[发明专利]一种基于分布式记账的混合型用户行为审计方法及系统

说明书

本发明提供一种基于分布式记账的混合型用户行为审计方法及系统，其目的是运用分布式记账技术进行用户行为审计，防止日志信息被恶意篡改，提高用户行为审计系统的网络攻击和异常行为追溯效果。分布式记账方法能以一种去中心化的存储方式管理数据，并有效地保障数据防篡改、提供防灾备份可靠性。目前，还鲜有利用其解决用户行为审计问题，目前日志数据的海量性和格式的多样性提高了关联分析的复杂度，随着云计算、移动互联网、虚拟化技术的发展应用，用户角色和外部环境日新月异，仅采用现有日志审计手段或分布式记账技术，都不足对日志信息进行多维度、深层次的分析，以满足对安全审计的实时性、准确性要求。本发明可在一定程度上解决上述问题。

技术领域

本发明涉及网络安全领域，具体涉及一种基于分布式记账的混合型用户行为审计方法及系统。

背景技术

随着网络的广泛普及和信息通信技术的高速发展，网络安全与传统安全不断融合交织，网络攻击、安全漏洞、违规操作等问题频发，严重影响网络的稳定可靠运行。用户行为审计是网络安全防御在事后环节的重要手段，通过对网络设备、安全设备、业务系统、关键服务等日志信息的记录和分析，能够及时发现网络异常和进行威胁溯源分析。但在实际应用中，黑客在入侵后往往会篡改或删除相关日志，抹除行为痕迹，导致无法对攻击行为进行精准追溯。此外，对于数据结构各异的海量日志信息，也难以通过简单的中心化方式进行集中管理和关联分析。因此，需要一种防篡改的、去中心化的方式来满足网络安全新形势下的用户行为审计需求。

分布式记账方法能以一种去中心化的存储方式管理数据，并有效地保障数据防篡改、提供防灾备份可靠性。目前，分布式记账已经在金融、保险、医疗和通信领域得到了广泛的应用，成为了一种灵活管理分散资源、有效验证操作真实性的新兴技术方案。但还鲜有利用其解决用户行为审计问题的解决方案，一方面，分布式记账技术本身存在一些技术局限性，如存储单元容量受限，扩展能力差；分布式的存储机制在部署时需要成倍的冗余存储空间；缺乏用户私钥安全管理保护机制等。另一方面，使用分布式记账技术需要与现有日志审计手段有机结合，日志数据的海量性和格式的多样性提高了关联分析的复杂度，且随着云计算、移动互联网、虚拟化技术的发展应用，用户角色和外部环境日新月异，不管是仅采用现有日志审计手段或分布式记账技术，都不足对日志信息进行多维度、深层次的分析，以满足对安全审计的实时性、准确性要求。

发明内容

一种基于分布式记账的混合型用户行为审计系统，其特征在于，包括：

分布式账本模块，由多个日志记录节点构成，用于以分布式的方式产生和记录日志，并在每个日志记录节点侧维护所有日志的完整拷贝；

日志采集模块，用于从任意日志记录节点侧，采集符合审计需求的日志文件；

一次审计模块，用于基于异常行为模式库对采集的日志文件进行单一对象审计，其中，异常行为模式库可采用通用规则库或/和基于系统历史数据进行学习、训练、优化后的行为模式库；

二次审计模块，采用模式识别对一次审计判定为未知的日志文件进行关联分析审计，其检测基于所述异常行为模式库和正常行为模式库；

在网络中的各类主机、服务器等设备上记录日志信息时，所述分布式账本模块具体用于：

当所述模块中任一日志记录节点需要生成日志文件时，实时告知所有日志记录节点，当同意节点满足预设比例阈值时，在所有日志记录节点侧同步创建所述日志文件，同时记录时间戳；

从分布式账本的任意日志记录节点采集待审计的日志文件时，所述日志采集模块具体用于：

根据预设的审计目标，随机从所述分布式账本中采集符合所述审计目标的日志文件；

基于用户异常行为库对采集的日志文件进行审计时，所述一次审计模块具体用于：