一种信息审计方法及装置与流程

本发明涉及信息安全技术领域，特别是涉及一种信息审计方法及装置。

背景技术：

随着信息技术的快速发展，数据信息的传输速度越来越快，网络应用也随之增多，例如：网络应用包括论坛、邮件、聊天工具、视频、直播平台等。为了保障网络信息的安全性，对网络信息进行审计成为必不可少的环节。

相关的审计方法中，预先进行特征分析，得到各特征构成的特征库，通过将待审计报文中携带的待审计信息与特征库中的特征逐一进行匹配，若匹配上，则输出审计结果。但网络应用多种多样，使得特征库中的特征难以保证全面覆盖，导致可审计的规模有限。而且如果部分网络应用发生阶段性变化，会引起高概率的错误审计。

技术实现要素：

本发明实施例的目的在于提供一种信息审计方法及装置，以提高可审计的规模、降低错误审计的概率。具体技术方案如下：

第一方面，本发明实施例提供了一种信息审计方法，所述方法包括：

获取待审计报文，其中，所述待审计报文中携带有待审计信息和应用标识；

根据所述应用标识，确定所述待审计报文所属应用类型对应的第一审计模板，其中，所述第一审计模板包括所述应用类型对应的审计特征；

获取所述待审计信息，并将所述待审计信息与所述第一审计模板的审计特征进行匹配，若所述待审计信息能够匹配所述第一审计模板的审计特征，则根据匹配结果，确定审计结果。

第二方面，本发明实施例提供了一种信息审计装置，所述装置包括：

获取模块，用于获取待审计报文，其中，所述待审计报文中携带有待审计信息和应用标识；

确定模块，用于根据所述应用标识，确定所述待审计报文所属应用类型对应的第一审计模板，其中，所述第一审计模板包括所述应用类型对应的审计特征；

匹配模块，用于获取所述待审计信息，并将所述待审计信息与所述第一审计模板的审计特征进行匹配，若所述待审计信息能够匹配所述第一审计模板的审计特征，则根据匹配结果，确定审计结果。

第三方面，本发明实施例提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使执行本发明实施例第一方面所述的任一方法步骤。

第四方面，本发明实施例提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行本发明实施例第一方面所述的任一方法步骤。

本发明实施例提供的一种信息审计方法及装置，通过获取待审计报文，根据待审计报文中携带的应用标识，确定待审计报文所属应用类型对应的第一审计模板，将待审计报文中携带的待审计信息与第一审计模板的审计特征进行匹配，若待审计信息能够匹配第一审计模板的审计特征，则根据匹配结果，确定审计结果。基于应用标识可以确定待审计报文所属的应用类型，同一个应用类型下可能有多个网络应用，但是这些网络应用由于属于同一应用类型，它们的审计模板相同，因此，通过应用类型的确定，可以对相同应用类型的多个应用的信息进行审计，故提高了可审计的规模。并且，在同一个应用类型下，即便应用发生变化，由于第一审计模板固定，则仍然可以审计出待审计报文所属的应用类型，降低了错误审计的概率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例的信息审计方法的流程示意图；

图2为本发明另一实施例的信息审计方法的流程示意图；

图3为本发明实施例的信息审计装置的结构示意图；

图4为本发明实施例的电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了提高可审计的规模、降低错误审计的概率，本发明实施例提供了一种信息审计方法、装置及电子设备。

下面，首先对本发明实施例所提供的一种信息审计方法进行介绍。

本发明实施例所提供的信息审计方法的执行主体可以为网关、网络监控器、网络服务器等电子设备，该电子设备可以与用户终端连接，以审核用户终端传输的网络信息，本发明实施例所提供的信息审计方法可以被设置于执行主体中的软件、硬件电路、逻辑电路、处理器中的至少一种执行实现。

如图1所示，本发明实施例所提供的一种信息审计方法，可以包括如下步骤。

S101，获取待审计报文。

其中，待审计报文中携带有待审计信息和应用标识。用户终端(例如企业员工的个人计算机、手机等)在访问网络应用(例如论坛、邮件、聊天工具、视频、直播平台)时，会生成相应的待审计报文，例如，用户通过用户终端在论坛上发帖时，用户终端会生成携带发帖信息的待审计报文，电子设备可以获取该待审计报文。用户终端在访问网络应用同时，会生成包含有待审计报文的互联网报文，电子设备可以利用识别引擎检测经过该电子设备的互联网报文，根据网络应用的协议特征从互联网报文中过滤出待审计报文。

