应用于操作行为审计系统的操作行为记录方法及系统的制作方法
应用于操作行为审计系统的操作行为记录方法及系统的制作方法
【技术领域】
[0001]本发明属于操作行为审计技术领域,具体涉及一种应用于操作行为审计系统的操作行为记录方法及系统。
【背景技术】
[0002]操作行为审计系统是一种保护企业内部信息安全,防止企业内部信息外泄的系统,为银行、证券基金公司、电信公司、涉密单位等对安全等级要求较高的行业带来了安全保障。
[0003]传统的操作行为审计系统中,所采取的记录策略为:将捕捉到的所有操作行为数据均记录下来,包括应用名称、标题元数据、应用窗口内容以及操作行为发生时的视频帧等。
[0004]上述操作行为数据记录方法存在以下不足:
[0005](1)当需要对所记录的操作行为数据进行数据查找时,例如,系统管理员在通过审计系统对问题进行定位为目的的数据检索时,需要使用大量的检索操作,占用了系统管理员大量的时间,具有查找效率低的问题;
[0006](2)由于审计策略只能到应用级进行针对性的存储设置,导致指定应用的审计策略后,也会记录大量的用户不想要的无效数据,占用了大量的存储空间。
【发明内容】
[0007]针对现有技术存在的缺陷,本发明提供一种应用于操作行为审计系统的操作行为记录方法及系统,可有效解决上述问题。
[0008]本发明采用的技术方案如下:
[0009]本发明提供一种应用于操作行为审计系统的操作行为记录方法,包括以下步骤:
[0010]步骤1,定义与每种操作行为分别对应的至少一种违规规则;并将所制定的违规规则与各个帐户ID绑定;
[0011 ]步骤2,定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0012]步骤3,实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0013]然后,根据指定帐户ID获取该指定账户对应的违规规则;然后,判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为,如果判断结果为是,则执行步骤4;否则,执行步骤5;
[0014]步骤4,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据;
[0015]步骤5,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。
[0016]优选的,步骤1中,所定义的违规规则即为违规行为,采用以下两种方式定义:第一类,对于无法取得操作具体文字内容的操作行为,采用元数据,即标题定义方式,定义该操作行为所对应的违规行为:第二类,对于能够取得操作具体文字内容的操作行为,采用内容级别的描述语言,定义该操作行为所对应的违规行为。
[0017]优选的,所述违规行为审计策略是指:当分析到指定账户发生指定的违规行为时,需要记录的审计数据;所述非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据。
[0018]优选的,步骤3之后,还包括:
[0019]预定义与每个帐户ID分别对应的告警策略;当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
[0020]优选的,步骤5之后,还包括:
[0021]将发生违规行为所记录的审计数据和发生非违规行所记录的审计数据分区存储。
[0022]本发明还提供一种应用于操作行为审计系统的操作行为记录系统,包括:
[0023]违规规则定义模块,用于定义与每种操作行为分别对应的至少一种违规规则;
[0024]违规规则账户绑定模块,用于将所述违规规则定义模块所定义的违规规则绑定到对应的帐户ID;
[0025]账户审计策略定义模块,用于定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0026]操作行为内容数据获取模块,用于实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0027]账户违规规则获取模块,用于根据指定帐户ID获取该指定账户对应的违规规则;
[0028]违规性判断模块,用于判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为;
[0029]审计数据记录模块,用于当所述违规性判断模块判断到发生违规行为时,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据;
[0030]还用于:当所述违规性判断模块判断到发生非违规行为时,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。
[0031]优选的,还包括:
[0032]告警策略定义模块,用于预定义与每个帐户ID分别对应的告警策略;
[0033]告警模块,用于当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
[0034]本发明提供的应用于操作行为审计系统的操作行为记录方法及系统具有以下优占.
