網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法。
【背景技術(shù)】
[0002]傳統(tǒng)審計(jì)類產(chǎn)品未能與用戶針對(duì)主體及行為的管理業(yè)務(wù)進(jìn)行緊耦合,無法幫助用戶改變“事前缺乏明確規(guī)范”現(xiàn)狀。并且傳統(tǒng)審計(jì)類產(chǎn)品在事中監(jiān)測(cè)審計(jì)過程中以單一的、離散的、非系統(tǒng)的線索為主,缺乏面向系統(tǒng)的監(jiān)測(cè)能力。而呈現(xiàn)給用戶的結(jié)果多數(shù)為海量的內(nèi)容日志,在網(wǎng)絡(luò)空間中面臨態(tài)勢(shì)把握難、源頭定位難的問題。
[0003]網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法是一套為彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)信息審計(jì)手段的不足,幫助用戶完善其行為合規(guī)性監(jiān)測(cè)和管理的安全管理業(yè)務(wù)方法。
[0004]網(wǎng)絡(luò)監(jiān)測(cè)與終端取證技術(shù)為基礎(chǔ);以業(yè)務(wù)制度技術(shù)性轉(zhuǎn)化為核心;將網(wǎng)絡(luò)行為合規(guī)態(tài)勢(shì)、安全事件行為鏈重現(xiàn)及行為主體責(zé)任落地作為輸出。
[0005]幫助用戶從宏觀上把控目標(biāo)信息網(wǎng)絡(luò)的整體行為合規(guī)態(tài)勢(shì);從微觀上深入透析具體事件行為細(xì)節(jié),對(duì)行為主體進(jìn)行責(zé)任認(rèn)定。
[0006]通過方法的使用建立起以用戶自身安全制度、行業(yè)法規(guī)為依據(jù)的安全管理業(yè)務(wù),形成用戶自主的安全管理業(yè)務(wù)體系。借此來解決過往制度難以落地、態(tài)勢(shì)難以掌控、責(zé)任難以到人的問題,并為用戶下一步安全管理工作提供建議和方向。
[0007]本發(fā)明回歸安全本源一一用戶行為,面向體系的進(jìn)行綜合數(shù)據(jù)源采集,從用戶行為合規(guī)的視角來解讀目標(biāo)信息系統(tǒng)全局安全態(tài)勢(shì),量化目標(biāo)信息網(wǎng)絡(luò)的全局風(fēng)險(xiǎn)指數(shù)。通過網(wǎng)絡(luò)、主機(jī)、網(wǎng)絡(luò)設(shè)備日志關(guān)聯(lián)分析,重構(gòu)具體安全事件的行為鏈條,實(shí)現(xiàn)真實(shí)主體定位和行為過程重現(xiàn)。
【發(fā)明內(nèi)容】
[0008]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種一種基于用戶行為、從合規(guī)的視角量化目標(biāo)信息網(wǎng)絡(luò)的全局風(fēng)險(xiǎn)指數(shù)的網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法。
[0009]本發(fā)明的目的是通過以下技術(shù)方案來實(shí)現(xiàn)的:網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法,其特征在于:它包括以下步驟:
51:數(shù)據(jù)采集模塊對(duì)日志進(jìn)行采集:所述的數(shù)據(jù)采集模塊包括多臺(tái)部署有審計(jì)探針的主機(jī),對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行高速采集,所述的網(wǎng)絡(luò)數(shù)據(jù)流為分片結(jié)構(gòu),在收到所有的日志數(shù)據(jù)包的分片后,根據(jù)日志數(shù)據(jù)包首部中保存的信息,重組最初的日志數(shù)據(jù)包;
52:數(shù)據(jù)中心模塊對(duì)采集到的日志進(jìn)行分類,并將日志送入日志信息存儲(chǔ)模塊進(jìn)行分類保存;
53:日志行為提取模塊提取日志信息存儲(chǔ)模塊中各個(gè)網(wǎng)絡(luò)行為日志中的要素,所述的要素包括行為主體、行為對(duì)象和行為事件;
54:不合規(guī)行為判斷模塊將步驟S4中日志行為提取模塊提取的結(jié)果與用戶基礎(chǔ)信息模塊進(jìn)行對(duì)比,進(jìn)行不合規(guī)行為的判斷;所述的不合規(guī)行為包括授權(quán)行為越界、禁止行為和義務(wù)行為未完成;所述的用戶基礎(chǔ)信息模塊包括存儲(chǔ)用戶組織機(jī)構(gòu)信息、用戶人員信息和用戶資產(chǎn)信息的第一存儲(chǔ)單元和存儲(chǔ)用戶行為權(quán)限的第二存儲(chǔ)單元;
S5:不合規(guī)行為統(tǒng)計(jì)分析模塊對(duì)不合規(guī)行為判斷模塊判斷出的不合規(guī)行為進(jìn)行趨勢(shì)統(tǒng)計(jì)、分布統(tǒng)計(jì)以及數(shù)據(jù)挖掘分析,并采用積分算法對(duì)用戶當(dāng)前網(wǎng)絡(luò)行為合規(guī)程度進(jìn)行評(píng)分:當(dāng)合規(guī)程度達(dá)不到預(yù)設(shè)閥值,則發(fā)送信息至通知模塊,通知模塊通知管理員,管理員通過控制訪問流量模塊斷開不合規(guī)用戶的訪問流量。
[0010]所述的不合規(guī)行為還包括用戶終端危險(xiǎn)使用、流量異常使用。
[0011]網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法還包括一個(gè)一個(gè)全局行為不合規(guī)態(tài)勢(shì)展示步驟:根據(jù)步驟S5評(píng)分的結(jié)果,展示當(dāng)前用戶的合規(guī)程度,以及禁止行為走勢(shì)、授權(quán)行為越界走勢(shì)、義務(wù)行為未完成走勢(shì)。
[0012]網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法還包括一個(gè)修改權(quán)限步驟:管理員根據(jù)不合規(guī)行為的判定結(jié)果和不合規(guī)行為態(tài)勢(shì),修改第二存儲(chǔ)單元中的權(quán)限列表。
[0013]網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法包括一個(gè)新增權(quán)限步驟:在步驟S4無法判斷日志行為提取模塊提取的結(jié)果是否為不合規(guī)行為,將該行為日志進(jìn)行人工分析,并根據(jù)人工分析結(jié)果進(jìn)行后續(xù)處理,所述的后續(xù)處理包括不合規(guī)行為處理以及將該行為加入第二存儲(chǔ)單元。
[0014]所述的日志包括互聯(lián)網(wǎng)應(yīng)用日志、即時(shí)通訊日志、數(shù)據(jù)庫日志、攻擊/掃描日志、文件傳輸日志、遠(yuǎn)程控制日志和郵件日志;所述的互聯(lián)網(wǎng)應(yīng)用日志包括HTTP應(yīng)用日志、娛樂軟件日志和基于C/S架構(gòu)的應(yīng)用軟件使用日志;所述的HTTP應(yīng)用日志為監(jiān)測(cè)訪問互聯(lián)網(wǎng)網(wǎng)頁的內(nèi)容信息、記錄用戶所設(shè)關(guān)鍵詞信息、針對(duì)HTTPUP的信息和記錄所有DNS協(xié)議請(qǐng)求的日志;所述的監(jiān)測(cè)訪問互聯(lián)網(wǎng)網(wǎng)頁的內(nèi)容信息包括基于HTTP協(xié)議的發(fā)布和瀏覽;
所述的即時(shí)通訊日志為記錄各類及時(shí)通訊軟件使用信息以及虛擬身份信息的日志;所述的數(shù)據(jù)庫日志為記錄各類數(shù)據(jù)庫的操作和用戶信息的日志;所述的攻擊/掃描日志為記錄DDOS攻擊和端口掃描的行為日志;所述的文件傳輸日志包括各類下載工具、FTP協(xié)議、SMB協(xié)議進(jìn)行的文件傳輸信息,還包括即時(shí)聊天軟件點(diǎn)對(duì)點(diǎn)傳輸文件的以及文件名的信息;所述的遠(yuǎn)程控制日志為記錄各類遠(yuǎn)程控制軟件或協(xié)議的使用情況的日志,包括TELNET協(xié)議、WINDOWS遠(yuǎn)程桌面和SSH ;所述的郵件日志為記錄SMTP協(xié)議、POP3協(xié)議、以及主流web由P件的日志,包括收件人、主題、抄送、正文、附件
所述的日志保存5元組信息、時(shí)間、會(huì)話和流量信息。
[0015]所述的用戶組織機(jī)構(gòu)信息反映為樹狀層級(jí)式結(jié)構(gòu)圖,所述的用戶人員信息包括人員基本信息和終端IP信息,所述的用戶資產(chǎn)信息包括用戶服務(wù)器信息。
[0016]本發(fā)明的有益效果是:
(I)本發(fā)明產(chǎn)品以相關(guān)行業(yè)的法律規(guī)范為依據(jù),定義行業(yè)用戶中的標(biāo)準(zhǔn)系統(tǒng)行為;并以行為標(biāo)準(zhǔn)中衍生出的義務(wù)行為、禁止行為、授權(quán)行為為出發(fā)點(diǎn),監(jiān)測(cè)主體行為,明確鑒定各類行為的責(zé)任,做到行為合規(guī)性全覆蓋。
[0017](2)本產(chǎn)品回歸安全本源一一用戶行為,面向體系的進(jìn)行綜合數(shù)據(jù)源采集,從用戶行為合規(guī)的視角來解讀目標(biāo)信息系統(tǒng)全局安全態(tài)勢(shì),量化目標(biāo)信息網(wǎng)絡(luò)的全局風(fēng)險(xiǎn)指數(shù)。通過網(wǎng)絡(luò)、主機(jī)、網(wǎng)絡(luò)設(shè)備日志關(guān)聯(lián)分析,重構(gòu)具體安全事件的行為鏈條,實(shí)現(xiàn)真實(shí)主體定位和行為過程重現(xiàn)。
[0018](3)步驟SI和S2以網(wǎng)絡(luò)數(shù)據(jù)流高速采集、數(shù)據(jù)包重組為核心技術(shù),用于獲取用戶的網(wǎng)絡(luò)信息,進(jìn)行網(wǎng)絡(luò)行為日志的取證;采集日志的類型包括互聯(lián)網(wǎng)應(yīng)用日志、即時(shí)通訊日志、數(shù)據(jù)庫日志、攻擊/掃描日志、文件傳輸日志、遠(yuǎn)程控制日志、郵件日志,為后期責(zé)任認(rèn)定打下基礎(chǔ)。
[0019](4)步驟S3、S4和S5在網(wǎng)絡(luò)信息日志審計(jì)的基礎(chǔ)上,賦予系統(tǒng)與用戶業(yè)務(wù)相緊耦合的安全管理業(yè)務(wù)屬性,將用戶網(wǎng)絡(luò)日志的輸出提升為用戶行為責(zé)任認(rèn)定結(jié)果;要達(dá)到最終對(duì)用戶行為進(jìn)行責(zé)任認(rèn)定的目的。
[0020](5)本發(fā)明將不合規(guī)行為進(jìn)行分類,對(duì)三種權(quán)限均有不合規(guī)的定義;其中,對(duì)于授權(quán)行為是授權(quán)但是越界,對(duì)于義務(wù)行為是義務(wù)行為未完成,以及禁止行為本身,做到行為合規(guī)性全覆蓋;
(6)本發(fā)明會(huì)根據(jù)長(zhǎng)期的合規(guī)性統(tǒng)計(jì)以及態(tài)勢(shì)發(fā)展,對(duì)不合規(guī)行為的權(quán)限列表進(jìn)行修正,以達(dá)到效果更佳的目的;
(7)本發(fā)明在無法對(duì)行為進(jìn)行判斷的情況下,進(jìn)行人工分析,即對(duì)在權(quán)限列表中未定義的行為進(jìn)行不合規(guī)判定,當(dāng)不合規(guī)的時(shí)候,會(huì)進(jìn)行相應(yīng)處理并對(duì)權(quán)限列表進(jìn)行增加;
(8)本發(fā)明還包括一個(gè)態(tài)勢(shì)展示,人機(jī)交互界面友好,使得使用者更加直觀、清楚地了解當(dāng)前的情況。
【附圖說明】
[0021 ] 圖1為本發(fā)明方法流程圖。
【具體實(shí)施方式】
[0022]下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案:如圖1所示,網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理方法,其特征在于:它包括以下步驟:
51:數(shù)據(jù)采集模塊對(duì)日志進(jìn)行采集:所述的數(shù)據(jù)采集模塊包括多臺(tái)部署有審計(jì)探針的主機(jī),對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行高速采集,所述的網(wǎng)絡(luò)數(shù)據(jù)流為分片結(jié)構(gòu),在收到所有的日志數(shù)據(jù)包的分片后,根據(jù)日志數(shù)據(jù)包首部中保存的信息,重組最初的日志數(shù)據(jù)包;
52:數(shù)據(jù)中心模塊對(duì)采集到的日志進(jìn)行分類,并將日志送入日志信息存儲(chǔ)模塊進(jìn)行