專利名稱:用戶行為審計方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全領(lǐng)域,具體而言,涉及一種用戶行為審計方法及系統(tǒng)。
背景技術(shù):
隨著信息技術(shù)的日新月異和網(wǎng)絡(luò)信息系統(tǒng)應(yīng)用的發(fā)展,政府、企業(yè)的網(wǎng)絡(luò)應(yīng)用層 次不斷深入,使得信息安全問題也日益凸現(xiàn)。如對內(nèi)部業(yè)務(wù)系統(tǒng)的非授權(quán)訪問,業(yè)務(wù)資源的 濫用、誤用行為,損害業(yè)務(wù)系統(tǒng)的正常運行;在工作時間影響工作效率的聊天、炒股、玩網(wǎng)絡(luò) 游戲、BT下載、在線視頻等行為;未經(jīng)授權(quán)隨意通過電子郵件、即時通訊等方式發(fā)送敏感涉 密信息,導(dǎo)致機密信息、關(guān)鍵業(yè)務(wù)數(shù)據(jù)的外泄;利用網(wǎng)絡(luò)瀏覽、下載、傳播、發(fā)表不良信息和 非法言論,造成惡劣社會影響,并可能導(dǎo)致國家法律問題等。面對上述網(wǎng)絡(luò)信息安全風(fēng)險,大量資金投入在防火墻、入侵檢測、防病毒,但是由 于防火墻等設(shè)備并不能對用戶的各種網(wǎng)絡(luò)行為進行深度檢測和識別,并對這些行為進行疏 導(dǎo)和控制,使得信息泄密、網(wǎng)絡(luò)違規(guī)事件依然層出不窮。在這種情況下,用戶行為審計技術(shù) 應(yīng)運而生,這項技術(shù)的運用將使得網(wǎng)絡(luò)資源得到合理的配置和優(yōu)化并保證網(wǎng)絡(luò)的安全,將 網(wǎng)絡(luò)的管理提高到一個新的層次。圖1是根據(jù)現(xiàn)有技術(shù)的用戶行為審計系統(tǒng)的示意圖。如圖1所示,現(xiàn)有的用戶行為 審計系統(tǒng)基本處理流程是將經(jīng)過審計設(shè)備的網(wǎng)絡(luò)報文送入會話管理模塊101,之后將不同 會話上的報文送入通用應(yīng)用識別引擎103進行檢測,首先通過端口及協(xié)議特征識別協(xié)議, 按照協(xié)議層次進行解析,然后在協(xié)議識別的基礎(chǔ)上,基于協(xié)議載荷對協(xié)議進行審計特征識 別,任意一個協(xié)議需要與所有協(xié)議上的審計特征進行過濾得到該協(xié)議所對應(yīng)的審計特征。 在策略管理模塊105和用戶行為審計處理模塊107中根據(jù)設(shè)備配置的行為審計策略針對不 同的協(xié)議及審計特征調(diào)用相應(yīng)的處理函數(shù)完成審計的操作,將審計結(jié)果作為日志信息進行 拼接并發(fā)送給日志處理模塊109進行解析和處理,將最終的審計日志存儲到設(shè)備數(shù)據(jù)庫中 或發(fā)送到遠程主機,方便用戶查詢及管理。上述審計技術(shù)以應(yīng)用識別引擎103為核心,所有的報文都需要經(jīng)過應(yīng)用識別引擎 103進行深度檢測,識別出報文所屬的協(xié)議和報文所命中的在所屬協(xié)議之上定義的審計特 征。這種審計處理流程設(shè)計和實現(xiàn)相對簡單,有比較大的靈活性,但是隨著審計業(yè)務(wù)不斷增 加以及對報文處理性能要求的不斷提高,現(xiàn)有的審計處理流程開始暴露出其體系結(jié)構(gòu)的一 些問題,其中影響最大的是兩個問題。其一,由于所有的協(xié)議識別和特征識別等深度檢測工作都交由應(yīng)用識別引擎103 完成,隨著審計業(yè)務(wù)不斷增加,應(yīng)用識別引擎103需要查找的協(xié)議特征和審計特征會成倍 的增加,由于每個協(xié)議對應(yīng)幾個甚至十幾個審計特征,使得在基于協(xié)議進行審計特征的查 詢過程中,系統(tǒng)負擔(dān)過重,使得報文處理性能嚴(yán)重下降。另外,相同類型業(yè)務(wù)的協(xié)議會有很 多相同的審計特征,并且通常這些審計特征的長度都很短,難以通過改變審計特征去區(qū)分 不同的協(xié)議,而應(yīng)用識別引擎本身的設(shè)計使得它不能正確識別過多的相同特征。以上兩點 使得以應(yīng)用識別引擎103為核心的用戶行為審計系統(tǒng)隨著處理的審計業(yè)務(wù)數(shù)目的增加,系統(tǒng)處理的效率和準(zhǔn)確性也在嚴(yán)重下降。其二,本發(fā)明審計系統(tǒng)中在一條審計會話層上需要審計多項內(nèi)容,如發(fā)件人、收件 人、抄送、密送、主題、正文,這些內(nèi)容審計出來之后就會以審計項的形式掛在會話上,目前 定義一個會話上最多有12個審計項,在掛審計項的時候是按照事先定義好的順序掛的,比 如發(fā)件人就掛在第一個審計項(item
