一种用户行为多轨可视化分析取证方法及系统技术方案

本发明专利技术公开了一种用户行为多轨可视化分析取证方法及系统，方法包括以下步骤：客户端/服务端数据采集及传输，在用户终端、应用服务器端采集多维用户行为数据，并传输至日志存储模块；数据预处理，形成结构化数据并入库；用户追踪调查取证，开始调查取证过程；可视化用户/事件调查追踪；规则引擎自动计算；工具化行为分析；系统包括采集存储装置、行为追踪装置、规则化分析引擎和行为分析器；提供即时和离线的用户行为监控与分析，准确、全面、多视角还原用户操作过程，可直接展开事件调查，对用户行为安全进行有效监管。

Method and system for visual analysis and evidence collection of user behavior

The invention discloses a user behavior analysis and system forensics method of multi track visualization method comprises the following steps: client / server data acquisition and transmission, multi user behavior data acquisition in the user terminal, application server, and transmitted to the log storage module; data preprocessing, data storage and form a structured user tracking investigation; that started the course of investigation; tracking visual user / incident investigation; rule engine automatic calculation analysis tools; behavior; system includes data acquisition and storage device, tracking device, behavior rules and behavior analysis engine analyzer; provide the user behavior monitoring and analysis of real-time and off-line, accurate, comprehensive, multi angle operation can restore the user process. Direct incident investigation, effective supervision of user behavior safety.

