一种基于旁路审计设备的用户行为关联分析方法及系统技术方案

本发明专利技术涉及网络技术、数据库审计技术，旨在提供一种基于旁路审计设备的用户行为关联分析方法包括步骤：采集网络访问流量、分析网络访问流量包。本发明专利技术能够快速关联到流量包中无用户信息URL的真实用户访问信息，能够精准关联到流量包中无用户信息URL的真实用户访问信息，能够智能关联到流量包中每个URL的真实用户访问信息。

【技术实现步骤摘要】
一种基于旁路审计设备的用户行为关联分析方法及系统
本专利技术是关于网络技术、数据库审计
，特别涉及一种基于旁路审计设备的用户行为关联分析方法及系统。
技术介绍
随着计算机信息技术及互联网应用的普及与发展，各种互联网应用系统已被广泛使用，来自客户端的访问也随着纷呈复杂，从而使得互联网应用的安全问题变得越来越突出。因此，越来越多的厂商、企业、政府采用独立的审计设备对用户行为进行审计。在实际的互联网应用环境中，应用系统处理来自各方用户端的操作，产生了海量数据。由于互联网应用环境处于公网上，因此来自各方用户端的访问请求即网络访问数据流量包，途径层层网路才能到达应有环境即审计象对中因此审计设备抓取到的数据流量包会丢失一些真实用户信息，难以对这些来自各方请求行为进行真实用户信息关联，从而难以追溯用户行为源。因此，亟需要一种可以快速、有效地用户行为关联分析，追溯用户行为源的方法及系统。
技术实现思路
本专利技术的主要目的在于克服现有技术中的不足，提供一种基于旁路审计设备的用户行为关联分析方法及系统。为解决上述技术问题，本专利技术的解决方案是：提供一种基于旁路审计设备的用户行为关联分析方法，具体包本文档来自技高网...

【技术保护点】
一种基于旁路审计设备的用户行为关联分析方法，其特征在于，具体包括下述步骤：步骤A：采集网络访问流量，具体包括下述子步骤：步骤A1：通过在核心交换机上设置镜像口，将镜像数据发送到旁路审计设备；所述旁路审计设备采用旁路部署的模式，用于监视并记录用户端对应用系统的各类操作行为；所述应用系统是指旁路审计设备审计对象；步骤A2：在旁路审计设备中，配置应用系统即审计对象的IP、端口；步骤A3：旁路审计设备根据步骤A2配置的应用系统IP和端口，抓取来自用户端到应用系统的网络访问流量包；步骤B：分析网络访问流量包，具体包括下述子步骤：步骤B1：解析数据包：对步骤A3采集到的每个网络访问流量包按HTTP协议进行...

【技术特征摘要】
1.一种基于旁路审计设备的用户行为关联分析方法，其特征在于，具体包括下述步骤：步骤A：采集网络访问流量，具体包括下述子步骤：步骤A1：通过在核心交换机上设置镜像口，将镜像数据发送到旁路审计设备；所述旁路审计设备采用旁路部署的模式，用于监视并记录用户端对应用系统的各类操作行为；所述应用系统是指旁路审计设备审计对象；步骤A2：在旁路审计设备中，配置应用系统即审计对象的IP、端口；步骤A3：旁路审计设备根据步骤A2配置的应用系统IP和端口，抓取来自用户端到应用系统的网络访问流量包；步骤B：分析网络访问流量包，具体包括下述子步骤：步骤B1：解析数据包：对步骤A3采集到的每个网络访问流量包按HTTP协议进行解析，解析出的HTTP请求信息包含但不限于：请求URL、请求头、返回头、参数、提交表单；步骤B2：确认关键字：在步骤B1解析到的请求头或返回头中确认SessionID关键字、真实IP关键字，在步骤B1解析到的参数或提交表单中确认用户名关键字；步骤B3：配置关键字：在旁路审计设备中，配置应用系统对应的SessionID关键字、用户名关键字、真实IP关建字、登录URL标识、SIP标识；步骤B4：提取用户信息：依据步骤B1得到的请求URL，先找到关键的URL即登陆URL，再根据B3配置的关键字提取对应的关键值即用户标识、SessionID、真实IP值并记录在旁路审计设备的缓冲区中；若如缓冲区中已存在相同的SessionID，更新其对应的用户标识和真实IP值记录；所述登录URL是指包含用户信息的URL；步骤B5：关联用户信息：提取步骤B1数据包中解析到的每个URL对应的SessionID值，根据SessionID，标记上步骤B4缓冲区中相同SessionID对应的用户标识、真实IP值，并记录在旁路审计设备的数据库表中，即完成用户行为关联信息分析；所述数据库表是指旁路审计设备数据库中的表，用于记录审计对象的所有HTTP访问请求及用户行为关联信息；所述用户标识是指能够标示用户信息的关键值，在实际审计对象应用系统中包括但不限于以下种类：用户名、用户ID、手机号、邮箱、身份证号；所述用户行为关联信息包含但不限于以下：用户标识、SessionID值、真实IP值。2.一种存储设备，其中存储有多条指令，所述指令适用于由处理器加载并执行：步骤A：采集网络访问流量，具体包括下述子步骤：步骤A1：通过在核心交换机上设置镜像口，将镜像数据发送到旁路审计设备；所述旁路审计设备采用旁路部署的模式，用于监视并记录用户端对应用系统的各类操作行为；所述应用系统是指旁路审计设备审计对象；步骤A2：在旁路审计设备中，配置应用系统即审计对象的IP、端口；步骤A3：旁路审计设备根据步骤A2配置的应用系统IP和端口，抓取来自用户端到应用系统的网络访问流量包；步骤B：分析网络访问流量包，具体包括下述子步骤：步骤B1：解析数据包：对步骤A3采集到的每个网络访问流量包按HTTP协议进行解析，解析出的HTTP请求信息包含但不限于：请求URL、请求头、返回头、参数、提交表单；步骤B2：确认关键字：在步骤B1解析到的请求头或返回头中确认SessionID关键字、真实IP关键字，在步骤B1解析到的参数或提交表单中确认用户名关键字；步骤B3：配置关键字：在旁路审计设备中，配置应用系统对应的SessionID关键字、用户名关键字、真实IP关建字、登录UR...

【专利技术属性】
技术研发人员：王飞飞，范渊，刘博，龙文洁，
申请(专利权)人：杭州安恒信息技术有限公司，
类型：发明
国别省市：浙江,33