CN108920690A - 可视化网络安全审计方法及系统 - Google Patents
可视化网络安全审计方法及系统 Download PDFInfo
- Publication number
- CN108920690A CN108920690A CN201810766522.0A CN201810766522A CN108920690A CN 108920690 A CN108920690 A CN 108920690A CN 201810766522 A CN201810766522 A CN 201810766522A CN 108920690 A CN108920690 A CN 108920690A
- Authority
- CN
- China
- Prior art keywords
- video
- information
- text
- user
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/70—Information retrieval; Database structures therefor; File system structures therefor of video data
- G06F16/78—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually
- G06F16/7867—Retrieval characterised by using metadata, e.g. metadata not derived from the content or metadata generated manually using information manually generated, e.g. tags, keywords, comments, title and artist information, manually generated time, location and usage information, user ratings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/70—Information retrieval; Database structures therefor; File system structures therefor of video data
- G06F16/73—Querying
- G06F16/738—Presentation of query results
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Multimedia (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Library & Information Science (AREA)
- Computational Linguistics (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开描述一种可视化网络安全审计方法,其包括:对终端的用户的操作过程进行录屏,获取录屏的多个视频文件,视频文件存储于视频存储节点;在录屏过程中,对终端屏幕的文本输出进行监视,当文本输出发生变化时,获取文本截获信息,文本截获信息存储于视频检索数据库;在审计端对视频检索数据库中的文本截获信息进行检索,当查找到符合检索条件的文本截获信息时,输出相应的文件标识符和截获时间;视频存储节点基于文件标识符和截获时间,查找相应的视频文件,定位检索条件中的文本信息的起始时刻,并将视频文件和起始时刻反馈给审计端。由此,能够通过直观的可视化方法回放用户的违规操作和越权访问过程,提高网络安全审计能力和效果。
Description
技术领域
本公开大体涉及信息安全技术领域,具体涉及一种可视化网络安全审计方法及系统。
背景技术
计算机网络安全审计(Audit)是指按照一定的安全策略,利用记录、系统活动和用户活动等信息,检查、审查和检验操作事件的环境及活动,从而发现系统漏洞、入侵行为或改善系统性能的过程。
计算机网络安全审计可以简称为安全审计,实际是记录与审查用户操作计算机及网络系统活动的过程,是提高系统安全性的重要举措。系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动,如用户所使用的资源、使用时间、执行的操作等。
现有的文本审计方法具有局限性,比如日志量大、可读性差、安全事件难以关联等。另外,现有的录屏审计对终端进行录屏并获得录屏结果的相关文件,审计员对相关文件进行检索。这种简单的录屏审计在实践中也有其自身的弱点,比如在事件追踪时,耗人耗时、很容易漏掉事件细节,而且需要不断的进行相关文件的存储,造成了资源的消耗。
发明内容
本公开有鉴于上述现有技术的状况而完成,其目的在于提供了一种可以对录屏结果进行快速检索,帮助审计管理员提高安全事件分析和追踪能力的可视化网络安全审计方法及系统。
为此,本公开的第一方面提供了一种可视化网络安全审计方法,是包括终端和审计端的可视化网络的安全审计方法,其特征在于,包括:对终端的用户的操作过程进行录屏,获取录屏过程中的多个视频文件,多个所述视频文件存储于视频存储节点;在录屏过程中,对所述终端的屏幕的文本输出进行监视,当文本输出发生变化时,获取包括文本信息、截获时间和与所述视频文件关联的文件标识符的文本截获信息,所述文本截获信息存储于视频检索数据库;在审计端输入检索条件,对所述视频检索数据库中的所述文本截获信息进行检索,当在所述视频检索数据库查找到符合检索条件的文本截获信息时,所述视频检索数据库向所述视频存储节点输出相应的文件标识符和截获时间,所述检索条件包括文本信息或时间范围中的至少一种;并且所述视频存储节点基于所述文件标识符和所述截获时间,查找相应的视频文件,定位所述视频文件中出现所述检索条件中的文本信息的起始时刻,并将所述视频文件和所述起始时刻反馈给所述审计端,以便在所述审计端进行安全审计。
在本公开中,对终端的用户的操作过程进行录屏获得视频文件,对终端的屏幕的文本输出进行监视,当文本输出发生变化时,截获文本截获信息,视频文件和文本截获信息分别存储在视频存储节点和视频检索数据库中,在审计端输入检索条件,从视频检索数据库中找到符合检索条件的文件标识符和截获时间,视频存储节点基于文件标识符和截获时间获得相应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻,并将视频文件和起始时刻反馈给审计端,以便在审计端进行安全审计。由此,能够对录屏结果进行快速检索,能够帮助审计管理员对终端的用户的违规操作和越权访问进行有效审计和快速追踪,并通过直观的可视化方法回放用户的违规操作和越权访问过程,提高网络安全审计能力和效果。
在本公开的第一方面所涉及的可视化网络安全审计方法中,所述终端通过录屏程序对用户的操作过程进行录屏,所述录屏程序以内核模块或系统进程方式运行。由此,能够防止录屏程序被卸载或被终止运行。
在本公开的第一方面所涉及的可视化网络安全审计方法中,所述录屏程序每隔设定时间片将该时间片的视频单元发送至所述视频存储节点。由此,能够保证审计检索的实时性,以及减少对资源的占用。
在本公开的第一方面所涉及的可视化网络安全审计方法中,在所述终端的用户一次连续操作过程中,多个所述视频单元在所述视频存储节点中存储为一个视频文件,所述连续操作过程为用户开始操作至退出当前操作环境。由此,一次连续操作过程为存储为一个视频文件,便于审计管理员进行有效审计和快速追踪。
在本公开的第一方面所涉及的可视化网络安全审计方法中,所述录屏程序包括用于当文本输出发生变化时截获所述文本截获信息的钩子(hook)程序。由此,能够减少对网络系统的整体性能的影响。
在本公开的第一方面所涉及的可视化网络安全审计方法中,所述文本截获信息还包括用户名、系统IP地址、运维命令、操作指令中的至少一个。由此,为审计管理员对录屏结果进行基于文本的检索提供依据。
在本公开的第一方面所涉及的可视化网络安全审计方法中,在录屏过程中,对截获的所述变化的本文信息进行识别;当所述变化的本文信息属于预设的敏感信息时,所述审计端发出警报。由此,能够及时获知用户的非法操作。
在本公开的第一方面所涉及的可视化网络安全审计方法中,所述视频检索数据库位于与所述终端网络可达的网络节点。由此,能够实现对大量的文本截获信息的存储。
在本公开的第一方面所涉及的可视化网络安全审计方法中,所述终端包括移动通信设备、个人台式计算机、笔记本电脑、通过软件模拟的具有完整硬件系统功能的且运行在一个完全隔离环境中的虚拟计算机中的一种。由此,能够提高可视化网络的安全审计的适用范围。
本公开的第二方面提供了一种可视化网络的安全审计系统,其特征在于,包括:用户装置,其用于对用户的操作过程进行录屏,获取录屏过程中的多个视频文件,在录屏过程中,对所述用户装置的屏幕的文本输出进行监视,当文本输出发生变化时,获取包括文本信息、截获时间和与所述视频文件关联的文件标识符的文本截获信息;视频存储节点,其用于存储多个所述视频文件;视频检索数据库,其用于存储所述文本截获信息;以及审计装置,其用于输入检索条件,对所述视频检索数据库中的所述文本截获信息进行检索,当在所述视频检索数据库查找到符合检索条件的文本截获信息时,所述视频检索数据库向所述视频存储节点输出相应的文件标识符和截获时间,所述检索条件包括文本信息或时间范围中的至少一种,所述视频存储节点基于所述文件标识符和所述截获时间,查找相应的视频文件,定位所述视频文件中出现所述检索条件中的文本信息的起始时刻,并将所述视频文件和所述起始时刻反馈给所述审计装置,以便在所述审计装置进行安全审计。
在本公开中,对用户装置的用户的操作过程进行录屏获得视频文件,对用户装置的屏幕的文本输出进行监视,当文本输出发生变化时,截获文本截获信息,视频文件和文本截获信息分别存储在视频存储节点和视频检索数据库中,在审计装置输入检索条件,从视频检索数据库中找到符合检索条件的文件标识符和截获时间,视频存储节点基于文件标识符和截获时间获得相应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻,并将视频文件和起始时刻反馈给审计装置,以便在审计装置进行安全审计。由此,能够对录屏结果进行快速检索,能够帮助审计管理员对用户装置的用户的违规操作和越权访问进行有效审计和快速追踪,并通过直观的可视化方法回放用户的违规操作和越权访问过程,提高网络安全审计能力和效果。
在本公开的第二方面所涉及的可视化网络的安全审计系统中,所述用户装置通过录屏程序对用户的操作过程进行录屏,所述录屏程序以内核模块或系统进程方式运行。由此,能够防止录屏程序被卸载或被终止运行。
在本公开的第二方面所涉及的可视化网络的安全审计系统中,所述录屏程序每隔设定时间片将该时间片的视频单元发送至所述视频存储节点。由此,能够保证审计检索的实时性,以及减少对资源的占用。
在本公开的第二方面所涉及的可视化网络的安全审计系统中,在所述用户装置的用户一次连续操作过程中,多个所述视频单元在所述视频存储节点中存储为一个所述视频文件,所述连续操作过程为用户开始操作至退出当前操作环境。由此,一次连续操作过程为存储为一个视频文件,便于审计管理员进行有效审计和快速追踪。
在本公开的第二方面所涉及的可视化网络的安全审计系统中,所述录屏程序包括用于当文本输出发生变化时截获所述文本截获信息的钩子程序。由此,能够减少对网络系统的整体性能的影响。
在本公开的第二方面所涉及的可视化网络的安全审计系统中,所述文本截获信息还包括用户名、系统IP地址、运维命令、操作指令中的至少一个。由此,为审计管理员对录屏结果进行基于文本的检索提供依据。
在本公开的第二方面所涉及的可视化网络的安全审计系统中,在录屏过程中,对截获的所述变化的本文信息进行识别;当所述变化的本文信息属于预设的敏感信息时,所述审计装置发出警报。由此,能够及时获知用户的非法操作。
在本公开的第二方面所涉及的可视化网络的安全审计系统中,所述视频检索数据库位于与所述用户装置网络可达的网络节点。由此,能够实现对大量的文本截获信息的存储。
在本公开的第二方面所涉及的可视化网络的安全审计系统中,所述用户装置包括PC机、笔记本、通过软件模拟的具有完整硬件系统功能的,运行在一个完全隔离环境中的虚拟计算机中的一种。由此,能够提高可视化网络的安全审计的适用范围。
附图说明
现在将仅通过参考附图的例子进一步详细地解释本公开的实施例,其中:
图1是本公开所涉及的可视化网络的安全审计方法流程示意图。
图2是图1的视频文件的获取和存储的流程示意图。
图3是图2的时间片中断处理程序的流程示意图。
图4是本公开所涉及的视频文件存储合并存储的流程示意图。