)上,主題就掛在第五個審計項(item[4])上。這 樣當(dāng)?shù)搅巳罩咎幚淼臅r候,只需要依次解析出會話上對應(yīng)位置審計項的信息,就可以完成 審計處理?,F(xiàn)有技術(shù)的審計處理流程是遇到某個特征就調(diào)用這個特征的處理函數(shù)。比如在郵 件審計時對于發(fā)件人特征“from: ”,遇到這個特征就調(diào)用“from: ”的處理函數(shù),在函數(shù)里 用代碼實現(xiàn)如下功能如果已經(jīng)審計過發(fā)件人(發(fā)件人對應(yīng)的審計項不為空)則不進行后 續(xù)操作;否則截取“from: ”后直到字符“&”前的內(nèi)容保存在發(fā)件人審計項中(有固定的審 計項id),只做這兩個操作就可以了。再比如遇到郵件主題的特征“title ”,需要做的處理 就比較多了,會調(diào)用“title ”對應(yīng)的函數(shù)實現(xiàn)如下功能截取“title ”后直到字符“&” 前的內(nèi)容保存在主題審計項中,添加一個“發(fā)送郵件”動作到動作審計項中,檢查發(fā)件人、收 件人審計項是否為空,如果都有說明需要的內(nèi)容都審計到了,發(fā)送日志。上述審計處理系統(tǒng)針對每個特征對應(yīng)其自身的處理函數(shù),基本上一個協(xié)議有多少 個審計特征,就會有幾個處理函數(shù),而每種業(yè)務(wù)至少是一種協(xié)議,每種協(xié)議對應(yīng)多個審計特 征,代碼量可想而知。因為很多處理很類似,比如一種webmail的發(fā)件人是截取“from: ” 和“&”之間的內(nèi)容,另一種webmail是截取“auth =”和“ % ”之間的內(nèi)容,這樣還需要兩個 類似的處理函數(shù)就顯得很冗余。這種用戶行為審計系統(tǒng)中每種協(xié)議及定義在此協(xié)議之上的 審計特征需要進行各自對應(yīng)相應(yīng)的處理函數(shù),每種協(xié)議還對應(yīng)一種日志處理函數(shù),所以要 新添加一項業(yè)務(wù)需要添加多個函數(shù)。而通常相同業(yè)務(wù)類型的不同業(yè)務(wù)所需要的審計處理是 相似的,所以現(xiàn)有系統(tǒng)在添加大量業(yè)務(wù)處理后會有過多相似的代碼,不但加重了開發(fā)人員 的負擔(dān),提高開發(fā)成本和系統(tǒng)后期維護成本,而且過多的代碼也在一定程度上增加了系統(tǒng) 出錯的風(fēng)險。綜上所述,由于設(shè)計上的局限性,當(dāng)前的用戶行為審計系統(tǒng)過于依賴通用應(yīng)用識 別引擎103,使得引擎不堪重負,嚴(yán)重影響了特征識別的高效性和準(zhǔn)確性。另一方面,開發(fā)人 員添加新業(yè)務(wù)的工作量過大,影響開發(fā)效率和系統(tǒng)穩(wěn)定性,所以現(xiàn)有的用戶行為審計技術(shù) 方案已不適用于業(yè)務(wù)數(shù)量日益增多的審計需求。針對上述現(xiàn)有的行為審計方法中基于協(xié)議查詢處理審計特征的過程冗余度大,導(dǎo) 致行為審計系統(tǒng)效率低和準(zhǔn)確性差的問題,目前尚未提出有效的解決方案。
發(fā)明內(nèi)容
針對現(xiàn)有的行為審計方法中基于協(xié)議查詢處理審計特征的過程冗余度大,導(dǎo)致行 為審計系統(tǒng)效率低和準(zhǔn)確性差的問題而提出本發(fā)明,為此,本發(fā)明的主要目的在于提供一 種用戶行為審計方法及系統(tǒng),以解決上述問題。為了實現(xiàn)上述目的,根據(jù)本發(fā)明的一個方面,提供了一種用戶行為審計方法及系統(tǒng)。根據(jù)本發(fā)明的用戶行為審計方法包括根據(jù)報文協(xié)議讀取第一審計數(shù)據(jù)庫中的審計特征;創(chuàng)建審計處理模塊,審計處理模塊包括審計特征處理、報文協(xié)議處理以及日志處 理;審計處理模塊根據(jù)審計特征對應(yīng)的審計參數(shù)得到報文的日志信息。進一步地,根據(jù)報文協(xié)議讀取第一審計數(shù)據(jù)庫中的審計特征的步驟包括創(chuàng)建第 一審計數(shù)據(jù)庫,第一審計數(shù)據(jù)庫包括報文協(xié)議與審計特征的對應(yīng)關(guān)系的集合和/或?qū)徲嬏?征對應(yīng)的審計參數(shù)的集合;在第一審計數(shù)據(jù)庫中查找與報文協(xié)議對應(yīng)的審計特征。進一步地,第一審計數(shù)據(jù)庫包括至少一個特征檢測引擎,特征檢測引擎由每個報 文協(xié)議及其對應(yīng)的一組審計特征構(gòu)成,每個審計特征對應(yīng)一個報文協(xié)議。進一步地,在第一審計數(shù)據(jù)庫中查找審計特征之前,方法還包括通過協(xié)議特征確 定報文的報文協(xié)議。進一步地,在審計處理模塊根據(jù)審計特征對應(yīng)的審計參數(shù)得到報文的日志信息之 前,方法還包括創(chuàng)建第二審計數(shù)據(jù)庫,第二審計數(shù)據(jù)庫包括審計特征所對應(yīng)的一個或多個 審計參數(shù),審計參數(shù)表征審計特征的審計處理方式。進一步地,審計處理模塊根據(jù)審計特征對應(yīng)的審計參數(shù)得到報文的日志信息的步 驟包括審計處理模塊接收審計特征;根據(jù)審計特征在第二審計數(shù)據(jù)庫中查詢并獲取審計 特征對應(yīng)的各個審計參數(shù);針對審計特征的各個審計參數(shù)執(zhí)行不同的處理程序得到報文的
