CN105049232B - 网络信息日志审计系统 - Google Patents

网络信息日志审计系统 Download PDF

Info

Publication number
CN105049232B
CN105049232B CN201510343182.7A CN201510343182A CN105049232B CN 105049232 B CN105049232 B CN 105049232B CN 201510343182 A CN201510343182 A CN 201510343182A CN 105049232 B CN105049232 B CN 105049232B
Authority
CN
China
Prior art keywords
log
information
user
behavior
subsystem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201510343182.7A
Other languages
English (en)
Other versions
CN105049232A (zh
Inventor
屈立笳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Aierpu Science & Technology Co Ltd
Original Assignee
Chengdu Aierpu Science & Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Aierpu Science & Technology Co Ltd filed Critical Chengdu Aierpu Science & Technology Co Ltd
Priority to CN201510343182.7A priority Critical patent/CN105049232B/zh
Publication of CN105049232A publication Critical patent/CN105049232A/zh
Application granted granted Critical
Publication of CN105049232B publication Critical patent/CN105049232B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/069Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种网络信息日志审计系统,它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统;所述的数据采集子系统包括多台部署有审计探针的主机,用于对日志的采集和重组;所述的数据中心子系统用于对审计日志的分析处理,并将结果发送至存储子系统进行保存;所述的用户接口子系统提供用户访问存储子系统的接口,查看具体的日志数据以及审查报表。本发明作为网络用户行为审计与责任管理系统的前端数据采集设备,以网络数据流高速采集、数据包重组、协议还原为核心技术,用于获取用户的网络信息,进行网络行为日志的取证与展现。

