[发明专利]一种基于用户行为分析的事中安全审计方法

说明书

本发明公开了一种基于用户行为分析的事中安全审计方法，检测用户操作行为，若用户操作为高危行为，则判断用户触发高危行为的次数，若触发的次数大于等于触发阈值，则锁定用户账号并发送邮件进行告警。本发明基于用户行为分析对高危行为的用户进行及时的临时锁定，防止对系统造成进一步的损失。本发明可以有效识别用户行为，对用户行为进行分析和收集，及时锁定不良账户，避规危害系统的行为的不断发生，保护系统数据和运维系统数据的安全。

技术领域

本发明属于大数据安全技术领域，具体涉及一种基于用户行为分析的事中安全审计方法。

背景技术

随着互联网企业的高速发展，企业对运维审计的需求越来越重视。当前运维审计系统对用户进行权限划分，并提供用户操作日志查看。然而权限划分力度基于模块，不够细致，导致各类管理员的权限过大；操作日志的查看过于被动，若发生不可更改的高危行为时，系统缺少对该类操作执行者的处理和告警；同时若管理员账户被窃取或密码爆破或者其他DDoS攻击等，重复执行一个操作时，缺少及时性的操作对该类危害的规避，会引起系统的崩溃。

目前，用户一些高危行为，存在以下几种风险和不足：

1.管理员权限过大误操作引起的数据丢失和系统崩溃；

2.当黑客攻击时，获取管理员权限进行高危行为引起的数据丢失和系统崩溃；

3.当运维员多次进行高危操作运维时，对运维系统可能造成的数据丢失和系统崩溃；

4.CC攻击和DDoS攻击或暴力破解密码等，连续进行一个高危行为，引起的数据丢失和系统崩溃；

5.管理员仅提供操作日志查看作为事后审计工作，缺少及时对高危操作执行者的处理与告警。

由上可知，目前运维审计系统缺少对用户行为更细粒度的限制，缺少及时、事中对有危险行为用户进行处理与告知管理员，用户行为的某些危险操作的多次发生，容易造成系统崩溃和数据丢失。

发明内容

本发明的目的在于提供一种基于用户行为分析的事中安全审计方法，旨在基于用户行为分析对高危行为的用户进行及时的临时锁定，防止对系统造成进一步的损失。

本发明主要通过以下技术方案实现：一种基于用户行为分析的事中安全审计方法，检测用户操作行为，若用户操作为高危行为，则判断用户触发高危行为的次数，若触发的次数大于等于触发阈值，则锁定用户账号并发送邮件进行告警。用户行为是否为高危行为是管理员配置的，管理员基于高危行为配置页面配置有效高危行为集合。

为了更好地实现本发明，进一步的，当用户操作行为为高危行为，则进一步的检测操作的高危行为的高危程度的安全等级配置，并检测该安全等级中该类高危程度的触发次数，若触发的次数大于等于触发锁定次数，则锁定用户并发送邮件进行告警。

为了更好地实现本发明，进一步的，根据高危程度和高危程度对高危行为的安全等级设定权重；进而评估得出各程度高危行为的触发锁定次数；主要包括以下步骤：

步骤S100：自定义配置各程度高危行为安全等级的触发权重关系，进而得出线性关系矩阵图；

步骤S200：计算各程度高危行为的最大特征向量、最大特征根和矩阵一致性指标；

步骤S100：通过最大特征向量统计各程度高危行为触发锁定次数。

为了更好地实现本发明，进一步的，主要包括以下步骤：

步骤S100：线性关系矩阵图：

步骤S200：所述最大特征向量、最大特征根和矩阵一致性指标的计算如下：

1)将A矩阵每一列归一化：