技術(shù)領(lǐng)域

本發(fā)明涉及一種智慧天網(wǎng)行為審計(jì)分析系統(tǒng)，屬于信息安全領(lǐng)域。

背景技術(shù)

????進(jìn)入21世紀(jì)，經(jīng)濟(jì)全球化和社會(huì)信息的網(wǎng)絡(luò)化進(jìn)程同益加快對(duì)世界各國(guó)產(chǎn)生了深刻影響，特別是以微電子、計(jì)算機(jī)及互聯(lián)網(wǎng)等為代表的信息技術(shù)極大地促進(jìn)著社會(huì)生產(chǎn)和人們生活方式的變革，推動(dòng)了經(jīng)濟(jì)結(jié)構(gòu)的調(diào)整與人類(lèi)社會(huì)的進(jìn)步。

網(wǎng)絡(luò)經(jīng)濟(jì)的迅速發(fā)展引發(fā)了管理思想和會(huì)計(jì)業(yè)務(wù)等方面廣泛而深刻的變革。以網(wǎng)絡(luò)技術(shù)為基礎(chǔ)、幫助企業(yè)實(shí)現(xiàn)財(cái)務(wù)與業(yè)務(wù)協(xié)同、遠(yuǎn)程報(bào)表、遠(yuǎn)程報(bào)賬及遠(yuǎn)程審計(jì)等遠(yuǎn)程處理，事中動(dòng)態(tài)會(huì)計(jì)核算與在線(xiàn)財(cái)務(wù)管理，實(shí)現(xiàn)集團(tuán)型企業(yè)對(duì)分支機(jī)構(gòu)的集中式財(cái)務(wù)管理相繼產(chǎn)生，財(cái)務(wù)管理已經(jīng)從“桌面”走向“網(wǎng)絡(luò)”。

審計(jì)是與會(huì)計(jì)緊密聯(lián)系的姊妹學(xué)科，信息技術(shù)在企業(yè)中的應(yīng)用所引起的會(huì)計(jì)學(xué)科的變化，相應(yīng)地推動(dòng)著審計(jì)學(xué)科的發(fā)展。同時(shí)，由于企業(yè)管理信息系統(tǒng)實(shí)現(xiàn)了會(huì)計(jì)信息系統(tǒng)與各個(gè)業(yè)務(wù)系統(tǒng)的集成，在很大程度上改變了企業(yè)的組織結(jié)構(gòu)和管理模式，導(dǎo)致了企業(yè)內(nèi)部控制制度的交易授權(quán)、職責(zé)分離、監(jiān)管、業(yè)務(wù)記錄、接觸控制和獨(dú)立稽核等方面的變化，相應(yīng)地，引起了審計(jì)線(xiàn)索、獲取審計(jì)證據(jù)的方式、審計(jì)范圍以及審計(jì)內(nèi)容的變化，最終導(dǎo)致審計(jì)風(fēng)險(xiǎn)復(fù)雜化。

目前的行為審計(jì)分析系統(tǒng)主要存在以下缺陷：數(shù)據(jù)采集的明確選擇性、目的性和可操作性不強(qiáng)；審計(jì)數(shù)據(jù)采集具有滯后性，收集審計(jì)信息主要是收集審計(jì)證據(jù)，缺乏實(shí)時(shí)性和可靠性。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種采用分布式設(shè)計(jì)，各客戶(hù)端設(shè)有審計(jì)數(shù)據(jù)采集系統(tǒng)，先對(duì)每個(gè)客戶(hù)端的日志數(shù)據(jù)進(jìn)行審計(jì)分析處理，明確了數(shù)據(jù)采集的目標(biāo)，再通過(guò)網(wǎng)絡(luò)將日志數(shù)據(jù)和分析結(jié)果發(fā)送到天網(wǎng)審計(jì)中心，能夠?qū)崟r(shí)掌握客戶(hù)端的行為，提高了審計(jì)分析的效率的智慧天網(wǎng)行為審計(jì)分析系統(tǒng)；本系統(tǒng)采用雙重審計(jì)分析，有效的提高了審計(jì)分析準(zhǔn)確率和響應(yīng)處理的交互能力，使審計(jì)結(jié)果更可靠。

本發(fā)明的目的是通過(guò)以下技術(shù)方案來(lái)實(shí)現(xiàn)的：智慧天網(wǎng)行為審計(jì)分析系統(tǒng)，它包括多個(gè)客戶(hù)端和天網(wǎng)審計(jì)中心，所述的客戶(hù)端設(shè)有審計(jì)數(shù)據(jù)采集系統(tǒng)，對(duì)客戶(hù)端的每條日志數(shù)據(jù)進(jìn)行審計(jì)分析處理，然后將審計(jì)過(guò)的日志數(shù)據(jù)和分析結(jié)果通過(guò)網(wǎng)絡(luò)發(fā)送到天網(wǎng)審計(jì)中心；天網(wǎng)審計(jì)中心對(duì)接收的日志數(shù)據(jù)進(jìn)行查詢(xún)、分析、生成并輸出審計(jì)結(jié)果報(bào)表，它包括審計(jì)服務(wù)模塊和審計(jì)分析模塊：

審計(jì)服務(wù)模塊：負(fù)責(zé)接收從客戶(hù)端傳送過(guò)來(lái)的日志數(shù)據(jù)和分析結(jié)果，并對(duì)接收到的日志數(shù)據(jù)進(jìn)行預(yù)處理，包括數(shù)據(jù)抽取、數(shù)據(jù)轉(zhuǎn)換和數(shù)據(jù)裝載；

審計(jì)分析模塊：負(fù)責(zé)對(duì)日志數(shù)據(jù)進(jìn)行實(shí)時(shí)分析和階段性統(tǒng)計(jì)分析，從大量數(shù)據(jù)中發(fā)現(xiàn)用戶(hù)異常行為數(shù)據(jù)，并且對(duì)歷史日志數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，得出網(wǎng)絡(luò)安全狀況數(shù)據(jù)，發(fā)現(xiàn)某時(shí)間段潛在的安全威脅。

所述的審計(jì)服務(wù)模塊包括以下子模塊：

服務(wù)管理子模塊：通過(guò)控制臺(tái)命令天網(wǎng)審計(jì)中心的運(yùn)行情況，包括啟動(dòng)、停止、刷新服務(wù)和參數(shù)的配置；

消息隊(duì)列子模塊：任何接收到的審計(jì)數(shù)據(jù)都會(huì)先被送入消息隊(duì)列等候處理、分析和存儲(chǔ)，起到緩沖的作用，防止數(shù)據(jù)量過(guò)大造成丟失或阻塞；

數(shù)據(jù)過(guò)濾子模塊：根據(jù)過(guò)濾規(guī)則文件中的定義，篩選符合過(guò)濾規(guī)則的日志，即對(duì)數(shù)據(jù)進(jìn)行抽取；

數(shù)據(jù)轉(zhuǎn)換子模塊：消除從客戶(hù)端接收到的日志信息之間在內(nèi)容、格式和質(zhì)量上的差異；

數(shù)據(jù)裝載子模塊：將轉(zhuǎn)換后的數(shù)據(jù)載入數(shù)據(jù)倉(cāng)庫(kù)進(jìn)行存儲(chǔ)，數(shù)據(jù)倉(cāng)庫(kù)包括文件或者據(jù)庫(kù)；

日志瀏覽子模塊：根據(jù)不同管理權(quán)限對(duì)審計(jì)日志進(jìn)行查詢(xún)?yōu)g覽，以及根據(jù)數(shù)據(jù)集生成相應(yīng)的報(bào)表。

所述的審計(jì)分析模塊包括以下子模塊：

動(dòng)態(tài)規(guī)則庫(kù)子模塊：建立、撤銷(xiāo)動(dòng)態(tài)規(guī)則庫(kù)，實(shí)現(xiàn)對(duì)規(guī)則庫(kù)的各種操作，包括規(guī)則添加、修改和刪除，當(dāng)規(guī)則庫(kù)或規(guī)則發(fā)生變化，進(jìn)行實(shí)時(shí)更新動(dòng)態(tài)規(guī)則庫(kù)；

日志解析子模塊：提取日志的關(guān)鍵信息，供分析使用，所述的關(guān)鍵信息包括主機(jī)名、用戶(hù)名、主體信息和客體信息這些包括了行為基本特征的信息；

事務(wù)過(guò)程驗(yàn)證子模塊：使用已建立的事務(wù)處理過(guò)程模型，檢測(cè)日志數(shù)據(jù)是否存在內(nèi)部不一致性、不完整性或者其它的錯(cuò)誤；

異常報(bào)警子模塊：發(fā)現(xiàn)異常或可疑數(shù)據(jù)時(shí)，發(fā)出警報(bào)，報(bào)警的方式包括輸出到界面上進(jìn)行界面提示、發(fā)送郵件提醒審計(jì)管理員或發(fā)信號(hào)給權(quán)限控制系統(tǒng)，報(bào)警信息包括事件名稱(chēng)、發(fā)生時(shí)間、主體、客體和報(bào)警內(nèi)容；

統(tǒng)計(jì)分析子模塊：利用統(tǒng)計(jì)分析方法對(duì)歷史審計(jì)日志數(shù)據(jù)進(jìn)行分析和統(tǒng)計(jì)，發(fā)現(xiàn)其中潛在的安全威脅和漏洞。