应用系统使用情况的审计预警方法、装置和终端设备与流程

本发明涉及大数据技术领域，尤其是涉及应用系统使用情况的审计预警方法、装置和终端设备。

背景技术：

目前，很多公司希望对内部的重要应用系统的使用做审计和预警，但是没有适合的手段对待重要应用系统的使用作出审计并对此作出预警；这就造成无法获取人们在公司内部的应用系统上进行的操作，针对对应用系统的异常登录和对应用系统异常操作无法进行监控，导致公司应用系统的安全性较差。

技术实现要素：

有鉴于此，本发明的目的在于提供应用系统使用情况的审计预警方法、装置和终端设备，通过对应用系统的审计和预警，增加了应用系统的安全性。

第一方面，本发明实施例提供了应用系统使用情况的审计预警方法，应用于终端设备，该应用系统在终端设备上的浏览器运行，该方法包括：获取用户输入的操作指令信息；根据操作指令信息采集浏览器的上网行为数据；根据预设规则对上网行为数据进行解析，得到应用系统的目标数据；将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果；接收服务器发送的审计结果；根据审计结果，对应用系统存在的风险进行预警。

进一步地，上述预设规则预先存储在终端设备，该预设规则包括设定处理的应用系统的用户标识符id、用户硬件id和用户的操作记录信息中的一种或几种，根据预设规则对上网行为数据进行解析，得到应用系统的目标数据，包括：根据预设规则，将上网行为数据中与预设规则对应的数据进行解析，得到目标数据；将目标数据保存至本地缓存数据库。

进一步地，上述将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果，包括：读取本地缓存数据库的目标数据；将目标数据发送至服务器，以使服务器验证目标数据是否合法，并且在目标数据合法的情况下，对目标数据进行分析和审计，得到审计结果。

进一步地，上述根据审计结果，对应用系统存在的风险进行预警，包括：将审计结果与预设条件进行对比，来判断应用系统是否存在风险；如果存在风险，对应用系统存在的风险进行预警。

进一步地，该方法还包括：将上网行为数据存储在redis中；将redis中的上网行为数据存储在elasticsearch集群中，并删除redis中的上网行为数据。

进一步地，上述上网行为数据包括网页访问过滤数据、网络应用控制数据、带宽流量管理数据、信息收发审计数据和用户行为分析数据中的一种或几种。

第二方面，本发明实施例提供了应用系统使用情况的审计预警装置，应用于终端设备，该应用系统在终端设备上的浏览器运行，该装置包括：获取模块，用于获取用户输入的操作指令信息；采集模块，用于根据操作指令信息采集浏览器的上网行为数据；解析模块，用于根据预设规则对上网行为数据进行解析，得到应用系统的目标数据；审计模块，用于将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果；接收模块，用于接收服务器发送的审计结果；预警模块，用于根据审计结果，对应用系统存在的风险进行预警。

进一步地，上述预设规则预先存储在终端设备，该预设规则包括设定处理的应用系统的用户标识符id、用户硬件id和用户的操作记录信息中的一种或几种，解析模块，还用于：根据预设规则，将上网行为数据中与预设规则对应的数据进行解析，得到目标数据；将目标数据保存至本地缓存数据库。

进一步地，审计模块，还用于：读取本地缓存数据库的目标数据；将目标数据发送至服务器，以使服务器验证目标数据是否合法，并且在目标数据合法的情况下，对目标数据进行分析和审计，得到审计结果。

第三方面，本发明实施例提供了终端设备，包括存储器和处理器，存储器中存储有可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述任一项的方法。

本发明实施例带来了以下有益效果：

本发明实施例提供了应用系统使用情况的审计预警方法、装置和终端设备，应用于终端设备，该应用系统在终端设备上的浏览器运行，该方法包括：获取用户输入的操作指令信息；根据操作指令信息采集浏览器的上网行为数据；根据预设规则对上网行为数据进行解析，得到应用系统的目标数据；将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果；接收服务器发送的审计结果；根据审计结果，对应用系统存在的风险进行预警。通过对应用系统的审计和预警，增加了应用系统的安全性。