【技术实现步骤摘要】

本专利技术涉及网络信息空间安全审计等领域，具体的说，是一种用户行为多轨可视化分析取证方法及系统。
技术介绍
随着信息化不断发展，企业信息空间与互联网边界逐渐模糊化，信息系统的用户访问和信息交互已司空见惯。每个用户可能同时使用企业多个信息系统、多个外网应用系统；同时也在使用互联网的网络服务，如银行、网站、社交应用等。网络在企业生产经营和人们的生活中变得不可或缺。然而随着网络技术的普及和网络用户使用水平的不断提高，在信息化建设和应用过程中也出现了很多难以监控与管理的用户行为：信息系统帐号盗用、借用、等违规现象严重，这些违规的用户行为随同信息系统用户量一样呈高速增长趋势。尚无简单有效的技术手段，可对用户的访问行为安全进行追踪、分析并进行可视化、人性化的展现。对于企业信息空间而言，用户的登录、退出、帐号、客户端地址记录不完整、分析困难、难以读取。企业信息安全需求对真正做到用户行为安全管理的可视化的需求迫切。
技术实现思路
本专利技术的目的在于提供一种用户行为多轨可视化分析取证方法，提供即时和离线的用户行为监控与分析，准确、全面、多视角还原用户操作过程，可直接展开事件调查，对用户行为安全进行有效监管。本专利技术的目的还在于提供一种用户行为多轨可视化分析取证系统，用于实现所述用户行为多轨可视化分析取证方法。本专利技术通过下述技术方案实现：一种用户行为多轨可视化分析取证方法，包括以下步骤：S1、客户端/服务端数据采集及传输，在用户终端、应用服务器端采集多维用户行为数据，并传输至日志存储模块(数据存储计算中心)；S2、数据预处理，形成结构化数据并入库；日志接收端对原始数据初步处理，此处可接受预处理规则输入，或者采用默认处理规则；S3、用户追踪调查取证，开始调查取证过程；S4、可视化用户/事件调查追踪；根据预置的追踪模型，对用户行为/事件开展调查取证；或者通过简单的鼠标点击和关键字录入快速建立的新追踪模型，形成事件场景代入；S5、规则引擎自动计算；匹配默认的规则和取证因子，进行离线或者在线实时计算，并给出按照规则计算后的目标数据；S6、工具化行为分析；引用步骤S5的计算结果数据，多轨道、多纬度进行分析；S7、报告输出，根据分析主题、场景，输出事件调查取证的结论及相关佐证数据。用户行为安全审计的实质也是数据分析与挖掘，其基本步骤包括信息采集、传输、存储、分析、展现。进一步的为更好的实现本专利技术所述方法，特别采用下述设置方式：步骤S1所述的多维用户行为数据包括终端静态信息、终端操作信息、终端进程信息、进程响应、web应用会话以及web会话响应内容。所述终端静态信息包括基础信息辅助轨道数据和操作痕迹；基础信息辅助轨道数据包括终端IP、终端物理MAC地址、CPU信息及内存信息；所述操作痕迹包括开机时间、登录时间、注销时间、休眠时间、锁屏时间及关机时间；所述终端操作信息包括时间、终端IP及操作内容，所述操作内容包括复制、粘贴、拷贝、驱动器挂载、向驱动器中拷贝文件、摄像头启用与停止及录音启用与停止；所述终端进程信息包括进程记录id、时间、终端IP、进程id、原始进程名称及进程标签；所述进程响应包括进程记录id、时间、文本响应内容、录屏响应链接；所述web应用会话包括SessionID、时间、终端IP、Session建立时间、发送请求的会话内容、Session关闭；所述web会话响应内容包括网页内容、关键字段、标题及给定提取字段；步骤S1所述数据采集采用了定向抓取、活动区域录屏、策略采集、应用白名单等技术的日志采集代理，实现日志高效、精准采集；并覆盖客户端、服务端。进一步的为更好的实现本专利技术所述方法，特别采用下述设置方式：步骤S1所述的数据采集主要由日志采集模块和日志路由模块进行处理，并完成基础的规范化操作。进一步的为更好的实现本专利技术所述方法，特别采用下述设置方式：步骤S2所述数据预处理具体为通过日志采集模块的客户端采集工具以及日志路由模块完成对数据标签化、结构化、去冗余处理。进一步的为更好的实现本专利技术所述方法，特别采用下述设置方式：步骤S2所述数据预处理的方法基于预处理规则的输入，并通过日志采集模块统一配置处理规则，自动分发到各客户端；且在默认情况下日志采集模块已内置通用的预处理规则。进一步的为更好的实现本专利技术所述方法，特别采用下述设置方式：步骤S3所述用户追踪调查取证，基于场景化的追踪，提供自动追踪和手动追踪模式，通过场景加载实现预置场景选择和手动设置场景；通过场景将待调查事件相关条件、关键数据代入分析过程。进一步的为更好的实现本专利技术所述方法，特别采用下述设置方式：步骤S5所述规则引擎自动计算，提供事件调查场景所相关数据的主要计算引擎，并将事件调查内容转换为相应分析规则，利用大数据、分布式计算技术实现从日志存储模块快速获取事件相关日志数据。进一步的为更好的实现本专利技术所述方法，特别采用下述设置方式：步骤S6所述工具化行为分析具体为通过行为分析工具，实现可视化的行为分析；解决传统的信息系统用户行为审计执行困难、操作困难、数据可读性差等问题，真正实现非IT人员从事信息系统的审计与事件调查。用于实现一种用户行为多轨可视化分析取证方法的取证系统，特别采用下述设置方式：包括采集存储装置、行为追踪装置、规则化分析引擎和行为分析器，所述采集存储装置与规则化分析引擎相互连接通信，所述行为追踪装置与规则化分析引擎相互连接通信，所述规则化分析引擎与行为分析器相互连接通信，所述行为追踪装置与行为分析器相互连接通信。进一步的为更好的实现本专利技术所述的一种用户行为多轨可视化分析取证系统，特别采用下述设置方式：在所述采集存储装置内设置有：日志采集模块，提供一种可部署到用户终端、业务应用服务端的采集客户端；采集客户端记录用户终端静态、动态信息，以及用户在指定程序的操作记录信息；日志路由模块，能够将多源日志数据进行统一调度；日志存储模块，用于对用户行为数据进行存储管理，并基于大数据平台的存储、计算能力提供性能保障。本专利技术与现有技术相比，具有以下优点及有益效果：本专利技术所述方法，提供即时和离线的用户行为监控与分析，准确、全面、多视角还原用户操作过程，可直接展开事件调查，对用户行为安全进行有效监管。本专利技术所述系统，用于实现所述用户行为多轨可视化分析取证方法。本专利技术是一种侧重分析与展现的全路径、多轨技术，具有如下优势：轨道模型可扩展技术：该技术实现一种基于场景需求的可拔插式扩展，实现对所有已知类型数据兼容和对未知数据的扩展，该技术主要应用于行为分析器中。录像文本抓取技术，该技术支持对终端录屏数据文本抓取。规则化描述语言技术：该技术实现可快速掌握、灵活易用的手动规则化定制。轨道化分析技术：多轨、多维的用户行为轨迹动态、多维度可视化展现，该技术主要应用于行为分析器。多轨标尺行为分析器：实现用户行为分析标尺化，极大降低用户安全事件调查技术门槛，该技术主要应用于行为分析器。附图说明图1为本专利技术所述方法流程图。图2为本专利技术所述系统结构图。图3为用户行为多轨可视化分析工具-行为分析器示意图。具体实施方式下面结合实施例对本专利技术作进一步地详细说明，但本专利技术的实施方式不限于此。实施例1：一种用户行为多轨可视化分析取证方法，包括以下步骤：S1、客户端/服务端数据采集及传输，在用户终端、应用本文档来自技高网...

