專(zhuān)利名稱(chēng):一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)信息安全領(lǐng)域����,特別是指一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警系統(tǒng)及方法���。
背景技術(shù):
隨著網(wǎng)絡(luò)設(shè)備價(jià)格的不斷降低,越來(lái)越多的企業(yè)���、政府機(jī)關(guān)�、保密部門(mén)、銀行等的工作環(huán)境開(kāi)始部署網(wǎng)絡(luò),并通過(guò)網(wǎng)絡(luò)來(lái)進(jìn)行通訊交流和傳輸文件等,由于這些通訊信息中包含很多的機(jī)密信息比如企業(yè)財(cái)務(wù)報(bào)告、政府工作記錄����、銀行個(gè)人帳號(hào)信息等���,因此有必要對(duì)網(wǎng)絡(luò)中傳輸?shù)男畔?shù)據(jù)進(jìn)行審計(jì)�����,為了降低網(wǎng)絡(luò)審計(jì)的響應(yīng)時(shí)間�����,就需要在網(wǎng)絡(luò)通訊數(shù)據(jù)出現(xiàn)敏感信息的時(shí)候����,使網(wǎng)絡(luò)審計(jì)系統(tǒng)能夠?qū)崟r(shí)地通知到管理員。然而���,在目前網(wǎng)絡(luò)環(huán)境里廣泛使用的防火墻雖然具有敏感信息報(bào)警功能�����,但是它主要是針對(duì)非法的網(wǎng)絡(luò)IP地址�,異常結(jié)構(gòu)的網(wǎng)絡(luò)數(shù)據(jù)包等�,并沒(méi)有針對(duì)網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行分析。
另外一種廣泛使用的網(wǎng)絡(luò)安全產(chǎn)品NIDS(網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng))也有敏感信息報(bào)警功能��,但是它主要是針對(duì)網(wǎng)絡(luò)攻擊數(shù)據(jù)��,比如病毒�、攻擊代碼等進(jìn)行報(bào)警。在網(wǎng)絡(luò)審計(jì)中更多的是針對(duì)一些敏感信息比如在企業(yè)��、政府機(jī)關(guān)里的機(jī)要文檔信息��,銀行的交易信息���、學(xué)校的對(duì)學(xué)生有害的成人暴力信息等進(jìn)行審計(jì)��。而且這兩種系統(tǒng)的報(bào)警方式比較單一����,更多的是在它們管理程序的界面顯示報(bào)警信息,當(dāng)管理員外出的時(shí)�,就很難實(shí)時(shí)地通知到他們。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問(wèn)題是提供一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警方法及系統(tǒng)��,其能夠針對(duì)網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行分析�,且既使管理員不在現(xiàn)場(chǎng)也能夠及時(shí)地將警告通知到管理員,使管理員能夠及時(shí)對(duì)事件進(jìn)行處理���。
為解決上述技術(shù)問(wèn)題��,本發(fā)明采用如下技術(shù)方案提供一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警系統(tǒng)���,包括報(bào)警策略管理模塊�����、數(shù)據(jù)分析模塊和報(bào)警模塊���;報(bào)警策略管理模塊用于設(shè)置敏感信息關(guān)鍵字����、報(bào)警方式、警報(bào)聲音或/和接收方的電話(huà)號(hào)碼���,其中報(bào)警方式包括聲音警報(bào)方式或/和短信報(bào)警方式��;
數(shù)據(jù)分析模塊用于存儲(chǔ)報(bào)警策略管理模塊所設(shè)置的敏感信息關(guān)鍵字�����,并對(duì)審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析�,查找是否含有與敏感信息關(guān)鍵字相匹配的內(nèi)容����,若包含,則發(fā)送報(bào)警啟動(dòng)命令到報(bào)警模塊����;報(bào)警模塊用于根據(jù)上述的報(bào)警啟動(dòng)命令發(fā)出相應(yīng)的一種或多種方式的警報(bào),并存儲(chǔ)上述的報(bào)警策略管理模塊所設(shè)置的警報(bào)聲音或/和接收方的電話(huà)號(hào)碼���。
