CN101426008A - 一种基于回显的审计方法及系统 - Google Patents
一种基于回显的审计方法及系统 Download PDFInfo
- Publication number
- CN101426008A CN101426008A CNA2007101765104A CN200710176510A CN101426008A CN 101426008 A CN101426008 A CN 101426008A CN A2007101765104 A CNA2007101765104 A CN A2007101765104A CN 200710176510 A CN200710176510 A CN 200710176510A CN 101426008 A CN101426008 A CN 101426008A
- Authority
- CN
- China
- Prior art keywords
- echo
- auditing
- audit
- network
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及一种基于回显的审计方法及系统,是一种用于网络业务审计产品中利用回显信息确定审计范围并进行精确网络业务行为审计的方法及系统。本发明包括网络业务操作内容提取器、回显信息识别器、审计装置。其特征在于包含以下步骤:网络业务操作内容提取步骤;回显信息识别步骤;审计的步骤。本发明解决了传统审计产品中仅仅依赖于协议解析技术对网络业务行为进行审计造成的审计范围不准确无法对某些隐私信息进行保护的安全性问题,实现了进行精确网络业务行为审计的同时有效保护用户秘密信息的功能,具有非常高的效率和准确性,可广泛应用于网络业务审计产品中。
Description
技术领域
本发明涉及可用于网络业务审计产品中对于某些协议或系统利用服务端回显的技术对相关网络业务进行精确审计的一种基于回显的审计方法及系统,它依据网络系统当中服务器端与客户端交互过程中使用的回显技术对需要审计的信息进行准确提取及审计,属于网络技术领域。
背景技术
网络业务审计系统是目前应用日益广泛的作为网络安全防护的重要手段,它通过对业务系统中可信人员的网络活动进行解析、记录、分析以帮助管理人员事前规划预防、事中实时监控、违规行为阻止和事后追查网络运营事故,从而帮助用户加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备)损失、保障客户业务系统的正常运营,是企业实现IT管理和控制的最佳实践。目前绝大部分的审计系统都是采用协议解析技术首先对网络报文进行解析,然后在特定的字段当中提取需要审计的内容,然后根据这些内容将相应的业务操作进行审计,实时处理或者存储在相应的日志库中。例如sqlserver数据库系统当中客户端与服务器端进行交互使用TDS协议,而绝大部分对于数据库的操作行为都是以sql语句进行交互的。这些sql语句都按照TDS协议的格式封装在特定的字段当中,则跳过协议头的8字节之后即为相应的数据字段。从中可以提取出标识当前数据库操作的sql语句内容进行审计。此外对于某些基于命令行模式操作的协议如telnet协议,某些环境当中对于协议的审计可以通过关键字完成,如用户名输入会有login字段,其后可作为用户名提取。但是对于某些的客户环境当中使用telnet协议时是不包含类似的关键字特征的。此时对于一般的审计系统处理方式是跳过telnet协议客户端与服务器端连接初始阶段的以ff字段开头的命令协商部分数据包。而后对于所有的输入作为用户名提取知道回车标识为止。按照这种方式实际上在没有特征字标识的情况下是无法正确分辨客户端的输入究竟是用户名、密码还是具体操作而将所有的客户端输入按照统一的方式提取并上报到审计系统。但是出于安全性的考虑,在很多用户环境当中对于每一个用户名相对应的密码是不应该被提取并显示在审计终端上的,这实际上违背了审计的初衷,即审计了不该审计的信息。这就在一定程度上增加了审计的难度,如何准确的识别并提取用户需要的信息同时处于安全的考虑保护用户希望保护的信息成为了关键问题。
目前在网络业务审计产品对于审计范围的考虑并不完善,很多审计产品在审计使用某些协议如telnet、X11的网络行为的时候都存在着将用户隐私信息提取并显示出来的问题。实际上在这些协议的使用过程当中对于客户端输入的数据服务器端会将其中需要显示在客户端界面上的内容传输回客户端,也就是说出于安全性的考虑服务器端在实际网络交互过程当中会将用户输入的信息当中可以公开显示的部分再传送给客户端的显示系统,例如telnet在输入用户名可以在显示器上看到输入的内容,而密码通常只能看到一串星号,这就是根据服务器端传输给客户端的报文内容决定的,称之为回显。同时所有的用户操作行为,如查询等都会通过回显的方式显示在客户端,这说明实现一种基于回显的审计方法避免对敏感信息的提取是可能的。因此有必要发展一种能够实现基于回显方式的审计方法用以提高网络业务审计系统审计的准确性及确定精确的审计范围。
