[发明专利]智慧天网行为审计分析系统

说明书

技术领域

本发明涉及一种智慧天网行为审计分析系统，属于信息安全领域。

背景技术

    进入21世纪，经济全球化和社会信息的网络化进程同益加快对世界各国产生了深刻影响，特别是以微电子、计算机及互联网等为代表的信息技术极大地促进着社会生产和人们生活方式的变革，推动了经济结构的调整与人类社会的进步。

网络经济的迅速发展引发了管理思想和会计业务等方面广泛而深刻的变革。以网络技术为基础、帮助企业实现财务与业务协同、远程报表、远程报账及远程审计等远程处理，事中动态会计核算与在线财务管理，实现集团型企业对分支机构的集中式财务管理相继产生，财务管理已经从“桌面”走向“网络”。

审计是与会计紧密联系的姊妹学科，信息技术在企业中的应用所引起的会计学科的变化，相应地推动着审计学科的发展。同时，由于企业管理信息系统实现了会计信息系统与各个业务系统的集成，在很大程度上改变了企业的组织结构和管理模式，导致了企业内部控制制度的交易授权、职责分离、监管、业务记录、接触控制和独立稽核等方面的变化，相应地，引起了审计线索、获取审计证据的方式、审计范围以及审计内容的变化，最终导致审计风险复杂化。

目前的行为审计分析系统主要存在以下缺陷：数据采集的明确选择性、目的性和可操作性不强；审计数据采集具有滞后性，收集审计信息主要是收集审计证据，缺乏实时性和可靠性。

发明内容

本发明的目的在于克服现有技术的不足，提供一种采用分布式设计，各客户端设有审计数据采集系统，先对每个客户端的日志数据进行审计分析处理，明确了数据采集的目标，再通过网络将日志数据和分析结果发送到天网审计中心，能够实时掌握客户端的行为，提高了审计分析的效率的智慧天网行为审计分析系统；本系统采用双重审计分析，有效的提高了审计分析准确率和响应处理的交互能力，使审计结果更可靠。

本发明的目的是通过以下技术方案来实现的：智慧天网行为审计分析系统，它包括多个客户端和天网审计中心，所述的客户端设有审计数据采集系统，对客户端的每条日志数据进行审计分析处理，然后将审计过的日志数据和分析结果通过网络发送到天网审计中心；天网审计中心对接收的日志数据进行查询、分析、生成并输出审计结果报表，它包括审计服务模块和审计分析模块：

审计服务模块：负责接收从客户端传送过来的日志数据和分析结果，并对接收到的日志数据进行预处理，包括数据抽取、数据转换和数据装载；

审计分析模块：负责对日志数据进行实时分析和阶段性统计分析，从大量数据中发现用户异常行为数据，并且对历史日志数据进行统计分析，得出网络安全状况数据，发现某时间段潜在的安全威胁。

所述的审计服务模块包括以下子模块：

服务管理子模块：通过控制台命令天网审计中心的运行情况，包括启动、停止、刷新服务和参数的配置；

消息队列子模块：任何接收到的审计数据都会先被送入消息队列等候处理、分析和存储，起到缓冲的作用，防止数据量过大造成丢失或阻塞；

数据过滤子模块：根据过滤规则文件中的定义，筛选符合过滤规则的日志，即对数据进行抽取；

数据转换子模块：消除从客户端接收到的日志信息之间在内容、格式和质量上的差异；

数据装载子模块：将转换后的数据载入数据仓库进行存储，数据仓库包括文件或者据库；

日志浏览子模块：根据不同管理权限对审计日志进行查询浏览，以及根据数据集生成相应的报表。

所述的审计分析模块包括以下子模块：

动态规则库子模块：建立、撤销动态规则库，实现对规则库的各种操作，包括规则添加、修改和删除，当规则库或规则发生变化，进行实时更新动态规则库；

日志解析子模块：提取日志的关键信息，供分析使用，所述的关键信息包括主机名、用户名、主体信息和客体信息这些包括了行为基本特征的信息；

事务过程验证子模块：使用已建立的事务处理过程模型，检测日志数据是否存在内部不一致性、不完整性或者其它的错误；

异常报警子模块：发现异常或可疑数据时，发出警报，报警的方式包括输出到界面上进行界面提示、发送邮件提醒审计管理员或发信号给权限控制系统，报警信息包括事件名称、发生时间、主体、客体和报警内容；

统计分析子模块：利用统计分析方法对历史审计日志数据进行分析和统计，发现其中潜在的安全威胁和漏洞。