[发明专利]一种基于分布式记账的混合型用户行为审计方法及系统

权利要求书

1.一种基于分布式记账的混合型用户行为审计系统，其特征在于，包括：分布式账本模块（10），由多个日志记录节点构成，用于以分布式的方式产生和记录日志，并在每个日志记录节点侧维护所有日志的完整拷贝；日志采集模块（11），用于从任意日志记录节点侧，采集符合审计需求的日志文件；一次审计模块（12），用于基于异常行为模式库对采集的日志文件进行单一对象审计，其中，异常行为模式库可采用通用规则库或/和基于系统历史数据进行学习、训练、优化后的行为模式库；二次审计模块（13），采用模式识别对一次审计判定为未知的日志文件进行关联分析审计，其检测基于所述异常行为模式库和正常行为模式库。

2.在网络中的各类主机、服务器等设备上记录日志信息时，所述分布式账本模块（10）具体用于：当所述模块中任一日志记录节点需要生成日志文件时，实时告知所有日志记录节点，当同意节点满足预设比例阈值时，在所有日志记录节点侧同步创建所述日志文件，同时记录时间戳。

3.从分布式账本的任意日志记录节点采集待审计的日志文件时，所述日志采集模块（11）具体用于：根据预设的审计目标，随机从所述分布式账本中采集符合所述审计目标的日志文件。

4.基于用户异常行为库对采集的日志文件进行审计时，所述一次审计模块（12）具体用于：选取与预设审计对象对应的特定日志条目，根据日志信息中包含的用户字段、操作字段、操作对象字段、操作时间字段和记录时间字段获取相匹配的用户异常行为检测规则；使用获取的规则对所选日志条目进行检测，计算选择的日志条目与所述规则的匹配概率值；比较所述匹配概率值与预设判定阈值上下限，界定匹配概率值区间范围，当匹配概率值大于等于判定阈值上限时，确定所述日志条目为异常日志，当匹配概率值大于判定阈值下限小于判定阈值上限时，确定所述日志条目为正常日志，当匹配概率值小于等于判定阈值下限时，确定所述日志条目为未知日志。

5.基于进一步审计需求对未知日志进行关联分析时，所述二次审计模块（13）具体用于：读取与所述未知日志用户字段相同的日志条目；读取所得日志条目的操作时间字段，按时间顺序构建用户行为时序链；读取所得日志条目的操作对象字段，按逻辑顺序构建用户行为路径链；将所述用户行为时序/路径链与异常行为模式库、正常行为模式库进行模式匹配，计算所述用户行为时序/路径链与攻击模式匹配的概率；将所述模式匹配概率值与预设门限值进行比较，确定所述模式匹配概率值低于预设门限值时，判定该条日志为正常日志，更新用户行为时序/路径链特征到正常行为模式库；确定所述模式匹配概率值不低于预设门限值时，确定所述日志条目以及相关用户行为时序/路径链上的所有相关日志为异常日志，更新用户行为时序/路径链到异常行为模式库；记录日志状态、所述行为链信息并产生告警。

6.本发明实施例中，审计系统构建以日志为对象的分布式账本，分布式账本中的所有日志记录节点以分布式记账方式产生和维护日志文件，当审计系统收到确定的日志审计需求时，从任意日志记录节点处采集所需日志文件，并基于用户行为异常库对单条日志进行一次审计，判定日志状态，然后对判定状态为未知的日志进行基于关联分析的二次审计，其中关联分析基于按时间顺序构建的用户行为时序链和按逻辑顺序构建的用户行为路径链。

7.最后依据用户行为时序/路径链更新正常/异常行为库。

8.这样，便通过基于分布式记账技术构建的审计系统达到海量、异构日志的分布式维护和防篡改的目的，并且，结合一次审计和二次审计的双重审计模式与现有技术下的单一审计流程相比，能够更精确地匹配复杂的审计条件，依靠多维因素的关联分析，筛选出单一对象审计时无法发现的异常行为，并通过检测结果与规则库之间的反馈和联动，达到不断更新优化规则库，降低人工维护成本的目的。