本公开的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本公开的上述技术即可得知。

为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的应用系统使用情况的审计预警方法的流程图；

图2为本发明实施例提供的另一应用系统使用情况的审计预警方法的流程图；

图3为本发明实施例提供的另一应用系统使用情况的审计预警方法的流程图；

图4为本发明实施例提供的应用系统使用情况的审计预警装置的结构示意图；

图5为本发明实施例提供的终端设备的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有技术中，无法采集公司内部应用系统使用浏览器的数据信息，也无法把从浏览器采集到的数据，解析到所需的应用系统的操作数据，无法了解到应用系统的使用情况，其安全性无法保障。基于此，本发明实施例提供的应用系统使用情况的审计预警方法、装置和终端设备，可以对应用系统的操作情况进行审计和预警，提高了应用系统的安全性。

为便于对本实施例进行理解，首先对本发明实施例所公开的应用系统使用情况的审计预警方法进行详细介绍。

实施例一

图1为本发明实施例提供的应用系统使用情况的审计预警方法的流程图。

参见图1，该方法应用于终端设备，该应用系统在终端设备上的浏览器运行，该方法包括如下步骤：

步骤s102，获取用户输入的操作指令信息。

用户在浏览器上操作的过程中，常常会在浏览器留下相关数据，例如，用户的登录信息包括登录时间、登录地点和登录名，还有用户的操作信息比如查询记录、系统应用使用痕迹等；这些浏览器数据常常会与用户的账户信息相关联，保存在该用户对应的存储区域中。

步骤s104，根据操作指令信息采集浏览器的上网行为数据。

上述浏览器是指可以显示网页服务器或者文件系统的html(标准通用标记语言的一个应用)内容，并让用户与这些文件交互的一种软件；具体地，该浏览器可以是火狐浏览器、qq浏览器、谷歌浏览器和搜狗浏览器等。根据用户的操作指令信息采集到所有的上网行为数据包括网页访问过滤数据、网络应用控制数据、带宽流量管理数据、信息收发审计数据和用户行为分析数据中的一种或几种。

步骤s106，根据预设规则对上网行为数据进行解析，得到应用系统的目标数据。

在网络通信过程中需要传输数据，常用的数据格式有两种：json、xml。cocos2d-x对json和xml这两种数据格式的解析提供了支持，主要为：josn数据解析、xml数据解析。

由于上网行为数据信息太多，需要针对目标信息进行采集，所以在终端设备中预先存储设定好的规则包括：设置一些重要应用系统，例如oa(officeautomationsystem，办公自动化系统)系统、邮箱系统等，对这些设定重要的应用系统进行信息采集，了解这些重要应用系统的操作信息，这些操作信息可以针对不同的应用系统进行预警，必要时可以做一些防护。对操作信息进行敏感识别，该技术为windowsapihook技术来进行敏感信息识别，如果有人将公司的机密内容将其泄密，或者有人试图破解公司内部网站信息，可以提前进行拦截。

步骤s108，将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果。

将采集到重要应用系统的目标数据发送到服务器中，该服务器包括大数据服务器，大数据服务器是一台或多台计算机和数据库管理系统软件共同构成了数据库服务器，数据库服务器为客户应用提供服务，这些服务包括查询、更新、事务管理、索引、高速缓存、查询优化、安全及用户存取控制等。其中，大数据技术也称巨量资料，指的是所涉及的资料量规模巨大到无法通过目前主流软件工具，在合理时间内达到撷取、管理、处理、并整理成为帮助企业经营决策更积极目的的资讯。

通过大数据服务器进行内部审计，能够实时记录浏览器上的数据活动，对应用系统遭受到的风险行为进行告警，对攻击行为进行阻断。通过对用户访问应用系统行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部应用系统网络行为记录，提高数据资产安全。

步骤s110，接收服务器发送的审计结果。

步骤s112，根据审计结果，对应用系统存在的风险进行预警。

该审计结果中，例如应用系统在很短时间内多次被用户登录，可能是同一个用户硬件id，这时就很有可能存在有人尝试破解此应用系统密码的行为；或者不同的账号id登录了同一台终端设备，表明这台终端设备被其他人使用过，也存在风险的可能性；或者一个用户对应用系统的内部信息进行异常修改等行为都可在审计结果中显示，这时就需要对该应用系统存在的风险进行预警，查找应用系统所存在的漏洞提前做好防护措施，增加应用系统的安全性。

