[发明专利]一种基于回显的审计方法及系统

说明书

技术领域

本发明涉及可用于网络业务审计产品中对于某些协议或系统利用服务端回显的技术对相关网络业务进行精确审计的一种基于回显的审计方法及系统，它依据网络系统当中服务器端与客户端交互过程中使用的回显技术对需要审计的信息进行准确提取及审计，属于网络技术领域。

背景技术

网络业务审计系统是目前应用日益广泛的作为网络安全防护的重要手段，它通过对业务系统中可信人员的网络活动进行解析、记录、分析以帮助管理人员事前规划预防、事中实时监控、违规行为阻止和事后追查网络运营事故，从而帮助用户加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备)损失、保障客户业务系统的正常运营，是企业实现IT管理和控制的最佳实践。目前绝大部分的审计系统都是采用协议解析技术首先对网络报文进行解析，然后在特定的字段当中提取需要审计的内容，然后根据这些内容将相应的业务操作进行审计，实时处理或者存储在相应的日志库中。例如sqlserver数据库系统当中客户端与服务器端进行交互使用TDS协议，而绝大部分对于数据库的操作行为都是以sql语句进行交互的。这些sql语句都按照TDS协议的格式封装在特定的字段当中，则跳过协议头的8字节之后即为相应的数据字段。从中可以提取出标识当前数据库操作的sql语句内容进行审计。此外对于某些基于命令行模式操作的协议如telnet协议，某些环境当中对于协议的审计可以通过关键字完成，如用户名输入会有login字段，其后可作为用户名提取。但是对于某些的客户环境当中使用telnet协议时是不包含类似的关键字特征的。此时对于一般的审计系统处理方式是跳过telnet协议客户端与服务器端连接初始阶段的以ff字段开头的命令协商部分数据包。而后对于所有的输入作为用户名提取知道回车标识为止。按照这种方式实际上在没有特征字标识的情况下是无法正确分辨客户端的输入究竟是用户名、密码还是具体操作而将所有的客户端输入按照统一的方式提取并上报到审计系统。但是出于安全性的考虑，在很多用户环境当中对于每一个用户名相对应的密码是不应该被提取并显示在审计终端上的，这实际上违背了审计的初衷，即审计了不该审计的信息。这就在一定程度上增加了审计的难度，如何准确的识别并提取用户需要的信息同时处于安全的考虑保护用户希望保护的信息成为了关键问题。

目前在网络业务审计产品对于审计范围的考虑并不完善，很多审计产品在审计使用某些协议如telnet、X11的网络行为的时候都存在着将用户隐私信息提取并显示出来的问题。实际上在这些协议的使用过程当中对于客户端输入的数据服务器端会将其中需要显示在客户端界面上的内容传输回客户端，也就是说出于安全性的考虑服务器端在实际网络交互过程当中会将用户输入的信息当中可以公开显示的部分再传送给客户端的显示系统，例如telnet在输入用户名可以在显示器上看到输入的内容，而密码通常只能看到一串星号，这就是根据服务器端传输给客户端的报文内容决定的，称之为回显。同时所有的用户操作行为，如查询等都会通过回显的方式显示在客户端，这说明实现一种基于回显的审计方法避免对敏感信息的提取是可能的。因此有必要发展一种能够实现基于回显方式的审计方法用以提高网络业务审计系统审计的准确性及确定精确的审计范围。

发明内容

为了克服现有网络业务审计系统对于某些协议或系统实际审计过程当中审计范围不准确造成的安全性问题，本发明提供一种基于回显的审计方法及系统。所述的基于回显的审计方法及系统可以满足：对于具有回显机制的协议或系统能够准确的识别审计范围及内容、有效的保护用户私有信息；具有非常高的相关信息的提取及审计效率，实现尽可能简单。

本发明的目的是这样实现的：

一种基于回显的审计系统，包括：

对当前网络环境中进行的网络业务操作行为数据报文的数据信息进行提取的网络业务操作内容提取器；

对所有提取的数据报文利用服务器回显信息对审计信息集合进行筛选的回显信息识别器；

最终对通过筛选的信息进行网络业务行为审计并进行实时显示或日志保存的审计装置；

所述的网络业务操作内容提取器与回显信息识别器连接并传输数据；所述的回显信息识别器与审计装置连接并传输数据。

一种基于回显的审计方法，其关键在于包括以下的步骤：

网络业务操作内容提取步骤；

回显信息识别步骤；

审计的步骤。