專利名稱:一種基于回顯的審計方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及可用于網(wǎng)絡(luò)業(yè)務(wù)審計產(chǎn)品中對于某些協(xié)議或系統(tǒng)利用服務(wù)端回顯 的技術(shù)對相關(guān)網(wǎng)絡(luò)業(yè)務(wù)進行精確審計的一種基于回顯的審計方法及系統(tǒng)��,它依 據(jù)網(wǎng)絡(luò)系統(tǒng)當中服務(wù)器端與客戶端交互過程中使用的回顯技術(shù)對需要審計的信 息進行準確提取及審計�,屬于網(wǎng)絡(luò)技術(shù)領(lǐng)域。
背景技術(shù):
網(wǎng)絡(luò)業(yè)務(wù)審計系統(tǒng)是目前應(yīng)用日益廣泛的作為網(wǎng)絡(luò)安全防護的重要手段�,它 通過對業(yè)務(wù)系統(tǒng)中可信人員的網(wǎng)絡(luò)活動進行解析、記錄����、分析以幫助管理人員 事前規(guī)劃預(yù)防、事中實時監(jiān)控��、違規(guī)行為阻止和事后追査網(wǎng)絡(luò)運營事故����,從而 幫助用戶加強內(nèi)外部網(wǎng)絡(luò)行為監(jiān)管、避免核心資產(chǎn)(數(shù)據(jù)庫����、服務(wù)器、網(wǎng)絡(luò)設(shè)
備)損失�、保障客戶業(yè)務(wù)系統(tǒng)的正常運營�,是企業(yè)實現(xiàn)IT管理和控制的最佳實 踐��。目前絕大部分的審計系統(tǒng)都是采用協(xié)議解析技術(shù)首先對網(wǎng)絡(luò)報文進行解析�, 然后在特定的字段當中提取需要審計的內(nèi)容�,然后根據(jù)這些內(nèi)容將相應(yīng)的業(yè)務(wù) 操作進行審計,實時處理或者存儲在相應(yīng)的日志庫中�����。例如sqlserver數(shù)據(jù)庫 系統(tǒng)當中客戶端與服務(wù)器端進行交互使用TDS協(xié)議�,而絕大部分對于數(shù)據(jù)庫的 操作行為都是以sql語句進行交互的。這些sq1語句都按照TDS協(xié)議的格式封 裝在特定的字段當中�,則跳過協(xié)議頭的8字節(jié)之后即為相應(yīng)的數(shù)據(jù)字段。從中 可以提取出標識當前數(shù)據(jù)庫操作的sql語句內(nèi)容進行審計�。此外對于某些基于 命令行模式操作的協(xié)議如telnet協(xié)議,某些環(huán)境當中對于協(xié)議的審計口j以通過 關(guān)鍵字完成���,如用戶名輸入會有l(wèi)ogin字段��,其后可作為用戶名提取��。但是對于某些的客戶環(huán)境當中使用telnet協(xié)議時是不包含類似的關(guān)鍵字特征的�。此時 對于一般的審計系統(tǒng)處理方式是跳過telnet協(xié)議客戶端與服務(wù)器端連接初始階 段的以ff字段開頭的命令協(xié)商部分數(shù)據(jù)包��。而后對于所有的輸入作為用戶名提 取知道回車標識為止。按照這種方式實際上在沒有特征字標識的情況下是無法 正確分辨客戶端的輸入究竟是用戶名����、密碼還是具體操作而將所有的客戶端輸 入按照統(tǒng)一的方式提取并上報到審計系統(tǒng)。但是出于安全性的考慮���,在很多用 戶環(huán)境當中對于每一個用戶名相對應(yīng)的密碼是不應(yīng)該被提取并顯示在審計終端 上的���,這實際上違背了審計的初衷,即審計了不該審計的信息����。這就在一定程 度上增加了審計的難度,如何準確的識別并提取用戶需要的信息同時處于安全
的考慮保護用戶希望保護的信息成為了關(guān)鍵問題��。
目前在網(wǎng)絡(luò)業(yè)務(wù)審計產(chǎn)品對于審計范圍的考慮并不完善���,很多審計產(chǎn)品在 審計使用某些協(xié)議如telnet�����、 Xll的網(wǎng)絡(luò)行為的時候都存在著將用戶隱私信息 提取并顯示出來的問題��。實際上在這些協(xié)議的使用過程當中對于客戶端輸入的 數(shù)據(jù)服務(wù)器端會將其中需要顯示在客戶端界面上的內(nèi)容傳輸回客戶端�,也就是 說出于安全性的考慮服務(wù)器端在實際網(wǎng)絡(luò)交互過程當中會將用戶輸入的信息當 中可以公開顯示的部分再傳送給客戶端的顯示系統(tǒng),例如telnet在輸入用戶名 可以在顯示器上看到輸入的內(nèi)容�,而密碼通常只能看到一串星號,這就是根據(jù) 服務(wù)器端傳輸給客戶端的報文內(nèi)容決定的�,稱之為回顯。同時所有的用戶操作 行為��,如査詢等都會通過回顯的方式顯示在客戶端���,這說明實現(xiàn)一種基于回顯 的審計方法避免對敏感信息的提取是可能的。因此有必要發(fā)展一種能夠?qū)崿F(xiàn)基 于回顯方式的審計方法用以提高網(wǎng)絡(luò)業(yè)務(wù)審計系統(tǒng)審計的準確性及確定精確的 審計范圍���。
發(fā)明內(nèi)容
為了克服現(xiàn)有網(wǎng)絡(luò)業(yè)務(wù)審計系統(tǒng)對于某些協(xié)議或系統(tǒng)實際審計過程當中審計范圍不準確造成的安全性問題�����,本發(fā)明提供一種基于回顯的審計方法及系 統(tǒng)�����。所述的基于回顯的審計方法及系統(tǒng)可以滿足對于具有回顯機制的協(xié)議或 系統(tǒng)能夠準確的識別審計范圍及內(nèi)容��、有效的保護用戶私有信息�;具有非常高 的相關(guān)信息的提取及審計效率,實現(xiàn)盡可能簡單�。 本發(fā)明的目的是這樣實現(xiàn)的 一種基于回顯的審計系統(tǒng),包括
對當前網(wǎng)絡(luò)環(huán)境中進行的網(wǎng)絡(luò)業(yè)務(wù)操作行為數(shù)據(jù)報文的數(shù)據(jù)信息進行提取 的網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器����;
對所有提取的數(shù)據(jù)報文利用服務(wù)器回顯信息對審計信息集合進行篩選的回 顯信息識別器;
最終對通過篩選的信息進行網(wǎng)絡(luò)業(yè)務(wù)行為審計并進行實時顯示或日志保存 的審計裝置�;
所述的網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器與回顯信息識別器連接并傳輸數(shù)據(jù);所述 的回顯信息識別器與審計裝置連接并傳輸數(shù)據(jù)��。
一種基于回顯的審計方法�,其關(guān)鍵在于包括以下的步驟
網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取步驟;
回顯信息識別步驟��;
審計的步驟�����。
本發(fā)明的有益效果是�,本發(fā)明解決了傳統(tǒng)審計產(chǎn)品中對于某些協(xié)議或系統(tǒng) 僅僅依靠協(xié)議解析方法進行信息審計造成的審計內(nèi)容安全性問題。對于實際審 計過程當中需要保護的用戶隱私信息可以進行有效的保護����,并且對于實際網(wǎng)絡(luò) 業(yè)務(wù)操作可以有效的進行提取?���?梢跃_的確定審計的范圍����,避免由于過多的 信息提取造成的安全性降低的風險�����。此外在系統(tǒng)實現(xiàn)的過程當中充分考慮了效 率和準確性的問題�,對于實際應(yīng)該審計的內(nèi)容及準確性沒有任何影響,可廣泛應(yīng)用于網(wǎng)絡(luò)業(yè)務(wù)審計產(chǎn)品中���。
圖1為本發(fā)明的基于回顯的審計方法系統(tǒng)圖2為本發(fā)明的基于回顯的審計系統(tǒng)流程圖����。
下面結(jié)合附圖和實施例對本發(fā)明進一步說明����。
具體實施方式
實施例一-
本實施例為基于回顯的審計方法的基本模式��。所使用的系統(tǒng)如圖l所示��,包 括網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器����、回顯信息識別器��、審計裝置�����,運行流程如圖2所
示
①網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取步驟
對于網(wǎng)絡(luò)業(yè)務(wù)操作�,不同的系統(tǒng)當中的客戶端與服務(wù)器端進行交互所使用的 通信協(xié)議各不相同���,首先采用協(xié)議解析方法確定需要審計的內(nèi)容在數(shù)據(jù)報文當 中的位置并進行相關(guān)提取��。此階段提取的數(shù)據(jù)不直接進行審計���,只是依據(jù)協(xié)議 解析技術(shù)對實際環(huán)境當中傳輸?shù)臄?shù)據(jù)報文進行處理,將實際交互的數(shù)據(jù)部分提 取出來���。此階段步驟主要負責在需審計的網(wǎng)絡(luò)環(huán)境當中依據(jù)不同應(yīng)用使用的不 同協(xié)議采用協(xié)議解析的方式提取出所有可以提取的數(shù)據(jù)信息�,以此作為下一階 段進行回顯判斷的對象集合��。 ②回顯信息識別步驟
在實際網(wǎng)絡(luò)環(huán)境當中����,對網(wǎng)絡(luò)業(yè)務(wù)進行審計的時候����。很多的應(yīng)用服務(wù)都是 以客戶端與服務(wù)器端交互實現(xiàn)的���,例如telnet��、數(shù)據(jù)庫操作等等���。在這類系統(tǒng) 當中,很多的服務(wù)如telnet�����、遠程登錄X window等等都提供了在客戶端用戶界 面可以實時的顯示當前用戶的操作�����。但是顯示于用戶界面的內(nèi)容并不是由客戶 端決定的���,而是根據(jù)服務(wù)器端的返回決定的?��?蛻艚缑媸前凑辗?wù)器端的返回信息確定將哪些內(nèi)容顯示給用戶�。本階段負責在上一階段對所有數(shù)據(jù)報文進行 協(xié)議解析提取出數(shù)據(jù)部分之后,依據(jù)服務(wù)器端返回信息確定需要審計的內(nèi)容�����。 服務(wù)器端提供回顯的部分�,即可以顯示給用戶的部分作為最終需要審計的信息 進行提取,而服務(wù)器端不提供回顯的部分信息說明是用戶需要保護的隱私信息����, 不需進入審計裝置。本階段為最終的審計步驟提供具體的需要審計的內(nèi)容����。 ⑤審計步驟
以回顯信息識別歩驟篩選的待審計信息做為審計的內(nèi)容,記錄當前環(huán)境中 網(wǎng)絡(luò)業(yè)務(wù)特定行為的一些相關(guān)信息����,將審計結(jié)果返回給管理系統(tǒng)或儲存在事件 庫及日志庫當中。這里管理系統(tǒng)����、事件庫或日志庫為不同類型的審計結(jié)果終端, 負責接收審計裝置傳輸?shù)淖罱K結(jié)果并進行顯示或存儲���。
實施例二
本實施例為實施例一中的網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取步驟的優(yōu)選方案�。 本實施例的基本思路是采用協(xié)議解析方式對當前網(wǎng)絡(luò)環(huán)境當中所有的業(yè)務(wù) 行為產(chǎn)生的數(shù)據(jù)報文進行解析,并對數(shù)據(jù)部分進行提取��,并以此提取的數(shù)據(jù)集 合作為回顯信息識別歩驟篩選的對象���。例如Sybase數(shù)據(jù)庫和sqlserver數(shù)據(jù)庫 采用TDS協(xié)議�。則依據(jù)TDS協(xié)議的數(shù)據(jù)封裝格式���,數(shù)據(jù)報文前8個字節(jié)是包含 長度���、包序號等等的包頭信息,從第9個字節(jié)開始為具體的數(shù)據(jù)內(nèi)容���,如果是 對數(shù)據(jù)庫表項的操作���,則從第9字節(jié)開始即為標識該操作的sql語句的明文字 段。又如在telnet協(xié)議中���,客戶端與服務(wù)器連接過程中可以首先按照端口 23 識別telnet協(xié)議的數(shù)據(jù)報文�����。隨后在數(shù)據(jù)報文當中以ff開頭且長度為3字節(jié) 長的報文為客戶端與服務(wù)器端進行命令協(xié)商過程����,此時ff之后的連續(xù)兩字節(jié)即 為協(xié)商的參數(shù)內(nèi)容���。 實施例三
本實施例為實施例一中的回顯信息識別步驟的優(yōu)選方案�。本實施例是在網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取步驟對實際網(wǎng)絡(luò)環(huán)境當中所有業(yè)務(wù)操 作信息進行提取之后進行的��。在提取出所有業(yè)務(wù)操作信息之后����,本步驟負責確 定所有的信息當中哪些操作行為應(yīng)該被審計,哪些信息出于安全性考慮應(yīng)該被
