[发明专利]一种基于查询人和被查询对象特征的安全审计方法和系统

说明书

本发明公开了一种基于查询人和被查询对象特征的安全审计方法和系统，所述方法包括：获取数据审计系统的操作行为，将所述操作行为根据行为类型进行一级拆分；将操作行为一级拆分后得到查询者数据项和被查询者数据项作为一级数据项；将所述一级数据项进行二级拆分，得到所述查询者数据项和被查询者数据项的二级数据项；将所述二级数据项进一步拆分成三级数据项；将一级数据项、二级数据项和三级数据项之间利用逻辑符构建多层级的审计语句，将所述审计语句利用自然语言技术和数据审计系统的日志进行匹配，输出审计结果。

技术领域

本发明涉及安全审计技术领域，特别涉及一种基于查询人和被查询对象特征的安全审计方法和系统。

背景技术

目前现有技术中，信息系统审计存在只记录不分析，或者分析粒度很粗没有深度挖掘模型；检测模型单一，不能根据业务特性自定义检测模型；模型定制不够灵活,客户要求分析多样化，无法有一个通用化的方式满足大多数客户的需求。如何定制一个能够快速组件模型，满足大多数研判需求成为迫切需要思考的问题。现有的数据处理审计方法主要存在如下技术问题：1、信息系统安全审计告警种类繁多，没有明确的建设标准。2、各个客户对告警的维度理解各不相同，需求各不相同，对告警模型实现的深度各不相同。3、模型定制没有固定的方式，多少会根据客户需求编写sql语句，进行硬编码。4、因需求的变动或模型研判阈值的调整，都需要进行代码整改，模型应用中不够灵活。5、模型输出不能定义，无法灵活的实现定制化输出。

发明内容

本发明其中一个发明目的在于提供一种基于查询人和被查询对象特征的安全审计方法和系统，所述方法和系统将数据项进行拆分，将数据项拆分成不同维度的数据项，将所述不同数据项形成组件池，利用所述组件池维护审计系统中告警模型对应维度的数据项，可以实现数据安全审计告警维度和深度的标准化，提高安全审计效果。

本发明另一个发明目的在于提供一种基于查询人和被查询对象特征的安全审计方法和系统，所述方法和系统将所述数据项进行拆分的方式将数据项拆分为查询者数据和被查询对象数据，进一步将所述查询数据和被查询对象数据进行二级拆分和三级拆分，因此相对固定的多级数据项拆分使得安全审核告警模型的告警兼顾规范性和粒度，从而无需对安全审核告警进行硬编码。

本发明另一个发明目的在于提供一种基于查询人和被查询对象特征的安全审计方法和系统，所述方法和系统基于查询者和被查询者数据的多级拆分，并利用多级拆分的数据项进行组合式查询匹配，因此可以适应定制化的标准审计查询方法。使得安全审计查询无需代码调整且适应不同场景下的审计查询要求。

为了实现至少一个上述发明目的，本发明进一步提供一种基于查询人和被查询对象特征的安全审计方法，所述方法包括：

获取数据审计系统的操作行为，将所述操作行为根据行为类型进行一级拆分；

将操作行为一级拆分后得到查询者数据项和被查询者数据项作为一级数据项；

将所述一级数据项进行二级拆分，得到所述查询者数据项和被查询者数据项的二级数据项；

将所述二级数据项进一步拆分成三级数据项；

将一级数据项、二级数据项和三级数据项之间利用逻辑符构建多层级的审计语句，将所述审计语句利用自然语言技术和数据审计系统的告警绑定的语句进行匹配，输出审计结果。

根据本发明其中一个较佳实施例，所述方法包括：设置逻辑组件，其中所述逻辑组件用于构建不同级别数据项之间的逻辑关系，其中利用所述逻辑组件将所述查询者数据项和被查询者数据项之间的逻辑关系定义为与。

根据本发明另一个较佳实施例，根据所述逻辑组件，将所述查询者数据项的二级数据项和任意三级数据项之间的逻辑关系定义为与。

根据本发明另一个较佳实施例，根据所述逻辑组件，将所述查询者数据项的三级数据项和被查询对象的三级数据项之间的逻辑关系定义为与。