一种内部网络行为审计系统及审计方法

摘要

本发明公开了一种内部网络行为审计系统及审计方法，包括：客户端、管理端、服务应用端；客户端安装在内网终端计算机上，用于抓取终端计算机上的用户输入输出数据，并将数据暂存在缓存目录下，等待上传指令；管理端通过内网浏览器进行访问，用于设置客户端参数、设置数据审计规则、设置用户权限参数以及数据分析与告警；服务应用端，它是布置在以LINUX为操作系统的服务器上，它包括管理端的应用服务、文件传输应用服务、数据库应用服务。本发明通过对内网终端用户输入与输出端进行行为数据抓取并通过审计规则对数据进行分析与管制，帮助管理人员审计员工是否符合内网终端行为的安全规则要求，提供事后快速违规行为定位和责任追踪。

说明书

技术领域

本发明属于网络数据分析领域，尤其涉及一种内部网络行为审计系统及审计方法。

背景技术

目前，市面上的方法有很多，大多通过网络服务器的网络协议来获取并解析网络行为数据。或通过网络中路由器的syslog来获取网络行业数据，并通过预先的审计策律进行数据处理与管控。

现有技术中存在的缺陷如下：

通过网络服务器的网络协议来获取并解析网络行为数据的方法，虽然可以直接获取到网卡接口的收发数据包，但它存在一个问题：不用的服务器可能存在不同操作系统或者协议问题，会比较挑设备。通过路由器的方法，它存在的缺陷：虽然它可以获取网络行为记录，但缺少行为内容，需要通过外在设备(如监控、录屏设备)来弥补这个问题。

发明内容

本发明为了解决上述现有技术中存在的缺陷和不足，提供了一种通过对内网终端用户输入与输出端进行行为数据抓取并通过审计规则对数据进行分析与管制，帮助管理人员审计员工是否符合内网终端行为的安全规则要求，提供事后快速违规行为定位和责任追踪；达到员工行为操作规范性和知识产品保护的安全要求的内部网络行为审计系统及审计方法。

本发明的技术方案如下：一种内部网络行为审计系统，包括：客户端、管理端、服务应用端；

客户端安装在内网终端计算机上，用于抓取终端计算机上的用户输入输出数据，并将数据暂存在缓存目录下，等待上传指令；

管理端通过内网浏览器进行访问，用于设置客户端参数、设置数据审计规则、设置用户权限参数以及数据分析与告警；

服务应用端，它是布置在以LINUX为操作系统的服务器上，它包括管理端的应用服务、文件传输应用服务、数据库应用服务。

优选地，一种内部网络行为审计系统的审计方法，步骤包括：

S10：管理端设置客户端参数与审计规则；

S20：客户端与管理端获取参数；

S30：客户端根据参数进行行为数据抓取；

S40：客户端将数据上传给管理端；

S50：管理端根据审计规则进行分析与告警。

优选地，步骤S10中，客户端参数包括：数据传输地址、传输端口、连接用户、连接密码、传输间隔时长、发包时长、心跳时长、截屏图片参数、水印透明度、水印倾斜度、水印内容、自动锁屏时间、锁屏显示内容、锁屏请求间隔、解屏密码；审计规则包括：特殊IP监控、敏感词管理、敏感网站管理、规则监控参数、时间段管理。

优选地，步骤S10中，通过管理端对客户端的参数进行设置；对网络行为数据的审计规则进行设定；其步骤具体为：通过管理员帐号登录管理端，进入客户端参数设置页面，对客户端的数据上传参数、截屏参数、水印参数、锁屏参数按照现实情况进行设置；

通过用户备份到云端的软件列表获取用户已安装软件名称；用户安装软件后，会备份到云端与该用户ID对应的软件列表中；进入审计规则设置页面分别对特殊IP监控、敏感词管理、敏感网站管理、规则监控参数、时间段管理进行设置；

通过管理端设置客户端参数，从而客户端运行时自动获知管理端设置好的参数。

优选地，步骤S20中，在内网终端计算机上安装好客户端后，客户端就自动运行于后台，当用户进行键盘、鼠标等输入设备操作时，客户端首先会进行用户操作事件类型的确认，再根据用户操作事件类型从管理端获取相应的参数。

