一种结合内容审计的用户上网行为审计的方法及系统与流程

1.本发明涉及上网行为审计技术领域，尤其涉及一种结合内容审计的用户上网行为审计的方法及系统。


背景技术：

2.如何感知用户的网络行为，实现对用户上网行为的审计，并根据审计结果对用户上网行为进行控制，一直是网络管理者关注的问题。简单地说，用户上网行为的审计技术是一种对用户上网行为进行记录和分析的方法，包括用户上网数据的采集和用户上网数据的分析等内容。在用户行为审计技术提供的各种分析数据基础上，网络管理者可以根据网络使用状况，对网络安全、用户行为进行有效的监控和管理，同时为网络犯罪提供有力的证据。
3.目前用户上网行为审计的方法很多，可以把用户上网的ip地址，url以及网站分类信息等记录下来，并且可以通过配置审计条件对满足相关条件的用户上网行为进行审计。
4.但是审计数据量很大，关联性比较差，而且多以表格形式呈现，网络管理员很难从其中发现异常行为。


技术实现要素：

5.1.要解决的技术问题
6.本发明的目的是为了解决现有技术中审计数据量很大，关联性比较差，而且多以表格形式呈现的问题，而提出的一种结合内容审计的用户上网行为审计系统。
7.2.技术方案
8.为了实现上述目的，本发明采用了如下技术方案：
9.一种结合内容审计的用户上网行为审计系统，包括dpi子系统和ui子系统，所述dpi子系统的输出端与行为审计模块和黑名单模块的输入端通过中间件子系统连接；
10.所述dpi子系统包括数据包接收模块、http协议分析模块、行为审计模块和黑名单模块，所述数据包接收模块的输出端与http协议分析模块的输入端连接，http协议分析模块的输出端分别与行为审计模块和黑名单模块的输入端连接，所述行为审计模块和黑名单模块的输出端与中间件子系统的输入端通过数据上报模块连接；
11.所述ui子系统包括行为审计策略模块和时光轴模块，所述中间件子系统的输出端分别与审计策略模块和时光轴模块的输入端连接。
12.优选地，所述中间件子系统包括子系统行为审计策略模块和数据处理模块，所述据上报模块的输出端分别与子系统行为审计策略模块和数据处理模块的输入端连接。
13.优选地，所述数据包接收模块用于接收用户上网行为的数据包。
14.优选地，所述http协议分析模块用于解析http协议。
15.优选地，所述黑名单模块对http协议做黑名单匹配，生成黑名单告警事件。
16.优选地，所述行为审计模块对http协议做行为审计，得到用户上网行为的类别(比
如浏览，发帖等)和统计数据，并且通过内容审计得到上网行为的具体内容(发帖内容等)。
17.优选地，所述数据处理模块接收来自dpi子系统的审计数据和黑名单告警数据并且做关联，供ui的时光轴控件展现。
18.优选地，所述时光轴模块以时间作为纵轴，展现行为审计和内容审计的内容，同时显示黑名单告警事件。
19.本发明还提出了一种结合内容审计的用户上网行为审计方法，包括以下步骤：
20.步骤1：利用丰富的域名库积累和高效的域名匹配算法，对用户上网的行为做分类统计；
21.步骤2：利用正则匹配表达式对用户上网的详细内容做分类和记录；利用黑名单对http协议流量做匹配，生成告警事件；
22.步骤3：利用纵向的时光轴展示用户上网行为和具体内容，并且让黑名单告警事件关联到时光轴。
23.3.有益效果
24.相比于现有技术，本发明的优点在于：
25.本发明中，利用用户上网行为审计和黑名单功能，结合时光轴和黑名单匹配的告警事件对用户上网行为和攻击事件做了很好的关联性，有利于网络管理员快速追根溯源，找到网络攻击的源头，并且通过打补丁解决安全漏洞问题。
附图说明
26.图1为本发明提出的一种结合内容审计的用户上网行为审计系统的网络拓扑图；
27.图2为本发明提出的一种结合内容审计的用户上网行为审计系统的结构示意图；
28.图3为本发明提出的一种结合内容审计的用户上网行为审计系统中dpi子系统的结构示意图；
29.图4为本发明提出的一种结合内容审计的用户上网行为审计系统中中间件子系统的结构示意图；
30.图5为本发明提出的一种结合内容审计的用户上网行为审计系统中ui子系统的结构示意图。
具体实施方式
31.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。
32.实施例1：
33.参照图1-5，一种结合内容审计的用户上网行为审计系统，包括dpi子系统和ui子系统，所述dpi子系统的输出端与行为审计模块和黑名单模块的输入端通过中间件子系统连接；
34.本发明中，所述中间件子系统包括子系统行为审计策略模块和数据处理模块，所述据上报模块的输出端分别与子系统行为审计策略模块和数据处理模块的输入端连接；
35.本发明中，所述dpi子系统包括数据包接收模块、http协议分析模块、行为审计模块和黑名单模块，所述数据包接收模块的输出端与http协议分析模块的输入端连接，http
协议分析模块的输出端分别与行为审计模块和黑名单模块的输入端连接，所述行为审计模块和黑名单模块的输出端与中间件子系统的输入端通过数据上报模块连接；
36.本发明中，所述ui子系统包括行为审计策略模块和时光轴模块，所述中间件子系统的输出端分别与审计策略模块和时光轴模块的输入端连接。
37.本发明中，数据包接收模块接收用户上网行为的数据包；http协议分析模块解析http协议；黑名单模块对http协议做黑名单匹配，生成黑名单告警事件；
38.本发明中，行为审计模块对http协议做行为审计，得到用户上网行为的类别(比如浏览，发帖等)和统计数据，并且通过内容审计得到上网行为的具体内容(发帖内容等)；数据上报模块把行为和内容审计数据以及黑名单告警事件上报给中间件子系统。
39.本发明中，行为审计策略模块处理用户对行为审计的策略配置；数据处理模块接收来自dpi子系统的审计数据和黑名单告警数据并且做关联，供ui的时光轴控件展现。
40.本发明中，行为审计策略模块处理用户对行为审计的策略配置；时光轴模块以时间作为纵轴，展现行为审计和内容审计的内容，同时显示黑名单告警事件。
41.本发明中，一种结合内容审计的用户上网行为审计方法，包括以下步骤：
42.步骤1：利用丰富的域名库积累和高效的域名匹配算法，对用户上网的行为做分类统计；
43.步骤2：利用正则匹配表达式对用户上网的详细内容做分类和记录；利用黑名单对http协议流量做匹配，生成告警事件；
44.步骤3：利用纵向的时光轴展示用户上网行为和具体内容，并且让黑名单告警事件关联到时光轴。
45.本发明中，利用用户上网行为审计和黑名单功能，结合时光轴和黑名单匹配的告警事件对用户上网行为和攻击事件做了很好的关联性，有利于网络管理员快速追根溯源，找到网络攻击的源头，并且通过打补丁解决安全漏洞问题。
46.以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。