基于PKI平台的异常行为检测方法及装置与流程

本发明涉及计算机技术领域，尤其涉及一种基于公钥基础设施(publickeyinfrastructure，pki)平台的异常行为检测方法及装置。

背景技术：

本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

pki平台是一种利用公钥加密技术为电子商务开展提供安全基础平台的技术和规范。pki平台主要涉及权威认证机构(ca)、注册机构(ra)、数字证书库、密钥备份及恢复系统、证书作废系统等多个系统的搭建。由于pki平台涉及多个系统，为了保证其证书服务的安全性，需格外防范外部和内部威胁，其中由于内部威胁难于检测，因此针对pki平台提供一种智能化、自动化的内部威胁安全检测方法非常有必要。

现有技术中根据检测数据的来源不同，内部威胁检测模型分为主体模型与客体模型。典型的主体模型有parker提出来的skpam模型和wood提出来的cmo模型，两者均从内部人员实施攻击的基本条件出发进行建模。这两种模型主要考虑的是怀有恶意的用户，忽略了内部用户的无意行为。典型的客体模型有park等人提出的crbm模型和ray等人提出的攻击树裁剪模型。crbm模型根据基于角色的访问控制方法，通过分析用户是否违反角色行为规范判断是否发生内部威胁。

但是，上述检测模型或者忽略了内部用户的无意行为，或者仅仅基于角色进行判断，均不够全面准确。

技术实现要素：

本发明实施例提供一种基于pki平台的审计数据处理方法及装置，能够提高异常检测行为的准确度。

一种基于公钥基础设施pki平台的异常行为检测方法，包括：

监控用户实时行为；

将所述用户实时行为与预先建立的角色行为模式库进行匹配；

根据匹配结果，判断是否存在异常行为。

优选地，所述方法还包括：

建立角色行为模式库，所述角色行为模式库包括角色行为准则库和角色行为习惯库。

优选地，所述将所述用户实时行为与预先建立的角色行为模式库进行匹配，包括：

从平台日志提取用户实时行为，根据用户角色将所述用户实时行为与角色行为习惯进行匹配，得到第一匹配结果；

从所述用户实时行为中监测得到用户的操作特征，根据用户角色将所述操作特征与角色行为准则进行匹配，得到第二匹配结果。

优选地，所述根据匹配结果，判断是否存在异常行为，包括：

当第一匹配结果和/或第二匹配结果为不匹配时，则判断存在异常行为。

优选地，所述将所述用户实时行为与预先建立的角色行为模式库进行匹配，包括：

按照将用户实时行为与角色行为模式库进行匹配；其中，n＝max[length(x)，length(y)]，-length(x)≤k≤length(y)，函数equal(i,k)为x(i)和y(i+k)的比较结果，f值表示用户实时行为与角色行为模式库中数据的匹配程度，f值越大，说明x和y的匹配程度越高；

当f大于预设匹配阈值，则判断用户实时行为与角色行为模式库匹配。

一种基于pki平台的异常行为检测装置，包括：监控单元、匹配单元及判断单元；其中，

所述监控单元，用于监控用户实时行为；

所述匹配单元，用于将所述用户实时行为与预先建立的角色行为模式库进行匹配；

所述判断单元，用于根据匹配结果，判断是否存在异常行为。

优选地，所述装置还包括：建立单元，用于建立角色行为模式库，所述角色行为模式库包括角色行为准则库和角色行为习惯库。

优选地，所述匹配单元，具体用于：

从平台日志提取用户实时行为，根据用户角色将所述用户实时行为与角色行为习惯进行匹配，得到第一匹配结果；从所述用户实时行为中监测得到用户的操作特征，根据用户角色将所述操作特征与角色行为准则进行匹配，得到第二匹配结果。

优选地，所述判断单元，具体用于：当第一匹配结果和/或第二匹配结果为不匹配时，则判断存在异常行为。

优选地，所述匹配单元，具体用于按照将用户实时行为与角色行为模式库进行匹配；其中，n＝max[length(x)，length(y)]，-length(x)≤k≤length(y)，函数equal(i,k)为x(i)和y(i+k)的比较结果，f值表示用户实时行为与角色行为模式库中数据的匹配程度，f值越大，说明x和y的匹配程度越高；当f大于预设匹配阈值，则判断用户实时行为与角色行为模式库匹配。

本发明实施例提供的基于pki平台的异常行为检测方法及装置，通过监控用户实时行为；将所述用户实时行为与预先建立的角色行为模式库进行匹配；根据匹配结果，判断是否存在异常行为，通过检测用户实际行为与角色行为模式库的背离程度，定位异常行为用户，实现内部威胁预警，适用于pki平台下的使用场景，将访问控制技术和数据挖掘技术相结合，更具有针对性，能够更加准确地发现平台上的异常行为用户，从而防止内部威胁的发生。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例提供的基于pki平台的异常行为检测方法的实现流程示意图；

