一种基于审计数据识别关键用户的方法和系统技术方案

本发明专利技术提供一种基于审计数据识别关键用户的方法和系统，所述方法包括：将公钥基础设施PKI平台的审计数据按照时间线排序，设时间窗口为T，取T范围内的审计数据，并将所述T范围内的审计数据按照涉及的审计事件分为i类，构成审计事件集合Q；步骤2、根据所述T范围内的审计事件分类，在第i类审计事件的所有用户之间构建加权用户关系图并根据每一类审计事件的执行时间的先后顺序建立用户边关系的指向性；步骤3、设置社区网络图，根据结构洞理论，采用基于最小割的最大流算法，寻找k个结构洞节点的集合|VSH|，使得删除所述k个节点后，社区网络图G的最小割集减少达到最大，则所述k个结构洞节点为所述T范围内的审计数据的关键用户。

A Method and System for Identifying Key Users Based on Audit Data

【技术实现步骤摘要】
一种基于审计数据识别关键用户的方法和系统
本专利技术涉及审计数据分析领域，并且更具体地，涉及一种基于审计数据识别关键用户的方法和系统。
技术介绍
公钥基础设施(PublicKeyInfrastructure，PKI)是一种利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。PKI平台的搭建主要涉及权威认证机构、注册机构、数字证书库、密钥备份及恢复系统、证书作废系统等多个系统的搭建。为了实现多个系统的一体化安全管理机制，通常会统一记录所有与安全相关的历史操作事件信息来作为审计记录，一条审计记录通常包括审计事件的时间、用户、类型、是否成功等元素，这些审计数据通常与密钥、证书等操作相关。审计数据可以为安全人员提供足够多的信息，使他们能够准确定位已存在的安全漏洞和跟踪潜在的安全隐患。活跃的PKI平台上每天会产生大量的审计数据，但目前这些数据往往只起到日志作用，数据的预处理过程较少，仅以列表形式独立展示，缺乏有效的分析和深度挖掘，导致在平台运行过程中很多敏感的规律性、特征性的数据遗漏。因此提供一种智能化、自动化的安全审计数据分析方法非常有必要。目前，用来分析审计数据的方法都存在一定的不足，如专家系统过分依赖于事先人为建立的知识库，模式匹配的准确性取决于事先定义的系统特征库；数理统计中的“阈值”往往取决于管理员的经验，导致不可避免的误报和漏报；免疫系统虽然在理论上行之有效，但实际应用时检测率和准确率不够；数据挖掘作为一项通用的知识发现技术，可从海量数据中提取出人们感兴趣的数据信息，这与分析审计数据的需求相吻合，但如何根据具体应用场景提出合适的挖掘算法是一个难点。
技术实现思路
为了解决
技术介绍
存在的现有分析审计数据的方法过分依赖事先人为建立的知识库，审计信息易误报、漏报，以及对审计数据的检测率和准确率不够等技术问题，本专利技术提供一种基于审计数据识别关键用户的方法，所述方法包括：步骤1、将公钥基础设施PKI平台的审计数据按照时间线排序，设时间窗口为T，取T范围内的审计数据，并将所述T范围内的审计数据按照涉及的审计事件分为i类，构成审计事件集合Q，其中Q＝{Q1……Qi}，i是自然数；步骤2、根据所述T范围内的审计事件分类，在第i类审计事件的所有用户之间构建加权用户关系图Ci(VCi，ECi)，并根据每一类审计事件的执行时间的先后顺序建立用户边关系的指向性，其中，VCi表示T范围内的用户集合，ECi表示用户之间的边关系，且Ci与Qi一一对应；步骤3、设置社区网络图G＝(V，E)，G中的i个社区为C＝{C1……Ci}，G的最小割集为其中，V表示社区网络图中的用户节点，E表示用户节点之间的边关系，集合D是区分网络中的不同社区的具有最小数量的边集，根据结构洞理论，采用基于最小割的最大流算法，寻找k个结构洞节点的集合|VSH|，使得删除所述k个节点后，社区网络图G的最小割集减少达到最大，则所述k个结构洞节点为所述T范围内的审计数据的关键用户，所述求取结构洞节点k的计算公式为：G(VSH，C)＝MC(G，C)-MC(G\VSH，C))，|VSH|＝k本方法所述的结构洞理论是指在社会关系网络中，如果用户个体之间不存在直接的关联关系或者属于不同的社区网络，那么不同用户个体之间的连接也就形成了结构洞。所述结构洞就是存在于网络中的两个没有紧密联系的节点集合之间的“空地”，构成所述结构洞的用户个体表示的节点就是结构洞节点。从信息交互方面，结构洞节点可以更早的获取来自网络中多个互不交叉部分的信息，因此，处于无交互的社区网络之间的结构洞节点，不仅可以得到这些社区中所有用户的信息，还有机会整合来自不同用户的信息。网络中的结构洞节点控制着信息的传递、财富的积累以及不同领域的交互。网络中的用户个体可以与更多的结构洞节点建立连接，然后跨越结构洞，与不同领域的更多个体进行信息交互，使个体加入到网络信息流的传播过程中，故结构洞节点就成为了网络中信息流动的中介者，在社会网络中占据主导地位，在审计数据中，采用结构洞理论构建社区网线图，识别其中的结构洞节点，相当于就是识别了能与各个社区的用户进行信息交互的关键用户，从而能够更好地进行数据挖掘。进一步地，根据所述T范围内的审计事件分类，在第i类审计事件的用户之间构建加权用户关系图Ci(VCi，ECi)包括：步骤1、初始化Ci，使且步骤2、取审计事件Qi中的任意元素ql，其中ql∈Qi，将ql的相关用户按操作时间排序获取用户集合Nl＝{n1，n2，……，nm}；步骤3、从Nl中提取边集E＝{(nj，nj-1)│nj，nj-1∈Nl，j＜m+1，且nj→nj-1}；步骤4、任取边集E中元素ew(u→v)，若则将ew(u→v)加入ECi，反之，将该边权值加1；步骤5、若u，则将u，v加入VCi，反之，则不做处理；步骤6、重复步骤2至步骤5，直至遍历集合Qi中所有元素；步骤7、输出Ci(VCi，ECi)，完成事件Qi的加权用户关系图的构建。进一步地，根据结构洞理论，采用基于最小割的最大流算法，寻找k个结构洞节点的集合|VSH|包括：步骤1、初始化网络中各边的流为0；步骤2、计算每两个社区之间的最大流，更新各个边的流大小，将流等于边权值的边添加到边集Ef；步骤3、判断是否所有社区两两比较结束，若是，则至步骤4，否则至步骤1；步骤4、从边集Ef中提取点集Vf；步骤5、遍历点集Vf，计算MC(G\VSH，C)-MC(G\(VSH∪{p}),C)；步骤6、取步骤5中计算值最大时的节点，添加到VSH；步骤7、若|VSH|>k，算法结束，|VSH|≤k跳转步骤1。进一步地，计算每两个社区之间的最大流时，增加一个超级源点和超级汇点，使超级源点指向所有源点，所有汇点指向超级汇点，并采用Ford-Fulkerson算法求解两个社区之间的最大流。进一步地，通过O(log2i)时间的算法得到求取网络社区图G的最小割集MC(G，C)的时间，其中，所述算法包括对网络社区图G进行一定的划分，即G＝G1∪G2，然后分别对于两个子集计算最小的割集D，最后从网络结构图中删除割集D中的节点，不断递归迭代子集G1和G2，则计算最小割集MC(G，C)的时间复杂度是O(22ilog2i)。根据本专利技术的另一方面，本专利技术提供一种基于审计数据识别关键用户的系统，所述系统包括：审计事件划分单元，其用于将公钥基础设施PKI平台的审计数据按照时间线排序，设时间窗口为T，取T范围内的审计数据，并将所述T范围内的审计数据按照涉及的审计事件分为i类，构成审计事件集合Q，其中Q＝{Q1……Qi}，i是自然数；用户关系图构建单元，其用于根据所述T范围内的审计事件分类，在第i类审计事件的所有用户之间构建加权用户关系图Ci(VCi，ECi)，并根据每一类审计事件的执行时间的先后顺序建立用户边关系的指向性，其中，VCi表示T范围内的用户集合，ECi表示用户之间的边关系，且Ci与Qi一一对应；关键用户识别单元，其用于设置社区网络图G＝(V，E)，G中的i个社区为C＝{C1……Ci}，G的最小割集为其中，V表示社区网络图中的用户节点，E表示用户节点之间的边关系，集合D是区分网络中的不同社区的具有最小数量的边集，根据结构洞理论，采用基于最小割的最大流算法，寻找k个结构洞本文档来自技高网...