待审计报文中携带有待审计信息和应用标识，待审计信息就是需要进行审计的具体内容，应用标识表征了待审计报文所属的应用类型，例如若待审计报文携带着mail标识，则说明待审计报文属于邮件类型；若待审计报文携带着post\discuss标识，则说明待审计报文属于交流类型的论坛。

S102，根据应用标识，确定待审计报文所属应用类型对应的第一审计模板。

其中，第一审计模板包括应用类型对应的审计特征。由于应用标识表征了待审计报文所属的应用类型，不同的网络应用可能属于同一应用类型，它们的通用特征相同，例如，在论坛中，交流类型的论坛可能都采用discuss模板，则采用discuss模板的论坛都具有discuss模板的特征。故可知，第一审计模板包括了同一应用类型的多个网络应用的所有通用特征。

同一应用类型对应一个第一审计模板，该第一审计模板中的审计特征固定，例如第一行为主题名称、第四行为发帖内容、第八行为发送按键等。以论坛为例，论坛作为网络应用，包括有专题类型的论坛、教学类型的论坛、推广类型的论坛、交流类型的论坛等，每一种类型的论坛下又包括多个不同域名的论坛，针对同一种类型的多个论坛，它们的通用特征相同，一种类型的论坛对应的第一审计模板就是基于该类型的各论坛的通用特征建立的。因此，对于同一种类型的多个论坛，对应了唯一的第一审计模板。

待审计报文携带有用户通过用户终端访问网络应用的应用标识，例如，待审计报文中携带有post\discuss标识，可以确定待审计报文所属应用类型为交流类型的论坛。待审计报文还携带有待审计信息，如所访问的论坛域名、主题名称、发帖内容等。

S103，获取待审计信息，并将待审计信息与第一审计模板的审计特征进行匹配，若待审计信息能够匹配第一审计模板的审计特征，则根据匹配结果，确定审计结果。

由于待审计报文中携带有待审计信息，可以从待审计报文中直接提取待审计信息，待审计信息为待审计报文中需要参与审计的部分或全部信息。

待审计信息与第一审计模板的审计特征的匹配过程，可以是将待审计信息的特征与第一审计模板的审计特征逐个进行比对，判断待审计信息的特征是否与第一审计模板的审计特征均相同，如果均相同则说明匹配成功。否则，说明匹配失败。

如果匹配成功，则根据匹配结果，确定审计结果。待审计报文中携带着待审计信息的具体变量，审计结果即为具体变量的内容，基于审计结果可以判定待审计报文中是否携带有机密、敏感信息，如果有机密、敏感信息，则阻断用户终端继续访问该网络应用；审计结果还可以包括对网络应用对应的网站地址等信息的访问权限，如果审计结果为限制访问某些网络应用对应的网站地址，则可以阻断用户终端对该网站地址的访问。在这里，网络应用对应的网站地址，可以是能够获取该网络应用的网站地址或包含网络应用关键字的网站地址，例如，针对xxBBS网络应用，可以通过网站地址http://bbs.xx.com/获取xxBBS，同时网站地址http://bbs.xx.cn/包含网络应用关系字xx，若审计结果为限制访问网站地址，则阻断用户终端对http://bbs.xx.com/、http://bbs.xx.cn/的访问。

如果待审计信息不能够匹配第一审计模板的审计特征，则说明待审计报文所属应用类型不是常见的应用类型，针对这种情况，可以针对这一类应用的各特征构建预设特征库，然后基于预设特征库进行审计。

可选的，该信息审计方法还可以包括：

若待审计信息不能够匹配第一审计模板的审计特征，则将待审计信息与预设特征库的审计特征分别进行匹配，其中，预设特征库用于存储各应用对应的审计特征集合；

根据匹配结果，确定审计结果。

如果第一审计模板的审计特征匹配不上待审计信息，则说明待审计报文所属的应用类型不常见或为全新的，这样，可以到预设特征库中进行匹配，预设特征库为存储各应用类型及网络应用对应的审计特征集合，预设特征库中存储了更为详细的网络应用的审计特征，从而能够提高审计的准确性。

