[发明专利]用户审计方法、系统、电子设备及存储介质

说明书

本公开提供一种用户审计方法、系统、电子设备及计算机可读存储介质，以解决用户审计困难，效率低的技术问题，所述方法包括：将预设时间段内用户操作形成的系统日志导出，对系统日志中的数据抽取关键词并按预设方法处理后形成参照词典；对待审计的用户数据进行关键词提取，以所述参照词典为参照对提取的关键词进行分类，并形成知识图谱；将所述待审计的用户数据按照所述知识图谱进行匹配，根据匹配结果和预设的规则确立用户的风险等级。本公开技术方案能够自动高效的实现对异常用户进行识别，提高识别精度。

技术领域

本公开涉及网络安全技术领域，具体涉及一种用户审计方法，一种用户审计系统，一种电子设备以及一种计算机可读存储介质。

背景技术

目前企业对内部用户的审计主要依托于人工手段进行，通过定期对系统日志分析查找出异常用户，系统日志是按照某种规范表达出来的信息系统的行为记录，在网络安全的审计分析和溯源追踪方面的作用显著。但对于大型企业来讲，其网络系统一般较为复杂，人员账号众多，日志数据的种类也繁多，而且日志分析涉及的知识和技术相当广泛，仅仅依靠防火墙报警信息以及人工目录审计往往很难发现全部异常用户，而且需要花费较大的人力和时间，这对于企业网络安全防护极为不利。

发明内容

为了至少解决现有技术中对用户审计困难，效率较低的技术问题，本公开提供一种用户审计方法、用户审计系统、电子设备及计算机可读存储介质，能够自动高效的实现对异常用户进行识别，提高识别精度，并且实现对用户行为进行监控管理，以及违规操作和泄密行为追查取证。

第一方面，本公开提供一种用户审计方法，所述方法包括：

将预设时间段内用户操作形成的系统日志导出，对系统日志中的数据抽取关键词并按预设方法处理后形成参照词典；

对待审计的用户数据进行关键词提取，以所述参照词典为参照对提取的关键词进行分类，并形成知识图谱；

将所述待审计的用户数据按照所述知识图谱进行匹配，根据匹配结果和预设的规则确立用户的风险等级。

进一步的，所述对系统日志中的数据抽取关键词并按预设方法处理后形成参照词典，包括：

对系统日志中的数据进行清洗后抽取其中的关键词；

确定抽取的关键词的词频和词性，利用预设的哈希表对节点、以及节点之间的边的权重予以确定，其中节点为关键词，边为关键词与关键词之间的联系，以形成包含所有关键词，以及关键词之间关系的全量图作为参照的参照词典。

进一步的，所述对待审计的用户数据进行关键词提取，以所述参照词典为参照对提取的关键词进行分类，包括：

使用wordnet词典对待审计的用户数据进行关键词提取和语音消歧，并使用贝叶斯分类器以所述参照词典作为参照对提取的关键词进行分类。

进一步的，所述方法还包括：

在所述知识图谱形成之后，借助java工具包对所述知识图谱进行可视化操作。

进一步的，将所述待审计的用户数据按照所述知识图谱进行匹配的项目包括异常登录时间、异常的增加、删除与修改操作、权限变化和异常地点登录中的至少一项；

所述将所述待审计的用户数据按照所述知识图谱进行匹配，根据匹配结果和预设的规则确立用户的风险等级，包括：

将所述待审计的用户数据按照所述知识图谱进行逐个项目的匹配，根据匹配结果和预先设立的评估函数计算用户的风险值，再根据计算得出的用户的风险值确立用户的风险等级；

所述评估函数为：