亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種日志審計(jì)方法及系統(tǒng)的制作方法

文檔序號:6507991閱讀:341來源:國知局
一種日志審計(jì)方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種日志審計(jì)方法及系統(tǒng),涉及計(jì)算機(jī)安全領(lǐng)域。獲取各系統(tǒng)登錄操作的原始日志;對其進(jìn)行內(nèi)容分析,解析出源地址、設(shè)備IP地址和操作命令;并據(jù)此定位操作人員、設(shè)備和操作重要級別;建立以操作人員機(jī)器對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別為內(nèi)容的審計(jì)視圖;監(jiān)控是否滿足報(bào)警條件,若滿足則發(fā)起報(bào)警,并將該滿足報(bào)警條件的操作人員及所對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以操作人員為視角的操作審計(jì)視圖,能對某操作人員操作過哪些設(shè)備、產(chǎn)生的操作內(nèi)容等自動監(jiān)控及報(bào)警,無需人工干預(yù),實(shí)現(xiàn)自動化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性。
【專利說明】一種日志審計(jì)方法及系統(tǒng)

【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)信息安全【技術(shù)領(lǐng)域】,特別涉及一種日志審計(jì)方法及系統(tǒng)。

【背景技術(shù)】
[0002]近年來企業(yè)不斷出現(xiàn)重要數(shù)據(jù)被竊取的事件,根據(jù)最新的統(tǒng)計(jì)資料,給企業(yè)造成的嚴(yán)重攻擊中70%是來自于組織中的內(nèi)部,內(nèi)部人員、包括內(nèi)部員工或者提供第三方II'支持的維護(hù)人員等,他們利用職務(wù)之便,違規(guī)操作導(dǎo)致的安全問題日益頻繁和突出,這些操作都與客戶的業(yè)務(wù)息息相關(guān)。對于這類與業(yè)務(wù)息息相關(guān)的操作行為、違規(guī)行為的安全問題,必須要有強(qiáng)力的手段來防范和阻止,操作人員的審計(jì)應(yīng)運(yùn)而生。
[0003]現(xiàn)有的操作人員信息系統(tǒng)審計(jì)方案:收集信息系統(tǒng)各設(shè)備的登錄操作日志,制定審計(jì)規(guī)則,析取日志中的操作源地址、操作設(shè)備I?、操作賬號、操作內(nèi)容形成標(biāo)準(zhǔn)化日志,把這些標(biāo)準(zhǔn)化日志集中存儲在審計(jì)庫中,審計(jì)管理員可以在審計(jì)庫中通過操作人員的源地址檢索該操作人員的詳細(xì)操作。
[0004]現(xiàn)有的操作人員操作審計(jì)方案中,如果對操作人員做審計(jì),首先要人工維護(hù)源地址與操作人員的關(guān)系,源地址與操作人員需要一一對應(yīng),其次需要在審計(jì)庫中,人工頻繁的用操作人員的I?地址檢索,才能得到該操作人員的操作日志,并且事后還需要人工分析日志間的關(guān)聯(lián)關(guān)系,判斷操作是否高危操作,審計(jì)工作繁瑣,效率非常低下。


【發(fā)明內(nèi)容】

[0005]鑒于上述問題,本發(fā)明實(shí)施例提供一種日志審計(jì)方法及系統(tǒng),通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以操作人員為視角的操作審計(jì)視圖,以實(shí)現(xiàn)自動化審計(jì),大大提聞審計(jì)效率和準(zhǔn)確性的目的。
[0006]本發(fā)明實(shí)施例采用了如下技術(shù)方案:
[0007]本發(fā)明一個實(shí)施例提供了一種日志審計(jì)方法,所述方法包括:
[0008]獲取各系統(tǒng)登錄操作的原始日志;
[0009]對原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、設(shè)備I?地址和操作命令;
[0010]根據(jù)所述源地址定位操作人員;
[0011]根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備;
[0012]根據(jù)所述操作命令確定操作內(nèi)容和重要級別;
[0013]建立以操作人員為索引,各操作人員對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別為內(nèi)容的審計(jì)視圖;
[0014]監(jiān)控所述審計(jì)視圖中重要級別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的操作人員及所對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
[0015]所述方法還包括:實(shí)時獲取各系統(tǒng)登錄操作的原始日志;
