CN104376023B - 一种基于日志的审计方法及系统 - Google Patents
一种基于日志的审计方法及系统 Download PDFInfo
- Publication number
- CN104376023B CN104376023B CN201310359606.XA CN201310359606A CN104376023B CN 104376023 B CN104376023 B CN 104376023B CN 201310359606 A CN201310359606 A CN 201310359606A CN 104376023 B CN104376023 B CN 104376023B
- Authority
- CN
- China
- Prior art keywords
- equipment
- severity level
- content
- operating personnel
- operational order
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/1734—Details of monitoring file system events, e.g. by the use of hooks, filter drivers, logs
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种基于日志的审计方法及系统,涉及计算机安全领域。获取各系统登录操作的原始日志;解析出源地址、操作账号、设备IP和操作命令;定位所操作设备及所属信息系统、操作人员、操作内容和重要级别;建立以信息系统为索引,其对应的操作设备、操作人员、操作内容及重要级别为内容的审计视图;监控其中重要级别是否满足报警条件,若满足,则发起报警,并将其记入审计敏感信息集中,以便审计查阅分析。通过计算机程序对日志数据进行分析处理,建立以信息系统为视角的操作审计视图,能对某信息系统中被操作的设备、具体操作人员、对应的操作内容及是否关键操作等自动监控报警,无需人工干预,实现自动化审计,大大提高审计效率和准确性。
Description
技术领域
本发明涉及计算机网络信息安全技术领域,特别涉及一种基于日志的审计方法及系统。
背景技术
随着经济社会不断发展,信息作为维持经济社会管理的社会基础性资源,已经成为政治、经济、国防、科技、文化等社会一切领域的基础。信息系统作为信息的主要存储、运行的平台,在各个领域发挥着重要的作用。随着信息系统的不断发展,审计机关适时的提出了信息系统审计的概念,将信息系统作为对象纳入到审计中来。近年来,各级审计机关不断加大信息系统审计的力度,大大推进了信息系统审计工作。
现有的信息系统操作行为的日志审计方案:收集信息系统各设备的登录操作日志,制定审计规则,析取日志中的操作源地址、操作设备IP、操作账号、操作内容形成标准化日志,把这些标准化日志集中存储在审计库中,审计管理员可以在审计库中通过信息系统各设备的IP地址检索该设备详细的操作。
现有的信息系统操作行为的日志审计方案中,如果对信息系统做审计,需要在审计库中,人工频繁的用设备IP检索,才能得到信息系统的操作日志,并且事后还需要人工分析日志间的关联关系,判断操作是否高危操作,审计工作繁琐,效率非常低下。
发明内容
鉴于上述问题,本发明实施例提供一种基于日志的审计方法及系统,通过计算机程序对日志数据进行分析处理,建立以信息系统为视角的操作审计视图,以实现自动化审计,大大提高审计效率和准确性的目的。
本发明实施例采用了如下技术方案:
本发明一个实施例提供了一种基于日志的审计方法,所述方法包括:
获取各系统登录操作的原始日志;
对原始日志进行内容分析,解析出日志中的源地址、操作账号、设备IP地址和操作命令;
根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统;
根据所述源地址定位操作人员,或根据源地址与操作账号的组合定位操作人员;
根据所述操作命令确定操作内容和重要级别;
建立以信息系统为索引,各信息系统对应的操作设备、操作人员、操作内容及重要级别为内容的审计视图;
监控所述审计视图中重要级别是否满足报警条件,若满足,则发起报警,并将该满足报警条件的信息系统及所对应的操作设备、操作人员、操作内容及重要级别作为一条记录,记入审计敏感信息集中,以便审计查阅分析。
所述方法还包括:实时获取各系统登录操作的原始日志;
每获取到一条新的原始日志,则在所述审计视图中对应信息系统为索引的内容中,增加该新的原始日志中解析及定位得到的本次操作设备、操作人员、操作内容及重要级别。
