一种用户网络行为审计装置及方法

专利名称：：一种用户网络行为审计装置及方法
技术领域：
：本发明涉及网络审计技术，尤其涉及一种用户网络行为审计装置及方法。
背景技术：
：用户网络行为审计是通过网络中各设备的日志获取用户的上网信息，进而对用户的应用行为进^f亍监控审计，其中，应用行为包括访问网站和浏览网页、收发邮件、上传和下载、即时通信、聊天、论坛、远程终端访问Tdnet等；上网信息包括外网信息、内网信息、认证信息和用户信息四类信息。目前，网络中各设备只能记录与设备自身运行相关的上网信息，不存在可以记录用户一次应用行为的完整上网信息的设备，例如，用于用户带宽的IP/ATM网数据接入的宽带接入服务器(BRAS，BroadbandRemoteAccessServer)仅能记录属于外网信息的BRAS日志，用于分配客户端TCP/IP的动态主机分配协议(DHCP,DynamicHostConfigurationProtocol)设备仅能记录属于内网信息的DHCP日志；这样，当网络管理者已知用户一次应用行为的部分上网信息，该部分已知的上网信息属于外网信息、内网信息、认证信息和用户信息中的一类，需要查询用户该次上网行为的部分或全部其余的上网信息时，如果所需要查询的上网信息与已知的上网信息属于同一类信息，查询记录该类信息的设备即可；但如果所需要查询的上网信息与已知的上网信息不属于同一类信息，则查询人员需要进行如下操作步骤1、确定已知信息所属信息类型，并在记录该类信息的设备上输入已知信息，来获得包含已知信息的日志记录；确定所需查询上网信息所属信息类型、以及记录该类型信息的设备；步骤2、确定所述包含已知信息的日志记录的字段与所确定设备的日志的7字段中是否含有相同字段，如果含有，执行步骤3;如果不含有，执行步骤4;步骤3、将所述包含已知信息的日志记录中所述相同字段上的元素作为连接条件，并在所确定设备中输入所述连接条件，来获取包含所述连接条件的日志记录，即得到所需查询上网信息，结束当前流程；步骤4、确定与所述包含已知信息的日志记录和所确定设备的日志均有相同字段的信息类型，并将该确定的信息类型与所述包含已知信息的日志记录的相同字段作为第一字段，所述包含已知信息的日志记录中第一字段上的元素作为第一连接条件，在记录所确定信息类型信息的设备中输入第一连接条件，来获取包含第一连接条件的日志记录；步骤5、将该确定的信息类型与所确定设备的日志的相同字段作为第二字段，将所述包含第一连接条件的日志记录中第二字段上的元素作为第二连接条件，在所确定i殳备中输入所述第二连接条件，来获取包含所述第二连接条件的日志记录，即得到所需查询上网信息；如果所需查询上网信息包含多个信息类型的信息，需要重复进行步骤2~5的操作，对各信息类型分别查询，然后还需要连接有时间交集的两个或多个记录，并合并记录中的相同项，进而得到所需查询上网信息。上述整个揭:作过程非常繁杂，且均由人工完成，工作量极大，极为费时费力，尤其短时间内需要完成大量上网信息的查询时，由于查询人员时间、体力等因素的限制，4艮难保证查询质量。
发明内容有鉴于此，本发明的主要目的在于提供一种用户网络行为审计装置及方法，能够实现上网信息的自动查询。为达到上述目的，本发明的技术方案是这样实现的一种用户网络行为审计装置，该装置包括设置模块，用于预先分别为各日志类型设置对应的审计字段集；并用于预先设置各日志类型间的连接字段；过滤模块，用于获取出各设备的日志记录；并用于冲艮据所获取日志记录所属曰志类型对应的审计字段集过滤该日志记录，得到审计日志记录并存储在该曰志记录所属设备对应的审计日志内；输入模块，用于输入查询条件；查询模块，用于根据所述查询条件和所设置的各日志类型间的连接字段，查询各所述审计日志，获得所需要查询的上网信息。进一步地，该装置进一步包括索？1模块，用于分别为各设备的审计日志设置索引并存储在预先设置的该设备对应的审计日志内。进一步地，所述查询条件包括已知审计信息、已知审计信息所属的日志类型，以及目标日志类型集；相应的，所述查询模块包括管理4莫块，用于确定目标日志类型集中是否存在未取出过的目标日志类型；并用于为存在未取出过的目标日志类型时取出一个目标日志类型集中未取出过的目标日志类型并发送至第一确定才莫块、为不存在未取出过的目标日志类型时命令连接合并模块对各结果记录集中记录时间存在交集的审计日志记录进行连接和并合；第一确定模块，用于确定已知审计信息所属的日志类型与所取出目标日志类型是否相同，并用于确定结果为相同时命令第一查询模块查询包含已知审计信息的审计日志记录、确定结果为不同时命令第二确定模块确定已知审计信息所属的日志类型和所取出目标日志类型之间是否存在连接字段；第一查询模块，用于查询已知审计信息所属的日志类型所对应各审计曰志中包含已知审计信息的审计日志记录，得到所取出目标日志类型所对应的结果记录集，并通知管理才莫块确定目标日志类型集中是否存在未取出过的目标曰志类型；第二确定模块，用于查询所设置的各日志类型间的连接字段，确定已知审计信息所属的日志类型和所取出目