本發明提供一種基于云模式下的安全審計框架，屬于計算機技術領域，本發明在傳統ERP產品中安全審計的基礎上，結合云模式下大數據量特點，實現具有傳統ERP產品安全審計功能并且在數據采集、數據存儲、數據挖掘、實時監控預警等方面支持海量數據和自動擴容的安全審計框架。

技術領域

本發明涉及計算機技術領域，尤其涉及一種基于云模式下的安全審計框架。

背景技術

安全審計技術是記錄用戶的訪問過程和各種行為以形成審計數據并加以分析的過程。它的主要目的是實時地、不問斷地監視整個系統以及應用程序的運行狀態，及時發現系統中可疑的、違規的或危險的行為，進行警報和采取阻斷措施，并對這些行為留下記錄。隨著時代的發展和信息化程度的不斷提高，SaaS模式越來越廣泛，更多的企業和軟件加入到了上云的隊伍之中。

目前傳統ERP產品中的安全審計功能支持用戶量少，產生數據量少，對服務器等物理環境依賴性高，可擴展性差，已經無法滿足云模式下的多租戶和大數據量的場景。同時，對于海量數據的分布式存儲，數據挖掘利用、審計事件追溯等功能均不支持，阻礙了安全審計系統的上云腳步，大量消耗企業的設備采購資金，增加運行維護成本。

發明內容

為了解決以上技術問題，本發明提出了一種基于云模式下的安全審計框架，能夠有效的解決傳統安全審計上云面臨的問題。

本發明的技術方案是：

一種基于云模式下的安全審計框架，包括

1）、提供統一的安全審計API接口檢測收集模塊；該模塊用于安全審計數據的采集。所有涉及到審計監控的接口調用都會經過該模塊，并記錄下接口調用的相關信息，例如調用時間，請求IP，返回結果等。同時安全審計采集模塊會對收集的信息進行壓縮加密，保證數據庫傳輸過程中安全和高效。

2）、使用Hadoop框架進行數據儲存，Hadoop是大數據不可少的，是一個能夠對大量數據進行分布式儲存和并行化計算的軟件框架。Hadoop 以一種可靠、高效、可伸縮的方式進行數據處理。它維護多個工作數據副本，確保能夠針對失敗的節點重新分布處理，使用并行的處理工作方式，有效提高了存儲的效率。同時，Hadoop具有可伸縮性，能夠處理PB級的數據。由于Hadoop是開源的，也讓得開發使用成本大大降低。

3）、數據緩存模塊；提供統一的數據緩存功能。由于在數據采集階段，根據每個審計事件調用的頻率不同，產生的數據速率也不相同，所以需要采用Flume和Kafaka緩存技術。兩種技術的集合使用，讓安全審計框架的數據緩存功能具有更大的擴展性和更高的可靠性。并且可以對數據進行簡單的處理，并寫到各種數據接受方（可定制）的能力。可以有效的應對突發數據和數據高峰期的讀寫失敗，滿足了云模式下的高并發大數據量的場景需求。

4）、安全審計日志數據挖掘模塊；傳統的安全審計數據直接存放到關系型數據庫中，后期的查詢分析大多直接寫SQL進行處理，在數據量比較大的情況下性能非常差，影響用戶的使用體驗。針對云模式下的海量數據挖掘分析，本框架采用Spark技術。由于使用Hadoop作為數據存儲框架，所以在數據挖掘Spark技術。它是對Hadoop 的補充，可以在Hadoop 文件系統中并行運行。采用Spark的數據挖掘功能使設計數據的處理計算速度更快，可以更好的支持交互式計算和復雜計算。同時Spark具有極高的通用性，可以使用它完各種計算和SQL查詢以及機器學習功能。可以有效的提高云模式下的響應速度。

5）、提供審計事件的實時監控預警功能。在云模式下，不僅傳統的業務操作等需要記錄審計日志，涉及到云平臺上資源分配使用情況、系統參數配置情況、接口調用性能情況也都需要進行記錄。用戶使用云REP產品，購買的更多是服務和運行資源，例如該租戶可以使用的操作系統CPU核數、數據庫容量、網絡帶寬。安全審計框架可以準確的記錄這些資源的變更情況，同時在資源不足的情況下進行預警。