日志fn息ο進一步地,定義審計特征的標(biāo)識符,通過標(biāo)識符表征審計特征對應(yīng)的審計參數(shù)。進一步地,將審計特征的ID作為標(biāo)識符并通過ID獲取審計特征對應(yīng)的各種審計參數(shù)。進一步地,在得到報文的日志信息之后,還包括根據(jù)日志信息獲取審計日志,以 及將審計日志保存至本地或發(fā)送至遠程主機。為了實現(xiàn)上述目的,根據(jù)本發(fā)明的另一方面,提供了一種用戶行為審計系統(tǒng)。根據(jù)本發(fā)明的用戶行為審計系統(tǒng)包括會話管理模塊,用于對接收到的報文協(xié)議進 行分類管理;策略管理模塊,根據(jù)報文協(xié)議及其對應(yīng)的審計特征下發(fā)審計處理策略;以及 日志處理模塊,用于將審計日志存儲到數(shù)據(jù)庫或發(fā)送至遠程主機;系統(tǒng)的特征在于包括 識別檢測模塊,用于接收并識別來自會話管理模塊的報文協(xié)議并檢測與報文協(xié)議對應(yīng)的審 計特征,每個報文協(xié)議對應(yīng)多個審計特征,每個審計特征對應(yīng)一個報文協(xié)議;以及審計處理 模塊,用于根據(jù)審計特征對應(yīng)的審計參數(shù)得到報文的日志信息。進一步地,識別檢測模塊包括應(yīng)用識別模塊,用于識別報文的報文協(xié)議;特征檢測 模塊,用于響應(yīng)報文的報文協(xié)議并查找報文協(xié)議對應(yīng)的審計特征;以及第一審計數(shù)據(jù)庫,用 于保存報文協(xié)議和審計特征的對應(yīng)關(guān)系。進一步地,審計處理模塊包括接收模塊,用于審計處理模塊接收審計特征;查詢 模塊,用于根據(jù)審計特征在第二審計數(shù)據(jù)庫中查詢并獲取審計特征對應(yīng)的各個審計參數(shù); 處理模塊,用于針對審計特征的各個審計參數(shù)執(zhí)行不同的處理程序得到報文的日志信息。根據(jù)本發(fā)明根據(jù)報文協(xié)議讀取第一審計數(shù)據(jù)庫中的審計特征;創(chuàng)建審計處理模 塊,審計處理模塊包括審計特征處理、報文協(xié)議處理以及日志處理;審計處理模塊根據(jù)審計 特征對應(yīng)的審計參數(shù)得到報文的日志信息,解決了現(xiàn)有的行為審計系統(tǒng)中基于協(xié)議進行審 計特征的查詢處理過程冗余度大,導(dǎo)致行為審計系統(tǒng)效率低和準(zhǔn)確性差的問題,進而達到 了提高行為審計系統(tǒng)的效率和準(zhǔn)確性的效果。
此處所說明的附圖用來提供對本發(fā)明的進一步理解,構(gòu)成本申請的一部分,本發(fā) 明的示意性實施例及其說明用于解釋本發(fā)明,并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中圖1是根據(jù)相關(guān)技術(shù)的用戶行為審計系統(tǒng)的示意圖;圖2是根據(jù)本發(fā)明實施例的用戶行為審計系統(tǒng)的示意圖;圖3是根據(jù)本發(fā)明實施例優(yōu)選的用戶行為審計系統(tǒng)的示意圖;圖4是根據(jù)本發(fā)明實施例優(yōu)選的用戶行為審計系統(tǒng)的示意圖;以及圖5是根據(jù)本發(fā)明實施例的用戶行為審計方法的流程圖。
具體實施例方式需要說明的是,在不沖突的情況下,本申請中的實施例及實施例中的特征可以相 互組合。下面將參考附圖并結(jié)合實施例來詳細說明本發(fā)明。根據(jù)本發(fā)明的實施例,提供了一種用戶行為審計系統(tǒng)。圖2是根據(jù)本發(fā)明實施例的用戶行為審計系統(tǒng)的示意圖。如圖2所示,該用戶行 為審計系統(tǒng)包括識別檢測模塊201,用于接收并識別來自會話管理模塊的報文協(xié)議并檢測 與報文協(xié)議對應(yīng)的審計特征,每個報文協(xié)議對應(yīng)多個審計特征,每個審計特征對應(yīng)一個報 文協(xié)議;以及審計處理模塊203,用于根據(jù)審計特征對應(yīng)的審計參數(shù)得到報文的日志信息。 其中,每個報文協(xié)議對應(yīng)多個審計特征,而每個審計特征對應(yīng)一個報文協(xié)議。本發(fā)明的該實施例應(yīng)用識別檢測模塊201替換了現(xiàn)有用戶行為審計系統(tǒng)的應(yīng)用 識別模塊103,該系統(tǒng)適用于在審計業(yè)務(wù)量較大的情況下,當(dāng)根據(jù)一個報文協(xié)議查詢審計特 征的過程中,只檢測該報文協(xié)議對應(yīng)的審計特征,而無需查詢所有報文協(xié)議的審計特征,從 而解決了系統(tǒng)的工作負擔(dān)大且易出錯的問題,提高了行為審計系統(tǒng)的工作效率和準(zhǔn)確性。