其中所述報(bào)警方式還包括電子郵件報(bào)警方式����;所述報(bào)警策略管理模塊還可設(shè)置接收方的電子郵件地址;所述報(bào)警模塊還可以電子郵件報(bào)警方式發(fā)出警報(bào)�,并存儲(chǔ)報(bào)警策略管理模塊所設(shè)置的接收方的電子郵箱地址。
其中所述報(bào)警啟動(dòng)命令的內(nèi)容包括報(bào)警策略管理模塊所設(shè)置的敏感信息關(guān)鍵字�、報(bào)警開(kāi)始時(shí)間、報(bào)警方式�、由審計(jì)系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配內(nèi)容的網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址、目標(biāo)IP地址����、源端口、目標(biāo)端口���。
一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警方法����,包括以下步驟A���、設(shè)置并存儲(chǔ)敏感信息關(guān)鍵字����、報(bào)警方式��、警報(bào)聲音或/和接收方的電話(huà)號(hào)碼���;報(bào)警方式包括聲音報(bào)警方式或/和短信報(bào)警方式�;B����、查找審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)中是否含有與上述的敏感信息關(guān)鍵字相匹配的內(nèi)容,若包含�,則發(fā)送報(bào)警啟動(dòng)命令;C��、根據(jù)報(bào)警啟動(dòng)命令以相應(yīng)地一種或多種報(bào)警方式發(fā)出警報(bào)����。
其中所述步驟A還包括設(shè)置并存儲(chǔ)接收方的電子郵箱地址,報(bào)警方式還包括電子郵件報(bào)警方式���;所述步驟C還包括以電子郵件報(bào)警方式發(fā)出警報(bào)����。
其中所述報(bào)警啟動(dòng)命令包括報(bào)警策略管理模塊所設(shè)置的敏感信息關(guān)鍵字��、報(bào)警開(kāi)始時(shí)間���、報(bào)警方式�����、由審計(jì)系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配的內(nèi)容的網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址�����、目的IP地址�、源端口、目標(biāo)端口���。
本發(fā)明的有益效果是本發(fā)明通過(guò)將敏感信息關(guān)鍵字與網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配����,網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行分析�,并可通過(guò)聲音、短信����、電子郵件三種方式報(bào)警,使其更為及時(shí)�、高效地通知到管理員。
下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步的詳細(xì)描述��。
圖1是本發(fā)明的系統(tǒng)模塊圖�。
圖2是本發(fā)明的方法步驟圖。
圖3是本發(fā)明的一實(shí)施例的方法步驟圖����。
圖4是本發(fā)明一實(shí)施例的工作流程圖。
具體實(shí)施例方式
如圖1所示�����,本發(fā)明的網(wǎng)絡(luò)行為報(bào)警系統(tǒng)包括報(bào)警策略管理模塊�、數(shù)據(jù)分析模塊和報(bào)警模塊;其中報(bào)警策略管理模塊用于設(shè)置敏感信息關(guān)鍵字����、報(bào)警方式、警報(bào)聲音或/和接收方的電話(huà)號(hào)碼��,其中報(bào)警方式包括聲音警報(bào)方式或/和短信報(bào)警方式�����;數(shù)據(jù)分析模塊用于存儲(chǔ)上述的報(bào)警策略管理模塊所設(shè)置的敏感信息關(guān)鍵字��,并對(duì)審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析���,查找是否含有與敏感信息關(guān)鍵字相匹配的內(nèi)容��,若包含���,則發(fā)送報(bào)警啟動(dòng)命令到報(bào)警模塊���;報(bào)警模塊用于根據(jù)上述報(bào)警啟動(dòng)命令以相應(yīng)的一種或多種報(bào)警方式發(fā)出警報(bào),并存儲(chǔ)上述的報(bào)警策略管理模塊所設(shè)置的警報(bào)聲音或/和接收方的電話(huà)號(hào)碼�。
