一种甄别绕行登录事件的审计方法技术

本发明专利技术公开了一种甄别绕行登录事件的审计方法，包括步骤：S1：通过分类压缩引擎、以预设时间粒度、按关键内容分类对日志进行压缩，得到压缩表；S2：通过甄别审计引擎甄别出压缩表中类绕行事件，从而得到压缩表中非类绕行事件，通过非类绕行事件得到绕行4A日志；S3：根据预设的解压规则，通过解压引擎，对绕行4A日志中的部分绕行4A日志进行解压，部分绕行4A日志不符合其它异常事件审计规则；S4：将绕行4A日志合并显示。采用该审计方法能够有效区分类绕行事件和绕行事件，减少审计结果误判，能够快速直观显示海量绕行事件，减少审计的人工、时间投入、提高审计效率。

Audit method for screening round trip login event

The invention discloses a screening bypass the login event audit method, which comprises the following steps: S1: the classification of compression engine, at a preset time granularity, according to the classification of the key content of log compression, compression table; S2: by identifying the audit identified in table compression engine bypass event, resulting in non compressed table around the event, through non bypass bypass 4A event log; S3: according to the preset rules through decompression, decompression engine, to bypass the 4A log log part bypass 4A decompress part bypass 4A log does not meet its it abnormal event audit rules; S4: 4A log display with bypass. The audit area classification method can effectively bypass and bypass event event, reduce audit results misjudgment, can quickly display the mass around the event, time, reduce labor input, improve audit efficiency audit.

【技术实现步骤摘要】
一种甄别绕行登录事件的审计方法
本专利技术涉及计算机系统信息安全应用技术，尤其涉及一种甄别绕行登录事件的审计方法。
技术介绍
在当今互联网爆炸性发展时代，政府和企业单位的核心业务信息化程度也日渐提高，信息安全已成为了国民敏感神经线，信任危机一触即发；保障客户信息安全是企业的责任，也是客户对企业的信任底线。面临日益严峻的信息安全风险，抵御入侵，加强内控变得刻不容缓。1995年，国际网安界最早提出4A(认证Authentication、账号Account、授权Authorization、审计Audit)统一安全管理平台解决方案概念，正式将身份认证作为整个网络安全的基础及不可或缺的组成部分。4A系统应运而生，历经11年，在我国各大企业普遍部署有4A系统。按国家信息系统安全的相关规定，明确要求对于二级以上信息系统，在网络安全、主机安全和应用安全等需要进行安全审计。日志审计(为确保相关网络信息安全及网络安全，根据各种操作依据、操作日志记录等信息，对操作网络合法性、合规性进行审查核对的行为)作为其中的主要手段，日志审计系统这一安全审计产品由此而出现。而审计日志记录中往往也包括了登陆4A的日志记录。绕行登录事件顾名思义是不通过4A系统访问设备的违规事件。通过对绕行登录事件的审计，可以为进一步规范企业维护人员日常操作行为，和及时发现非法入侵行为。在各大重要行业中，大型信息系统的管理和使用节点可能达到几十万个，其中包括大量的服务器、网络设备、安全设备、数据管理设备等，从中每天的访问行为、操作行为的日志可多达几百亿条。采用缺省的策略，在一个百兆的链接上每天可能产生超过千万数量的事件，增加人工审计的工作成本，审计效率低下。此外，这往往还充斥着海量的无意义数据和误报让我们的安全审计产品变得没有任何意义。大规模日志数据中需要有效甄别绕行登录事件的审计方法。当前甄别绕行登录事件一般步骤如下：步骤1：采集设备日志，目前在日志采集阶段按规定格式对日志进行解析入库。步骤2：与采集到的4A系统的应用日志中的登录操作日志按时间、账号等信息进行匹配审计，两者一致视为审计通过，在4A系统日志中找不到对应日志，视为一次绕行登录事件。步骤3：页面显示绕行登录事件记录。当前日志审计系统在审计登录事件面临着如下问题：1、类绕行事件(如：设备间接口、安全扫描等非人工操作而必需通过设备间直接访问的，或业务需要本身就不接入4A系统等的特殊行为事件)的多样性以致难以对绕行事件进行准确的甄别，容易出现大量误判的审计结果，审计效果低下，而在人工进行二次确认绕行事件时，又加大了审计人工、时间成本；2、由于数据规模大，对于成千上万条操作结果相同的日志，审计员查看和审核起来很费劲，审计起来效率较为不佳，直接显示每条这样的日志，对日志审计员来说没有实际意义，无法通过人工进行二次确认来发现违规操作外的非法入侵，存在安全隐患。
技术实现思路
针对现有技术的缺点，本专利技术的目的是提供一种甄别绕行登录事件的审计方法，采用该方法能够有效区分类绕行事件和绕行事件，减少审计结果误判，能够快速直观显示海量绕行事件，减少审计的人工、时间投入、提高审计效率。为实现上述目的，本专利技术提供了一种甄别绕行登录事件的审计方法，包括如下步骤：S1：通过分类压缩引擎、以预设时间粒度、按关键内容分类对日志进行压缩，得到压缩表；S2：通过甄别审计引擎甄别出压缩表中类绕行事件，从而得到压缩表中非类绕行事件，通过非类绕行事件得到绕行4A日志；S3：根据预设的解压规则，通过解压引擎，对绕行4A日志中的部分绕行4A日志进行解压，部分绕行4A日志不符合其它异常事件审计规则；S4：将绕行4A日志合并显示。与现有技术相比，本专利技术公开的审计方法通过分类压缩引擎将大规模日志进行压缩，大大减少了分析量，降低了因审计逻辑复杂而效率低下的风险；通过甄别审计引擎甄别出类绕行事件，有效区分类绕行事件和绕行事件，减少审计结果误判；通过解压引擎对绕行4A日志中不符合其它异常时间审计规则的部分重点显示，能够避免因过度压缩导致高危操作被审计者忽视；通过在审计结果显示实现了合并记录与明细记录相结合，检索更直观高效。根据本专利技术另一具体实施方式，步骤S1中，关键内容包括平台、设备、账号、操作内容、操作结果、IP源、审计异常类型。根据本专利技术另一具体实施方式，步骤S2中，甄别审计引擎内部设置有多种类绕行事件分析模型，类绕行事件分析模型包括：自动调用接口登录事件、安全扫描事件、堡垒机访问事件。根据本专利技术另一具体实施方式，步骤S2包括如下步骤：S21：通过甄别审计引擎，甄别压缩表中的类绕行事件，从而将压缩表分为类绕行事件和非类绕行事件；S22：将绕行事件和非类绕行事件按照预设规则进行深度压缩；S23:将步骤S22中深度压缩的绕行事件和非类绕行事件与4A系统日志关联，得到绕行4A日志。根据本专利技术另一具体实施方式，预设规则包括：账号为接口账号且操作结果为成功的、系统内部账号审计且该账号的类型为default_account且操作结果为成功的、系统自身调用账号且账号为root且操作结果为成功的。根据本专利技术另一具体实施方式，步骤S22进一步包括如下步骤：S211：获取预设时间粒度；S212：删除压缩表中时间粒度范围内的记录；S213：制定结构化查询语句，执行压缩；S214：将被压缩后的数据加载至内存中；S215：将加载至内存中的被压缩后的数据按预设数目插入至数据表中。根据本专利技术另一具体实施方式，步骤S3包括如下步骤：S31：取出压缩表中不符合其它异常事件审计规则的数据，将数据中的每条压缩记录存放至一个javabean中，并将javabean群存放至list合集；S32：删除压缩表中不符合其它异常事件审计规则的数据；S33：遍历list合集，将list合集中的预设数目条压缩记录所对应的原始记录拷贝至压缩表日志中。根据本专利技术另一具体实施方式，步骤S4包括如下步骤：S41：查询审计结果时，检索压缩表，得到显示结果，显示结果包括明细；S42：判断日志数，若日志数大于1，则在原始表中查询详细日志；若日志数小于或等于1，则明细即压缩表中的记录。本专利技术的有益效果是：更有效分拣大规模日志数据，提高审计效率；更准确甄别绕行事件，减少审计结果误判；更快速直观的显示海量绕行事件，减少审计的人工、时间投入。下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。附图说明图1是实施例1的甄别绕行登录事件的审计方法的流程图；图2是图1中步骤S2的流程图；图3是图1中步骤S3的流程图。具体实施方式实施例1参见图1，是本实施例1提供的甄别绕行登录事件的审计方法的流程图。该方法包括如下步骤：S1：通过分类压缩引擎、以预设时间粒度、按关键内容分类对日志进行压缩，得到压缩表。该步骤用于压缩大规模日志。具体的，预设时间粒度根据实际情况设定，在此不做具体限定，本实施例中，预设时间粒度为4小时。关键内容包括：平台、设备、账号、操作内容、操作结果、IP源、审计异常类型。本实施例中，具体实施时，通过分类压缩本文档来自技高网...

【技术保护点】
一种甄别绕行登录事件的审计方法，其特征在于，包括如下步骤：S1：通过分类压缩引擎、以预设时间粒度、按关键内容分类对日志进行压缩，得到压缩表；S2：通过甄别审计引擎甄别出所述压缩表中类绕行事件，从而得到所述压缩表中非类绕行事件，通过所述非类绕行事件得到绕行4A日志；S3：根据预设的解压规则，通过解压引擎，对绕行4A日志中的部分绕行4A日志进行解压，所述部分绕行4A日志不符合其它异常事件审计规则；S4：将所述绕行4A日志合并显示。

【技术特征摘要】
1.一种甄别绕行登录事件的审计方法，其特征在于，包括如下步骤：S1：通过分类压缩引擎、以预设时间粒度、按关键内容分类对日志进行压缩，得到压缩表；S2：通过甄别审计引擎甄别出所述压缩表中类绕行事件，从而得到所述压缩表中非类绕行事件，通过所述非类绕行事件得到绕行4A日志；S3：根据预设的解压规则，通过解压引擎，对绕行4A日志中的部分绕行4A日志进行解压，所述部分绕行4A日志不符合其它异常事件审计规则；S4：将所述绕行4A日志合并显示。2.如权利要求1所述的审计方法，其特征在于，步骤S1中，所述关键内容包括平台、设备、账号、操作内容、操作结果、IP源、审计异常类型。3.如权利要求2所述的审计方法，其特征在于，步骤S2中，所述甄别审计引擎内部设置有多种类绕行事件分析模型，所述类绕行事件分析模型包括：自动调用接口登录事件、安全扫描事件、堡垒机访问事件。4.如权利要求3所述的审计方法，其特征在于，所述步骤S2包括如下步骤：S21：通过所述甄别审计引擎，甄别所述压缩表中的类绕行事件，从而将所述压缩表分为类绕行事件和非类绕行事件；S22：将所述绕行事件和所述非类绕行事件按照预设规则进行深度压缩；S23:将步骤S22中深度压缩的所述绕行事件和所述非类绕行事件与4A系统日志关联，得到绕行4A日志。5.如权利要求4所述的审计方法，其特征在于，所述预设规...

【专利技术属性】
技术研发人员：卢杰华，吕潇，秦泳霖，
申请(专利权)人：广州市申迪计算机系统有限公司，
类型：发明
国别省市：广东,44