优选地，步骤S30中，根据获取的参数客户端进行行为数据的抓取，客户端数据抓取分为三个模块：

1.键盘录入的内容数据抓取：客户端实时监测键盘录入，当键盘录入数据时，客户端自动抓取数据内容，当使用快捷键时，客户也会自动识别；客户端自动识别复制粘贴功能，抓取粘贴板内相应内容；抓取的数据以TXT文件保存在临时缓存区，等待上传；

2.抓取鼠标点击内容：客户端实时监测鼠标动作，当鼠标点击时，客户端自动作鼠标位置截图动作，图片大小范围由客户端从管理端获取参数决定；抓取的数据以JPG格式文件保存在临时缓存区，等待上传；

3.获取打印机打印次数：客户端实时监测内部网络打印机打印动作，当某打印机打印时，客户端自动计数一次，并上报给管理端做打印机打印统计；

通过客户端对键盘、鼠标、打印机的行为数据抓取，方便后面行为数据分析。

优选地，步骤S40中，客户端抓取的数据都存放在临时缓存区，根据客户端从管理端获取的参数据定时把抓取的数据上传管理端；管理端通过一定的规则读取后存入到数据库中；

系统的抓取数据上传模块采用FTP服务，通过在管理端设置好FTP上传地址、FTP上传端口号、FTP用户名和密码、定时上传时间后，将存放在临时缓存区的数据进行定时上传。

优选地，步骤S50中，抓取的数据存入数据库后，管理端通过预先设定好的审计规则进行分析，展示，告警；

审计规则有：

1.特殊IP监控：对指定IP的终端访问指定网站进行告警。比如：对IP地址为192.168.34.123的计算机访问百度网站进行告警。当内网IP为192.168.34.123的计算机在访问百度网站时，管理端就会记录这条信息并进行告警提示。

2.敏感词管理：在内部网络里，终端输入指定字符或者词语进行告警。例如：敏感词管理中设定了“爬虫”为敏感词，当内部网络中的终端计算机输入信息出现“爬虫”敏感词，管理端就进行告警提示。

3.敏感网站管理：在内部网络里，终端访问指定网站进行告警。

4.规则监控参数(正则表达式)：在内部网络里，对于抓取的键盘输入信息进行正则表达式条件过滤，符合正则表达式的信息管理端就是进行告警。例如，设置规则监控参数：(正则名称，海南省三亚市身份证；表达式，

(4600[0-9])\d{1}(18|19|([23]\d))\d{2}((0[1-9])|(10|11|12))(([0-2][1-9])|10|20|30|31)\d{3}[0-9Xx])，这里表示如果终端输入信息中出现符合“海南省三亚市身份证号码为正则表达式中的范围”就进行审计告警。

5.打印机监控：对内部网络中的打印机使用次数进行监控。主要用于内网终端计算机打印的跟踪与追溯。

本发明可以对内网终端用户输入与输出端进行行为数据抓取并通过审计规则对数据进行过滤分析与告警，帮助管理人员审计员工是否符合内网终端行为的安全规则要求，提供事后快速违规行为定位和责任追踪。达到员工行为操作规范性和知识产品保护的安全要求。

附图说明

图1为本发明实施例1审计方法的流程图；

图2为本发明实施例2中审计系统的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细的说明，但并不是对本发明保护范围的限制。

实施例1

一种内部网络行为审计系统，包括：客户端、管理端、服务应用端；

客户端安装在内网终端计算机上，用于抓取终端计算机上的用户输入输出数据，并将数据暂存在缓存目录下，等待上传指令。

管理端通过内网浏览器进行访问，用于设置客户端参数、设置数据审计规则、设置用户权限参数以及数据分析与告警。

服务应用端，它是布置在以LINUX为操作系统的服务器上，它包括管理端的应用服务、文件传输应用服务、数据库应用服务。

如图1所示，该审计系统的流程步骤包括：

S10：管理端设置客户端参数与审计规则。

客户端参数包括：数据传输地址、传输端口、连接用户、连接密码、传输间隔时长、发包时长、心跳时长、截屏图片参数(长宽高、RGB)、水印透明度、水印倾斜度、水印内容、自动锁屏时间、锁屏显示内容、锁屏请求间隔、解屏密码。