标日志类型之间是否存在连接字段；并用于确定结果为存在连接字段时命令第二查询包含已知审计信息的审计日志记录、确定结果为不存在连接字段时命令第三确定模块确定与已知审计信息所属的日志类型和所取出目标日志类型之间均存在连接字段的日志类型；第二查询才莫块，用于查询已知审计信息所属的日志类型所对应各审计曰志中包含已知审计信息的审计日志记录，并用于根据所述包含已知审计信息的审计曰志记录和所存在的连4妄字^殳，查询所取出目标日志类型所对应各审计曰志，得到所取出目标日志类型所对应的结果记录集，并通知管理模块确定目标日志类型集中是否存在未取出过的目标日志类型；第三确定模块，用于查询所设置的各日志类型间的连接字段，确定与已知审计信息所属的日志类型和所取出目标日志类型之间均存在连接字段的日志类型；第三查询;漠块，用于查询已知审计信息所属的日志类型所对应各审计曰志中包含已知审计信息的审计日志记录，得到第一查询结果；用于4艮据第一查询结果和所确定日志类型与已知审计信息所属的日志类型的连接字段，查询所确定曰志类型所对应各审计日志，得到第二查询结果；并用于根据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标曰志类型所对应的结果记录集，并通知管理模块确定目标日志类型集中是否存在未取出过的目标日志类型；连接合并模块，用于以各结果记录集的审计日志记录中，各日志类型间的连接字段上的元素为连接点，连接记录时间存在交集的所述审计日志记录，并合并连接得到的审计日志记录中的相同字段，得到所需要查询的上网信息并输出。本发明还提供一种用户网络行为审计方法，该方法包括预先分别为各曰志类型设置对应的审计字段集；并预先设置各日志类型间的连接字H获取出各设备的日志记录；根据所获取日志记录所属日志类型对应的审计字段集过滤该日志记录，得到审计日志记录并存储在该日志记录所属设备对应的审计日志内；输入查询条件；根据所述查询条件和所设置的各日志类型间的连4真字段，查询各所述审计日志，获得所需要查询的上网信息。进一步地，该方法进一步包括分别为各设备的审计日志设置索引并存储在在预先设置的该设备对应的审计曰志内。进一步地，所述查询条件包括已知审计信息、已知审计信息所属的日志类型，以及目标日志类型集；相应的，所述查询符合所述查询条件的审计日志记录包括A、由所输入目标日志类型集中取出一个目标日志类型，执行步骤B;B、确定已知审计信息所属的日志类型与所取出目标日志类型是否相同，如果相同，查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，得到所取出目标日志类型所对应的结果记录集，执行步骤F;否则，执行步骤C;C、查询所设置的各日志类型间的连接字段，确定已知审计信息所属的日志类型和所取出目标日志类型之间是否存在连接字段，如果存在，执行步骤D;否则，执行步骤E;D、查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，并根据所述包含已知审计信息的审计日志记录和所存在的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标曰志类型所对应的结果记录集，执行步骤F;E、查询所设置的各日志类型间的连接字段，确定与已知审计信息所属的曰志类型和所取出目标曰志类型之间均存在连接字段的日志类型；查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，得到第一查询结果，并根据第一查询结果和所确定日志类型与已知审计信息所属的日志类型的连接字段，查询所确定日志类型所对应各审计日志，得到第二查询结果；根据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标曰志类型所对应的结果记录集，执行步骤F;F、确定目标日志类型集中是否存在未取出过的目标日志类型，如果不存在，以各结果记录集的审计日志记录中，各日志类型间的连接字段上的元素为连接点，并合并连接得到的审计日志记录中的相同字段，即得到所需要查询的上网信息，结束本次流程；如果存在，取出一个目标日志类型集中未取出过的目标日志类型，返回步骤B。进一步地，所述为各设备的审计日志设置索引为a、分别建立审计日志各字段的值的排序表，并对应字段的各值存储包含该值的审计日志记录的记录号，得到该字^:的索《1文件；b、重复步骤a,直到为各设备的审计日志设置索引。进一步地，所述查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录为确定已知审计信息所属的日志类型所对应各审计日志中，所述已知审计信息所属字段的索引文件；在所确定的索引文件中的排序表中查询已知审计信息，得到已知审计信息对应的记录号；由已知审计信息所属的日志类型所对应各审计日志中，查询所得到的记录号对应的审计日志记录，即得到所述包含已知审计信息的审计日志记录。