專利名稱:一種網(wǎng)絡審計中的網(wǎng)絡行為報警系統(tǒng)及方法
技術(shù)領域:
本發(fā)明涉及一種網(wǎng)絡信息安全領域,特別是指一種網(wǎng)絡審計中的網(wǎng)絡行為報警系統(tǒng)及方法。
背景技術(shù):
隨著網(wǎng)絡設備價格的不斷降低���,越來越多的企業(yè)��、政府機關(guān)����、保密部門�、銀行等的工作環(huán)境開始部署網(wǎng)絡�����,并通過網(wǎng)絡來進行通訊交流和傳輸文件等�����,由于這些通訊信息中包含很多的機密信息比如企業(yè)財務報告����、政府工作記錄、銀行個人帳號信息等����,因此有必要對網(wǎng)絡中傳輸?shù)男畔?shù)據(jù)進行審計,為了降低網(wǎng)絡審計的響應時間�����,就需要在網(wǎng)絡通訊數(shù)據(jù)出現(xiàn)敏感信息的時候,使網(wǎng)絡審計系統(tǒng)能夠?qū)崟r地通知到管理員���。然而����,在目前網(wǎng)絡環(huán)境里廣泛使用的防火墻雖然具有敏感信息報警功能��,但是它主要是針對非法的網(wǎng)絡IP地址���,異常結(jié)構(gòu)的網(wǎng)絡數(shù)據(jù)包等�����,并沒有針對網(wǎng)絡數(shù)據(jù)內(nèi)容進行分析����。
另外一種廣泛使用的網(wǎng)絡安全產(chǎn)品NIDS(網(wǎng)絡入侵檢測系統(tǒng))也有敏感信息報警功能��,但是它主要是針對網(wǎng)絡攻擊數(shù)據(jù)���,比如病毒����、攻擊代碼等進行報警。在網(wǎng)絡審計中更多的是針對一些敏感信息比如在企業(yè)�、政府機關(guān)里的機要文檔信息,銀行的交易信息�、學校的對學生有害的成人暴力信息等進行審計。而且這兩種系統(tǒng)的報警方式比較單一�,更多的是在它們管理程序的界面顯示報警信息,當管理員外出的時�����,就很難實時地通知到他們�。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種網(wǎng)絡審計中的網(wǎng)絡行為報警方法及系統(tǒng)�����,其能夠針對網(wǎng)絡數(shù)據(jù)內(nèi)容進行分析�,且既使管理員不在現(xiàn)場也能夠及時地將警告通知到管理員,使管理員能夠及時對事件進行處理���。
為解決上述技術(shù)問題�����,本發(fā)明采用如下技術(shù)方案提供一種網(wǎng)絡審計中的網(wǎng)絡行為報警系統(tǒng)��,包括報警策略管理模塊����、數(shù)據(jù)分析模塊和報警模塊;報警策略管理模塊用于設置敏感信息關(guān)鍵字����、報警方式、警報聲音或/和接收方的電話號碼�����,其中報警方式包括聲音警報方式或/和短信報警方式��;
數(shù)據(jù)分析模塊用于存儲報警策略管理模塊所設置的敏感信息關(guān)鍵字���,并對審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)進行分析�,查找是否含有與敏感信息關(guān)鍵字相匹配的內(nèi)容�,若包含,則發(fā)送報警啟動命令到報警模塊��;報警模塊用于根據(jù)上述的報警啟動命令發(fā)出相應的一種或多種方式的警報,并存儲上述的報警策略管理模塊所設置的警報聲音或/和接收方的電話號碼���。
其中所述報警方式還包括電子郵件報警方式����;所述報警策略管理模塊還可設置接收方的電子郵件地址�;所述報警模塊還可以電子郵件報警方式發(fā)出警報,并存儲報警策略管理模塊所設置的接收方的電子郵箱地址��。
其中所述報警啟動命令的內(nèi)容包括報警策略管理模塊所設置的敏感信息關(guān)鍵字����、報警開始時間、報警方式�����、由審計系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配內(nèi)容的網(wǎng)絡數(shù)據(jù)包的源IP地址�����、目標IP地址��、源端口��、目標端口����。
一種網(wǎng)絡審計中的網(wǎng)絡行為報警方法,包括以下步驟A�、設置并存儲敏感信息關(guān)鍵字、報警方式����、警報聲音或/和接收方的電話號碼;報警方式包括聲音報警方式或/和短信報警方式�;B、查找審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)中是否含有與上述的敏感信息關(guān)鍵字相匹配的內(nèi)容�����,若包含�����,則發(fā)送報警啟動命令����;C、根據(jù)報警啟動命令以相應地一種或多種報警方式發(fā)出警報���。
其中所述步驟A還包括設置并存儲接收方的電子郵箱地址����,報警方式還包括電子郵件報警方式;所述步驟C還包括以電子郵件報警方式發(fā)出警報�。
其中所述報警啟動命令包括報警策略管理模塊所設置的敏感信息關(guān)鍵字、報警開始時間���、報警方式�����、由審計系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配的內(nèi)容的網(wǎng)絡數(shù)據(jù)包的源IP地址�、目的IP地址�����、源端口���、目標端口。
本發(fā)明的有益效果是本發(fā)明通過將敏感信息關(guān)鍵字與網(wǎng)絡數(shù)據(jù)進行匹配��,網(wǎng)絡數(shù)據(jù)內(nèi)容進行分析��,并可通過聲音、短信���、電子郵件三種方式報警�,使其更為及時���、高效地通知到管理員�����。
下面結(jié)合附圖對本發(fā)明作進一步的詳細描述���。
圖1是本發(fā)明的系統(tǒng)模塊圖。
圖2是本發(fā)明的方法步驟圖���。
圖3是本發(fā)明的一實施例的方法步驟圖����。
圖4是本發(fā)明一實施例的工作流程圖��。
具體實施例方式
如圖1所示����,本發(fā)明的網(wǎng)絡行為報警系統(tǒng)包括報警策略管理模塊��、數(shù)據(jù)分析模塊和報警模塊�����;其中報警策略管理模塊用于設置敏感信息關(guān)鍵字�����、報警方式���、警報聲音或/和接收方的電話號碼,其中報警方式包括聲音警報方式或/和短信報警方式�����;數(shù)據(jù)分析模塊用于存儲上述的報警策略管理模塊所設置的敏感信息關(guān)鍵字��,并對審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)進行分析��,查找是否含有與敏感信息關(guān)鍵字相匹配的內(nèi)容��,若包含,則發(fā)送報警啟動命令到報警模塊���;報警模塊用于根據(jù)上述報警啟動命令以相應的一種或多種報警方式發(fā)出警報��,并存儲上述的報警策略管理模塊所設置的警報聲音或/和接收方的電話號碼。
如圖2所示�����,本發(fā)明的網(wǎng)絡行為報警方法包括以下步驟為A��、設置并存儲敏感信息關(guān)鍵字���、報警方式���、警報聲音或/和接收方的電話號碼;報警方式包括聲音報警方式或/和短信報警方式�����;B、查找審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)中是否含有與上述的敏感信息關(guān)鍵字相匹配的內(nèi)容,若包含��,則發(fā)送報警啟動命令���;C��、根據(jù)報警啟動命令以相應地一種或多種報警方式發(fā)出警報。
另外����,本發(fā)明的網(wǎng)絡行為報警方法還包括以電子郵件報警方式發(fā)出警報�����,使得審計中心的管理員在遠離報警系統(tǒng)用網(wǎng)絡進行工作時,還可通過電子郵件接收到警報����,對事件進行及時有效地處理。此報警系統(tǒng)包括報警策略管理模塊����,用于設置敏感信息關(guān)鍵字���、報警方式�、警報聲音或/和接收方的電話號碼和接收方的電子郵箱地址�����,其中報警方式包括聲音警報方式和短信報警方式或/和電子郵件報警方式;數(shù)據(jù)分析模塊用于存儲上述的報警策略管理模塊所設置的敏感信息關(guān)鍵字�����,并對審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)進行分析,查找是否含有與敏感信息關(guān)鍵字相匹配的內(nèi)容�����,若包含,則發(fā)送報警啟動命令到報警模塊;