审计规则包括：特殊IP监控、敏感词管理、敏感网站管理、规则监控参数(正则表达式)、时间段管理。

该实施例中，通过管理端对客户端的参数进行设置；对网络行为数据的审计规则进行设定。

其步骤具体为：通过管理员帐号登录管理端，进入客户端参数设置页面，对客户端的数据上传参数、截屏参数、水印参数、锁屏参数按照现实情况进行设置。

通过用户备份到云端(服务器端)的软件列表获取用户已安装软件名称。用户安装软件后，会备份到云端与该用户ID(即用户标识)对应的软件列表中。进入审计规则设置页面分别对特殊IP监控、敏感词管理、敏感网站管理、规则监控参数(正则表达式)、时间段管理进行设置。

例如，设置规则监控参数：(正则名称，海南省三亚市身份证；表达式，(4600[0-9])\d{1}(18|19|([23]\d))\d{2}((0[1-9])|(10|11|12))(([0-2][1-9])|10|20|30|31)\d{3}[0-9Xx])，这里表示如果终端输入信息中出现符合“海南省三亚市身份证号码为正则表达式中的范围”就进行审计告警。

例如，设置数据传输地址：设置客户端抓取的行为数据传输的服务参数，参数包括传输的目标IP地址、传输的端口、连接交互的用户号和密码、多久上传一次。

通过管理端设置客户端参数，从而客户端运行时自动获知管理端设置好的参数。

S20：客户端与管理端获取参数。

在内网终端计算机上安装好客户端后，客户端就自动运行于后台，当用户进行键盘、鼠标等输入设备操作时，客户端首先会进行用户操作事件类型的确认，再根据用户操作事件类型从管理端获取相应的参数。

例如，用户进行键盘输入操作，客户端就会先确认操作类型为键盘输入操作类型，再从管理端获取键盘输入操作类型参数。

S30：客户端根据参数进行行为数据抓取。

根据获取的参数客户端进行行为数据的抓取。客户端数据抓取分为三个模块：

4.键盘录入的内容数据抓取：客户端实时监测键盘录入，当键盘录入数据时，客户端自动抓取数据内容，当使用快捷键时，客户也会自动识别。比如Ctrl+C或Ctrl+V，客户端自动识别复制粘贴功能，抓取粘贴板内相应内容。抓取的数据以TXT文件保存在临时缓存区，等待上传。

5.抓取鼠标点击内容：客户端实时监测鼠标动作，当鼠标点击时，客户端自动作鼠标位置截图动作，图片大小范围由客户端从管理端获取参数决定。抓取的数据以JPG格式文件保存在临时缓存区，等待上传。

6.获取打印机打印次数：客户端实时监测内部网络打印机打印动作，当某打印机打印时，客户端自动计数一次，并上报给管理端做打印机打印统计。

通过客户端对键盘、鼠标、打印机的行为数据抓取，方便后面行为数据分析。

S40：客户端将数据上传给管理端。

客户端抓取的数据都存放在临时缓存区，根据客户端从管理端获取的参数据定时把抓取的数据上传管理端。管理端通过一定的规则读取后存入到数据库中。

在实施案例中，系统的抓取数据上传模块采用FTP服务，通过在管理端设置好FTP上传地址、FTP上传端口号、FTP用户名和密码、定时上传时间后，将存放在临时缓存区的数据进行定时上传。

例如，上传地址(172.16.1.22)，用户名和密码是(root/root)，端口号(2121)，传输间隔(20秒)。其作用是客户端抓取的数据通过FTP使用用户名root,密码root，端口号2121，每20秒往服务端上传一次数据。

S50：管理端根据审计规则进行分析与告警。

抓取的数据存入数据库后，管理端通过预先设定好的审计规则进行分析，展示，告警。

在实施案例中，这里的审计规则有：

1.特殊IP监控：对指定IP的终端访问指定网站进行告警。比如：

对IP地址为192.168.34.123的计算机访问百度网站进行告警。当内网IP为192.168.34.123的计算机在访问百度网站时，管理端就会记录这条信息并进行告警提示。

2.敏感词管理：在内部网络里，终端输入指定字符或者词语进行告警。例如：敏感词管理中设定了“爬虫”为敏感词，当内部网络中的终端计算机输入信息出现“爬虫”敏感词，管理端就进行告警提示。