进一步地，所述^f艮据所述包含已知审计信息的审计日志记录和所存在的连接字段，查询所取出目标日志类型所对应各审计日志为将所述包含已知审计信息的审计日志记录中所存在的连接字段的值作为连接条件；确定所取出目标日志类型所对应各审计日志中，所述连接字段的索引文件；在所确定的索引文件中的排序表中查询连接条件，得到连接条件对应的记录号；由所取出目标日志类型所对应各审计日志中，查询所得到的记录号对应的审计日志记录。进一步地，所述根据第一查询结果和所确定日志类型与已知审计信息所属的日志类型的连接字段，查询所确定日志类型所对应各审计日志为将所述第一查询结果中所确定日志类型与已知审计信息所属的日志类型的连接字段的值作为第一连接条件；确定所确定日志类型所对应各审计日志中，所确定日志类型与已知审计信息所属的日志类型的连接字段的索引文件；在所确定的索引文件中的排序表中查询第一连接条件，得到第一连接条件对应的记录号；由所确定日志类型所对应各审计日志中，查询所述第一连接条件所对应记录号对应的审计日志记录；相应的，所述根据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志为将所述第二查询结果中所确定日志类型与所取出目标日志类型的连接字段的值作为第二连接条件；确定所取出目标日志类型所对应各审计日志中，所确定日志类型与所取出目标日志类型的连接字段的索引文件；在所确定的索引文件中的排序表中查询第二连接条件，得到第二连接条件对应的记录号；由所取出目标日志类型所对应各审计日志中，查询所述第二连接条件所对应记录号对应的审计日志记录。本发明所提供的用户网络行为审计装置及方法，通过存储各设备的完整的审计日志、以及预先设置各日志类型间的连接字段，实现上网信息的自动查询。本发明还具有以下的优点和特点1)通过根据预先设置的各日志类型对应的审计字段集，滤除网络中各设备的曰志记录中的与审计无关的信息后存储，精简了日志信息，提高了存储和查询效率，且标准化了各日志类型的存储格式，有利于扩展新设备；2)根据各网络环境采用的设备类型，为各网络环境设置各日志类型间的连接字段，使得本发明可以实现各种网络中用户上网信息的自动查询；3)通过对所查询出的各结果记录集中的审计日志记录进行连接和合并，可以提供用户应用行为的完整上网信息给网络管理者。图1为本发明实施例用户网络行为审计装置的结构示意13图2为本发明实施例用户网络行为审计装置的查询才莫块结构示意图3为采用本发明用户网络行为审计装置实现用户网络行为审计的流程图。具体实施例方式本发明的基本思想是本发明用户网络行为审计装置根据预先设置的各曰志类型对应的审计字段集，滤除网络中各设备的日志记录中与审计无关的信息后存储，这样，在本发明用户网络行为审计装置中即存储了各设备的完整的审计日志；并根据预先设置各日志类型间的连接字段，自动确定已知审计信息所属的日志类型和目标日志类型之间的连接字段，或自动确定与已知审计信息所属的曰志类型和所取出目标日志类型之间均存在连接字段的曰志类型、以及已知审计信息所属的日志类型和所取出目标日志类型分别与所确定曰志类型的连接字段，进而根据所确定的连接字段，通过已知审计信息查询出目标日志类型集中各目标日志类型所对应的结果记录集。采用本发明用户网络行为审计装置，查询人员输入查询信息后，整个查询过程由本发明用户网络行为审计装置自动完成，大大减轻了查询人员进行查询的工作，且可准确快速的得出查询结果。本发明实施例用户网络行为审计装置的结构如图1所示，包括设置模块过滤模块、输入模块和查询模块；其中，所述设置;f莫块，用于预先分别为各日志类型设置对应的审计字段集，为各设备设置对应的审计日志；并用于预先设置各设备对应的审计日志，并用于预先设置各日志类型间的连接字段；这里，为各日志类型设置对应的审计字段集可以标准化各日志类型的存储格式，有利于扩展新设备，并有助于自动查询上网信息时，连接字段的确定、以及各结果记录集中审计日志记录的连接和合并；其中，所述日志类型包括网络地址转换(NAT,NetworkAddressTranslation)日志、BRAS日志、DHCP日志、认证授权与记费(AAA)日志等；所述NAT日志和BRAS日志属于外网信息，NAT日志对应的审计字段集为{时间、事件ID、目的IP、目的端口、外网IP、外网端口、内网IP、内网端口、协议}，BRAS日志对应的审计字段集为{时间、事件ID、目的IP、目的端口、夕卜网IP、外网端口、内网IP、内网端口、协议、账户};DHCP日志属于内网信息，DHCP日志对应的审计字段集为(时间、事件ID、内网IP、MAC地址、主机名};AAA日志包括AAA认证日志和AAA用户日志，AAA认i正日志属于认证信息，AAA用户日志属于用户信息，AAA认证日志对应的审计字段集为(认证的开始时间、认证的结束时间、内网IP、MAC地址、账号}，AAA用户日志对应的审计字段集为{账号、姓名、身f分证号、电话、住址}。这里，所述连接字段为各日志类型对应的审计字段集中的相同字段，其中，时间和事件ID—般不作为连接字段，即，不同日志类型间，除时间和事件ID外，同时存在于两种日志中的字段可作为连接字段。