一种用户访问应用的行为审计数据的采集方法与流程

【技术领域】

本发明涉及审计和通信技术领域，尤其涉及一种用户访问应用的行为审计数据的采集方法。

背景技术：

在公安行业内，应用服务的访问是基于证书登录访问的，基于https应用服务被访问的审计信息采集，一般是在应用服务层面进行审计的。当前的审计模式下，全国应用服务改造代价大，各应用服务审计数据的格式存在差异，应用改造事宜、监管实施的难度都很大。

目前，对于终端用户的行为审计，有两种技术：一种是通过服务端进行审计，但此种方式涉及每个应用服务器的改造，涉及面广且审计数据格式应用不统一；还有一种是基于客户端的统计，在客户端传输层进行数据抓取和分析，获取审计数据，但此种方式对于http应用的访问可实现审计，但对于https应用的访问，抓取到的是加密数据，无法用于审计。

因此，有必要设计一种新的用户访问应用的行为审计数据的采集方法，以解决或减轻上述一个或多个问题。

技术实现要素：

有鉴于此，本发明提供了一种用户访问应用的行为审计数据的采集方法，能够获得格式统一且完整的审计数据，无需对应用进行改造，仅需对客户端进行软件更新，避免了对应用进行改造的大工作量。

一方面，本发明提供一种用户访问应用的行为审计数据的采集方法，其特征在于，所述采集方法从终端数据展示层抓取数据，用于实现用户访问应用的行为审计数据的采集。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述采集方法的具体步骤包括：

s1、启动浏览器；

s2、加载审计dll；

s3、审计dll等待https的请求和响应；

s4、获取窗口内容；

s5、获取数字证书信息、客户端地址信息和当前时间信息；

s6、根据s4中获取的数据和s5中获取的数据，生成用户访问应用的行为审计信息；

s7、将所述行为审计信息上报到审计系统进行审计。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述s2中加载审计dll时把审计dll文件注入到要监控的浏览器进程中。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述审计dll监控所有浏览器窗口中为https协议的交互窗口。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述审计dll监控的内容包括ie窗口的创建与销毁。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，在进行s3之前需用户插入数字证书，并发起https请求。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述s4中的窗口内容包括：https请求的html内容和返回的html内容。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述s5中的数字证书信息包括数字证书中的人员信息。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述s5中的客户端地址信息包括pc的ip和mac。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，对ie窗口的创建进行监控时往创建的ie窗口上挂载侦听器；对ie窗口的销毁进行监控时从要销毁的ie窗口上卸载侦听器。

与现有技术相比，本发明可以获得包括以下技术效果：仅对客户端进行改造就获得格式统一的审计数据，避免了对应用进行改造的大工作量和审计数据不统一造成的不便；能够实现用户访问应用系统的输入和查询数据的精确审计，无需应用改造，解决了公安应用访问审计需要进行应用改造的难题。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有技术效果。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明一个实施例提供的用户访问应用的行为审计数据的采集方法的流程图。

【具体实施方式】

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

本发明为了解决现有技术的不足，从终端数据展示层进行数据抓取，实现用户访问应用系统的输入和查询数据的精确审计，无需应用改造，解决了公安应用访问审计需要进行应用改造的难题。终端数据展示层指的是用户端浏览器展示数据的环节，本发明从该环节切入，进行审计数据的抓取。

本发明的难点在于基于pc端实现用户在使用浏览器进行https访问时界面输入输出信息的获取和用户pc安装审计模块两方面，这两个问题解决后，可实现用户访问应用行为的精确审计，新增应用也无需进行审计改造。

本发明提供了一种基于pc端用户访问应用的行为审计技术，在公安网中，用户访问https应用，所有的用户行为信息和查看的内容均需进行审计。利用windows的钩子机制，实现审计的dll，用钩子拦截用户在浏览器上进行的与应用服务的交互数据。windowshook注入dll文件到各个浏览器进程中，先把审计dll文件注入到所有进程中。

在浏览器启动时，进入监控流程，加载审计dll文件，把审计dll文件注入到要监控的浏览器进程中，审计dll监控所有浏览器窗口中为https协议的交互窗口，包括ie窗口的创建与销毁，dll等待https请求和响应；往创建的ie窗口上挂载侦听器/从要销毁的ie窗口上卸载侦听器，获取https请求的html内容和请求返回的html内容。

将获取的窗口内容，结合获取到的当前插在电脑上的数字证书信息(包括其中的人员信息)、当前环境(即当前pc)的地址信息(包括ip和mac)、时间信息组合成完整的用户访问应用的行为审计消息，并上报给服务器上的证书应用审计系统。该审计消息中有用户输入的信息、获取到的查询结果，结合起来则形成用户行为的记录信息。用户输入的信息为用户通过浏览器访问应用系统时，浏览器界面中查询页面上用户输入的信息。获取到的查询结果为用户通过浏览器访问应用系统，应用系统返回给浏览器展示的结果数据。

图1为本发明一个实施例提供的用户访问应用的行为审计数据的采集方法的流程图。如图1所示，用户访问应用的行为审计数据的采集方法的具体步骤包括：

步骤1、启动浏览器；

步骤2、加载审计dll；

步骤3、dll等待https的请求和响应；

在步骤3进行之前需用户插入数字证书，并发起https请求；

步骤4、获取https请求的html内容；

步骤5、获取返回的html内容；

步骤6、获取数字证书中的人员信息、客户端地址信息(pc的ip和mac)、当前时间信息；

步骤7、生成完整的用户访问应用的行为审计信息；

步骤8、上报用户访问https应用的行为审计信息。

本申请将审计功能集成在公安数字证书驱动中，用户在使用数字证书前，都要安装公安数字证书驱动，用户使用数字证书的操作保持不变，即可完成审计信息抓取和上报的功能，审计的实现于业务系统完全解耦合。同时审计数据由客户端统一上报，格式统一，便于上层进行统一的审计数据查询。

本发明仅仅涉及客户端软件更新，不需要对应用其进行改造，解决了应用其改造工作量大、审计数据格式不一致、审计数据不完整等问题。需要说明的是，现有技术中审计数据不完整的原因是用户行为没有被审计。

以上对本申请实施例所提供的一种用户访问应用的行为审计数据的采集方法，进行了详细介绍。以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

如在说明书及权利要求书当中使用了某些词汇来指称特定组件。本领域技术人员应可理解，硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求书并不以名称的差异来作为区分组件的方式，而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求书当中所提及的“包含”、“包括”为一开放式用语，故应解释成“包含/包括但不限定于”。“大致”是指在可接收的误差范围内，本领域技术人员能够在一定误差范围内解决所述技术问题，基本达到所述技术效果。说明书后续描述为实施本申请的较佳实施方式，然所述描述乃以说明本申请的一般原则为目的，并非用以限定本申请的范围。本申请的保护范围当视所附权利要求书所界定者为准。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的商品或者系统中还存在另外的相同要素。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

上述说明示出并描述了本申请的若干优选实施例，但如前所述，应当理解本申请并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述申请构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围，则都应在本申请所附权利要求书的保护范围内。