

输出：满足方差最小标准的k个聚类。

处理流程:

(1)从n个数据对象任意选择k个对象作为初始聚类中心。

(2)根据每个聚类对象的均值(中心对象)，计算每个对象与这些中心对象的距离；并根据最小距离重新对相应对象进行划分。

(3)重新计算每个(有变化)聚类的均值(中心对象)。

(4)循环(2)到(3)直到每个聚类不再发生变化为止。

K-Means算法接受输入量k；然后将n个数据对象划分为k个聚类以便使得所获得的聚类满足：同一聚类中的对象相似度较高；而不同聚类中的对象相似度较小。聚类相似度是利用各聚类中对象的均值所获得一个“中心对象”(引力中心)来进行计算的。

K-Means算法的工作过程说明如下：首先从n个数据对象任意选择k个对象作为初始聚类中心；而对于所剩下其它对象，则根据它们与这些聚类中心的相似度(距离)，分别将它们分配给与其最相似的(聚类中心所代表的)聚类；然后再计算每个所获新聚类的聚类中心(该聚类中所有对象的均值)；不断重复这一过程直到标准测度函数开始收敛为止。一般都采用均方差作为标准测度函数。k个聚类具有以下特点：各聚类本身尽可能的紧凑，而各聚类之间尽可能的分开。

如图1所示，其为本发明实施例提供的操作行为安全审计方法的实施流程示意图，可以包括以下步骤：

S11、获取待审计用户在审计时间段内的操作行为特征值集合。

具体实施时，行为审计平台获取待审计用户在审计时间段内的操作行为特征值集合，所述操作行为特征值用于表征所述操作行为的操作程度。

假设，行为审计平台对某一天24小时内n个用户的操作频数进行安全审计，即审计时间段为某一天24小时，操作行为是操作频数，操作行为特征值即为n个用户各自的操作频数值，如表1所示：

用户操作行为还包括接触对象数、涉及金额等等，针对每一操作行为，均可利用本发明实施例提供的操作行为安全审计方法进行安全审计，此处不一一列举。

S12、针对每一待审计用户的操作行为特征值进行归一化。

具体实施时，行为审计平台可以通过以下公式对每一待审计用户的操作行为特征值进行归一化：

X_i表示第i个用户的操作行为特征值。

S13、根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵。

具体实施时，行为审计平台根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度。

信息熵是系统复杂度综合衡量值，将信息中排除了冗余后的平均信息量称为信息熵。本发明实施例中，利用信息熵理论和用户操作行为特征数据，自动筛选最有价值的用户操作行为特征项，操作行为的信息熵越大，表示各用户的操作行为特征值表现出相同或相近的特点(平均概率)，即操作行为趋同，差异性小，该操作行为特征项对行为测算的参考作用就越小，反之，操作行为的信息熵越小，各用户的操作行为特征值相差越大，该项操作行为特征上用户行为差异性越大，该差异性更有利于用户分群比较。基于此，本发明实施例将操作行为的信息熵较小，即各用户行为差异性较大的操作行为中认为存在操作异常用户。

具体地，通过以下公式计算所述操作行为对应的行为信息熵：

其中，e表示所述操作行为对应的行为信息熵；

P_i表示第i个用户的操作行为特征值的归一化值，i＝1,2,……,n，n为用户数量。

其中，P_i即为第i个用户的操作行为特征值的概率值。

S14、根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常。

具体实施时，行为审计平台计算出所述操作行为对应的行为信息熵后，根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常。

具体地，当所述行为信息熵小于预设阈值时，确定所述待审计用户针对所述操作行为存在操作异常；当所述行为信息熵大于等于所述预设阈值时，确定所述待审计用户针对所述操作行为不存在操作异常。其中，预设阈值可以根据经验值设定，此处不作限定。

S15、当确定存在操作异常时，根据预设算法确定所述操作行为的操作异常用户，以对所述操作行为进行安全审计。

具体实施时，当确定存在操作异常时，行为审计平台根据预设算法确定所述操作行为的操作异常用户，以对所述操作行为进行安全审计。其中，所述预设算法包括DBSCAN算法和K-Means算法。

