[发明专利]网络用户行为审计与责任管理系统

权利要求书

1.网络用户行为审计与责任管理系统，其特征在于：包括网络信息日志审计子系统和网络用户行为责任认定与管理子系统；

所述的网络信息日志审计子系统包括数据采集模块、数据中心模块、日志信息存储模块；所述的数据采集模块包括多台部署有审计探针的主机，用于对日志的采集和重组，所述的数据采集模块对网络数据流进行高速采集，所述的网络数据流为分片结构，在收到所有的日志数据包的分片后，根据日志数据包首部中保存的信息，重组最初的日志数据包；所述的数据中心模块用于对审计日志进行分类，并将分类结果发送至日志信息存储模块进行保存；

所述的网络用户行为责任认定与管理子系统包括用户基础信息模块、日志行为提取模块、不合规行为判断模块、不合规行为统计分析模块、通知模块和控制访问流量模块；

所述的用户基础信息模块包括存储用户组织机构信息、用户人员信息和用户资产信息的第一存储单元和存储用户行为权限的第二存储单元；所述的第二存储单元包括用户级别、用户行为目标、用户行为事件以及三者对应关系的权限的列表；所述的权限包括授权、禁止和义务；

所述的日志行为提取模块提取日志信息存储模块中各个网络行为日志中的要素，所述的要素包括行为主体、行为对象和行为事件；

所述的不合规行为判断模块将日志行为提取模块提取的结果与用户基础信息模块进行对比，进行不合规行为的判断；所述的不合规行为包括授权行为越界、禁止行为和义务行为未完成；

所述的不合规行为统计分析模块对不合规行为判断模块判断出的不合规行为进行趋势统计、分布统计以及数据挖掘分析，并采用积分算法对用户当前网络行为合规程度进行评分：当合规程度达不到预设阀值，则发送信息至所述的通知模块，通知模块通知管理员，管理员通过控制访问流量模块断开不合规用户的访问流量。

2.根据权利要求1所述的网络用户行为审计与责任管理系统，其特征在于：所述的日志包括互联网应用日志、即时通讯日志、数据库日志、攻击/扫描日志、文件传输日志、远程控制日志和邮件日志；所述的互联网应用日志包括HTTP应用日志、娱乐软件日志和基于C/S架构的应用软件使用日志；所述的HTTP应用日志为监测访问互联网网页的内容信息、记录用户所设关键词信息、针对HTTPUP的信息和记录所有DNS协议请求的日志；所述的监测访问互联网网页的内容信息包括基于HTTP协议的发布和浏览；

所述的即时通讯日志为记录各类及时通讯软件使用信息以及虚拟身份信息的日志；所述的数据库日志为记录各类数据库的操作和用户信息的日志；所述的攻击/扫描日志为记录DDOS攻击和端口扫描的行为日志；所述的文件传输日志包括各类下载工具、FTP协议、SMB协议进行的文件传输信息，还包括即时聊天软件点对点传输文件的以及文件名的信息；所述的远程控制日志为记录各类远程控制软件或协议的使用情况的日志，包括TELNET协议、WINDOWS远程桌面和SSH；所述的邮件日志为记录SMTP协议、POP3协议、以及主流web邮件的日志，包括收件人、主题、抄送、正文、附件。

3.根据权利要求1所述的网络用户行为审计与责任管理系统，其特征在于：所述的日志保存5元组信息、时间、会话和流量信息。

4.根据权利要求1所述的网络用户行为审计与责任管理系统，其特征在于：所述的用户组织机构信息反映为树状层级式结构图，所述的用户人员信息包括人员基本信息和终端IP信息，所述的用户资产信息包括用户服务器信息。

5.根据权利要求1或3或4所述的网络用户行为审计与责任管理系统，其特征在于：所述的不合规行为还包括用户终端危险使用、流量异常使用。

6.根据权利要求1所述的网络用户行为审计与责任管理系统，其特征在于：所述的网络用户行为责任认定与管理子系统还包括一个全局行为不合规态势展示模块，所述的全局行为不合规态势展示模块用于展示当前用户的合规程度，以及禁止行为走势、授权行为越界走势、义务行为未完成走势。

7.根据权利要求1或6所述的网络用户行为审计与责任管理系统，其特征在于：所述的网络用户行为责任认定与管理子系统还包括一个修改权限模块，管理员根据不合规行为的判定结果和不合规行为态势，通过修改权限模块修改第二存储单元中的权限列表。

8.根据权利要求1所述的网络用户行为审计与责任管理系统，其特征在于：在所述的不合规行为判断模块无法判断日志行为提取模块提取的结果是否为不合规行为，将该行为日志进行人工分析，并根据人工分析结果进行后续处理，所述的后续处理包括不合规行为处理以及将该行为加入第二存储单元。