本公開描述一種可視化網絡安全審計方法，其包括：對終端的用戶的操作過程進行錄屏，獲取錄屏的多個視頻文件，視頻文件存儲于視頻存儲節點；在錄屏過程中，對終端屏幕的文本輸出進行監視，當文本輸出發生變化時，獲取文本截獲信息，文本截獲信息存儲于視頻檢索數據庫；在審計端對視頻檢索數據庫中的文本截獲信息進行檢索，當查找到符合檢索條件的文本截獲信息時，輸出相應的文件標識符和截獲時間；視頻存儲節點基于文件標識符和截獲時間，查找相應的視頻文件，定位檢索條件中的文本信息的起始時刻，并將視頻文件和起始時刻反饋給審計端。由此，能夠通過直觀的可視化方法回放用戶的違規操作和越權訪問過程，提高網絡安全審計能力和效果。

技術領域

本公開大體涉及信息安全技術領域，具體涉及一種可視化網絡安全審計方法及系統。

背景技術

計算機網絡安全審計(Audit)是指按照一定的安全策略，利用記錄、系統活動和用戶活動等信息，檢查、審查和檢驗操作事件的環境及活動，從而發現系統漏洞、入侵行為或改善系統性能的過程。

計算機網絡安全審計可以簡稱為安全審計，實際是記錄與審查用戶操作計算機及網絡系統活動的過程，是提高系統安全性的重要舉措。系統活動包括操作系統活動和應用程序進程的活動。用戶活動包括用戶在操作系統和應用程序中的活動，如用戶所使用的資源、使用時間、執行的操作等。

現有的文本審計方法具有局限性，比如日志量大、可讀性差、安全事件難以關聯等。另外，現有的錄屏審計對終端進行錄屏并獲得錄屏結果的相關文件，審計員對相關文件進行檢索。這種簡單的錄屏審計在實踐中也有其自身的弱點，比如在事件追蹤時，耗人耗時、很容易漏掉事件細節，而且需要不斷的進行相關文件的存儲，造成了資源的消耗。

發明內容

本公開有鑒于上述現有技術的狀況而完成，其目的在于提供了一種可以對錄屏結果進行快速檢索，幫助審計管理員提高安全事件分析和追蹤能力的可視化網絡安全審計方法及系統。

為此，本公開的第一方面提供了一種可視化網絡安全審計方法，是包括終端和審計端的可視化網絡的安全審計方法，其特征在于，包括：對終端的用戶的操作過程進行錄屏，獲取錄屏過程中的多個視頻文件，多個所述視頻文件存儲于視頻存儲節點；在錄屏過程中，對所述終端的屏幕的文本輸出進行監視，當文本輸出發生變化時，獲取包括文本信息、截獲時間和與所述視頻文件關聯的文件標識符的文本截獲信息，所述文本截獲信息存儲于視頻檢索數據庫；在審計端輸入檢索條件，對所述視頻檢索數據庫中的所述文本截獲信息進行檢索，當在所述視頻檢索數據庫查找到符合檢索條件的文本截獲信息時，所述視頻檢索數據庫向所述視頻存儲節點輸出相應的文件標識符和截獲時間，所述檢索條件包括文本信息或時間范圍中的至少一種；并且所述視頻存儲節點基于所述文件標識符和所述截獲時間，查找相應的視頻文件，定位所述視頻文件中出現所述檢索條件中的文本信息的起始時刻，并將所述視頻文件和所述起始時刻反饋給所述審計端，以便在所述審計端進行安全審計。

在本公開中，對終端的用戶的操作過程進行錄屏獲得視頻文件，對終端的屏幕的文本輸出進行監視，當文本輸出發生變化時，截獲文本截獲信息，視頻文件和文本截獲信息分別存儲在視頻存儲節點和視頻檢索數據庫中，在審計端輸入檢索條件，從視頻檢索數據庫中找到符合檢索條件的文件標識符和截獲時間，視頻存儲節點基于文件標識符和截獲時間獲得相應的視頻文件和視頻文件中出現檢索條件中的文本信息的起始時刻，并將視頻文件和起始時刻反饋給審計端，以便在審計端進行安全審計。由此，能夠對錄屏結果進行快速檢索，能夠幫助審計管理員對終端的用戶的違規操作和越權訪問進行有效審計和快速追蹤，并通過直觀的可視化方法回放用戶的違規操作和越權訪問過程，提高網絡安全審計能力和效果。

在本公開的第一方面所涉及的可視化網絡安全審計方法中，所述終端通過錄屏程序對用戶的操作過程進行錄屏，所述錄屏程序以內核模塊或系統進程方式運行。由此，能夠防止錄屏程序被卸載或被終止運行。