CN105049232B - 网络信息日志审计系统 - Google Patents
网络信息日志审计系统 Download PDFInfo
- Publication number
- CN105049232B CN105049232B CN201510343182.7A CN201510343182A CN105049232B CN 105049232 B CN105049232 B CN 105049232B CN 201510343182 A CN201510343182 A CN 201510343182A CN 105049232 B CN105049232 B CN 105049232B
- Authority
- CN
- China
- Prior art keywords
- log
- information
- user
- behavior
- subsystem
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Debugging And Monitoring (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络信息日志审计系统,它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统;所述的数据采集子系统包括多台部署有审计探针的主机,用于对日志的采集和重组;所述的数据中心子系统用于对审计日志的分析处理,并将结果发送至存储子系统进行保存;所述的用户接口子系统提供用户访问存储子系统的接口,查看具体的日志数据以及审查报表。本发明作为网络用户行为审计与责任管理系统的前端数据采集设备,以网络数据流高速采集、数据包重组、协议还原为核心技术,用于获取用户的网络信息,进行网络行为日志的取证与展现。
Description
技术领域
本发明涉及一种网络信息日志审计系统。
背景技术
网络用户行为审计与责任管理系统是一套为弥补传统网络信息审计手段的不足,帮助用户完善其行为合规性监测和管理的安全管理业务系统。
网络监测与终端取证技术为基础;以业务制度技术性转化为核心;将网络行为合规态势、安全事件行为链重现及行为主体责任落地作为输出。
帮助用户从宏观上把控目标信息网络的整体行为合规态势;从微观上深入透析具体事件行为细节,对行为主体进行责任认定。
通过系统的使用建立起以用户自身安全制度、行业法规为依据的安全管理业务,形成用户自主的安全管理业务体系。借此来解决过往制度难以落地、态势难以掌控、责任难以到人的问题,并为用户下一步安全管理工作提供建议和方向。
而网络信息日志审计系统作为网络用户行为审计与责任管理系统的前端数据采集设备,作用至关重要。
发明内容
本发明的目的在于克服现有技术的不足,提供一种网络信息日志审计系统,作为网络用户行为审计与责任管理系统的前端数据采集设备,解决现有技术采集日志类型少以及没有对日志进行还原步骤,导致后期责任认定难以进行的问题。
本发明的目的是通过以下技术方案来实现的:网络信息日志审计系统,它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统;所述的数据采集子系统包括多台部署有审计探针的主机,用于对日志的采集和重组;所述的数据中心子系统用于对审计日志的分析处理,并将结果发送至存储子系统进行保存;所述的用户接口子系统提供用户访问存储子系统的接口,查看具体的日志数据以及审查报表;
所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志;所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志;所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志;所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览;
所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志;所述的数据库日志为记录各类数据库的操作和用户信息的日志;所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志;所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息,还包括即时聊天软件点对点传输文件的以及文件名的信息;所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志,包括TELNET协议、WINDOWS远程桌面和SSH;所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志,包括收件人、主题、抄送、正文、附件;
所述的数据采集子系统对网络数据流进行高速采集,所述的网络数据流为分片结构;在收到所有的日志数据包的分片后,根据日志数据包首部中保存的信息,重组最初的日志数据包;
所述的数据中心子系统对重组后的日志数据包进行还原处理,对网络行为进行取证:其中,对于HTTP协议、SMTP协议、POP3协议、TELNET协议、FTP协议和DNS协议的日志,进行内容层的深度还原;对于基于HTTP协议的发布和浏览的日志,在进行内容还原同时进行分类展示;对于即时通讯日志、远程控制日志,进行相关的用户行为以及操作还原;对于数据库日志,还原用户对数据库的操作。
所述的娱乐软件包括网络流媒体、听歌软件、看电影软件和网络游戏软件。
所述的日志保存5元组信息、时间、会话和流量信息。
所述的分类展示包括微博、新闻、网页和邮箱。
所述的各类数据库包括MySql、Orcal和SQLserver。
本发明的有益效果是:本发明作为网络用户行为审计与责任管理系统的前端数据采集设备,以网络数据流高速采集、数据包重组、协议还原为核心技术,用于获取用户的网络信息,进行网络行为日志的取证与展现;采集日志的类型包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志、邮件日志,并且根据不同的类型有不同的还原方式,为后期责任认定打下基础。
附图说明