不同的网络环境采用的设备类型不同，记录用户上网信息的日志类型不同，本设置模块根据各网络环境采用的设备类型，为各网络环境设置各日志类型间的连接字段，使得本发明可以实现各种网络中用户上网信息的自动查询，例如在NAT、BRAS和DHCP混合组网的网络环境中，各日志类型间的连接字段如表1所示<table>tableseeoriginaldocumentpage15</column></row><table>表1在内网IP即为公众网IP的网络环境中，不存在NAT设备，各日志类型间的连接字段如表2所示<table>tableseeoriginaldocumentpage15</column></row><table>BRAS日志AAA用户日志账号DHCP日志AAA认证曰志内网IP或MACi也址AAA认证曰志AAA用户日志账号表2使用静态IP的网络环境中，不存在DHCP设备，各日志类型间的连接字段如表3所示曰志类型1曰志类型2连接条件BRAS日志AAA认证日志内网IP或贝长号BRAS日志AAA用户日志账号NAT日志AAA认证曰志内网IPAAA认证日志AAA用户日志账号表3所述过滤模块，用于获取各设备的日志记录；并用于根据所获取日志记录所属日志类型对应的审计字段集过滤该日志记录，得到审计日志记录并存储在该日志记录所属设备对应的审计日志内；其中，具体的过滤方法为将各日志类型对应的审计字段集的元素，作为该日志类型日志所属各设备对应的审计日志所包含的字段，去除所获取各设备的日志记录中该设备所对应审计日志中所不存在的字段的值，即得到该设备的审计日志记录；这里，通过过滤模块过滤掉了日志记录中审计字段集的字段对应元素以外的信息，精简了日志信息，提高了存储和查询效率。所述输入模块，用于输入查询条件；这里，所述查询条件包括已知审计信息、已知审计信息所属的日志类型，以及目标日志类型集；所述查询;f莫块，用于根据所述查询条件和所设置的各日志类型间的连接字段，查询各所述审计日志，获得所需要查询的上网信息；该装置进一步包括索引模块，用于分别为各设备的审计日志设置索引并存储至该设备对应的审计日志内；这里，可以将各审计日志对应的审计字段集中各字段或字段的组合均作为该审计日志的索引，以提高查询效率。其中，具体为各设备的审计日志设置索引为步骤a、分别建立审计日志各字段的值的排序表，并对应字段的各值存储包含该值的审计日志记录的记录号，得到该字段的索引文件；步骤b、重复步骤a,直到为各设备的审计日志设置索引。例如，分别建立内网IP、外网IP的值的排序表，并对应内网IP的各值存储包含该值的审计日志记录的记录号，即得到该内网IP的的索引文件，对应外网IP的各值存储包含该值的审计日志记录的记录号，即得到该外网IP的的索引文件。查询时，首先确定已知审计信息所属字段对应的索引文件；接着在所确定的索引文件中查询该已知审计信息，以及该已知审计信息对应的记录号；最后在审计日志中找到所查询到的记录号所对应的审计曰志记录；其中，审计曰志,包括多个审计日志记录表，每个记录表对应一个表号，并根据审计日志记录存入表中的先后、以及所存入表的表号为各审计日志记录分配有对应的记录号；这里，字段的值的排序表中字段的值是有序的，且各审计日志记录表中记录号也是有序的，因此，查询时，可以很快得到所要查询的审计日志记录，使得整个查询非常迅速。其中，所述查询模块的结构如图2所示包括管理模块、第一确定模块、第一查询模块、第二确定模块、第二查询模块、第三确定模块、第三查询模块和连接合并模块；其中，管理模块，用于确定目标日志类型集中是否存在未:f又出过的目标日志类型；并用于确定结果为存在未取出过的目标日志类型时取出一个目标日志类型集中未取出过的目标日志类型并发送至第一确定模块、确定结果为不存在未取出过的目标日志类型时命令连接合并模块对各结果记录集中记录时间存在交集的审计曰志记录进^"连4矣和并合；第一确定模块，用于确定已知审计信息所属的日志类型与所取出目标日志类型是否相同；并用于确定结果为相同时命令第一查询模块查询包含已知审计信息的审计日志记录、确定结果为不同时命令第二确定模块确定已知审计信息17所属的日志类型和所取出目标日志类型之间是否存在连接字段；第一查询模块，用于查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，得到所取出目标日志类型所对应的结果记录集，并通知管理模块确定目标日志类型集中是否存在未取出过的目标日志类型；所述日志类型所对应各审计日志，即，该日志类型日志所属各设备对应的审计日志；其中，查询包含已知审计信息的审计日志记录具体为确定已知审计信息所属的日志类型所对应各审计日志中，所述已知审计信息所属字段的索引文件；在所确定的索引文件中的排序表中查询已知审计信息，得到已知审计信息对应的记录号；由已知审计信息所属的曰志类型所对应各审计曰志中，查询所得到的记录号对应的审计日志记录，即得到所述包含已知审计信息的审计日志记录；第二确定模块，用于查