图2为本发明实施例提供的基于pki平台的异常行为检测装置的结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

近年来，各种加密技术、访问控制技术、异常检测策略都已经被用来检测和防止内部用户的威胁行为。其中，访问控制技术一直广泛应用在内部威胁检测过程中，其原理是在具体的用户与对资源的访问权限之间建立一个角色集合，每个角色被赋予若干适当的访问系统和数据的权限，用户通过被分配相应的角色拥有一组相应的访问权限。角色是指若干根据岗位职责分工或任务调度而执行相同事务的人或群体的集合。角色和内部人员可以是一对一或者一对多的关系，也可以是多对多的关系。通常完成同一任务的人员会扮演一样的角色；而同一内部人员也可以同时扮演多个角色。

本发明将访问控制技术和数据挖掘技术相结合，提出一种利用角色行为模式的异常行为检测方法，用来检测pki平台内部威胁。该方法主要包括两个方面：一是将用户当前行为模式与其所对应角色的角色行为习惯进行匹配；二是检测用户当前行为与角色行为准则的背离程度。如果用户行为偏离了预设的行为准则和行为习惯，则极有可能发生了内部攻击。。

图1示出了本发明实施例提供的基于pki平台的异常行为检测方法的实现流程，具体如图1所示，所述方法包括：

步骤101，监控用户实时行为；

步骤102，将所述用户实时行为与预先建立的角色行为模式库进行匹配；

步骤103，根据匹配结果，判断是否存在异常行为

优选地，所述方法还包括：建立角色行为模式库，所述角色行为模式库包括角色行为准则库和角色行为习惯库。

这里，一方面结合《ga/t687-2007信息安全技术公钥基础设施安全技术要求》的各项规定建立角色行为准则库；另一方面由于用户的操作记录、系统产生的操作记录都存储在日志文件中，通过对不包含攻击数据的日志文件进行挖掘，找出每类角色甚至每个用户的行为习惯建立角色行为习惯库。将角色行为准则库和角色行为习惯库统称为角色行为模式库。最后通过监控用户实时行为，将用户实时行为与角色行为模式库进行对比，进而判别内部威胁。

1.角色行为模式库建立

1)模式挖掘：通过历史正常系统日志进行关联分析，找出不同人员以不同角色登录平台系统后的操作习惯，形成角色行为习惯库。

2)准则制定：根据上级要求结合工作实际，结合《ga/t687-2007信息安全技术公钥基础设施安全技术要求》的各项规定来限制各角色的操作权限，具体可参见表1；同时也可以以内部威胁预警阶段出现的问题为依据，修正相关准则。

3)准则评估：将内部威胁预警阶段出现的误报、漏报等缺陷反馈给上一步骤即准则制定。

表1角色及其相应的访问权限

进一步地，所述步骤102，具体包括：

从平台日志提取用户实时行为，根据用户角色将所述用户实时行为与角色行为习惯进行匹配，得到第一匹配结果；

从所述用户实时行为中监测得到用户的操作特征，根据用户角色将所述操作特征与角色行为准则进行匹配，得到第二匹配结果。

进一步地，将所述用户实时行为与预先建立的角色行为模式库进行匹配，包括：

按照将用户实时行为与角色行为模式库进行匹配；其中，n＝max[length(x)，length(y)]，-length(x)≤k≤length(y)，f值表示用户实时行为与角色行为模式库中数据的匹配程度，f值越大，说明x和y的匹配程度越高；

当f大于预设匹配阈值，则判断用户实时行为与角色行为模式库匹配。

相应地，所述步骤103，具体包括：

当第一匹配结果和/或第二匹配结果为不匹配时，则判断存在异常行为。

其中，将所述用户实时行为与预先建立的角色行为模式库进行匹配包括：

1)从平台日志中提取出用户实时行为，然后根据其对应的角色行为习惯进行模式匹配，依据匹配差值的大小来判定是否发生内部攻击。

2)通过监测用户实时操作特征，根据用户角色检查是否存在违反角色行为准则中相应规章制度和安全条例的行为，如果违反，则说明发生了内部攻击。

这里，采用相似度的概念来表示用户实时行为与角色行为模式库之间的匹配程度。相似度的数值介于0～1之间，两者完全不同，则相似度为0；两者完全相同，则相似度为1。

设x和y分别表示用户当前行为和角色行为模式库中的数据，x(i)表示x中的第i个单元(1≤i≤length(x))，y(i+k)表示y中的第i+k个单元(1≤i+k≤length(y))，定义函数equal(i,k)为x(i)和y(i+k)的比较结果。

下面介绍两种行为模式匹配算法：

(1)完全匹配法

完全匹配法如以下公式所示。

其中，n＝max[length(x),length(y)]。只有当x和y完全相同时，匹配结果为1；否则为0。由于用户当前行为并不一定和行为模式库中数据完全一样，只要在允许的范围内，都认为匹配成功；否则将出现大量误报警。基于此，又提出一种相关函数匹配法。