[0035](1)由于对操作行为进行了细粒度到某个行为内容是否违规的判断,并定义了发生违规行为和非违规行为时,采取不同的审计策略。因此,与传统审计操作系统相比,在满足审计要求的前提下,可明显减少审计数据的记录数量,降低了存储空间的占用;
[0036](2)由于违规数据和非违规数据分区存储,有利于更为高效的进行检索,提高数据检索效率。
【附图说明】
[0037]图1为本发明提供的应用于操作行为审计系统的操作行为记录方法的流程示意图;
[0038]图2为本发明提供的应用于操作行为审计系统的操作行为记录系统的结构示意图。
【具体实施方式】
[0039]为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0040]本发明提供一种应用于操作行为审计系统的操作行为记录方法,主要思路为:预定义每种操作行为的违规行为;然后,对于监控到的每个操作行为,首先进行违规性判断,如果为违规操作行为,则采取与违规操作行为对应的审计策略记录相关的审计数据;而如果为非违规操作行为,则采取另一种与非违规操作行为对应的审计策略记录相关的审计数据。由于针对操作行为是否违规,采取了不同的审计策略,从而可解决传统技术存在的将所有操作行为均记录而带来的相关问题。
[0041]具体的,结合图1,本发明提供一种应用于操作行为审计系统的操作行为记录方法,包括以下步骤:
[0042]步骤1,定义与每种操作行为分别对应的至少一种违规规则;并将所制定的违规规则与各个帐户ID绑定;
[0043]本步骤中,所定义的违规规则即为违规行为,并且,本发明中,只需要定义违规行为,不需要定义非违规行为。此外,采用以下两种方式定义违规行为:第一类,对于无法取得操作具体文字内容的操作行为,采用元数据,即标题定义方式,定义该操作行为所对应的违规行为:第二类,对于能够取得操作具体文字内容的操作行为,采用内容级别的描述语言,定义该操作行为所对应的违规行为。
[0044]本发明中,将违规规则与帐户ID绑定的原因为:因为账户对应于员工身份,所以,各个账户违规后采取的处理手段可以是不相同的,所以,需要将违规规则与帐户ID绑定,更为符合实际管理需求。
[0045]步骤2,定义与每个帐户ID分别对应的行为审计策略;其中,行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0046]具体的,违规行为审计策略是指:当分析到指定账户发生指定的违规行为时,需要记录的审计数据;非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据。
[0047]其中,审计数据包括:标题元数据、应用窗口内容以及操作行为发生时的视频帧。
[0048]例如,违规行为审计策略可定义为:当分析到指定账户发生指定的违规行为时,需要记录的审计数据为标题元数据、应用窗口内容以及操作行为发生时的视频帧;非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据为标题元数据、应用窗口内容,不需要记录操作行为发生时的视频帧。
[0049]也就是说,本发明根据操作行为是否违规,而区分不同的审计策略。而通常情况下,用户一般只对违反规则下的操作行为更为感兴趣,所以,当出现违反规则的操作行为时,本发明将全部的审计数据均记录下来;而当出现非违反规则的操作行为时,只简单记录标题元数据和应用窗口内容,而不记录操作行为发生时的视频帧,从而减少存储空间的占用。
[0050]另外,本发明配置有自定义模块,用户可针对账户对其违规后的数据记录行为进行自定义。
[0051]步骤3,实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0052]然后,根据指定帐户ID获取该指定账户对应的违规规则;然后,判断操作行为内容数据是否发生属于违规规则所定义的违规行为,如果判断结果为是,则执行步骤4;否则,执行步骤5 ;
[0053]步骤4,获取与指定帐户ID对应的违规行为审计策略,并基于违规行为审计策略记录相应的审计数据;
[0054]步骤5,获取与指定帐户ID对应的非违规行为审计策略,并基于非违规行为审计策略记录相应的审计数据。
[0055]此外,步骤3之后,还包括:
[0056]预定义与每个帐户ID分别对应的告警策略;当监控到指定帐户ID发生 对应的违规行为时,采用与帐户ID对应的告警策略进行告警。例如,指定对于某些违规行为产生告警数据,并可实时以报表的形式发送给指定接收人,以便运维人员对于某些危险性的操作实时获取。
[0057]步骤5之后,还包括:
[0058]将发生违规行为所记录的审计数据和发生非违规行所记录的审计数据分区存储。
[0059]传统的操作行为审计系统,不对操作行为进行违规和非违规的逻辑区分,导致所有数据混杂在一起,在违规数据的保留上,由于只能选择时间段内的数据存档,无法挑拣出违规数据进行长期存档。因此,用户一般只能将很久的过期数据进行全部删除。
[0060]而本发明中,将违规数据和非违规数据分区存储,在存储资源一定的情况下,可以对违规数据实现更为长期的保存,而对于非违规数据,可定期删除。这种审计方式更符合审计规范的要求。
[0061]另外,由于违规数据和非违规数据分区存储,更有利于对审计数据检索,可提高审计数据检索的效率。并且,实际应用中,可以实现以规则为维度进行检索,可检索到违反同一条规则的所有账户,方便审计。还可加强对所需审计数据的定位能力。
[0062]如图2所示,本发明还提供一种应用于操作行为审计系统的操作行为记录系统,包括:
[0063]违规规则定义模块,用于定义与每种操作行为分别对应的至少一种违规规则;
[0064]违规规则账户绑定模块,用于将违规规则定义模块所定义的违规规则绑定到对应的帐户ID;
[0065]账户审计策略定义模块,用于定义与每个帐户ID分别对应的行为审计策略;其中,行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0066]操作行为内容数据获取模块,用于实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0067]账户违规规则获取模块,用于根据指定帐户ID获取该指定账户对应的违规规则;
[0068]违规性判断模块,用于判断操作行为内容数据是否发生属于违规规则所定义的违规行为;
[0069]审计数据记录模块,用于当违规性判断模块判断到发生违规行为时,获取与指定帐户ID对应的违规行为审计策略,并基于违规行为审计策略记录相应的审计数据;
[0070]还用于:当违规性判断模块判断到发生非违规行为时,获取与指定帐户ID对应的非违规行为审计策略,并基于非违规行为审计策略记录相应的审计数据。
[0071]还包括:
[0072]告警策略定义模块,用于预定义与每个帐户ID分别对应的告警策略;
[0073]告警模块,用于当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
[0074]下面列举两个本发明具体实施例:
[0075]实施例一:
[0076]违规规则定义模块采取内容级别的规则定义,S卩:针对内容的规则定义,对于SecureCRT、Putty等、linux、unix系统维护工具,进行所执行命令级的规则定义,然后将所定义的规则绑定到1 i nux账户上,并且,对1 i nux账户定义的审计策略为:发生违规行为时,同时记录标题元数据、应用窗口内容以及操作行为发生时的视频帧;而当发生非违规行为时,只记录标题元数据、应用窗口内容。结果表明,只有当违反规则的命令出现后,系统才自动记录标题元数据、应用窗口内容以及操作行为发生时的视频帧;而未发生违反规则的命令时,只记录了标题元数据、应用窗口内容。
[0077]实施例二:
[0078]对无需记录操作内容的应用,比如浏览器等,在进行规则定义时,只进行标题元数据的规则定义,例如,对某些特定网页浏览行为,属于某个账户的违规行为。在进行审计策略定义时,仍然采取:发生违规行为时,同时记录标题元数据、应用窗口内容以及操作行为发生时的视频帧;而当发生非违规行为时,只记录标题元数据、应用窗口内容。结果表明,本发明可显著减少存储空间和所记录的审计数据条目。
[0079]由此可见,本发明提供的应用于操作行为审计系统的操作行为记录方法及系统,由于对操作行为进行了细粒度到某个行为内容是否违规的判断,并定义了发生违规行为和非违规行为时,采取不同的审计策略。例如,对于违规行为,才进行视频帧或者元数据的记录。因此,与传统审计操作系统相比,本发明在满足审计要求的前提下,可明显减少审计数据的记录数量,降低了存储空间的占用;在只记录违规行为时的视频帧时,存储空间平均只有原来的十分之一以下,在违规行为几乎不出现的场景下所使用的存储空间只有原来的百分之一以下。
[0080]另外,由于违规数据和非违规数据分区存储,有利于更为高效的进行检索,提高数据检索效率。具体的,本发明在检索时,检索到违规行为时操作步骤减少了一半以上,并且不用长时间的筛选出违规行为数据,缩短了检索时间,所花费的检索时间不到原来的二十分之一;而在持续时间比较长的会话中,检索时间则节省的更多,是原来的百分之一以下,预期的节省时间效果完全达到。
[0081]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
【主权项】
1.一种应用于操作行为审计系统的操作行为记录方法,其特征在于,包括以下步骤: 步骤1,定义与每种操作行为分别对应的至少一种违规规则;并将所制定的违规规则与各个帐户ID绑定; 步骤2,定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略; 步骤3,实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据; 然后,根据指定帐户ID获取该指定账户对应的违规规则;然后,判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为,如果判断结果为是,则执行步骤4;否贝1J,执行步骤5; 步骤4,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据; 步骤5,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。2.根据权利要求1所述的应用于操作行为审计系统的操作行为记录方法,其特征在于,步骤1中,所定义的违规规则即为违规行为,采用以下两种方式定义:第一类,对于无法取得操作具体文字内容的操作行为,采用元数据,即标题定义方式,定义该操作行为所对应的违规行为:第二类,对于能够取得操作具体文字内容的操作行为,采用内容级别的描述语言,定义该操作行为所对应的违规行为。3.根据权利要求1所述的应用于操作行为审计系统的操作行为记录方法,其特征在于,所述违规行为审计策略是指:当分析到指定账户发生指定的违规行为时,需要记录的审计数据;所述非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据。4.根据权利要求1所述的应用于操作行为审计系统的操作行为记录方法,其特征在于,步骤3之后,还包括: 预定义与每个帐户ID分别对应的告警策略;当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。5.根据权利要求1所述的应用于操作行为审计系统的操作行为记录方法,其特征在于,步骤5之后,还包括: 将发生违规行为所记录的审计数据和发生非违规行所记录的审计数据分区存储。6.—种应用于操作行为审计系统的操作行为记录系统,其特征在于,包括: 违规规则定义模块,用于定义与每种操作行为分别对应的至少一种违规规则; 违规规则账户绑定模块,用于将所述违规规则定义模块所定义的违规规则绑定到对应的帐户ID; 账户审计策略定义模块,用于定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略; 操作行为内容数据获取模块,用于实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据; 账户违规规则获取模块,用于根据指定帐户ID获取该指定账户对应的违规规则; 违规性判断模块,用于判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为; 审计数据记录模块,用于当所述违规性判断模块判断到发生违规行为时,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据;还用于:当所述违规性判断模块判断到发生非违规行为时,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。7.根据权利要求6所述的应用于操作行为审计系统的操作行为记录系统,其特征在于,还包括: 告警策略定义模块,用于预定义与每个帐户ID分别对应的告警策略; 告警模块,用于当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
【专利摘要】本发明提供一种应用于操作行为审计系统的操作行为记录方法及系统,系统包括:违规规则定义模块、违规规则账户绑定模块、账户审计策略定义模块、操作行为内容数据获取模块、账户违规规则获取模块、违规性判断模块、审计数据记录模块。优点为:(1)由于对操作行为进行了细粒度到某个行为内容是否违规的判断,并定义了发生违规行为和非违规行为时,采取不同的审计策略。因此,与传统审计操作系统相比,在满足审计要求的前提下,可明显减少审计数据的记录数量,降低了存储空间的占用;(2)由于违规数据和非违规数据分区存储,有利于更为高效的进行检索,提高数据检索效率。
【IPC分类】G06F21/55, G06F21/62
【公开号】CN105488428
【申请号】CN201510821962
【发明人】李小龙, 郭晓东
【申请人】北京华夏威科软件技术有限公司
【公开日】2016年4月13日
【申请日】2015年11月24日
【技术领域】
[0001]本发明属于操作行为审计技术领域,具体涉及一种应用于操作行为审计系统的操作行为记录方法及系统。
【背景技术】
[0002]操作行为审计系统是一种保护企业内部信息安全,防止企业内部信息外泄的系统,为银行、证券基金公司、电信公司、涉密单位等对安全等级要求较高的行业带来了安全保障。
[0003]传统的操作行为审计系统中,所采取的记录策略为:将捕捉到的所有操作行为数据均记录下来,包括应用名称、标题元数据、应用窗口内容以及操作行为发生时的视频帧等。
[0004]上述操作行为数据记录方法存在以下不足:
[0005](1)当需要对所记录的操作行为数据进行数据查找时,例如,系统管理员在通过审计系统对问题进行定位为目的的数据检索时,需要使用大量的检索操作,占用了系统管理员大量的时间,具有查找效率低的问题;
[0006](2)由于审计策略只能到应用级进行针对性的存储设置,导致指定应用的审计策略后,也会记录大量的用户不想要的无效数据,占用了大量的存储空间。
【发明内容】
[0007]针对现有技术存在的缺陷,本发明提供一种应用于操作行为审计系统的操作行为记录方法及系统,可有效解决上述问题。
[0008]本发明采用的技术方案如下:
[0009]本发明提供一种应用于操作行为审计系统的操作行为记录方法,包括以下步骤:
[0010]步骤1,定义与每种操作行为分别对应的至少一种违规规则;并将所制定的违规规则与各个帐户ID绑定;
[0011 ]步骤2,定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0012]步骤3,实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0013]然后,根据指定帐户ID获取该指定账户对应的违规规则;然后,判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为,如果判断结果为是,则执行步骤4;否则,执行步骤5;
[0014]步骤4,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据;
[0015]步骤5,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。
[0016]优选的,步骤1中,所定义的违规规则即为违规行为,采用以下两种方式定义:第一类,对于无法取得操作具体文字内容的操作行为,采用元数据,即标题定义方式,定义该操作行为所对应的违规行为:第二类,对于能够取得操作具体文字内容的操作行为,采用内容级别的描述语言,定义该操作行为所对应的违规行为。
[0017]优选的,所述违规行为审计策略是指:当分析到指定账户发生指定的违规行为时,需要记录的审计数据;所述非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据。
[0018]优选的,步骤3之后,还包括:
[0019]预定义与每个帐户ID分别对应的告警策略;当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
[0020]优选的,步骤5之后,还包括:
[0021]将发生违规行为所记录的审计数据和发生非违规行所记录的审计数据分区存储。
[0022]本发明还提供一种应用于操作行为审计系统的操作行为记录系统,包括:
[0023]违规规则定义模块,用于定义与每种操作行为分别对应的至少一种违规规则;
[0024]违规规则账户绑定模块,用于将所述违规规则定义模块所定义的违规规则绑定到对应的帐户ID;
[0025]账户审计策略定义模块,用于定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0026]操作行为内容数据获取模块,用于实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0027]账户违规规则获取模块,用于根据指定帐户ID获取该指定账户对应的违规规则;
[0028]违规性判断模块,用于判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为;
[0029]审计数据记录模块,用于当所述违规性判断模块判断到发生违规行为时,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据;
[0030]还用于:当所述违规性判断模块判断到发生非违规行为时,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。
[0031]优选的,还包括:
[0032]告警策略定义模块,用于预定义与每个帐户ID分别对应的告警策略;
[0033]告警模块,用于当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
[0034]本发明提供的应用于操作行为审计系统的操作行为记录方法及系统具有以下优占.
[0035](1)由于对操作行为进行了细粒度到某个行为内容是否违规的判断,并定义了发生违规行为和非违规行为时,采取不同的审计策略。因此,与传统审计操作系统相比,在满足审计要求的前提下,可明显减少审计数据的记录数量,降低了存储空间的占用;
[0036](2)由于违规数据和非违规数据分区存储,有利于更为高效的进行检索,提高数据检索效率。
【附图说明】
[0037]图1为本发明提供的应用于操作行为审计系统的操作行为记录方法的流程示意图;
[0038]图2为本发明提供的应用于操作行为审计系统的操作行为记录系统的结构示意图。
【具体实施方式】
[0039]为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
[0040]本发明提供一种应用于操作行为审计系统的操作行为记录方法,主要思路为:预定义每种操作行为的违规行为;然后,对于监控到的每个操作行为,首先进行违规性判断,如果为违规操作行为,则采取与违规操作行为对应的审计策略记录相关的审计数据;而如果为非违规操作行为,则采取另一种与非违规操作行为对应的审计策略记录相关的审计数据。由于针对操作行为是否违规,采取了不同的审计策略,从而可解决传统技术存在的将所有操作行为均记录而带来的相关问题。
[0041]具体的,结合图1,本发明提供一种应用于操作行为审计系统的操作行为记录方法,包括以下步骤:
[0042]步骤1,定义与每种操作行为分别对应的至少一种违规规则;并将所制定的违规规则与各个帐户ID绑定;
[0043]本步骤中,所定义的违规规则即为违规行为,并且,本发明中,只需要定义违规行为,不需要定义非违规行为。此外,采用以下两种方式定义违规行为:第一类,对于无法取得操作具体文字内容的操作行为,采用元数据,即标题定义方式,定义该操作行为所对应的违规行为:第二类,对于能够取得操作具体文字内容的操作行为,采用内容级别的描述语言,定义该操作行为所对应的违规行为。
[0044]本发明中,将违规规则与帐户ID绑定的原因为:因为账户对应于员工身份,所以,各个账户违规后采取的处理手段可以是不相同的,所以,需要将违规规则与帐户ID绑定,更为符合实际管理需求。
[0045]步骤2,定义与每个帐户ID分别对应的行为审计策略;其中,行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0046]具体的,违规行为审计策略是指:当分析到指定账户发生指定的违规行为时,需要记录的审计数据;非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据。
[0047]其中,审计数据包括:标题元数据、应用窗口内容以及操作行为发生时的视频帧。
[0048]例如,违规行为审计策略可定义为:当分析到指定账户发生指定的违规行为时,需要记录的审计数据为标题元数据、应用窗口内容以及操作行为发生时的视频帧;非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据为标题元数据、应用窗口内容,不需要记录操作行为发生时的视频帧。
[0049]也就是说,本发明根据操作行为是否违规,而区分不同的审计策略。而通常情况下,用户一般只对违反规则下的操作行为更为感兴趣,所以,当出现违反规则的操作行为时,本发明将全部的审计数据均记录下来;而当出现非违反规则的操作行为时,只简单记录标题元数据和应用窗口内容,而不记录操作行为发生时的视频帧,从而减少存储空间的占用。
[0050]另外,本发明配置有自定义模块,用户可针对账户对其违规后的数据记录行为进行自定义。
[0051]步骤3,实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0052]然后,根据指定帐户ID获取该指定账户对应的违规规则;然后,判断操作行为内容数据是否发生属于违规规则所定义的违规行为,如果判断结果为是,则执行步骤4;否则,执行步骤5 ;
[0053]步骤4,获取与指定帐户ID对应的违规行为审计策略,并基于违规行为审计策略记录相应的审计数据;
[0054]步骤5,获取与指定帐户ID对应的非违规行为审计策略,并基于非违规行为审计策略记录相应的审计数据。
[0055]此外,步骤3之后,还包括:
[0056]预定义与每个帐户ID分别对应的告警策略;当监控到指定帐户ID发生 对应的违规行为时,采用与帐户ID对应的告警策略进行告警。例如,指定对于某些违规行为产生告警数据,并可实时以报表的形式发送给指定接收人,以便运维人员对于某些危险性的操作实时获取。
[0057]步骤5之后,还包括:
[0058]将发生违规行为所记录的审计数据和发生非违规行所记录的审计数据分区存储。
[0059]传统的操作行为审计系统,不对操作行为进行违规和非违规的逻辑区分,导致所有数据混杂在一起,在违规数据的保留上,由于只能选择时间段内的数据存档,无法挑拣出违规数据进行长期存档。因此,用户一般只能将很久的过期数据进行全部删除。
[0060]而本发明中,将违规数据和非违规数据分区存储,在存储资源一定的情况下,可以对违规数据实现更为长期的保存,而对于非违规数据,可定期删除。这种审计方式更符合审计规范的要求。
[0061]另外,由于违规数据和非违规数据分区存储,更有利于对审计数据检索,可提高审计数据检索的效率。并且,实际应用中,可以实现以规则为维度进行检索,可检索到违反同一条规则的所有账户,方便审计。还可加强对所需审计数据的定位能力。
[0062]如图2所示,本发明还提供一种应用于操作行为审计系统的操作行为记录系统,包括:
[0063]违规规则定义模块,用于定义与每种操作行为分别对应的至少一种违规规则;
[0064]违规规则账户绑定模块,用于将违规规则定义模块所定义的违规规则绑定到对应的帐户ID;
[0065]账户审计策略定义模块,用于定义与每个帐户ID分别对应的行为审计策略;其中,行为审计策略包括违规行为审计策略和对非违规行为审计策略;
[0066]操作行为内容数据获取模块,用于实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据;
[0067]账户违规规则获取模块,用于根据指定帐户ID获取该指定账户对应的违规规则;
[0068]违规性判断模块,用于判断操作行为内容数据是否发生属于违规规则所定义的违规行为;
[0069]审计数据记录模块,用于当违规性判断模块判断到发生违规行为时,获取与指定帐户ID对应的违规行为审计策略,并基于违规行为审计策略记录相应的审计数据;
[0070]还用于:当违规性判断模块判断到发生非违规行为时,获取与指定帐户ID对应的非违规行为审计策略,并基于非违规行为审计策略记录相应的审计数据。
[0071]还包括:
[0072]告警策略定义模块,用于预定义与每个帐户ID分别对应的告警策略;
[0073]告警模块,用于当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
[0074]下面列举两个本发明具体实施例:
[0075]实施例一:
[0076]违规规则定义模块采取内容级别的规则定义,S卩:针对内容的规则定义,对于SecureCRT、Putty等、linux、unix系统维护工具,进行所执行命令级的规则定义,然后将所定义的规则绑定到1 i nux账户上,并且,对1 i nux账户定义的审计策略为:发生违规行为时,同时记录标题元数据、应用窗口内容以及操作行为发生时的视频帧;而当发生非违规行为时,只记录标题元数据、应用窗口内容。结果表明,只有当违反规则的命令出现后,系统才自动记录标题元数据、应用窗口内容以及操作行为发生时的视频帧;而未发生违反规则的命令时,只记录了标题元数据、应用窗口内容。
[0077]实施例二:
[0078]对无需记录操作内容的应用,比如浏览器等,在进行规则定义时,只进行标题元数据的规则定义,例如,对某些特定网页浏览行为,属于某个账户的违规行为。在进行审计策略定义时,仍然采取:发生违规行为时,同时记录标题元数据、应用窗口内容以及操作行为发生时的视频帧;而当发生非违规行为时,只记录标题元数据、应用窗口内容。结果表明,本发明可显著减少存储空间和所记录的审计数据条目。
[0079]由此可见,本发明提供的应用于操作行为审计系统的操作行为记录方法及系统,由于对操作行为进行了细粒度到某个行为内容是否违规的判断,并定义了发生违规行为和非违规行为时,采取不同的审计策略。例如,对于违规行为,才进行视频帧或者元数据的记录。因此,与传统审计操作系统相比,本发明在满足审计要求的前提下,可明显减少审计数据的记录数量,降低了存储空间的占用;在只记录违规行为时的视频帧时,存储空间平均只有原来的十分之一以下,在违规行为几乎不出现的场景下所使用的存储空间只有原来的百分之一以下。
[0080]另外,由于违规数据和非违规数据分区存储,有利于更为高效的进行检索,提高数据检索效率。具体的,本发明在检索时,检索到违规行为时操作步骤减少了一半以上,并且不用长时间的筛选出违规行为数据,缩短了检索时间,所花费的检索时间不到原来的二十分之一;而在持续时间比较长的会话中,检索时间则节省的更多,是原来的百分之一以下,预期的节省时间效果完全达到。
[0081]以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视本发明的保护范围。
【主权项】
1.一种应用于操作行为审计系统的操作行为记录方法,其特征在于,包括以下步骤: 步骤1,定义与每种操作行为分别对应的至少一种违规规则;并将所制定的违规规则与各个帐户ID绑定; 步骤2,定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略; 步骤3,实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据; 然后,根据指定帐户ID获取该指定账户对应的违规规则;然后,判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为,如果判断结果为是,则执行步骤4;否贝1J,执行步骤5; 步骤4,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据; 步骤5,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。2.根据权利要求1所述的应用于操作行为审计系统的操作行为记录方法,其特征在于,步骤1中,所定义的违规规则即为违规行为,采用以下两种方式定义:第一类,对于无法取得操作具体文字内容的操作行为,采用元数据,即标题定义方式,定义该操作行为所对应的违规行为:第二类,对于能够取得操作具体文字内容的操作行为,采用内容级别的描述语言,定义该操作行为所对应的违规行为。3.根据权利要求1所述的应用于操作行为审计系统的操作行为记录方法,其特征在于,所述违规行为审计策略是指:当分析到指定账户发生指定的违规行为时,需要记录的审计数据;所述非违规行为审计策略是指:当分析到指定账户发生指定的非违规行为时,需要记录的审计数据。4.根据权利要求1所述的应用于操作行为审计系统的操作行为记录方法,其特征在于,步骤3之后,还包括: 预定义与每个帐户ID分别对应的告警策略;当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。5.根据权利要求1所述的应用于操作行为审计系统的操作行为记录方法,其特征在于,步骤5之后,还包括: 将发生违规行为所记录的审计数据和发生非违规行所记录的审计数据分区存储。6.—种应用于操作行为审计系统的操作行为记录系统,其特征在于,包括: 违规规则定义模块,用于定义与每种操作行为分别对应的至少一种违规规则; 违规规则账户绑定模块,用于将所述违规规则定义模块所定义的违规规则绑定到对应的帐户ID; 账户审计策略定义模块,用于定义与每个帐户ID分别对应的行为审计策略;其中,所述行为审计策略包括违规行为审计策略和对非违规行为审计策略; 操作行为内容数据获取模块,用于实时对指定帐户ID所进行的操作行为进行监控,每当发生操作行为时,获取操作行为内容数据; 账户违规规则获取模块,用于根据指定帐户ID获取该指定账户对应的违规规则; 违规性判断模块,用于判断所述操作行为内容数据是否发生属于所述违规规则所定义的违规行为; 审计数据记录模块,用于当所述违规性判断模块判断到发生违规行为时,获取与指定帐户ID对应的违规行为审计策略,并基于所述违规行为审计策略记录相应的审计数据;还用于:当所述违规性判断模块判断到发生非违规行为时,获取与指定帐户ID对应的非违规行为审计策略,并基于所述非违规行为审计策略记录相应的审计数据。7.根据权利要求6所述的应用于操作行为审计系统的操作行为记录系统,其特征在于,还包括: 告警策略定义模块,用于预定义与每个帐户ID分别对应的告警策略; 告警模块,用于当监控到指定帐户ID发生对应的违规行为时,采用与帐户ID对应的告警策略进行告警。
【专利摘要】本发明提供一种应用于操作行为审计系统的操作行为记录方法及系统,系统包括:违规规则定义模块、违规规则账户绑定模块、账户审计策略定义模块、操作行为内容数据获取模块、账户违规规则获取模块、违规性判断模块、审计数据记录模块。优点为:(1)由于对操作行为进行了细粒度到某个行为内容是否违规的判断,并定义了发生违规行为和非违规行为时,采取不同的审计策略。因此,与传统审计操作系统相比,在满足审计要求的前提下,可明显减少审计数据的记录数量,降低了存储空间的占用;(2)由于违规数据和非违规数据分区存储,有利于更为高效的进行检索,提高数据检索效率。
【IPC分类】G06F21/55, G06F21/62
【公开号】CN105488428
【申请号】CN201510821962
【发明人】李小龙, 郭晓东
【申请人】北京华夏威科软件技术有限公司
【公开日】2016年4月13日
【申请日】2015年11月24日
最新回复(0)