网络安全审计方法及系统技术方案

本公开描述一种网络安全审计方法，其包括：对终端的用户的操作过程通过录屏程序进行录屏，获取录屏的视频文件，视频文件存储于视频存储节点；在录屏过程中，对终端屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截获信息，文本截获信息存储于视频检索数据库；在审计端对视频检索数据库中的文本截获信息进行检索，当查找到符合检索条件的文本截获信息时，输出相应的文本截获信息；视频存储节点基于相应的文本截获信息，查找相应的视频文件，定位检索条件中的文本信息的起始时刻，并将视频文件和起始时刻反馈给审计端。由此，能够通过直观的可视化方法回放用户的违规操作和越权访问过程，提高网络安全审计能力和效果。

【技术实现步骤摘要】
网络安全审计方法及系统本申请是申请日为2018年07月13日、申请号为201810766522.0、专利技术名称为可视化网络安全审计方法及系统的专利申请的分案申请。
本公开大体涉及信息安全
，具体涉及一种网络安全审计方法及系统。
技术介绍
计算机网络安全审计(Audit)是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程。计算机网络安全审计可以简称为安全审计，实际是记录与审查用户操作计算机及网络系统活动的过程，是提高系统安全性的重要举措。系统活动包括操作系统活动和应用程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动，如用户所使用的资源、使用时间、执行的操作等。现有的文本审计方法具有局限性，比如日志量大、可读性差、安全事件难以关联等。另外，现有的录屏审计对终端进行录屏并获得录屏结果的相关文件，审计员对相关文件进行检索。这种简单的录屏审计在实践中也有其自身的弱点，比如在事件追踪时，耗人耗时、很容易漏掉事件细节，而且需要不断的进行相关文件的存储，造成了资源的消耗。
技术实现思路
本公开有鉴于上述现有技术的状况而完成，其目的在于提供了一种可以对录屏结果进行快速检索，帮助审计管理员提高安全事件分析和追踪能力的网络安全审计方法及系统。为此，本公开的第一方面提供了一种网络安全审计方法，是包括终端和审计端的可视化网络的安全审计方法，其特征在于，包括：对终端的用户的操作过程通过录屏程序进行录屏，获取录屏过程中的视频文件，所述视频文件存储于视频存储节点；在录屏过程中，对所述终端的屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截获信息，所述文本截获信息存储于视频检索数据库；在审计端输入检索条件，对所述视频检索数据库中的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视频检索数据库向所述视频存储节点输出相应的文本截获信息，并且所述视频存储节点基于所述相应的文本截获信息，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计端，以便在所述审计端进行安全审计。在本公开中，对终端的用户的操作过程进行录屏获得视频文件，对终端的屏幕的文本输出进行监视，当文本输出发生变化时，截获文本截获信息，视频文件和文本截获信息分别存储在视频存储节点和视频检索数据库中，在审计端输入检索条件，从视频检索数据库中找到符合检索条件的截获文本截获信息，视频存储节点基于截获文本截获信息获得相应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻，并将视频文件和起始时刻反馈给审计端，以便在审计端进行安全审计。由此，能够对录屏结果进行快速检索，能够帮助审计管理员对终端的用户的违规操作和越权访问进行有效审计和快速追踪，并通过直观的可视化方法回放用户的违规操作和越权访问过程，提高网络安全审计能力和效果。在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述录屏程序为一个独立的进程时，采用进程监视和安全保护机制，防止所述录屏程序被卸载或被终止运行。由此，能够防止用户规避被录屏。在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述视频文件的获取和存储方法包括：判断所述用户是否退出操作环境；若所述用户没有退出所述操作环境，继续录屏；录屏过程中判断时间片中断是否发生；若接收到时间片中断信号，创建子进程来运行时间片中断处理程序，然后继续录屏；若没有接收到所述时间片中断信号，继续录屏，若所述用户已经退出所述操作环境，则终止录屏活动；并且将该用户还未发送到所述视频存储节点的本地录屏文件发送到所述视频存储节点；并且然后删除录屏过程中所述本地录屏文件。由此，能够获取和存储视频文件。在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述时间片中断处理程序包括：将所述本地录屏文件转储到临时文件，并清空所述本地录屏文件；将所述临时文件发送到所述视频存储节点；并且清空所述临时文件。由此，能够保证录屏过程中发生时间片中断时的正常运行。在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述录屏程序包括用于当文本输出发生变化时截获所述文本截获信息的钩子程序，所述文本截获信息包括文本信息、截获时间和与所述视频文件关联的文件标识符，所述文本截获信息的获取和存储方法包括：在所述终端往屏幕上写入所述文本信息；进入所述钩子程序，其中，所述钩子程序包括：从屏幕写文本函数的参数中获取或截获要写入的所述文本信息；然后采集系统当前时间、系统IP地址、用户名以及用户视频文件标识符等信息；合并一起生成视频检索记录；并且将所述视频检索记录发送给所述视频检索数据库中保存。由此，能够减少对网络系统的整体性能的影响。在本公开的第一方面所涉及的网络安全审计方法中，可选地，由所述终端对每个用户的一次连续操作过程进行录屏获得一个视频文件，所述一个视频文件包括多个视频单元。由此，一次连续操作过程为存储为一个视频文件，便于审计管理员进行有效审计和快速追踪。在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述录屏程序每隔设定时间片将该时间片的所述视频单元发送至所述视频存储节点，该时间片的所述视频单元与已经保存的同一个连续操作过程的所述视频单元进行合并，直至所述用户退出，在所述用户退出当前操作环境后，所述终端将最后一个视频单元发送至所述视频存储节点，并且所述最后一个视频单元与已经保存的同一个连续操作过程的其他视频单元进行合并，生成所述用户本次连续操作过程的完整一个视频文件。由此，能够保证审计检索的实时性，以及减少对资源的占用。在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述视频检索数据库支持多个所述终端的所述视频文件的存储和检索。由此，能够支持对多终端用户操作行为的可视化审计。在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述视频存储节点和所述视频检索数据库使用同一个物理服务器。本公开的第二方面提供了一种网络的安全审计系统，其特征在于，包括：用户装置，其用于对用户的操作过程通过录屏程序进行录屏，获取录屏过程中的视频文件，在录屏过程中，对所述用户装置的屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截获信息；视频存储节点，其用于存储所述视频文件；视频检索数据库，其用于存储所述文本截获信息；以及审计装置，其用于输入检索条件，对所述视频检索数据库中的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视频检索数据库向所述视频存储节点输出相应的文本截获信息，所述视频存储节点基于所述相应的文本截获信息，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计装置，以便在所述审计装置进行安全审计。在本公开中，对用户装置的用户的操作过程进行录屏获得视频文件，对用户装置的屏幕的文本输出进行监视，当本文档来自技高网...

【技术保护点】
1.一种网络安全审计方法，是包括终端和审计端的可视化网络的安全审计方法，其特征在于，/n包括：/n对终端的用户的操作过程通过录屏程序进行录屏，获取录屏过程中的视频文件，所述视频文件存储于视频存储节点；/n在录屏过程中，对所述终端的屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截获信息，所述文本截获信息存储于视频检索数据库；/n在审计端输入检索条件，对所述视频检索数据库中的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视频检索数据库向所述视频存储节点输出相应的文本截获信息，并且/n所述视频存储节点基于所述相应的文本截获信息，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计端，以便在所述审计端进行安全审计。/n

【技术特征摘要】
1.一种网络安全审计方法，是包括终端和审计端的可视化网络的安全审计方法，其特征在于，
包括：
对终端的用户的操作过程通过录屏程序进行录屏，获取录屏过程中的视频文件，所述视频文件存储于视频存储节点；
在录屏过程中，对所述终端的屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截获信息，所述文本截获信息存储于视频检索数据库；
在审计端输入检索条件，对所述视频检索数据库中的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视频检索数据库向所述视频存储节点输出相应的文本截获信息，并且
所述视频存储节点基于所述相应的文本截获信息，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计端，以便在所述审计端进行安全审计。


2.根据权利要求1所述的审计方法，其特征在于，
所述录屏程序为一个独立的进程时，采用进程监视和安全保护机制，防止所述录屏程序被卸载或被终止运行。


3.根据权利要求1所述的审计方法，其特征在于，
所述视频文件的获取和存储方法包括：
判断所述用户是否退出操作环境；
若所述用户没有退出所述操作环境，继续录屏；
录屏过程中判断时间片中断是否发生；
若接收到时间片中断信号，创建子进程来运行时间片中断处理程序，然后继续录屏；
若没有接收到所述时间片中断信号，继续录屏，若所述用户已经退出所述操作环境，则终止录屏活动；
将该用户还未发送到所述视频存储节点的本地录屏文件发送到所述视频存储节点；并且
然后删除录屏过程中所述本地录屏文件。


4.根据权利要求3所述的审计方法，其特征在于，
所述时间片中断处理程序包括：
将所述本地录屏文件转储到临时文件，并清空所述本地录屏文件；
将所述临时文件发送到所述视频存储节点；并且
清空所述临时文件。


5.根据权利要求1所述的审计方法，其特征在于，
所述录屏程序包括用于当文本输出发生变化时截获所述文本截获信息的钩子程序，所述文本截获信息包括文本信息、截获时间和与所述视频文件关联的文件标识符，所述文本截获信息的获取和存储方法包括：
在所述终端往...

【专利技术属性】
技术研发人员：郭煜，贺丽红，
申请(专利权)人：北京朋创天地科技有限公司，
类型：发明
国别省市：北京;11