询所设置的各日志类型间的连接字段，确定已知审计信息所属的日志类型和所取出目标日志类型之间是否存在连接字段；并用于确定结果为存在连接字段时命令第二查询包含已知审计信息的审计日志记录、确定结果为不存在连接字段时命令第三确定模块确定与已知审计信息所属的日志类型和所取出目标日志类型之间均存在连接字段的日志类型；第二查询模块，用于查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计曰志记录，并用于根据所述包含已知审计信息的审计曰志记录和所存在的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标日志类型所对应的结果记录集，并通知管理模块确定目标曰志类型集中是否存在未取出过的目标日志类型；其中，所述根据所述包含已知审计信息的审计日志记录和所存在的连接字段，查询所取出目标日志类型所对应各审计日志具体为将所述包含已知审计信息的审计日志记录中所存在的连接字段的值作为连接条件；确定所取出目标曰志类型所对应各审计日志中，所述连接字段的索引文件；在所确定的索引文件中的排序表中查询连接条件，得到连接条件对应的记录号；由所取出目标曰志类型所对应各审计日志中，查询所得到的记录号对应的审计日志记录；第三确定模块，用于查询所设置的各日志类型间的连接字段，确定与已知审计信息所属的日志类型和所取出目标日志类型之间均存在连接字段的曰志类型；第三查询^f莫块，用于查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，得到第一查询结果；用于根据第一查询结果和所确定日志类型与已知审计信息所属的日志类型的连接字段，查询所确定日志类型所对应各审计日志，得到第二查询结果；并用于根据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标日志类型所对应的结果记录集，并通知管理模块确定目标日志类型集中是否存在未取出过的目标日志类型；其中，所述4艮据第一查询结果和所确定日志类型与已知审计信息所属的曰志类型的连才妄字段，查询所确定日志类型所对应各审计日志具体为将所述第一查询结果中所确定日志类型与已知审计信息所属的日志类型的连接字段的值作为第一连4妄条件；确定所确定日志类型所对应各审计日志中，所确定日志类型与已知审计信息所属的日志类型的连接字段的索引文件；在所确定的索引文件中的排序表中查询第一连接条件，得到第一连接条件对应的记录号；由所确定曰志类型所对应各审计日志中，查询所得到的记录号对应的审计日志记录；所述根据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计曰志具体为将所述第二查询结果中所确定日志类型与所取出目标日志类型的连接字段的值作为第二连接条件；确定所取出目标日志类型所对应各审计日志中，所确定日志类型与所取出目标曰志类型的连接字段的索引文件；在所确定的索引文件中的排序表中查询第二连接条件，得到第二连接条件对应的记录号；由所取出目标日志类型所对应各审计日志中，查询所得到的记录号对应的审计日志记录；连接合并模块，用于以各结果记录集的审计日志记录中，各日志类型间的连接字段上的元素为连接点，连接记录时间存在交集的所述审计日志记录，并合并连接得到的审计日志记录中的相同字段，即得到所需要查询的上网信息并输出。采用本发明用户网络行为审计装置实现用户网络行为审计的流程如图3所示，包括以下步骤步骤301:预先分别为各日志类型设置对应的审计字段集；并预先设置各日志类型间的连接字段。步骤302:获取出各设备的日志记录；根据所获取日志记录所属日志类型对应的审计字段集过滤该日志记录，得到审计日志记录并存储在该日志记录所属^殳备对应的审计日志内。步骤303:分别为各设备的审计日志设置索引并存储在预先设置的该设备对应的审计日志内。其中，具体设置各审计日志的索引的方法为步骤a、分别建立审计日志各字段的值的排序表，并对应字段的各值存储包含该值的审计日志记录的记录号，得到该字段的索引文件；步骤b、重复步骤a，直到为各设备的审计日志设置索引。例如，分别建立内网IP、夕卜网IP的值的排序表，并对应内网IP的各值存储包含该值的审计日志记录的记录号，即得到该内网IP的的索引文件，对应外网IP的各值存储包含该值的审计日志记录的记录号，即得到该外网IP的的索引文件。步骤304:输入查询条件；这里，所述查询条件包括已知审计信息、已知审计信息所属的日志类型，以及目标日志类型集。步骤305:根据所述查询条件和所设置的各日志类型间的连接字段，查询所述审计日志，获得所需要查询的上网信息。这里，所述查询符合所述查询条件的审计日志记录具体包括步骤A、由所输入目标日志类型集中取出一个目标日志类型，执行步骤B;步骤B、确定已知审计信息所属的日志类型与所取出目标日志类型是否相同，如果相同，查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，得到所取出目标日志类型所对应的结果记录集，20执行步骤F，即，已知审计信息所属的日志类型与所取出目标日志类型相同时，只需查询已知审计信息所属的日志类型即可得到所取出目标日志类型所对应的结果记录集；否则，执行步骤C。步骤C、查询所设置的各日志类型间的连接字段，确定已知审计信息所属的日志类型和所取出目标日志类型之间是否存在连接字段，如果存在，执行步骤D;否则，执行步骤E;其中，查询包含已知审计信息的审计日志记录具体为确定已知审计信息所属的日志类型所对应各审计日志中，所述已知审计信息所属字段的索引文件；在所确定的索引文件中的排序表中查询已知审计信息，得到已知审计信息对应的记录号；由已知审计信息所属的日志类型所对应各审计曰志中，查询所得到的记录号对应的审计日志记录，即得到所述包含已知审计信息的审计日志记录；步骤D、查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，并根据所述包含已知审计信息的审计日志记录和所存在的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标日志类型所对应的结果记录集，执行步骤F;其中，所述根据所述包含已知审计信息的审计日志记录和所存在的连接字段，查询所取出目标日志类型所对应各审计日志具体为将所述包含已知审计信息的审计日志记录中所存在的连接字段的值作为连接条件；确定所取出目标日志类型所对应各审计日志中，所述连接字段的索引文件；在所确定的索引文件中的排序表中查询连接条件，得到连接条件对应的记录号；由所取出目标曰志类型所对应各审计日志中，查询所得到的记录号对应的审计日志记录；由步骤C、D可见，已知审计信息所属的日志类型与所取出目标日志类型相同，但两个日志类型间有连接字段时，需要查询已知审计信息所属的日志类型，并根据查询结果和该连接字段查询所^^出目标日志类型所对应各审计曰志，才能得到所取出目标日志类型所对应的结果记录集；步骤E、查询所设置的各日志类型间的连接字段，确定与已知审计信息所属的日志类型和所取出目标日志类型之间均存在连接字段的日志类型；查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计曰志记录，得到第一查询结果，并才艮据第一查询结果和所确定日志类型与已知审计信息所属的日志类型的连接字段，查询所确定日志类型所对应各审计日志，得到第二查询结果；根据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标曰志类型所对应的结果记录集，执行步骤F;其中，所i^i艮据第一查询结果和所确定日志类型与已知审计信息所属的曰志类型的连接字段，查询所确定日志类型所对应各审计日志具体为将所述第一查询结果中所确定日志类型与已知审计信息所属的日志类型的连接字段的值作为第一连接条件；确定所确定日志类型所对应各审计日志中，所确定日志类型与已知审计信息所属的日志类型的连接字段的索引文件；在所确定的索引文件中的排序表中查询第一连接条件，得到第一连接条件对应的记录号；由所确定日志类型所对应各审计日志中，查询所述第一连接条件所对应记录号对应的审计日志记录；所述才艮据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志具体为将所述第二查询结果中所确定日志类型与所取出目标日志类型的连接字段的值作为第二连接条件；确定所取出目标日志类型所对应各审计日志中，所确定日志类型与所取出目标曰志类型的连接字段的索引文件；在所确定的索引文件中的排序表中查询第二连接条件，得到第二连接条件对应的记录号；由所取出目标日志类型所对应各审计日志中，查询所述第二连接条件所对应记录号对应的审计日志记录；由步骤C、E可见，已知审计信息所属的日志类型与所取出目标日志类型相同，但两个日志类型间没有连接字段时，需要确定与已知审计信息所属的曰志类型和所取出目标日志类型之间均存在连接字段的日志类型，查询已知审计信息所属的日志类型，并^f艮据查询结果和已知审计信息所属的日志类型与所确定日志类型的连接字段查询所确定日志类型所对应各审计日志，并根据所述查询所确定日志类型所对应各审计日志的查询结果、以及所取出目标日志类型分別与所确定日志类型的连接字段，查询所取出目标日志类型所对应各审计日志，才能得到所取出目标日志类型所对应的结果记录集；步骤F、确定目标日志类型集中是否存在未取出过的目标日志类型，如果不存在，以各结果记录集的审计日志记录中，各日志类型间的连接字段上的元素为连接点，连接记录时间存在交集的所述审计日志记录，并合并连接得到的审计日志记录中的相同字段，即得到所需要查询的上网信息，结束本次流程；如果存在，取出一个目标日志类型集中未取出过的目标日志类型，返回步骤B;本步骤中，如果目标日志类型集中包含了网络中的全部日志类型，通过所述连接记录时间存在交集的所述审计日志记录，即可以提供用户应用行为的完整上网信息给网络管理者；而合并连接得到的审计日志记录中的相同字段，则可合并审计日志记录中的重复信息。