CN111131187B - 一种基于操作集的web审计方法 - Google Patents
一种基于操作集的web审计方法 Download PDFInfo
- Publication number
- CN111131187B CN111131187B CN201911245652.0A CN201911245652A CN111131187B CN 111131187 B CN111131187 B CN 111131187B CN 201911245652 A CN201911245652 A CN 201911245652A CN 111131187 B CN111131187 B CN 111131187B
- Authority
- CN
- China
- Prior art keywords
- session
- identifier
- operation set
- url
- timestamp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种基于操作集的WEB审计方法,通过配置合理的审计对象信息、操作集及退出操作集后,获取审计对象流量,解析流量信息,判断解析到的流量信息是否能够获得已有会话标记,经过n个预设时间t的学习,总结出n个同一SIP的URL访问路线,分析n个URL访问路线,分析结果,根据分析结果,若满足需求则将访问路线发送至审计模块,否则修改配置内容。本发明将获取到的服务器流量进行解析,得到服务器访问信息,归纳、梳理为操作集,将同一操作集用户定义为一个用户会话,通过会话管理对用户操作行为进行识别,以便审计;根据操作集梳理用户行为,效率高,审计准确率高。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种基于操作集的WEB审计方法。
背景技术
随着网络(WEB)应用技术的不断进步与发展,信息化办公越来越普及,WEB应用系统被使用在越来越多的场合,如财务系统、审批系统等,WEB应用程序承载了越来越多的业务与重要数据。由于WEB应用程序开发者的疏忽或水平限制,WEB应用普遍存在脆弱性,所以,保障WEB应用的安全、保障业务数据的安全、为WEB应用用户提供稳定且安全的服务是每个WEB应用服务商亟待解决的问题。
现有的WEB应用安全防护主要分为检测类和防护类,这两种方式的结合能够大大提高WEB应用服务的安全性,但难以执行根因分析和事后追溯的操作,这对于整个WEB应用的生态是不利的。故为了让WEB业务应用越来越健壮,WEB业务审计也渐渐成为WEB应用安全防护常见手段之一。
WEB业务审计是将WEB应用的所有业务操作进行关联及分析。目前,WEB应用的业务操作关联、分析大部分采用Cookie、会话ID的方式,如申请号为201811229213.6的中国发明即公开了一种匹配数据库访问用户的审计方法,登记WEB服务器用户登录使用的uri,并获取用户名称;登记WEB服务器的会话名,根据用户的会话ID获取用户对应的所有WEB操作的http数据;从用户对应的所有操作的http数据中获取第一关键字;将出现频率超过一预设值的第一关键字过滤掉,得到第二关键字,将所述第二关键字与对应的会话ID对应保存;获取WEB服务器对数据库的操作,从对应的SQL中解析提取第三关键字;将第二关键字与第三关键字进行匹配,将匹配一致的第二关键字对应的用户名称与第三关键字对应的SQL语句进行对应保存,同时还公开了一种匹配数据库访问用户的审计系统,创建前端的用户访问行为与后端的数据库改变的关联关系,准确度高,效率高。
然而,现有技术中采用Cookie、会话ID进行关联,同一用户在会话关闭或浏览器更换时,会出现误关联,使得分析数据不准确,使得事实上无法精确执行WEB审计,造成一定的安全隐患。
发明内容
本发明解决了现有技术中,采用Cookie、会话ID进行关联,同一用户在会话关闭或浏览器更换时,会出现误关联,使得分析数据不准确,使得事实上无法精确执行WEB审计,造成一定的安全隐患的问题,提供了一种优化的基于操作集的WEB审计方法。
本发明所采用的技术方案是,一种基于操作集的WEB审计方法,所述方法包括以下步骤:
步骤1:配置审计对象信息、操作集及退出操作集;
步骤2:获取审计对象流量,解析流量信息;
步骤3:判断解析到的流量信息是否能够获得已有会话标记;
步骤4:经过n个预设时间t的学习,总结出n个同一SIP的URL访问路线;
步骤5:分析n个URL访问路线,分析结果;根据分析结果返回步骤1或进行下一步;
步骤6:将访问路线发送至审计模块。
优选地,所述步骤1中,所述审计对象信息包括审计对象的IP、端口。
优选地,所述步骤1中,配置所述操作集包括配置登录IP、目的URL、操作时间。
优选地,所述步骤1中,配置所述退出操作集包括配置超时时间、退出请求。
优选地,所述步骤2中,流量信息包括SIP、URL、时间戳A。
优选地,步骤3包括以下步骤:
步骤3.1:将解析到的SIP与审计库进行匹配,若匹配不成功,则进行步骤3.2,否则,进行步骤3.3;
步骤3.2:若解析到的URL为退出请求,则生成新的会话标识A,会话结束标识为1,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中,否则,生成新的会话标识A,会话结束标识为0,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中;
进行步骤3.7;
步骤3.3:提取匹配到的最后一条数据的会话标识B、时间戳B和会话结束标识B;
步骤3.4:若所述会话结束标识B为1,则返回步骤3.2,否则进行下一步;
步骤3.5:若解析到的URL为退出请求,则令会话结束标识B为1,将URL、时间戳A和会话结束标识B保存至审计库中,进行步骤3.7,否则,进行下一步;
