[发明专利]审计特征的检测方法及用户行为审计系统

说明书

技术领域

本发明涉及信息安全领域，具体而言，涉及一种审计特征的检测方法及用户行为审计系统。

背景技术

随着信息技术的日新月异和网络信息系统应用的发展，政府、企业的网络应用层次不断深入，使得信息安全问题也日益凸现。如员工对内部业务系统的非授权访问，业务资源的滥用、误用行为，损害业务系统的正常运行；员工利用工作时间，聊天、炒股、玩网络游戏、BT下载、在线视频等行为，影响工作效率；员工随意通过EMAIL、即时通讯等方式发送敏感涉密信息，导致机密信息、关键业务数据的外泄；员工利用网络浏览、下载、传播、发表不良信息和非法言论，造成恶劣社会影响，并可能导致国家法律问题等。

面对上述网络信息安全风险，不少企事业单位在防火墙、入侵检测、防病毒等投入大量资金，但是由于防火墙等设备并不能对用户的各种网络行为进行深度检测和识别，并对这些行为进行疏导和控制，使得信息泄密、网络违规事件依然层出不穷。在这种情况下，用户行为审计技术应运而生，这项技术的运用将使得网络资源得到合理的配置和优化并保证网络的安全，将网络的管理提高到一个新的层次。

图1是根据现有技术的用户行为审计系统的示意图。如图1所示，现有的用户行为审计系统基本处理流程是将经过审计设备的网络报文送入会话管理模块101，之后将不同会话上的报文送入通用应用识别引擎103进行检测，首先通过端口及协议特征识别协议，按照协议层次进行解析，然后在协议识别的基础上，基于协议载荷对协议进行审计特征识别，任意一个协议需要与所有协议上的审计特征进行过滤得到该协议所对应的审计特征。在策略管理模块105和用户行为审计处理模块107中根据设备配置的行为审计策略针对不同的协议及审计特征调用相应的处理函数完成审计的操作，将审计结果作为日志信息进行拼接并发送给日志处理模块109进行解析和处理，将最终的审计日志存储到设备数据库中或发送到远程主机，方便用户查询及管理。

上述审计技术以应用识别引擎103为核心，所有的报文都需要经过应用识别引擎103进行深度检测，识别出报文所属的协议和报文所命中的在所属协议之上定义的审计特征。这种审计处理流程设计和实现相对简单，有比较大的灵活性，但是随着审计业务不断增加以及对报文处理性能要求的不断提高，现有的审计处理流程开始暴露出其体系结构的一些问题，其中影响最大的是两个问题。

由于所有的协议识别和特征识别等深度检测工作都交由应用识别引擎103完成，随着审计业务不断增加，应用识别引擎103需要查找的协议特征和审计特征会成倍的增加，由于每个协议对应几个甚至十几个审计特征，使得在基于协议进行审计特征的查询过程中，系统负担过重，使得报文处理性能严重下降。

另外，相同类型业务的协议会有很多相同的审计特征，并且通常这些审计特征的长度都很短，难以通过改变审计特征去区分不同的协议，而应用识别引擎本身的设计使得它不能正确识别过多的相同特征。以上两点使得以应用识别引擎103为核心的用户行为审计系统随着处理的审计业务数目的增加，系统处理的效率和准确性也在严重下降。

综上所述，由于设计上的局限性，当前系统过于依赖通用应用识别引擎103，使得引擎不堪重负，严重影响了特征识别检测的高效性和准确性。

针对上述现有的用户行为审计系统通过应用识别引擎查询审计特征的过程冗余度大，导致系统效率低和准确性差的问题，目前尚未提出有效的解决方案。

发明内容

针对现有的通用户行为审计系统通过应用识别引擎查询审计特征的过程冗余度大，导致系统效率低和准确性差的问题而提出本发明，为此，本发明的主要目的在于提供一种审计特征的检测方法、装置及系统，以解决上述问题。

为了实现上述目的，根据本发明的一个方面，提供了一种审计特征的检测方法。

根据本发明的审计特征的检测方法包括：创建审计数据库以及在审计数据库中查找审计特征，其中，审计数据库是报文协议与审计特征的对应关系的集合，且每个报文协议对应一组审计特征，每个审计特征对应一个报文协议。

进一步地，审计数据库包括至少一个特征检测引擎，特征检测引擎由每个报文协议及其对应的一组审计特征构成。

进一步地，在审计数据库中查找审计特征之前，方法还包括：通过端口接收并识别报文；以及在应用识别引擎中查找报文对应的报文协议。

进一步地，创建审计数据库的步骤包括：定义审计特征的标识符；以及通过标识符获取报文协议与审计特征的对应关系。

进一步地，审计特征的ID作为标识符，通过ID获取报文协议对应的审计特征。