圖3是根據(jù)本發(fā)明實施例的優(yōu)選用戶行為審計系統(tǒng)的示意圖。如圖3所示,該優(yōu) 選實施例中的識別檢測模塊201包括應(yīng)用識別模塊301、特征檢測模塊303、和第一審計數(shù) 據(jù)庫305。其中,應(yīng)用識別模塊301用于識別報文的報文協(xié)議,特征檢測模塊303用于響應(yīng) 報文的報文協(xié)議并查找報文協(xié)議對應(yīng)的審計特征,第一審計數(shù)據(jù)庫305用于保存報文協(xié)議 和審計特征的對應(yīng)關(guān)系。根據(jù)本發(fā)明的實施例的應(yīng)用識別模塊301只負責(zé)識別網(wǎng)絡(luò)報文所屬的報文協(xié)議, 然后將報文送入特征檢測模塊303進行二次查找,與現(xiàn)有技術(shù)的一次查找比較,只需查詢 第一審計數(shù)據(jù)庫305中該報文協(xié)議所對應(yīng)的審計特征實現(xiàn)審計特征識別,而不需要查詢所 有特征所對應(yīng)的特征完成檢測過程。本發(fā)明可以減少不必要的冗余特征的查找,從而減輕 了系統(tǒng)的查詢負擔(dān),提高了系統(tǒng)處理的工作效率。根據(jù)本發(fā)明的用戶行為審計系統(tǒng)的會話管理模塊101用于對接收到的網(wǎng)絡(luò)報文 進行分類管理,并將不同會話上的報文發(fā)送至應(yīng)用識別模塊301 ;策略管理模塊105根據(jù) 報文協(xié)議及其對應(yīng)的審計特征下發(fā)審計處理策略;日志處理模塊109根據(jù)接收到的用戶行 為審計處理結(jié)果進行解析得到審計日志,并將審計日志存儲到設(shè)備數(shù)據(jù)庫或發(fā)送至遠程主 機。針對現(xiàn)有的用戶行為審計系統(tǒng)中重復(fù)代碼過多,新增業(yè)務(wù)和維護現(xiàn)有業(yè)務(wù)成本過高的問題,根據(jù)本發(fā)明的該實施例提出了一套通用的審計處理流程,并依據(jù)此流程設(shè)計出 審計語言化處理框架構(gòu)成了該用戶行為審計系統(tǒng)的主體。圖4是根據(jù)本發(fā)明實施例優(yōu)選的用戶行為審計系統(tǒng)的示意圖。如圖4所示,該審 計處理模塊203包括接收模塊401,用于審計處理模塊接收審計特征;查詢模塊403,用 于根據(jù)審計特征在第二審計數(shù)據(jù)庫中查詢并獲取審計特征對應(yīng)的各個審計參數(shù);處理模塊 405,用于針對審計特征的各個審計參數(shù)執(zhí)行不同的處理程序得到報文的日志信息。審計處理模塊203中包含了絕大部分傳統(tǒng)用戶行為審計系統(tǒng)中的協(xié)議處理、特征 處理和日志處理,用戶只需要將審計特征及日志處理內(nèi)容相應(yīng)的審計參數(shù)輸入到審計處理 模塊203中,那么當(dāng)特征檢測引擎303查找到某個審計特征后,審計處理模塊203就會根 據(jù)此特征的審計參數(shù)進行一系列的處理,并最終輸出審計日志,本發(fā)明的審計處理模塊203 具有通用的特性,代替了現(xiàn)有技術(shù)的用戶行為審計處理模塊107,設(shè)計人員不需要針對每一 個審計特征。其中,應(yīng)用識別模塊301用于進行識別報文的協(xié)議、特征檢測模塊303用于進 行識別報文的審計特征、而日志處理模塊305用于進行日志處理。根據(jù)本發(fā)明的審計處理 模塊203詳細的實現(xiàn)過程如下。首先,根據(jù)本發(fā)明的用戶行為審計系統(tǒng)定義所有報文的審計特征,該過程主要在 特征檢測引擎303中實現(xiàn),將每個審計特征的ID作為標(biāo)識,通過ID可以獲取到此審計特征 所屬的報文協(xié)議、特征類型(起始特征或結(jié)束特征)、特征編號。其次,在根據(jù)本發(fā)明的用戶行為審計系統(tǒng)中定義報文協(xié)議和審計特征相關(guān)的審計 參數(shù),如協(xié)議審計方向,內(nèi)容截取方式、添加何種動作、是否發(fā)送日志等,并在系統(tǒng)中定義日 志處理內(nèi)容相關(guān)的審計參數(shù),如日志所屬業(yè)務(wù)類型、日志信息特殊處理編號等。同時,在根據(jù)本發(fā)明的用戶行為審計系統(tǒng)初始化時,特征檢測模塊303根據(jù)定義 的報文協(xié)議和審計特征將屬于相同協(xié)議的特征編譯成一個特征檢測引擎,即有多少個協(xié)議 就會有多少個特征檢測引擎。這些特征檢測引擎構(gòu)成了第一審計數(shù)據(jù)庫305,特征檢測引擎 可以包括報文協(xié)議、報文協(xié)議所對應(yīng)的審計特征及其報文協(xié)議與對應(yīng)的審計特征的對應(yīng)關(guān) 系,一個報文協(xié)議可以對應(yīng)多個審計特征,但一個特征只能對應(yīng)一個協(xié)議。