可选的，S103具体可以为：

从待审计信息中提取待审计特征；

判断第一审计模板的审计特征与待审计特征中相同位置的特征是否相同；

若相同，则判定待审计信息能够匹配第一审计模板的审计特征。

第一审计模板中的审计特征为同一应用类型的网络应用的通用特征，规定了各审计特征在第一审计模板中的具体位置，因此，可以按照各审计特征在第一审计模板中的位置，从待审计信息中提取待审计特征，基于该待审计特征在待审计信息中的位置，到第一审计模板中查找相同位置的审计特征，判断查找到的审计特征与待审计信息中提取的待审计特征是否相同，若相同，则确定待审计信息能够匹配第一审计模型的审计特征。

由于第一审计模板的审计特征为基于同一应用类型的网络应用的通用特征建立的审计模板，通用特征仅仅为待审计报文中待审计信息的部分特征，每一次只需待审计报文中的部分待审计信息进行匹配，提高了审计效率。针对待审计报文，只需要匹配与第一审计模板的审计特征相应的待审计信息中的特征，对于其他特征，可以允许发生变化，从而提高了可审计的规模。

下面，以论坛为例，对本发明实施例所提供的信息审计方法进行简单说明。待审计报文携带的应用标识为post\discuss，则确定待审计报文所述应用类型为交流类型的论坛，待审计报文中待审计信息的第一行为主题名称、第五～八行为发帖内容、第十二行为发送按键，而交流类型的论坛对应的第一审计模板的审计特征也是第一行为主题名称、第五～八行为发帖内容、第十二行为发送按键，则确定待审计信息与第一审计模板的审计特征匹配，则可以直接输出审计结果：待审计信息的主题名称、发帖内容等信息中没有敏感或机密数据，允许发帖。

应用本实施例，通过获取待审计报文，根据待审计报文中携带的应用标识，确定待审计报文所属应用类型对应的第一审计模板，将待审计报文中携带的待审计信息与第一审计模板的审计特征进行匹配，若待审计信息能够匹配第一审计模板的审计特征，则根据匹配结果，确定审计结果。基于应用标识可以确定待审计报文所属的应用类型，同一个应用类型下可能有多个网络应用，但是这些网络应用由于属于同一应用类型，它们的审计模板相同，因此，通过应用类型的确定，可以对相同应用类型的多个应用的信息进行审计，故提高了可审计的规模。并且，在同一个应用类型下，即便应用发生变化，由于第一审计模板固定，则仍然可以审计出待审计报文所属的应用类型，降低了错误审计的概率。

如图2所示，本发明实施例还提供了一种信息审计方法，该信息审计方法可以包括如下步骤。

S201，获取待审计报文，其中，待审计报文中携带有待审计信息和应用标识。

S202，获取匹配启动指令，若匹配启动指令为模糊匹配指令，则执行S203，若匹配启动指令为精确匹配指令，则执行S206。

在电子设备的审计启动网络界面上可以设置一个审计启动开关，该审计启动开关用于切换模糊匹配和精确匹配，在启动匹配时，会生成相应的匹配启动指令。开关位于模糊匹配侧时，所生成的匹配启动指令为模糊匹配指令；开关位于精确匹配侧时，所生成的匹配启动指令为精确匹配指令。通过设置审计启动开关，可以灵活的实现精确匹配和模糊匹配的切换，令审计人员可以有更为灵活的选择。当然，匹配启动指令还可以是审计人员通过软件驱动等方式在电子设备上设置的。

匹配启动指令包括模糊匹配指令和精确匹配指令，如果匹配启动指令为模糊匹配指令，则基于应用类型对应的第一审计模板进行特征匹配；如果匹配启动指令为精确匹配指令，则直接通过预设特征库进行匹配。