所述方法还包括:
预先建立操作人员关系表、信息系统关系表和第一知识库;
所述根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统具体为:
查询所述信息系统关系表,定位所述设备IP地址对应的设备,及该设备所属的信息系统;所述信息系统关系表中记录有设备IP地址和设备及设备所属信息系统的对应关系;
所述根据所述源地址定位操作人员具体为:
查询所述操作人员关系表,定位所述源地址对应的操作人员;所述操作人员关系表中记录有操作人员和源地址的对应关系;
所述根据源地址与操作账号的组合定位操作人员具体为:
查询所述操作人员关系表,定位所述源地址与操作账号的组合对应的操作人员;所述操作人员关系表中记录有所述组合和源地址的对应关系;
所述根据所述操作命令确定操作内容和重要级别具体为:
查询所述第一知识库,定位所述操作命令对应的操作内容和重要级别;所述第一知识库中记录有操作命令与操作内容和重要级别的对应关系。
所述方法还包括:对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系。
所述对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系具体为:
在所述预定周期内,判断若新增的内容中某一操作命令被执行的频率超出预置值,则将该操作命令的重要级别修正为高,并在所述第二知识库中增加该操作命令与操作内容和修正后重要级别的对应关系;
所述方法还包括:在所述预定周期内,判断若新增的内容中所述某一操作命令被执行的频率低于所述预置值,则在所述第二知识库中删除该操作命令与操作内容和修正后重要级别的对应关系。
根据所述操作命令确定重要级别具体为:
查询所述第一知识库和第二知识库,若在所述第一知识库和第二知识库中定位所述操作命令对应的重要级别不一致,则以第二知识库中定位的重要级别为该操作命令对应的重要级别。
另外,本发明实施例还提供了一种基于日志的审计系统,所述系统包括:
获取模块,用于获取各系统登录操作的原始日志;
内容解析模块,用于对原始日志进行内容分析,解析出日志中的源地址、操作账号、设备IP地址和操作命令;
设备定位模块,用于根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统;
操作人员定位模块,用于根据所述源地址定位操作人员,或根据源地址与操作账号的组合定位操作人员;
操作级别确定模块,用于根据所述操作命令确定操作内容和重要级别;
审计视图建立模块,用于建立以信息系统为索引,各信息系统对应的操作设备、操作人员、操作内容及重要级别为内容的审计视图;
监控报警记录模块,用于监控所述审计视图中重要级别是否满足报警条件,若满足,则发起报警,并将该满足报警条件的信息系统及所对应的操作设备、操作人员、操作内容及重要级别作为一条记录,记入审计敏感信息集中,以便审计查阅分析。
所述系统还包括操作人员关系表、信息系统关系表和第一知识库;
所述设备定位模块,具体用于查询所述信息系统关系表,定位所述设备IP地址对应的设备,及该设备所属的信息系统;所述信息系统关系表中记录有设备IP地址和设备及设备所属信息系统的对应关系;
所述操作人员定位模块,具体包括第一人员定位单元和第二人员定位单元,
所述第一人员定位单元,用于查询所述操作人员关系表,定位所述源地址对应的操作人员;所述操作人员关系表中记录有操作人员和源地址的对应关系;
所述第二人员定位单元,用于查询所述操作人员关系表,定位所述源地址与操作账号的组合对应的操作人员;所述操作人员关系表中记录有所述组合和源地址的对应关系;
所述操作级别确定模块,具体用于查询所述第一知识库,定位所述操作命令对应的操作内容和重要级别;所述第一知识库中记录有操作命令与操作内容和重要级别的对应关系。
所述系统还包括第二知识库和修正模块,所述修正模块用于对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系;
所述修正模块具体包括:
判断单元,用于在所述预定周期内,判断若新增的内容中某一操作命令被执行的频率超出预置值;
修正单元,用于当所述判断单元的判断结果为是,则将该操作命令的重要级别修正为高;
增加单元,用于在所述第二知识库中增加该操作命令与操作内容和修正后重要级别的对应关系;
所述修正模块还包括删除单元,用于在所述预定周期内,判断若新增的内容中所述某一操作命令被执行的频率低于所述预置值,则在所述第二知识库中删除该操作命令与操作内容和修正后重要级别的对应关系。
