1.一种操作行为安全审计方法,其特征在于,包括:
获取待审计用户在审计时间段内的操作行为特征值集合,所述操作行为特征值用于表征所述操作行为的操作程度;
针对每一待审计用户的操作行为特征值进行归一化;
根据每个经过归一化处理后的特征值,计算所述操作行为对应的行为信息熵,所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度;
根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常;
当确定存在操作异常时,根据预设算法确定所述操作行为的操作异常用户,以对所述操作行为进行安全审计。
2.如权利要求1所述的方法,其特征在于,通过以下公式对每一待审计用户的操作行为特征值进行归一化:
其中,pi表示第i个用户的操作行为特征值的归一化值,i=1,2,……,n,n为用户数量;
xi表示第i个用户的操作行为特征值。
3.如权利要求2所述的方法,其特征在于,根据每个经过归一化处理后的特征值,计算所述操作行为对应的行为信息熵,具体包括:
通过以下公式计算所述操作行为对应的行为信息熵:
其中,e表示所述操作行为对应的行为信息熵。
4.如权利要求1所述的方法,其特征在于,根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常,具体包括:
当所述行为信息熵小于预设阈值时,确定所述待审计用户针对所述操作行为存在操作异常;
当所述行为信息熵大于等于所述预设阈值时,确定所述待审计用户针对所述操作行为不存在操作异常。
5.如权利要求1所述的方法,其特征在于,所述预设算法包括dbscan算法和k-means算法;则
根据预设算法确定所述操作行为的操作异常用户,具体包括:
利用所述dbscan算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理,获得第一聚类数据;
利用所述k-means算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理,获得第二聚类数据;
将所述第一聚类数据和所述第二聚类数据取交集;
将所述操作行为特征值集合中所述交集以外的操作行为特征值对应的用户确定为操作异常用户。
6.一种操作行为安全审计装置,其特征在于,包括:
获取单元,用于获取待审计用户在审计时间段内的操作行为特征值集合,所述操作行为特征值用于表征所述操作行为的操作程度;
处理单元,用于针对每一待审计用户的操作行为特征值进行归一化;
计算单元,用于根据每个经过归一化处理后的特征值,计算所述操作行为对应的行为信息熵,所述行为信息熵用于表征所述待审计用户针对所述操作行为的操作差异程度;
第一确定单元,用于根据所述行为信息熵确定所述待审计用户针对所述操作行为是否存在操作异常;
第二确定单元,用于当确定存在操作异常时,根据预设算法确定所述操作行为的操作异常用户,以对所述操作行为进行安全审计。
7.如权利要求6所述的装置,其特征在于,
所述处理单元,具体用于通过以下公式对每一待审计用户的操作行为特征值进行归一化:
其中,pi表示第i个用户的操作行为特征值的归一化值,i=1,2,……,n,n为用户数量;
xi表示第i个用户的操作行为特征值。
8.如权利要求7所述的装置,其特征在于,
所述计算单元,具体用于通过以下公式计算所述操作行为对应的行为信息熵:
其中,e表示所述操作行为对应的行为信息熵。
9.如权利要求6所述的装置,其特征在于,
所述第一确定单元,具体用于当所述行为信息熵小于预设阈值时,确定所述待审计用户针对所述操作行为存在操作异常;当所述行为信息熵大于等于所述预设阈值时,确定所述待审计用户针对所述操作行为不存在操作异常。
10.如权利要求6所述的装置,其特征在于,所述预设算法包括dbscan算法和k-means算法;
所述第二确定单元,具体用于利用所述dbscan算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理,获得第一聚类数据;利用所述k-means算法对所述操作行为特征值集合中的所述操作行为特征值进行聚类处理,获得第二聚类数据;将所述第一聚类数据和所述第二聚类数据取交集;将所述操作行为特征值集合中所述交集以外的操作行为特征值对应的用户确定为操作异常用户。
11.一种通信设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~5任一项所述的操作行为安全审计方法。
12.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1~5任一项所述的操作行为安全审计方法中的步骤。