這種設(shè)計方式保 證了在協(xié)議處理和特征處理過程中不會出現(xiàn)對協(xié)議所對應(yīng)的重復(fù)的特征進行處理。開始審計后,應(yīng)用識別引擎識別出報文協(xié)議,對報文進行相應(yīng)的協(xié)議處理,并將報 文送入相應(yīng)協(xié)議的特征檢測引擎,找到報文中所有的審計特征。其中,應(yīng)用識別模塊301可 以是應(yīng)用識別引擎。上述實施例中報文中每個命中的特征都送入框架進行處理,根據(jù)特征對應(yīng)的各種 處理審計參數(shù)對報文進行處理(如截取報文中起始特征和結(jié)束特征中間的內(nèi)容作為審計 內(nèi)容,并添加一個“發(fā)送郵件”的動作),拼接日志信息后發(fā)送給日志處理模塊109。其中,日志處理模塊109根據(jù)日志處理內(nèi)容相關(guān)的審計參數(shù)對日志信息進行處理 (如轉(zhuǎn)碼、按照不同業(yè)務(wù)類型將日志信息存入不同的數(shù)據(jù)庫表中),最終在數(shù)據(jù)庫表中存入 審計日志數(shù)據(jù)或是向遠程主機發(fā)送審計日志。依據(jù)上述審計處理模塊203,用戶只需要將審計特征及日志處理內(nèi)容相應(yīng)的審計 參數(shù)輸入到審計語言化處理框架中,那么當(dāng)特征檢測引擎查找到某個特征后,審計處理模 塊203就會根據(jù)此特征的審計參數(shù)進行一系列的處理,并最終輸出審計日志,而且在補充 第一審計數(shù)據(jù)庫305后,對業(yè)務(wù)進行處理時不需要針對補充內(nèi)容增加新的特征處理函數(shù),即高效又降低系統(tǒng)出錯的風(fēng)險,而且減少了系統(tǒng)的維護成本,審計處理模塊203將原來審 計特征的處理過程進行打包,在查找到審計特征之后審計處理模塊203對審計特征的審計 參數(shù)進行通用處理,不需要在編程階段將所有的處理過程進行編程寫死,在審計特征變化 之后只須修改相應(yīng)審計特征的審計參數(shù)即可,解決了現(xiàn)有的用戶行為審計系統(tǒng)中重復(fù)代碼 過多,新增業(yè)務(wù)和維護現(xiàn)有業(yè)務(wù)成本過高的問題,另外,本實施例系統(tǒng)也支持添加較為復(fù)雜 的業(yè)務(wù),整體系統(tǒng)有較高的靈活性。同時,本發(fā)明實施例中用戶行為審計處理模塊203的通用處理適用于絕大部分的 協(xié)議和審計特征,但是仍舊有一些過于復(fù)雜和特殊的協(xié)議特征處理沒有普適性,沒有必要 加入通用處理中。為了處理這一小部分特殊協(xié)議,用戶審計處理模塊203中還可以保留了 原有的協(xié)議和特征處理方式,可以針對某個協(xié)議的各種特征進行單獨的處理。在采用審計 處理模塊203后,在所有審計業(yè)務(wù)中超過90%的協(xié)議可以采用通用處理流程進行審計,其 余少量的處理復(fù)雜的業(yè)務(wù)還是采用原有的方式,通過調(diào)用各自對應(yīng)的處理函數(shù)進行審計處 理。這樣一來,在保持原有系統(tǒng)靈活性的基礎(chǔ)上,大大減少了系統(tǒng)中重復(fù)的代碼,節(jié)約了開 發(fā)成本和后期維護的成本。本發(fā)明還可以詳細舉例說明將審計特征的處理抽象出一個通用的流程的方法首 先判斷是否需要處理這個特征;再以不同方式截取內(nèi)容掛到特定審計項上在掛動作審計項 之后發(fā)送日志并保存報文。所以根據(jù)這個通用流程寫出一套通用處理代碼,并把原來特征 的處理以各種審計參數(shù)的形式記錄下來,在處理時根據(jù)不同的審計參數(shù)進入不同的處理分 支。例如采用該通用流程截取網(wǎng)絡(luò)通訊內(nèi)容的處理如下表 當(dāng)審計特征的截取內(nèi)容審計參數(shù)為第一行時,截取特征后直到字符“&”間的內(nèi)容, 并將內(nèi)容保存至item[3]中,且發(fā)日志后不再保存這個內(nèi)容。當(dāng)特征的截取內(nèi)容審計參數(shù) 為第二行時,截取特征再向后偏移兩字節(jié)之后的4個字節(jié)的內(nèi)容,并將內(nèi)容保存至item[2] 中,且發(fā)日志后還保留這個內(nèi)容。因為是通用的審計參數(shù),所以即使用不到的審計參數(shù)也需要用0填充,比如截取特征和字符間內(nèi)容不需要截取內(nèi)容長度,截取特定長度內(nèi)容不需要 結(jié)束字符,都需要用0填充。其他的操作,如添加動作審計項、是否審計此特征、是否發(fā)送日志、發(fā)送日志時檢 查審計項等都有類似的審計參數(shù),每個特征填寫其對應(yīng)的審計參數(shù),框架就知道進行何種 處理了。簡單來說,原來的處理函數(shù)入?yún)⒖赡苤挥袌笪模绾谓厝?nèi)容,截取后保存在哪個 審計項都在代碼中寫明,而語言化處理框架的入?yún)⑹翘卣鱥d及此特征對應(yīng)的各種處理審 計參數(shù),每一步的處理都是根據(jù)特征的審計參數(shù)進行的,所以才叫做通用處理。