发明内容
为了克服现有网络业务审计系统对于某些协议或系统实际审计过程当中审计范围不准确造成的安全性问题,本发明提供一种基于回显的审计方法及系统。所述的基于回显的审计方法及系统可以满足:对于具有回显机制的协议或系统能够准确的识别审计范围及内容、有效的保护用户私有信息;具有非常高的相关信息的提取及审计效率,实现尽可能简单。
本发明的目的是这样实现的:
一种基于回显的审计系统,包括:
对当前网络环境中进行的网络业务操作行为数据报文的数据信息进行提取的网络业务操作内容提取器;
对所有提取的数据报文利用服务器回显信息对审计信息集合进行筛选的回显信息识别器;
最终对通过筛选的信息进行网络业务行为审计并进行实时显示或日志保存的审计装置;
所述的网络业务操作内容提取器与回显信息识别器连接并传输数据;所述的回显信息识别器与审计装置连接并传输数据。
一种基于回显的审计方法,其关键在于包括以下的步骤:
网络业务操作内容提取步骤;
回显信息识别步骤;
审计的步骤。
本发明的有益效果是,本发明解决了传统审计产品中对于某些协议或系统仅仅依靠协议解析方法进行信息审计造成的审计内容安全性问题。对于实际审计过程当中需要保护的用户隐私信息可以进行有效的保护,并且对于实际网络业务操作可以有效的进行提取。可以精确的确定审计的范围,避免由于过多的信息提取造成的安全性降低的风险。此外在系统实现的过程当中充分考虑了效率和准确性的问题,对于实际应该审计的内容及准确性没有任何影响,可广泛应用于网络业务审计产品中。
附图说明
图1为本发明的基于回显的审计方法系统图;
图2为本发明的基于回显的审计系统流程图。
下面结合附图和实施例对本发明进一步说明。
具体实施方式
实施例一:
本实施例为基于回显的审计方法的基本模式。所使用的系统如图1所示,包括网络业务操作内容提取器、回显信息识别器、审计装置,运行流程如图2所示:
①网络业务操作内容提取步骤:
对于网络业务操作,不同的系统当中的客户端与服务器端进行交互所使用的通信协议各不相同,首先采用协议解析方法确定需要审计的内容在数据报文当中的位置并进行相关提取。此阶段提取的数据不直接进行审计,只是依据协议解析技术对实际环境当中传输的数据报文进行处理,将实际交互的数据部分提取出来。此阶段步骤主要负责在需审计的网络环境当中依据不同应用使用的不同协议采用协议解析的方式提取出所有可以提取的数据信息,以此作为下一阶段进行回显判断的对象集合。
②回显信息识别步骤:
在实际网络环境当中,对网络业务进行审计的时候。很多的应用服务都是以客户端与服务器端交互实现的,例如telnet、数据库操作等等。在这类系统当中,很多的服务如telnet、远程登录X window等等都提供了在客户端用户界面可以实时的显示当前用户的操作。但是显示于用户界面的内容并不是由客户端决定的,而是根据服务器端的返回决定的。客户界面是按照服务器端的返回信息确定将哪些内容显示给用户。本阶段负责在上一阶段对所有数据报文进行协议解析提取出数据部分之后,依据服务器端返回信息确定需要审计的内容。服务器端提供回显的部分,即可以显示给用户的部分作为最终需要审计的信息进行提取,而服务器端不提供回显的部分信息说明是用户需要保护的隐私信息,不需进入审计装置。本阶段为最终的审计步骤提供具体的需要审计的内容。
⑤审计步骤:
以回显信息识别步骤筛选的待审计信息做为审计的内容,记录当前环境中网络业务特定行为的一些相关信息,将审计结果返回给管理系统或储存在事件库及日志库当中。这里管理系统、事件库或日志库为不同类型的审计结果终端,负责接收审计装置传输的最终结果并进行显示或存储。
实施例二:
本实施例为实施例一中的网络业务操作内容提取步骤的优选方案。
本实施例的基本思路是:采用协议解析方式对当前网络环境当中所有的业务行为产生的数据报文进行解析,并对数据部分进行提取,并以此提取的数据集合作为回显信息识别步骤筛选的对象。例如Sybase数据库和sqlserver数据库采用TDS协议。则依据TDS协议的数据封装格式,数据报文前8个字节是包含长度、包序号等等的包头信息,从第9个字节开始为具体的数据内容,如果是对数据库表项的操作,则从第9字节开始即为标识该操作的sql语句的明文字段。又如在telnet协议中,客户端与服务器连接过程中可以首先按照端口23识别telnet协议的数据报文。随后在数据报文当中以ff开头且长度为3字节长的报文为客户端与服务器端进行命令协商过程,此时ff之后的连续两字节即为协商的参数内容。