本发明实施例提供了应用系统使用情况的审计预警方法，应用于终端设备，该应用系统在终端设备上的浏览器运行，该方法包括：获取用户输入的操作指令信息；根据操作指令信息采集浏览器的上网行为数据；根据预设规则对上网行为数据进行解析，得到应用系统的目标数据；将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果；接收服务器发送的审计结果；根据审计结果，对应用系统存在的风险进行预警。通过对应用系统的审计和预警，增加了应用系统的安全性。

实施例二

图2为本发明实施例提供的另一应用系统使用情况的审计预警方法的流程图。图2在图1的基础上实现的

参见图2，图2是在图1的基础上实现的，下面进行详细说明。

上述预设规则预先存储在终端设备，该预设规则包括设定处理的应用系统的用户标识符id、用户硬件id和用户的操作记录信息中的一种或几种，根据预设规则对上网行为数据进行解析，得到应用系统的目标数据，包括如下步骤：

步骤s102，获取用户输入的操作指令信息。

步骤s104，根据操作指令信息采集浏览器的上网行为数据。

步骤s202，根据预设规则，将上网行为数据中与预设规则对应的数据进行解析，得到目标数据。

步骤s204，将目标数据保存至本地缓存数据库。

将得到的目标数据先暂时存放在本地缓存数据库，也可以说是内存数据库，就是讲数据放在内存中直接操作的数据库。相对于磁盘，内存的数据读写速度要高出几个数据量级，可方便数据的随时读取。

步骤s206，读取本地缓存数据库的目标数据。

步骤s208，将所述目标数据发送至服务器，服务器验证目标数据是否合法；如果是，执行步骤s210；如果否，执行步骤s212。

判断目标数据的合法性从两方面进行判断；首先是数据类型，如果要求的数据是整型就不能是浮点型，要求的是双精度类型就不能是单精度类型；还有就是数据的类型，也和上述同理。需要明确的是，服务器分析处理数据的最终目标，是从复杂的数据集合中发现新的关联规则，继而进行深度挖掘，得到有效用的新信息。

步骤s210，对目标数据进行分析和审计，得到审计结果。

步骤s212，服务器上报终端设备。

如果目标数据不是要求的数据，则需要服务器上报到终端设备，以使终端设备重新获取目标数据再一次让服务器进行验证处理。

步骤s110，接收服务器发送的审计结果。

步骤s112，根据审计结果，对应用系统存在的风险进行预警。

步骤s214，将所上网行为数据存储在redis中。

将所有采集到的上网行为数据存储在redis存储系统中。其中，redis是一个key-value存储系统。它支持存储的value类型相对更多，包括string(字符串)、list(链表)、set(集合)、zset(sortedset--有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作，而且这些操作都是原子性的。在此基础上，redis支持各种不同方式的排序。为了保证效率，数据都是缓存在内存中。区别的是redis会周期性的把更新的数据写入磁盘或者把修改操作写入追加的记录文件，并且在此基础上实现了master-slave(主从)同步。

步骤s216，将所redis中的上网行为数据存储在elasticsearch集群中，并删除redis中的上网行为数据。

具体地，elasticsearch是一个基于lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于restfulweb接口。elasticsearch是用java开发的，并作为apache许可条款下的开放源码发布，是当前流行的企业级搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。

实施例三

图3为本发明实施例提供的另一应用系统使用情况的审计预警方法的流程图。

参见图3，图3在图2的基础上实现的；该方法包括以下步骤：

步骤s102，获取用户输入的操作指令信息。

步骤s104，根据操作指令信息采集浏览器的上网行为数据。

步骤s202，根据预设规则，将上网行为数据中与预设规则对应的数据进行解析，得到目标数据。

步骤s204，将目标数据保存至本地缓存数据库。

步骤s206，读取本地缓存数据库的目标数据。

步骤s208，将所述目标数据发送至服务器，服务器验证目标数据是否合法；如果是，执行步骤s210；如果否，执行步骤s212。

步骤s210，对目标数据进行分析和审计，得到审计结果。

步骤s212，服务器上报终端设备。

步骤s110，接收服务器发送的审计结果。

步骤s302，将审计结果与预设条件进行对比，判断应用系统是否存在风险；如果是，执行步骤s304；如果否，执行步骤s306。

具体地，终端设备内部都会存储预设的风险条件，如果审计结果中出现了预设风险条件，例如，该预设条件包括异常登录情况，不同的账户登录了同一台终端设备，这些预设条件还可以再细化，如果审计结果与预设条件对比之后，出现了与预设条件类似的一条或者几条，那么该应用系统就可能存在风险。