報警模塊用于根據(jù)上述報警啟動命令以相應的一種或多種報警方式發(fā)出警報����,并存儲上述的報警策略管理模塊所設置的警報聲音或/和接收方的電話號碼或/和接收方的電子郵件地址���。
如圖3所示,此報警系統(tǒng)的實現(xiàn)方法包括以下步驟A���、設置并存儲敏感信息關(guān)鍵字����、報警方式、警報聲音或/和接收方的電話號碼或/和接收方的電子郵箱地址���;報警方式包括聲音報警方式或/和短信報警方式或/和電子郵件報警方式�����;B�、查找審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)中是否含有與上述的敏感信息關(guān)鍵字相匹配的內(nèi)容�,若包含�����,則發(fā)送報警啟動命令��;C、根據(jù)報警啟動命令以相應地一種或多種報警方式發(fā)出警報�����。
以下結(jié)合圖4詳述本實施例的報警系統(tǒng)的工作流程首先,在審計系統(tǒng)檢測到有網(wǎng)絡行為時����,報警系統(tǒng)判斷其內(nèi)是否有報警策略,若不存在���,管理員則需設置�����,即在報警策略管理模塊中設置敏感信息關(guān)鍵字�、報警方式,報警聲音或/和管理員的手機號碼或/和管理員的電子郵箱地址�����;若存在�,報警分析模塊則取出敏感信息關(guān)鍵字�����,對網(wǎng)絡數(shù)據(jù)進行匹配�,若查找到存在與敏感信息關(guān)鍵字相匹配的網(wǎng)絡數(shù)據(jù),則發(fā)出報警啟動命令�����,觸發(fā)報警模塊進行報警�,其中報警啟動命令包括敏感信息關(guān)鍵字�、報警開始時間����、報警方式、由審計系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配的內(nèi)容的網(wǎng)絡數(shù)據(jù)包的源IP地址、目的IP地址�、源端口�����、目標端口����;然后�����,報警模塊判斷報警啟動命令中的報警方式����,若為聲音報警方式���,則按照對應的音頻文件發(fā)出聲音警報���;若為短信報警方或��,則向管理員的手機發(fā)出報警短信�;若為電子郵件報警方式��,則向管理員的電子郵箱發(fā)出報警郵件�;若同時設置了多種報警方式�����,則發(fā)出相應的多種報警�。
以下以“法輪功”作為敏感信息關(guān)鍵字為例�,詳述本實施例的工作過程首先管理員在報警策略管理模塊中將敏感信息關(guān)鍵字設置為“法輪功”�����,將報警方式設置為聲音報警方式或/和短信報警方式或/和電子郵件報警方式,假如三種報警方式都設置�����,則需設置報警聲音的音頻文件、管理員的手機號碼及管理員的電子郵箱地址�。設置完成之后�����,報警分析模塊將敏感信息關(guān)鍵字“法輪功”進行存儲,報警模塊將所設置的報警方式信息����、報警聲音的音頻文件��、管理員的手機號碼及管理員的電子郵箱地址進行存儲���。
然后,本實施例的報警系統(tǒng)開始檢測審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)中是否包括有與“法輪功”相匹配的內(nèi)容����,若包含���,則發(fā)出報警啟動命令,通知報警模塊進行報警����,其中報警啟動命令包括敏感信息關(guān)鍵字“法輪功”、報警開始時間�����、報警方式�����、網(wǎng)絡數(shù)據(jù)包的源IP地址��、目標IP地址��、源端口、目標端口��。其中報警方式包括聲音報警方式���、短信報警方式和電子郵件報警方式�����,假設聲音報警方式的編號為1�����、短信報警方式的編號為2�����、電子郵件報警方式的編號為3���,則報警啟動命令相應地包含報警方式的編號1、2���、3����。
報警模塊接收到報警啟動命令后���,在報警開始的時間按照報警策略管理模塊所設置的音頻文件�����、管理員的手機號碼和電子郵箱地址���,發(fā)出聲音、短信和電子郵件警報�。
權(quán)利要求
