专利名称:一种网络审计中的网络行为报警系统及方法
技术领域:
本发明涉及一种网络信息安全领域,特别是指一种网络审计中的网络行为报警系统及方法。
背景技术:
随着网络设备价格的不断降低,越来越多的企业、政府机关、保密部门、银行等的工作环境开始部署网络,并通过网络来进行通讯交流和传输文件等,由于这些通讯信息中包含很多的机密信息比如企业财务报告、政府工作记录、银行个人帐号信息等,因此有必要对网络中传输的信息数据进行审计,为了降低网络审计的响应时间,就需要在网络通讯数据出现敏感信息的时候,使网络审计系统能够实时地通知到管理员。然而,在目前网络环境里广泛使用的防火墙虽然具有敏感信息报警功能,但是它主要是针对非法的网络IP地址,异常结构的网络数据包等,并没有针对网络数据内容进行分析。
另外一种广泛使用的网络安全产品NIDS(网络入侵检测系统)也有敏感信息报警功能,但是它主要是针对网络攻击数据,比如病毒、攻击代码等进行报警。在网络审计中更多的是针对一些敏感信息比如在企业、政府机关里的机要文档信息,银行的交易信息、学校的对学生有害的成人暴力信息等进行审计。而且这两种系统的报警方式比较单一,更多的是在它们管理程序的界面显示报警信息,当管理员外出的时,就很难实时地通知到他们。
发明内容
本发明所要解决的技术问题是提供一种网络审计中的网络行为报警方法及系统,其能够针对网络数据内容进行分析,且既使管理员不在现场也能够及时地将警告通知到管理员,使管理员能够及时对事件进行处理。
为解决上述技术问题,本发明采用如下技术方案提供一种网络审计中的网络行为报警系统,包括报警策略管理模块、数据分析模块和报警模块;报警策略管理模块用于设置敏感信息关键字、报警方式、警报声音或/和接收方的电话号码,其中报警方式包括声音警报方式或/和短信报警方式;
数据分析模块用于存储报警策略管理模块所设置的敏感信息关键字,并对审计系统所获取的网络数据进行分析,查找是否含有与敏感信息关键字相匹配的内容,若包含,则发送报警启动命令到报警模块;报警模块用于根据上述的报警启动命令发出相应的一种或多种方式的警报,并存储上述的报警策略管理模块所设置的警报声音或/和接收方的电话号码。
其中所述报警方式还包括电子邮件报警方式;所述报警策略管理模块还可设置接收方的电子邮件地址;所述报警模块还可以电子邮件报警方式发出警报,并存储报警策略管理模块所设置的接收方的电子邮箱地址。
其中所述报警启动命令的内容包括报警策略管理模块所设置的敏感信息关键字、报警开始时间、报警方式、由审计系统所获取的含有与敏感信息关键字相匹配内容的网络数据包的源IP地址、目标IP地址、源端口、目标端口。
一种网络审计中的网络行为报警方法,包括以下步骤A、设置并存储敏感信息关键字、报警方式、警报声音或/和接收方的电话号码;报警方式包括声音报警方式或/和短信报警方式;B、查找审计系统所获取的网络数据中是否含有与上述的敏感信息关键字相匹配的内容,若包含,则发送报警启动命令;C、根据报警启动命令以相应地一种或多种报警方式发出警报。
其中所述步骤A还包括设置并存储接收方的电子邮箱地址,报警方式还包括电子邮件报警方式;所述步骤C还包括以电子邮件报警方式发出警报。
其中所述报警启动命令包括报警策略管理模块所设置的敏感信息关键字、报警开始时间、报警方式、由审计系统所获取的含有与敏感信息关键字相匹配的内容的网络数据包的源IP地址、目的IP地址、源端口、目标端口。
本发明的有益效果是本发明通过将敏感信息关键字与网络数据进行匹配,网络数据内容进行分析,并可通过声音、短信、电子邮件三种方式报警,使其更为及时、高效地通知到管理员。
下面结合附图对本发明作进一步的详细描述。
图1是本发明的系统模块图。
图2是本发明的方法步骤图。
图3是本发明的一实施例的方法步骤图。