步骤s304，对应用系统存在的风险进行预警。

步骤s306，不作处理。

步骤s110，接收服务器发送的审计结果。

步骤s216，将所redis中的上网行为数据存储在elasticsearch集群中，并删除redis中的上网行为数据。

本发明可以采集浏览器上应用系统的使用数据，并且可以针对需要获取到使用数据分析得到用户的登录、查询、修改和删除等行为；采用大数据技术，对应用系统的使用做审计和异常行为预警；通过应用系统的使用做审计，可以清晰的展示公司内部重要应用系统的使用情况，同时针对异常登录和应用系统异常操作进行预警增加公司应用系统的安全性。

图4为本发明实施例提供的应用系统使用情况的审计预警装置的结构示意图。

参见图4，该装置应用于终端设备，应用系统在终端设备上的浏览器运行，该装置包括以下模块：

获取模块40，用于获取用户输入的操作指令信息；

采集模块41，用于根据所述操作指令信息采集所述浏览器的上网行为数据；

解析模块42，用于根据预设规则对上网行为数据进行解析，得到应用系统的目标数据；

审计模块43，用于将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果；

接收模块44，用于接收服务器发送的审计结果；

预警模块45，用于根据审计结果，对应用系统存在的风险进行预警。

上述预设规则预先存储在终端设备，该预设规则包括设定处理的应用系统的用户标识符id、用户硬件id和用户的操作记录信息中的一种或几种，上述解析模块42，还用于：根据预设规则，将上网行为数据中与预设规则对应的数据进行解析，得到目标数据；将目标数据保存至本地缓存数据库。

上述审计模块43，还用于：读取本地缓存数据库的目标数据；将目标数据发送至所述服务器，以使服务器验证目标数据是否合法，并且在目标数据合法的情况下，对目标数据进行分析和审计，得到审计结果。

本发明实施例提供了应用系统使用情况的审计预警装置，应用于终端设备，该应用系统在终端设备上的浏览器运行，该方法包括：获取用户输入的操作指令信息；根据操作指令信息采集浏览器的上网行为数据；根据预设规则对上网行为数据进行解析，得到应用系统的目标数据；将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果；接收服务器发送的审计结果；根据审计结果，对应用系统存在的风险进行预警。通过对应用系统的审计和预警，增加了应用系统的安全性。

本发明实施例提供的应用系统使用情况的审计预警装置，与上述实施例提供的应用系统使用情况的审计预警方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

图5为本发明实施例提供的终端设备的结构示意图。

参见图5，本发明实施例还提供终端设备100，包括：处理器400，存储器401，总线402和通信接口403，处理器400、通信接口403和存储器401通过总线402连接；处理器400用于执行存储器401中存储的可执行模块，例如计算机程序。

其中，存储器401可能包含高速随机存取存储器(ram，randomaccessmemory)，也可能还包括非易失存储器(non-volatilememory)，例如至少一个磁盘存储器。通过至少一个通信接口403(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接，可以使用互联网，广域网，本地网，城域网等。

总线402可以是isa总线、pci总线或eisa总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图5中仅用一个双向箭头表示，但并不表示仅有一根总线或一种类型的总线。

其中，存储器401用于存储程序，处理器400在接收到执行指令后，执行程序，前述本发明实施例任一实施例揭示的流过程定义的装置所执行的方法可以应用于处理器400中，或者由处理器400实现。

处理器400可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器400中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器400可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现成可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器401，处理器400读取存储器401中的信息，结合其硬件完成上述方法的步骤。

本发明实施例提供了应用系统使用情况的审计预警方法、装置和终端设备，应用于终端设备，该应用系统在终端设备上的浏览器运行，该方法包括：获取用户输入的操作指令信息；根据操作指令信息采集浏览器的上网行为数据；根据预设规则对上网行为数据进行解析，得到应用系统的目标数据；将目标数据发送至服务器，以使服务器进行审计，得到应用系统的审计结果；接收服务器发送的审计结果；根据审计结果，对应用系统存在的风险进行预警。通过对应用系统的审计和预警，增加了应用系统的安全性。

本发明实施例所提供的进行应用系统使用情况的审计预警方法、装置和终端设备的计算机程序产品，包括存储了处理器可执行的非易失的程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。