[发明专利]一种日志审计方法及系统

说明书

技术领域

本发明涉及计算机网络信息安全技术领域，特别涉及一种日志审计方法及系统。

背景技术

近年来企业不断出现重要数据被窃取的事件，根据最新的统计资料，给企业造成的严重攻击中70%是来自于组织中的内部，内部人员、包括内部员工或者提供第三方IT支持的维护人员等，他们利用职务之便，违规操作导致的安全问题日益频繁和突出，这些操作都与客户的业务息息相关。对于这类与业务息息相关的操作行为、违规行为的安全问题，必须要有强力的手段来防范和阻止，操作人员的审计应运而生。

现有的操作人员信息系统审计方案：收集信息系统各设备的登录操作日志，制定审计规则，析取日志中的操作源地址、操作设备IP、操作账号、操作内容形成标准化日志，把这些标准化日志集中存储在审计库中，审计管理员可以在审计库中通过操作人员的源地址检索该操作人员的详细操作。

现有的操作人员操作审计方案中，如果对操作人员做审计，首先要人工维护源地址与操作人员的关系，源地址与操作人员需要一一对应，其次需要在审计库中，人工频繁的用操作人员的IP地址检索，才能得到该操作人员的操作日志，并且事后还需要人工分析日志间的关联关系，判断操作是否高危操作，审计工作繁琐，效率非常低下。

发明内容

鉴于上述问题，本发明实施例提供一种日志审计方法及系统，通过计算机程序对日志数据进行分析处理，建立以操作人员为视角的操作审计视图，以实现自动化审计，大大提高审计效率和准确性的目的。

本发明实施例采用了如下技术方案：

本发明一个实施例提供了一种日志审计方法，所述方法包括：

获取各系统登录操作的原始日志；

对原始日志进行内容分析，解析出日志中的源地址、设备IP地址和操作命令；

根据所述源地址定位操作人员；

根据所述设备IP地址定位所操作的设备；

根据所述操作命令确定操作内容和重要级别；

建立以操作人员为索引，各操作人员对应的操作设备、操作内容及重要级别为内容的审计视图；

监控所述审计视图中重要级别是否满足报警条件，若满足，则发起报警，并将该满足报警条件的操作人员及所对应的操作设备、操作内容及重要级别作为一条记录，记入审计敏感信息集中，以便审计查阅分析。

所述方法还包括：实时获取各系统登录操作的原始日志；

每获取到一条新的原始日志，则在所述审计视图中对应操作人员为索引的内容中，增加该新的原始日志中解析及定位得到的本次操作设备、操作内容及重要级别。

所述方法还包括：

预先建立操作人员关系表、信息系统关系表和第一知识库；

所述根据所述源地址定位操作人员具体为：

查询所述操作人员关系表，定位所述源地址对应的操作人员；所述操作人员关系表中记录有操作人员和源地址的对应关系；

所述根据所述设备IP地址定位所操作的设备具体为：

查询所述信息系统关系表，定位所述设备IP地址对应的设备；所述信息系统关系表中记录有设备IP地址和设备的对应关系；

所述根据所述操作命令确定操作内容和重要级别具体为：

查询所述第一知识库，定位所述操作命令对应的操作内容和重要级别；所述第一知识库中记录有操作命令与操作内容和重要级别的对应关系。

所述方法还包括：对预定周期内审计视图中新增的内容进行分析，对于满足修正条件的记录，在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系。

所述对预定周期内审计视图中新增的内容进行分析，对于满足修正条件的记录，在第二知识库中记录操作命令与操作内容和修正后重要级别的对应关系具体为：

在所述预定周期内，判断若新增的内容中某一操作命令被执行的频率超出预置值，则将该操作命令的重要级别修正为高，并在所述第二知识库中增加该操作命令与操作内容和修正后重要级别的对应关系；

所述方法还包括：在所述预定周期内，判断若新增的内容中所述某一操作命令被执行的频率低于所述预置值，则在所述第二知识库中删除该操作命令与操作内容和修正后重要级别的对应关系。

根据所述操作命令确定重要级别具体为：

查询所述第一知识库和第二知识库，若在所述第一知识库和第二知识库中定位所述操作命令对应的重要级别不一致，则以第二知识库中定位的重要级别为该操作命令对应的重要级别。

另外，本发明实施例还提供了一种日志审计系统，所述系统包括：

获取模块，用于获取各系统登录操作的原始日志；