[0016]每獲取到一條新的原始日志,則在所述審計(jì)視圖中對應(yīng)操作人員為索引的內(nèi)容中,增加該新的原始日志中解析及定位得到的本次操作設(shè)備、操作內(nèi)容及重要級別。
[0017]所述方法還包括:
[0018]預(yù)先建立操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識庫;
[0019]所述根據(jù)所述源地址定位操作人員具體為:
[0020]查詢所述操作人員關(guān)系表,定位所述源地址對應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對應(yīng)關(guān)系;
[0021]所述根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備具體為:
[0022]查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備I?地址對應(yīng)的設(shè)備;所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備I?地址和設(shè)備的對應(yīng)關(guān)系;
[0023]所述根據(jù)所述操作命令確定操作內(nèi)容和重要級別具體為:
[0024]查詢所述第一知識庫,定位所述操作命令對應(yīng)的操作內(nèi)容和重要級別;所述第一知識庫中記錄有操作命令與操作內(nèi)容和重要級別的對應(yīng)關(guān)系。
[0025]所述方法還包括:對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0026]所述對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系具體為:
[0027]在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值,則將該操作命令的重要級別修正為高,并在所述第二知識庫中增加該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系;
[0028]所述方法還包括:在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識庫中刪除該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0029]根據(jù)所述操作命令確定重要級別具體為:
[0030]查詢所述第一知識庫和第二知識庫,若在所述第一知識庫和第二知識庫中定位所述操作命令對應(yīng)的重要級別不一致,則以第二知識庫中定位的重要級別為該操作命令對應(yīng)的重要級別。
[0031]另外,本發(fā)明實(shí)施例還提供了一種日志審計(jì)系統(tǒng),所述系統(tǒng)包括:
[0032]獲取模塊,用于獲取各系統(tǒng)登錄操作的原始日志;
[0033]內(nèi)容解析模塊,用于對原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、設(shè)備I?地址和操作命令;
[0034]操作人員定位模塊,用于根據(jù)所述源地址定位操作人員;
[0035]設(shè)備定位模塊,用于根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備;
[0036]操作級別確定模塊,用于根據(jù)所述操作命令確定操作內(nèi)容和重要級別;
[0037]審計(jì)視圖建立模塊,用于建立以操作人員為索引,各操作人員對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別為內(nèi)容的審計(jì)視圖;
[0038]監(jiān)控報(bào)警記錄模塊,用于監(jiān)控所述審計(jì)視圖中重要級別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的操作人員及所對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
[0039]所述系統(tǒng)還包括操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識庫;
[0040]所述操作人員定位模塊,具體用于查詢所述操作人員關(guān)系表,定位所述源地址對應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對應(yīng)關(guān)系;
[0041]所述設(shè)備定位模塊,具體用于查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備I?地址對應(yīng)的設(shè)備;所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備I?地址和設(shè)備的對應(yīng)關(guān)系;
[0042]所述操作級別確定模塊,具體用于查詢所述第一知識庫,定位所述操作命令對應(yīng)的操作內(nèi)容和重要級別;所述第一知識庫中記錄有操作命令與操作內(nèi)容和重要級別的對應(yīng)關(guān)系。
[0043]所述系統(tǒng)還包括第二知識庫和修正模塊,所述修正模塊用于對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系;