(2)相关函数法

相关函数法如以下公式所示。

其中，n＝max[length(x),length(y)]，-length(x)≤k≤length(y)。函数equal(i,k)为x(i)和y(i+k)的比较结果，f值表示用户实时行为与角色行为模式库中数据的背离程度，f值越大，说明x和y的匹配程度越高。在实际应用中，可以规定一个阈值α，如果0≤f≤α，判定为不匹配；如果α<f≤1，判定为匹配。

本方法主要利用相关函数法将用户实时行为与角色行为模式库进行匹配。

本发明实施例提供的基于pki平台的异常行为检测方法，通过监控用户实时行为；将所述用户实时行为与预先建立的角色行为模式库进行匹配；根据匹配结果，判断是否存在异常行为，通过检测用户实际行为与角色行为模式库的背离程度，定位异常行为用户，实现内部威胁预警，适用于pki平台下的使用场景，将访问控制技术和数据挖掘技术相结合，更具有针对性，能够更加准确地发现平台上的异常行为用户，从而防止内部威胁的发生。

基于同一发明构思，本发明实施例中还提供了一种基于pki平台的审计数据处理装置，由于上述装置解决问题的原理与基于pki平台的审计数据处理法相似，因此上述装置的实施可以参见方法的实施，重复之处不再赘述。

具体参见图2，所述基于pki平台的异常行为检测装置包括：监控单元21、匹配单元22及判断单元23；其中，

所述监控单元21，用于监控用户实时行为；

所述匹配单元22，用于将所述用户实时行为与预先建立的角色行为模式库进行匹配；

所述判断单元23，用于根据匹配结果，判断是否存在异常行为。

优选地，所述装置还包括：建立单元24，用于建立角色行为模式库，所述角色行为模式库包括角色行为准则库和角色行为习惯库。

优选地，所述匹配单元22，具体用于：

从平台日志提取用户实时行为，根据用户角色将所述用户实时行为与角色行为习惯进行匹配，得到第一匹配结果；从所述用户实时行为中监测得到用户的操作特征，根据用户角色将所述操作特征与角色行为准则进行匹配，得到第二匹配结果。

优选地，所述判断单元23，具体用于：当第一匹配结果和/或第二匹配结果为不匹配时，则判断存在异常行为。

优选地，所述匹配单元22，具体用于按照将用户实时行为与角色行为模式库进行匹配；其中，，n＝max[length(x)，length(y)]，-length(x)≤k≤length(y)，函数equal(i,k)为x(i)和y(i+k)的比较结果，f值表示用户实时行为与角色行为模式库中数据的匹配程度，f值越大，说明x和y的匹配程度越高；当f大于预设匹配阈值，则判断用户实时行为与角色行为模式库匹配。

为了描述的方便，以上各部分按照功能划分为各模块(或单元)分别描述。当然，在实施本发明时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。

在介绍了本发明示例性实施方式的基于pki平台的异常行为检测方法及装置之后，接下来，介绍根据本发明的另一示例性实施方式的计算装置。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

在一些可能的实施方式中，根据本发明的计算装置可以至少包括至少一个处理单元、以及至少一个存储单元。其中，所述存储单元存储有程序代码，当所述程序代码被所述处理单元执行时，使得所述处理单元执行本说明书上述描述的根据本发明各种示例性实施方式的基于pki平台的异常行为检测方法中的步骤。

本发明还提供一种根据上述方法实施例的电子设备，所述电子设备包括存储器和处理器。

存储器，主要用于存储程序，除此之外，也可被配置为存储其它各种数据以支持在电子设备上的操作。这些数据的示例包括联系人数据，电话簿数据，消息，图片，视频等。

存储器可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

处理器与存储器耦合，用于执行存储器中的程序，以用于：

监控用户实时行为；

将所述用户实时行为与预先建立的角色行为模式库进行匹配；

根据匹配结果，判断是否存在异常行为。

其中，处理器在执行存储器中的程序时，除了上面的功能之外，还可实现其它功能，具体可参见前面各实施例中的描述。

进一步，所述电子设备还包括：通信组件、显示器、电源组件、音频组件等其它组件。

本发明实施例提供的基于pki平台的异常行为检测装置，通过监控用户实时行为；将所述用户实时行为与预先建立的角色行为模式库进行匹配；根据匹配结果，判断是否存在异常行为，通过检测用户实际行为与角色行为模式库的背离程度，定位异常行为用户，实现内部威胁预警，适用于pki平台下的使用场景，将访问控制技术和数据挖掘技术相结合，更具有针对性，能够更加准确地发现平台上的异常行为用户，从而防止内部威胁的发生。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitorymedia)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。