一种基于多维信息关联的应用系统变更监测方法与流程

本发明属于网络安全监测技术领域，具体涉及一种基于多维信息关联的应用系统变更监测方法。

背景技术：

随着信息技术的不断发展，企业在越来越多的方面通过应用系统来完成信息的收集、管理、处置等。但在应用系统不断普及的同时，其面临的安全威胁也与日俱增，特别是针对一些军工、政府单位的APT攻击或特权人员违规操作，以目前的技术手段很难有效的发现异常并进行取证溯源。

传统的监测方法只通过采集单一信息来判断文件的变更情况，重点在于对变更操作的动作进行捕获后输出相关操作信息。随着APT攻击的出现，基于单一信息的监测方法难以有效的判断攻击是否发生，本发明提出的基于多维信息关联的监测方法能够对异常操作进行捕获，帮助安全分析人员快速准确的定位异常，为取证溯源提供帮助。

技术实现要素：

本发明要解决的技术问题是提供一种基于多维信息关联的应用系统变更监测方法。

本发明的应用系统变更监测方法，依次包括如下内容：

A、监测代理、监测策略的自动更新，定时从服务端获取代理更新文件、策略更新文件；

B、对监测代理的安装目录及运行进程进行自保护，防止安装目录文件被篡改和运行进程被终止；

C、实时监测系统源文件变更情况，当出现文件增删、修改、替换、重命名等操作时，对变更前后的文件指纹进行比较，记录操作详细信息和结果，进入步骤D；

D、在步骤C之后，获取当前操作账户、操作进程及网络信息，对所获得的信息进行关联以确认其合规性。若违背安全策略，则输出告警，进入步骤E；

E、通过Webservice接口将步骤D中输出的告警传输至数据处理单元，进入步骤F；

F、接收监测代理传输的告警日志，对所接收到的数据进行格式归一化后，进入步骤G；

G、通过多种视图对监测结果进行呈现，包括告警数量统计、告警级别统计、告警资产统计、实时告警统计与显示等；

H、提供对资产、策略、基准库等信息的管理功能。

本发明的方法中步骤C对文件操作进行实时的触发式监测，监测到变更操作时比较变更前后的文件指纹。当发现变更成功后精确监测变更操作的类型，如新增、删除、修改、替换、重命名等，并进行详细记录。

本发明的方法中步骤D在监测到文件发生变更后，实时获取引起变更的账户、进程和网络信息，通过关联分析及同基准库数据的比对来确认操作的合规性，能够有效的为异常违规的溯源取证提供技术支持。

采用本发明能够有效对上线运行的应用系统完整性进行监测，在发现系统文件变更的时候及时告警并提供取证溯源信息。

附图说明

图1为本发明的基于多维信息关联的应用系统变更监测方法的结构框图；

图2为本发明的基于多维信息关联的应用系统变更监测方法的流程图；

图3为本发明进行多维信息关联分析的流程图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加简明易懂，下面结合附图和具体实施方式对本发明进行进一步的说明。

实施例1

图1为本发明的基于多维信息关联的应用系统变更监测方法的结构框图，从图1中可以看出。

本发明的结构框图中，自动更新单元101用于监测代理的软件升级、监测策略更新，其通过定时查询的方式从服务器端获取相关文件。自保护单元102对监测代理的安装目录和运行进程进行保护，防止其他进程非法修改。实时监测单元103用于对应用系统源文件进行监测，若文件发生变化，则对操作结果进行记录。关联分析单元104在实时监测单元发现系统源文件发生变更后，采集当前账户、操作进程、网络通信的信息，通过关联分析输出告警日志。数据通信单元105用于完成监测代理与服务端系统之间的数据通信，对于结构化数据通过WebService接口调用的方式完成，非结构化数据采用Socket进行数据传输。数据处理单元106用于对监测代理产生的日志进行处理，包括序列化、预处理及数据存储。结果呈现单元107用于对监测结果进行呈现，包括对监测告警的统计展示、应用系统安全状态显示等。监测管理单元108用于对基准库、应用系统信息、人员等进行管理。

实施例2

图2为本发明专利申请的基于多维信息关联的应用系统变更监测方法的流程图，本发明的基于多维信息关联的应用系统变更监测方法的流程包括以下步骤：

步骤201：启动更新与防护程序，实时监测代理是否启动以及是否需要更新。

步骤202：步骤201中，若监测代理未启动，则执行步骤205；若监测代理已启动，则定时监测启动状态。

步骤203：步骤201中，若有文件需要更新，则执行步骤204；若没有文件需要更新，则定时检测更新情况。

步骤204：关闭代理并暂停监测代理开启，下载更新文件，更新完成后执行步骤205。

步骤205：启动监测代理。

步骤206：从本地加载策略文件和基准文件。

步骤207：判断是否需要上传基准文件

步骤208：步骤207中，若需要上传基准文件，则对应用系统进行扫描，建立基准文件数据并上传至数据库。

步骤209：步骤207中，若不需要上传基准文件或步骤208已经完成，则实时监控应用系统文件。

步骤210：步骤209执行过程中，定时建立运行日志并上传至数据库。

步骤211：步骤209执行过程中，若发生文件变更事件，执行步骤212；若没有发生文件变更事件，则重复步骤209。

步骤212：生成报警日志并上传至数据库，完成后重复步骤209。

实施例3

图3为本发明的本发明进行多维信息关联分析的流程图，从图3中可以看出，本发明进行多维信息关联分析的流程包括

步骤301：执行对文件状态的监测，包括对文件的新增、打开、读取、重命名、修改、删除等；

步骤302：判断文件状态是否变更，如变更则执行步骤303，否则执行步骤301；

步骤303：若文件状态发生变更，则获取当前账户信息；

步骤304：判断当前账户是否为非授权账户，如果是非授权账户则进入步骤305，否则进入步骤306；

步骤305：产生告警信息，并增加告警级别；

步骤306：获取当前对文件进行操作的进程信息；

步骤307：判断当前进程是否为非法进程，如果是非法进程则执行步骤308，否则执行步骤309；

步骤308：增加操作进程信息，增加告警级别；

步骤309：获取当前操作进程的网络通信情况；

步骤310：判断当前进程是否发生网络通信，若存在网络通信则执行步骤311，否则执行步骤312；

步骤311：增加操作进行的网络通信情况，包括连接的IP、端口、协议等信息，同时增加告警级别。

步骤312：输出关联告警信息。

需要说明的是，对于前述的各方法实施例，为了便于理解，将其表述为一系列动作的组合，但是本领域技术人员应该知悉，本发明并不完全受到所描述动作顺序的限制，某些步骤可以同时进行。

以上对本发明所提供的一种基于多维信息关联的应用系统变更监测方法进行了详细的介绍，本发明的优点在于，能够有效监测应用系统的安全状态，对违规行为进行告警并帮助管理员对安全事件进行溯源取证，故可用于实际的软件或系统中。综上所述，以上具体实施方式仅用于说明本发明，而不应该被理解为对本发明的限制。