[0044]所述修正模塊具體包括:
[0045]判斷單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值;
[0046]修正單元,用于當(dāng)所述判斷單元的判斷結(jié)果為是,則將該操作命令的重要級別修正為高;
[0047]增加單元,用于在所述第二知識庫中增加該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系;
[0048]所述修正模塊還包括刪除單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識庫中刪除該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0049]所述操作級別確定模塊具體用于:
[0050]查詢所述第一知識庫和第二知識庫,若在所述第一知識庫和第二知識庫中定位所述操作命令對應(yīng)的重要級別不一致,則以第二知識庫中定位的重要級別為該操作命令對應(yīng)的重要級別。
[0051]可見,本發(fā)明實(shí)施例提供一種日志審計(jì)方法及系統(tǒng),通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以操作人員為視角的操作審計(jì)視圖,能夠?qū)δ巢僮魅藛T操作過哪些設(shè)備、產(chǎn)生的操作內(nèi)容等信息進(jìn)行自動監(jiān)控及報(bào)警,無需人工干預(yù),實(shí)現(xiàn)自動化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性的目的。

【專利附圖】

【附圖說明】
[0052]圖1為本發(fā)明實(shí)施例提供的一種日志審計(jì)方法流程圖;
[0053]圖2為本發(fā)明實(shí)施例提供的日志審計(jì)方法的一個具體實(shí)例的邏輯層次示意圖;
[0054]圖3為本發(fā)明實(shí)施例提供的一種日志審計(jì)系統(tǒng)結(jié)構(gòu)框圖。

【具體實(shí)施方式】
[0055]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚,下面將結(jié)合附圖對本發(fā)明實(shí)施方式作進(jìn)一步地詳細(xì)描述。
[0056]為了從海量日志中審計(jì)出操作人員的行為,本發(fā)明實(shí)施例提出一種以操作人員為視角的信息系統(tǒng)操作審計(jì)日志組織方法。本發(fā)明實(shí)施例要解決的技術(shù)問題是:解決審計(jì)管理員面對海量日志無法高效對操作人員的操作行為審計(jì),即通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以操作人員為視角的操作審計(jì)視圖,以實(shí)現(xiàn)自動化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性的目的。
[0057]參見圖1,本發(fā)明實(shí)施例提供一種日志審計(jì)方法,具體包括如下步驟:
[0058]8101:獲取各系統(tǒng)登錄操作的原始日志。
[0059]8102:對原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、設(shè)備I?地址和操作命令。
[0060]8103:根據(jù)所述源地址定位操作人員。
[0061]8104:根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備。
[0062]8105:根據(jù)所述操作命令確定操作內(nèi)容和重要級別。
[0063]優(yōu)選的,本發(fā)明實(shí)施例還包括:
[0064]預(yù)先建立操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識庫。
[0065]相應(yīng)的,上述步驟3103根據(jù)所述源地址定位操作人員具體為:
[0066]查詢所述操作人員關(guān)系表,定位所述源地址對應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對應(yīng)關(guān)系。
[0067]上述步驟3104根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備具體為:
[0068]查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備I?地址對應(yīng)的設(shè)備;所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備I?地址和設(shè)備的對應(yīng)關(guān)系。
[0069]上述步驟3105根據(jù)所述操作命令確定操作內(nèi)容和重要級別具體為:
[0070]查詢所述第一知識庫,定位所述操作命令對應(yīng)的操作內(nèi)容和重要級別;所述第一知識庫中記錄有操作命令與操作內(nèi)容和重要級別的對應(yīng)關(guān)系。
