[发明专利]基于PKI平台的异常行为检测方法及装置

说明书

本发明公开了一种基于公钥基础设施PKI平台的异常行为检测方法及装置，包括：监控用户实时行为；将所述用户实时行为与预先建立的角色行为模式库进行匹配；根据匹配结果，判断是否存在异常行为。本发明实施例通过检测用户实际行为与角色行为模式库的背离程度，定位异常行为用户，实现内部威胁预警。

技术领域

本发明涉及计算机技术领域，尤其涉及一种基于公钥基础设施(Public KeyInfrastructure，PKI)平台的异常行为检测方法及装置。

背景技术

本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

PKI平台是一种利用公钥加密技术为电子商务开展提供安全基础平台的技术和规范。PKI平台主要涉及权威认证机构(CA)、注册机构(RA)、数字证书库、密钥备份及恢复系统、证书作废系统等多个系统的搭建。由于PKI平台涉及多个系统，为了保证其证书服务的安全性，需格外防范外部和内部威胁，其中由于内部威胁难于检测，因此针对PKI平台提供一种智能化、自动化的内部威胁安全检测方法非常有必要。

现有技术中根据检测数据的来源不同，内部威胁检测模型分为主体模型与客体模型。典型的主体模型有PARKER提出来的SKPAM模型和WOOD提出来的CMO模型，两者均从内部人员实施攻击的基本条件出发进行建模。这两种模型主要考虑的是怀有恶意的用户，忽略了内部用户的无意行为。典型的客体模型有PARK等人提出的CRBM模型和RAY等人提出的攻击树裁剪模型。CRBM模型根据基于角色的访问控制方法，通过分析用户是否违反角色行为规范判断是否发生内部威胁。

但是，上述检测模型或者忽略了内部用户的无意行为，或者仅仅基于角色进行判断，均不够全面准确。

发明内容

本发明实施例提供一种基于PKI平台的审计数据处理方法及装置，能够提高异常检测行为的准确度。

一种基于公钥基础设施PKI平台的异常行为检测方法，包括：

监控用户实时行为；

将所述用户实时行为与预先建立的角色行为模式库进行匹配；

根据匹配结果，判断是否存在异常行为。

优选地，所述方法还包括：

建立角色行为模式库，所述角色行为模式库包括角色行为准则库和角色行为习惯库。

优选地，所述将所述用户实时行为与预先建立的角色行为模式库进行匹配，包括：

从平台日志提取用户实时行为，根据用户角色将所述用户实时行为与角色行为习惯进行匹配，得到第一匹配结果；

从所述用户实时行为中监测得到用户的操作特征，根据用户角色将所述操作特征与角色行为准则进行匹配，得到第二匹配结果。

优选地，所述根据匹配结果，判断是否存在异常行为，包括：

当第一匹配结果和/或第二匹配结果为不匹配时，则判断存在异常行为。

优选地，所述将所述用户实时行为与预先建立的角色行为模式库进行匹配，包括：

按照将用户实时行为与角色行为模式库进行匹配；其中，N＝max[Length(X)，Length(Y)]，-Length(X)≤k≤Length(Y)，函数Equal(i,k)为X(i)和Y(i+k)的比较结果，f值表示用户实时行为与角色行为模式库中数据的匹配程度，f值越大，说明X和Y的匹配程度越高；

当f大于预设匹配阈值，则判断用户实时行为与角色行为模式库匹配。

一种基于PKI平台的异常行为检测装置，包括：监控单元、匹配单元及判断单元；其中，