图1为本发明结构方框图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案:如图1所示,网络信息日志审计系统,它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统;所述的数据采集子系统包括多台部署有审计探针的主机,用于对日志的采集和重组;所述的数据中心子系统用于对审计日志的分析处理,并将结果发送至存储子系统进行保存;所述的用户接口子系统提供用户访问存储子系统的接口,查看具体的日志数据以及审查报表;
所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志;所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志;所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志;所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览;
所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志;所述的数据库日志为记录各类数据库的操作和用户信息的日志;所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志;所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息,还包括即时聊天软件点对点传输文件的以及文件名的信息;所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志,包括TELNET协议、WINDOWS远程桌面和SSH;所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志,包括收件人、主题、抄送、正文、附件;
所述的数据采集子系统对网络数据流进行高速采集,所述的网络数据流为分片结构;在收到所有的日志数据包的分片后,根据日志数据包首部中保存的信息,重组最初的日志数据包;
所述的数据中心子系统对重组后的日志数据包进行还原处理,对网络行为进行取证:其中,对于HTTP协议、SMTP协议、POP3协议、TELNET协议、FTP协议和DNS协议的日志,进行内容层的深度还原;对于基于HTTP协议的发布和浏览的日志,在进行内容还原同时进行分类展示;对于即时通讯日志、远程控制日志,进行相关的用户行为以及操作还原;对于数据库日志,还原用户对数据库的操作。
所述的娱乐软件包括网络流媒体、听歌软件、看电影软件和网络游戏软件。
所述的日志保存5元组信息、时间、会话和流量信息。
所述的分类展示包括微博、新闻、网页和邮箱。
所述的各类数据库包括MySql、Orcal和SQLserver。
前端数据采集,后端为数据分析:
所述的后端包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块;
所述的用户基础信息模块包括存储用户组织机构信息、用户人员信息和用户资产信息的第一存储单元和存储用户行为权限的第二存储单元;所述的第二存储单元包括用户级别、用户行为目标、用户行为事件以及三者对应关系的权限的列表;所述的权限包括授权、禁止和义务;
所述的日志行为提取模块提取存储子系统中各个网络行为日志中的要素,所述的要素包括行为主体、行为对象和行为事件;
所述的不合规行为判断模块将日志行为提取模块提取的结果与用户基础信息模块进行对比,进行不合规行为的判断;所述的不合规行为包括授权行为越界、禁止行为和义务行为未完成;
所述的不合规行为统计分析模块对不合规行为判断模块判断出的不合规行为进行趋势统计、分布统计以及数据挖掘分析,并采用积分算法对用户当前网络行为合规程度进行评分:当合规程度达不到预设阀值,则发送信息至所述的通知模块,通知模块通知管理员,管理员通过控制访问流量模块断开不合规用户的访问流量。
所述的不合规行为还包括用户终端危险使用、流量异常使用。
所述的网络用户行为责任认定与管理子系统还包括一个全局行为不合规态势展示模块,所述的全局行为不合规态势展示模块用于展示当前用户的合规程度,以及禁止行为走势、授权行为越界走势、义务行为未完成走势。
所述的网络用户行为责任认定与管理子系统还包括一个修改权限模块,管理员根据不合规行为的判定结果和不合规行为态势,通过修改权限模块修改第二存储单元中的权限列表。
在所述的不合规行为判断模块无法判断日志行为提取模块提取的结果是否为不合规行为,将该行为日志进行人工分析,并根据人工分析结果进行后续处理,所述的后续处理包括不合规行为处理以及将该行为加入第二存储单元。
Claims (5)
1.网络信息日志审计系统,所述系统可作为网络用户行为审计与责任管理系统的前端数据采集设备,突破了采集日志类型少以及没有对日志进行还原步骤限制,其特征在于:它包括数据采集子系统、数据中心子系统、存储子系统和用户接口子系统;所述的数据采集子系统包括多台部署有审计探针的主机,用于对日志的采集和重组;所述的数据中心子系统用于对审计日志的还原处理,并将结果发送至存储子系统进行保存;所述的用户接口子系统提供用户访问存储子系统的接口,查看具体的日志数据以及审查报表;
所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志;所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志;所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志;所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览;
所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志;所述的数据库日志为记录各类数据库的操作和用户信息的日志;所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志;所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息,还包括即时聊天软件点对点传输文件的以及文件名的信息;所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志,包括TELNET协议、WINDOWS远程桌面和SSH;所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志,包括收件人、主题、抄送、正文、附件;
所述的数据采集子系统对网络数据流进行高速采集,所述的网络数据流为分片结构;在收到所有的日志数据包的分片后,根据日志数据包首部中保存的信息,重组最初的日志数据包;
所述的数据中心子系统对重组后的日志数据包进行还原处理,对网络行为进行取证:其中,对于HTTP协议、SMTP协议、POP3协议、TELNET协议、FTP协议和DNS协议的日志,进行内容层的深度还原;对于基于HTTP协议的发布和浏览的日志,在进行内容还原同时进行分类展示;对于即时通讯日志、远程控制日志,进行相关的用户行为以及操作还原;对于数据库日志,还原用户对数据库的操作;
所述系统的后端包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块;
所述的用户基础信息模块包括存储用户组织机构信息、用户人员信息和用户资产信息的第一存储单元和存储用户行为权限的第二存储单元;所述的第二存储单元包括用户级别、用户行为目标、用户行为事件以及三者对应关系的权限的列表;所述的权限包括授权、禁止和义务;
所述的日志行为提取模块提取存储子系统中各个网络行为日志中的要素,所述的要素包括行为主体、行为对象和行为事件;
所述的不合规行为判断模块将日志行为提取模块提取的结果与用户基础信息模块进行对比,进行不合规行为的判断;所述的不合规行为包括授权行为越界、禁止行为和义务行为未完成;
所述的不合规行为统计分析模块对不合规行为判断模块判断出的不合规行为进行趋势统计、分布统计以及数据挖掘分析,并采用积分算法对用户当前网络行为合规程度进行评分:当合规程度达不到预设阀值,则发送信息至所述的通知模块,通知模块通知管理员,管理员通过控制访问流量模块断开不合规用户的访问流量。
2.根据权利要求1所述的网络信息日志审计系统,其特征在于:所述的娱乐软件包括网络流媒体、听歌软件、看电影软件和网络游戏软件。
3.根据权利要求1所述的网络信息日志审计系统,其特征在于:所述的日志保存5元组信息、时间、会话和流量信息。
4.根据权利要求1所述的网络信息日志审计系统,其特征在于:所述的分类展示包括微博、新闻、网页和邮箱。
5.根据权利要求1所述的网络信息日志审计系统,其特征在于:所述的各类数据库包括MySql、Orcal和SQLserver。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510343182.7A CN105049232B (zh) | 2015-06-19 | 2015-06-19 | 网络信息日志审计系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510343182.7A CN105049232B (zh) | 2015-06-19 | 2015-06-19 | 网络信息日志审计系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105049232A CN105049232A (zh) | 2015-11-11 |
CN105049232B true CN105049232B (zh) | 2019-06-21 |
Family
ID=54455454
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510343182.7A Expired - Fee Related CN105049232B (zh) | 2015-06-19 | 2015-06-19 | 网络信息日志审计系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105049232B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107404465B (zh) * | 2016-05-20 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 网络数据分析方法及服务器 |
CN106250397B (zh) * | 2016-07-19 | 2019-12-31 | 中国科学院计算机网络信息中心 | 一种用户行为特征的分析方法及装置 |
CN106776942B (zh) * | 2016-11-30 | 2019-10-15 | 任子行网络技术股份有限公司 | 一种网络审计日志的传输保存系统和方法 |
CN107659560A (zh) * | 2017-08-28 | 2018-02-02 | 国家计算机网络与信息安全管理中心 | 一种用于海量网络数据流日志处理的异常审计方法 |
CN108040053A (zh) * | 2017-12-13 | 2018-05-15 | 北京明朝万达科技股份有限公司 | 一种基于dns日志数据的网络安全威胁分析方法及系统 |
CN111488572B (zh) * | 2020-03-27 | 2024-01-19 | 杭州迪普科技股份有限公司 | 用户行为分析日志生成方法、装置、电子设备及介质 |
CN111865725B (zh) * | 2020-07-29 | 2022-09-23 | 平安健康保险股份有限公司 | 基于日志的流量消耗分析方法及系统 |
CN113596008A (zh) * | 2021-07-23 | 2021-11-02 | 国网安徽省电力有限公司铜陵供电公司 | 一种基于微传感器技术的网络安全常态监控系统 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1503541B1 (fr) * | 2003-08-01 | 2008-03-19 | Alcatel Lucent | Procédé et dispositif pour la mémorisation configurable de données d'équipements dans un systéme de gestion de réseau |
CN101442449A (zh) * | 2008-12-18 | 2009-05-27 | 中国移动通信集团浙江有限公司 | 一种集中访问模式下用户行为全面审计的方法 |
CN104268254A (zh) * | 2014-10-09 | 2015-01-07 | 浪潮电子信息产业股份有限公司 | 一种安全态势分析统计方法 |
CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103138989B (zh) * | 2013-02-25 | 2016-12-28 | 武汉华工安鼎信息技术有限责任公司 | 一种海量日志分析系统及方法 |
CN103473121A (zh) * | 2013-08-20 | 2013-12-25 | 西安电子科技大学 | 一种基于云计算平台的海量图片并行处理方法 |
CN103957133A (zh) * | 2014-04-22 | 2014-07-30 | 北京联时空网络通信设备有限公司 | 一种日志监测方法及装置 |
-
2015
- 2015-06-19 CN CN201510343182.7A patent/CN105049232B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1503541B1 (fr) * | 2003-08-01 | 2008-03-19 | Alcatel Lucent | Procédé et dispositif pour la mémorisation configurable de données d'équipements dans un systéme de gestion de réseau |
CN101442449A (zh) * | 2008-12-18 | 2009-05-27 | 中国移动通信集团浙江有限公司 | 一种集中访问模式下用户行为全面审计的方法 |
CN104268254A (zh) * | 2014-10-09 | 2015-01-07 | 浪潮电子信息产业股份有限公司 | 一种安全态势分析统计方法 |
CN104484474A (zh) * | 2014-12-31 | 2015-04-01 | 南京盾垒网络科技有限公司 | 数据库安全审计方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105049232A (zh) | 2015-11-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105049232B (zh) | 网络信息日志审计系统 | |
CN104993952A (zh) | 网络用户行为审计与责任管理系统 | |
CN104065644B (zh) | 基于日志分析的cc攻击识别方法和设备 | |
CN107395570B (zh) | 基于大数据管理分析的云平台审计系统 | |
Gianvecchio et al. | Humans and bots in internet chat: measurement, analysis, and automated classification | |
Ohm | The rise and fall of invasive ISP surveillance | |
RU2510982C2 (ru) | Система и способ оценки пользователей для фильтрации сообщений | |
Liu et al. | FL-GUARD: A detection and defense system for DDoS attack in SDN | |
EP2545680B1 (en) | Behavior-based security system | |
CN105847717B (zh) | 一种弹幕举报的方法、客户端及服务器 | |
CN105162614A (zh) | 网络用户行为审计与责任管理方法 | |
CN107733851A (zh) | 基于通信行为分析的dns隧道木马检测方法 | |
CN103457909B (zh) | 一种僵尸网络检测方法及装置 | |
US20120180120A1 (en) | System for data leak prevention from networks using context sensitive firewall | |
CN109462599A (zh) | 一种蜜罐管理系统 | |
Smys et al. | Naïve Bayes and entropy based analysis and classification of humans and chat bots | |
CN114338064B (zh) | 识别网络流量类型的方法、装置、系统、设备和存储介质 | |
Shahbar et al. | An analysis of Tor pluggable transports under adversarial conditions | |
Kargar et al. | Censorship and collateral damage: Analyzing the Telegram ban in Iran | |
Lu et al. | Integrating traffics with network device logs for anomaly detection | |
CN109600395A (zh) | 一种终端网络接入控制系统的装置及实现方法 | |
CN115840965B (zh) | 一种信息安全保障模型训练方法和系统 | |
Mariconti et al. | Why allowing profile name reuse is a bad idea | |
Luo | Model design artificial intelligence and research of adaptive network intrusion detection and defense system using fuzzy logic | |
CN115168830A (zh) | 一种检测用户登录环境的登录方法及登录装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190621 Termination date: 20210619 |
|
CF01 | Termination of patent right due to non-payment of annual fee |