步骤3.6:若时间戳A与时间戳B的时间间隔超出退出操作集执行的标准,则令会话结束标识B为1,生成新的会话标识A且会话结束标识为0,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中,否则,将URL、时间戳A、会话标识B及会话结束标识B保存至审计库中,会话结束标识B为0;
进行步骤3.7;
步骤3.7:判断是否已经经过了n个预设时间t的学习,若是,进行步骤4,否则,返回步骤2。
优选地,所述会话结束标识初始值默认为0。
优选地,所述步骤5中,若n个URL访问路线的相似性小,则返回步骤1,重新配置操作集,进行会话重新梳理;若n个URL访问路线的相似性大,则操作集合理,进行下一步。
本发明提供了一种优化的基于操作集的WEB审计方法,通过配置合理的审计对象信息、操作集及退出操作集后,获取审计对象流量,解析流量信息,判断解析到的流量信息是否能够获得已有会话标记,经过n个预设时间t的学习,总结出n个同一SIP的URL访问路线,分析n个URL访问路线,分析结果,根据分析结果,若满足需求则将访问路线发送至审计模块,否则修改配置内容。
本发明将获取到的服务器流量进行解析,得到服务器访问信息,归纳、梳理为操作集,将同一操作集用户定义为一个用户会话,通过会话管理对用户操作行为进行识别,以便审计;根据操作集梳理用户行为,效率高,审计准确率高。
附图说明
图1为本发明的流程图;
图2为本发明中步骤3的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种基于操作集的WEB审计方法,所述方法包括以下步骤。
步骤1:配置审计对象信息、操作集及退出操作集。
所述步骤1中,所述审计对象信息包括审计对象的IP、端口。
所述步骤1中,配置所述操作集包括配置登录IP、目的URL、操作时间。
所述步骤1中,配置所述退出操作集包括配置超时时间、退出请求。
本发明中,操作集可以被配置及调整,配置的内容包括但不限于登录IP、目的URL、操作时间。
本发明中,退出操作集也可以被配置及调整,配置的内容包括但不限于超时时间、退出请求。
步骤2:获取审计对象流量,解析流量信息。
所述步骤2中,流量信息包括SIP、URL、时间戳A。
本发明中,如有需要,审计对象流量可以被解析得到更多的流量信息,包括但不限于SIP、URL、时间戳A。
步骤3:判断解析到的流量信息是否能够获得已有会话标记。
步骤3包括以下步骤:
步骤3.1:将解析到的SIP与审计库进行匹配,若匹配不成功,则进行步骤3.2,否则,进行步骤3.3;
步骤3.2:若解析到的URL为退出请求,则生成新的会话标识A,会话结束标识为1,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中,否则,生成新的会话标识A,会话结束标识为0,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中;
进行步骤3.7;
步骤3.3:提取匹配到的最后一条数据的会话标识B、时间戳B和会话结束标识B;
步骤3.4:若所述会话结束标识B为1,则返回步骤3.2,否则进行下一步;
步骤3.5:若解析到的URL为退出请求,则令会话结束标识B为1,将URL、时间戳A和会话结束标识B保存至审计库中,进行步骤3.7,否则,进行下一步;
步骤3.6:若时间戳A与时间戳B的时间间隔超出退出操作集执行的标准,则令会话结束标识B为1,生成新的会话标识A且会话结束标识为0,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中,否则,将URL、时间戳A、会话标识B及会话结束标识B保存至审计库中,会话结束标识B为0;
进行步骤3.7;
步骤3.7:判断是否已经经过了n个预设时间t的学习,若是,进行步骤4,否则,返回步骤2。
所述会话结束标识初始值默认为0。
本发明中,解析到的SIP、URL与审计库进行匹配,若匹配不成功,则表示为新发生的对话,故随机生成一个随机数作为会话标识后,将SIP、URL、时间戳A、会话标识保存至审计库中。
本发明中,解析到的SIP、URL与审计库进行匹配,若匹配成功,则提取最后一条数据,当会话结束标识为0时,表示会话还未结束,故返回到步骤3.2继续进行会话记录;当时间戳A和时间戳B的间隔大于退出操作集执行的标准,如大于超时时间,则强制返回到步骤3.2且将会话强制结束,否则继续保存会话信息到审计库中。
本发明中,还需要进一步确认URL是否满足退出请求,若是,则将会话强制结束。
本发明中,具体来说,如果是退出请求,则正常会话退出,若不是,但超过会话时限,则也会记录为退出;此处主要为了记录一个会话从开始到结束所包含的URL请求。
本发明中,最后所有的SIP、URL、时间戳A、数据会话标识将被保存到审计库中。
步骤4:经过n个预设时间t的学习,总结出n个同一SIP的URL访问路线。
本发明中,经过t时间的学习,能够总结每个SIP的URL访问线路,故经过n个预设时间t的学习,可以总结出n个同一SIP的URL访问路线。
步骤5:分析n个URL访问路线,分析结果;根据分析结果返回步骤1或进行下一步。
所述步骤5中,若n个URL访问路线的相似性小,则返回步骤1,重新配置操作集,进行会话重新梳理;若n个URL访问路线的相似性大,则操作集合理,进行下一步。
本发明中,相似度通常采用公开的方法计算样本距离,得到相似度结果。
本发明中,经过学习后,同一个用户每次会话所包含的URL是相似的,即用户每次登录操作是类似的,就可以将会话中包含的操作作为该用户的会话操作集进行处理,操作集合理。
步骤6:将访问路线发送至审计模块。
本发明中,审计模块是审计设备的功能模块。
本发明中,可以通过操作集进行用户行为梳理;通过相似度,可以验证操作集对用户行为梳理的正确性;通过退出请求或超时请求判断用户操作该次会话是否结束,即设置关闭。
