[发明专利]一种基于旁路审计设备的用户行为关联分析方法及系统

权利要求书

1.一种基于旁路审计设备的用户行为关联分析方法，其特征在于，具体包括下述步骤：

步骤A：采集网络访问流量，具体包括下述子步骤：

步骤A1：通过在核心交换机上设置镜像口，将镜像数据发送到旁路审计设备；

所述旁路审计设备采用旁路部署的模式，用于监视并记录用户端对应用系统的各类操作行为；

所述应用系统是指旁路审计设备审计对象；

步骤A2：在旁路审计设备中，配置应用系统即审计对象的IP、端口；

步骤A3：旁路审计设备根据步骤A2配置的应用系统IP和端口，抓取来自用户端到应用系统的网络访问流量包；

步骤B：分析网络访问流量包，具体包括下述子步骤：

步骤B1：解析数据包：对步骤A3采集到的每个网络访问流量包按HTTP协议进行解析，解析出的HTTP请求信息包含但不限于：请求URL、请求头、返回头、参数、提交表单；

步骤B2：确认关键字：在步骤B1解析到的请求头或返回头中确认SessionID关键字、真实IP关键字，在步骤B1解析到的参数或提交表单中确认用户名关键字；

步骤B3：配置关键字：在旁路审计设备中，配置应用系统对应的SessionID关键字、用户名关键字、真实IP关建字、登录URL标识、SIP标识；

步骤B4：提取用户信息：依据步骤B1得到的请求URL，先找到关键的URL即登陆URL，再根据B3配置的关键字提取对应的关键值即用户标识、SessionID、真实IP值并记录在旁路审计设备的缓冲区中；若如缓冲区中已存在相同的SessionID，更新其对应的用户标识和真实IP值记录；

所述登录URL是指包含用户信息的URL；

步骤B5：关联用户信息：提取步骤B1数据包中解析到的每个URL对应的SessionID值，根据SessionID，标记上步骤B4缓冲区中相同SessionID对应的用户标识、真实IP值，并记录在旁路审计设备的数据库表中，即完成用户行为关联信息分析；

所述数据库表是指旁路审计设备数据库中的表，用于记录审计对象的所有HTTP访问请求及用户行为关联信息；

所述用户标识是指能够标示用户信息的关键值，在实际审计对象应用系统中包括但不限于以下种类：用户名、用户ID、手机号、邮箱、身份证号；

所述用户行为关联信息包含但不限于以下：用户标识、SessionID值、真实IP值。