一种基于管理使用审计安全的计算机防护系统及方法与流程

技术特征：
1.一种基于管理使用审计安全的计算机防护方法，其特征在于，所述计算机防护方法包括以下过程：预先建立用户审计日志数据库，所述用户审计日志数据库包括基础数据库、参考数据库和留证数据库；所述基础数据库用于预先存储用户的参考人脸图像、用户使用优盘的名称标识、以及用户的关联用户和存疑用户，参考数据库和留证数据库用于存储其相应的优盘名称标识所对应的审计日志数据；当第一类别计算机检测到用户启动计算机并使用优盘时，从第一类别计算机中提取该用户的人脸图像为待比较图像，将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较；所述第一类别计算机为多运营商出口的计算机；如果两者的相似度大于等于第一相似度阈值，将该次用户使用计算机所记录的审计日志数据存入基础数据库内，并将此次审计日志数据添加第一认证记号；如果两者的相似度小于第一相似度阈值，判断是否将该次审计日志数据存入留证数据库中；当第二类别计算机检测到用户启动计算机并使用优盘时，基于用户的基础数据库及其参考数据库和留证数据库，对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应，所述第二类别计算机为单运营商出口的计算机。2.根据权利要求1所述的一种基于管理使用审计安全的计算机防护方法，其特征在于：所述当第一类别计算机检测到用户启动计算机时还包括：设该用户为中心用户，提取中心用户进入第一类别计算机放置场景的落座位置以及落座位置四周的其他落座位置，获取中心用户进入场景到落座位置的第一时间长度与中心用户四周的其他落座位置用户进入场景到位置的第二时间长度，比较第一时间长度与第二时间长度的差值，如果差值小于时间差值阈值，则输出中心用户四周存在落座的用户为待分析用户；获取用户打开计算后的审计日志数据，所述审计日志数据包括未插入优盘的内源审计日志和插入优盘后的外源审计日志，所述内源审计日志包括用户在打开计算机后未插入优盘的鼠标、键盘操作记录，所述外源审计日志包括计算机插入优盘后基于优盘的所有操作记录；从内源审计日志中获取中心用户和待分析用户的操作轨迹，所述操作轨迹为用户点击或输入记录的起始地址到用户在插入优盘前的点击或输入记录的终止地址操作过程中所包含的所有地址，如果某个用户在某个地址的停留时长大于等于停留时长阈值，那么输出该地址为用户的目标地址；分别获取中心用户在每个目标地址的前后地址，并将中心用户的目的地址与其前后地址作为目的轨迹，获取待分析用户与中心用户目的地址相似度大于第一阈值的地址为候选地址，并获取候选地址及其前后地址为候选轨迹；获取目的轨迹与候选轨迹相似度大于等于轨迹相似度阈值时的停留时长，将停留时长按照从大到小的顺序排序，输出排序第一的停留时长为ta；那么关联指数q＝ta/tk，其中tk为内源审计日志用户操作轨迹中停留的总时长；当某个待分析用户的关联指数大于关联阈值时，令待分析用户与中心用户的相关指数p1加1，其中某个用户与中心用户的相关指数初始值为0；
当某个待分析用户的关联指数小于等于关联阈值时，令待分析用户与中心用户的无关指数p2加1，其中，某个用户与中心用户的无关指数初始值为0；那么待分析用户与中心用户的关系指数为w＝p1/(p1 p2)；如果某个用户与另一个用户的关系指数大于等于关系阈值时，那么这两个用户互为彼此的关联用户；如果某个用户与另一个用户的关系指数小于关系阈值时，那么这两个用户互为存疑用户。3.根据权利要求2所述的一种基于管理使用审计安全的计算机防护方法，其特征在于：所述判断是否将该次审计日志数据存入留证数据库中，包括以下过程：将待比较图像与用户提供的优盘名称标识对应的存疑用户的人脸图像和关联用户的人脸图像进行相似度比较；若待比较图像与存疑用户的人脸图像相似度大于等于第二相似度阈值，获取存疑用户的外源审计日志，并计算外源审计日志的操作轨迹动态指数g＝(g1-g0)/m，其中g1表示外源审计日志操作轨迹中停留时长的最大值，g2表示外源审计日志操作轨迹中停留时长的最小值，m表示外源审计日志操作轨迹中包含地址的个数；若外源审计日志的操作轨迹动态指数大于等于轨迹动态指数阈值，将存疑用户的外源审计日志存入存证数据库，并添加第一可疑标识，否则存入基础数据库，并添加第二认证记号；若待比较图像与关联用户的人脸图像相似度大于等于第二相似度阈值，将关联用户的外源审计日志存入基础数据库，并添加第二认证记号；否则，将该次外源审计日志存入存证数据库内，并添加第二可疑标识，且将第二可疑标识对应的待比较图像标记为可疑人像；且当第二可疑标识数量大于可疑标识数量阈值时，进行预警。4.