3.敏感网站管理：在内部网络里，终端访问指定网站进行告警。

4.规则监控参数(正则表达式)：在内部网络里，对于抓取的键盘输入信息进行正则表达式条件过滤，符合正则表达式的信息管理端就是进行告警。例如，设置规则监控参数：(正则名称，海南省三亚市身份证；表达式，

(4600[0-9])\d{1}(18|19|([23]\d))\d{2}((0[1-9])|(10|11|12))(([0-2][1-9])|10|20|30|31)\d{3}[0-9Xx])，这里表示如果终端输入信息中出现符合“海南省三亚市身份证号码为正则表达式中的范围”就进行审计告警。

5.打印机监控：对内部网络中的打印机使用次数进行监控。主要用于内网终端计算机打印的跟踪与追溯。

实施例2

一种内部网络行为审计系统，包括安装信息抓取模块100、数据上传模块200以及数据处理模块300；

安装信息抓取模块100用于抓取内部网络终端计算机用户操作行为数据信息。其中数据信息包括键盘输入的信息、鼠标点击操作的内容、用户使用打印机打印情况等。

Windows中的大部分应用程序都是基于消息机制的，根据不同的消息完成不同的功能。HOOK(钩子)机制就是由windows操作系统提供的可以用来截获和监视系统中这些消息的。

HOOK又可以分为局部HOOK和全局HOOK。其中局部HOOK是针对某个线程的，全局HOOK是作用于整个系统的基于消息的应用。全局HOOK需要使用DLL文件，在DLL中实现相应的HOOK函数。

如果创建的是全局HOOK，那么HOOK函数必须在一个DLL中。这是因为进程的地址空间是独立的，发生对应事件的进程不能调用其他进程地址空间的HOOK函数。如果HOOK函数的实现代码在DLL中，则在对应事件发生时，系统会把这个DLL加载到发生事件的进程地址空间中，使它能够调用HOOK函数进行处理。

该实施例中，安装信息抓取模块100主要为了抓取内部网络终端计算机用户键盘输入的信息、鼠标点击操作的内容以及打印机使用情况。具体为用户通过键盘或鼠标等输入设备录入信息，接着WINDOWS的消息机制会对录入信息进行处理，我们将在这个处理过程中通过HOOK函数抓取输入的信息，并保存下来存于临时缓存区，并于后面上传给服务应用端。

所述的抓取鼠标点击操作内容，具体实现为：点击鼠标，以鼠标点击的坐标为基础，按管理端获取的参数(图片长与宽)来截取桌面某一部分，保存下来存于临时缓存区，并传给服务应用端。因为WH_GETMESSAGE类型的HOOK会监视消息队列，并且Windows系统是基于消息驱动的，所以所有进程都会有自己的一个消息队列，都会加载WH_GETMESSAGE类型的全局HOOK的DLL。

其中WM_LBUTTONDOWN是在左击客户区时响应；

WM_NCLBUTTONDOWN是在左击非客户区时响应；

WM_RBUTTONDOWN是在右击客户区时响应；

WM_NCRBUTTONDOWN是在右击非客户区时响应。

主要是监视WM_LBUTTONDOWN与WM_NCLBUTTONDOWN和WM_RBUTTONDOWN与WM_NCRBUTTONDOWN，当检测到该类型消息，就进行截屏与保存。在这过程中获取一个整个屏幕的DC，物理屏幕的宽度，物理屏幕的高度，像素相连颜色位数，图片的宽与高都除以2，以鼠标点击的坐标点，向四周扩展，形成一个在屏幕上，以鼠标坐标点为基础的一个矩形范围。如果鼠标点击的位置在屏幕的四周，这样计算出的矩形可以会超过物理屏幕的宽与高，根据计算出矩形的4个点，是否都在屏幕的宽与高的范围内，如果不在则需要调整该矩形的位置。矩形4个点坐标计算出来以后。这里要创建两个位图，一个是物理屏幕的宽度，物理屏幕的高度，像素相连颜色位数的位图的位图；一个是规定图片的长与宽，像素相连颜色位数的位图的位图，将屏幕的矩形范围内复制到位图上这个函数需要创建两个位图，一个是整个桌面的位图，一个是鼠标点击范围的位图。根据屏幕的分辨率，轻松的得到屏幕的宽与高，将整个桌面复制到该位图上。根据鼠标点击的坐标为圆心，计算出在整个屏幕的位置得到一个矩形。将第一块位图的这个矩形范围的位图复制到第二个位图上并保存下来，等待上传。