如圖2所示,本發(fā)明的網(wǎng)絡(luò)行為報(bào)警方法包括以下步驟為A���、設(shè)置并存儲(chǔ)敏感信息關(guān)鍵字����、報(bào)警方式��、警報(bào)聲音或/和接收方的電話(huà)號(hào)碼���;報(bào)警方式包括聲音報(bào)警方式或/和短信報(bào)警方式�����;B�����、查找審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)中是否含有與上述的敏感信息關(guān)鍵字相匹配的內(nèi)容�,若包含,則發(fā)送報(bào)警啟動(dòng)命令���;C、根據(jù)報(bào)警啟動(dòng)命令以相應(yīng)地一種或多種報(bào)警方式發(fā)出警報(bào)����。
另外,本發(fā)明的網(wǎng)絡(luò)行為報(bào)警方法還包括以電子郵件報(bào)警方式發(fā)出警報(bào)��,使得審計(jì)中心的管理員在遠(yuǎn)離報(bào)警系統(tǒng)用網(wǎng)絡(luò)進(jìn)行工作時(shí)��,還可通過(guò)電子郵件接收到警報(bào)�,對(duì)事件進(jìn)行及時(shí)有效地處理。此報(bào)警系統(tǒng)包括報(bào)警策略管理模塊�,用于設(shè)置敏感信息關(guān)鍵字、報(bào)警方式����、警報(bào)聲音或/和接收方的電話(huà)號(hào)碼和接收方的電子郵箱地址,其中報(bào)警方式包括聲音警報(bào)方式和短信報(bào)警方式或/和電子郵件報(bào)警方式����;數(shù)據(jù)分析模塊用于存儲(chǔ)上述的報(bào)警策略管理模塊所設(shè)置的敏感信息關(guān)鍵字����,并對(duì)審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析����,查找是否含有與敏感信息關(guān)鍵字相匹配的內(nèi)容,若包含���,則發(fā)送報(bào)警啟動(dòng)命令到報(bào)警模塊����;
報(bào)警模塊用于根據(jù)上述報(bào)警啟動(dòng)命令以相應(yīng)的一種或多種報(bào)警方式發(fā)出警報(bào)����,并存儲(chǔ)上述的報(bào)警策略管理模塊所設(shè)置的警報(bào)聲音或/和接收方的電話(huà)號(hào)碼或/和接收方的電子郵件地址。
如圖3所示���,此報(bào)警系統(tǒng)的實(shí)現(xiàn)方法包括以下步驟A���、設(shè)置并存儲(chǔ)敏感信息關(guān)鍵字、報(bào)警方式�、警報(bào)聲音或/和接收方的電話(huà)號(hào)碼或/和接收方的電子郵箱地址;報(bào)警方式包括聲音報(bào)警方式或/和短信報(bào)警方式或/和電子郵件報(bào)警方式;B���、查找審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)中是否含有與上述的敏感信息關(guān)鍵字相匹配的內(nèi)容���,若包含,則發(fā)送報(bào)警啟動(dòng)命令����;C��、根據(jù)報(bào)警啟動(dòng)命令以相應(yīng)地一種或多種報(bào)警方式發(fā)出警報(bào)���。
以下結(jié)合圖4詳述本實(shí)施例的報(bào)警系統(tǒng)的工作流程首先���,在審計(jì)系統(tǒng)檢測(cè)到有網(wǎng)絡(luò)行為時(shí),報(bào)警系統(tǒng)判斷其內(nèi)是否有報(bào)警策略����,若不存在,管理員則需設(shè)置�����,即在報(bào)警策略管理模塊中設(shè)置敏感信息關(guān)鍵字、報(bào)警方式��,報(bào)警聲音或/和管理員的手機(jī)號(hào)碼或/和管理員的電子郵箱地址���;若存在��,報(bào)警分析模塊則取出敏感信息關(guān)鍵字�,對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配����,若查找到存在與敏感信息關(guān)鍵字相匹配的網(wǎng)絡(luò)數(shù)據(jù),則發(fā)出報(bào)警啟動(dòng)命令���,觸發(fā)報(bào)警模塊進(jìn)行報(bào)警���,其中報(bào)警啟動(dòng)命令包括敏感信息關(guān)鍵字、報(bào)警開(kāi)始時(shí)間�����、報(bào)警方式��、由審計(jì)系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配的內(nèi)容的網