CN115550068B - 一种主机日志信息安全审计方法 - Google Patents

Abstract

本发明公开了一种主机日志信息安全审计方法，属于网络信息安全技术领域，包括：安装客户端，配置连接信息并连接至服务端；客户端接收服务端配置的审计策略项；客户端执行服务端下发的审计策略项；客户端将执行审计策略项后产生的审计日志数据上报至服务端；服务端对有异常事件或违规事件发生的审计日志数据分别进行告警；服务端将系统内所有审计日志数据存储在数据库内并在页面进行统计分析和分类展示；本发明通过统计网络内终端的硬件信息、操作系统信息、用户操作和系统日志信息，并进行异常/违规事件告警；实现了对所有用户的所有关键操作进行审计，有助于管理员审计所有事件，任何事件都有据可依，有据可查，保证了网内信息安全。

Description

一种主机日志信息安全审计方法

技术领域

本发明涉及网络信息安全技术领域，具体为一种主机日志信息安全审计方法。

背景技术

网络的高速发展在给人类带来极大的方便的同时也给人类带来新的安全威胁：非授权访问、冒充各发用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、违规传输敏感文件等。解决网络安全问题包括多种手段，比如选择安全的系统，加强安全管理，使用防火墙等。但这些方法对安全内网等环境中的主机及其系统，是起不到保护作用的。尽管这些系统在物理上与外部网络完全隔离，但由于其中敏感信息的多安全属性，仍面临着黑客、内部人员的滥用系统等严峻的挑战。因此对于这种在物理上与外部完全隔离的安全内网来说、其重点应放在防止内部用户在内部网络中，特别是针对核心主机发生的滥用事件导致安全事件和数据泄露事件的发生，而不是放在防止外部黑客的入侵上。所以急需一种主机日志信息安全审计方法对网络内的安全数据进行综合审计。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明提供了一种主机日志信息安全审计方法，通过统计网络内终端的硬件信息、操作系统信息、用户操作和系统日志信息，并进行异常/违规事件告警；实现了对所有用户的所有关键操作进行审计，有助于管理员审计所有事件，任何事件都有据可依，有据可查，保证了网内信息安全。

为实现上述目的，本申请提供了一种主机日志信息安全审计方法，包括：安装客户端，配置连接信息并连接至服务端；

客户端接收服务端配置的审计策略项；

客户端执行服务端下发的审计策略项；

客户端将执行审计策略项后产生的审计日志数据上报至服务端；

服务端对有异常事件或违规事件发生的审计日志数据分别进行告警；

服务端将系统内所有审计日志数据存储在数据库内并在页面进行统计分析和分类展示。

优选地，所述审计策略项包括终端硬件信息、操作系统信息、用户操作信息和系统日志信息四个方面。

优选地，所述终端硬件信息对应的审计策略项包括：

终端资源信息审计，用于查看主机当前CPU、内存信息、硬盘剩余空间，并实时显示；

端口信息审计，用于查询终端主机中正在使用的端口信息；

硬件信息审计，用于周期性扫描主机硬件信息并上报；

端口扫描审计，用于对端口扫描的恶意行为进行检测；

端口监控审计，用于对指定端口进行审计，审计内容包括使用端口的进程ID以及使用端口的进程名、端口号、端口使用用户信息；

磁盘空间审计，用于对本地磁盘空间使用率进行监控；

高负荷运行监控，用于对CPU使用率和内存使用率进行监控。

优选地，所述服务端对有异常事件或违规事件发生的审计日志数据分别进行告警包括：所述服务端配置有异常/违规事件告警策略，并依据所述异常/违规事件告警策略对全部审计日志数据进行分析；

所述终端硬件信息对应的异常/违规事件告警策略包括：

周期性扫描主机硬件信息，首次扫描主机硬件信息为正常，间隔固定周期扫描终端主机硬件信息，若主机硬件信息有变动则产生异常告警；

对端口扫描行为进行审计，如果某IP 在一定时间范围内多次访问某端口并且超出一定次数时，则认为该 IP 正在进行端口扫描，选择是否配置防御功能，并对多次访问端口的异常动作信息产生违规告警；

针对端口监控审计设置端口黑名单，对使用黑名单端口的情况产生违规告警；

设置磁盘占用率百分比和告警类别，对超过磁盘使用率的情况产生相应告警；

设置CPU占用和内存占用百分比，对超过使用率的情况产生异常告警。

优选地，所述操作系统信息对应的审计策略项包括：

进程信息审计，用于查询主机中正在运行的所有进程信息；

软件安装信息审计，用于对终端主机软件信息变动情况进行审计；

HTTP审计，系统对终端主机中指定的HTTP访问进行审计，对指定URL，允许以任何方式访问HTTP网站，审计内容包括URL、访问用户和访问时间信息；

进程基础审计，用于对主机上的系统进程进行监控，监控项包括进程名称、公司名称、产品名称、源文件名、计算机账户、计算机IP地址、MAC地址、内存占用、进程启动和终止事件；

进程行为审计，用于对计算机中的指定进程做进程信息采集，包括创建的子进程信息和进程的网络行为信息；

进程流量审计，用于对计算机进程的上传流量和下载流量进行监控；

系统服务审计，用于对主机上的系统服务进行监控，监控项包括服务名称、服务描述、启动或关闭、计算机账户、计算机IP地址、MAC地址、服务启动和终止时间；

ARP攻击审计，用于识别ARP攻击，同时检测专用机 IP 地址冲突问题。

优选地，所述操作系统信息对应的异常/违规事件告警策略包括：

定时扫描系统软件情况，软件信息异常时产生异常告警；

针对进程基础审计设置进程黑名单和告警类别，对使用黑名单进程的情况产生相应告警并进行阻断；

针对进程流量审计设置进程名称和流量阈值，当上传流量或下载流量超出配置的流量阈值时，对超出流量阈值的动作产生告警并进行阻断；

针对系统服务审计，设置系统服务黑名单和告警类别，对使用黑名单中的系统服务的情况产生相应告警；

针对ARP攻击审计，自定义防御机制，自动、手动绑定网关IP/MAC，对网关欺骗、一般欺骗、带宽限制的行为进行审计，对识别到ARP攻击情况产生违规告警。

优选地，所述用户操作信息对应的审计策略项包括：

刻录审计，用于监控用户所有刻录动作和刻录文件，当发生刻录事件时进行刻录审计，监视文件流出；刻录事件发生时产生审计信息，包括刻录机型号、光盘属性、刻录文件名称及大小、文件类型、所在路径、计算机账户、刻录事件和成功与否信息；

打印审计，用于当打印事件发生时产生审计信息，审计信息至少包括用户信息、硬件信息、打印时间、打印文件名称、文件类型、打印份数、打印页数和打印结果；

浏览器信息审计，用于对终端主机中浏览器的网络访问操作行为进行查询，包括浏览器访问历史、浏览器已安装插件、浏览器下载记录信息；

网络流量信息审计，用于审计终端主机中产生的上传流量和下载流量；

指定目录/文件审计，用于审计指定目录或指定文件的创建、打开、修改、删除和重命名的操作行为，产生日志内容包括文件属性、所属用户、操作类型、操作对象、源文件名、目标文件名和操作时间信息，操作类型包括创建、打开、修改、删除和重命名。

优选地，所述用户操作信息对应的异常/违规事件告警策略包括：针对网络流量信息审计设置流量阈值和告警类别，对超出阈值的情况进行上报并产生相应告警。

优选地，所述系统日志信息对应的审计策略项包括：

系统日志信息审计，用于审计终端主机的操作系统日志，查看操作系统异常信息；

专用机系统安全审计，用于审计专用机操作系统安全相关的事件，包括软件安装卸载事件、安全策略变更事件、可执行程序加载事件、违反操作系统访问控制策略、身份鉴别、安全审计相关事件、其他系统安全事件；

账户信息审计，用于审计终端主机的所有账户信息，防范异常账户操作，当系统账户发生修改或删除账户操作时，产生审计日志数据；

系统登录审计，用于审计终端主机的所有开机、关机、注销、登录行为；

网络配置审计，用于对网络配置变更进行审计，主机网络配置发生变化时，产生审计日志数据；

网络连接审计，用于对计算机的网络连接行为黑/白名单式管理，支持TCP、UDP、ICMO等网络协议，同时支持按网络五元组的信息进行审计。

优选地，所述系统日志信息对应的异常/违规事件告警策略包括：

针对系统登录审计设置监控开关机时间阈值，对超过时间阈值的情况进行违规告警；

针对网络连接审计设置网络连接地址信息和告警类别，若访问黑名单中的网络连接地址，则产生相应告警信息并进行阻断。

与现有技术相比，本发明的有益效果是：

本发明通过统计网络内终端的硬件信息、操作系统信息、用户操作和系统日志信息，并进行异常/违规事件告警；实现了对计算机内所有用户的所有关键操作进行审计，并对审计信息进行统一整理和展示，有助于管理员审计所有事件并方便的做出数据的分析和报表统计，做到任何事件都有据可依、有据可查，保证网内了信息安全。

本发明是为了构建安全的保密信息系统及实现终端的安全管理而形成的研究，目的就是针对安全内网中的计算机和网络系统的安全保密要求及其在信息安全方面的特殊性，重点研究理论和技术，通过读取计算机终端操作系统日志和自身审计行为的方式，形成审计日志记录，并对一些违规操作和访问行为进行控制，对可能对终端或操作系统产生安全事件的行为进行告警。

本申请的其他特征和优点将在随后的说明书阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请了解本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

图1为本发明一种主机日志信息安全审计方法的流程框图；

图2为本发明一种主机日志信息安全审计方法的连接框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明提供的第一种实施例，一种主机日志信息安全审计方法，本申请提供了一种主机日志信息安全审计方法，包括：

S1、安装客户端，配置连接信息并连接至服务端；

S2、客户端接收服务端配置的审计策略项；

S3、客户端执行服务端下发的审计策略项；

S4、客户端将执行审计策略项后产生的审计日志数据上报至服务端；

S5、服务端对有异常事件或违规事件发生的审计日志数据分别进行告警；

S6、服务端将系统内所有审计日志数据存储在数据库内并在页面进行统计分析和分类展示。

统计分析包括按照审计日志信息的产生时间、风险级别（一般、异常、违规）、汇总方式（按小时汇总、按日汇总）、IP地址、关键字信息、部门信息、责任人信息进行审计日志的统计分析，形成饼状图和柱状图。

具体的，所述审计策略项包括终端硬件信息、操作系统信息、用户操作信息和系统日志信息四个方面。

优选地，所述终端硬件信息对应的审计策略项包括：

终端资源信息审计，用于查看主机当前CPU、内存信息、硬盘剩余空间，并实时显示；

端口信息审计，用于查询终端主机中正在使用的端口信息；

硬件信息审计，用于周期性扫描主机硬件信息并上报；

端口扫描审计，用于对端口扫描的恶意行为进行检测；

端口监控审计，用于对指定端口进行审计，审计内容包括使用端口的进程ID以及使用端口的进程名、端口号、端口使用用户信息；

磁盘空间审计，用于对本地磁盘空间使用率进行监控；

高负荷运行监控，用于对CPU使用率和内存使用率进行监控。

具体实施时，部分审计策略项会产生大量审计日志数据，数据库存储容量需要按照实际需求进行配置。系统服务端程序需部署在网络服务器内，所需数据库可使用本地数据库或连接数据库服务器；系统客户端程序部署在终端计算机内，无需部署数据库；审计策略需管理人员在系统服务端进行手动配置并保存下发；本发明实现了对计算机内所有用户的所有关键操作进行审计，并对审计信息进行统一整理和展示，助于管理员审计所有事件，很快做出数据的分析和报表统计，做到任何事件都有据可依，有据可查，保证网内信息安全。

优选地，所述服务端对有异常事件或违规事件发生的审计日志数据分别进行告警包括：所述服务端配置有异常/违规事件告警策略，并依据所述异常/违规事件告警策略对全部审计日志数据进行分析；

所述终端硬件信息对应的异常/违规事件告警策略包括：

周期性扫描主机硬件信息，首次扫描主机硬件信息为正常，间隔固定周期扫描终端主机硬件信息，若主机硬件信息有变动则产生异常告警；

对端口扫描行为进行审计，如果某IP 在一定时间范围内多次访问某端口并且超出一定次数时，则认为该 IP 正在进行端口扫描，选择是否配置防御功能，并对多次访问端口的异常动作信息产生违规告警；

针对端口监控审计设置端口黑名单，对使用黑名单端口的情况产生违规告警；

设置磁盘占用率百分比和告警类别，对超过磁盘使用率的情况产生相应告警；

设置CPU占用和内存占用百分比，对超过使用率的情况产生异常告警。

优选地，所述操作系统信息对应的审计策略项包括：

进程信息审计，用于查询主机中正在运行的所有进程信息；

软件安装信息审计，用于对终端主机软件信息变动情况进行审计；

HTTP审计，系统对终端主机中指定的HTTP访问进行审计，对指定URL，允许以任何方式访问HTTP网站，审计内容包括URL、访问用户和访问时间信息；

进程基础审计，用于对主机上的系统进程进行监控，监控项包括进程名称、公司名称、产品名称、源文件名、计算机账户、计算机IP地址、MAC地址、内存占用、进程启动和终止事件；

进程行为审计，用于对计算机中的指定进程做进程信息采集，包括创建的子进程信息和进程的网络行为信息；

进程流量审计，用于对计算机进程的上传流量和下载流量进行监控；

系统服务审计，用于对主机上的系统服务进行监控，监控项包括服务名称、服务描述、启动或关闭、计算机账户、计算机IP地址、MAC地址、服务启动和终止时间；

ARP攻击审计，用于识别ARP攻击，同时检测专用机 IP 地址冲突问题。

优选地，所述操作系统信息对应的异常/违规事件告警策略包括：

定时扫描系统软件情况，软件信息异常时产生异常告警；

针对进程基础审计设置进程黑名单和告警类别，对使用黑名单进程的情况产生相应告警并进行阻断；

针对进程流量审计设置进程名称和流量阈值，当上传流量或下载流量超出配置的流量阈值时，对超出流量阈值的动作产生告警并进行阻断；

针对系统服务审计，设置系统服务黑名单和告警类别，对使用黑名单中的系统服务的情况产生相应告警；

针对ARP攻击审计，自定义防御机制，自动、手动绑定网关IP/MAC，对网关欺骗、一般欺骗、带宽限制的行为进行审计，对识别到ARP攻击情况产生违规告警。

优选地，所述用户操作信息对应的审计策略项包括：

刻录审计，用于监控用户所有刻录动作和刻录文件，当发生刻录事件时进行刻录审计，监视文件流出；刻录事件发生时产生审计信息，包括刻录机型号、光盘属性、刻录文件名称及大小、文件类型、所在路径、计算机账户、刻录事件和成功与否信息；

打印审计，用于当打印事件发生时产生审计信息，审计信息至少包括用户信息、硬件信息、打印时间、打印文件名称、文件类型、打印份数、打印页数和打印结果；

浏览器信息审计，用于对终端主机中浏览器的网络访问操作行为进行查询，包括浏览器访问历史、浏览器已安装插件、浏览器下载记录信息（无告警情况产生）；

网络流量信息审计，用于审计终端主机中产生的上传流量和下载流量；

指定目录/文件审计，用于审计指定目录或指定文件的创建、打开、修改、删除和重命名的操作行为，产生日志内容包括文件属性、所属用户、操作类型、操作对象、源文件名、目标文件名和操作时间信息，操作类型包括创建、打开、修改、删除和重命名。

优选地，所述用户操作信息对应的异常/违规事件告警策略包括：针对网络流量信息审计设置流量阈值和告警类别，对超出阈值的情况进行上报并产生相应告警。

优选地，所述系统日志信息对应的审计策略项包括：

系统日志信息审计，用于审计终端主机的操作系统日志，查看操作系统异常信息；

专用机系统安全审计，用于审计专用机操作系统安全相关的事件，包括软件安装卸载事件、安全策略变更事件、可执行程序加载事件、违反操作系统访问控制策略、身份鉴别、安全审计相关事件、其他系统安全事件；

账户信息审计，用于审计终端主机的所有账户信息，防范异常账户操作，当系统账户发生修改或删除账户操作时，产生审计日志数据；

系统登录审计，用于审计终端主机的所有开机、关机、注销、登录行为；

网络配置审计，用于对网络配置变更进行审计，主机网络配置发生变化时，产生审计日志数据；

网络连接审计，用于对计算机的网络连接行为黑/白名单式管理，支持TCP、UDP、ICMO等网络协议，同时支持按网络五元组的信息进行审计。

优选地，所述系统日志信息对应的异常/违规事件告警策略包括：

针对系统登录审计设置监控开关机时间阈值，对超过时间阈值的情况进行违规告警；

针对网络连接审计设置网络连接地址信息和告警类别，若访问黑名单中的网络连接地址，则产生相应告警信息并进行阻断。

如图2所示，为本发明一种主机日志信息安全审计方法的连接框图，由审计服务器下发策略至审计客户端，审计客户端的日志采集模块通过对第三方安全软件日志、本地配置信息、计算机基本信息进行采集并将日志通过通信模块上报至审计服务器，审计服务器对接收的日志进行审计，最终整理并展示。

具体的，审计客户端配置连接信息并连接至审计服务器；审计服务器配置所需审计策略项并将策略项下发至审计客户端的通信模块，审计客户端执行服务端下发的审计策略项并将执行审计策略项后产生的审计日志上报至审计服务器；审计服务器将上报的审计日志存储在数据库内并在页面进行分类展示并对有异常/违规事件发生的日志进行告警，同时还对系统内所有日志进行统一整理和展示；通过以上步骤完成对终端的网络审计，及时发现异常/违规行为。

工作原理：本发明的主机日志信息安全审计方法通过统计网络内终端的硬件信息、操作系统信息、用户操作和系统日志信息，并进行异常/违规事件告警；实现了对计算机内所有用户的所有关键操作进行审计，并对审计信息进行统一整理和统计，有助于管理员审计所有事件并方便的做出数据的分析和报表统计，做到任何事件都有据可依、有据可查，保证网内了信息安全。

本发明是为了构建安全的保密信息系统及实现终端的安全管理而形成的研究，目的就是针对安全内网中的计算机和网络系统的安全保密要求及其在信息安全方面的特殊性，重点研究理论和技术，通过读取计算机终端操作系统日志和自身审计行为的方式，形成审计日志记录，并对一些违规操作和访问行为进行控制，对可能对终端或操作系统产生安全事件的行为进行告警。

在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。其中，存储介质可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器（Static RandomAccess Memory, 简称SRAM），电可擦除可编程只读存储器（Electrically ErasableProgrammable Read-Only Memory, 简称EEPROM），可擦除可编程只读存储器（ErasableProgrammable Read Only Memory, 简称EPROM），可编程只读存储器（Programmable Red-Only Memory, 简称PROM），只读存储器（Read-Only Memory, 简称ROM），磁存储器，快闪存储器，磁盘或光盘。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。

在本申请所提供的实施例中，应该理解到，所揭露装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

Claims (5)

1.一种主机日志信息安全审计方法，其特征在于，包括：

安装客户端，配置连接信息并连接至服务端；

客户端接收服务端配置的审计策略项；

客户端执行服务端下发的审计策略项；

客户端将执行审计策略项后产生的审计日志数据上报至服务端；

服务端对有异常事件或违规事件发生的审计日志数据分别进行告警；

服务端将系统内所有审计日志数据存储在数据库内并在页面进行统计分析和分类展示；

所述审计策略项包括终端硬件信息、操作系统信息、用户操作信息和系统日志信息四个方面；

所述终端硬件信息对应的审计策略项包括：

终端资源信息审计，用于查看主机当前CPU、内存信息、硬盘剩余空间，并实时显示；

端口信息审计，用于查询终端主机中正在使用的端口信息；

硬件信息审计，用于周期性扫描主机硬件信息并上报；

端口扫描审计，用于对端口扫描的恶意行为进行检测；

端口监控审计，用于对指定端口进行审计，审计内容包括使用端口的进程ID以及使用端口的进程名、端口号、端口使用用户信息；

磁盘空间审计，用于对本地磁盘空间使用率进行监控；

高负荷运行监控，用于对CPU使用率和内存使用率进行监控；

所述服务端对有异常事件或违规事件发生的审计日志数据分别进行告警包括：所述服务端配置有异常/违规事件告警策略，并依据所述异常/违规事件告警策略对全部审计日志数据进行分析；

所述终端硬件信息对应的异常/违规事件告警策略包括：

周期性扫描主机硬件信息，首次扫描主机硬件信息为正常，间隔固定周期扫描终端主机硬件信息，若主机硬件信息有变动则产生异常告警；

对端口扫描行为进行审计，如果某IP 在一定时间范围内多次访问某端口并且超出一定次数时，则认为该 IP 正在进行端口扫描，选择是否配置防御功能，并对多次访问端口的异常动作信息产生违规告警；

针对端口监控审计设置端口黑名单，对使用黑名单端口的情况产生违规告警；

设置磁盘占用率百分比和告警类别，对超过磁盘使用率的情况产生相应告警；

设置CPU占用和内存占用百分比，对超过使用率的情况产生异常告警；

所述操作系统信息对应的审计策略项包括：

软件安装信息审计，用于对终端主机软件信息变动情况进行审计；

进程基础审计，用于对主机上的系统进程进行监控，监控项包括进程名称、公司名称、产品名称、源文件名、计算机账户、计算机IP地址、MAC地址、内存占用、进程启动和终止事件；

进程流量审计，用于对计算机进程的上传流量和下载流量进行监控；

系统服务审计，用于对主机上的系统服务进行监控，监控项包括服务名称、服务描述、启动或关闭、计算机账户、计算机IP地址、MAC地址、服务启动和终止时间；

ARP攻击审计，用于识别ARP攻击，同时检测专用机 IP 地址冲突问题；

所述操作系统信息对应的异常/违规事件告警策略包括：

定时扫描系统软件情况，软件信息异常时产生异常告警；

针对进程基础审计设置进程黑名单和告警类别，对使用黑名单进程的情况产生相应告警并进行阻断；

针对进程流量审计设置进程名称和流量阈值，当上传流量或下载流量超出配置的流量阈值时，对超出流量阈值的动作产生告警并进行阻断；

针对系统服务审计，设置系统服务黑名单和告警类别，对使用黑名单中的系统服务的情况产生相应告警；

针对ARP攻击审计，自定义防御机制，自动、手动绑定网关IP/MAC，对网关欺骗、一般欺骗、带宽限制的行为进行审计，对识别到ARP攻击情况产生违规告警；

所述系统日志信息对应的审计策略项包括：

系统登录审计，用于审计终端主机的所有开机、关机、注销、登录行为；

网络连接审计，用于对计算机的网络连接行为黑/白名单式管理，支持TCP、UDP、ICMO网络协议，同时支持按网络五元组的信息进行审计；

所述系统日志信息对应的异常/违规事件告警策略包括：

针对系统登录审计设置监控开关机时间阈值，对超过时间阈值的情况进行违规告警；

针对网络连接审计设置网络连接地址信息和告警类别，若访问黑名单中的网络连接地址，则产生相应告警信息并进行阻断。

2.根据权利要求1所述的一种主机日志信息安全审计方法，其特征在于，所述操作系统信息对应的审计策略项包括：

进程信息审计，用于查询主机中正在运行的所有进程信息；

HTTP审计，系统对终端主机中指定的HTTP访问进行审计，对指定URL，允许以任何方式访问HTTP网站，审计内容包括URL、访问用户和访问时间信息；

进程行为审计，用于对计算机中的指定进程做进程信息采集，包括创建的子进程信息和进程的网络行为信息。

3.根据权利要求2所述的一种主机日志信息安全审计方法，其特征在于，所述用户操作信息对应的审计策略项包括：

刻录审计，用于监控用户所有刻录动作和刻录文件，当发生刻录事件时进行刻录审计，监视文件流出；刻录事件发生时产生审计信息，包括刻录机型号、光盘属性、刻录文件名称及大小、文件类型、所在路径、计算机账户、刻录事件和成功与否信息；

打印审计，用于当打印事件发生时产生审计信息，审计信息至少包括用户信息、硬件信息、打印时间、打印文件名称、文件类型、打印份数、打印页数和打印结果；

浏览器信息审计，用于对终端主机中浏览器的网络访问操作行为进行查询，包括浏览器访问历史、浏览器已安装插件、浏览器下载记录信息；

网络流量信息审计，用于审计终端主机中产生的上传流量和下载流量；

指定目录/文件审计，用于审计指定目录或指定文件的创建、打开、修改、删除和重命名的操作行为，产生日志内容包括文件属性、所属用户、操作类型、操作对象、源文件名、目标文件名和操作时间信息，操作类型包括创建、打开、修改、删除和重命名。

4.根据权利要求3所述的一种主机日志信息安全审计方法，其特征在于，所述用户操作信息对应的异常/违规事件告警策略包括：针对网络流量信息审计设置流量阈值和告警类别，对超出阈值的情况进行上报并产生相应告警。

5.根据权利要求4所述的一种主机日志信息安全审计方法，其特征在于，所述系统日志信息对应的审计策略项包括：

系统日志信息审计，用于审计终端主机的操作系统日志，查看操作系统异常信息；

专用机系统安全审计，用于审计专用机操作系统安全相关的事件，包括软件安装卸载事件、安全策略变更事件、可执行程序加载事件、违反操作系统访问控制策略、身份鉴别、安全审计相关事件、其他系统安全事件；

账户信息审计，用于审计终端主机的所有账户信息，防范异常账户操作，当系统账户发生修改或删除账户操作时，产生审计日志数据；

网络配置审计，用于对网络配置变更进行审计，主机网络配置发生变化时，产生审计日志数据。

Images