網(wǎng)絡(luò)信息日志審計(jì)系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及一種網(wǎng)絡(luò)信息日志審計(jì)系統(tǒng)�。
【背景技術(shù)】
[0002]網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理系統(tǒng)是一套為彌補(bǔ)傳統(tǒng)網(wǎng)絡(luò)信息審計(jì)手段的不足,幫助用戶完善其行為合規(guī)性監(jiān)測(cè)和管理的安全管理業(yè)務(wù)系統(tǒng)�。
[0003]網(wǎng)絡(luò)監(jiān)測(cè)與終端取證技術(shù)為基礎(chǔ);以業(yè)務(wù)制度技術(shù)性轉(zhuǎn)化為核心���;將網(wǎng)絡(luò)行為合規(guī)態(tài)勢(shì)�����、安全事件行為鏈重現(xiàn)及行為主體責(zé)任落地作為輸出���。
[0004]幫助用戶從宏觀上把控目標(biāo)信息網(wǎng)絡(luò)的整體行為合規(guī)態(tài)勢(shì)���;從微觀上深入透析具體事件行為細(xì)節(jié),對(duì)行為主體進(jìn)行責(zé)任認(rèn)定���。
[0005]通過(guò)系統(tǒng)的使用建立起以用戶自身安全制度���、行業(yè)法規(guī)為依據(jù)的安全管理業(yè)務(wù),形成用戶自主的安全管理業(yè)務(wù)體系�。借此來(lái)解決過(guò)往制度難以落地、態(tài)勢(shì)難以掌控��、責(zé)任難以到人的問(wèn)題�����,并為用戶下一步安全管理工作提供建議和方向��。
[0006]而網(wǎng)絡(luò)信息日志審計(jì)系統(tǒng)作為網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理系統(tǒng)的前端數(shù)據(jù)采集設(shè)備����,作用至關(guān)重要。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足�����,提供一種網(wǎng)絡(luò)信息日志審計(jì)系統(tǒng)��,作為網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理系統(tǒng)的前端數(shù)據(jù)采集設(shè)備�,解決現(xiàn)有技術(shù)采集日志類(lèi)型少以及沒(méi)有對(duì)日志進(jìn)行還原步驟,導(dǎo)致后期責(zé)任認(rèn)定難以進(jìn)行的問(wèn)題���。
[0008]本發(fā)明的目的是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)的:網(wǎng)絡(luò)信息日志審計(jì)系統(tǒng)�,它包括數(shù)據(jù)采集子系統(tǒng)���、數(shù)據(jù)中心子系統(tǒng)�、存儲(chǔ)子系統(tǒng)和用戶接口子系統(tǒng)�;所述的數(shù)據(jù)采集子系統(tǒng)包括多臺(tái)部署有審計(jì)探針的主機(jī),用于對(duì)日志的采集和重組���;所述的數(shù)據(jù)中心子系統(tǒng)用于對(duì)審計(jì)日志的分析處理����,并將結(jié)果發(fā)送至存儲(chǔ)子系統(tǒng)進(jìn)行保存;所述的用戶接口子系統(tǒng)提供用戶訪問(wèn)存儲(chǔ)子系統(tǒng)的接口�,查看具體的日志數(shù)據(jù)以及審查報(bào)表;