1.一種網(wǎng)絡審計中的網(wǎng)絡行為報警系統(tǒng),其特征在于包括報警策略管理模塊��、數(shù)據(jù)分析模塊和報警模塊��;報警策略管理模塊用于設置敏感信息關(guān)鍵字����、報警方式、警報聲音或/和接收方的電話號碼����,其中報警方式包括聲音警報方式或/和短信報警方式;數(shù)據(jù)分析模塊用于存儲報警策略管理模塊所設置的敏感信息關(guān)鍵字����,并對審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)進行分析�����,查找是否含有與敏感信息關(guān)鍵字相匹配的內(nèi)容�����,若包含��,則發(fā)送報警啟動命令到報警模塊�����;報警模塊用于根據(jù)上述的報警啟動命令發(fā)出相應的一種或多種方式的警報��,并存儲上述的報警策略管理模塊所設置的警報聲音或/和接收方的電話號碼����。
2.如權(quán)利要求1所述的網(wǎng)絡審計中的網(wǎng)絡行為報警系統(tǒng),其特征在于所述報警方式還包括電子郵件報警方式�����;所述報警策略管理模塊還可設置接收方的電子郵件地址;所述報警模塊還可以電子郵件報警方式發(fā)出警報,并存儲報警策略管理模塊所設置的接收方的電子郵箱地址。
3.如權(quán)利要求1所述的網(wǎng)絡審計中的網(wǎng)絡行為報警系統(tǒng),其特征在于所述報警啟動命令的內(nèi)容包括報警策略管理模塊所設置的敏感信息關(guān)鍵字�、報警開始時間、報警方式���、由審計系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配內(nèi)容的網(wǎng)絡數(shù)據(jù)包的源IP地址���、目標IP地址�����、源端口��、目標端口�。
4.一種網(wǎng)絡審計中的網(wǎng)絡行為報警方法,其特征在于包括以下步驟A、設置并存儲敏感信息關(guān)鍵字���、報警方式�、警報聲音或/和接收方的電話號碼���;報警方式包括聲音報警方式或/和短信報警方式��;B���、查找審計系統(tǒng)所獲取的網(wǎng)絡數(shù)據(jù)中是否含有與上述的敏感信息關(guān)鍵字相匹配的內(nèi)容�����,若包含���,則發(fā)送報警啟動命令�;C�、根據(jù)報警啟動命令以相應地一種或多種報警方式發(fā)出警報��。
5.如權(quán)利要求4所述的網(wǎng)絡審計中的網(wǎng)絡行為報警方法,其特征在于所述步驟A還包括設置并存儲接收方的電子郵箱地址����,報警方式還包括電子郵件報警方式;所述步驟C還包括以電子郵件報警方式發(fā)出警報�。
6.如權(quán)利要求4所述的網(wǎng)絡審計中的網(wǎng)絡行為報警方法,其特征在于所述報警啟動命令包括報警策略管理模塊所設置的敏感信息關(guān)鍵字�����、報警開始時間����、報警方式���、由審計系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配的內(nèi)容的網(wǎng)絡數(shù)據(jù)包的源IP地址�����、目的IP地址���、源端口��、目標端口��。
全文摘要
本發(fā)明涉及一種網(wǎng)絡審計中的網(wǎng)絡行為報警系統(tǒng)及方法�����。該系統(tǒng)包括用于設置報警內(nèi)容和報警方式的報警策略管理模塊����、用于根椐已設置的報警內(nèi)容對網(wǎng)絡數(shù)據(jù)進行分析的數(shù)據(jù)分析模塊和用于發(fā)出一種或多種警報的報警模塊�。該方法包括設置并存儲報警內(nèi)容報警方式,分析網(wǎng)絡數(shù)據(jù)�,若存在應進行報警的內(nèi)容,則按照已設置的報警方式發(fā)出警報�����。本發(fā)明通過將敏感信息關(guān)鍵字與網(wǎng)絡數(shù)據(jù)進行匹配���,網(wǎng)絡數(shù)據(jù)內(nèi)容進行分析�,并通過聲音��、短信、電子郵件三種方式報警�����,使其更為及時�、高效地通知到管理員。
文檔編號H04L29/06GK1937622SQ20061006315
公開日2007年3月28日 申請日期2006年10月19日 優(yōu)先權(quán)日2006年10月19日
發(fā)明者阮偉軍, 申屠青春, 林飛 申請人:深圳市中科新業(yè)信息科技發(fā)展有限公司