技術(shù)領(lǐng)域

本發(fā)明屬于網(wǎng)絡(luò)安全審計(jì)設(shè)備領(lǐng)域，涉及一種分布式部署審計(jì)平臺(tái)的審計(jì)數(shù)據(jù)去重系統(tǒng)。

背景技術(shù)

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是對(duì)網(wǎng)絡(luò)中的協(xié)議、數(shù)據(jù)和行為等進(jìn)行記錄、分析，并做出一定的響應(yīng)措施的信息安全專用產(chǎn)品，一般采取旁路接入的方式。分布式部署審計(jì)平臺(tái)是把多臺(tái)審計(jì)設(shè)備分散地部署在網(wǎng)絡(luò)中，由一臺(tái)審計(jì)中心管理主機(jī)(以下簡(jiǎn)稱審計(jì)中心)負(fù)責(zé)對(duì)多臺(tái)分散部署的審計(jì)設(shè)備單元(以下簡(jiǎn)稱審計(jì)單元或?qū)徲?jì)設(shè)備)進(jìn)行管理，滿足用戶對(duì)網(wǎng)絡(luò)行為審計(jì)備案要求，提供完整的網(wǎng)絡(luò)行為記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。

如圖1所示，現(xiàn)有分布式網(wǎng)絡(luò)審計(jì)系統(tǒng)一般采用多個(gè)審計(jì)單元1分散布置采集數(shù)據(jù)，并由一臺(tái)審計(jì)中心2管理主機(jī)負(fù)責(zé)對(duì)多臺(tái)審計(jì)單元1進(jìn)行集中管理方式。

專利號(hào)為2006100614047、專利權(quán)人為深圳市中科新業(yè)信息科技發(fā)展有限公司的中國(guó)專利文獻(xiàn)，公開了一種分布式審計(jì)系統(tǒng)，所述分布式審計(jì)系統(tǒng)包括多個(gè)審計(jì)單元，所述多個(gè)審計(jì)單元構(gòu)建成一個(gè)向下的樹形結(jié)構(gòu)的分布式網(wǎng)絡(luò)，并形成上下級(jí)關(guān)系，上級(jí)審計(jì)單元向下級(jí)審計(jì)單元傳遞命令和策略數(shù)據(jù)，下級(jí)審計(jì)單元向上級(jí)審計(jì)單元傳遞審計(jì)日志數(shù)據(jù)。由于本發(fā)明分布式審計(jì)系統(tǒng)多個(gè)審計(jì)單元連接起來，建立了一個(gè)分級(jí)的分布式審計(jì)網(wǎng)絡(luò)，實(shí)現(xiàn)了審計(jì)系統(tǒng)的上下級(jí)控制和管理，還能夠通過同時(shí)控制多臺(tái)網(wǎng)絡(luò)審計(jì)單元進(jìn)行工作處理高速網(wǎng)絡(luò)里的數(shù)據(jù)，滿足高速網(wǎng)絡(luò)審計(jì)要求。

但是該專利存在以下問題：如果同一條網(wǎng)絡(luò)流量經(jīng)過其中某些不同的審計(jì)單元，當(dāng)這些審計(jì)單元向?qū)徲?jì)中心管理主機(jī)匯總審計(jì)數(shù)據(jù)時(shí)，上述網(wǎng)絡(luò)流量的審計(jì)數(shù)據(jù)就會(huì)有多條重復(fù)記錄，不但占用過多的存儲(chǔ)空間，還增加處理的數(shù)據(jù)量，降低處理速度。

為了解決上述中國(guó)專利文獻(xiàn)公開的分布式審計(jì)系統(tǒng)存在的問題，申請(qǐng)?zhí)枮?01610232783X、申請(qǐng)人為北京威努特技術(shù)有限公司的中國(guó)專利文獻(xiàn)，公開了一種分布式部署審計(jì)平臺(tái)的審計(jì)數(shù)據(jù)去重方法。所述方法包括：審計(jì)中心存儲(chǔ)各審計(jì)單元上報(bào)的審計(jì)記錄的信息；審計(jì)中心啟動(dòng)一個(gè)線程或進(jìn)程，定時(shí)檢測(cè)和處理審計(jì)中心存儲(chǔ)的審計(jì)記錄的信息；根據(jù)審計(jì)中心存儲(chǔ)的審計(jì)記錄的信息，判斷新上傳的審計(jì)記錄是否為重復(fù)數(shù)據(jù)，舍棄重復(fù)上傳的審計(jì)記錄。本發(fā)明實(shí)現(xiàn)了分布式部署審計(jì)平臺(tái)的審計(jì)數(shù)據(jù)去重處理，有效消除了新上傳審計(jì)數(shù)據(jù)中的重復(fù)數(shù)據(jù)，節(jié)省了存儲(chǔ)空間，提高了審計(jì)處理的速度。

但是該申請(qǐng)文件所公開的分布式部署審計(jì)平臺(tái)的審計(jì)數(shù)據(jù)去重方法存在的問題是：審計(jì)中心存儲(chǔ)各審計(jì)單元上報(bào)的審計(jì)記錄的信息，審計(jì)數(shù)據(jù)的去重工作主要由審計(jì)中心來完成，這種完全集中式管理的處理方式還是有很多的審計(jì)記錄需要上報(bào)審計(jì)中心，會(huì)造成嚴(yán)重的網(wǎng)絡(luò)負(fù)荷，審計(jì)中心的工作量大，影響審計(jì)處理的速度。為此，提出一種分布式部署的審計(jì)平臺(tái)去重系統(tǒng)，主要的審計(jì)數(shù)據(jù)的去重工作由各分散部署的審計(jì)單元完成，集中管理和協(xié)調(diào)工作放在審計(jì)中心管理主機(jī)來完成。這樣，網(wǎng)絡(luò)負(fù)荷會(huì)有效降低，簡(jiǎn)化了審計(jì)中心對(duì)審計(jì)記錄的去重處理，整體提高了審計(jì)記錄處理速度。

發(fā)明內(nèi)容

為了解決上述問題，本發(fā)明提出一種分布式部署的審計(jì)平臺(tái)去重系統(tǒng)，主要的審計(jì)數(shù)據(jù)的去重工作由各分散部署的審計(jì)單元完成，集中管理和協(xié)調(diào)工作放在審計(jì)中心管理主機(jī)來完成。從而有效降低網(wǎng)絡(luò)負(fù)荷會(huì)，簡(jiǎn)化審計(jì)中心對(duì)審計(jì)記錄的去重處理，整體提高審計(jì)記錄處理速度。

為實(shí)現(xiàn)上述技術(shù)目的，本發(fā)明采用的技術(shù)方案如下：

一種分布式部署的審計(jì)數(shù)據(jù)去重系統(tǒng)，包括，

審計(jì)單元，用于采集審計(jì)記錄，并同時(shí)用于對(duì)所采集的審計(jì)記錄作出第一次判斷，若重復(fù)，則不用上報(bào)給審計(jì)中心，若不重復(fù)，則上報(bào)給審計(jì)中心；

審計(jì)中心，用于接收及存儲(chǔ)各審計(jì)單元上報(bào)的審計(jì)記錄的信息，并根據(jù)儲(chǔ)存的審計(jì)記錄的信息對(duì)接收到的審計(jì)記錄作出第二次判斷，若不包含，則儲(chǔ)存，若包含，則更新審計(jì)記錄。

采用上述技術(shù)方案的發(fā)明，審計(jì)單元先對(duì)所采集的審計(jì)記錄進(jìn)行第一次判斷，只上報(bào)沒有重復(fù)的審計(jì)記錄給審計(jì)中心，審計(jì)中心對(duì)上報(bào)上來的審計(jì)記錄進(jìn)行第二次判斷，沒有包含的則儲(chǔ)存，包含的則更新記錄即可。從而就可減少上報(bào)至審計(jì)中心的審計(jì)記錄的量，將主要去重的工作分配給各個(gè)設(shè)計(jì)單元來完成，減少審計(jì)中心的工作量，進(jìn)而有效降低網(wǎng)絡(luò)負(fù)荷，簡(jiǎn)化審計(jì)中心對(duì)審計(jì)記錄的去重處理，整體提高審計(jì)記錄處理速度。

進(jìn)一步限定，所述審計(jì)記錄包括，審計(jì)記錄主索引、該條審計(jì)記錄的源審計(jì)單元信息、記錄內(nèi)容、審計(jì)記錄時(shí)間，審計(jì)記錄主索引是能唯一區(qū)分審計(jì)記錄的標(biāo)識(shí)。