| 主权项 |
1.一种用于BSM安全审计日志的冗余及无用数据删减方法,其特征在于,包括下列步骤:1)数据格式化,对原初始数据集进行格式化操作,使数据集中由每次行为所触发产生的每条记录都满足特定的数据库结构,数据库结构是由关键字段和非关键字段组成,每个字段都有属于自己的含义,其中关键字段包括命令符、记录产生的时间、行为维持的时间、行为的路径、行为的属性值、输入参数、各种标识符、登录目标地址等,剩余的字段值则被认为是不关键的或者不是特别关键的;2)挑选关键属性,将命令符、行为的路径、各种标识符中的进程标识这三个属性字段从所述关键字段中选择出来,作为考查对象;3)计算关键属性支持度,针对命令符和行为的路径这两个属性字段,计算它们各自属性值出现的次数,进而计算出每一个属性字段的实际支持度,支持度计算公式如下所示:<img file="FDA00002382248800011.GIF" wi="1103" he="105" />4)计算日志记录score值,每一条记录对应一个值,该值叫做频繁项孤立点因素(FPOF),这个值是一行记录中两个属性值实际支持度的平均值,对于每一条记录,计算出一个能唯一标识出该条记录的一个score值,该score值由三部分相加而成,分别是两个属性值实际支持度之和加上频繁项孤立点因素的值。频繁项孤立点因素(FPOF)和Score值的计算公式如下所示:<maths num="0001"><![CDATA[<math><mrow><mi>FPOF</mi><mrow><mo>(</mo><mi>t</mi><mo>)</mo></mrow><mo>=</mo><mfrac><mrow><msub><mi>Σ</mi><mrow><mi>x</mi><mo>⊆</mo><mi>t</mi><mo>,</mo><mi>x</mi><mo>∈</mo><mi>FPS</mi><mrow><mo>(</mo><mi>D</mi><mo>,</mo><mi>selected</mi><mo>)</mo></mrow></mrow></msub><mi>support</mi><mrow><mo>(</mo><mi>X</mi><mo>)</mo></mrow></mrow><mrow><mo>|</mo><mo>|</mo><mi>FPS</mi><mrow><mo>(</mo><mi>D</mi><mo>,</mo><mi>selected</mi><mo>)</mo></mrow><mo>|</mo><mo>|</mo></mrow></mfrac><mo>,</mo></mrow></math>]]></maths>其中t代表每个事务,D代表n个事务集合,FPS(D,selected)代表每个事务中候选属性字段集合,<img file="FDA00002382248800013.GIF" wi="123" he="60" />x∈FPS(D,selected)support(X)代表每个属性字段的实际支持之和;<maths num="0002"><![CDATA[<math><mrow><mi>Score</mi><mo>=</mo><msub><mi>Σ</mi><mrow><mi>x</mi><mo>⊆</mo><mi>t</mi><mo>,</mo><mi>x</mi><mo>∈</mo><mi>FPS</mi><mrow><mo>(</mo><mi>D</mi><mo>,</mo><mi>selected</mi><mo>)</mo></mrow></mrow></msub><mi>support</mi><mrow><mo>(</mo><mi>X</mi><mo>)</mo></mrow><mo>+</mo><mi>FPOF</mi><mrow><mo>(</mo><mi>t</mi><mo>)</mo></mrow><mo>;</mo></mrow></math>]]></maths>5)基于score值排序日志记录,最终,每条记录都有一个分数,但都是无序的,对所有行的记录进行降序排序操作,使无效的数据能规律的排列在序列的一端;6)删除score值较大的记录,设定一个特定的阈值,将大于该阈值的数据进行删除操作。 |