根据权利要求3所述的一种基于管理使用审计安全的计算机防护方法，其特征在于：所述当第二类别计算机检测到用户启动计算机并使用优盘时，基于用户的基础数据库及其参考数据库和留证数据库，对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应，包括以下过程：当用户启动第二类别计算机并使用优盘时，基于用户的基础数据库获取用户此时的内源审计日志并判断优盘名称标识对应的审计日志数据；若优盘名称标识对应的审计日志数据中包含第一认证记号或第二认证记号时，计算用户启动第二类别计算机时对应的内源审计日志的操作轨迹动态指数，以及优盘名称标识对应的审计日志数据中认证记号对应的平均操作轨迹动态指数，若操作轨迹动态指数大于等于平均操作轨迹动态指数，则对第二类别计算机进行预警响应，否则计算机继续监测；若优盘名称标识对应的审计日志数据中包含可疑标识，将可疑标识对应的操作轨迹动态指数与用户启动第二类别计算机时对应的内源审计日志的操作轨迹动态指数进行比较，若可疑标识对应的操作轨迹动态指数大于第二类别计算机时对应的内源审计日志的操作轨迹动态指数，则计算机继续监测；若可疑标识对应的操作轨迹动态指数小于等于第二类别计算机时对应的内源审计日志的操作轨迹动态指数，则对第二类别计算机进行预警响应。5.一种基于管理使用审计安全的计算机防护系统，其特征在于，所述计算机防护系统包括用户审计日志数据库、第一类别计算机检测模块、待比较图像提取模块、参考人脸图像
比较模块、留证数据库存储判断模块和第二类别计算机分析模块；所述用户审计日志数据库包括基础数据库、参考数据库和留证数据库；所述基础数据库用于预先存储用户的参考人脸图像、用户使用优盘的名称标识、以及用户的关联用户和存疑用户，参考数据库和留证数据库用于存储其相应的优盘名称标识所对应的审计日志数据；所述第一类别计算机检测模块用于检测到用户启动计算机并使用优盘时，所述待比较图像提取模块提取该用户的人脸图像为待比较图像；所述第一类别计算机为多运营商出口的计算机；所述参考人脸图像比较模块将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较；如果两者的相似度大于等于第一相似度阈值，将该次用户使用计算机所记录的审计日志数据存入基础数据库内，并将此次审计日志数据添加第一认证记号；如果两者的相似度小于第一相似度阈值，令所述留证数据库存储判断模块进行判断；所述第二类别计算机分析模块检测到用户启动计算机并使用优盘时，基于用户的基础数据库及其参考数据库和留证数据库，对比用户在第一类别计算机上使用优盘的审计日志数据差异并作出预警响应，所述第二类别计算机为单运营商出口的计算机。6.根据权利要求5所述的一种基于管理使用审计安全的计算机防护系统，其特征在于：所述第一类别计算机检测模块包括用户确定模块、审计日志数据提取模块、目标地址分析模块、关联指数计算模块和关系指数计算模块；所述用户确定模块用于确定中心用户以及与中心用户相关的待分析用户；所述审计日志数据提取模块用于提取用户打开计算机到插入优盘后两个不同阶段的审计日志数据；所述目标地址分析模块用于分析审计日志数据中具有目的性的地址为目标地址；所述关联指数计算模块用于根据中心用户的目标地址与待分析用户目标地址的相似度判断用户之间使用计算机的关联程度；所述关系指数计算模块用于确定用户与待分析用户的关系，并将用户关系分析关联用户和存疑用户。7.根据权利要求6所述的一种基于管理使用审计安全的计算机防护系统，其特征在于：所述留证数据库存储判断模块包括关联用户图像相似度比较模块和存疑用户图像相似度比较模块；所述关联用户图像相似度比较模块用于分析优盘名称标识对应的关联用户图像与待比较图像进行相似度分析，若待比较图像与关联用户的人脸图像相似度大于等于第二相似度阈值，将关联用户的外源审计日志存入基础数据库，并添加第二认证记号。所述存疑用户图像相似度比较模块用于分析优盘名称标识对应的存疑用户图像与待比较图像进行相似度分析，并计算外源审计日志的操作轨迹动态指数，判断是否存入存疑数据库，且对存入的数据添加可疑标识，对存入基础数据库的数据添加第二认证记号。8.根据权利要求7所述的一种基于管理使用审计安全的计算机防护系统，其特征在于：所述第二类别计算机分析模块包括数据对比模块和预警响应模块；所述数据对比模块用于在启动第二类别计算机并使用优盘时，参考用户的基础数据库获取用户此时的内源审计日志并判断优盘名称标识对应的审计日志数据；所述数据对比模
块比较审计日志数据中包含第一认证记号或第二认证记号情况的操作轨迹动态指数，以及包含可疑标识情况的操作轨迹动态指数；所述预警响应模块用于在审计日志数据中包含第一认证记号或第二认证记号情况时，分析操作轨迹动态指数并做出预警响应；以及在审计日志数据中包含可疑标识情况时分析操作轨迹动态指数并做出预警响应。

技术总结
本发明公开了一种基于管理使用审计安全的计算机防护系统及方法，包括用户审计日志数据库、第一类别计算机检测模块、待比较图像提取模块、参考人脸图像比较模块；用户审计日志数据库包括基础数据库、参考数据库和留证数据库；第一类别计算机检测模块用于检测到用户启动计算机并使用优盘时，待比较图像提取模块提取该用户的人脸图像为待比较图像；参考人脸图像比较模块将待比较图像与用户提供的优盘名称标识所对应的参考人脸图像进行相似度比较；本发明判断用户即使在将优盘设备借出情况下也可预测优盘的安全性，评估优盘在多运营商出口的计算机使用时的风险。口的计算机使用时的风险。口的计算机使用时的风险。


技术研发人员：刘智勇 张洪峰 黄荣杰 马向炜
受保护的技术使用者：珠海市鸿瑞信息技术股份有限公司
技术研发日：2022.07.22
技术公布日：2022/10/25