本发明专利技术公开了一种网络用户行为审计与责任管理系统,包括网络信息日志审计子系统和网络用户行为责任认定与管理子系统;所述的网络信息日志审计子系统包括数据采集模块、数据中心模块、日志信息存储模块;所述的网络用户行为责任认定与管理子系统包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块。本发明专利技术以用户行为为基础,面向体系的进行综合数据源采集,从用户行为合规的视角来解读目标信息系统全局安全态势,量化目标信息网络的全局风险指数。通过网络、主机、网络设备日志关联分析,重构具体安全事件的行为链条,实现真实主体定位和行为过程重现。
【技术实现步骤摘要】
本专利技术涉及一种网络用户行为审计与责任管理系统。
技术介绍
传统审计类产品未能与用户针对主体及行为的管理业务进行紧耦合,无法帮助用户改变“事前缺乏明确规范”现状。并且传统审计类产品在事中监测审计过程中以单一的、离散的、非系统的线索为主,缺乏面向系统的监测能力。而呈现给用户的结果多数为海量的内容日志,在网络空间中面临态势把握难、源头定位难的问题。网络用户行为审计与责任管理系统是一套为弥补传统网络信息审计手段的不足,帮助用户完善其行为合规性监测和管理的安全管理业务系统。网络监测与终端取证技术为基础;以业务制度技术性转化为核心;将网络行为合规态势、安全事件行为链重现及行为主体责任落地作为输出。帮助用户从宏观上把控目标信息网络的整体行为合规态势;从微观上深入透析具体事件行为细节,对行为主体进行责任认定。通过系统的使用建立起以用户自身安全制度、行业法规为依据的安全管理业务,形成用户自主的安全管理业务体系。借此来解决过往制度难以落地、态势难以掌控、责任难以到人的问题,并为用户下一步安全管理工作提供建议和方向。本专利技术回归安全本源一一用户行为,面向体系的进行综合数据源采集,从用户行为合规的视角来解读目标信息系统全局安全态势,量化目标信息网络的全局风险指数。通过网络、主机、网络设备日志关联分析,重构具体安全事件的行为链条,实现真实主体定位和行为过程重现。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供一种基于用户行为、从合规的视角量化目标信息网络的全局风险指数的网络用户行为审计与责任管理系统。本专利技术的目的是通过以下技术方案来实现的:网络用户行为审计与责任管理系统,包括网络信息日志审计子系统和网络用户行为责任认定与管理子系统; 所述的网络信息日志审计子系统包括数据采集模块、数据中心模块、日志信息存储模块;所述的数据采集模块包括多台部署有审计探针的主机,用于对日志的采集和重组,所述的数据采集模块对网络数据流进行高速采集,所述的网络数据流为分片结构,在收到所有的日志数据包的分片后,根据日志数据包首部中保存的信息,重组最初的日志数据包;所述的数据中心模块用于对审计日志进行分类,并将分类结果发送至日志信息存储模块进行保存; 所述的网络用户行为责任认定与管理子系统包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块;所述的用户基础信息模块包括存储用户组织机构信息、用户人员信息和用户资产信息的第一存储单元和存储用户行为权限的第二存储单元;所述的第二存储单元包括用户级另IJ、用户行为目标、用户行为事件以及三者对应关系的权限的列表;所述的权限包括授权、禁止和义务; 所述的日志行为提取模块提取日志信息存储模块中各个网络行为日志中的要素,所述的要素包括行为主体、行为对象和行为事件; 所述的不合规行为判断模块将日志行为提取模块提取的结果与用户基础信息模块进行对比,进行不合规行为的判断;所述的不合规行为包括授权行为越界、禁止行为和义务行为未完成; 所述的不合规行为统计分析模块对不合规行为判断模块判断出的不合规行为进行趋势统计、分布统计以及数据挖掘分析,并采用积分算法对用户当前网络行为合规程度进行评分:当合规程度达不到预设阀值,则发送信息至所述的通知模块,通知模块通知管理员,管理员通过控制访问流量模块断开不合规用户的访问流量。所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志;所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志;所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志;所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览; 所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志;所述的数据库日志为记录各类数据库的操作和用户信息的日志;所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志;所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息,还包括即时聊天软件点对点传输文件的以及文件名的信息;所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志,包括TELNET协议、WINDOWS远程桌面和SSH ;所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志,包括收件人、主题、抄送、正文、附件。所述的日志保存5元组信息、时间、会话和流量信息。所述的用户组织机构信息反映为树状层级式结构图,所述的用户人员信息包括人员基本信息和终端IP信息,所述的用户资产信息包括用户服务器信息。所述的不合规行为还包括用户终端危险使用、流量异常使用。所述的网络用户行为责任认定与管理子系统还包括一个全局行为不合规态势展示模块,所述的全局行为不合规态势展示模块用于展示当前用户的合规程度,以及禁止行为走势、授权行为越界走势、义务行为未完成走势。所述的网络用户行为责任认定与管理子系统还包括一个修改权限模块,管理员根据不合规行为的判定结果和不合规行为态势,通过修改权限模块修改第二存储单元中的权限列表。在所述的不合规行为判断模块无法判断日志行为提取模块提取的结果是否为不合规行为,将该行为日志进行人工分析,并根据人工分析结果进行后续处理,所述的后续处理包括不合规行为处理以及将该行为加入第二存储单元。本专利技术的有益效果是: 对于网络信息日志审计子系统: 作为网络用户行为审计与责任管理系统的前端数据采集设备,以网络数据流高速采集、数据包重组为核心技术,用于获取用户的网络信息,进行网络行为日志的取证;采集日志的类型包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志、邮件日志,为后期责任认定打下基础。对于网络用户行为责任认定与管理子系统: (I)作为网络用户行为审计与责任管理系统的后端数据分析与管理设备,在网络信息日志审计的基础上,赋予系统与用户业务相紧耦合的安全管理业务属性,将用户网络日志的输出提升为用户行为责任认定结果;要达到最终对用户行为进行责任认定的目的。(2)将不合规行为进行分类,对三种权限均有不合规的定义;其中,对于授权行为是授权但是越界,对于义务行为是义务行为未完成,以及禁止行为本身; (3)会根据长期的合规性统计以及态势发展,对不合规行为的权限列表进行修正,以达到效果更佳的目的; (4)在无法对行为进行判断的情况下,进行人工分析,即对在权限列表中未定义的行为进行不合规判定,当不合规的时候,会进行相应处理并对权限列表进行增加; (5)还包括一个态势展示,人机交互界面友好,使得使用者更加直观、清楚地了解当前的情况。对于整体来说: (I)本专利技术产品以相关行业的法律规范为依据,定义行业用户中的标准系统行为;并以行为标准中衍生出的义务行为、禁止行为、授权行为为出发点,监测主体行为,明确鉴定各类行为的责任,做到行为合规性全覆盖。(2)本产品回归安全本源一一用户行为,面向体系的进行综合数据源采集,从用户行为合规的视角来解读目标信息系统全局安全态势,量化目标信息网络的全局风险指数。通过本文档来自技高网...
【技术保护点】
网络用户行为审计与责任管理系统,其特征在于:包括网络信息日志审计子系统和网络用户行为责任认定与管理子系统;所述的网络信息日志审计子系统包括数据采集模块、数据中心模块、日志信息存储模块;所述的数据采集模块包括多台部署有审计探针的主机,用于对日志的采集和重组,所述的数据采集模块对网络数据流进行高速采集,所述的网络数据流为分片结构,在收到所有的日志数据包的分片后,根据日志数据包首部中保存的信息,重组最初的日志数据包;所述的数据中心模块用于对审计日志进行分类,并将分类结果发送至日志信息存储模块进行保存;所述的网络用户行为责任认定与管理子系统包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块;所述的用户基础信息模块包括存储用户组织机构信息、用户人员信息和用户资产信息的第一存储单元和存储用户行为权限的第二存储单元;所述的第二存储单元包括用户级别、用户行为目标、用户行为事件以及三者对应关系的权限的列表;所述的权限包括授权、禁止和义务;所述的日志行为提取模块提取日志信息存储模块中各个网络行为日志中的要素,所述的要素包括行为主体、行为对象和行为事件;所述的不合规行为判断模块将日志行为提取模块提取的结果与用户基础信息模块进行对比,进行不合规行为的判断;所述的不合规行为包括授权行为越界、禁止行为和义务行为未完成;所述的不合规行为统计分析模块对不合规行为判断模块判断出的不合规行为进行趋势统计、分布统计以及数据挖掘分析,并采用积分算法对用户当前网络行为合规程度进行评分:当合规程度达不到预设阀值,则发送信息至所述的通知模块,通知模块通知管理员,管理员通过控制访问流量模块断开不合规用户的访问流量。...
【技术特征摘要】
【专利技术属性】
技术研发人员:苏礼刚,
申请(专利权)人:成都艾尔普科技有限责任公司,
类型:发明
国别省市:四川;51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。