所述的日志包括互聯(lián)網(wǎng)應(yīng)用日志���、即時(shí)通訊日志����、數(shù)據(jù)庫(kù)日志���、攻擊/掃描日志��、文件傳輸日志�����、遠(yuǎn)程控制日志和郵件日志����;所述的互聯(lián)網(wǎng)應(yīng)用日志包括HTTP應(yīng)用日志���、娛樂(lè)軟件日志和基于C/S架構(gòu)的應(yīng)用軟件使用日志;所述的HTTP應(yīng)用日志為監(jiān)測(cè)訪問(wèn)互聯(lián)網(wǎng)網(wǎng)頁(yè)的內(nèi)容信息��、記錄用戶所設(shè)關(guān)鍵詞信息、針對(duì)HTTPUP的信息和記錄所有DNS協(xié)議請(qǐng)求的日志���;所述的監(jiān)測(cè)訪問(wèn)互聯(lián)網(wǎng)網(wǎng)頁(yè)的內(nèi)容信息包括基于HTTP協(xié)議的發(fā)布和瀏覽����;
所述的即時(shí)通訊日志為記錄各類(lèi)及時(shí)通訊軟件使用信息以及虛擬身份信息的日志����;所述的數(shù)據(jù)庫(kù)日志為記錄各類(lèi)數(shù)據(jù)庫(kù)的操作和用戶信息的日志;所述的攻擊/掃描日志為記錄DDOS攻擊和端口掃描的行為日志����;所述的文件傳輸日志包括各類(lèi)下載工具、FTP協(xié)議��、SMB協(xié)議進(jìn)行的文件傳輸信息����,還包括即時(shí)聊天軟件點(diǎn)對(duì)點(diǎn)傳輸文件的以及文件名的信息;所述的遠(yuǎn)程控制日志為記錄各類(lèi)遠(yuǎn)程控制軟件或協(xié)議的使用情況的日志���,包括TELNET協(xié)議�、WINDOWS遠(yuǎn)程桌面和SSH ;所述的郵件日志為記錄SMTP協(xié)議��、POP3協(xié)議、以及主流web由P件的日志�����,包括收件人���、主題��、抄送�����、正文����、附件���;
所述的數(shù)據(jù)采集子系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行高速采集����,所述的網(wǎng)絡(luò)數(shù)據(jù)流為分片結(jié)構(gòu)����;在收到所有的日志數(shù)據(jù)包的分片后����,根據(jù)日志數(shù)據(jù)包首部中保存的信息��,重組最初的日志數(shù)據(jù)包����;
所述的數(shù)據(jù)中心子系統(tǒng)對(duì)重組后的日志數(shù)據(jù)包進(jìn)行還原處理�,對(duì)網(wǎng)絡(luò)行為進(jìn)行取證:其中,對(duì)于HTTP協(xié)議����、SMTP協(xié)議、POP3協(xié)議���、TELNET協(xié)議�����、FTP協(xié)議和DNS協(xié)議的日志��,進(jìn)行內(nèi)容層的深度還原�����;對(duì)于基于HTTP協(xié)議的發(fā)布和瀏覽的日志�����,在進(jìn)行內(nèi)容還原同時(shí)進(jìn)行分類(lèi)展示�;對(duì)于即時(shí)通訊日志、遠(yuǎn)程控制日志��,進(jìn)行相關(guān)的用戶行為以及操作還原�����;對(duì)于數(shù)據(jù)庫(kù)日志���,還原用戶對(duì)數(shù)據(jù)庫(kù)的操作��。
[0009]所述的娛樂(lè)軟件包括網(wǎng)絡(luò)流媒體�����、聽(tīng)歌軟件�、看電影軟件和網(wǎng)絡(luò)游戲軟件���。
[0010]所述的日志保存5元組信息����、時(shí)間、會(huì)話和流量信息�����。
[0011 ] 所述的分類(lèi)展示包括微博��、新聞�����、網(wǎng)頁(yè)和郵箱�。
[0012]所述的各類(lèi)數(shù)據(jù)庫(kù)包括MySql��、Orcal和SQLServer�����。
[0013]本發(fā)明的有益效果是:本發(fā)明作為網(wǎng)絡(luò)用戶行為審計(jì)與責(zé)任管理系統(tǒng)的前端數(shù)據(jù)采集設(shè)備���,以網(wǎng)絡(luò)數(shù)據(jù)流高速采集�、數(shù)據(jù)包重組���、協(xié)議還原為核心技術(shù)���,用于獲取用戶的網(wǎng)絡(luò)信息����,進(jìn)行網(wǎng)絡(luò)行為日志的取證與展現(xiàn)��;采集日志的類(lèi)型包括互聯(lián)網(wǎng)應(yīng)用日志�、即時(shí)通訊日志、數(shù)據(jù)庫(kù)日志��、攻擊/掃描日志��、文件傳輸日志�、遠(yuǎn)程控制日志、郵件日志�,并且根據(jù)不同的類(lèi)型有不同的還原方式,為后期責(zé)任認(rèn)定打下基礎(chǔ)�����。