以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。权利要求1、一种用户网络行为审计装置，其特征在于，该装置包括设置模块，用于预先分别为各日志类型设置对应的审计字段集；并用于预先设置各日志类型间的连接字段；过滤模块，用于获取出各设备的日志记录；并用于根据所获取日志记录所属日志类型对应的审计字段集过滤该日志记录，得到审计日志记录并存储在该日志记录所属设备对应的审计日志内；输入模块，用于输入查询条件；查询模块，用于根据所述查询条件和所设置的各日志类型间的连接字段，查询各所述审计日志，获得所需要查询的上网信息。2、根据权利要求1所述的用户网络行为审计装置，其特征在于，该装置进一步包括索引模块，用于分别为各设备的审计日志设置索引并存储在预先设置的该设备对应的审计日志内。3、根据权利要求1或2所述的用户网络行为审计装置，其特征在于，所迷查询条件包括已知审计信息、已知审计信息所属的日志类型，以及目标曰志类型集；相应的，所述查询模块包括管理模块，用于确定目标日志类型集中是否存在未取出过的目标日志类型；并用于为存在未取出过的目标日志类型时取出一个目标日志类型集中未取出过的目标日志类型并发送至第一确定模块、为不存在未取出过的目标日志类型时命令连接合并模块对各结果记录集中记录时间存在交集的审计日志记录进行连接和并合；第一确定模块，用于确定已知审计信息所属的日志类型与所取出目标曰志类型是否相同，并用于确定结果为相同时命令第一查询模块查询包含已知审计信息的审计日志记录、确定结果为不同时命令第二确定模块确定已知审计信息所属的日志类型和所取出目标日志类型之间是否存在连接字段；第一查询模块，用于查询已知审计信息所属的日志类型所对应各审计曰志中包含已知审计信息的审计日志记录，得到所取出目标日志类型所对应的结果记录集，并通知管理模块确定目标日志类型集中是否存在未取出过的目标日志类型；第二确定模块，用于查询所设置的各日志类型间的连接字段，确定已知审计信息所属的日志类型和所取出目标日志类型之间是否存在连接字段；并用于确定结果为存在连接字段时命令第二查询包含已知审计信息的审计日志记录、确定结果为不存在连接字段时命令第三确定模块确定与已知审计信息所属的曰志类型和所取出目标日志类型之间均存在连接字段的日志类型；第二查询模块，用于查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，并用于根据所述包含已知审计信息的审计曰志记录和所存在的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标日志类型所对应的结果记录集，并通知管理模块确定目标日志类型集中是否存在未取出过的目标日志类型；第三确定模块，用于查询所设置的各日志类型间的连接字段，确定与已知审计信息所属的日志类型和所取出目标日志类型之间均存在连接字段的日志类型；第三查询模块，用于查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计曰志记录，得到第一查询结果；用于根据第一查询结果和所确定日志类型与已知审计信息所属的日志类型的连接字段，查询所确定曰志类型所对应各审计日志，得到第二查询结果；并用于根据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标日志类型所对应的结果记录集，并通知管理模块确定目标日志类型集中是否存在未取出过的目标日志类型；连接合并模块，用于以各结果记录集的审计日志记录中，各日志类型间的连接字段上的元素为连接点，连接记录时间存在交集的所述审计日志记录，并合并连接得到的审计日志记录中的相同字段，得到所需要查询的上网信息并输出。4、一种用户网络行为审计方法，其特征在于，该方法包括预先分别为各日志类型设置对应的审计字>^集；并预先i殳置各日志类型间的连4妻字l殳；获取出各设备的日志记录；根据所获取日志记录所属日志类型对应的审计字段集过滤该日志记录，得到审计日志记录并存储在该日志记录所属设备对应的审计日志内；输入查询条件；根据所述查询条件和所设置的各日志类型间的连接字段，查询各所述审计日志，获得所需要查询的上网信息。5、根据权利要求4所述的用户网络行为审计方法，其特征在于，该方法进一步包括分别为各设备的审计日志设置索引并存储在在预先设置的该设备对应的审计日志内。