实施例三:
本实施例为实施例一中的回显信息识别步骤的优选方案。
本实施例是在网络业务操作内容提取步骤对实际网络环境当中所有业务操作信息进行提取之后进行的。在提取出所有业务操作信息之后,本步骤负责确定所有的信息当中哪些操作行为应该被审计,哪些信息出于安全性考虑应该被保护而无需进行审计操作。例如在telnet服务当中对于用户登录的行为应该被审计,而对于用户的密码是应该被保护不应被提取出来的。因为telnet系统当中用户名的输入与密码的输入都是以明文形式传输并采用了相同的数据封装格式,因此需要利用服务器的回显信息进行筛选。例如用户输入用户名为“root”,首先客户端使用telnet协议将字符串“root”以明文形式发送给服务器端,随后服务器端确定该内容可以显示至用户界面则在返回包中以同样的格式明文发送字符串“root”给客户端。此时本步骤依据回显信息判断“root”为回显内容,并将其作为审计信息传输给审计装置。接下来当该用户输入登录密码时同样使用telnet协议将密码以明文形式发送给服务器,而此时服务器确定该内容需要保护不应该显示至用户界面则在通信过程中不包含该回显信息。此时本步骤依据无回显信息判断该密码信息属于被保护的内容,则此信息不会进入审计装置。
实施例四:
本实施例为实施例一中的审计步骤的优选方案。
此阶段以回显信息识别步骤经过筛选过后提供的数据信息做为审计的内容,记录当前网络环境当中特定网络业务行为的一些相关信息。本实施例以经过回显信息识别步骤筛选过后的数据信息作为输出信息。这些输出信息实际上标识了当前环境下用户进行的一些网络业务行为,如Telnet用户登录、查询等等。本系统将这些信息传输到系统管理平台的显示装置上供管理员使用,同时将具体审计的网络业务事件存储到相应的事件库或系统日志当中以备后期追查、取证等使用。
实施例五:
本实施例是实现实施例一、二、三、四、所述的方法的虚拟装置或者说系统。系统如图1所示,本实施例包括:包括对当前网络环境中进行的网络业务操作行为数据报文的数据信息进行提取的网络业务操作内容提取器、对所有提取的数据报文利用服务器回显信息对审计信息集合进行筛选的回显信息识别器及最终通过筛选的信息进行网络业务行为审计并进行实时显示或日志保存的审计装置。
其中,网络业务操作内容提取器实现了如实施例二中所述的对实际客户环境当中进行的网络业务操作行为数据报文当中数据内容的提取功能和步骤;回显信息识别器实现了如实施例三对于所有提取的数据内容依赖回显信息进行审计内容的筛选功能和步骤;审计装置实现了实施例四所述的对于各种经过筛选的审计信息的网络业务行为审计功能和步骤。
本基于回显的审计系统,其特征在于包括:网络业务操作内容提取器、回显信息识别器、审计装置。所述的网络业务操作内容提取器与回显信息识别器连接并传输数据;所述的回显信息识别器与审计装置连接并传输数据。
Claims (5)
1.一种基于回显的审计方法及系统,包括对网络业务操作内容提取器、回显信息识别器及审计装置。其特征在于包含以下步骤:
1)网络业务操作内容提取步骤;
2)回显信息识别步骤;
3)审计的步骤。
2.如权利要求1所述的一种基于回显的审计方法,其特征在于所述网络业务操作内容提取步骤:
依赖协议解析技术对实际网络环境当中交互的使用不同协议类型的数据报文进行协议解析并提取标识网络业务操作行为的数据部分,以提取出的数据作为下一阶段进行回显信息识别及筛选的对象。
3.如权利要求1所述的一种基于回显的审计方法,其特征在于所述回显信息识别步骤:
以提取的标识网络业务操作行为的数据信息为对象,以服务器端回显信息为依据对所有已提取的数据信息进行过滤,将服务器提供回显的数据信息进行输出,并以此作为下阶段审计的对象。
4.如权利要求1所述的一种基于回显的审计方法,其特征在于所述审计的步骤:
以经过回显信息识别步骤筛选的数据信息集合作为审计对象,对所有的网络业务行为进行审计,将审计结果返回给管理系统进行实时显示同时将审计结果存储于事件库或系统日志当中。
5.一种基于回显的审计系统,其特征在于包括:
对当前网络环境中进行的网络业务操作行为数据报文的数据信息进行提取的网络业务操作内容提取器、对所有提取的数据报文利用服务器回显信息对审计信息集合进行筛选的回显信息识别器,最终对通过筛选的信息进行网络业务行为审计并进行实时显示或日志保存的审计装置;
所述的网络业务操作内容提取器与回显信息识别器连接并传输数据;所述的回显信息识别器与审计装置连接并传输数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101765104A CN101426008B (zh) | 2007-10-30 | 2007-10-30 | 一种基于回显的审计方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101765104A CN101426008B (zh) | 2007-10-30 | 2007-10-30 | 一种基于回显的审计方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101426008A true CN101426008A (zh) | 2009-05-06 |
| CN101426008B CN101426008B (zh) | 2011-06-22 |
Family
ID=40616340
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101765104A Expired - Fee Related CN101426008B (zh) | 2007-10-30 | 2007-10-30 | 一种基于回显的审计方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101426008B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101931557A (zh) * | 2010-08-13 | 2010-12-29 | 杭州迪普科技有限公司 | 用户行为审计方法及系统 |
| CN102932202A (zh) * | 2012-10-25 | 2013-02-13 | 北京星网锐捷网络技术有限公司 | 审计外发信息的方法及装置 |
| CN103051727A (zh) * | 2013-01-05 | 2013-04-17 | 国都兴业信息审计系统技术(北京)有限公司 | 一种远程审计分流系统 |
| CN105704126A (zh) * | 2016-01-19 | 2016-06-22 | 中国科学院信息工程研究所 | 一种基于水印的音频审计方法和系统 |
| CN106656919A (zh) * | 2015-10-30 | 2017-05-10 | 中国科学院声学研究所 | 一种基于Telnet协议的会话解析方法及系统 |
| CN107086967A (zh) * | 2017-04-19 | 2017-08-22 | 济南浪潮高新科技投资发展有限公司 | 一种报文数据审计电路及方法 |
| CN114338058A (zh) * | 2020-09-27 | 2022-04-12 | 中国移动通信有限公司研究院 | 一种信息处理方法、装置和存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20020090953A (ko) * | 2002-10-10 | 2002-12-05 | 유콘시스템 주식회사 | 노콘 방지 이중장치 |
| CN1417690A (zh) * | 2002-12-03 | 2003-05-14 | 南京金鹰国际集团软件系统有限公司 | 基于构件的应用过程审计平台系统 |
| CN100586123C (zh) * | 2006-10-27 | 2010-01-27 | 北京启明星辰信息技术股份有限公司 | 基于角色管理的安全审计方法及系统 |
-
2007
- 2007-10-30 CN CN2007101765104A patent/CN101426008B/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101931557A (zh) * | 2010-08-13 | 2010-12-29 | 杭州迪普科技有限公司 | 用户行为审计方法及系统 |
| CN101931557B (zh) * | 2010-08-13 | 2013-01-30 | 杭州迪普科技有限公司 | 用户行为审计方法及系统 |
| CN102932202A (zh) * | 2012-10-25 | 2013-02-13 | 北京星网锐捷网络技术有限公司 | 审计外发信息的方法及装置 |
| CN102932202B (zh) * | 2012-10-25 | 2015-08-19 | 北京星网锐捷网络技术有限公司 | 审计外发信息的方法及装置 |
| CN103051727A (zh) * | 2013-01-05 | 2013-04-17 | 国都兴业信息审计系统技术(北京)有限公司 | 一种远程审计分流系统 |