本发明通过配置合理的审计对象信息、操作集及退出操作集后,获取审计对象流量,解析流量信息,判断解析到的流量信息是否能够获得已有会话标记,经过n个预设时间t的学习,总结出n个同一SIP的URL访问路线,分析n个URL访问路线,分析结果,根据分析结果,若满足需求则将访问路线发送至审计模块,否则修改配置内容。
本发明将获取到的服务器流量进行解析,得到服务器访问信息,归纳、梳理为操作集,将同一操作集用户定义为一个用户会话,通过会话管理对用户操作行为进行识别,以便审计;根据操作集梳理用户行为,效率高,审计准确率高。
Claims (4)
1.一种基于操作集的WEB审计方法,其特征在于:所述方法包括以下步骤:
步骤1:配置审计对象信息、操作集及退出操作集;配置所述操作集包括配置登录IP、目的URL、操作时间,配置所述退出操作集包括配置超时时间、退出请求;
步骤2:获取审计对象流量,解析流量信息;
步骤3:判断解析到的流量信息是否能够获得已有会话标记;步骤3包括以下步骤:
步骤3.1:将解析到的SIP与审计库进行匹配,若匹配不成功,则进行步骤3.2,否则,进行步骤3.3;
步骤3.2:若解析到的URL为退出请求,则生成新的会话标识A,会话结束标识为1,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中,否则,生成新的会话标识A,会话结束标识为0,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中;
进行步骤3.7;
步骤3.3:提取匹配到的最后一条数据的会话标识B、时间戳B和会话结束标识B;
步骤3.4:若所述会话结束标识B为1,则返回步骤3.2,否则进行下一步;
步骤3.5:若解析到的URL为退出请求,则令会话结束标识B为1,将URL、时间戳A和会话结束标识B保存至审计库中,进行步骤3.7,否则,进行下一步;
步骤3.6:若时间戳A与时间戳B的时间间隔超出退出操作集执行的标准,则令会话结束标识B为1,生成新的会话标识A且会话结束标识为0,将URL、时间戳A、会话标识A、会话结束标识保存至审计库中,否则,将URL、时间戳A、会话标识B及会话结束标识B保存至审计库中,会话结束标识B为0;
进行步骤3.7;
步骤3.7:判断是否已经经过了n个预设时间t的学习,若是,进行步骤4,否则,返回步骤2;
步骤4:经过n个预设时间t的学习,总结出n个同一SIP的URL访问路线;
步骤5:分析n个URL访问路线,分析结果;若n个URL访问路线的相似性小,则返回步骤1,重新配置操作集,进行会话重新梳理;若n个URL访问路线的相似性大,则操作集合理,进行下一步;
步骤6:将访问路线发送至审计模块。
2.根据权利要求1所述的一种基于操作集的WEB审计方法,其特征在于:所述步骤1中,所述审计对象信息包括审计对象的IP、端口。
3.根据权利要求1所述的一种基于操作集的WEB审计方法,其特征在于:所述步骤2中,流量信息包括SIP、URL、时间戳A。
4.根据权利要求1所述的一种基于操作集的WEB审计方法,其特征在于:所述会话结束标识初始值默认为0。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911245652.0A CN111131187B (zh) | 2019-12-07 | 2019-12-07 | 一种基于操作集的web审计方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911245652.0A CN111131187B (zh) | 2019-12-07 | 2019-12-07 | 一种基于操作集的web审计方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111131187A CN111131187A (zh) | 2020-05-08 |
CN111131187B true CN111131187B (zh) | 2022-03-25 |
Family
ID=70497737
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911245652.0A Active CN111131187B (zh) | 2019-12-07 | 2019-12-07 | 一种基于操作集的web审计方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111131187B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7640245B1 (en) * | 2004-06-08 | 2009-12-29 | Microsoft Corporation | System and method for auditing a network server configuration |
CN102004770A (zh) * | 2010-11-16 | 2011-04-06 | 杭州迪普科技有限公司 | 一种网页审计方法及装置 |
CN103886024A (zh) * | 2014-02-24 | 2014-06-25 | 上海上讯信息技术股份有限公司 | 一种基于多层业务关联的数据库审计方法及系统 |
CN107122408A (zh) * | 2017-03-24 | 2017-09-01 | 深圳昂楷科技有限公司 | 信息关联及其数据库审计方法、审计系统 |
CN107547310A (zh) * | 2017-08-24 | 2018-01-05 | 杭州安恒信息技术有限公司 | 一种基于旁路审计设备的用户行为关联分析方法及系统 |