图5是本公开所涉及的文本截获信息的截获和存储流程示意图。
图6是本公开所涉及的可视化网络安全审计系统结构示意图。
具体实施方式
以下,参考附图,详细地说明本公开的优选实施方式。在下面的说明中,对于相同的部件赋予相同的符号,省略重复的说明。另外,附图只是示意性的图,部件相互之间的尺寸的比例或者部件的形状等可以与实际的不同。除非另有定义,本公开所使用的技术和科学术语具有与本公开所属领域的普通技术人员通常理解相同的含义。本领域技术人员将认识到可以用于本公开的实践中的与本公开所描述的那些相似或等同的许多方法。实际上,本公开决不限于所描述的方法。
图1是本公开所涉及的可视化网络安全审计方法流程示意图。本公开所涉及的可视化网络安全审计方法是包括终端和审计端的可视化网络的安全审计方法。
在一些示例中,如图1所示,可视化网络安全审计方法包括对终端的用户的操作过程进行录屏,获取录屏过程中的多个视频文件,多个视频文件存储于视频存储节点(步骤S100)。
在步骤S100中,终端可以是传统计算机系统或虚拟计算机中的一种。另外,终端也可以是手机、平板电脑、笔记本、车载电脑等移动设备。由此,能够提高可视化网络安全审计的适用范围。
具体而言,传统计算机系统可以由硬件(子)系统和软件(子)系统组成。硬件(子)系统可以是借助电、磁、光、机械等原理构成的各种物理部件的有机组合,是系统赖以工作的实体。软件(子)系统可以是各种程序和文件,用于指挥全系统按指定的要求进行工作。例如,传统计算机系统可以包括但不限于PC机或笔记本等。虚拟计算机可以是通过软件模拟的具有完整硬件系统功能的,运行在一个完全隔离环境中的完整计算机系统。例如,基于KVM、VMware等虚拟化平台的计算机。
在步骤S100中,可以对终端的用户的操作过程进行录屏,获取录屏过程中的多个视频文件。在一些示例中,终端可以通过录屏程序对用户的操作过程进行录屏。例如,终端可以通过录屏程序例如在用户登录成功之后,开始录屏,若用户退出,则录屏程序终止录屏过程。
其中,录屏程序可以被安装在计算程序中。录屏程序可以通过内核模块或系统进程方式运行。在一些示例中,录屏程序可以通过代码注入方式作为操作系统内核程序的动态链接库。另外,在一些示例中,录屏程序可以作为一个独立的进程。在这种情况下,一般要求操作系统内核对录屏进程进行保护,防止其运行被中断。为了防止用户规避被录屏,可以采用进程监视和安全保护机制,防止录屏程序被卸载或被终止运行。
在一些示例中,终端为虚拟计算机时,以安全虚拟桌面作为起点,用户可以在安全虚拟桌面上对客体进行一系列的操作并录屏。客体可以包括但不限于数据库、网络设备、服务器、windows系统。
在一些示例中,终端可以通过录屏获得录屏过程中的多个视频文件。多个视频文件可以通过网络存储于视频存储节点。其中,由终端对每个用户的一次连续操作过程进行录屏可以获得一个视频文件。连续操作过程可以是指用户开始操作至退出当前操作环境。在这种情况下,一次连续操作过程存储为一个视频文件,便于审计管理员进行有效审计和快速追踪。
在一些示例中,视频存储节点中的一个视频文件可以包括多个视频单元。也即,在终端的用户一次连续操作过程中,多个视频单元在视频存储节点中可以存储为一个视频文件。视频文件名可以按照例如“用户名||日期||起始时间”的格式进行命名。
另外,为了减少终端进行录屏时产生的临时文件对终端存储资源的占用,同时减少视频文件进行不间断的网络传送带来的网络资源消耗,同时保证审计检索的实时性,录屏程序可以每隔设定时间片将该时间片的视频单元发送至视频存储节点。设定时间片可以是30s至100s,例如,设定时间片可以是60s。该时间片的视频单元可以与已经保存的同一个连续操作过程的视频单元进行合并,直至用户退出。在用户退出当前操作环境后,终端将最后一个视频单元发送至视频存储节点,并且最后一个视频单元可以与已经保存的同一个连续操作过程的其他视频单元进行合并,生成用户本次连续操作过程的完整一个视频文件。由此,能够保证审计检索的实时性,以及减少对资源的占用。
另外,在一些示例中,视频存储节点可以包括服务器。服务器可以是本地服务器,也可以是云端的服务器。
在一些示例中,可以采用集中方式存储所有终端的视频文件。这种集中方式能够支持对多个终端用户操作行为的可视化审计,并为审计管理员对用户操作行为进行检索提供了统一的平台,使安全事件追踪更加快捷和简单。
图2是图1的视频文件的获取和存储的流程示意图。图3是图2的时间片中断处理程序的流程示意图。图4是本公开所涉及的视频文件存储合并存储的流程示意图。
在一些示例中,如图2所示,录屏程序可以在用户操作的终端上运行,并对用户操作过程进行录屏,获得多个视频文件存储在视频存储节点中。
具体而言,如图2所示,步骤S100可以包括判断用户是否退出操作环境(步骤S110)。若用户没有退出操作环境,继续录屏(步骤S120)。录屏过程中判断时间片中断是否发生(步骤S130)。若接受到时间片中断信号,创建子进程来运行时间片中断处理程序,然后继续录屏(步骤S140)。若没有接受到时间片中断信号,继续录屏。若用户已经退出操作环境,则终止录屏活动(步骤S150)。并将该用户还未发送到视频存储节点的本地录屏文件发送到视频存储节点(步骤S160)。然后删除录屏过程中本地的视频文件(步骤S170)。本地的视频文件可以是录屏过程中获取并存储在本地的视频文件,也可以称为“本地录屏文件”。
其中,在步骤S140中,如图3所示,时间片中断处理程序可以包括将本地录屏文件转储到临时文件,并清空本地录屏文件(步骤S141),将临时文件发送到视频存储节点(步骤S142)以及情空临时文件(步骤S143)。
另外,在步骤S160或步骤S142中,如图4所示,在视频存储节点,视频文件存储合并存储可以包括以下步骤:将接收到的临时文件与对应用户的本次视频文件合并(步骤S180),也即将接收到的临时文件与对应用户的本次连续操作过程的视频文件合并。然后关闭该视频文件(步骤S190)。
在一些示例中,如图1所示,可视化网络安全审计方法还可以包括在录屏过程中,对终端的屏幕的文本输出进行监视,当文本输出发生变化时,获取包括文本信息、截获时间和与视频文件关联的文件标识符的文本截获信息,文本截获信息可以存储于视频检索数据库(步骤S200)。
在步骤S200中,在录屏过程中,可以对终端的屏幕的文本输出进行监视。在一些示例中,可以通过录屏程序对终端的屏幕的文本输出进行监视。当文本输出发生变化时,可以获取包括文本信息、截获时间和与视频文件关联的文件标识符的文本截获信息。
在一些示例中,录屏程序可以包括用于当文本输出发生变化时截获文本截获信息的钩子程序。也即,当文本输出发生变化时,录屏程序中的钩子程序可以截获文本截获信息。由此,能够减少对网络系统的整体性能的影响。另外,终端可以只是在文本信息发生变化的时刻,通过钩子程序对屏幕文本变化部分进行截获,避免持续对屏幕的文本信息进行不间断地监视和信息采集。
在一些示例中,钩子程序截获文本截获信息的流程如下。图5是本公开所涉及的文本截获信息的截获和存储流程示意图。在一些示例中,如图5所示,终端屏幕的文本截获信息和视频检索记录可以是由注入到终端原有的屏幕文本写程序中的钩子程序完成。
在一些示例中,如图5所示,文本截获信息的获取和存储方法可以包括在终端往屏幕上写入文本信息(步骤S210),进入图5中的钩子程序(步骤S220)。钩子程序(步骤S220)可以包括从屏幕写文本函数的参数中获取或截获要写入的文本信息(步骤S221),然后采集系统当前时间、系统IP地址用户名以及用户视频文件标识符等信息(步骤S222),合并一起生成视频检索记录(步骤S223),并将此记录发送给视频检索数据库中保存(步骤S224)。
在一些示例中,文本截获信息还可以包括但不限于文本信息、截获时间、与视频文件关联的文件标识符的文本截获信息、用户名、系统IP地址、运维命令、操作指令、视频文件名中的至少一个。由此,为审计管理员对录屏结果(也即视频文件)进行基于文本的检索提供依据。其中,文本信息可以是终端屏幕上变化的文本信息。截获时间可以是文本发生变化时的时间信息。
在一些示例中,文本截获信息可以通过网络发送到并存储于视频检索数据库。另外,每次截获的文本截获信息在视频检索数据库中可以被保存为数据库的一个记录。
在一些示例中,视频检索数据库可以位于与终端网络可达的网络节点。由此,能够实现对大量的文本截获信息的存储。
在一些示例中,视频检索数据库还可以支持多个终端的视频文件的存储和检索。也即,可以采用集中的视频检索数据库保存所有终端的记录。由此,能够支持对多终端用户操作行为的可视化审计,并为审计管理员基于屏幕的文本信息对录屏获得的文本截获信息进行检索提供了统一的平台,使数据库查询更加快捷和简单,使安全事件追踪更加快捷和简单。
在一些示例中,视频存储节点和视频检索数据库可以使用同一个物理服务器,也可以分开存放,但是相互之间应该网络连通可达。
在另一些示例中,文本截获信息还可以存储于其他格式的日志文件中。
在一些示例中,在录屏过程中,还可以对截获的变化的本文信息进行识别;当变化的本文信息属于预设的敏感信息时,审计端发出警报。由此,能够及时获知用户的非法操作。其中,敏感信息可以包括但不限于违反法律法规的词汇。警报方式可以包括声音、短信等方式至少一种。
在一些示例中,如图1所示,可视化网络安全审计方法还可以包括在审计端输入检索条件,对视频检索数据库中的文本截获信息进行检索,当在视频检索数据库查找到符合检索条件的文本截获信息时,视频检索数据库向视频存储节点输出相应的文件标识符和截获时间,检索条件包括文本信息或时间范围中的至少一种(步骤S300)。
在步骤S300中,检索条件可以包括文本信息和时间范围。具体而言,检索条件可以包括但不限于“用户名”、“时间范围”和“文本信息”。检索条件的类型可以选自文本截获信息的类型。
在一些示例中,审计端可以根据检索条件对视频检索数据库中的文本截获信息进行检索。当在视频检索数据库查找到符合检索条件的文本截获信息时,视频检索数据库可以向视频存储节点输出相应的文件标识符和截获时间。另外,由于每次截获的文本截获信息在视频检索数据库中是以记录的形式存储的,因此,视频检索数据库查找到符合检索条件的记录,并输出对应的文件标识符和截获时间。
在一些示例中,如图1所示,可视化网络安全审计方法还可以包括视频存储节点基于文件标识符和截获时间,查找相应的视频文件,定位视频文件中出现检索条件中的文本信息的起始时刻,并将视频文件和起始时刻反馈给审计端,以便在审计端进行安全审计(步骤S400)。
在步骤S400中,视频存储节点可以接收步骤S300中视频检索数据库输出的文件标识符和截获时间。
在一些示例中,视频存储节点可以基于文件标识符和截获时间,查找相应的视频文件,定位视频文件中出现检索条件中的文本信息的起始时刻。具体而言,视频存储节点可以基于文件标识符和截获时间,查找相应的视频文件。在查找到视频文件后,根据检索条件中的文本信息和截获时间,定位视频文件中出现被检索的文本信息的起始时刻。也即计算视频文件中出现被检索的文本信息的视频播放位置偏移。
在一些示例中,视频存储节点可以将视频文件和起始时刻反馈给审计端,以便在审计端进行安全审计。
在一些示例中,在审计端,审计管理员可以根据检索返回结果定点播放相关视频片段。
另外,步骤S300和步骤S400采用的可以是B/S模式。
在本公开中,可以对终端的用户的操作过程进行录屏获得视频文件,可以对终端的屏幕的文本输出进行监视。当文本输出发生变化时,可以截获文本截获信息,视频文件和文本截获信息可以分别存储在视频存储节点和视频检索数据库中。可以在审计端输入检索条件,从视频检索数据库中找到符合检索条件的文件标识符和截获时间。视频存储节点可以基于文件标识符和截获时间获得相应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻,并将视频文件和起始时刻反馈给审计端,以便在审计端进行安全审计。由此,能够对录屏结果进行快速检索,能够帮助审计管理员对终端的用户的违规操作和越权访问进行有效审计和快速追踪,并通过直观的可视化方法回放用户的违规操作和越权访问过程,提高网络安全审计能力和效果。
在这种情况下,用户在终端的操作过程都被自动录屏和监视,这样可以支持安全事件追踪和取证,增强网络安全保护强度。审计管理员能够基于文本截获信息中的文本信息定位相应的视频片段,提高安全事件追踪和取证的性能,并且能够自动识别用户的违规操作和越权访问行为,并支持实时报警。综上,本公开通过可视化网络安全审计方法,使审计管理员能直观地检索和再现安全事件发生过程,帮助对安全事件进行快速追踪和取证。
下面结合图6描述一种可视化网络安全审计系统,可以是包括用户装置和审计装置的可视化网络安全审计系统。其中,用户装置与上述的终端概念相同,审计装置与上述的审计端概念相同。图6是本公开所涉及的可视化网络安全审计系统结构示意图。
在一些示例中,如图6所示,可视化网络安全审计系统1包括用户装置10。用户装置10可以用于对用户的操作过程进行录屏,获取录屏过程中的多个视频文件。在录屏过程中,可以对用户装置10的屏幕的文本输出进行监视。当文本输出发生变化时,获取包括文本信息、截获时间和与视频文件关联的文件标识符的文本截获信息。
在一些示例中,用户装置10可以包括PC机、笔记本、通过软件模拟的具有完整硬件系统功能的,运行在一个完全隔离环境中的虚拟计算机中的一种。由此,能够提高可视化网络安全审计的适用范围。用户装置10可以是传统计算机系统或虚拟计算机中的一种,具体可以参见步骤S100中的终端。
在一些示例中,用户装置10可以通过录屏程序对用户的操作过程进行录屏。其中,录屏程序可以以内核模块或系统进程方式运行。由此,能够防止录屏程序被卸载或被终止运行。
在一些示例中,用户装置10为虚拟计算机时,以安全虚拟桌面作为起点,用户可以在安全虚拟桌面上对客体进行一系列的操作并录屏。客体可以包括但不限于数据库、网络设备、服务器、windows系统。
在一些示例中,用户装置10进行录屏时可以获得录屏过程中的多个视频文件。其中,由用户装置10对每个用户的一次连续操作过程进行录屏可以获得一个视频文件。连续操作过程可以是指用户开始操作至退出当前操作环境。
另外,在一些示例中,录屏程序可以每隔设定时间片将该时间片的视频单元发送至视频存储节点20。由此,能够保证审计检索的实时性,以及减少对资源的占用。
在另一些示例中,用户装置10可以通过录屏程序对用户装置10的屏幕的文本输出进行监视。当文本输出发生变化时,可以获取包括文本信息、截获时间和与视频文件关联的文件标识符的文本截获信息。
在一些示例中,录屏程序可以包括用于当文本输出发生变化时截获文本截获信息的钩子程序。也即,当文本输出发生变化时,钩子程序可以截获文本截获信息。由此,能够减少对网络系统的整体性能的影响。另外,用户装置10可以只是在文本信息发生变化的时刻,通过钩子(hook)程序对屏幕文本变化部分进行截获,避免持续对屏幕的文本信息进行不间断地监视和信息采集。
在一些示例中,文本截获信息还可以包括但不限于文本信息、截获时间、与视频文件关联的文件标识符的文本截获信息、用户名、系统IP地址、运维命令、操作指令、视频文件名中的至少一个。由此,为审计管理员对录屏结果进行基于文本的检索提供依据。其中,文本信息可以是用户装置10的屏幕上变化的文本信息。截获时间可以是文本发生变化时的时间信息。
在一些示例中,文本截获信息可以通过网络发送到并存储于视频检索数据库30。
在一些示例中,在录屏过程中,还可以对截获的变化的本文信息进行识别;当变化的本文信息属于预设的敏感信息时,审计装置40发出警报。由此,能够及时获知用户的非法操作。
在一些示例中,如图6所示,可视化网络安全审计系统1还可以包括视频存储节点20。视频存储节点20可以用于存储多个视频文件。
在一些示例中,视频存储节点20中的一个视频文件可以包括多个视频单元。也即,在用户装置10的用户一次连续操作过程中,多个视频单元在视频存储节点20中可以存储为一个视频文件。视频文件名可以按照“用户名||日期||起始时间”的格式进行命名。连续操作过程可以为用户开始操作至退出当前操作环境。由此,一次连续操作过程为存储为一个视频文件,便于审计管理员进行有效审计和快速追踪。
在一些示例中,视频存储节点20可以将接收每个视频单元,与已经保存的同一个连续操作过程的视频单元进行合并,直至用户退出。在用户退出当前操作环境后,用户装置10将最后一个视频单元发送至视频存储节点20,并且最后一个视频单元可以与已经保存的同一个连续操作过程的其他视频单元进行合并,生成用户本次连续操作过程的完整一个视频文件。由此,能够保证审计检索的实时性,以及减少对资源的占用。
另外,在一些示例中,视频存储节点20可以包括服务器。
在一些示例中,如图6所示,可视化网络安全审计系统1还可以包括视频检索数据库30。视频检索数据库30可以用于存储文本截获信息。
在一些示例中,在视频检索数据库30中,每次截获的文本截获信息可以被保存为数据库的一个记录。
在一些示例中,视频检索数据库30可以位于与用户装置10网络可达的网络节点。由此,能够实现对大量的文本截获信息的存储。
在一些示例中,视频检索数据库30还可以支持多个用户装置10的视频文件的存储和检索。由此,能够支持对多用户装置10用户操作行为的可视化审计。
在一些示例中,视频存储节点20和视频检索数据库30可以使用同一个物理服务器,也可以分开存放,但是相互之间应该网络连通可达。
在一些示例中,如图6所示,可视化网络安全审计系统1还可以包括审计装置40。审计装置40可以用于输入检索条件,对视频检索数据库30中的文本截获信息进行检索。当在视频检索数据库30查找到符合检索条件的文本截获信息时,视频检索数据库30可以向视频存储节点20输出相应的文件标识符和截获时间。检索条件可以包括文本信息和时间范围。具体而言,检索条件可以包括但不限于“用户名”、“时间范围”和“文本信息”。检索条件的类型可以选自文本截获信息的类型。
另外,在一些示例中,视频存储节点20可以基于文件标识符和截获时间,查找相应的视频文件,定位视频文件中出现检索条件中的文本信息的起始时刻,并将视频文件和起始时刻反馈给审计装置40,以便在审计装置40进行安全审计。具体而言,视频存储节点20可以基于文件标识符和截获时间,查找相应的视频文件。在查找到视频文件后,可以根据检索条件中的文本信息和截获时间,定位视频文件中出现被检索的文本信息的起始时刻。也即计算视频文件中出现被检索的文本信息的视频播放位置偏移。
在一些示例中,视频存储节点20可以将视频文件和起始时刻反馈给审计装置40,以便在审计装置40进行安全审计。审计管理员可以通过审计装置40检索返回结果定点播放相关视频片段。
在本公开中,可以对用户装置10的用户的操作过程进行录屏获得视频文件。可以对用户装置10的屏幕的文本输出进行监视。当文本输出发生变化时,可以截获文本截获信息,视频文件和文本截获信息分别存储在视频存储节点20和视频检索数据库30中。在审计装置40输入检索条件,从视频检索数据库30中找到符合检索条件的文件标识符和截获时间,视频存储节点20基于文件标识符和截获时间获得相应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻,并将视频文件和起始时刻反馈给审计装置40,以便在审计装置40进行安全审计。由此,能够对录屏结果进行快速检索,能够帮助审计管理员对用户装置10的用户的违规操作和越权访问进行有效审计和快速追踪,并通过直观的可视化方法回放用户的违规操作和越权访问过程,提高网络安全审计能力和效果。