審計特征的定義(如雅虎webmail協(xié)議下的“from ”)及審計特征對應(yīng)的審計參 數(shù)(以上說明的各種審計參數(shù))都保存在數(shù)據(jù)庫中(可以保存在一個數(shù)據(jù)庫中也可以分為 兩個數(shù)據(jù)庫,通過特征id號關(guān)聯(lián)就可以了)。設(shè)備啟動時讀取數(shù)據(jù)庫的信息,并將這些特征 信息下發(fā)到設(shè)備中,在內(nèi)存中以特定形式保存。審計過程中,遇到審計特征,可通過此審計 特征的id在內(nèi)存中找到特征對應(yīng)的一組審計參數(shù),框架就使用這些審計參數(shù)進行后續(xù)的 處理,直至遇到一個需要發(fā)送日志的特征發(fā)送日志。通用處理代碼整合了原來零散的處理函數(shù),包含所有的處理方式,只需要輸入特 征及其審計參數(shù)就可以完成審計。用一套代碼取代了以前大量零散且冗余的代碼,易于維 護。重要的是,添加新業(yè)務(wù)或是修改現(xiàn)有業(yè)務(wù)不用更改任何代碼,只需要到數(shù)據(jù)庫中添加或 修改特征對應(yīng)的審計參數(shù)即可,極大地提高了開發(fā)效率。根據(jù)本發(fā)明的實施例,提供了一種用戶行為審計方法。圖4是根據(jù)本發(fā)明實施例的用戶行為審計方法的流程圖。如圖4所示,該方法包 括步驟S202,圖3的特征檢測模塊303根據(jù)報文協(xié)議讀取第一審計數(shù)據(jù)庫中的審計特征; 步驟S204,創(chuàng)建圖4的審計處理模塊203,審計處理模塊203包括審計特征處理、報文協(xié)議 處理以及日志處理;步驟S206,圖4中的審計處理模塊203根據(jù)審計特征對應(yīng)的審計參數(shù) 得到報文的日志信息。在本實施例的用戶行為審計過程中采用二次查找得到審計特征,減少了查找次 數(shù),同時對審計特征采用統(tǒng)一的通用處理方法,減少了大量的重復(fù)代碼,使整個系統(tǒng)具有較 高的靈活性。本發(fā)明通過圖2的識別檢測模塊201在圖3的特征檢測模塊303中創(chuàng)建第一審計 數(shù)據(jù)庫,并將該第一審計數(shù)據(jù)庫存儲在圖3的特征檢測模塊303中;根據(jù)圖3中應(yīng)用識別模 塊301獲取的報文協(xié)議在第一審計數(shù)據(jù)庫305中查找得到與該報文協(xié)議對應(yīng)的審計特征。 其中,該報文協(xié)議通過特征檢測模塊303與第一審計數(shù)據(jù)庫305中的審計特征相對應(yīng),第一 審計數(shù)據(jù)庫305是報文協(xié)議與審計特征的對應(yīng)關(guān)系的集合,每個報文協(xié)議對應(yīng)多個審計特 征而每個審計特征對應(yīng)一個報文協(xié)議。其中,第一審計數(shù)據(jù)庫可以包括報文協(xié)議與審計特 征的對應(yīng)關(guān)系的集合和審計特征對應(yīng)的審計參數(shù)的集合或者可以僅包括報文協(xié)議與審計 特征的對應(yīng)關(guān)系的集合。在本實施例的用戶行為審計過程中,通過創(chuàng)建第一審計數(shù)據(jù)庫實現(xiàn)任意一個協(xié)議 只需查詢該協(xié)議所對應(yīng)的審計特征實現(xiàn)審計特征識別,而不需要查詢所有特征所對應(yīng)的特 征完成識別過程,減輕了系統(tǒng)的查詢負擔(dān),從而提高了系統(tǒng)處理的工作效率,同時每個審計 特征對應(yīng)一個報文協(xié)議的設(shè)計也提高了查詢的準(zhǔn)確性。
其中,第一審計數(shù)據(jù)庫包括至少一個特征檢測引擎,特征檢測引擎由每個報文協(xié) 議及其對應(yīng)的多個審計特征構(gòu)成。該特征檢測引擎存儲在圖3中的第一審計數(shù)據(jù)庫305中。 在根據(jù)本發(fā)明的實施例中,特征檢測引擎是第一審計數(shù)據(jù)庫的基本組成單位,系統(tǒng)單獨為 每個協(xié)議設(shè)置一個特征檢測引擎用以查找對應(yīng)報文所命中的審計特征,提高了特征檢測的 性能和準(zhǔn)確性。在第一審計數(shù)據(jù)庫中查找審計特征之前,還可以通過協(xié)議特征確定報文協(xié)議。本 實施例中應(yīng)用識別引擎完成識別網(wǎng)絡(luò)報文所屬的協(xié)議,然后將報文送入相應(yīng)協(xié)議的特征檢 測引擎,這種應(yīng)用識別引擎與特征檢測引擎的聯(lián)合使用比現(xiàn)有技術(shù)中單獨使用應(yīng)用識別引 擎查找所有的特征具有更高的效率和準(zhǔn)確性,減少了原有查找方法的冗余工作,使得系統(tǒng) 性能提高。從而,針對現(xiàn)有技術(shù)的應(yīng)用識別引擎檢測所有的協(xié)議特征和審計特征,導(dǎo)致特征 檢測的性能和準(zhǔn)確性下降的問題,上述實施例將審計特征的檢測從應(yīng)用識別引擎中分離出 來,單獨為每個協(xié)議編譯一個特征檢測引擎用以查找對應(yīng)協(xié)議報文所命中的審計特征。