| CN103051727B (zh) * | 2013-01-05 | 2015-07-01 | 国都兴业信息审计系统技术(北京)有限公司 | 一种远程审计分流系统 |
| CN106656919A (zh) * | 2015-10-30 | 2017-05-10 | 中国科学院声学研究所 | 一种基于Telnet协议的会话解析方法及系统 |
| CN105704126A (zh) * | 2016-01-19 | 2016-06-22 | 中国科学院信息工程研究所 | 一种基于水印的音频审计方法和系统 |
| CN105704126B (zh) * | 2016-01-19 | 2018-11-20 | 中国科学院信息工程研究所 | 一种基于水印的音频审计方法和系统 |
| CN107086967A (zh) * | 2017-04-19 | 2017-08-22 | 济南浪潮高新科技投资发展有限公司 | 一种报文数据审计电路及方法 |
| CN114338058A (zh) * | 2020-09-27 | 2022-04-12 | 中国移动通信有限公司研究院 | 一种信息处理方法、装置和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101426008B (zh) | 2011-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101426008B (zh) | 一种基于回显的审计方法及系统 | |
| AU2014237406B2 (en) | Method and apparatus for substitution scheme for anonymizing personally identifiable information | |
| CN101453359B (zh) | 一种数据库错误信息提取方法及系统 | |
| KR102119449B1 (ko) | 통합 오픈 api 플랫폼 시스템, 이를 이용한 금융 서비스 방법 및 이를 위한 컴퓨터 프로그램 | |
| EP2244418A1 (en) | Database security monitoring method, device and system | |
| CN104796261A (zh) | 一种网络终端节点的安全接入管控系统及方法 | |
| CN104601723B (zh) | 基于内部服务总线的电力营销管理系统soa架构 | |
| CN101453358B (zh) | 一种oracle数据库绑定变量的sql语句审计方法及系统 | |
| CN104952117B (zh) | 一种考勤管理方法 | |
| CN106161178B (zh) | 一种接入即时通信网络的方法和设备 | |
| CN110287247A (zh) | 基于银联系统的数据存储方法、装置、设备及存储介质 | |
| CN108537314A (zh) | 基于二维码的产品营销系统及方法 | |
| CN105071966B (zh) | 一种日志信息管理方法及日志抽取服务器 | |
| CN105678527A (zh) | 一种基于指纹和人脸的银行业务远程身份验证系统和方法 | |
| CN107992771A (zh) | 一种数据脱敏方法和装置 | |
| CN113360475B (zh) | 基于内网终端的数据运维方法、装置、设备及存储介质 | |
| CN106850793A (zh) | 一种面向Android手机的远程可信取证的方法 | |
| CN107911466A (zh) | 一种多层架构下应用关联方法 | |
| CN106656919A (zh) | 一种基于Telnet协议的会话解析方法及系统 | |
| CN105592121B (zh) | 一种rdp数据采集装置及方法 | |
| CN102509057B (zh) | 基于标记的非结构化数据安全过滤方法 | |
| CN104079632B (zh) | 一种第三方业务的处理方法及设备 | |
| CN101436956B (zh) | 一种数据库操作响应时间测算方法及系统 | |
| CN105100246A (zh) | 一种基于下载资源名称的网络流量管控方法 | |
| CN107995616A (zh) | 用户行为数据的处理方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110622 Termination date: 20161030 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |