CN111131187B - 一种基于操作集的web审计方法 - Google Patents

Abstract

本发明涉及一种基于操作集的WEB审计方法，通过配置合理的审计对象信息、操作集及退出操作集后，获取审计对象流量，解析流量信息，判断解析到的流量信息是否能够获得已有会话标记，经过n个预设时间t的学习，总结出n个同一SIP的URL访问路线，分析n个URL访问路线，分析结果，根据分析结果，若满足需求则将访问路线发送至审计模块，否则修改配置内容。本发明将获取到的服务器流量进行解析，得到服务器访问信息，归纳、梳理为操作集，将同一操作集用户定义为一个用户会话，通过会话管理对用户操作行为进行识别，以便审计；根据操作集梳理用户行为，效率高，审计准确率高。

Description

一种基于操作集的WEB审计方法

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种基于操作集的WEB审计方法。

背景技术

随着网络(WEB)应用技术的不断进步与发展，信息化办公越来越普及，WEB应用系统被使用在越来越多的场合，如财务系统、审批系统等，WEB应用程序承载了越来越多的业务与重要数据。由于WEB应用程序开发者的疏忽或水平限制，WEB应用普遍存在脆弱性，所以，保障WEB应用的安全、保障业务数据的安全、为WEB应用用户提供稳定且安全的服务是每个WEB应用服务商亟待解决的问题。

现有的WEB应用安全防护主要分为检测类和防护类，这两种方式的结合能够大大提高WEB应用服务的安全性，但难以执行根因分析和事后追溯的操作，这对于整个WEB应用的生态是不利的。故为了让WEB业务应用越来越健壮，WEB业务审计也渐渐成为WEB应用安全防护常见手段之一。

WEB业务审计是将WEB应用的所有业务操作进行关联及分析。目前，WEB应用的业务操作关联、分析大部分采用Cookie、会话ID的方式，如申请号为201811229213.6的中国发明即公开了一种匹配数据库访问用户的审计方法，登记WEB服务器用户登录使用的uri，并获取用户名称；登记WEB服务器的会话名，根据用户的会话ID获取用户对应的所有WEB操作的http数据；从用户对应的所有操作的http数据中获取第一关键字；将出现频率超过一预设值的第一关键字过滤掉，得到第二关键字，将所述第二关键字与对应的会话ID对应保存；获取WEB服务器对数据库的操作，从对应的SQL中解析提取第三关键字；将第二关键字与第三关键字进行匹配，将匹配一致的第二关键字对应的用户名称与第三关键字对应的SQL语句进行对应保存，同时还公开了一种匹配数据库访问用户的审计系统，创建前端的用户访问行为与后端的数据库改变的关联关系，准确度高，效率高。

然而，现有技术中采用Cookie、会话ID进行关联，同一用户在会话关闭或浏览器更换时，会出现误关联，使得分析数据不准确，使得事实上无法精确执行WEB审计，造成一定的安全隐患。

发明内容

本发明解决了现有技术中，采用Cookie、会话ID进行关联，同一用户在会话关闭或浏览器更换时，会出现误关联，使得分析数据不准确，使得事实上无法精确执行WEB审计，造成一定的安全隐患的问题，提供了一种优化的基于操作集的WEB审计方法。

本发明所采用的技术方案是，一种基于操作集的WEB审计方法，所述方法包括以下步骤：

步骤1：配置审计对象信息、操作集及退出操作集；

步骤2：获取审计对象流量，解析流量信息；

步骤3：判断解析到的流量信息是否能够获得已有会话标记；

步骤4：经过n个预设时间t的学习，总结出n个同一SIP的URL访问路线；

步骤5：分析n个URL访问路线，分析结果；根据分析结果返回步骤1或进行下一步；

步骤6：将访问路线发送至审计模块。

优选地，所述步骤1中，所述审计对象信息包括审计对象的IP、端口。

优选地，所述步骤1中，配置所述操作集包括配置登录IP、目的URL、操作时间。

优选地，所述步骤1中，配置所述退出操作集包括配置超时时间、退出请求。

优选地，所述步骤2中，流量信息包括SIP、URL、时间戳A。

优选地，步骤3包括以下步骤：

步骤3.1：将解析到的SIP与审计库进行匹配，若匹配不成功，则进行步骤3.2，否则，进行步骤3.3；

步骤3.2：若解析到的URL为退出请求，则生成新的会话标识A，会话结束标识为1，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中，否则，生成新的会话标识A，会话结束标识为0，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中；

进行步骤3.7；

步骤3.3：提取匹配到的最后一条数据的会话标识B、时间戳B和会话结束标识B；

步骤3.4：若所述会话结束标识B为1，则返回步骤3.2，否则进行下一步；

步骤3.5：若解析到的URL为退出请求，则令会话结束标识B为1，将URL、时间戳A和会话结束标识B保存至审计库中，进行步骤3.7，否则，进行下一步；

步骤3.6：若时间戳A与时间戳B的时间间隔超出退出操作集执行的标准，则令会话结束标识B为1，生成新的会话标识A且会话结束标识为0，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中，否则，将URL、时间戳A、会话标识B及会话结束标识B保存至审计库中，会话结束标识B为0；

进行步骤3.7；

步骤3.7：判断是否已经经过了n个预设时间t的学习，若是，进行步骤4，否则，返回步骤2。

优选地，所述会话结束标识初始值默认为0。

优选地，所述步骤5中，若n个URL访问路线的相似性小，则返回步骤1，重新配置操作集，进行会话重新梳理；若n个URL访问路线的相似性大，则操作集合理，进行下一步。

本发明提供了一种优化的基于操作集的WEB审计方法，通过配置合理的审计对象信息、操作集及退出操作集后，获取审计对象流量，解析流量信息，判断解析到的流量信息是否能够获得已有会话标记，经过n个预设时间t的学习，总结出n个同一SIP的URL访问路线，分析n个URL访问路线，分析结果，根据分析结果，若满足需求则将访问路线发送至审计模块，否则修改配置内容。

本发明将获取到的服务器流量进行解析，得到服务器访问信息，归纳、梳理为操作集，将同一操作集用户定义为一个用户会话，通过会话管理对用户操作行为进行识别，以便审计；根据操作集梳理用户行为，效率高，审计准确率高。

附图说明

图1为本发明的流程图；

图2为本发明中步骤3的流程图。

具体实施方式

下面结合实施例对本发明做进一步的详细描述，但本发明的保护范围并不限于此。

本发明涉及一种基于操作集的WEB审计方法，所述方法包括以下步骤。

步骤1：配置审计对象信息、操作集及退出操作集。

所述步骤1中，所述审计对象信息包括审计对象的IP、端口。

所述步骤1中，配置所述操作集包括配置登录IP、目的URL、操作时间。

所述步骤1中，配置所述退出操作集包括配置超时时间、退出请求。

本发明中，操作集可以被配置及调整，配置的内容包括但不限于登录IP、目的URL、操作时间。

本发明中，退出操作集也可以被配置及调整，配置的内容包括但不限于超时时间、退出请求。

步骤2：获取审计对象流量，解析流量信息。

所述步骤2中，流量信息包括SIP、URL、时间戳A。

本发明中，如有需要，审计对象流量可以被解析得到更多的流量信息，包括但不限于SIP、URL、时间戳A。

步骤3：判断解析到的流量信息是否能够获得已有会话标记。

步骤3包括以下步骤：

步骤3.1：将解析到的SIP与审计库进行匹配，若匹配不成功，则进行步骤3.2，否则，进行步骤3.3；

步骤3.2：若解析到的URL为退出请求，则生成新的会话标识A，会话结束标识为1，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中，否则，生成新的会话标识A，会话结束标识为0，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中；

进行步骤3.7；

步骤3.3：提取匹配到的最后一条数据的会话标识B、时间戳B和会话结束标识B；

步骤3.4：若所述会话结束标识B为1，则返回步骤3.2，否则进行下一步；

步骤3.5：若解析到的URL为退出请求，则令会话结束标识B为1，将URL、时间戳A和会话结束标识B保存至审计库中，进行步骤3.7，否则，进行下一步；

步骤3.6：若时间戳A与时间戳B的时间间隔超出退出操作集执行的标准，则令会话结束标识B为1，生成新的会话标识A且会话结束标识为0，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中，否则，将URL、时间戳A、会话标识B及会话结束标识B保存至审计库中，会话结束标识B为0；

进行步骤3.7；

步骤3.7：判断是否已经经过了n个预设时间t的学习，若是，进行步骤4，否则，返回步骤2。

所述会话结束标识初始值默认为0。

本发明中，解析到的SIP、URL与审计库进行匹配，若匹配不成功，则表示为新发生的对话，故随机生成一个随机数作为会话标识后，将SIP、URL、时间戳A、会话标识保存至审计库中。

本发明中，解析到的SIP、URL与审计库进行匹配，若匹配成功，则提取最后一条数据，当会话结束标识为0时，表示会话还未结束，故返回到步骤3.2继续进行会话记录；当时间戳A和时间戳B的间隔大于退出操作集执行的标准，如大于超时时间，则强制返回到步骤3.2且将会话强制结束，否则继续保存会话信息到审计库中。

本发明中，还需要进一步确认URL是否满足退出请求，若是，则将会话强制结束。

本发明中，具体来说，如果是退出请求，则正常会话退出，若不是，但超过会话时限，则也会记录为退出；此处主要为了记录一个会话从开始到结束所包含的URL请求。

本发明中，最后所有的SIP、URL、时间戳A、数据会话标识将被保存到审计库中。

步骤4：经过n个预设时间t的学习，总结出n个同一SIP的URL访问路线。

本发明中，经过t时间的学习，能够总结每个SIP的URL访问线路，故经过n个预设时间t的学习，可以总结出n个同一SIP的URL访问路线。

步骤5：分析n个URL访问路线，分析结果；根据分析结果返回步骤1或进行下一步。

所述步骤5中，若n个URL访问路线的相似性小，则返回步骤1，重新配置操作集，进行会话重新梳理；若n个URL访问路线的相似性大，则操作集合理，进行下一步。

本发明中，相似度通常采用公开的方法计算样本距离，得到相似度结果。

本发明中，经过学习后，同一个用户每次会话所包含的URL是相似的，即用户每次登录操作是类似的，就可以将会话中包含的操作作为该用户的会话操作集进行处理，操作集合理。

步骤6：将访问路线发送至审计模块。

本发明中，审计模块是审计设备的功能模块。

本发明中，可以通过操作集进行用户行为梳理；通过相似度，可以验证操作集对用户行为梳理的正确性；通过退出请求或超时请求判断用户操作该次会话是否结束，即设置关闭。

本发明通过配置合理的审计对象信息、操作集及退出操作集后，获取审计对象流量，解析流量信息，判断解析到的流量信息是否能够获得已有会话标记，经过n个预设时间t的学习，总结出n个同一SIP的URL访问路线，分析n个URL访问路线，分析结果，根据分析结果，若满足需求则将访问路线发送至审计模块，否则修改配置内容。

本发明将获取到的服务器流量进行解析，得到服务器访问信息，归纳、梳理为操作集，将同一操作集用户定义为一个用户会话，通过会话管理对用户操作行为进行识别，以便审计；根据操作集梳理用户行为，效率高，审计准确率高。

Claims (4)

1.一种基于操作集的WEB审计方法，其特征在于：所述方法包括以下步骤：

步骤1：配置审计对象信息、操作集及退出操作集；配置所述操作集包括配置登录IP、目的URL、操作时间，配置所述退出操作集包括配置超时时间、退出请求；

步骤2：获取审计对象流量，解析流量信息；

步骤3：判断解析到的流量信息是否能够获得已有会话标记；步骤3包括以下步骤：

步骤3.1：将解析到的SIP与审计库进行匹配，若匹配不成功，则进行步骤3.2，否则，进行步骤3.3；

步骤3.2：若解析到的URL为退出请求，则生成新的会话标识A，会话结束标识为1，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中，否则，生成新的会话标识A，会话结束标识为0，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中；

进行步骤3.7；

步骤3.3：提取匹配到的最后一条数据的会话标识B、时间戳B和会话结束标识B；

步骤3.4：若所述会话结束标识B为1，则返回步骤3.2，否则进行下一步；

步骤3.5：若解析到的URL为退出请求，则令会话结束标识B为1，将URL、时间戳A和会话结束标识B保存至审计库中，进行步骤3.7，否则，进行下一步；

步骤3.6：若时间戳A与时间戳B的时间间隔超出退出操作集执行的标准，则令会话结束标识B为1，生成新的会话标识A且会话结束标识为0，将URL、时间戳A、会话标识A、会话结束标识保存至审计库中，否则，将URL、时间戳A、会话标识B及会话结束标识B保存至审计库中，会话结束标识B为0；

进行步骤3.7；

步骤3.7：判断是否已经经过了n个预设时间t的学习，若是，进行步骤4，否则，返回步骤2；

步骤4：经过n个预设时间t的学习，总结出n个同一SIP的URL访问路线；

步骤5：分析n个URL访问路线，分析结果；若n个URL访问路线的相似性小，则返回步骤1，重新配置操作集，进行会话重新梳理；若n个URL访问路线的相似性大，则操作集合理，进行下一步；

步骤6：将访问路线发送至审计模块。

2.根据权利要求1所述的一种基于操作集的WEB审计方法，其特征在于：所述步骤1中，所述审计对象信息包括审计对象的IP、端口。

3.根据权利要求1所述的一种基于操作集的WEB审计方法，其特征在于：所述步骤2中，流量信息包括SIP、URL、时间戳A。

4.根据权利要求1所述的一种基于操作集的WEB审计方法，其特征在于：所述会话结束标识初始值默认为0。

Images