[0071]3106:建立以操作人員為索引,各操作人員對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別為內(nèi)容的審計(jì)視圖。
[0072]具體的,所述方法還包括:實(shí)時獲取各系統(tǒng)登錄操作的原始日志;
[0073]每獲取到一條新的原始日志,則在所述審計(jì)視圖中對應(yīng)操作人員為索引的內(nèi)容中,增加該新的原始日志中解析及定位得到的本次操作設(shè)備、操作內(nèi)容及重要級別。
[0074]也就是說,本發(fā)明實(shí)施例提供的方法是一個不斷更新的過程,即隨著原始日志的不斷獲取,沒獲取到一條新的原始日志,則在審計(jì)視圖中對應(yīng)該操作人員為索引的內(nèi)容中,增加該新的原始日志中根據(jù)上述步驟3102-3105解析及定位得到的本次操作設(shè)備、操作內(nèi)容及重要級別。當(dāng)然,若審計(jì)視圖中沒有該操作人員,則在審計(jì)視圖中以該操作人員為索引新建一條記錄,并添加該操作人員對應(yīng)的本次操作設(shè)備、操作內(nèi)容及重要級別。
[0075]優(yōu)選的,為了進(jìn)一步提升審計(jì)結(jié)果的準(zhǔn)確性,本發(fā)明另一實(shí)施例中還包括有第二知識庫,相應(yīng)的,還包括如下步驟:
[0076]對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0077]具體的,不斷統(tǒng)計(jì)一定周期內(nèi)(如最近一周時間內(nèi))的新記錄,分析這些記錄中是否有滿足修正條件的記錄,若有,則對滿足修正條件的操作命令的重要級別進(jìn)行修正,并在第二知識庫中記錄該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0078]舉例說明,上述對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系的一種【具體實(shí)施方式】可以為:
[0079]在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值,則將該操作命令的重要級別修正為高,并在所述第二知識庫中增加該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0080]也就是說,若在一定周期內(nèi),某項(xiàng)操作命令被執(zhí)行的過于頻繁,則認(rèn)為在該段時間內(nèi),該項(xiàng)操作命令相對重要,需要審計(jì)中對其進(jìn)行關(guān)注,因此,修改該項(xiàng)操作命令的重要級別為高級別,并在第二知識庫中增加該記錄,體現(xiàn)其當(dāng)前的重要程度。
[0081]相應(yīng)的,本發(fā)明實(shí)施例提供的方法還包括:在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識庫中刪除該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0082]可見,第一知識庫相對穩(wěn)定,第二知識庫中的內(nèi)容會實(shí)時更新,主要用于體現(xiàn)最近某一時間段內(nèi)的情況。
[0083]基于第二知識庫存在的具體實(shí)施例中,根據(jù)所述操作命令確定重要級別具體為:
[0084]查詢所述第一知識庫和第二知識庫,若在所述第一知識庫和第二知識庫中定位所述操作命令對應(yīng)的重要級別不一致,則以第二知識庫中定位的重要級別為該操作命令對應(yīng)的重要級別。也就是說,當(dāng)?shù)谝恢R庫和第二知識庫中查詢到的重要級別不一致時,以第二知識庫為準(zhǔn)。
[0085]3107:監(jiān)控所述審計(jì)視圖中重要級別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的操作人員及所對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
[0086]可見,本發(fā)明實(shí)施例提供一種日志審計(jì)方法,通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以操作人員為視角的操作審計(jì)視圖,能夠?qū)δ巢僮魅藛T操作過哪些設(shè)備、產(chǎn)生的操作內(nèi)容等信息進(jìn)行自動監(jiān)控及報(bào)警,無需人工干預(yù),實(shí)現(xiàn)自動化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性的目的。
[0087]以下為本發(fā)明實(shí)施例的一個具體實(shí)例,用于舉例具體說明。參見圖2,具體示出本具體實(shí)例方法所基于的邏輯層次圖。
[0088]在該實(shí)例中,具體建立了一條以業(yè)務(wù)部門操作人員設(shè)備操作內(nèi)容是否關(guān)鍵操作(即重要級別)的操作人員視角完整的自動審計(jì)信息鏈。
[0089]處理步驟具體為:
[0090]1.基礎(chǔ)數(shù)據(jù)維護(hù):以業(yè)務(wù)部門的形式,對部門、人員逐級管理,建立業(yè)務(wù)部門人員分類表,維護(hù)業(yè)務(wù)部門、操作人員、源地址的對應(yīng)關(guān)系;建立信息系統(tǒng)分類表,維護(hù)信息系統(tǒng)、設(shè)備類型、設(shè)備I?的對應(yīng)關(guān)系;建立操作內(nèi)容級別定義知識庫,維護(hù)操作命令與操作級別的對應(yīng)關(guān)系。
[0091]2.日志內(nèi)容分析:收集各系統(tǒng)的登錄操作日志,進(jìn)行日志分析,析取日志中的源地址、被操作設(shè)備I?、操作命令、操作賬號等字段。
[0092]3.操作人員定位:析取日志中的源地址,通過源地址在操作人員表中查找到對應(yīng)的操作人員。
[0093]4.設(shè)備定位:析取日志中的設(shè)備I?,通過信息系統(tǒng)分類表查找到該I?對應(yīng)的設(shè)備,并獲得該設(shè)備所屬的信息系統(tǒng)。
[0094]5.操作重要級別定位:用日志中析取出來的操作命令在知識庫中查找相應(yīng)的重要級別。
[0095]6.建立一張以操作人員為視角的操作審計(jì)視圖,記錄日志中對應(yīng)出的操作人員、操作設(shè)備、操作內(nèi)容、是否關(guān)鍵操作等字段,完成業(yè)務(wù)部門-? 操作人員-? 設(shè)備-? 操作內(nèi)容-? 是否關(guān)鍵操作的操作人員視角完整的審計(jì)信息鏈。
[0096]可見,自動對操作人員進(jìn)行分類,審計(jì)人員可以以業(yè)務(wù)部門下的人員為主線,查看其操作過哪些設(shè)備、產(chǎn)生的操作、操作設(shè)備發(fā)生的告警信息,全面、準(zhǔn)確的監(jiān)控重點(diǎn)人員在重要設(shè)備上的敏感操作。
[0097]另外,參見圖3,本發(fā)明實(shí)施例提供了一種日志審計(jì)系統(tǒng),所述系統(tǒng)具體包括:
[0098]獲取模塊301,用于獲取各系統(tǒng)登錄操作的原始日志;
[0099]內(nèi)容解析模塊302,用于對原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、設(shè)備I?地址和操作命令;
[0100]操作人員定位模塊303,用于根據(jù)所述源地址定位操作人員;
[0101]設(shè)備定位模塊304,用于根據(jù)所述設(shè)備I?地址定位所操作的設(shè)備;
[0102]操作級別確定模塊305,用于根據(jù)所述操作命令確定操作內(nèi)容和重要級別;
[0103]審計(jì)視圖建立模塊306,用于建立以操作人員為索引,各操作人員對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別為內(nèi)容的審計(jì)視圖;
[0104]監(jiān)控報(bào)警記錄模塊307,用于監(jiān)控所述審計(jì)視圖中重要級別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的操作人員及所對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
[0105]具體的,本發(fā)明實(shí)施例提供的系統(tǒng)還包括實(shí)時更新模塊,用于實(shí)時獲取各系統(tǒng)登錄操作的原始日志;每獲取到一條新的原始日志,則在所述審計(jì)視圖中對應(yīng)操作人員為索引的內(nèi)容中,增加該新的原始日志中解析及定位得到的本次操作設(shè)備、操作內(nèi)容及重要級別。
[0106]優(yōu)選的,本發(fā)明實(shí)施例提供的系統(tǒng)還包括操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識庫。
[0107]相應(yīng)的,上述操作人員定位模塊,具體用于查詢所述操作人員關(guān)系表,定位所述源地址對應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對應(yīng)關(guān)系。
[0108]上述設(shè)備定位模塊,具體用于查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備I?地址對應(yīng)的設(shè)備;所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備I?地址和設(shè)備的對應(yīng)關(guān)系。
[0109]上述操作級別確定模塊,具體用于查詢所述第一知識庫,定位所述操作命令對應(yīng)的操作內(nèi)容和重要級別;所述第一知識庫中記錄有操作命令與操作內(nèi)容和重要級別的對應(yīng)關(guān)系。
[0110]進(jìn)一步的,本發(fā)明實(shí)施例提供的系統(tǒng)還包括第二知識庫和修正模塊,所述修正模塊用于對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0111]具體的,所述修正模塊具體包括如下單元:
[0112]判斷單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值;
[0113]修正單元,用于當(dāng)所述判斷單元的判斷結(jié)果為是,則將該操作命令的重要級別修正為高;
