一种账户审计方法

一种账户审计方法
【专利摘要】本发明提供了一种账户审计方法，其包括以下步骤：用户身份关联、资产关联、操作行为分析、高危行为审计。本发明提供的账户审计方法简单、易操作，能准确发现隐藏在网络通信流中网络帐号之间的关联性，这种关联性来源于用户的上网习惯，可以有效克服上网行为关联对先验关联线索的依赖性，提高对用户在多种应用上网行为的联合审计能力，具有实际的应用价值。
【专利说明】
一种账户审计方法
技术领域
[0001]本发明涉及到电信技术领域，特别是一种账户审计方法。
【背景技术】
[0002]近十年来，随着Web2.0理念的深入，越来越多的在线社交媒体出现，其发展迅速，种类多样。人们在虚拟社会网络空间中的行为直接反映了其在真实世界中的身份、社会关系和活动规律。因此，虚拟社会网络已经形成一种新形态的数字社会，成为连接物理社交世界和虚拟网络空间的桥梁。由于社会媒体详细记录了用户的思想和行为轨迹，这使得利用计算技术观察和研究社会成为可能。因此，社交媒体在定向信息推送、推荐系统、舆论监管等方面占据出举足轻重的地位。
[0003]但是，网络的虚拟性和匿名化掩盖了用户的真实身份。由于用户的个性化信息与用户隐私密切相关，所以互联网服务提供商一般会对用户数据进行匿名化处理之后再提供共享或对外发布。而且，社交媒体的丰富资源带来信息交流方式的多样化，人们倾向于使用多种渠道进行线上沟通，并有意识地区分不同网络行为所使用的用户标识，这使得同一个真实的社会实体在虚拟网络环境中拥有多个账号、多重身份。
[0004]目前，现有方法基于用户上网登记信息(如接入账号、手机号等)进行有限的账号关联，但是在没有用户上网接入账号的情况下，用户上网行为是无法准确关联的。另一些方法侧重于在单一数据源上对匿名的网络用户进行独立分析和行为审计，但是用户的各种信息会碎片化地散布在各个社交媒体中，单一的社交媒体所提供的信息是不完整的，无法还原一个真实社会实体的上网行为整体全貌。
[0005]由于在网络数据中信息是离散、无序的，附属于同一社会实体的多种用户身份的关联线索无据可循，因此在多种数据流空间中对表象独立的用户身份进行关联融合是一个具有挑战性的课题。在现实工作中面临着诸多困难，如:网络流量巨大，导致简单的数据挖掘方法无法满足处理规模的制约；目标社会属性稀缺，导致目标社会身份的推测异常困难；NAT、动态IP等技术广泛应用，导致在难以寻找可靠的用户标识关联依据;数据资源协议多样、形态复杂，导致缺乏有效的方法适应异构的原始数据。
[0006]因此，如何在网络原始流中，不依赖先验的线索，自动挖掘跨域上网账号的同源性，关联上网用户对多种社交媒体的访问行为，是必需认真解决的技术问题。

【发明内容】

[0007]为解决上述技术问题，本发明提供了一种账户审计方法，其包括以下步骤:
[0008]用户身份关联:
[0009]将系统层的日志、数据库日志、应用层的日志及网络数据和实际用户关联，实现对不同用户之间的操作的日志进行关联审计，区分不同用户行为和聚合同一用户的行为；
[0010]资广关联:
[0011]审计结果与资产进行关联，以实现事件和资产的对应，直观地为相关系统管理人员、安全人员提供具体系统的安全状况，资产关联能力可以通过两种方式实现:
[0012]如果审计系统中具备资产管理的能力，审计出的事件和内置的资产管理模块进行关联分析；
[0013]如果审计系统中不具备资产管理能力，与4A平台的资源管理模块进行结合，通过对其进行查询操作，实现和审计事件的关联分析；
[0014]操作行为分析:
[0015]通过审计系统，要在全部网络事件中审计出用户操作行为，将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，对财务数据相关的关键系统数据进行访问、修改和删除，需要再现用户的完整操作过程；
[0016]根据日志或网络数据生成用户操作行为，依据模型能进行准确的异常行为检测；
[0017]对不规则或频繁出现的事件进行统计分析、过滤和事件聚合，同时提供自定义匹配模式查询功能；
[0018]对安全事件进行关联，将来自不同设备的海量日志关联为准确的操作行为，并对特定安全事件实现还原；
[0019]高危行为审计:
[0020]导入高危行为审计描述文件:包括自身系统重要操作或者危险操作列表、操作级另IJ、对应的说明、高危操作的具体指令或特征值;对以下高危行为进行审计:
[0021]系统层:系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、操作服务端口开启、启动后台进程和可执行文件安装；
[0022]数据库:关键数据表的插入、修改及删除；
[0023]应用层:用户数据的修改、关键业务参数配置的修改；
[0024]各层共性的高危操作:用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。
[0025]较佳地，还包括以下步骤:
[0026]审计查询:按照如下关键词或者关键词组合进行查询、产生审计报告，所述关键词包括操作人员主帐号、操作行为、被访问资源名称或IP、操作时间、操作系统帐号或从帐号、异常操作。
[0027 ]较佳地，用户的身份关联可以通过以下两种方式实现:
[0028]如果审计系统采集到的日志含有用户主帐号UID信息，或审计系统具备用户身份数据库，则由审计系统自身完成用户身份关联分析；
[0029]如果审计系统中不具备上述条件，则和4A平台的集中帐号管理模块进行结合，实现和用户主帐号的关联。
[0030]本发明具有以下有益效果:
[0031]本发明提供的账户审计方法简单、易操作，能准确发现隐藏在网络通信流中网络帐号之间的关联性，这种关联性来源于用户的上网习惯，可以有效克服上网行为关联对先验关联线索的依赖性，提高对用户在多种应用上网行为的联合审计能力，具有实际的应用价值。
[0032]当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点。
【附图说明】
[0033]为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0034]图1为本发明实施例提供的账户审计方法流程示意图。
【具体实施方式】
[0035]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
[0036]如图1所示，本发明实施例提供了一种账户审计方法，其包括以下步骤:
[0037]用户身份关联:
[0038]将系统层的日志、数据库日志、应用层的日志及网络数据和实际用户关联，实现对不同用户之间的操作的日志进行关联审计，区分不同用户行为和聚合同一用户的行为；
[0039]资产关联:
[0040]审计结果与资产进行关联，以实现事件和资产的对应，直观地为相关系统管理人员、安全人员提供具体系统的安全状况，资产关联能力可以通过两种方式实现:
[0041]如果审计系统中具备资产管理的能力，审计出的事件和内置的资产管理模块进行关联分析；
[0042]如果审计系统中不具备资产管理能力，与4A平台的资源管理模块进行结合，通过对其进行查询操作，实现和审计事件的关联分析；
[0043]操作行为分析:
[0044]通过审计系统，要在全部网络事件中审计出用户操作行为，将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，对财务数据相关的关键系统数据进行访问、修改和删除，需要再现用户的完整操作过程；
[0045]根据日志或网络数据生成用户操作行为，依据模型能进行准确的异常行为检测；
[0046]对不规则或频繁出现的事件进行统计分析、过滤和事件聚合，同时提供自定义匹配模式查询功能；
[0047]对安全事件进行关联，将来自不同设备的海量日志关联为准确的操作行为，并对特定安全事件实现还原；
[0048]高危行为审计:
[0049]导入高危行为审计描述文件:包括自身系统重要操作或者危险操作列表、操作级另IJ、对应的说明、高危操作的具体指令或特征值;对以下高危行为进行审计:
[0050]系统层:系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、操作服务端口开启、启动后台进程和可执行文件安装；
[0051 ]数据库:关键数据表的插入、修改及删除；
[0052]应用层:用户数据的修改、关键业务参数配置的修改；
[0053]各层共性的高危操作:用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。
[0054]较佳地，还包括以下步骤:
[0055]审计查询:按照如下关键词或者关键词组合进行查询、产生审计报告，所述关键词包括操作人员主帐号、操作行为、被访问资源名称或IP、操作时间、操作系统帐号或从帐号、异常操作。
[0056]较佳地，用户的身份关联可以通过以下两种方式实现:
[0057]如果审计系统采集到的日志含有用户主帐号UID信息，或审计系统具备用户身份数据库，则由审计系统自身完成用户身份关联分析；
[0058]如果审计系统中不具备上述条件，则和4A平台的集中帐号管理模块进行结合，实现和用户主帐号的关联。
[0059]本发明提供的账户审计方法简单、易操作，能准确发现隐藏在网络通信流中网络帐号之间的关联性，这种关联性来源于用户的上网习惯，可以有效克服上网行为关联对先验关联线索的依赖性，提高对用户在多种应用上网行为的联合审计能力，具有实际的应用价值。
[0060]以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的【具体实施方式】。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。
【主权项】
1.一种账户审计方法，其特征在于，包括以下步骤: 用户身份关联: 将系统层的日志、数据库日志、应用层的日志及网络数据和实际用户关联，实现对不同用户之间的操作的日志进行关联审计，区分不同用户行为和聚合同一用户的行为； 资广关联: 审计结果与资产进行关联，以实现事件和资产的对应，直观地为相关系统管理人员、安全人员提供具体系统的安全状况，资产关联能力可以通过两种方式实现: 如果审计系统中具备资产管理的能力，审计出的事件和内置的资产管理模块进行关联分析； 如果审计系统中不具备资产管理能力，与4A平台的资源管理模块进行结合，通过对其进行查询操作，实现和审计事件的关联分析； 操作行为分析: 通过审计系统，要在全部网络事件中审计出用户操作行为，将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，对财务数据相关的关键系统数据进行访问、修改和删除，需要再现用户的完整操作过程； 根据日志或网络数据生成用户操作行为，依据模型能进行准确的异常行为检测； 对不规则或频繁出现的事件进行统计分析、过滤和事件聚合，同时提供自定义匹配模式查询功能； 对安全事件进行关联，将来自不同设备的海量日志关联为准确的操作行为，并对特定安全事件实现还原； 高危行为审计: 导入高危行为审计描述文件:包括自身系统重要操作或者危险操作列表、操作级别、对应的说明、高危操作的具体指令或特征值;对以下高危行为进行审计: 系统层:系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、操作服务端口开启、启动后台进程和可执行文件安装； 数据库:关键数据表的插入、修改及删除； 应用层:用户数据的修改、关键业务参数配置的修改； 各层共性的高危操作:用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。2.如权利要求1所述的账户审计方法，其特征在于，还包括以下步骤: 审计查询:按照如下关键词或者关键词组合进行查询、产生审计报告，所述关键词包括操作人员主帐号、操作行为、被访问资源名称或I P、操作时间、操作系统帐号或从帐号、异常操作。3.如权利要求1所述的账户审计方法，其特征在于，用户的身份关联可以通过以下两种方式实现: 如果审计系统采集到的日志含有用户主帐号U I D信息，或审计系统具备用户身份数据库，则由审计系统自身完成用户身份关联分析； 如果审计系统中不具备上述条件，则和4A平台的集中帐号管理模块进行结合，实现和用户主帐号的关联。
【文档编号】H04L29/06GK105933311SQ201610247969
【公开日】2016年9月7日
【申请日】2016年4月19日
【发明人】孙乐高
【申请人】安徽电信规划设计有限责任公司