Description

网络信息日志审计系统
技术领域
本发明涉及一种网络信息日志审计系统。
背景技术
网络用户行为审计与责任管理系统是一套为弥补传统网络信息审计手段的不足,帮助用户完善其行为合规性监测和管理的安全管理业务系统。
网络监测与终端取证技术为基础;以业务制度技术性转化为核心;将网络行为合规态势、安全事件行为链重现及行为主体责任落地作为输出。
帮助用户从宏观上把控目标信息网络的整体行为合规态势;从微观上深入透析具体事件行为细节,对行为主体进行责任认定。
通过系统的使用建立起以用户自身安全制度、行业法规为依据的安全管理业务,形成用户自主的安全管理业务体系。借此来解决过往制度难以落地、态势难以掌控、责任难以到人的问题,并为用户下一步安全管理工作提供建议和方向。
而网络信息日志审计系统作为网络用户行为审计与责任管理系统的前端数据采集设备,作用至关重要。
发明内容
本发明的目的在于克服现有技术的不足,提供一种网络信息日志审计系统,作为网络用户行为审计与责任管理系统的前端数据采集设备,解决现有技术采集日志类型少以及没有对日志进行还原步骤,导致后期责任认定难以进行的问题。
本发明的目的是通过以下技术方案来实现的:网络信息日志审计系统,它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统;所述的数据采集子系统包括多台部署有审计探针的主机,用于对日志的采集和重组;所述的数据中心子系统用于对审计日志的分析处理,并将结果发送至存储子系统进行保存;所述的用户接口子系统提供用户访问存储子系统的接口,查看具体的日志数据以及审查报表;
所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志;所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志;所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志;所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览;
所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志;所述的数据库日志为记录各类数据库的操作和用户信息的日志;所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志;所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息,还包括即时聊天软件点对点传输文件的以及文件名的信息;所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志,包括TELNET协议、WINDOWS远程桌面和SSH;所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志,包括收件人、主题、抄送、正文、附件;
所述的数据采集子系统对网络数据流进行高速采集,所述的网络数据流为分片结构;在收到所有的日志数据包的分片后,根据日志数据包首部中保存的信息,重组最初的日志数据包;
所述的数据中心子系统对重组后的日志数据包进行还原处理,对网络行为进行取证:其中,对于HTTP协议、SMTP协议、POP3协议、TELNET协议、FTP协议和DNS协议的日志,进行内容层的深度还原;对于基于HTTP协议的发布和浏览的日志,在进行内容还原同时进行分类展示;对于即时通讯日志、远程控制日志,进行相关的用户行为以及操作还原;对于数据库日志,还原用户对数据库的操作。
所述的娱乐软件包括网络流媒体、听歌软件、看电影软件和网络游戏软件。
所述的日志保存5元组信息、时间、会话和流量信息。
所述的分类展示包括微博、新闻、网页和邮箱。
所述的各类数据库包括MySql、Orcal和SQLserver。
本发明的有益效果是:本发明作为网络用户行为审计与责任管理系统的前端数据采集设备,以网络数据流高速采集、数据包重组、协议还原为核心技术,用于获取用户的网络信息,进行网络行为日志的取证与展现;采集日志的类型包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志、邮件日志,并且根据不同的类型有不同的还原方式,为后期责任认定打下基础。
附图说明
图1为本发明结构方框图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案:如图1所示,网络信息日志审计系统,它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统;所述的数据采集子系统包括多台部署有审计探针的主机,用于对日志的采集和重组;所述的数据中心子系统用于对审计日志的分析处理,并将结果发送至存储子系统进行保存;所述的用户接口子系统提供用户访问存储子系统的接口,查看具体的日志数据以及审查报表;
所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志;所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志;所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志;所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览;
所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志;所述的数据库日志为记录各类数据库的操作和用户信息的日志;所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志;所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息,还包括即时聊天软件点对点传输文件的以及文件名的信息;所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志,包括TELNET协议、WINDOWS远程桌面和SSH;所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志,包括收件人、主题、抄送、正文、附件;
所述的数据采集子系统对网络数据流进行高速采集,所述的网络数据流为分片结构;在收到所有的日志数据包的分片后,根据日志数据包首部中保存的信息,重组最初的日志数据包;
所述的数据中心子系统对重组后的日志数据包进行还原处理,对网络行为进行取证:其中,对于HTTP协议、SMTP协议、POP3协议、TELNET协议、FTP协议和DNS协议的日志,进行内容层的深度还原;对于基于HTTP协议的发布和浏览的日志,在进行内容还原同时进行分类展示;对于即时通讯日志、远程控制日志,进行相关的用户行为以及操作还原;对于数据库日志,还原用户对数据库的操作。
所述的娱乐软件包括网络流媒体、听歌软件、看电影软件和网络游戏软件。
所述的日志保存5元组信息、时间、会话和流量信息。
所述的分类展示包括微博、新闻、网页和邮箱。
所述的各类数据库包括MySql、Orcal和SQLserver。
前端数据采集,后端为数据分析:
所述的后端包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块;
所述的用户基础信息模块包括存储用户组织机构信息、用户人员信息和用户资产信息的第一存储单元和存储用户行为权限的第二存储单元;所述的第二存储单元包括用户级别、用户行为目标、用户行为事件以及三者对应关系的权限的列表;所述的权限包括授权、禁止和义务;
所述的日志行为提取模块提取存储子系统中各个网络行为日志中的要素,所述的要素包括行为主体、行为对象和行为事件;
所述的不合规行为判断模块将日志行为提取模块提取的结果与用户基础信息模块进行对比,进行不合规行为的判断;所述的不合规行为包括授权行为越界、禁止行为和义务行为未完成;
所述的不合规行为统计分析模块对不合规行为判断模块判断出的不合规行为进行趋势统计、分布统计以及数据挖掘分析,并采用积分算法对用户当前网络行为合规程度进行评分:当合规程度达不到预设阀值,则发送信息至所述的通知模块,通知模块通知管理员,管理员通过控制访问流量模块断开不合规用户的访问流量。
所述的不合规行为还包括用户终端危险使用、流量异常使用。
所述的网络用户行为责任认定与管理子系统还包括一个全局行为不合规态势展示模块,所述的全局行为不合规态势展示模块用于展示当前用户的合规程度,以及禁止行为走势、授权行为越界走势、义务行为未完成走势。
所述的网络用户行为责任认定与管理子系统还包括一个修改权限模块,管理员根据不合规行为的判定结果和不合规行为态势,通过修改权限模块修改第二存储单元中的权限列表。
在所述的不合规行为判断模块无法判断日志行为提取模块提取的结果是否为不合规行为,将该行为日志进行人工分析,并根据人工分析结果进行后续处理,所述的后续处理包括不合规行为处理以及将该行为加入第二存储单元。

Claims (5)

1.网络信息日志审计系统,所述系统可作为网络用户行为审计与责任管理系统的前端数据采集设备,突破了采集日志类型少以及没有对日志进行还原步骤限制,其特征在于:它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统;所述的数据采集子系统包括多台部署有审计探针的主机,用于对日志的采集和重组;所述的数据中心子系统用于对审计日志的还原处理,并将结果发送至存储子系统进行保存;所述的用户接口子系统提供用户访问存储子系统的接口,查看具体的日志数据以及审查报表;
所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志;所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志;所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志;所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览;
所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志;所述的数据库日志为记录各类数据库的操作和用户信息的日志;所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志;所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息,还包括即时聊天软件点对点传输文件的以及文件名的信息;所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志,包括TELNET协议、WINDOWS远程桌面和SSH;所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志,包括收件人、主题、抄送、正文、附件;
所述的数据采集子系统对网络数据流进行高速采集,所述的网络数据流为分片结构;在收到所有的日志数据包的分片后,根据日志数据包首部中保存的信息,重组最初的日志数据包;
所述的数据中心子系统对重组后的日志数据包进行还原处理,对网络行为进行取证:其中,对于HTTP协议、SMTP协议、POP3协议、TELNET协议、FTP协议和DNS协议的日志,进行内容层的深度还原;对于基于HTTP协议的发布和浏览的日志,在进行内容还原同时进行分类展示;对于即时通讯日志、远程控制日志,进行相关的用户行为以及操作还原;对于数据库日志,还原用户对数据库的操作;
所述系统的后端包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块;
所述的用户基础信息模块包括存储用户组织机构信息、用户人员信息和用户资产信息的第一存储单元和存储用户行为权限的第二存储单元;所述的第二存储单元包括用户级别、用户行为目标、用户行为事件以及三者对应关系的权限的列表;所述的权限包括授权、禁止和义务;
所述的日志行为提取模块提取存储子系统中各个网络行为日志中的要素,所述的要素包括行为主体、行为对象和行为事件;
所述的不合规行为判断模块将日志行为提取模块提取的结果与用户基础信息模块进行对比,进行不合规行为的判断;所述的不合规行为包括授权行为越界、禁止行为和义务行为未完成;
所述的不合规行为统计分析模块对不合规行为判断模块判断出的不合规行为进行趋势统计、分布统计以及数据挖掘分析,并采用积分算法对用户当前网络行为合规程度进行评分:当合规程度达不到预设阀值,则发送信息至所述的通知模块,通知模块通知管理员,管理员通过控制访问流量模块断开不合规用户的访问流量。
2.根据权利要求1所述的网络信息日志审计系统,其特征在于:所述的娱乐软件包括网络流媒体、听歌软件、看电影软件和网络游戏软件。
3.根据权利要求1所述的网络信息日志审计系统,其特征在于:所述的日志保存5元组信息、时间、会话和流量信息。
4.根据权利要求1所述的网络信息日志审计系统,其特征在于:所述的分类展示包括微博、新闻、网页和邮箱。
5.根据权利要求1所述的网络信息日志审计系统,其特征在于:所述的各类数据库包括MySql、Orcal和SQLserver。
CN201510343182.7A 2015-06-19 2015-06-19 网络信息日志审计系统 Expired - Fee Related CN105049232B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510343182.7A CN105049232B (zh) 2015-06-19 2015-06-19 网络信息日志审计系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510343182.7A CN105049232B (zh) 2015-06-19 2015-06-19 网络信息日志审计系统

Publications (2)

Publication Number Publication Date
CN105049232A CN105049232A (zh) 2015-11-11
CN105049232B true CN105049232B (zh) 2019-06-21

Family

ID=54455454

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510343182.7A Expired - Fee Related CN105049232B (zh) 2015-06-19 2015-06-19 网络信息日志审计系统

Country Status (1)

Country Link
CN (1) CN105049232B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107404465B (zh) * 2016-05-20 2020-08-04 阿里巴巴集团控股有限公司 网络数据分析方法及服务器
CN106250397B (zh) * 2016-07-19 2019-12-31 中国科学院计算机网络信息中心 一种用户行为特征的分析方法及装置
CN106776942B (zh) * 2016-11-30 2019-10-15 任子行网络技术股份有限公司 一种网络审计日志的传输保存系统和方法
CN107659560A (zh) * 2017-08-28 2018-02-02 国家计算机网络与信息安全管理中心 一种用于海量网络数据流日志处理的异常审计方法
CN108040053A (zh) * 2017-12-13 2018-05-15 北京明朝万达科技股份有限公司 一种基于dns日志数据的网络安全威胁分析方法及系统
CN111488572B (zh) * 2020-03-27 2024-01-19 杭州迪普科技股份有限公司 用户行为分析日志生成方法、装置、电子设备及介质
CN111865725B (zh) * 2020-07-29 2022-09-23 平安健康保险股份有限公司 基于日志的流量消耗分析方法及系统
CN113596008A (zh) * 2021-07-23 2021-11-02 国网安徽省电力有限公司铜陵供电公司 一种基于微传感器技术的网络安全常态监控系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1503541B1 (fr) * 2003-08-01 2008-03-19 Alcatel Lucent Procédé et dispositif pour la mémorisation configurable de données d'équipements dans un systéme de gestion de réseau
CN101442449A (zh) * 2008-12-18 2009-05-27 中国移动通信集团浙江有限公司 一种集中访问模式下用户行为全面审计的方法
CN104268254A (zh) * 2014-10-09 2015-01-07 浪潮电子信息产业股份有限公司 一种安全态势分析统计方法
CN104484474A (zh) * 2014-12-31 2015-04-01 南京盾垒网络科技有限公司 数据库安全审计方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103138989B (zh) * 2013-02-25 2016-12-28 武汉华工安鼎信息技术有限责任公司 一种海量日志分析系统及方法
CN103473121A (zh) * 2013-08-20 2013-12-25 西安电子科技大学 一种基于云计算平台的海量图片并行处理方法
CN103957133A (zh) * 2014-04-22 2014-07-30 北京联时空网络通信设备有限公司 一种日志监测方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1503541B1 (fr) * 2003-08-01 2008-03-19 Alcatel Lucent Procédé et dispositif pour la mémorisation configurable de données d'équipements dans un systéme de gestion de réseau
CN101442449A (zh) * 2008-12-18 2009-05-27 中国移动通信集团浙江有限公司 一种集中访问模式下用户行为全面审计的方法
CN104268254A (zh) * 2014-10-09 2015-01-07 浪潮电子信息产业股份有限公司 一种安全态势分析统计方法
CN104484474A (zh) * 2014-12-31 2015-04-01 南京盾垒网络科技有限公司 数据库安全审计方法

Also Published As

Publication number Publication date
CN105049232A (zh) 2015-11-11

Similar Documents

Publication Publication Date Title
CN105049232B (zh) 网络信息日志审计系统
CN104993952A (zh) 网络用户行为审计与责任管理系统
CN104065644B (zh) 基于日志分析的cc攻击识别方法和设备
CN107395570B (zh) 基于大数据管理分析的云平台审计系统
Gianvecchio et al. Humans and bots in internet chat: measurement, analysis, and automated classification
Ohm The rise and fall of invasive ISP surveillance
RU2510982C2 (ru) Система и способ оценки пользователей для фильтрации сообщений
Liu et al. FL-GUARD: A detection and defense system for DDoS attack in SDN
EP2545680B1 (en) Behavior-based security system
CN105847717B (zh) 一种弹幕举报的方法、客户端及服务器
CN105162614A (zh) 网络用户行为审计与责任管理方法
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
CN103457909B (zh) 一种僵尸网络检测方法及装置
US20120180120A1 (en) System for data leak prevention from networks using context sensitive firewall
CN109462599A (zh) 一种蜜罐管理系统
Smys et al. Naïve Bayes and entropy based analysis and classification of humans and chat bots
CN114338064B (zh) 识别网络流量类型的方法、装置、系统、设备和存储介质
Shahbar et al. An analysis of Tor pluggable transports under adversarial conditions
Kargar et al. Censorship and collateral damage: Analyzing the Telegram ban in Iran
Lu et al. Integrating traffics with network device logs for anomaly detection
CN109600395A (zh) 一种终端网络接入控制系统的装置及实现方法
CN115840965B (zh) 一种信息安全保障模型训练方法和系统
Mariconti et al. Why allowing profile name reuse is a bad idea
Luo Model design artificial intelligence and research of adaptive network intrusion detection and defense system using fuzzy logic
CN115168830A (zh) 一种检测用户登录环境的登录方法及登录装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20190621

Termination date: 20210619

CF01 Termination of patent right due to non-payment of annual fee