[0114]增加單元,用于在所述第二知識庫中增加該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0115]相應(yīng)的,修正模塊還包括刪除單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識庫中刪除該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
[0116]基于第二知識庫存在的實(shí)施例中,所述操作級別確定模塊具體用于:
[0117]查詢所述第一知識庫和第二知識庫,若在所述第一知識庫和第二知識庫中定位所述操作命令對應(yīng)的重要級別不一致,則以第二知識庫中定位的重要級別為該操作命令對應(yīng)的重要級別。
[0118]需要說明的是,本發(fā)明系統(tǒng)實(shí)施例中的各個模塊或者子模塊的工作原理和處理過程可以參見上述圖1及圖2所示方法實(shí)施例中的相關(guān)描述,此處不再贅述。
[0119]可見,本發(fā)明實(shí)施例提供一種日志審計(jì)系統(tǒng),通過計(jì)算機(jī)程序?qū)θ罩緮?shù)據(jù)進(jìn)行分析處理,建立以操作人員為視角的操作審計(jì)視圖,能夠?qū)δ巢僮魅藛T操作過哪些設(shè)備、產(chǎn)生的操作內(nèi)容等信息進(jìn)行自動監(jiān)控及報(bào)警,無需人工干預(yù),實(shí)現(xiàn)自動化審計(jì),大大提高審計(jì)效率和準(zhǔn)確性的目的。
[0120]為了便于清楚描述本發(fā)明實(shí)施例的技術(shù)方案,在發(fā)明的實(shí)施例中,采用了“第一”、“第二”等字樣對功能和作用基本相同的相同項(xiàng)或相似項(xiàng)進(jìn)行區(qū)分,本領(lǐng)域技術(shù)人員可以理解“第一”、“第二”等字樣并不對數(shù)量和執(zhí)行次序進(jìn)行限定。
[0121]本領(lǐng)域普通技術(shù)人員可以理解,實(shí)現(xiàn)上述實(shí)施例方法中的全部或部分步驟是可以通過程序來指令相關(guān)的硬件來完成,所述的程序可以存儲于一計(jì)算機(jī)可讀取存儲介質(zhì)中,該程序在執(zhí)行時,包括如下步驟:(方法的步驟),所述的存儲介質(zhì),如#01/狀1、磁碟、光盤坐寸。
[0122]以上所述僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換、改進(jìn)等,均包含在本發(fā)明的保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.一種日志審計(jì)方法,其特征在于,所述方法包括: 獲取各系統(tǒng)登錄操作的原始日志; 對原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、設(shè)備IP地址和操作命令; 根據(jù)所述源地址定位操作人員; 根據(jù)所述設(shè)備IP地址定位所操作的設(shè)備; 根據(jù)所述操作命令確定操作內(nèi)容和重要級別; 建立以操作人員為索引,各操作人員對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別為內(nèi)容的申計(jì)視圖; 監(jiān)控所述審計(jì)視圖中重要級別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的操作人員及所對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括:實(shí)時獲取各系統(tǒng)登錄操作的原始日志; 每獲取到一條新的原始日志,則在所述審計(jì)視圖中對應(yīng)操作人員為索引的內(nèi)容中,增加該新的原始日志中解析及定位得到的本次操作設(shè)備、操作內(nèi)容及重要級別。
3.根據(jù)權(quán)利要求1所述的方法,其特征在于,所述方法還包括: 預(yù)先建立操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識庫; 所述根據(jù)所述源地址定位操作人員具體為: 查詢所述操作人員關(guān)系表,定位所述源地址對應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對應(yīng)關(guān)系; 所述根據(jù)所述設(shè)備IP地址定位所操作的設(shè)備具體為: 查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備IP地址對應(yīng)的設(shè)備;所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備IP地址和設(shè)備的對應(yīng)關(guān)系; 所述根據(jù)所述操作命令確定操作內(nèi)容和重要級別具體為: 查詢所述第一知識庫,定位所述操作命令對應(yīng)的操作內(nèi)容和重要級別;所述第一知識庫中記錄有操作命令與操作內(nèi)容和重要級別的對應(yīng)關(guān)系。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,所述方法還包括:對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
5.根據(jù)權(quán)利要求4所述的方法,其特征在于,所述對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系具體為: 在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值,則將該操作命令的重要級別修正為高,并在所述第二知識庫中增加該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系; 所述方法還包括:在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識庫中刪除該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,根據(jù)所述操作命令確定重要級別具體為: 查詢所述第一知識庫和第二知識庫,若在所述第一知識庫和第二知識庫中定位所述操作命令對應(yīng)的重要級別不一致,則以第二知識庫中定位的重要級別為該操作命令對應(yīng)的重要級別。
7.一種日志審計(jì)系統(tǒng),其特征在于,所述系統(tǒng)包括: 獲取模塊,用于獲取各系統(tǒng)登錄操作的原始日志; 內(nèi)容解析模塊,用于對原始日志進(jìn)行內(nèi)容分析,解析出日志中的源地址、設(shè)備IP地址和操作命令; 操作人員定位模塊,用于根據(jù)所述源地址定位操作人員; 設(shè)備定位模塊,用于根據(jù)所述設(shè)備IP地址定位所操作的設(shè)備; 操作級別確定模塊,用于根據(jù)所述操作命令確定操作內(nèi)容和重要級別; 審計(jì)視圖建立模塊,用于建立以操作人員為索引,各操作人員對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別為內(nèi)容的審計(jì)視圖; 監(jiān)控報(bào)警記錄模塊,用于監(jiān)控所述審計(jì)視圖中重要級別是否滿足報(bào)警條件,若滿足,則發(fā)起報(bào)警,并將該滿足報(bào)警條件的操作人員及所對應(yīng)的操作設(shè)備、操作內(nèi)容及重要級別作為一條記錄,記入審計(jì)敏感信息集中,以便審計(jì)查閱分析。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括操作人員關(guān)系表、信息系統(tǒng)關(guān)系表和第一知識庫; 所述操作人員定位模塊,具體用于查詢所述操作人員關(guān)系表,定位所述源地址對應(yīng)的操作人員;所述操作人員關(guān)系表中記錄有操作人員和源地址的對應(yīng)關(guān)系; 所述設(shè)備定位模塊,具體用于查詢所述信息系統(tǒng)關(guān)系表,定位所述設(shè)備IP地址對應(yīng)的設(shè)備;所述信息系統(tǒng)關(guān)系表中記錄有設(shè)備IP地址和設(shè)備的對應(yīng)關(guān)系; 所述操作級別確定模塊,具體用于查詢所述第一知識庫,定位所述操作命令對應(yīng)的操作內(nèi)容和重要級別;所述第一知識庫中記錄有操作命令與操作內(nèi)容和重要級別的對應(yīng)關(guān)系O
9.根據(jù)權(quán)利要求8所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括第二知識庫和修正模塊,所述修正模塊用于對預(yù)定周期內(nèi)審計(jì)視圖中新增的內(nèi)容進(jìn)行分析,對于滿足修正條件的記錄,在第二知識庫中記錄操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系; 所述修正模塊具體包括: 判斷單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中某一操作命令被執(zhí)行的頻率超出預(yù)置值; 修正單元,用于當(dāng)所述判斷單元的判斷結(jié)果為是,則將該操作命令的重要級別修正為聞; 增加單元,用于在所述第二知識庫中增加該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系; 所述修正模塊還包括刪除單元,用于在所述預(yù)定周期內(nèi),判斷若新增的內(nèi)容中所述某一操作命令被執(zhí)行的頻率低于所述預(yù)置值,則在所述第二知識庫中刪除該操作命令與操作內(nèi)容和修正后重要級別的對應(yīng)關(guān)系。
10.根據(jù)權(quán)利要求9所述的系統(tǒng),其特征在于,所述操作級別確定模塊具體用于: 查詢所述第一知識庫和第二知識庫,若在所述第一知識庫和第二知識庫中定位所述操作命令對應(yīng)的重要級別不一致,則以第二知識庫中定位的重要級別為該操作命令對應(yīng)的重要級別。
【文檔編號】G06F21/50GK104376254SQ201310359546
【公開日】2015年2月25日 申請日期:2013年8月16日 優(yōu)先權(quán)日:2013年8月16日
【發(fā)明者】羅波, 高金明, 臧守湃, 陳尊, 王智江, 張建軍, 蘇砫, 唐楚榮 申請人:北京神州泰岳軟件股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1