[发明专利]一种账户审计方法

摘要

本发明提供了一种账户审计方法，其包括以下步骤：用户身份关联、资产关联、操作行为分析、高危行为审计。本发明提供的账户审计方法简单、易操作，能准确发现隐藏在网络通信流中网络帐号之间的关联性，这种关联性来源于用户的上网习惯，可以有效克服上网行为关联对先验关联线索的依赖性，提高对用户在多种应用上网行为的联合审计能力，具有实际的应用价值。

主权项

1.一种账户审计方法，其特征在于，包括以下步骤：用户身份关联：将系统层的日志、数据库日志、应用层的日志及网络数据和实际用户关联，实现对不同用户之间的操作的日志进行关联审计，区分不同用户行为和聚合同一用户的行为；资产关联：审计结果与资产进行关联，以实现事件和资产的对应，为系统管理人员、安全人员提供系统的安全状况，资产关联能力可以通过两种方式实现：如果审计系统中具备资产管理的能力，审计出的事件和内置的资产管理模块进行关联分析；如果审计系统中不具备资产管理能力，与4A平台的资源管理模块进行结合，通过对其进行查询操作，实现和审计事件的关联分析；操作行为分析：通过审计系统，要在全部网络事件中审计出用户操作行为，将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，对财务数据相关的关键系统数据进行访问、修改和删除，需要再现用户的完整操作过程；根据日志或网络数据生成用户操作行为，依据模型进行异常行为检测；对不规则或频繁出现的事件进行统计分析、过滤和事件聚合，同时提供自定义匹配模式查询功能；对安全事件进行关联，将来自不同设备的海量日志关联为准确的操作行为，并对特定安全事件实现还原；高危行为审计：导入高危行为审计描述文件：包括自身系统重要操作或者危险操作列表、操作级别、对应的说明、高危操作的具体指令或特征值；对以下高危行为进行审计：系统层：系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、操作服务端口开启、启动后台进程和可执行文件安装；数据库：关键数据表的插入、修改及删除；应用层：用户数据的修改、关键业务参数配置的修改；各层共性的高危操作：用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。