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址�、目的IP地址����、源端口���、目標(biāo)端口�����;然后����,報(bào)警模塊判斷報(bào)警啟動(dòng)命令中的報(bào)警方式�,若為聲音報(bào)警方式�����,則按照對(duì)應(yīng)的音頻文件發(fā)出聲音警報(bào)���;若為短信報(bào)警方或���,則向管理員的手機(jī)發(fā)出報(bào)警短信;若為電子郵件報(bào)警方式���,則向管理員的電子郵箱發(fā)出報(bào)警郵件���;若同時(shí)設(shè)置了多種報(bào)警方式����,則發(fā)出相應(yīng)的多種報(bào)警�����。
以下以“法輪功”作為敏感信息關(guān)鍵字為例����,詳述本實(shí)施例的工作過(guò)程首先管理員在報(bào)警策略管理模塊中將敏感信息關(guān)鍵字設(shè)置為“法輪功”,將報(bào)警方式設(shè)置為聲音報(bào)警方式或/和短信報(bào)警方式或/和電子郵件報(bào)警方式�����,假如三種報(bào)警方式都設(shè)置�����,則需設(shè)置報(bào)警聲音的音頻文件��、管理員的手機(jī)號(hào)碼及管理員的電子郵箱地址���。設(shè)置完成之后�����,報(bào)警分析模塊將敏感信息關(guān)鍵字“法輪功”進(jìn)行存儲(chǔ)�����,報(bào)警模塊將所設(shè)置的報(bào)警方式信息��、報(bào)警聲音的音頻文件�、管理員的手機(jī)號(hào)碼及管理員的電子郵箱地址進(jìn)行存儲(chǔ)。
然后�,本實(shí)施例的報(bào)警系統(tǒng)開(kāi)始檢測(cè)審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)中是否包括有與“法輪功”相匹配的內(nèi)容,若包含�����,則發(fā)出報(bào)警啟動(dòng)命令����,通知報(bào)警模塊進(jìn)行報(bào)警����,其中報(bào)警啟動(dòng)命令包括敏感信息關(guān)鍵字“法輪功”�����、報(bào)警開(kāi)始時(shí)間�����、報(bào)警方式�、網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址��、目標(biāo)IP地址�����、源端口��、目標(biāo)端口����。其中報(bào)警方式包括聲音報(bào)警方式、短信報(bào)警方式和電子郵件報(bào)警方式����,假設(shè)聲音報(bào)警方式的編號(hào)為1、短信報(bào)警方式的編號(hào)為2���、電子郵件報(bào)警方式的編號(hào)為3�,則報(bào)警啟動(dòng)命令相應(yīng)地包含報(bào)警方式的編號(hào)1、2���、3���。
報(bào)警模塊接收到報(bào)警啟動(dòng)命令后,在報(bào)警開(kāi)始的時(shí)間按照?qǐng)?bào)警策略管理模塊所設(shè)置的音頻文件���、管理員的手機(jī)號(hào)碼和電子郵箱地址����,發(fā)出聲音�����、短信和電子郵件警報(bào)�����。
權(quán)利要求
1.一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警系統(tǒng)��,其特征在于包括報(bào)警策略管理模塊�、數(shù)據(jù)分析模塊和報(bào)警模塊;報(bào)警策略管理模塊用于設(shè)置敏感信息關(guān)鍵字�、報(bào)警方式、警報(bào)聲音或/和接收方的電話(huà)號(hào)碼���,其中報(bào)警方式包括聲音警報(bào)方式或/和短信報(bào)警方式�����;數(shù)據(jù)分析模塊用于存儲(chǔ)報(bào)警策略管理模塊所設(shè)置的敏感信息關(guān)鍵字����,并對(duì)審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析��,查找是否含有與敏感信息關(guān)鍵字相匹配的內(nèi)容����,若包含,則發(fā)送報(bào)警啟動(dòng)命令到報(bào)警模塊�����;報(bào)警模塊用于根據(jù)上述的報(bào)警啟動(dòng)命令發(fā)出相應(yīng)的一種或多種方式的警報(bào)�����,并存儲(chǔ)上述的報(bào)警策略管理模塊所設(shè)置的警報(bào)聲音或/和接收方的電話(huà)號(hào)碼。