[发明专利]审计系统及审计检测方法

说明书

技术领域

本发明涉及系统安全领域，尤其涉及一种审计系统及基于审计系统的入侵检测方法。

背景技术

安全威胁从计算机诞生开始就从未减少。为了抵御各种安全威胁，人们设计了许多技术及机制。例如Linux系统中最基础的自主访问控制(DAC)、防火墙和扩张强制访问控制安全模式(Security-Enhanced Linux，SELinux)等，都对保护系统安全发挥了巨大的作用。但传统的安全机制存在的漏洞在于，这些机制都是在入侵发生前或发生时对不符合权限的操作进行阻止；当入侵者突破了这些系统，以合法权限对系统进行破坏时，传统安全机制无法做出有效的应对，从而对系统的安全造成威胁。

发明内容

针对传统的安全机制存在的上述问题，现提供一种旨在实现可以对成功的(或不成功的)突破系统安全的企图进行检测及终止的审计系统及审计检测方法。

具体技术方案如下：

一种审计系统，包括：

接收单元，用以接收启动信号或审计事件，所述审计事件由多条日志记录组成，每条所述日志记录至少包括一个表示所述日志记录对应类型的字段和一个表示所述日志记录所在终端的字段；

存储单元，用以存储所述审计事件；

检测单元，连接所述存储单元，用以对所述审计事件中的每条日志记录逐条进行检测，检测所述日志记录是否存在入侵行为；

处理单元，连接所述接收单元、所述存储单元和所述检测单元，用以根据所述启动信号读取所述审计系统内预设的配置文件，启动所述检测单元；

执行单元，连接所述检测单元，用以根据所述检测单元的检测结果执行相应的操作。

优选的，所述检测单元包括：

解析模块，用以对所述审计事件中的每条日志记录进行解析，获取表示所述日志记录所在终端及类型字段的键值。

优选的，所述检测单元还包括：

匹配模块，连接所述解析模块，用以将与所述日志记录的类型字段键值与预设类型字段键值进行匹配，获取检测结果。

优选的，所述执行单元包括：

识别模块，用以识别所述检测结果是强制终止所述日志记录进程的原始进程模式还是强制终止所述日志记录所在终端下的所有进程的相关进程模式。

优选的，所述执行单元还包括：

第一终止模块，连接所述识别模块，用以强制终止属于原始进程模式的所述日志记录的对应的原始进程。

优选的，所述执行单元还包括：

第二终止模块，连接所述识别模块，用以强制终止属于相关进程模式的所述日志记录所在终端下的所有进程。

一种审计检测方法，应用所述审计系统，包括下列步骤：

A1.接收启动信号；

A2.读取所述审计系统内预设的配置文件，启动所述检测单元；

A3.判断是否接收到审计事件，若否，执行A4；若是，执行A5；

A4.所述检测单元处于休眠状态，执行A3；

A5.存储所述审计事件；

A6.对所述审计事件中的每条日志记录逐条进行检测。

优选的，所述步骤A6包括：

A61.对所述审计事件中的每条日志记录进行解析，获取表示所述日志记录的类型字段键值；

A62.将与所述日志记录的类型字段键值与预设类型字段键值进行匹配，获取检测结果。

优选的，还包括：

A7.逐条检测所述日志记录是否存在入侵行为，若是强制终止所述日志记录的对应的原始进程或所述日志记录所在终端下的所有进程，若没有检测下一条日志记录，直到所有日志记录检测完毕，检测单元进入休眠状态。

上述技术方案的有益效果：

1)能检测出多种以合法权限对系统进行的入侵，并将其强制终止；

2)可适时(适时不是指实时，实时的入侵检测会带来响应速度变慢问题)的入侵进行检测；

3)精确的入侵检测；

4)用简单、有效的方式对入侵进行处理。

附图说明

图1为本发明所述审计系统的一种实施例的模块图；

图2为本发明所述审计系统与传统审计终止的安全机制关系图；

图3为本发明所述审计检测方法的一种实施例的方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。