S203，根据应用标识，确定待审计报文所属应用类型对应的第一审计模板，其中，第一审计模板包括应用类型对应的审计特征。

详细的匹配过程见图1所示实施例，这里不再赘述。

S204，获取待审计信息，并将待审计信息与第一审计模板的审计特征进行匹配，若待审计信息能够匹配第一审计模板的审计特征，则执行S205，否则执行S206。

S205，根据匹配结果，确定审计结果。

S206，将待审计信息与预设特征库的审计特征分别进行匹配，并根据匹配结果，确定审计结果，其中，预设特征库用于存储各应用对应的审计特征集合。

部分网络应用可能不是完全按照固定类型模板创建的，其特征的排布与传统的应用类型模板有明显差别，针对这一类网络应用，可以对各应用逐个提取特征，对特征进行整合得到预设特征库。针对不完全按照固定类型模板创建的网络应用，可以通过匹配预设特征库的方式对待审计报文进行审计，待审计信息与预设特征库的审计特征进行匹配的方式就是将待审计信息的各特征按序逐个与预设特征库中一应用的各特征进行匹配，若都匹配上，则说明待审计信息与该应用的各特征相匹配。

通过第一审计模板和预设特征库相结合的审计方式，可以增大审计范围。先利用具有通用特征的第一审计模板对待审计报文携带的待审计信息进行匹配，然后利用预设特征库对不能与通用特征的第一审计模板匹配的待审计信息进行匹配，基于不同的网络应用进行区别审计，提高了审计的多样性，并且由于不完全按照应用类型模板创建的网络应用属于少数，只有极少数的待审计信息需要与预设特征库进行匹配，可以提高审计的效率和性能。

如果待审计信息不能够匹配第一审计模板的审计特征，也不能够匹配预设特征库的审计特征，则可以针对携带该待审计信息的待审计报文，补充预设特征库中的特征。

应用本实施例，通过获取待审计报文，根据待审计报文中携带的应用标识，确定待审计报文所属应用类型对应的第一审计模板，将待审计报文中携带的待审计信息与第一审计模板的审计特征进行匹配，若待审计信息能够匹配第一审计模板的审计特征，则根据匹配结果，确定审计结果。基于应用标识可以确定待审计报文所属的应用类型，同一个应用类型下可能有多个网络应用，但是这些网络应用由于属于同一应用类型，它们的审计模板相同，因此，通过应用类型的确定，可以对相同应用类型的多个应用的信息进行审计，故提高了可审计的规模。并且，在同一个应用类型下，即便应用发生变化，由于第一审计模板固定，则仍然可以审计出待审计报文所属的应用类型，降低了错误审计的概率。

此外，本实施例通过第一审计模板和预设特征库相结合的审计方式，可以增大审计的范围。先利用具有通用特征的第一审计模板对待审计报文携带的待审计信息进行匹配，然后利用预设特征库对不能与通用特征的第一审计模板匹配的待审计信息进行匹配，基于不同的网络应用进行区别审计，提高了审计的多样性，并且由于不完全按照应用类型模板创建的网络应用属于少数，只有极少数的待审计信息需要与预设特征库进行匹配，可以提高审计的效率和性能。

相应于上述方法实施例，本发明实施例提供了一种信息审计装置，如图3所示，该信息审计装置可以包括：

获取模块310，用于获取待审计报文，其中，所述待审计报文中携带有待审计信息和应用标识；

确定模块320，用于根据所述应用标识，确定所述待审计报文所属应用类型对应的第一审计模板，其中，所述第一审计模板包括所述应用类型对应的审计特征；

匹配模块330，用于获取所述待审计信息，并将所述待审计信息与所述第一审计模板的审计特征进行匹配，若所述待审计信息能够匹配所述第一审计模板的审计特征，则根据匹配结果，确定审计结果。

可选的，所述匹配模块330，还可以用于：

若所述待审计信息不能够匹配所述第一审计模板的审计特征，则将所述待审计信息与预设特征库的审计特征分别进行匹配，其中，所述预设特征库用于存储各应用对应的审计特征集合；根据匹配结果，确定审计结果。

可选的，所述获取模块310，还可以用于获取匹配启动指令；

所述确定模块320，具体可以用于若所述匹配启动指令为模糊匹配指令，则执行所述根据所述应用标识，确定所述待审计报文所属应用类型对应的第一审计模板。

可选的，所述匹配模块330，还可以用于：

若所述匹配启动指令为精确匹配指令，则将所述待审计信息与预设特征库的审计特征分别进行匹配，其中，所述预设特征库用于存储各应用对应的审计特征集合；根据匹配结果，确定审计结果。