所述操作级别确定模块具体用于:
查询所述第一知识库和第二知识库,若在所述第一知识库和第二知识库中定位所述操作命令对应的重要级别不一致,则以第二知识库中定位的重要级别为该操作命令对应的重要级别。
可见,本发明实施例提供一种基于日志的审计方法及系统,通过计算机程序对日志数据进行分析处理,建立以信息系统为视角的操作审计视图,能够对某信息系统中被操作的设备、具体操作人员、对应的操作内容及是否关键操作等信息进行自动监控及报警,无需人工干预,实现自动化审计,大大提高审计效率和准确性的目的。
附图说明
图1为本发明实施例提供的一种基于日志的审计方法流程图;
图2为本发明实施例提供的基于日志的审计方法的一个具体实例的逻辑层次示意图;
图3为本发明实施例提供的一种基于日志的审计系统结构框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
为了从海量日志中审计出操作人员的行为,本发明实施例提出一种以操作人员为视角的信息系统操作审计日志组织方法。本发明实施例要解决的技术问题是:解决审计管理员面对海量日志无法高效对操作人员的操作行为审计,即通过计算机程序对日志数据进行分析处理,建立以操作人员为视角的操作审计视图,以实现自动化审计,大大提高审计效率和准确性的目的。
参见图1,本发明实施例提供一种日志审计方法,具体包括如下步骤:
S101:获取各系统登录操作的原始日志。
S102:对原始日志进行内容分析,解析出日志中的源地址、操作账号、设备IP地址和操作命令。
S103:根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统。
S104:根据所述源地址定位操作人员,或根据源地址与操作账号的组合定位操作人员。
S105:根据所述操作命令确定操作内容和重要级别。
优选的,本发明实施例还包括:
预先建立操作人员关系表、信息系统关系表和第一知识库。
相应的,上述步骤S103根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统具体为:
查询所述信息系统关系表,定位所述设备IP地址对应的设备,及该设备所属的信息系统;所述信息系统关系表中记录有设备IP地址和设备及设备所属信息系统的对应关系。
所述操作人员关系表中记录有操作人员和源地址的对应关系,则上述步骤S104根据所述源地址定位操作人员具体为:查询所述操作人员关系表,定位所述源地址对应的操作人员。
所述操作人员关系表中记录有所述组合和源地址的对应关系,则上述步骤S104根据源地址与操作账号的组合定位操作人员具体为:查询所述操作人员关系表,定位所述源地址与操作账号的组合对应的操作人员。
上述步骤S105根据所述操作命令确定操作内容和重要级别具体为:
查询所述第一知识库,定位所述操作命令对应的操作内容和重要级别;所述第一知识库中记录有操作命令与操作内容和重要级别的对应关系。
S106:建立以信息系统为索引,各信息系统对应的操作设备、操作人员、操作内容及重要级别为内容的审计视图。
具体的,所述方法还包括:实时获取各系统登录操作的原始日志。
每获取到一条新的原始日志,则在所述审计视图中对应信息系统为索引的内容中,增加该新的原始日志中解析及定位得到的本次操作设备、操作人员、操作内容及重要级别。
也就是说,本发明实施例提供的方法是一个不断更新的过程,即随着原始日志的不断获取,没获取到一条新的原始日志,则在审计视图中对应该信息系统为索引的内容中,增加该新的原始日志中根据上述步骤S102-S105解析及定位得到的本次操作设备、操作人员、操作内容及重要级别。当然,若审计视图中没有该信息系统,则在审计视图中以该信息系统为索引新建一条记录,并添加该信息系统对应的本次操作设备、操作人员、操作内容及重要级别。
优选的,为了进一步提升审计结果的准确性,本发明另一实施例中还包括有第二知识库,相应的,还包括如下步骤:
对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系。
具体的,不断统计一定周期内(如最近一周时间内)的新记录,分析这些记录中是否有满足修正条件的记录,若有,则对满足修正条件的操作命令的重要级别进行修正,并在第二知识库中记录该操作命令与操作内容和修正后重要级别的对应关系。
举例说明,上述对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系的一种具体实施方式可以为:
在所述预定周期内,判断若新增的内容中某一操作命令被执行的频率超出预置值,则将该操作命令的重要级别修正为高,并在所述第二知识库中增加该操作命令与操作内容和修正后重要级别的对应关系。
也就是说,若在一定周期内,某项操作命令被执行的过于频繁,则认为在该段时间内,该项操作命令相对重要,需要审计中对其进行关注,因此,修改该项操作命令的重要级别为高级别,并在第二知识库中增加该记录,体现其当前的重要程度。
相应的,本发明实施例提供的方法还包括:在所述预定周期内,判断若新增的内容中所述某一操作命令被执行的频率低于所述预置值,则在所述第二知识库中删除该操作命令与操作内容和修正后重要级别的对应关系。
可见,第一知识库相对稳定,第二知识库中的内容会实时更新,主要用于体现最近某一时间段内的情况。
基于第二知识库存在的具体实施例中,根据所述操作命令确定重要级别具体为:
查询所述第一知识库和第二知识库,若在所述第一知识库和第二知识库中定位所述操作命令对应的重要级别不一致,则以第二知识库中定位的重要级别为该操作命令对应的重要级别。也就是说,当第一知识库和第二知识库中查询到的重要级别不一致时,以第二知识库为准。
S107:监控所述审计视图中重要级别是否满足报警条件,若满足,则发起报警,并将该满足报警条件的信息系统及所对应的操作设备、操作人员、操作内容及重要级别作为一条记录,记入审计敏感信息集中,以便审计查阅分析。
可见,本发明实施例提供的一种基于日志的审计方法,通过计算机程序对日志数据进行分析处理,建立以信息系统为视角的操作审计视图,能够对某信息系统中被操作的设备、具体操作人员、对应的操作内容及是否关键操作等信息进行自动监控及报警,无需人工干预,实现自动化审计,大大提高审计效率和准确性的目的。
以下为本发明实施例的一个具体实例,用于举例具体说明。参见图2,具体示出本具体实例方法所基于的逻辑层次图。
在该实例中,具体建立了一条以信息系统->设备->操作人员->操作内容->是否关键操作(即重要级别)的信息系统视角完整审计信息链。
处理步骤具体为:
1.基础数据维护:根据IT环境定义各信息系统,并将设备按信息系统分类,在数据库中建立信息系统分类表维护信息系统、设备类型、设备IP的对应关系;将源地址、操作账号与操作人员绑定,建立操作人员表,维护源地址、操作账号与操作人员的对应关系;为操作内容/命令建立一套重要级别知识库,维护操作内容/命令与重要级别的对应关系。
2.日志内容分析:收集各系统的登录操作日志,进行日志分析,析取日志中的源地址、被操作设备IP、操作命令、操作账号等字段。
3.设备定位:析取日志中的设备IP,通过信息系统分类表查找到该IP对应的设备,并获得该设备所属的信息系统。
4.操作人员定位:析取日志中的源地址与操作账号,通过源地址或者源地址与操作账号的组合在操作人员表中查找到对应的操作人员。
5.操作重要级别定位:用日志中析取出来的操作命令在知识库中查找相应的重要级别;
6.建立一张以信息系统为视角的操作审计视图,记录日志中对应出的设备、操作人员、操作内容、是否关键操作等字段,完成信息系统->设备->操作人员->操作内容->是否关键操作的信息系统视角完整审计信息链。
可见,自动对操作人员进行分类,审计人员可以以业务部门下的人员为主线,查看其操作过哪些设备、产生的操作、操作设备发生的告警信息,全面、准确的监控重点人员在重要设备上的敏感操作。
另外,参见图3,本发明实施例提供了一种基于日志的审计系统,所述系统具体包括:
获取模块301,用于获取各系统登录操作的原始日志;
内容解析模块302,用于对原始日志进行内容分析,解析出日志中的源地址、操作账号、设备IP地址和操作命令;
设备定位模块303,用于根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统;
操作人员定位模块304,用于根据所述源地址定位操作人员,或根据源地址与操作账号的组合定位操作人员;
操作级别确定模块305,用于根据所述操作命令确定操作内容和重要级别;
审计视图建立模块306,用于建立以信息系统为索引,各信息系统对应的操作设备、操作人员、操作内容及重要级别为内容的审计视图;
监控报警记录模块307,用于监控所述审计视图中重要级别是否满足报警条件,若满足,则发起报警,并将该满足报警条件的信息系统及所对应的操作设备、操作人员、操作内容及重要级别作为一条记录,记入审计敏感信息集中,以便审计查阅分析。
具体的,本发明实施例提供的系统还包括实时更新模块,用于实时获取各系统登录操作的原始日志;每获取到一条新的原始日志,则在所述审计视图中对应信息系统为索引的内容中,增加该新的原始日志中解析及定位得到的本次操作设备、操作人员、操作内容及重要级别。
优选的,本发明实施例提供的系统还包括操作人员关系表、信息系统关系表和第一知识库。
相应的,上述设备定位模块,具体用于查询所述信息系统关系表,定位所述设备IP地址对应的设备,及该设备所属的信息系统;所述信息系统关系表中记录有设备IP地址和设备及设备所属信息系统的对应关系。
上述操作人员定位模块,具体包括第一人员定位单元和第二人员定位单元:
所述第一人员定位单元,用于查询所述操作人员关系表,定位所述源地址对应的操作人员;所述操作人员关系表中记录有操作人员和源地址的对应关系。
所述第二人员定位单元,用于查询所述操作人员关系表,定位所述源地址与操作账号的组合对应的操作人员;所述操作人员关系表中记录有所述组合和源地址的对应关系。
上述操作级别确定模块,具体用于查询所述第一知识库,定位所述操作命令对应的操作内容和重要级别;所述第一知识库中记录有操作命令与操作内容和重要级别的对应关系。
进一步的,本发明实施例提供的系统还包括第二知识库和修正模块,所述修正模块用于对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系。
具体的,所述修正模块具体包括如下单元:
判断单元,用于在所述预定周期内,判断若新增的内容中某一操作命令被执行的频率超出预置值;
修正单元,用于当所述判断单元的判断结果为是,则将该操作命令的重要级别修正为高;
增加单元,用于在所述第二知识库中增加该操作命令与操作内容和修正后重要级别的对应关系。
相应的,修正模块还包括删除单元,用于在所述预定周期内,判断若新增的内容中所述某一操作命令被执行的频率低于所述预置值,则在所述第二知识库中删除该操作命令与操作内容和修正后重要级别的对应关系。
基于第二知识库存在的实施例中,所述操作级别确定模块具体用于:
查询所述第一知识库和第二知识库,若在所述第一知识库和第二知识库中定位所述操作命令对应的重要级别不一致,则以第二知识库中定位的重要级别为该操作命令对应的重要级别。
需要说明的是,本发明系统实施例中的各个模块或者子模块的工作原理和处理过程可以参见上述图1及图2所示方法实施例中的相关描述,此处不再赘述。
可见,本发明实施例提供的一种基于日志的审计方法,通过计算机程序对日志数据进行分析处理,建立以信息系统为视角的操作审计视图,能够对某信息系统中被操作的设备、具体操作人员、对应的操作内容及是否关键操作等信息进行自动监控及报警,无需人工干预,实现自动化审计,大大提高审计效率和准确性的目的。
为了便于清楚描述本发明实施例的技术方案,在发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定。
本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,包括如下步骤:(方法的步骤),所述的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (10)
1.一种基于日志的审计方法,其特征在于,所述方法包括:
获取各系统登录操作的原始日志;
对原始日志进行内容分析,解析出日志中的源地址、操作账号、设备IP地址和操作命令;
根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统;
根据所述源地址定位操作人员,或根据源地址与操作账号的组合定位操作人员;
根据所述操作命令确定操作内容和重要级别;
建立以信息系统为索引,各信息系统对应的操作设备、操作人员、操作内容及重要级别为内容的审计视图;
监控所述审计视图中重要级别是否满足报警条件,若满足,则发起报警,并将该满足报警条件的信息系统及所对应的操作设备、操作人员、操作内容及重要级别作为一条记录,记入审计敏感信息集中,以便审计查阅分析;
该方法还包括:预先建立操作人员关系表、信息系统关系表和第一知识库;
所述根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统具体为:
查询所述信息系统关系表,定位所述设备IP地址对应的设备,及该设备所属的信息系统;所述信息系统关系表中记录有设备IP地址和设备及设备所属信息系统的对应关系。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:实时获取各系统登录操作的原始日志;
每获取到一条新的原始日志,则在所述审计视图中对应信息系统为索引的内容中,增加该新的原始日志中解析及定位得到的本次操作设备、操作人员、操作内容及重要级别。
3.根据权利要求1所述的方法,其特征在于,
所述根据所述源地址定位操作人员具体为:
查询所述操作人员关系表,定位所述源地址对应的操作人员;所述操作人员关系表中记录有操作人员和源地址的对应关系;
所述根据源地址与操作账号的组合定位操作人员具体为:
查询所述操作人员关系表,定位所述源地址与操作账号的组合对应的操作人员;所述操作人员关系表中记录有所述组合和源地址的对应关系;
所述根据所述操作命令确定操作内容和重要级别具体为:
查询所述第一知识库,定位所述操作命令对应的操作内容和重要级别;所述第一知识库中记录有操作命令与操作内容和重要级别的对应关系。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系。
5.根据权利要求4所述的方法,其特征在于,所述对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系具体为:
在所述预定周期内,判断若新增的内容中某一操作命令被执行的频率超出预置值,则将该操作命令的重要级别修正为高,并在所述第二知识库中增加该操作命令与操作内容和修正后重要级别的对应关系;
所述方法还包括:在所述预定周期内,判断若新增的内容中所述某一操作命令被执行的频率低于所述预置值,则在所述第二知识库中删除该操作命令与操作内容和修正后重要级别的对应关系。
6.根据权利要求5所述的方法,其特征在于,根据所述操作命令确定重要级别具体为:
查询所述第一知识库和第二知识库,若在所述第一知识库和第二知识库中定位所述操作命令对应的重要级别不一致,则以第二知识库中定位的重要级别为该操作命令对应的重要级别。
7.一种基于日志的审计系统,其特征在于,所述系统包括:
获取模块,用于获取各系统登录操作的原始日志;
内容解析模块,用于对原始日志进行内容分析,解析出日志中的源地址、操作账号、设备IP地址和操作命令;
设备定位模块,用于根据所述设备IP地址定位所操作的设备,并获取该设备所属的信息系统;
操作人员定位模块,用于根据所述源地址定位操作人员,或根据源地址与操作账号的组合定位操作人员;
操作级别确定模块,用于根据所述操作命令确定操作内容和重要级别;
审计视图建立模块,用于建立以信息系统为索引,各信息系统对应的操作设备、操作人员、操作内容及重要级别为内容的审计视图;
监控报警记录模块,用于监控所述审计视图中重要级别是否满足报警条件,若满足,则发起报警,并将该满足报警条件的信息系统及所对应的操作设备、操作人员、操作内容及重要级别作为一条记录,记入审计敏感信息集中,以便审计查阅分析;
所述系统还包括操作人员关系表、信息系统关系表和第一知识库;
所述设备定位模块,具体用于查询所述信息系统关系表,定位所述设备IP地址对应的设备,及该设备所属的信息系统;所述信息系统关系表中记录有设备IP地址和设备及设备所属信息系统的对应关系。
8.根据权利要求7所述的系统,其特征在于,
所述操作人员定位模块,具体包括第一人员定位单元和第二人员定位单元,
所述第一人员定位单元,用于查询所述操作人员关系表,定位所述源地址对应的操作人员;所述操作人员关系表中记录有操作人员和源地址的对应关系;
所述第二人员定位单元,用于查询所述操作人员关系表,定位所述源地址与操作账号的组合对应的操作人员;所述操作人员关系表中记录有所述组合和源地址的对应关系;
所述操作级别确定模块,具体用于查询所述第一知识库,定位所述操作命令对应的操作内容和重要级别;所述第一知识库中记录有操作命令与操作内容和重要级别的对应关系。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括第二知识库和修正模块,所述修正模块用于对预定周期内审计视图中新增的内容进行分析,对于满足修正条件的记录,在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系;
所述修正模块具体包括:
判断单元,用于在所述预定周期内,判断若新增的内容中某一操作命令被执行的频率超出预置值;
修正单元,用于当所述判断单元的判断结果为是,则将该操作命令的重要级别修正为高;
增加单元,用于在所述第二知识库中增加该操作命令与操作内容和修正后重要级别的对应关系;
所述修正模块还包括删除单元,用于在所述预定周期内,判断若新增的内容中所述某一操作命令被执行的频率低于所述预置值,则在所述第二知识库中删除该操作命令与操作内容和修正后重要级别的对应关系。
10.根据权利要求9所述的系统,其特征在于,所述操作级别确定模块具体用于:
查询所述第一知识库和第二知识库,若在所述第一知识库和第二知识库中定位所述操作命令对应的重要级别不一致,则以第二知识库中定位的重要级别为该操作命令对应的重要级别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310359606.XA CN104376023B (zh) | 2013-08-16 | 2013-08-16 | 一种基于日志的审计方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201310359606.XA CN104376023B (zh) | 2013-08-16 | 2013-08-16 | 一种基于日志的审计方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104376023A CN104376023A (zh) | 2015-02-25 |
CN104376023B true CN104376023B (zh) | 2017-08-04 |
Family
ID=52554937
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201310359606.XA Active CN104376023B (zh) | 2013-08-16 | 2013-08-16 | 一种基于日志的审计方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104376023B (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106815125A (zh) * | 2015-12-02 | 2017-06-09 | 阿里巴巴集团控股有限公司 | 一种日志审计方法及平台 |
CN106326085A (zh) * | 2016-08-16 | 2017-01-11 | 成都菜鸟网络技术有限公司 | 电力信息日志审计方法 |
CN106651183B (zh) * | 2016-12-26 | 2020-04-10 | 英赛克科技(北京)有限公司 | 工控系统的通信数据安全审计方法及装置 |
CN108768719A (zh) * | 2018-05-23 | 2018-11-06 | 郑州信大天瑞信息技术有限公司 | 一种应用操作日志审计系统 |
CN109168025B (zh) * | 2018-09-28 | 2021-01-29 | 成都安恒信息技术有限公司 | 一种跨平台的可标记审计视频敏感操作的视频播放方法 |
CN109885554A (zh) * | 2018-12-20 | 2019-06-14 | 顺丰科技有限公司 | 数据库安全审计方法、系统及计算机可读存储介质 |
CN109800140A (zh) * | 2018-12-27 | 2019-05-24 | 北京奇安信科技有限公司 | 业务告警事件起因分析的方法、装置、设备及介质 |
CN110134653B (zh) * | 2019-05-17 | 2021-09-07 | 杭州安恒信息技术股份有限公司 | 一种利用日志辅助数据库审计方法及系统 |
CN112346938B (zh) * | 2019-08-08 | 2023-05-26 | 腾讯科技(深圳)有限公司 | 操作审计方法、装置及服务器和计算机可读存储介质 |
CN110796335B (zh) * | 2019-09-18 | 2023-12-22 | 广东电网有限责任公司审计中心 | 一种基于数据分析的审计项目实施质量监测系统和设备 |
CN110908858B (zh) * | 2019-10-12 | 2022-10-25 | 中国平安财产保险股份有限公司 | 基于双漏斗结构的日志类样本抽样方法及相关装置 |
CN113536304B (zh) * | 2021-08-04 | 2023-10-13 | 久盈世纪(北京)科技有限公司 | 一种基于运维审计系统的防绕行方法及设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100817799B1 (ko) * | 2006-10-13 | 2008-03-31 | 한국정보보호진흥원 | 다중 취약점 점검 도구를 활용한 네트워크 취약점 통합분석 시스템 및 방법 |
CN101242658A (zh) * | 2008-03-11 | 2008-08-13 | 金柘苗 | 移动信息化多层级网络安全审计系统 |
CN102082704A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团河北有限公司 | 安全监控方法及系统 |
CN101848104B (zh) * | 2010-03-17 | 2011-05-18 | 深圳市易聆科信息技术有限公司 | 一种网管系统的记录方法、装置及计算机设备 |
CN103166794A (zh) * | 2013-02-22 | 2013-06-19 | 中国人民解放军91655部队 | 一种具有一体化安全管控功能的信息安全管理方法 |
-
2013
- 2013-08-16 CN CN201310359606.XA patent/CN104376023B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN104376023A (zh) | 2015-02-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104376023B (zh) | 一种基于日志的审计方法及系统 | |
CN109977689B (zh) | 一种数据库安全审计方法、装置及电子设备 | |
CN108763957A (zh) | 一种数据库的安全审计系统、方法及服务器 | |
CN108197261A (zh) | 一种智慧交通操作系统 | |
CN113765881A (zh) | 异常网络安全行为的检测方法、装置、电子设备及存储介质 | |
WO2019041774A1 (zh) | 一种客户信息筛选方法、装置、电子设备及介质 | |
CN102034148A (zh) | 一种监控系统的事件预警及防风暴策略的实现方法 | |
JP2008192091A (ja) | ログ分析プログラム、ログ分析装置及びログ分析方法 | |
CN102609537A (zh) | 一种基于数据库模式下的数据质量审计方法 | |
CN111310803B (zh) | 环境数据处理方法和装置 | |
CN107733902A (zh) | 一种目标数据扩散过程的监控方法及装置 | |
CN104376254B (zh) | 一种日志审计方法及系统 | |
CN115883236A (zh) | 电网智能终端协同攻击监测系统 | |
CN110929896A (zh) | 一种系统设备的安全分析方法及装置 | |
CN104579771B (zh) | 一种对用户登录登出应用系统的行为轨迹的分析方法 | |
CN115378711A (zh) | 一种工控网络的入侵检测方法和系统 | |
CN116629677A (zh) | 一种人力资源工作分析用数据统计系统 | |
CN111339050B (zh) | 一种基于大数据平台集中安全审计的方法及系统 | |
CN113709170A (zh) | 资产安全运营系统、方法和装置 | |
CN102945254A (zh) | 在tb级海量审计数据中发现异常数据的方法 | |
CN106156046B (zh) | 一种信息化管理方法、装置、系统及分析设备 | |
CN109933798A (zh) | 一种审计日志分析方法及装置 | |
CN113285824B (zh) | 一种监控网络配置命令安全性的方法及装置 | |
CN109697602B (zh) | 一种用于规费征稽的数据处理系统 | |
CN115187122A (zh) | 一种企业政策推演方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP02 | Change in the address of a patent holder | ||
CP02 | Change in the address of a patent holder |
Address after: Room 818, 8 / F, 34 Haidian Street, Haidian District, Beijing 100080 Patentee after: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. Address before: 100089 Beijing city Haidian District wanquanzhuang Road No. 28 Wanliu new building 6 storey block A Room 601 Patentee before: BEIJING ULTRAPOWER SOFTWARE Co.,Ltd. |