應(yīng) 用識別引擎只負責(zé)識別出網(wǎng)絡(luò)報文所屬的協(xié)議,然后將報文送入相應(yīng)協(xié)議的特征檢測引擎 進行二次查找,雖然報文進行了兩次查找,但是在保證引擎查找的準(zhǔn)確性的前提下,針對應(yīng) 用識別引擎和特征檢測引擎的不同特點,二者使用不同的處理流程和算法,使得特征檢測 的性能比單獨使用應(yīng)用識別引擎檢測所有特征反而有所提高。本實施例中創(chuàng)建第一審計數(shù)據(jù)庫可以包括定義審計特征的標(biāo)識符和通過標(biāo)識符 表征報文協(xié)議與審計特征的對應(yīng)關(guān)系。該實施例利用標(biāo)識符關(guān)聯(lián)報文協(xié)議和審計特征,實 現(xiàn)根據(jù)報文協(xié)議進行特征檢測,提高了查詢效率。優(yōu)選地,審計特征的ID可以作為標(biāo)識符, 通過ID可以獲取報文協(xié)議對應(yīng)的審計特征。根據(jù)本發(fā)明的實施例在審計處理模塊203根據(jù)審計特征對應(yīng)的審計參數(shù)得到報 文的日志信息之前,方法還可以包括創(chuàng)建第二審計數(shù)據(jù)庫,第二審計數(shù)據(jù)庫包括審計特征 所對應(yīng)的一個或多個審計參數(shù),審計參數(shù)表征審計特征的審計處理方式。這種將審計特征 所對應(yīng)的一個或多個審計參數(shù)所構(gòu)成的表作為獨立的數(shù)據(jù)庫可以提高系統(tǒng)的工作效率。根據(jù)本發(fā)明的實施例在第一審計數(shù)據(jù)庫中查找與報文協(xié)議對應(yīng)的審計特征之后, 審計處理模塊203根據(jù)審計特征對應(yīng)的審計參數(shù)得到報文的日志信息的步驟包括審計處 理模塊203接收審計特征并根據(jù)審計特征在第二審計數(shù)據(jù)庫中查詢并獲取審計特征對應(yīng) 的各個審計參數(shù),然后針對審計特征的各個審計參數(shù)執(zhí)行不同的處理程序得到報文的日志 信息。同時還可以包括根據(jù)日志信息獲取審計日志,以及將審計日志保存至本地或發(fā)送至 遠程主機。在根據(jù)本發(fā)明的實施例中,由于審計過程效率的提高,從而提高了審計日志處理 的效率。優(yōu)選地,系統(tǒng)可以定義審計特征的標(biāo)識符,通過標(biāo)識符表征審計特征對應(yīng)的審計 參數(shù),更進一步地,將審計特征的ID作為標(biāo)識符并通過ID獲取審計特征對應(yīng)的各種審計參數(shù)。從以上的實施例描述中,可以看出,本發(fā)明實現(xiàn)了如下技術(shù)效果應(yīng)用識別引擎不 檢測全部的協(xié)議特征和審計特征,提高了審計系統(tǒng)的性能、處理效率和準(zhǔn)確性;同時減少了 系統(tǒng)開發(fā)過程中重復(fù)設(shè)計代碼,在新添業(yè)務(wù)時減少了開發(fā)人員的工作量,并減低了開發(fā)和 后期維護的成本。
需要說明的是,在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的 計算機系統(tǒng)中執(zhí)行,并且,雖然在流程圖中示出了邏輯順序,但是在某些情況下,可以以不 同于此處的順序執(zhí)行所示出或描述的步驟。顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通用 的計算裝置來實現(xiàn),它們可以集中在單個的計算裝置上,或者分布在多個計算裝置所組成 的網(wǎng)絡(luò)上,可選地,它們可以用計算裝置可執(zhí)行的程序代碼來實現(xiàn),從而,可以將它們存儲 在存儲裝置中由計算裝置來執(zhí)行,或者將它們分別制作成各個集成電路模塊,或者將它們 中的多個模塊或步驟制作成單個集成電路模塊來實現(xiàn)。這樣,本發(fā)明不限制于任何特定的 硬件和軟件結(jié)合。以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明,對于本領(lǐng)域的技 術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修 改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
一種用戶行為審計方法,其特征在于,包括根據(jù)報文協(xié)議讀取第一審計數(shù)據(jù)庫中的審計特征;構(gòu)建審計處理模塊,所述審計處理模塊包括審計特征處理、報文協(xié)議處理以及日志處理;所述審計處理模塊根據(jù)所述審計特征對應(yīng)的審計參數(shù)得到報文的日志信息。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于,根據(jù)報文協(xié)議讀取第一審計數(shù)據(jù)庫中的 審計特征的步驟包括創(chuàng)建所述第一審計數(shù)據(jù)庫,所述第一審計數(shù)據(jù)庫包括報文協(xié)議與所 述審計特征的對應(yīng)關(guān)系的集合和/或所述審計特征對應(yīng)的審計參數(shù)的集合;在所述第一審 計數(shù)據(jù)庫中查找與所述報文協(xié)議對應(yīng)的所述審計特征。