CN110134653A (zh) * | 2019-05-17 | 2019-08-16 | 杭州安恒信息技术股份有限公司 | 一种利用日志辅助数据库审计方法及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090132579A1 (en) * | 2007-11-21 | 2009-05-21 | Kwang Edward M | Session audit manager and method |
-
2019
- 2019-12-07 CN CN201911245652.0A patent/CN111131187B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7640245B1 (en) * | 2004-06-08 | 2009-12-29 | Microsoft Corporation | System and method for auditing a network server configuration |
CN102004770A (zh) * | 2010-11-16 | 2011-04-06 | 杭州迪普科技有限公司 | 一种网页审计方法及装置 |
CN103886024A (zh) * | 2014-02-24 | 2014-06-25 | 上海上讯信息技术股份有限公司 | 一种基于多层业务关联的数据库审计方法及系统 |
CN107122408A (zh) * | 2017-03-24 | 2017-09-01 | 深圳昂楷科技有限公司 | 信息关联及其数据库审计方法、审计系统 |
CN107547310A (zh) * | 2017-08-24 | 2018-01-05 | 杭州安恒信息技术有限公司 | 一种基于旁路审计设备的用户行为关联分析方法及系统 |
CN110134653A (zh) * | 2019-05-17 | 2019-08-16 | 杭州安恒信息技术股份有限公司 | 一种利用日志辅助数据库审计方法及系统 |
Non-Patent Citations (3)
Title |
---|
基于数据挖掘的Web入侵检测;尹淑玲等;《网络空间安全》;20160810(第08期);全文 * |
基于模板的WebMail审计系统的设计与实现;朱随江等;《计算机应用与软件》;20110930(第09期);全文 * |
网络内容审计系统构建;朱贺军等;《信息网络安全》;20100410(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN111131187A (zh) | 2020-05-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107657174B (zh) | 一种基于协议指纹的数据库入侵检测方法 | |
CN107302547B (zh) | 一种web业务异常检测方法及装置 | |
US7073074B2 (en) | System and method for storing events to enhance intrusion detection | |
Antunes et al. | Reverse engineering of protocols from network traces | |
CN106961419B (zh) | WebShell检测方法、装置及系统 | |
KR101327317B1 (ko) | Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템 | |
EP2244418A1 (en) | Database security monitoring method, device and system | |
CN109194671A (zh) | 一种异常访问行为的识别方法及服务器 | |
US10057155B2 (en) | Method and apparatus for determining automatic scanning action | |
CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
CN110648172A (zh) | 一种融合多种移动设备的身份识别方法和系统 | |
CN113486343A (zh) | 一种攻击行为的检测方法、装置、设备和介质 | |
CN111131187B (zh) | 一种基于操作集的web审计方法 | |
CN111581057B (zh) | 一种通用日志解析方法、终端设备及存储介质 | |
Antunes et al. | ReverX: Reverse engineering of protocols | |
CN106982147B (zh) | 一种Web通讯应用的通讯监控方法和装置 | |
CN115296892B (zh) | 数据信息服务系统 | |
CN107911232B (zh) | 一种确定业务操作规则的方法及装置 | |
CN105099996B (zh) | 网站验证方法及装置 | |
CN116248393A (zh) | 一种内网数据传输漏洞扫描装置及系统 | |
CN115174205A (zh) | 一种网络空间安全实时监测方法、系统及计算机存储介质 | |
CN111177595B (zh) | 一种针对http协议模板化提取资产信息的方法 | |
CN110147491B (zh) | 一种引流信息识别方法和装置 | |
Ma et al. | Grammatch: An automatic protocol feature extraction and identification system | |
CN112347333A (zh) | 一种数据库的事件关联方法与审计系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |