[发明专利]一种基于旁路审计设备的用户行为关联分析方法及系统

说明书

技术领域

本发明是关于网络技术、数据库审计技术领域，特别涉及一种基于旁路审计设备的用户行为关联分析方法及系统。

背景技术

随着计算机信息技术及互联网应用的普及与发展，各种互联网应用系统已被广泛使用，来自客户端的访问也随着纷呈复杂，从而使得互联网应用的安全问题变得越来越突出。因此，越来越多的厂商、企业、政府采用独立的审计设备对用户行为进行审计。

在实际的互联网应用环境中，应用系统处理来自各方用户端的操作，产生了海量数据。由于互联网应用环境处于公网上，因此来自各方用户端的访问请求即网络访问数据流量包，途径层层网路才能到达应有环境即审计象对中因此审计设备抓取到的数据流量包会丢失一些真实用户信息，难以对这些来自各方请求行为进行真实用户信息关联，从而难以追溯用户行为源。

因此，亟需要一种可以快速、有效地用户行为关联分析，追溯用户行为源的方法及系统。

发明内容

本发明的主要目的在于克服现有技术中的不足，提供一种基于旁路审计设备的用户行为关联分析方法及系统。为解决上述技术问题，本发明的解决方案是：

提供一种基于旁路审计设备的用户行为关联分析方法，具体包括下述步骤：

步骤A：采集网络访问流量，具体包括下述子步骤：

步骤A1：通过在核心交换机(核心交换机是指能够完成封装转发数据包功能的网络设备，经过审计对象的数据包都需要经过该核心交换机转发)上设置镜像口，将镜像数据发送到旁路审计设备；

所述旁路审计设备采用旁路部署的模式(自主开发的审计设备)，用于监视并记录用户端对应用系统的各类操作行为；

所述应用系统是指旁路审计设备审计对象；

步骤A2：在旁路审计设备中，配置应用系统即审计对象的IP、端口；

步骤A3：旁路审计设备根据步骤A2配置的应用系统IP和端口，抓取来自用户端到应用系统的网络访问流量包；

步骤B：分析网络访问流量包，具体包括下述子步骤：

步骤B1：解析数据包：对步骤A3采集到的每个网络访问流量包按HTTP协议进行解析，解析出的HTTP请求信息包含但不限于：请求URL、请求头、返回头、参数、提交表单；

步骤B2：确认关键字：在步骤B1解析到的请求头或返回头中确认SessionID关键字、真实IP关键字，在步骤B1解析到的参数或提交表单中确认用户名关键字；

步骤B3：配置关键字：在旁路审计设备中，配置应用系统对应的SessionID关键字、用户名关键字、真实IP关建字、登录URL标识(登陆URL标识是根据保护对象即应用系统的登陆页面进行手工配置)、SIP标识(SIP标识值对应的是流量中解析到的x-forwarded-for值)；

(所述SPS标识用于配置审计对象是否经过F5负载均衡设备，是可选项；假设审计对象经过F5负责均衡设备则需要勾选，并自动识别出层级；因为假设审计对象经过F5负载均衡设备，真实用户IP值会被负载均衡设备的IP覆盖，所以配置SPS标识关键字是为了进一步追溯真实用户IP值)

步骤B4：提取用户信息：依据步骤B1得到的请求URL，先找到关键的URL即登陆URL，再根据B3配置的关键字提取对应的关键值即用户标识、SessionID、真实IP值并记录在旁路审计设备的缓冲区中；若如缓冲区中已存在相同的SessionID，更新其对应的用户标识和真实IP值记录；

所述登录URL是指包含用户信息的URL；

步骤B5：关联用户信息：提取步骤B1数据包中解析到的每个URL对应的SessionID值，根据SessionID，标记上步骤B4缓冲区中相同SessionID对应的用户标识、真实IP值，并记录在旁路审计设备的数据库表中，即完成用户行为关联信息分析；

所述数据库表是指旁路审计设备数据库中的表，用于记录审计对象的所有HTTP访问请求及用户行为关联信息；

所述用户标识是指能够标示用户信息的关键值，在实际审计对象应用系统中包括但不限于以下种类：用户名、用户ID、手机号、邮箱、身份证号；

所述用户行为关联信息包含但不限于以下：用户标识、SessionID值、真实IP值。

提供一种存储设备，其中存储有多条指令，所述指令适用于由处理器加载并执行：

步骤A：采集网络访问流量，具体包括下述子步骤：