虽然以上结合附图和实施方式对本发明进行了具体说明,但是可以理解,上述说明不以任何形式限制本发明。本领域技术人员在不偏离本发明的实质精神和范围的情况下可以根据需要对本发明进行变形和变化,这些变形和变化均落入本发明的范围内。
Claims (18)
1.一种可视化网络安全审计方法,是包括终端和审计端的可视化网络的安全审计方法,其特征在于,
包括:
对终端的用户的操作过程进行录屏,获取录屏过程中的多个视频文件,多个所述视频文件存储于视频存储节点;
在录屏过程中,对所述终端的屏幕的文本输出进行监视,当文本输出发生变化时,获取包括文本信息、截获时间和与所述视频文件关联的文件标识符的文本截获信息,所述文本截获信息存储于视频检索数据库;
在审计端输入检索条件,对所述视频检索数据库中的所述文本截获信息进行检索,当在所述视频检索数据库查找到符合检索条件的文本截获信息时,所述视频检索数据库向所述视频存储节点输出相应的文件标识符和截获时间,所述检索条件包括文本信息或时间范围中的至少一种;并且
所述视频存储节点基于所述文件标识符和所述截获时间,查找相应的视频文件,定位所述视频文件中出现所述检索条件中的文本信息的起始时刻,并将所述视频文件和所述起始时刻反馈给所述审计端,以便在所述审计端进行安全审计。
2.根据权利要求1所述的审计方法,其特征在于,
所述终端通过录屏程序对用户的操作过程进行录屏,所述录屏程序以内核模块或系统进程方式运行。
3.根据权利要求2所述的审计方法,其特征在于,
所述录屏程序每隔设定时间片将该时间片的视频单元发送至所述视频存储节点。
4.根据权利要求3所述的审计方法,其特征在于,
在所述终端的用户一次连续操作过程中,多个所述视频单元在所述视频存储节点中存储为一个视频文件,所述连续操作过程为用户开始操作至退出当前操作环境。
5.根据权利要求2所述的审计方法,其特征在于,
所述录屏程序包括用于当文本输出发生变化时截获所述文本截获信息的钩子程序。
6.根据权利要求1所述的审计方法,其特征在于,
所述文本截获信息还包括用户名、系统IP地址、运维命令、操作指令中的至少一个。
7.根据权利要求1所述的审计方法,其特征在于,
在录屏过程中,对截获的所述变化的本文信息进行识别;
当所述变化的本文信息属于预设的敏感信息时,所述审计端发出警报。
8.根据权利要求1所述的审计方法,其特征在于,
所述视频检索数据库位于与所述终端网络可达的网络节点。
9.根据权利要求1所述的审计方法,其特征在于,
所述终端包括移动通信设备、个人台式计算机、笔记本电脑、通过软件模拟的具有完整硬件系统功能的且运行在一个完全隔离环境中的虚拟计算机中的至少一种。
10.一种可视化网络安全审计系统,其特征在于,
包括:
用户装置,其用于对用户的操作过程进行录屏,获取录屏过程中的多个视频文件,在录屏过程中,对所述用户装置的屏幕的文本输出进行监视,当文本输出发生变化时,获取包括文本信息、截获时间和与所述视频文件关联的文件标识符的文本截获信息;
视频存储节点,其用于存储多个所述视频文件;
视频检索数据库,其用于存储所述文本截获信息;以及
审计装置,其用于输入检索条件,对所述视频检索数据库中的所述文本截获信息进行检索,当在所述视频检索数据库查找到符合检索条件的文本截获信息时,所述视频检索数据库向所述视频存储节点输出相应的文件标识符和截获时间,所述检索条件包括文本信息或时间范围中的至少一种,所述视频存储节点基于所述文件标识符和所述截获时间,查找相应的视频文件,定位所述视频文件中出现所述检索条件中的文本信息的起始时刻,并将所述视频文件和所述起始时刻反馈给所述审计装置,以便在所述审计装置进行安全审计。
11.根据权利要求10所述的审计系统,其特征在于,
所述用户装置通过录屏程序对用户的操作过程进行录屏,所述录屏程序以内核模块或系统进程方式运行。
12.根据权利要求11所述的审计系统,其特征在于,
所述录屏程序每隔设定时间片将该时间片的视频单元发送至所述视频存储节点。
13.根据权利要求12所述的审计系统,其特征在于,
在所述用户装置的用户一次连续操作过程中,多个所述视频单元在所述视频存储节点中存储为一个所述视频文件,所述连续操作过程为用户开始操作至退出当前操作环境。
14.根据权利要求11所述的审计系统,其特征在于,
所述录屏程序包括用于当文本输出发生变化时截获所述文本截获信息的钩子程序。
15.根据权利要求10所述的审计系统,其特征在于,
所述文本截获信息还包括用户名、系统IP地址、运维命令、操作指令中的至少一个。
16.根据权利要求10所述的审计系统,其特征在于,
在录屏过程中,对截获的所述变化的本文信息进行识别;
当所述变化的本文信息属于预设的敏感信息时,所述审计装置发出警报。
17.根据权利要求10所述的审计系统,其特征在于,
所述视频检索数据库位于与所述用户装置网络可达的网络节点。
18.根据权利要求10所述的审计系统,其特征在于,
所述用户装置包括PC机、笔记本、通过软件模拟的具有完整硬件系统功能的,运行在一个完全隔离环境中的虚拟计算机中的一种。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810766522.0A CN108920690B (zh) | 2018-07-13 | 2018-07-13 | 可视化网络安全审计方法及系统 |
| CN202010425094.2A CN111597382A (zh) | 2018-07-13 | 2018-07-13 | 网络安全审计方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810766522.0A CN108920690B (zh) | 2018-07-13 | 2018-07-13 | 可视化网络安全审计方法及系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010425094.2A Division CN111597382A (zh) | 2018-07-13 | 2018-07-13 | 网络安全审计方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108920690A true CN108920690A (zh) | 2018-11-30 |