图4是本发明一实施例的工作流程图。
具体实施例方式
如图1所示,本发明的网络行为报警系统包括报警策略管理模块、数据分析模块和报警模块;其中报警策略管理模块用于设置敏感信息关键字、报警方式、警报声音或/和接收方的电话号码,其中报警方式包括声音警报方式或/和短信报警方式;数据分析模块用于存储上述的报警策略管理模块所设置的敏感信息关键字,并对审计系统所获取的网络数据进行分析,查找是否含有与敏感信息关键字相匹配的内容,若包含,则发送报警启动命令到报警模块;报警模块用于根据上述报警启动命令以相应的一种或多种报警方式发出警报,并存储上述的报警策略管理模块所设置的警报声音或/和接收方的电话号码。
如图2所示,本发明的网络行为报警方法包括以下步骤为A、设置并存储敏感信息关键字、报警方式、警报声音或/和接收方的电话号码;报警方式包括声音报警方式或/和短信报警方式;B、查找审计系统所获取的网络数据中是否含有与上述的敏感信息关键字相匹配的内容,若包含,则发送报警启动命令;C、根据报警启动命令以相应地一种或多种报警方式发出警报。
另外,本发明的网络行为报警方法还包括以电子邮件报警方式发出警报,使得审计中心的管理员在远离报警系统用网络进行工作时,还可通过电子邮件接收到警报,对事件进行及时有效地处理。此报警系统包括报警策略管理模块,用于设置敏感信息关键字、报警方式、警报声音或/和接收方的电话号码和接收方的电子邮箱地址,其中报警方式包括声音警报方式和短信报警方式或/和电子邮件报警方式;数据分析模块用于存储上述的报警策略管理模块所设置的敏感信息关键字,并对审计系统所获取的网络数据进行分析,查找是否含有与敏感信息关键字相匹配的内容,若包含,则发送报警启动命令到报警模块;
报警模块用于根据上述报警启动命令以相应的一种或多种报警方式发出警报,并存储上述的报警策略管理模块所设置的警报声音或/和接收方的电话号码或/和接收方的电子邮件地址。
如图3所示,此报警系统的实现方法包括以下步骤A、设置并存储敏感信息关键字、报警方式、警报声音或/和接收方的电话号码或/和接收方的电子邮箱地址;报警方式包括声音报警方式或/和短信报警方式或/和电子邮件报警方式;B、查找审计系统所获取的网络数据中是否含有与上述的敏感信息关键字相匹配的内容,若包含,则发送报警启动命令;C、根据报警启动命令以相应地一种或多种报警方式发出警报。
以下结合图4详述本实施例的报警系统的工作流程首先,在审计系统检测到有网络行为时,报警系统判断其内是否有报警策略,若不存在,管理员则需设置,即在报警策略管理模块中设置敏感信息关键字、报警方式,报警声音或/和管理员的手机号码或/和管理员的电子邮箱地址;若存在,报警分析模块则取出敏感信息关键字,对网络数据进行匹配,若查找到存在与敏感信息关键字相匹配的网络数据,则发出报警启动命令,触发报警模块进行报警,其中报警启动命令包括敏感信息关键字、报警开始时间、报警方式、由审计系统所获取的含有与敏感信息关键字相匹配的内容的网络数据包的源IP地址、目的IP地址、源端口、目标端口;然后,报警模块判断报警启动命令中的报警方式,若为声音报警方式,则按照对应的音频文件发出声音警报;若为短信报警方或,则向管理员的手机发出报警短信;若为电子邮件报警方式,则向管理员的电子邮箱发出报警邮件;若同时设置了多种报警方式,则发出相应的多种报警。
以下以“法轮功”作为敏感信息关键字为例,详述本实施例的工作过程首先管理员在报警策略管理模块中将敏感信息关键字设置为“法轮功”,将报警方式设置为声音报警方式或/和短信报警方式或/和电子邮件报警方式,假如三种报警方式都设置,则需设置报警声音的音频文件、管理员的手机号码及管理员的电子邮箱地址。设置完成之后,报警分析模块将敏感信息关键字“法轮功”进行存储,报警模块将所设置的报警方式信息、报警声音的音频文件、管理员的手机号码及管理员的电子邮箱地址进行存储。