可选的，所述匹配模块330，具体可以用于：

从所述待审计信息中提取待审计特征；

判断所述第一审计模板的审计特征与所述待审计特征中相同位置的特征是否相同；

若相同，则判定所述待审计信息能够匹配所述第一审计模板的审计特征。

应用本实施例，通过获取待审计报文，根据待审计报文中携带的应用标识，确定待审计报文所属应用类型对应的第一审计模板，将待审计报文中携带的待审计信息与第一审计模板的审计特征进行匹配，若待审计信息能够匹配第一审计模板的审计特征，则根据匹配结果，确定审计结果。基于应用标识可以确定待审计报文所属的应用类型，同一个应用类型下可能有多个网络应用，但是这些网络应用由于属于同一应用类型，它们的审计模板相同，因此，通过应用类型的确定，可以对相同应用类型的多个应用的信息进行审计，故提高了可审计的规模。并且，在同一个应用类型下，即便应用发生变化，由于第一审计模板固定，则仍然可以审计出待审计报文所属的应用类型，降低了错误审计的概率。

本发明实施例还提供了一种电子设备，如图4所示，包括处理器401和机器可读存储介质402，所述机器可读存储介质402存储有能够被所述处理器401执行的机器可执行指令，所述处理器401被所述机器可执行指令促使执行本发明实施例提供的信息审计方法的所有步骤。

上述计算机可读存储介质可以包括RAM(Random Access Memory，随机存取存储器)，也可以包括NVM(Non-volatile Memory，非易失性存储器)，例如至少一个磁盘存储器。可选的，计算机可读存储介质还可以是至少一个位于远离前述处理器的存储装置。

上述处理器可以是通用处理器，包括CPU(Central Processing Unit，中央处理器)、NP(Network Processor，网络处理器)等；还可以是DSP(Digital Signal Processor，数字信号处理器)、ASIC(Application Specific Integrated Circuit，专用集成电路)、FPGA(Field-Programmable Gate Array，现场可编程门阵列)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本实施例中，处理器401通过读取机器可读存储介质402中存储的机器可执行指令，被机器可执行指令促使能够实现：通过获取待审计报文，根据待审计报文中携带的应用标识，确定待审计报文所属应用类型对应的第一审计模板，将待审计报文中携带的待审计信息与第一审计模板的审计特征进行匹配，若待审计信息能够匹配第一审计模板的审计特征，则根据匹配结果，确定审计结果。基于应用标识可以确定待审计报文所属的应用类型，同一个应用类型下可能有多个网络应用，但是这些网络应用由于属于同一应用类型，它们的审计模板相同，因此，通过应用类型的确定，可以对相同应用类型的多个应用的信息进行审计，故提高了可审计的规模。并且，在同一个应用类型下，即便应用发生变化，由于第一审计模板固定，则仍然可以审计出待审计报文所属的应用类型，降低了错误审计的概率。

另外，为了提高可审计的规模、降低错误审计的概率，本发明实施例提供了一种机器可读存储介质，存储有机器可执行指令，在被处理器调用和执行时，所述机器可执行指令促使所述处理器执行本发明实施例所提供的信息审计方法的所有步骤。

本实施例中，机器可读存储介质在运行时执行本发明实施例所提供的信息审计方法的机器可执行指令，因此能够实现：通过获取待审计报文，根据待审计报文中携带的应用标识，确定待审计报文所属应用类型对应的第一审计模板，将待审计报文中携带的待审计信息与第一审计模板的审计特征进行匹配，若待审计信息能够匹配第一审计模板的审计特征，则根据匹配结果，确定审计结果。基于应用标识可以确定待审计报文所属的应用类型，同一个应用类型下可能有多个网络应用，但是这些网络应用由于属于同一应用类型，它们的审计模板相同，因此，通过应用类型的确定，可以对相同应用类型的多个应用的信息进行审计，故提高了可审计的规模。并且，在同一个应用类型下，即便应用发生变化，由于第一审计模板固定，则仍然可以审计出待审计报文所属的应用类型，降低了错误审计的概率。

对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备及机器可读存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。