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警系統(tǒng)���,其特征在于所述報(bào)警方式還包括電子郵件報(bào)警方式���;所述報(bào)警策略管理模塊還可設(shè)置接收方的電子郵件地址;所述報(bào)警模塊還可以電子郵件報(bào)警方式發(fā)出警報(bào)���,并存儲(chǔ)報(bào)警策略管理模塊所設(shè)置的接收方的電子郵箱地址����。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警系統(tǒng)�����,其特征在于所述報(bào)警啟動(dòng)命令的內(nèi)容包括報(bào)警策略管理模塊所設(shè)置的敏感信息關(guān)鍵字���、報(bào)警開(kāi)始時(shí)間�����、報(bào)警方式��、由審計(jì)系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配內(nèi)容的網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址�、目標(biāo)IP地址�、源端口、目標(biāo)端口���。
4.一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警方法�,其特征在于包括以下步驟A���、設(shè)置并存儲(chǔ)敏感信息關(guān)鍵字���、報(bào)警方式、警報(bào)聲音或/和接收方的電話(huà)號(hào)碼�����;報(bào)警方式包括聲音報(bào)警方式或/和短信報(bào)警方式����;B、查找審計(jì)系統(tǒng)所獲取的網(wǎng)絡(luò)數(shù)據(jù)中是否含有與上述的敏感信息關(guān)鍵字相匹配的內(nèi)容�,若包含,則發(fā)送報(bào)警啟動(dòng)命令���;C��、根據(jù)報(bào)警啟動(dòng)命令以相應(yīng)地一種或多種報(bào)警方式發(fā)出警報(bào)����。
5.如權(quán)利要求4所述的網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警方法,其特征在于所述步驟A還包括設(shè)置并存儲(chǔ)接收方的電子郵箱地址����,報(bào)警方式還包括電子郵件報(bào)警方式;所述步驟C還包括以電子郵件報(bào)警方式發(fā)出警報(bào)���。
6.如權(quán)利要求4所述的網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警方法����,其特征在于所述報(bào)警啟動(dòng)命令包括報(bào)警策略管理模塊所設(shè)置的敏感信息關(guān)鍵字��、報(bào)警開(kāi)始時(shí)間���、報(bào)警方式���、由審計(jì)系統(tǒng)所獲取的含有與敏感信息關(guān)鍵字相匹配的內(nèi)容的網(wǎng)絡(luò)數(shù)據(jù)包的源IP地址、目的IP地址���、源端口�、目標(biāo)端口。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)審計(jì)中的網(wǎng)絡(luò)行為報(bào)警系統(tǒng)及方法����。該系統(tǒng)包括用于設(shè)置報(bào)警內(nèi)容和報(bào)警方式的報(bào)警策略管理模塊�����、用于根椐已設(shè)置的報(bào)警內(nèi)容對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析的數(shù)據(jù)分析模塊和用于發(fā)出一種或多種警報(bào)的報(bào)警模塊���。該方法包括設(shè)置并存儲(chǔ)報(bào)警內(nèi)容報(bào)警方式����,分析網(wǎng)絡(luò)數(shù)據(jù)�����,若存在應(yīng)進(jìn)行報(bào)警的內(nèi)容��,則按照已設(shè)置的報(bào)警方式發(fā)出警報(bào)���。本發(fā)明通過(guò)將敏感信息關(guān)鍵字與網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行匹配�,網(wǎng)絡(luò)數(shù)據(jù)內(nèi)容進(jìn)行分析,并通過(guò)聲音��、短信��、電子郵件三種方式報(bào)警���,使其更為及時(shí)���、高效地通知到管理員。
文檔編號(hào)H04L29/06GK1937622SQ20061006315
公開(kāi)日2007年3月28日 申請(qǐng)日期2006年10月19日 優(yōu)先權(quán)日2006年10月19日
發(fā)明者阮偉軍, 申屠青春, 林飛 申請(qǐng)人:深圳市中科新業(yè)信息科技發(fā)展有限公司