可视化网络安全审计方法及系统技术方案

本公开描述一种可视化网络安全审计方法，其包括：对终端的用户的操作过程进行录屏，获取录屏的多个视频文件，视频文件存储于视频存储节点；在录屏过程中，对终端屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截获信息，文本截获信息存储于视频检索数据库；在审计端对视频检索数据库中的文本截获信息进行检索，当查找到符合检索条件的文本截获信息时，输出相应的文件标识符和截获时间；视频存储节点基于文件标识符和截获时间，查找相应的视频文件，定位检索条件中的文本信息的起始时刻，并将视频文件和起始时刻反馈给审计端。由此，能够通过直观的可视化方法回放用户的违规操作和越权访问过程，提高网络安全审计能力和效果。

Visual Network Security Audit Method and System

This disclosure describes a visual network security audit method, which includes: recording the operation process of the terminal user, acquiring multiple video files from the recording screen, and storing the video files in the video storage node; during the recording process, monitoring the text output of the terminal screen, and acquiring when the text output changes. Text interception information is captured and stored in video retrieval database. Text interception information in video retrieval database is retrieved at auditing end. When the text interception information that meets the retrieval criteria is found, the corresponding file identifier and interception time are output. Video storage node is based on file identifier and interception time. Interception time, find the corresponding video files, locate the start time of text information in the retrieval conditions, and feedback the video files and start time to the auditor. Thus, the ability and effect of network security audit can be improved by playback of user's illegal operation and ultra vires access process with visual method.

【技术实现步骤摘要】
可视化网络安全审计方法及系统
本公开大体涉及信息安全
，具体涉及一种可视化网络安全审计方法及系统。
技术介绍
计算机网络安全审计(Audit)是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。计算机网络安全审计可以简称为安全审计，实际是记录与审查用户操作计算机及网络系统活动的过程，是提高系统安全性的重要举措。系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动，如用户所使用的资源、使用时间、执行的操作等。现有的文本审计方法具有局限性，比如日志量大、可读性差、安全事件难以关联等。另外，现有的录屏审计对终端进行录屏并获得录屏结果的相关文件，审计员对相关文件进行检索。这种简单的录屏审计在实践中也有其自身的弱点，比如在事件追踪时，耗人耗时、很容易漏掉事件细节，而且需要不断的进行相关文件的存储，造成了资源的消耗。
技术实现思路
本公开有鉴于上述现有技术的状况而完成，其目的在于提供了一种可以对录屏结果进行快速检索，帮助审计管理员提高安全事件分析和追踪能力的可视化网络安全审计方法及系统。为此，本公开的第一方面提供了一种可视化网络安全审计方法，是包括终端和审计端的可视化网络的安全审计方法，其特征在于，包括：对终端的用户的操作过程进行录屏，获取录屏过程中的多个视频文件，多个所述视频文件存储于视频存储节点；在录屏过程中，对所述终端的屏幕的文本输出进行监视，当文本输出发生变化时，获取包括文本信息、截获时间和与所述视频文件关联的文件标识符的文本截获信息，所述文本截获信息存储于视频检索数据库；在审计端输入检索条件，对所述视频检索数据库中的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视频检索数据库向所述视频存储节点输出相应的文件标识符和截获时间，所述检索条件包括文本信息或时间范围中的至少一种；并且所述视频存储节点基于所述文件标识符和所述截获时间，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计端，以便在所述审计端进行安全审计。在本公开中，对终端的用户的操作过程进行录屏获得视频文件，对终端的屏幕的文本输出进行监视，当文本输出发生变化时，截获文本截获信息，视频文件和文本截获信息分别存储在视频存储节点和视频检索数据库中，在审计端输入检索条件，从视频检索数据库中找到符合检索条件的文件标识符和截获时间，视频存储节点基于文件标识符和截获时间获得相应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻，并将视频文件和起始时刻反馈给审计端，以便在审计端进行安全审计。由此，能够对录屏结果进行快速检索，能够帮助审计管理员对终端的用户的违规操作和越权访问进行有效审计和快速追踪，并通过直观的可视化方法回放用户的违规操作和越权访问过程，提高网络安全审计能力和效果。在本公开的第一方面所涉及的可视化网络安全审计方法中，所述终端通过录屏程序对用户的操作过程进行录屏，所述录屏程序以内核模块或系统进程方式运行。由此，能够防止录屏程序被卸载或被终止运行。在本公开的第一方面所涉及的可视化网络安全审计方法中，所述录屏程序每隔设定时间片将该时间片的视频单元发送至所述视频存储节点。由此，能够保证审计检索的实时性，以及减少对资源的占用。在本公开的第一方面所涉及的可视化网络安全审计方法中，在所述终端的用户一次连续操作过程中，多个所述视频单元在所述视频存储节点中存储为一个视频文件，所述连续操作过程为用户开始操作至退出当前操作环境。由此，一次连续操作过程为存储为一个视频文件，便于审计管理员进行有效审计和快速追踪。在本公开的第一方面所涉及的可视化网络安全审计方法中，所述录屏程序包括用于当文本输出发生变化时截获所述文本截获信息的钩子(hook)程序。由此，能够减少对网络系统的整体性能的影响。在本公开的第一方面所涉及的可视化网络安全审计方法中，所述文本截获信息还包括用户名、系统IP地址、运维命令、操作指令中的至少一个。由此，为审计管理员对录屏结果进行基于文本的检索提供依据。在本公开的第一方面所涉及的可视化网络安全审计方法中，在录屏过程中，对截获的所述变化的本文信息进行识别；当所述变化的本文信息属于预设的敏感信息时，所述审计端发出警报。由此，能够及时获知用户的非法操作。在本公开的第一方面所涉及的可视化网络安全审计方法中，所述视频检索数据库位于与所述终端网络可达的网络节点。由此，能够实现对大量的文本截获信息的存储。在本公开的第一方面所涉及的可视化网络安全审计方法中，所述终端包括移动通信设备、个人台式计算机、笔记本电脑、通过软件模拟的具有完整硬件系统功能的且运行在一个完全隔离环境中的虚拟计算机中的一种。由此，能够提高可视化网络的安全审计的适用范围。本公开的第二方面提供了一种可视化网络的安全审计系统，其特征在于，包括：用户装置，其用于对用户的操作过程进行录屏，获取录屏过程中的多个视频文件，在录屏过程中，对所述用户装置的屏幕的文本输出进行监视，当文本输出发生变化时，获取包括文本信息、截获时间和与所述视频文件关联的文件标识符的文本截获信息；视频存储节点，其用于存储多个所述视频文件；视频检索数据库，其用于存储所述文本截获信息；以及审计装置，其用于输入检索条件，对所述视频检索数据库中的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视频检索数据库向所述视频存储节点输出相应的文件标识符和截获时间，所述检索条件包括文本信息或时间范围中的至少一种，所述视频存储节点基于所述文件标识符和所述截获时间，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计装置，以便在所述审计装置进行安全审计。在本公开中，对用户装置的用户的操作过程进行录屏获得视频文件，对用户装置的屏幕的文本输出进行监视，当文本输出发生变化时，截获文本截获信息，视频文件和文本截获信息分别存储在视频存储节点和视频检索数据库中，在审计装置输入检索条件，从视频检索数据库中找到符合检索条件的文件标识符和截获时间，视频存储节点基于文件标识符和截获时间获得相应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻，并将视频文件和起始时刻反馈给审计装置，以便在审计装置进行安全审计。由此，能够对录屏结果进行快速检索，能够帮助审计管理员对用户装置的用户的违规操作和越权访问进行有效审计和快速追踪，并通过直观的可视化方法回放用户的违规操作和越权访问过程，提高网络安全审计能力和效果。在本公开的第二方面所涉及的可视化网络的安全审计系统中，所述用户装置通过录屏程序对用户的操作过程进行录屏，所述录屏程序以内核模块或系统进程方式运行。由此，能够防止录屏程序被卸载或被终止运行。在本公开的第二方面所涉及的可视化网络的安全审计系统中，所述录屏程序每隔设定时间片将该时间片的视频单元发送至所述视频存储节点。由此，能够保证审计检索的实时性，以及减少对资源的占用。在本公开的第二方面所涉及的可视化网络的安全审计系统中，在所本文档来自技高网...

【技术保护点】
1.一种可视化网络安全审计方法，是包括终端和审计端的可视化网络的安全审计方法，其特征在于，包括：对终端的用户的操作过程进行录屏，获取录屏过程中的多个视频文件，多个所述视频文件存储于视频存储节点；在录屏过程中，对所述终端的屏幕的文本输出进行监视，当文本输出发生变化时，获取包括文本信息、截获时间和与所述视频文件关联的文件标识符的文本截获信息，所述文本截获信息存储于视频检索数据库；在审计端输入检索条件，对所述视频检索数据库中的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视频检索数据库向所述视频存储节点输出相应的文件标识符和截获时间，所述检索条件包括文本信息或时间范围中的至少一种；并且所述视频存储节点基于所述文件标识符和所述截获时间，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计端，以便在所述审计端进行安全审计。

【技术特征摘要】
1.一种可视化网络安全审计方法，是包括终端和审计端的可视化网络的安全审计方法，其特征在于，包括：对终端的用户的操作过程进行录屏，获取录屏过程中的多个视频文件，多个所述视频文件存储于视频存储节点；在录屏过程中，对所述终端的屏幕的文本输出进行监视，当文本输出发生变化时，获取包括文本信息、截获时间和与所述视频文件关联的文件标识符的文本截获信息，所述文本截获信息存储于视频检索数据库；在审计端输入检索条件，对所述视频检索数据库中的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视频检索数据库向所述视频存储节点输出相应的文件标识符和截获时间，所述检索条件包括文本信息或时间范围中的至少一种；并且所述视频存储节点基于所述文件标识符和所述截获时间，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计端，以便在所述审计端进行安全审计。2.根据权利要求1所述的审计方法，其特征在于，所述终端通过录屏程序对用户的操作过程进行录屏，所述录屏程序以内核模块或系统进程方式运行。3.根据权利要求2所述的审计方法，其特征在于，所述录屏程序每隔设定时间片将该时间片的视频单元发送至所述视频存储节点。4.根据权利要求3所述的审计方法，其特征在于，在所述终端的用户一次连续操作过程中，多个所述视频单元在所述视频存储节点中存储为一个视频文件，所述连续操作过程为用户开始操作至退出当前操作环境。5.根据权利要求2所述的审计方法，其特征在于，所述录屏程序包括用于当文本输出发生变化时截获所述文本截获信息的钩子程序。6.根据权利要求1所述的审计方法，其特征在于，所述文本截获信息还包括用户名、系统IP地址、运维命令、操作指令中的至少一个。7.根据权利要求1所述的审计方法，其特征在于，在录屏过程中，对截获的所述变化的本文信息进行识别；当所述变化的本文信息属于预设的敏感信息时，所述审计端发出警报。8.根据权利要求1所述的审计方法，其特征在于，所述视频检索数据库位于与所述终端网络可达的网络节点。9.根据权利要求1所述的审计方法，其特征在于，所述终端包括移动通信设备、个人台式计算机、笔记本电脑、通过软件模拟的具有完整硬件系统功能的且运行在一个完全隔离环境中的虚拟计算机中的至少一种。10.一...

【专利技术属性】
技术研发人员：李晓勇，郭煜，贺丽红，
申请(专利权)人：北京朋创天地科技有限公司，
类型：发明
国别省市：北京,11