具体地，按照如图2所示的流程确定所述操作行为的操作异常用户，可以包括以下步骤：

S21、利用DBSCAN算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，获得第一聚类数据。

具体实施时，DBSCAN通过检查操作行为特征值集合中每个点的Eps邻域来搜索簇，如果点p的Eps邻域包含的点数大于等于MinPts个，则创建一个以p为核心的对象的类；DBSCAN迭代地聚集从这些核心对象直接密度可达的对象；当没有新的点添加到任何类时，该过程结束，获得第一聚类数据，其中没有包含在任何类中的数据点就构成噪声点。

S22、利用K-Means算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，获得第二聚类数据。

具体实施时，针对操作行为特征值集合，确定k值以及初始化聚类中心，从操作行为特征值集合的操作行为特征值中选择k个对象，作为初始聚类中心，根据每个聚类对象的均值，计算每个对象与这些中心对象的距离，并根据最小距离重新对相应对象进行划分，分别将它们分配给与其最相似的聚类，然后再重新计算每个所获新聚类的聚类中心(即该聚类中的所有对象的均值)，不断重复这一过程直到标准测度函数开始收敛为止(即每个聚类不再发生变化)，获得第二聚类数据。本发明实施例中可以采用均方差作为标准测度函数。

S23、将所述第一聚类数据和所述第二聚类数据取交集。

S24、将所述操作行为特征值集合中所述交集以外的操作行为特征值对应的用户确定为操作异常用户。

如图3所示，其为根据本发明实施例提供的操作行为安全审计方法构建的安全审计监控预警体系架构图。其以行为组织架构和行为安全审计框架为支撑点，重点面向业务部门，并根据业务部门的实际工作为落脚点，建立安全审计框架，以保证建设成果与业务紧密结合，效果能落在实处。重点建设重点关注金融积分类、客户信息类、高危业务类、风险行为类四大类行为多个点的行为审计常态化监控预警体系，重点对业务差错、业务真实性、业务合规性、异动合规性等进行安全审计，确保行为操作合规，杜绝行为风险。从而实现业务真实、资金到账安全可靠，风险防范有据可依的业务目标。

基于同一发明构思，本发明实施例还提供了一种操作行为安全审计装置，由于上述操作行为安全审计装置解决问题的原理与操作行为安全审计方法相似，因此上述系统的实施可以参见方法的实施，重复之处不再赘述。

如图4所示，其为本发明实施例提供的操作行为安全审计装置的结构示意图，可以包括：

获取单元31，用于获取待审计用户在审计时间段内的操作行为特征值集合，所述操作行为特征值用于表征所述操作行为的操作程度；

处理单元32，用于针对每一待审计用户的操作行为特征值进行归一化；

计算单元33，用于根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度；

第一确定单元34，用于根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常；

第二确定单元35，用于当确定存在操作异常时，根据预设算法确定所述操作行为的操作异常用户，以对所述操作行为进行安全审计。

较佳地，所述处理单元32，具体用于通过以下公式对每一待审计用户的操作行为特征值进行归一化：

X_i表示第i个用户的操作行为特征值。

较佳地，所述计算单元33，具体用于通过以下公式计算所述操作行为对应的行为信息熵：

其中，e表示所述操作行为对应的行为信息熵。

较佳地，所述第一确定单元34，具体用于当所述行为信息熵小于预设阈值时，确定所述待审计用户针对所述操作行为存在操作异常；当所述行为信息熵大于等于所述预设阈值时，确定所述待审计用户针对所述操作行为不存在操作异常。

较佳地，所述预设算法包括DBSCAN算法和K-Means算法；

所述第二确定单元35，具体用于利用所述DBSCAN算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，获得第一聚类数据；利用所述K-Means算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理，获得第二聚类数据；将所述第一聚类数据和所述第二聚类数据取交集；将所述操作行为特征值集合中所述交集以外的操作行为特征值对应的用户确定为操作异常用户。

基于同一技术构思，本发明实施例还提供了一种通信设备400，参照图5所示，通信设备400用于实施上述方法实施例记载的操作行为安全审计方法，该实施例的通信设备400可以包括：存储器401、处理器402以及存储在所述存储器中并可在所述处理器上运行的计算机程序，例如操作行为安全审计程序。所述处理器执行所述计算机程序时实现上述各个操作行为安全审计方法实施例中的步骤，例如图1所示的步骤S11。或者，所述处理器执行所述计算机程序时实现上述各装置实施例中各模块/单元的功能，例如31。

本发明实施例中不限定上述存储器401、处理器402之间的具体连接介质。本申请实施例在图5中以存储器401、处理器402之间通过总线403连接，总线403在图5中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。所述总线403可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器401可以是易失性存储器(volatile memory)，例如随机存取存储器(random-access memory，RAM)；存储器401也可以是非易失性存储器(non-volatilememory)，例如只读存储器，快闪存储器(flash memory)，硬盘(hard disk drive，HDD)或固态硬盘(solid-state drive，SSD)、或者存储器401是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器401可以是上述存储器的组合。

处理器402，用于实现如图1所示的一种操作行为安全审计方法，包括：

所述处理器402，用于调用所述存储器401中存储的计算机程序执行如图4中所示的步骤S11～S15。

本申请实施例还提供了一种计算机可读存储介质，存储为执行上述处理器所需执行的计算机可执行指令，其包含用于执行上述处理器所需执行的程序。

在一些可能的实施方式中，本发明提供的操作行为安全审计方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在通信设备上运行时，所述程序代码用于使所述通信设备执行本说明书上述描述的根据本发明各种示例性实施方式的操作行为安全审计方法中的步骤，例如，所述通信设备可以执行如图1中所示的步骤S11～S15。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

本发明的实施方式的用于操作行为安全审计的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在计算设备上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

应当注意，尽管在上文详细描述中提及了装置的若干单元或子单元，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多单元的特征和功能可以在一个单元中具体化。反之，上文描述的一个单元的特征和功能可以进一步划分为由多个单元来具体化。

此外，尽管在附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本领域内的技术人员应明白，本发明的实施例可提供为方法、装置、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(装置)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种操作行为安全审计方法，其特征在于，包括：

针对每一待审计用户的操作行为特征值进行归一化；

2.如权利要求1所述的方法，其特征在于，通过以下公式对每一待审计用户的操作行为特征值进行归一化：

X_i表示第i个用户的操作行为特征值。

3.如权利要求2所述的方法，其特征在于，根据每个经过归一化处理后的特征值，计算所述操作行为对应的行为信息熵，具体包括：

通过以下公式计算所述操作行为对应的行为信息熵：

其中，e表示所述操作行为对应的行为信息熵。

4.如权利要求1所述的方法，其特征在于，根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常，具体包括：

5.如权利要求1所述的方法，其特征在于，所述预设算法包括DBSCAN算法和K-Means算法；则

将所述第一聚类数据和所述第二聚类数据取交集；

6.一种操作行为安全审计装置，其特征在于，包括：

7.如权利要求6所述的装置，其特征在于，

所述处理单元，具体用于通过以下公式对每一待审计用户的操作行为特征值进行归一化：

X_i表示第i个用户的操作行为特征值。

8.如权利要求7所述的装置，其特征在于，

所述计算单元，具体用于通过以下公式计算所述操作行为对应的行为信息熵：

其中，e表示所述操作行为对应的行为信息熵。

9.如权利要求6所述的装置，其特征在于，

所述第一确定单元，具体用于当所述行为信息熵小于预设阈值时，确定所述待审计用户针对所述操作行为存在操作异常；当所述行为信息熵大于等于所述预设阈值时，确定所述待审计用户针对所述操作行为不存在操作异常。

10.如权利要求6所述的装置，其特征在于，所述预设算法包括DBSCAN算法和K-Means算法；

11.一种通信设备，包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1～5任一项所述的操作行为安全审计方法。

12.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1～5任一项所述的操作行为安全审计方法中的步骤。