[发明专利]审计系统及审计检测方法在审
| 申请号: | 201410640780.6 | 申请日: | 2014-11-13 |
| 公开(公告)号: | CN104392173A | 公开(公告)日: | 2015-03-04 |
| 发明(设计)人: | 江水;车烈权;张志高 | 申请(专利权)人: | 普华基础软件股份有限公司 |
| 主分类号: | G06F21/55 | 分类号: | G06F21/55;H04L29/06 |
| 代理公司: | 上海申新律师事务所 31272 | 代理人: | 朱俊跃 |
| 地址: | 200030 上海*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 审计 系统 检测 方法 | ||
1.一种审计系统,其特征在于,包括:
接收单元,用以接收启动信号或审计事件,所述审计事件由多条日志记录组成,每条所述日志记录至少包括一个表示所述日志记录对应类型的字段和一个表示所述日志记录所在终端的字段;
存储单元,用以存储所述审计事件;
检测单元,连接所述存储单元,用以对所述审计事件中的每条日志记录逐条进行检测,检测所述日志记录是否存在入侵行为;
处理单元,连接所述接收单元、所述存储单元和所述检测单元,用以根据所述启动信号读取所述审计系统内预设的配置文件,启动所述检测单元;
执行单元,连接所述检测单元,用以根据所述检测单元的检测结果执行相应的操作。
2.如权利要求1所述审计系统,其特征在于,所述检测单元包括:
解析模块,用以对所述审计事件中的每条日志记录进行解析,获取表示所述日志记录所在终端及类型字段的键值。
3.如权利要求2所述审计系统,其特征在于,所述检测单元还包括:
匹配模块,连接所述解析模块,用以将与所述日志记录的类型字段键值与预设类型字段键值进行匹配,获取检测结果。
4.如权利要求3所述审计系统,其特征在于,所述执行单元包括:
识别模块,用以识别所述检测结果是强制终止所述日志记录进程的原始进程模式还是强制终止所述日志记录所在终端下的所有进程的相关进程模式。
5.如权利要求4所述审计系统,其特征在于,所述执行单元还包括:
第一终止模块,连接所述识别模块,用以强制终止属于原始进程模式的所述日志记录的对应的原始进程。
6.如权利要求4所述审计系统,其特征在于,所述执行单元还包括:
第二终止模块,连接所述识别模块,用以强制终止属于相关进程模式的所述日志记录所在终端下的所有进程。
7.一种审计检测方法,应用于如权利要求1所述审计系统,其特征在于,包括下列步骤:
A1.接收启动信号;
A2.读取所述审计系统内预设的配置文件,启动所述检测单元;
A3.判断是否接收到审计事件,若否,执行A4;若是,执行A5;
A4.所述检测单元处于休眠状态,执行A3;
A5.存储所述审计事件;
A6.对所述审计事件中的每条日志记录逐条进行检测。
8.如权利要求7所述审计检测方法,其特征在于,所述步骤A6包括:
A61.对所述审计事件中的每条日志记录进行解析,获取表示所述日志记录的类型字段键值;
A62.将与所述日志记录的类型字段键值与预设类型字段键值进行匹配,获取检测结果。
9.如权利要求7所述审计检测方法,其特征在于,还包括:
A7.逐条检测所述日志记录是否存在入侵行为,若是强制终止所述日志记录的对应的原始进程或所述日志记录所在终端下的所有进程,若没有检测下一条日志记录,直到所有日志记录检测完毕,检测单元进入休眠状态。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于普华基础软件股份有限公司,未经普华基础软件股份有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201410640780.6/1.html,转载请声明来源钻瓜专利网。
- 上一篇:用于MR-引导的组织间介入的专用用户接口
- 下一篇:一种CAN总线通信方法