【技术保护点】
1.一种基于审计数据识别关键用户的方法，其特征在于，所述方法包括：步骤1、将公钥基础设施PKI平台的审计数据按照时间线排序，设时间窗口为T，取T范围内的审计数据，并将所述T范围内的审计数据按照涉及的审计事件分为i类，构成审计事件集合Q，其中Q＝{Q1……Qi}，i是自然数；步骤2、根据所述T范围内的审计事件分类，在第i类审计事件的所有用户之间构建加权用户关系图Ci(VCi，ECi)，并根据每一类审计事件的执行时间的先后顺序建立用户边关系的指向性，其中，VCi表示T范围内的用户集合，ECi表示用户之间的边关系，

【技术特征摘要】
1.一种基于审计数据识别关键用户的方法，其特征在于，所述方法包括：步骤1、将公钥基础设施PKI平台的审计数据按照时间线排序，设时间窗口为T，取T范围内的审计数据，并将所述T范围内的审计数据按照涉及的审计事件分为i类，构成审计事件集合Q，其中Q＝{Q1……Qi}，i是自然数；步骤2、根据所述T范围内的审计事件分类，在第i类审计事件的所有用户之间构建加权用户关系图Ci(VCi，ECi)，并根据每一类审计事件的执行时间的先后顺序建立用户边关系的指向性，其中，VCi表示T范围内的用户集合，ECi表示用户之间的边关系，且Ci与Qi一一对应；步骤3、设置社区网络图G＝(V，E)，G中的i个社区为C＝{C1……Ci}，G的最小割集为其中，V表示社区网络图中的用户节点，E表示用户节点之间的边关系，集合D是区分网络中的不同社区的具有最小数量的边集，根据结构洞理论，采用基于最小割的最大流算法，寻找k个结构洞节点的集合|VSH|，使得删除所述k个节点后，社区网络图G的最小割集减少达到最大，则所述k个结构洞节点为所述T范围内的审计数据的关键用户，所述求取结构洞节点k的计算公式为：G(VSH，C)＝MC(G，C)-MC(G\VSH，C))，|VSH|＝k2.根据权利要求1所述的方法，其特征在于，根据所述T范围内的审计事件分类，在第i类审计事件的用户之间构建加权用户关系图Ci(VCi，ECi)包括：步骤1、初始化Ci，使且步骤2、取审计事件Qi中的任意元素ql，其中ql∈Qi，将ql的相关用户按操作时间排序获取用户集合Nl＝{n1，n2，……，nm}；步骤3、从Nl中提取边集E＝{(nj，nj-1)│nj，nj-1∈Nl，j＜m+1，且nj→nj-1}；步骤4、任取边集E中元素ew(u→v)，若则将ew(u→v)加入ECi，反之，将该边权值加1；步骤5、若u，则将u，v加入VCi，反之，则不做处理；步骤6、重复步骤2至步骤5，直至遍历集合Qi中所有元素；步骤7、输出Ci(VCi，ECi)，完成事件Qi的加权用户关系图的构建。3.根据权利要求2所述的方法，其特征在于，根据结构洞理论，采用基于最小割的最大流算法，寻找k个结构洞节点的集合|VSH|包括：步骤1、初始化网络中各边的流为0；步骤2、计算每两个社区之间的最大流，更新各个边的流大小，将流等于边权值的边添加到边集Ef；步骤3、判断是否所有社区两两比较结束，若是，则至步骤4，否则至步骤1；步骤4、从边集Ef中提取点集Vf；步骤5、遍历点集Vf，计算MC(G\VSH，C)-MC(G\(VSH∪{p}),C)；步骤6、取步骤5中计算值最大时的节点，添加到VSH；步骤7、若|VSH|>k，算法结束，|VSH|≤k跳转步骤1。4.根据权利要求3所述的方法，其特征在于，计算每两个社区之间的最大流时，增加一个超级源点和超级汇点，使超级源点指向所有源点，所有汇点指向超级汇点，并采用Ford-Fulkerson算法求解两个社区之间的最大流。5.根据权利要求3所述的方法，其特征在于，通过O(log2i)时间的算法得到求取网络社区图G的最小割集MC(G，C)的时间，其中，所述算法包括对网络社区图G进行一定的划分，即G＝G1∪G2，然后分别对于两个子集计算最小的割集D，最后从网络结构图中删除割集D中的节点，不断递归迭代子集G1和G2，则计算最小割集MC(G，C)的时间复杂度是O(22ilog2i)。6.一种基于审计数据识别关键用户的系统，其特征在于，所述系统包括：...

【专利技术属性】
技术研发人员：孟媛媛，耿方，杜悦琨，梁宵，张梦，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京,11