【附圖說(shuō)明】
[0014]圖1為本發(fā)明結(jié)構(gòu)方框圖��。
【具體實(shí)施方式】
[0015]下面結(jié)合附圖進(jìn)一步詳細(xì)描述本發(fā)明的技術(shù)方案:如圖1所示,網(wǎng)絡(luò)信息日志審計(jì)系統(tǒng)�,它包括數(shù)據(jù)采集子系統(tǒng)、數(shù)據(jù)中心子系統(tǒng)��、存儲(chǔ)子系統(tǒng)和用戶接口子系統(tǒng)�;所述的數(shù)據(jù)采集子系統(tǒng)包括多臺(tái)部署有審計(jì)探針的主機(jī),用于對(duì)日志的采集和重組���;所述的數(shù)據(jù)中心子系統(tǒng)用于對(duì)審計(jì)日志的分析處理����,并將結(jié)果發(fā)送至存儲(chǔ)子系統(tǒng)進(jìn)行保存�����;所述的用戶接口子系統(tǒng)提供用戶訪問(wèn)存儲(chǔ)子系統(tǒng)的接口���,查看具體的日志數(shù)據(jù)以及審查報(bào)表;
所述的日志包括互聯(lián)網(wǎng)應(yīng)用日志����、即時(shí)通訊日志、數(shù)據(jù)庫(kù)日志�、攻擊/掃描日志、文件傳輸日志、遠(yuǎn)程控制日志和郵件日志��;所述的互聯(lián)網(wǎng)應(yīng)用日志包括HTTP應(yīng)用日志�、娛樂(lè)軟件日志和基于C/S架構(gòu)的應(yīng)用軟件使用日志;所述的HTTP應(yīng)用日志為監(jiān)測(cè)訪問(wèn)互聯(lián)網(wǎng)網(wǎng)頁(yè)的內(nèi)容信息��、記錄用戶所設(shè)關(guān)鍵詞信息�����、針對(duì)HTTPUP的信息和記錄所有DNS協(xié)議請(qǐng)求的日志����;所述的監(jiān)測(cè)訪問(wèn)互聯(lián)網(wǎng)網(wǎng)頁(yè)的內(nèi)容信息包括基于HTTP協(xié)議的發(fā)布和瀏覽;
所述的即時(shí)通訊日志為記錄各類(lèi)及時(shí)通訊軟件使用信息以及虛擬身份信息的日志�����;所述的數(shù)據(jù)庫(kù)日志為記錄各類(lèi)數(shù)據(jù)庫(kù)的操作和用戶信息的日志�����;所述的攻擊/掃描日志為記錄DDOS攻擊和端口掃描的行為日志���;所述的文件傳輸日志包括各類(lèi)下載工具��、FTP協(xié)議�����、SMB協(xié)議進(jìn)行的文件傳輸信息����,還包括即時(shí)聊天軟件點(diǎn)對(duì)點(diǎn)傳輸文件的以及文件名的信息;所述的遠(yuǎn)程控制日志為記錄各類(lèi)遠(yuǎn)程控制軟件或協(xié)議的使用情況的日志����,包括TELNET協(xié)議、WINDOWS遠(yuǎn)程桌面和SSH ;所述的郵件日志為記錄SMTP協(xié)議�����、POP3協(xié)議��、以及主流web由P件的日志�����,包括收件人��、主題���、抄送�����、正文�、附件���;
所述的數(shù)據(jù)采集子系統(tǒng)對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行高速采集�����,所述的網(wǎng)絡(luò)數(shù)據(jù)流為分片結(jié)構(gòu)�;在收到所有的日志數(shù)據(jù)包的分片后�,根據(jù)日志數(shù)據(jù)包首部中保存的信息,重組最初的日志數(shù)據(jù)包��;
所述的數(shù)據(jù)中心子系統(tǒng)對(duì)重組后的日志數(shù)據(jù)包進(jìn)行還原處理�����,對(duì)網(wǎng)絡(luò)行為進(jìn)行取證