然后,本实施例的报警系统开始检测审计系统所获取的网络数据中是否包括有与“法轮功”相匹配的内容,若包含,则发出报警启动命令,通知报警模块进行报警,其中报警启动命令包括敏感信息关键字“法轮功”、报警开始时间、报警方式、网络数据包的源IP地址、目标IP地址、源端口、目标端口。其中报警方式包括声音报警方式、短信报警方式和电子邮件报警方式,假设声音报警方式的编号为1、短信报警方式的编号为2、电子邮件报警方式的编号为3,则报警启动命令相应地包含报警方式的编号1、2、3。
报警模块接收到报警启动命令后,在报警开始的时间按照报警策略管理模块所设置的音频文件、管理员的手机号码和电子邮箱地址,发出声音、短信和电子邮件警报。
权利要求
1.一种网络审计中的网络行为报警系统,其特征在于包括报警策略管理模块、数据分析模块和报警模块;报警策略管理模块用于设置敏感信息关键字、报警方式、警报声音或/和接收方的电话号码,其中报警方式包括声音警报方式或/和短信报警方式;数据分析模块用于存储报警策略管理模块所设置的敏感信息关键字,并对审计系统所获取的网络数据进行分析,查找是否含有与敏感信息关键字相匹配的内容,若包含,则发送报警启动命令到报警模块;报警模块用于根据上述的报警启动命令发出相应的一种或多种方式的警报,并存储上述的报警策略管理模块所设置的警报声音或/和接收方的电话号码。
2.如权利要求1所述的网络审计中的网络行为报警系统,其特征在于所述报警方式还包括电子邮件报警方式;所述报警策略管理模块还可设置接收方的电子邮件地址;所述报警模块还可以电子邮件报警方式发出警报,并存储报警策略管理模块所设置的接收方的电子邮箱地址。
3.如权利要求1所述的网络审计中的网络行为报警系统,其特征在于所述报警启动命令的内容包括报警策略管理模块所设置的敏感信息关键字、报警开始时间、报警方式、由审计系统所获取的含有与敏感信息关键字相匹配内容的网络数据包的源IP地址、目标IP地址、源端口、目标端口。
4.一种网络审计中的网络行为报警方法,其特征在于包括以下步骤A、设置并存储敏感信息关键字、报警方式、警报声音或/和接收方的电话号码;报警方式包括声音报警方式或/和短信报警方式;B、查找审计系统所获取的网络数据中是否含有与上述的敏感信息关键字相匹配的内容,若包含,则发送报警启动命令;C、根据报警启动命令以相应地一种或多种报警方式发出警报。
5.如权利要求4所述的网络审计中的网络行为报警方法,其特征在于所述步骤A还包括设置并存储接收方的电子邮箱地址,报警方式还包括电子邮件报警方式;所述步骤C还包括以电子邮件报警方式发出警报。
6.如权利要求4所述的网络审计中的网络行为报警方法,其特征在于所述报警启动命令包括报警策略管理模块所设置的敏感信息关键字、报警开始时间、报警方式、由审计系统所获取的含有与敏感信息关键字相匹配的内容的网络数据包的源IP地址、目的IP地址、源端口、目标端口。
全文摘要
本发明涉及一种网络审计中的网络行为报警系统及方法。该系统包括用于设置报警内容和报警方式的报警策略管理模块、用于根椐已设置的报警内容对网络数据进行分析的数据分析模块和用于发出一种或多种警报的报警模块。该方法包括设置并存储报警内容报警方式,分析网络数据,若存在应进行报警的内容,则按照已设置的报警方式发出警报。本发明通过将敏感信息关键字与网络数据进行匹配,网络数据内容进行分析,并通过声音、短信、电子邮件三种方式报警,使其更为及时、高效地通知到管理员。
文档编号H04L29/06GK1937622SQ20061006315
公开日2007年3月28日 申请日期2006年10月19日 优先权日2006年10月19日
发明者阮伟军, 申屠青春, 林飞 申请人:深圳市中科新业信息科技发展有限公司