保護而無需進行審計操作�。例如在telnet服務(wù)當中對于用戶登錄的行為應(yīng)該被 審計,而對于用戶的密碼是應(yīng)該被保護不應(yīng)被提取出來的����。因為telnet系統(tǒng)當 中用戶名的輸入與密碼的輸入都是以明文形式傳輸并采用了相同的數(shù)據(jù)封裝格 式,因此需要利用服務(wù)器的回顯信息進行篩選��。例如用戶輸入用戶名為"root"��, 首先客戶端使用telnet協(xié)議將字符串"root"以明文形式發(fā)送給服務(wù)器端�����,隨 后服務(wù)器端確定該內(nèi)容可以顯示至用戶界面則在返回包中以同樣的格式明文發(fā) 送字符串"root"給客戶端。此時本步驟依據(jù)回顯信息判斷"root"為回顯內(nèi) 容����,并將其作為審計信息傳輸給審計裝置。接下來當該用戶輸入登錄密碼時同 樣使用telnet協(xié)議將密碼以明文形式發(fā)送給服務(wù)器�����,而此時服務(wù)器確定該內(nèi)容 需要保護不應(yīng)該顯示至用戶界面則在通信過程中不包含該回顯信息�。此時本步 驟依據(jù)無回顯信息判斷該密碼信息屬于被保護的內(nèi)容,則此信息不會進入審計 裝置�����。
實施例四
本實施例為實施例一中的審計步驟的優(yōu)選方案����。 此階段以回顯信息識別歩驟經(jīng)過篩選過后提供的數(shù)據(jù)信息做為審計的內(nèi)容, 記錄當前網(wǎng)絡(luò)環(huán)境當中特定網(wǎng)絡(luò)業(yè)務(wù)行為的一些相關(guān)信息��。本實施例以經(jīng)過回 顯信息識別步驟篩選過后的數(shù)據(jù)信息作為輸出信息���。這些輸出信息實際上標識 了當前環(huán)境下用戶進行的一些網(wǎng)絡(luò)業(yè)務(wù)行為�����,如Telnet用戶登錄�、査詢等等���。 本系統(tǒng)將這些信息傳輸?shù)较到y(tǒng)管理平臺的顯示裝置上供管理員使用���,同時將具 體審計的網(wǎng)絡(luò)業(yè)務(wù)事件存儲到相應(yīng)的事件庫或系統(tǒng)日志當中以備后期追查、取 證等使用��。實施例五
本實施例是實現(xiàn)實施例一�����、二���、三���、四、所述的方法的虛擬裝置或者說系 統(tǒng)���。系統(tǒng)如圖1所示�����,本實施例包括包括對當前網(wǎng)絡(luò)環(huán)境中進行的網(wǎng)絡(luò)業(yè)務(wù) 操作行為數(shù)據(jù)報文的數(shù)據(jù)信息進行提取的網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器�����、對所有提 取的數(shù)據(jù)報文利用服務(wù)器回顯信息對審計信息集合進行篩選的回顯信息識別器 及最終通過篩選的信息進行網(wǎng)絡(luò)業(yè)務(wù)行為審計并進行實時顯示或日志保存的審 計裝置����。
其中,網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器實現(xiàn)了如實施例二中所述的對實際客戶環(huán) 境當中進行的網(wǎng)絡(luò)業(yè)務(wù)操作行為數(shù)據(jù)報文當中數(shù)據(jù)內(nèi)容的提取功能和步驟��;回 顯信息識別器實現(xiàn)了如實施例三對于所有提取的數(shù)據(jù)內(nèi)容依賴回顯信息進行審 計內(nèi)容的篩選功能和歩驟����;審計裝置實現(xiàn)了實施例四所述的對于各種經(jīng)過篩選 的審計信息的網(wǎng)絡(luò)業(yè)務(wù)行為審計功能和步驟。
本基于回顯的審計系統(tǒng)����,其特征在于包括網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器、回 顯信息識別器�����、審計裝置�。所述的網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器與回顯信息識別器 連接并傳輸數(shù)據(jù)�����;所述的回顯信息識別器與審計裝置連接并傳輸數(shù)據(jù)�����。
權(quán)利要求
1. 一種基于回顯的審計方法及系統(tǒng),包括對網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器�、回顯信息識別器及審計裝置。其特征在于包含以下步驟1)網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取步驟�;2)回顯信息識別步驟;3)審計的步驟���。
2. 如權(quán)利要求1所述的一種基于回顯的審計方法���,其特征在于所述網(wǎng)絡(luò) 業(yè)務(wù)操作內(nèi)容提取步驟依賴協(xié)議解析技術(shù)對實際網(wǎng)絡(luò)環(huán)境當中交互的使用不同協(xié)議類型的數(shù)據(jù)報 文進行協(xié)議解析并提取標識網(wǎng)絡(luò)業(yè)務(wù)操作行為的數(shù)據(jù)部分,以提取出的數(shù)據(jù)作 為下一階段進行回顯信息識別及篩選的對象�。
3. 如權(quán)利要求1所述的一種基于回顯的審計方法,其特征在于所述回顯 信息識別步驟以提取的標識網(wǎng)絡(luò)業(yè)務(wù)操作行為的數(shù)據(jù)信息為對象�,以服務(wù)器端回顯信息 為依據(jù)對所有已提取的數(shù)據(jù)信息進行過濾,將服務(wù)器提供回顯的數(shù)據(jù)信息進行 輸出����,并以此作為下階段審計的對象�。
4. 如權(quán)利要求1所述的一種基于回顯的審計方法��,其特征在于所述審計 的步驟以經(jīng)過回顯信息識別步驟篩選的數(shù)據(jù)信息集合作為審計對象��,對所有的網(wǎng) 絡(luò)業(yè)務(wù)行為進行審計����,將審計結(jié)果返回給管理系統(tǒng)進行實時顯示同時將審計結(jié) 果存儲于事件庫或系統(tǒng)日志當中。
5. —種基于回顯的審計系統(tǒng)��,其特征在于包括對當前網(wǎng)絡(luò)環(huán)境中進行的網(wǎng)絡(luò)業(yè)務(wù)操作行為數(shù)據(jù)報文的數(shù)據(jù)信息進行提取 的網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器����、對所有提取的數(shù)據(jù)報文利用服務(wù)器回顯信息對審 計信息集合進行篩選的回顯信息識別器,最終對通過篩選的信息進行網(wǎng)絡(luò)業(yè)務(wù) 行為審計并進行實時顯示或日志保存的審計裝置���;所述的網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器與回顯信息識別器連接并傳輸數(shù)據(jù)��;所述的回顯信息識別器與審計裝置連接并傳輸數(shù)據(jù)���。
全文摘要
本發(fā)明涉及一種基于回顯的審計方法及系統(tǒng),是一種用于網(wǎng)絡(luò)業(yè)務(wù)審計產(chǎn)品中利用回顯信息確定審計范圍并進行精確網(wǎng)絡(luò)業(yè)務(wù)行為審計的方法及系統(tǒng)��。本發(fā)明包括網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取器��、回顯信息識別器、審計裝置����。其特征在于包含以下步驟網(wǎng)絡(luò)業(yè)務(wù)操作內(nèi)容提取步驟;回顯信息識別步驟���;審計的步驟����。本發(fā)明解決了傳統(tǒng)審計產(chǎn)品中僅僅依賴于協(xié)議解析技術(shù)對網(wǎng)絡(luò)業(yè)務(wù)行為進行審計造成的審計范圍不準確無法對某些隱私信息進行保護的安全性問題�,實現(xiàn)了進行精確網(wǎng)絡(luò)業(yè)務(wù)行為審計的同時有效保護用戶秘密信息的功能�����,具有非常高的效率和準確性��,可廣泛應(yīng)用于網(wǎng)絡(luò)業(yè)務(wù)審計產(chǎn)品中����。
文檔編號H04L29/06GK101426008SQ200710176510
公開日2009年5月6日 申請日期2007年10月30日 優(yōu)先權(quán)日2007年10月30日
發(fā)明者暉 劉, 熙 姚, 孫海波, 輝 張, 李新鵬, 駱擁政 申請人:北京啟明星辰信息技術(shù)有限公司