6、根据权利要求4或5所述的用户网络行为审计方法，其特征在于，所述查询条件包括已知审计信息、已知审计信息所属的日志类型，以及目标日志类型集；相应的，所述查询符合所述查询条件的审计日志记录包括A、由所输入目标日志类型集中取出一个目标日志类型，执行步骤B;B、确定已知审计信息所属的日志类型与所取出目标日志类型是否相同，如果相同，查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，得到所取出目标日志类型所对应的结果记录集，执行步骤F;否则，执行步骤C;C、查询所设置的各日志类型间的连接字^R，确定已知审计信息所属的日志类型和所取出目标日志类型之间是否存在连接字段，如果存在，执行步骤D;否则，执行步骤E;D、查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计日志记录，并根据所述包含已知审计信息的审计日志记录和所存在的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标曰志类型所对应的结果记录集，执行步骤F;E、查询所设置的各日志类型间的连接字段，确定与已知审计信息所属的日志类型和所取出目标日志类型之间均存在连接字^a的日志类型；查询已知审计信息所属的日志类型所对应各审计曰志中包含已知审计信息的审计日志记录，得到第一查询结果，并根据第一查询结果和所确定日志类型与已知审计信息所属的曰志类型的连接字段，查询所确定日志类型所对应各审计日志，得到第二查询结果；根据第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志，得到所取出目标日志类型所对应的结果记录集，执行步骤F;F、确定目标日志类型集中是否存在未取出过的目标日志类型，如果不存在，以各结果记录集的审计日志记录中，各日志类型间的连接字段上的元素为连接点，并合并连接得到的审计日志记录中的相同字段，即得到所需要查询的上网信息，结束本次流程；如果存在，取出一个目标日志类型集中未取出过的目标曰志类型，返回步骤B。7、根据权利要求5所述的用户网络行为审计方法，其特征在于，所述为各设备的审计日志设置索引为a、分别建立审计日志各字段的值的排序表，并对应字段的各值存储包含该值的审计日志记录的记录号，得到该字^R的索引文件；b、重复步骤a，直到为各设备的审计日志设置索引。8、根据权利要求7所述的用户网络行为审计方法，其特征在于，所述查询已知审计信息所属的日志类型所对应各审计日志中包含已知审计信息的审计曰志记录为确定已知审计信息所属的日志类型所对应各审计日志中，所述已知审计信息所属字段的索引文件；在所确定的索引文件中的排序表中查询已知审计信息，得到已知审计信息对应的记录号；由已知审计信息所属的日志类型所对应各审计日志中，查询所得到的记录号对应的审计日志记录，即得到所述包含已知审计信息的审计日志记录。9、根据权利要求7所述的用户网络行为审计方法，其特征在于，所述根据所述包含已知审计信息的审计日志记录和所存在的连接字萃殳，查询所取出目标曰志类型所对应各审计曰志为将所述包含已知审计信息的审计日志记录中所存在的连接字段的值作为连接条件；确定所取出目标日志类型所对应各审计日志中，所述连接字段的索引文件；在所确定的索引文件中的排序表中查询连接条件，得到连接条件对应的记录号；由所取出目标日志类型所对应各审计日志中，查询所得到的记录号对应的审计日志记录。10、根据权利要求7所述的用户网络行为审计方法，其特征在于，所述根据第一查询结果和所确定日志类型与已知审计信息所属的日志类型的连接字段，查询所确定日志类型所对应各审计曰志为将所述第一查询结果中所确定日志类型与已知审计信息所属的日志类型的连接字段的值作为第一连接条件；确定所确定日志类型所对应各审计日志中，所确定日志类型与已知审计信息所属的日志类型的连接字段的索引文件；在所确定的索引文件中的排序表中查询第一连接条件，得到第一连接条件对应的记录号；由所确定日志类型所对应各审计日志中，查询所述第一连接条件所对应记录号对应的审计日志记录；相应的，所述^4居第二查询结果和所确定日志类型与所取出目标日志类型的连接字段，查询所取出目标日志类型所对应各审计日志为将所述第二查询结果中所确定日志类型与所取出目标日志类型的连接字段的值作为第二连接条件；确定所取出目标日志类型所对应各审计日志中，所确定日志类型与所取出目标日志类型的连接字段的索引文件；在所确定的索引文件中的排序表中查询第二连接条件，得到第二连接条件对应的记录号；由所取出目标日志类型所对应各审计日志中，查询所述第二连接条件所对应记录号对应的审计日志记录。全文摘要本发明公开了一种用户网络行为审计装置，该装置包括用于预先分别为各日志类型设置对应的审计字段集和各日志类型间的连接字段的设置模块、用于获取出各设备的日志记录和过滤各设备的日志记录的过滤模块，以及输入模块和查询模块。本发明同时还公开了一种用户网络行为审计方法，该方法包括预先分别为各日志类型设置对应的审计字段集；并预先设置各日志类型间的连接字段；获取出各设备的日志记录；根据审计字段集过滤各设备的日志记录并存储；输入查询条件；根据所述查询条件和所设置的各日志类型间的连接字段，查询各所述审计日志，获得所需要查询的上网信息。采用本发明所述的装置和方法，能够实现上网信息的自动查询。文档编号H04L12/24GK101483553SQ20091007830公开日2009年7月15日申请日期2009年2月24日优先权日2009年2月24日发明者华振兴,峰周申请人:中兴通讯股份有限公司