| CN108920690B CN108920690B (zh) | 2020-06-19 |
Family
ID=64410900
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810766522.0A Active CN108920690B (zh) | 2018-07-13 | 2018-07-13 | 可视化网络安全审计方法及系统 |
| CN202010425094.2A Pending CN111597382A (zh) | 2018-07-13 | 2018-07-13 | 网络安全审计方法及系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010425094.2A Pending CN111597382A (zh) | 2018-07-13 | 2018-07-13 | 网络安全审计方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN108920690B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110046297A (zh) * | 2019-03-28 | 2019-07-23 | 广州视源电子科技股份有限公司 | 运维违规操作的识别方法、装置和存储介质 |
| CN110719334A (zh) * | 2019-10-18 | 2020-01-21 | 上海华讯网络系统有限公司 | 适用于云桌面行为的审计系统及方法 |
| CN110866017A (zh) * | 2019-11-27 | 2020-03-06 | 郭学森 | 可视化检索的办税操作留痕系统及其实现方法 |
| CN112804480A (zh) * | 2019-11-13 | 2021-05-14 | 宏正自动科技股份有限公司 | 监控警示系统 |
| CN113596402A (zh) * | 2021-07-29 | 2021-11-02 | 上海浦东发展银行股份有限公司 | 事中监控方法、装置、设备、系统和存储介质 |
| CN114285761A (zh) * | 2021-12-27 | 2022-04-05 | 北京邮电大学 | 一种基于视频录屏与ocr技术的跳板机违规操作检测方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080030797A1 (en) * | 2006-08-04 | 2008-02-07 | Eric Circlaeys | Automated Content Capture and Processing |
| CN104850407A (zh) * | 2015-05-28 | 2015-08-19 | 深圳市云舒网络技术有限公司 | 一种桌面录屏系统及其录屏方法 |
| US9462238B1 (en) * | 2009-10-30 | 2016-10-04 | Verint Americas Inc. | Remote agent capture and monitoring |
| CN106126401A (zh) * | 2016-05-19 | 2016-11-16 | 北京朋创天地科技有限公司 | 一种基于安全虚拟桌面的视频检索方法 |
| CN106598973A (zh) * | 2015-10-14 | 2017-04-26 | 杭州海康威视数字技术股份有限公司 | 一种基于云存储管理的智能检索的方法及系统 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101739450B (zh) * | 2009-11-26 | 2012-08-22 | 北京网梯科技发展有限公司 | 对视频中出现的信息进行检索的方法及系统 |
| CN102609637A (zh) * | 2011-12-20 | 2012-07-25 | 北京友维科软件科技有限公司 | 数据泄露审计防护系统 |
| US9608881B2 (en) * | 2012-04-13 | 2017-03-28 | International Business Machines Corporation | Service compliance enforcement using user activity monitoring and work request verification |
| JP6171319B2 (ja) * | 2012-12-10 | 2017-08-02 | 株式会社リコー | 情報処理装置、情報処理方法、情報処理システム及びプログラム |
| CN104125304B (zh) * | 2014-08-13 | 2017-09-19 | 北京华夏威科软件技术有限公司 | 一种会话级应用审计方法及系统 |
| CN105025345A (zh) * | 2015-07-28 | 2015-11-04 | 无锡天脉聚源传媒科技有限公司 | 一种直播节目的录制方法及装置 |
| CN106708859B (zh) * | 2015-11-13 | 2020-09-01 | 北京神州泰岳信息安全技术有限公司 | 一种资源访问行为的审计方法和装置 |
| CN107483409B (zh) * | 2017-07-21 | 2019-02-26 | 南京南瑞集团公司 | 一种面向工控操作系统的操作指令实时监测回显的方法 |
-
2018
- 2018-07-13 CN CN201810766522.0A patent/CN108920690B/zh active Active
- 2018-07-13 CN CN202010425094.2A patent/CN111597382A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080030797A1 (en) * | 2006-08-04 | 2008-02-07 | Eric Circlaeys | Automated Content Capture and Processing |
| US9462238B1 (en) * | 2009-10-30 | 2016-10-04 | Verint Americas Inc. | Remote agent capture and monitoring |
| CN104850407A (zh) * | 2015-05-28 | 2015-08-19 | 深圳市云舒网络技术有限公司 | 一种桌面录屏系统及其录屏方法 |
| CN106598973A (zh) * | 2015-10-14 | 2017-04-26 | 杭州海康威视数字技术股份有限公司 | 一种基于云存储管理的智能检索的方法及系统 |
| CN106126401A (zh) * | 2016-05-19 | 2016-11-16 | 北京朋创天地科技有限公司 | 一种基于安全虚拟桌面的视频检索方法 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110046297A (zh) * | 2019-03-28 | 2019-07-23 | 广州视源电子科技股份有限公司 | 运维违规操作的识别方法、装置和存储介质 |
| CN110046297B (zh) * | 2019-03-28 | 2023-04-07 | 广州视源电子科技股份有限公司 | 运维违规操作的识别方法、装置和存储介质 |
| CN110719334A (zh) * | 2019-10-18 | 2020-01-21 | 上海华讯网络系统有限公司 | 适用于云桌面行为的审计系统及方法 |
| CN110719334B (zh) * | 2019-10-18 | 2021-10-26 | 上海华讯网络系统有限公司 | 适用于云桌面行为的审计系统及方法 |
| CN112804480A (zh) * | 2019-11-13 | 2021-05-14 | 宏正自动科技股份有限公司 | 监控警示系统 |
| CN112804480B (zh) * | 2019-11-13 | 2024-02-09 | 宏正自动科技股份有限公司 | 监控警示系统 |
| CN110866017A (zh) * | 2019-11-27 | 2020-03-06 | 郭学森 | 可视化检索的办税操作留痕系统及其实现方法 |
| CN113596402A (zh) * | 2021-07-29 | 2021-11-02 | 上海浦东发展银行股份有限公司 | 事中监控方法、装置、设备、系统和存储介质 |
| CN114285761A (zh) * | 2021-12-27 | 2022-04-05 | 北京邮电大学 | 一种基于视频录屏与ocr技术的跳板机违规操作检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108920690B (zh) | 2020-06-19 |
| CN111597382A (zh) | 2020-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108920690A (zh) | 可视化网络安全审计方法及系统 | |
| US10404729B2 (en) | Device, method, and system of generating fraud-alerts for cyber-attacks | |
| CA2933423C (en) | Data acceleration | |
| Porras et al. | Penetration state transition analysis: A rule-based intrusion detection approach | |
| CN104820685A (zh) | 一种社交类网络搜索方法及社交类网络搜索系统 | |
| Shihab | An exploration of challenges limiting pragmatic software defect prediction | |
| CN112579728B (zh) | 基于海量数据全文检索的行为异常识别方法及装置 | |
| CN103761175A (zh) | 一种Linux系统下程序执行路径监测系统及其方法 | |
| KR101444308B1 (ko) | 정보 유출 조기 경보 시스템 | |
| CN112015646A (zh) | 网络请求监听方法、装置、计算机设备和存储介质 | |
| CN112148260A (zh) | 决策引擎实现方法、装置、设备及存储介质 | |
| CN110908880A (zh) | 埋点代码注入方法、事件上报方法及其相关设备 | |
| CN112799722A (zh) | 命令识别方法、装置、设备和存储介质 | |
| Alatawi et al. | Mobile forensics: A review | |
| CN109639726A (zh) | 入侵检测方法、装置、系统、设备及存储介质 | |
| CN110765261A (zh) | 潜在专利纠纷的监控方法、装置、服务器和存储介质 | |
| CN116881962B (zh) | 一种安全监控系统、方法、装置和存储介质 | |
| KR102263111B1 (ko) | 데이터 보안 관리 방법 및 이를 수행하기 위한 프로그램을 기록한 기록 매체 | |
| CN109086157A (zh) | 日志追踪方法、装置、电子设备及存储介质 | |
| CN116389148B (zh) | 一种基于人工智能的网络安全态势预测系统 | |
| CN116662987A (zh) | 业务系统监控方法、装置、计算机设备及存储介质 | |
| Genga et al. | Towards a systematic process-aware behavioral analysis for security | |
| Wei et al. | Claim what you need: a text-mining approach on android permission request authorization | |
| CN113900956A (zh) | 测试用例的生成方法、装置、计算机设备及存储介质 | |
| CN112257100A (zh) | 敏感数据保护效果的检测方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |