网络信息日志审计系统

摘要

本发明公开了一种网络信息日志审计系统，它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统；所述的数据采集子系统包括多台部署有审计探针的主机，用于对日志的采集和重组；所述的数据中心子系统用于对审计日志的分析处理，并将结果发送至存储子系统进行保存；所述的用户接口子系统提供用户访问存储子系统的接口，查看具体的日志数据以及审查报表。本发明作为网络用户行为审计与责任管理系统的前端数据采集设备，以网络数据流高速采集、数据包重组、协议还原为核心技术，用于获取用户的网络信息，进行网络行为日志的取证与展现。

说明书

技术领域

本发明涉及一种网络信息日志审计系统。

背景技术

网络用户行为审计与责任管理系统是一套为弥补传统网络信息审计手段的不足，帮助用户完善其行为合规性监测和管理的安全管理业务系统。

网络监测与终端取证技术为基础；以业务制度技术性转化为核心；将网络行为合规态势、安全事件行为链重现及行为主体责任落地作为输出。

帮助用户从宏观上把控目标信息网络的整体行为合规态势；从微观上深入透析具体事件行为细节，对行为主体进行责任认定。

通过系统的使用建立起以用户自身安全制度、行业法规为依据的安全管理业务，形成用户自主的安全管理业务体系。借此来解决过往制度难以落地、态势难以掌控、责任难以到人的问题，并为用户下一步安全管理工作提供建议和方向。

而网络信息日志审计系统作为网络用户行为审计与责任管理系统的前端数据采集设备，作用至关重要。

发明内容

本发明的目的在于克服现有技术的不足，提供一种网络信息日志审计系统，作为网络用户行为审计与责任管理系统的前端数据采集设备，解决现有技术采集日志类型少以及没有对日志进行还原步骤，导致后期责任认定难以进行的问题。

本发明的目的是通过以下技术方案来实现的：网络信息日志审计系统，它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统；所述的数据采集子系统包括多台部署有审计探针的主机，用于对日志的采集和重组；所述的数据中心子系统用于对审计日志的分析处理，并将结果发送至存储子系统进行保存；所述的用户接口子系统提供用户访问存储子系统的接口，查看具体的日志数据以及审查报表；

所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志；所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志；所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志；所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览；

所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志；所述的数据库日志为记录各类数据库的操作和用户信息的日志；所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志；所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息，还包括即时聊天软件点对点传输文件的以及文件名的信息；所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志，包括TELNET协议、WINDOWS远程桌面和SSH；所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志，包括收件人、主题、抄送、正文、附件；

所述的数据采集子系统对网络数据流进行高速采集，所述的网络数据流为分片结构；在收到所有的日志数据包的分片后，根据日志数据包首部中保存的信息，重组最初的日志数据包；

所述的数据中心子系统对重组后的日志数据包进行还原处理，对网络行为进行取证：其中，对于HTTP协议、SMTP协议、POP3协议、TELNET协议、FTP协议和DNS协议的日志，进行内容层的深度还原；对于基于HTTP协议的发布和浏览的日志，在进行内容还原同时进行分类展示；对于即时通讯日志、远程控制日志，进行相关的用户行为以及操作还原；对于数据库日志，还原用户对数据库的操作。

所述的娱乐软件包括网络流媒体、听歌软件、看电影软件和网络游戏软件。

所述的日志保存5元组信息、时间、会话和流量信息。

所述的分类展示包括微博、新闻、网页和邮箱。

所述的各类数据库包括MySql、Orcal和SQLserver。

本发明的有益效果是：本发明作为网络用户行为审计与责任管理系统的前端数据采集设备，以网络数据流高速采集、数据包重组、协议还原为核心技术，用于获取用户的网络信息，进行网络行为日志的取证与展现；采集日志的类型包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志、邮件日志，并且根据不同的类型有不同的还原方式，为后期责任认定打下基础。

附图说明

图1为本发明结构方框图。

具体实施方式

下面结合附图进一步详细描述本发明的技术方案：如图1所示，网络信息日志审计系统，它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统；所述的数据采集子系统包括多台部署有审计探针的主机，用于对日志的采集和重组；所述的数据中心子系统用于对审计日志的分析处理，并将结果发送至存储子系统进行保存；所述的用户接口子系统提供用户访问存储子系统的接口，查看具体的日志数据以及审查报表；

所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志；所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志；所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志；所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览；

所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志；所述的数据库日志为记录各类数据库的操作和用户信息的日志；所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志；所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息，还包括即时聊天软件点对点传输文件的以及文件名的信息；所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志，包括TELNET协议、WINDOWS远程桌面和SSH；所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志，包括收件人、主题、抄送、正文、附件；

所述的数据采集子系统对网络数据流进行高速采集，所述的网络数据流为分片结构；在收到所有的日志数据包的分片后，根据日志数据包首部中保存的信息，重组最初的日志数据包；

所述的数据中心子系统对重组后的日志数据包进行还原处理，对网络行为进行取证：其中，对于HTTP协议、SMTP协议、POP3协议、TELNET协议、FTP协议和DNS协议的日志，进行内容层的深度还原；对于基于HTTP协议的发布和浏览的日志，在进行内容还原同时进行分类展示；对于即时通讯日志、远程控制日志，进行相关的用户行为以及操作还原；对于数据库日志，还原用户对数据库的操作。

所述的娱乐软件包括网络流媒体、听歌软件、看电影软件和网络游戏软件。

所述的日志保存5元组信息、时间、会话和流量信息。

所述的分类展示包括微博、新闻、网页和邮箱。

所述的各类数据库包括MySql、Orcal和SQLserver。

前端数据采集，后端为数据分析：

所述的后端包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块；

所述的用户基础信息模块包括存储用户组织机构信息、用户人员信息和用户资产信息的第一存储单元和存储用户行为权限的第二存储单元；所述的第二存储单元包括用户级别、用户行为目标、用户行为事件以及三者对应关系的权限的列表；所述的权限包括授权、禁止和义务；

所述的日志行为提取模块提取存储子系统中各个网络行为日志中的要素，所述的要素包括行为主体、行为对象和行为事件；

所述的不合规行为判断模块将日志行为提取模块提取的结果与用户基础信息模块进行对比，进行不合规行为的判断；所述的不合规行为包括授权行为越界、禁止行为和义务行为未完成；

所述的不合规行为统计分析模块对不合规行为判断模块判断出的不合规行为进行趋势统计、分布统计以及数据挖掘分析，并采用积分算法对用户当前网络行为合规程度进行评分：当合规程度达不到预设阀值，则发送信息至所述的通知模块，通知模块通知管理员，管理员通过控制访问流量模块断开不合规用户的访问流量。

所述的不合规行为还包括用户终端危险使用、流量异常使用。

所述的网络用户行为责任认定与管理子系统还包括一个全局行为不合规态势展示模块，所述的全局行为不合规态势展示模块用于展示当前用户的合规程度，以及禁止行为走势、授权行为越界走势、义务行为未完成走势。

所述的网络用户行为责任认定与管理子系统还包括一个修改权限模块，管理员根据不合规行为的判定结果和不合规行为态势，通过修改权限模块修改第二存储单元中的权限列表。

在所述的不合规行为判断模块无法判断日志行为提取模块提取的结果是否为不合规行为，将该行为日志进行人工分析，并根据人工分析结果进行后续处理，所述的后续处理包括不合规行为处理以及将该行为加入第二存储单元。