其具体步骤为：

1.系统通过安装信息抓取模块100，启用全局HOOK函数(WH-GETMESSAGE)；

2.用户进行鼠标点击操作时，触发HOOK函数；

3.确认操作事件是否为鼠标操作事件；

4.获取鼠标操作事件的参数；

5.监视到鼠标点击消息后，将鼠标的坐标、图片的宽与高参数传入，进行截取以鼠标中心的图片；

6.保存图片信息并存于临时缓存区，等待上传。

所述的抓取键盘输入操作内容，具体实现为：当键盘录入，输入法录入，CTRL+V粘贴切剪板时，把数据保存下来存于临时缓存区，并传给服务应用端。因为WH_GETMESSAGE类型的HOOK会监视消息队列，并且Windows系统是基于消息驱动的，所以所有进程都会有自己的一个消息队列，都会加载WH_GETMESSAGE类型的全局HOOK的DLL。

当用户改变了编码状态时，发送此消息WM_IME_COMPOSITION，应用程序可以通过调用ImmGetCompositionString获取新的编码状态。通过这个消息获取输入法的内容。WM_KEYDOWN(键按下消息)：主要是监视WM_IME_COMPOSITION获取输入法内容，监视WM_KEYDOWN获取按键内容及切剪板内容。获取到内容存于临时缓存区，并于后面上传给服务应用端。

其具体步骤为：

1.安装WH_GETMESSAGE类型的全局HOOK；

2.确认操作事件是否为键盘输入操作事件；

3.获取键盘输入操作事件的参数；

4.监视到WM_IME_COMPOSITION消息通过ImmGetCompositionString获取输入法的内容

5.监视到WM_KEYDOWN消息，将字符保存文件，监视到Ctrl+V按键，将剪贴板的内容获取下来保存于临时缓存区，等待上传。

所述的抓取打印机使用情况，具体实现为：初始化时，枚举可用的打印机，并将枚举出的打印机设备一一打开，并添加“添加任务”通知事件循环遍历，是否有添加任务的事件，如果有则捕获下来,记录后传输给后台。如果没有则会超时处理。

数据上传模块200用于客户端与管理端行为数据的传输。

信息抓取模块抓取的数据都是暂存在一个临时缓存区，缓存区是一个隐藏的数据文件夹。数据上传模块200具体过程为：

在服务应用端部署了FTP应用服务；

客户端在安装好时自动从管理端获取运行参数；

客户端根据参数里面的FTP传输发起数据传输；

管理端接收传输过来的数据，读取后存储到数据库中。

数据处理模块300用于根据抓取的内部网络终端计算机用户操作行为数据信息进行过滤、分析、展示与告警。为了达到行为审计的目的，模块中预先设定好审计的规则条件。比如，在实施例中，要在内部网络中禁止使用“身份证“关键词，其内部实现过程为：当内部网络终端计算机用户输入关键词，同时输入信息上传到管理端，在管理端输入的信息将与审计规则的敏感词表进行比对，查询输入信息中是否有存在敏感词，如存在敏感词，就调取输入信息的相关信息(IP地址、时间、内容等)并进行展示和告警。展示则通过管理端首页进行展示或者展示大屏进行展示；告警则通过短信或者邮件通知管理员进行告警。管理员在接告警后，可以通过管理端查看终端计算机用户输入信息，并关联鼠标操作，评估是否违规行为。

在其他实施例中，数据上传模块200还可以通过在客户端计算机上安装上传工具，根据需求将抓取的行为数据上传到指定的服务应用端。或者，安装信息抓取模块100在不考虑成本的前提下，不排除可能存在使用硬件设备进行替代。

本发明的主要创新点如下：

1.行为信息数据的实时抓取，通过客户端抓取用户键盘输入信息、抓取鼠标点击位置信息、打印使用数据。客户端采用插件形式，安装完自动隐藏，支持卸载监控与防卸载保护。

2.通过行为信息数据进行审计分析与告警。审计规则可根据实际情况进行自定义创建。根据用户键盘输入信息与鼠标点击位置信息可进行关联，用于提供事后快速违规行为定位和责任追踪。

3.系统支持终端计算机水印屏，可自定义设置水印形式、内容等，用于防止偷拍行为。