3.根據(jù)權(quán)利要求2所述的方法,其特征在于所述第一審計數(shù)據(jù)庫包括至少一個特征檢 測引擎,所述特征檢測引擎由所述每個報文協(xié)議及其對應(yīng)的一組所述審計特征構(gòu)成,每個 所述審計特征對應(yīng)一個所述報文協(xié)議。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于,在所述第一審計數(shù)據(jù)庫中查找審計特征 之前,所述方法還包括通過協(xié)議特征確定所述報文的所述報文協(xié)議。
5.根據(jù)權(quán)利要求1-4中任一項所述的方法,其特征在于,在所述審計處理模塊根據(jù)所 述審計特征對應(yīng)的審計參數(shù)得到報文的日志信息之前,所述方法還包括創(chuàng)建第二審計數(shù) 據(jù)庫,所述第二審計數(shù)據(jù)庫包括所述審計特征所對應(yīng)的一個或多個審計參數(shù),所述審計參 數(shù)表征所述審計特征的審計處理方式。
6.根據(jù)權(quán)利要求5所述的方法,其特征在于,所述審計處理模塊根據(jù)所述審計特征對 應(yīng)的審計參數(shù)得到報文的日志信息的步驟包括所述審計處理模塊接收所述審計特征;根據(jù)所述審計特征在所述第二審計數(shù)據(jù)庫中查詢并獲取所述審計特征對應(yīng)的各個所 述審計參數(shù);針對所述審計特征的各個所述審計參數(shù)執(zhí)行不同的處理程序得到所述報文的日志信肩、ο
7.根據(jù)權(quán)利要求6所述的方法,其特征在于定義所述審計特征的標(biāo)識符,通過所述標(biāo) 識符表征所述審計特征對應(yīng)的所述審計參數(shù)。
8.根據(jù)權(quán)利要求7所述的方法,其特征在于,將所述審計特征的ID作為所述標(biāo)識符并 通過所述ID獲取所述審計特征對應(yīng)的各種審計參數(shù)。
9.根據(jù)權(quán)利要求8中所述的方法,其特征在于,在得到所述報文的日志信息之后,還包 括根據(jù)所述日志信息獲取審計日志,以及將所述審計日志保存至本地或發(fā)送至遠程主機。
10.一種用戶行為審計系統(tǒng),包括會話管理模塊,用于對接收到的報文協(xié)議進行分類管理; 策略管理模塊,根據(jù)所述報文協(xié)議及其對應(yīng)的審計特征下發(fā)審計處理策略;以及 日志處理模塊,用于將審計日志存儲到數(shù)據(jù)庫或發(fā)送至遠程主機; 所述系統(tǒng)的特征在于包括識別檢測模塊,用于接收并識別來自所述會話管理模塊的所述報文協(xié)議并檢測與所述 報文協(xié)議對應(yīng)的所述審計特征,每個所述報文協(xié)議對應(yīng)多個所述審計特征,每個所述審計 特征對應(yīng)一個所述報文協(xié)議;以及審計處理模塊,用于根據(jù)所述審計特征對應(yīng)的審計參數(shù)得到報文的日志信息。
11.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于所述識別檢測模塊包括 應(yīng)用識別模塊,用于識別所述報文協(xié)議;特征檢測模塊,用于響應(yīng)所述報文協(xié)議并查找與所述報文協(xié)議對應(yīng)的所述審計特征;以及第一審計數(shù)據(jù)庫,用于存儲所述報文協(xié)議和所述審計特征的對應(yīng)關(guān)系。
12.根據(jù)權(quán)利要求10所述的系統(tǒng),其特征在于所述審計處理模塊包括 接收模塊,用于所述審計處理模塊接收所述審計特征;查詢模塊,用于根據(jù)所述審計特征在所述第二審計數(shù)據(jù)庫中查詢并獲取所述審計特征 對應(yīng)的各個所述審計參數(shù);處理模塊,用于針對所述審計特征的各個所述審計參數(shù)執(zhí)行不同的處理程序得到所述 報文的日志信息。
全文摘要
本發(fā)明公開了一種用戶行為審計方法及系統(tǒng),其中,該方法包括根據(jù)報文協(xié)議讀取第一審計數(shù)據(jù)庫中的審計特征;創(chuàng)建審計處理模塊,審計處理模塊包括審計特征處理、報文協(xié)議處理以及日志處理;審計處理模塊根據(jù)審計特征對應(yīng)的審計參數(shù)得到報文的日志信息。通過本發(fā)明能夠提高行為審計系統(tǒng)的效率和準(zhǔn)確性。
文檔編號H04L29/06GK101931557SQ201010255359
公開日2010年12月29日 申請日期2010年8月13日 優(yōu)先權(quán)日2010年8月13日
發(fā)明者張曉東, 李張勇, 李晶楠, 楊光, 汪慶權(quán) 申請人:杭州迪普科技有限公司