【技术保护点】
一种用户行为多轨可视化分析取证方法，其特征在于：包括以下步骤：S1、客户端/服务端数据采集及传输，在用户终端、应用服务器端采集多维用户行为数据，并传输至日志存储模块；S2、数据预处理，形成结构化数据并入库；S3、用户追踪调查取证，开始调查取证过程；S4、可视化用户/事件调查追踪；S5、规则引擎自动计算；S6、工具化行为分析。

【技术特征摘要】
1.一种用户行为多轨可视化分析取证方法，其特征在于：包括以下步骤：S1、客户端/服务端数据采集及传输，在用户终端、应用服务器端采集多维用户行为数据，并传输至日志存储模块；S2、数据预处理，形成结构化数据并入库；S3、用户追踪调查取证，开始调查取证过程；S4、可视化用户/事件调查追踪；S5、规则引擎自动计算；S6、工具化行为分析。2.根据权利要求1所述的一种用户行为多轨可视化分析取证方法，其特征在于：步骤S1所述的多维用户行为数据包括终端静态信息、终端操作信息、终端进程信息、进程响应、web应用会话以及web会话响应内容。3.根据权利要求1所述的一种用户行为多轨可视化分析取证方法，其特征在于：步骤S1所述的数据采集主要由日志采集模块和日志路由模块进行处理，并完成基础的规范化操作。4.根据权利要求1所述的一种用户行为多轨可视化分析取证方法，其特征在于：步骤S2所述数据预处理具体为通过日志采集模块的客户端采集工具以及日志路由模块完成对数据标签化、结构化、去冗余处理。5.根据权利要求1所述的一种用户行为多轨可视化分析取证方法，其特征在于：步骤S2所述数据预处理的方法基于预处理规则的输入，并通过日志采集模块统一配置处理规则，自动分发到各客户端；且在默认情况下日志采集模块已内置通用的预处理规则。6.根据权利要求1所述的一种用户行为多轨可视化分析取证方法，其特征在于：步骤S3所述用户追踪调查取证，基于场景化的追踪，提...

【专利技术属性】
技术研发人员：倪平波，李彦生，张捷，张晓韬，刘廷峰，沈磊，
申请(专利权)人：四川中电启明星信息技术有限公司，国网信息通信产业集团有限公司，国家电网公司，
类型：发明
国别省市：四川;51