[发明专利]一种基于旁路审计设备的用户行为关联分析方法及系统

摘要

本发明涉及网络技术、数据库审计技术，旨在提供一种基于旁路审计设备的用户行为关联分析方法包括步骤：采集网络访问流量、分析网络访问流量包。本发明能够快速关联到流量包中无用户信息URL的真实用户访问信息，能够精准关联到流量包中无用户信息URL的真实用户访问信息，能够智能关联到流量包中每个URL的真实用户访问信息。

主权项

一种基于旁路审计设备的用户行为关联分析方法，其特征在于，具体包括下述步骤：步骤A：采集网络访问流量，具体包括下述子步骤：步骤A1：通过在核心交换机上设置镜像口，将镜像数据发送到旁路审计设备；所述旁路审计设备采用旁路部署的模式，用于监视并记录用户端对应用系统的各类操作行为；所述应用系统是指旁路审计设备审计对象；步骤A2：在旁路审计设备中，配置应用系统即审计对象的IP、端口；步骤A3：旁路审计设备根据步骤A2配置的应用系统IP和端口，抓取来自用户端到应用系统的网络访问流量包；步骤B：分析网络访问流量包，具体包括下述子步骤：步骤B1：解析数据包：对步骤A3采集到的每个网络访问流量包按HTTP协议进行解析，解析出的HTTP请求信息包含但不限于：请求URL、请求头、返回头、参数、提交表单；步骤B2：确认关键字：在步骤B1解析到的请求头或返回头中确认SessionID关键字、真实IP关键字，在步骤B1解析到的参数或提交表单中确认用户名关键字；步骤B3：配置关键字：在旁路审计设备中，配置应用系统对应的SessionID关键字、用户名关键字、真实IP关建字、登录URL标识、SIP标识；步骤B4：提取用户信息：依据步骤B1得到的请求URL，先找到关键的URL即登陆URL，再根据B3配置的关键字提取对应的关键值即用户标识、SessionID、真实IP值并记录在旁路审计设备的缓冲区中；若如缓冲区中已存在相同的SessionID，更新其对应的用户标识和真实IP值记录；所述登录URL是指包含用户信息的URL；步骤B5：关联用户信息：提取步骤B1数据包中解析到的每个URL对应的SessionID值，根据SessionID，标记上步骤B4缓冲区中相同SessionID对应的用户标识、真实IP值，并记录在旁路审计设备的数据库表中，即完成用户行为关联信息分析；所述数据库表是指旁路审计设备数据库中的表，用于记录审计对象的所有HTTP访问请求及用户行为关联信息；所述用户标识是指能够标示用户信息的关键值，在实际审计对象应用系统中包括但不限于以下种类：用户名、用户ID、手机号、邮箱、身份证号；所述用户行为关联信息包含但不限于以下：用户标识、SessionID值、真实IP值。