[发明专利]一种基于审计数据识别关键用户的方法和系统

说明书

本发明提供一种基于审计数据识别关键用户的方法和系统，所述方法包括：将公钥基础设施PKI平台的审计数据按照时间线排序，设时间窗口为T，取T范围内的审计数据，并将所述T范围内的审计数据按照涉及的审计事件分为i类，构成审计事件集合Q；步骤2、根据所述T范围内的审计事件分类，在第i类审计事件的所有用户之间构建加权用户关系图并根据每一类审计事件的执行时间的先后顺序建立用户边关系的指向性；步骤3、设置社区网络图，根据结构洞理论，采用基于最小割的最大流算法，寻找k个结构洞节点的集合|V_SH|，使得删除所述k个节点后，社区网络图G的最小割集减少达到最大，则所述k个结构洞节点为所述T范围内的审计数据的关键用户。

技术领域

本发明涉及审计数据分析领域，并且更具体地，涉及一种基于审计数据识别关键用户的方法和系统。

背景技术

公钥基础设施(Public Key Infrastructure，PKI)是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI平台的搭建主要涉及权威认证机构、注册机构、数字证书库、密钥备份及恢复系统、证书作废系统等多个系统的搭建。为了实现多个系统的一体化安全管理机制，通常会统一记录所有与安全相关的历史操作事件信息来作为审计记录，一条审计记录通常包括审计事件的时间、用户、类型、是否成功等元素，这些审计数据通常与密钥、证书等操作相关。审计数据可以为安全人员提供足够多的信息，使他们能够准确定位已存在的安全漏洞和跟踪潜在的安全隐患。活跃的PKI平台上每天会产生大量的审计数据，但目前这些数据往往只起到日志作用，数据的预处理过程较少，仅以列表形式独立展示，缺乏有效的分析和深度挖掘，导致在平台运行过程中很多敏感的规律性、特征性的数据遗漏。因此提供一种智能化、自动化的安全审计数据分析方法非常有必要。

目前，用来分析审计数据的方法都存在一定的不足，如专家系统过分依赖于事先人为建立的知识库，模式匹配的准确性取决于事先定义的系统特征库；数理统计中的“阈值”往往取决于管理员的经验，导致不可避免的误报和漏报；免疫系统虽然在理论上行之有效，但实际应用时检测率和准确率不够；数据挖掘作为一项通用的知识发现技术，可从海量数据中提取出人们感兴趣的数据信息，这与分析审计数据的需求相吻合，但如何根据具体应用场景提出合适的挖掘算法是一个难点。

发明内容

为了解决背景技术存在的现有分析审计数据的方法过分依赖事先人为建立的知识库，审计信息易误报、漏报，以及对审计数据的检测率和准确率不够等技术问题，本发明提供一种基于审计数据识别关键用户的方法，所述方法包括：

步骤1、将公钥基础设施PKI平台的审计数据按照时间线排序，设时间窗口为T，取T范围内的审计数据，并将所述T范围内的审计数据按照涉及的审计事件分为i类，构成审计事件集合Q，其中Q＝{Q₁ …… Q_i}，i是自然数；

步骤2、根据所述T范围内的审计事件分类，在第i类审计事件的所有用户之间构建加权用户关系图C_i(VC_i，EC_i)，并根据每一类审计事件的执行时间的先后顺序建立用户边关系的指向性，其中，VC_i表示T范围内的用户集合，EC_i表示用户之间的边关系，且C_i与Q_i一一对应；

步骤3、设置社区网络图G＝(V，E)，G中的i个社区为C＝{C₁ …… C_i}，G的最小割集为其中，V表示社区网络图中的用户节点，E表示用户节点之间的边关系，集合D是区分网络中的不同社区的具有最小数量的边集，根据结构洞理论，采用基于最小割的最大流算法，寻找k个结构洞节点的集合|V_SH|，使得删除所述k个节点后，社区网络图G的最小割集减少达到最大，则所述k个结构洞节点为所述T范围内的审计数据的关键用户，所述求取结构洞节点k的计算公式为：