一種對(duì)用戶登錄登出應(yīng)用系統(tǒng)的行為軌跡的分析方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種系統(tǒng)信息安全技術(shù),具體涉及對(duì)應(yīng)用系統(tǒng)的用戶行為分析的方法�����。
【背景技術(shù)】
[0002]當(dāng)前很多計(jì)算機(jī)信息系統(tǒng)��,特別是安全等級(jí)高的信息系統(tǒng)�����,都有系統(tǒng)外安全審計(jì)的監(jiān)管需求�����。系統(tǒng)外審計(jì)是指在應(yīng)用系統(tǒng)之外的網(wǎng)絡(luò)層、操作系統(tǒng)或數(shù)據(jù)庫(kù)對(duì)應(yīng)用系統(tǒng)進(jìn)行行為審計(jì)�����,本發(fā)明特指網(wǎng)絡(luò)層審計(jì)�����。
[0003]網(wǎng)絡(luò)層審計(jì)一般是通過(guò)網(wǎng)絡(luò)設(shè)備對(duì)應(yīng)用系統(tǒng)的網(wǎng)絡(luò)通訊進(jìn)行偵聽(tīng)�,分析網(wǎng)絡(luò)通訊報(bào)文,記錄用戶訪問(wèn)日志���。通過(guò)對(duì)訪問(wèn)日志的分析�,可以診斷應(yīng)用系統(tǒng)是否存在非正常的用戶訪問(wèn)行為���,比如在非工作時(shí)間有大數(shù)據(jù)量下載�����、用戶在線時(shí)長(zhǎng)異常、用戶訪問(wèn)過(guò)于頻繁等���。在識(shí)別用戶行為時(shí)���,需要解決的一個(gè)基本問(wèn)題是識(shí)別用戶何時(shí)登錄系統(tǒng)���、何時(shí)登出系統(tǒng)。
[0004]但是現(xiàn)有技術(shù)無(wú)法有效準(zhǔn)確地識(shí)別用戶登錄�、登出系統(tǒng)的時(shí)間。由此可見(jiàn)提供一種能夠有效識(shí)別用戶登錄��、登出系統(tǒng)時(shí)間的方案是本領(lǐng)域亟需要解決的問(wèn)題����。
【發(fā)明內(nèi)容】
[0005]針對(duì)現(xiàn)有技術(shù)在進(jìn)行系統(tǒng)外日志審計(jì)時(shí),無(wú)法有效識(shí)別用戶登錄�����、登出系統(tǒng)時(shí)間的問(wèn)題�,本發(fā)明的目的在于提供一個(gè)應(yīng)用系統(tǒng)訪問(wèn)日志的分析方法,通過(guò)對(duì)應(yīng)用系統(tǒng)的系統(tǒng)外訪問(wèn)日志的記錄分析�,可以有效識(shí)別用戶登錄該系統(tǒng)、登出該應(yīng)用系統(tǒng)的時(shí)間����。
[0006]為了達(dá)到上述目的,本發(fā)明采用如下的技術(shù)方案:
[0007]一種對(duì)用戶登錄登出應(yīng)用系統(tǒng)的行為軌跡的分析方法���,該分析方法包括如下步驟:
[0008](I)以系統(tǒng)外方式記錄應(yīng)用系統(tǒng)的用戶訪問(wèn)日志����;
[0009](2)對(duì)訪問(wèn)日志根據(jù)用戶標(biāo)識(shí)、應(yīng)用系統(tǒng)標(biāo)識(shí)進(jìn)行分類���,并根據(jù)時(shí)間排序�,形成對(duì)應(yīng)的連續(xù)訪問(wèn)日志集�����;
[0010](3)分析指定用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)日志�;
[0011](4)根據(jù)步驟(3)的分析結(jié)果構(gòu)建以時(shí)間為順序的連續(xù)的日志記錄集;
[0012](5)將日志記錄集的最早時(shí)間識(shí)別為該用戶登錄時(shí)間��;
[0013](6)將日志記錄集的最晚時(shí)間識(shí)別為該用戶登出時(shí)間����。
[0014]優(yōu)選的,所述步驟(I)中通過(guò)網(wǎng)絡(luò)設(shè)備記錄應(yīng)用系統(tǒng)的用戶訪問(wèn)日志���。
[0015]優(yōu)選的�,所述步驟⑴中所述的應(yīng)用系統(tǒng)可以是B/S架構(gòu)系統(tǒng)��,也可以是C/S架構(gòu)系統(tǒng)�。
[0016]優(yōu)選的,所述步驟(3)中以對(duì)以時(shí)間為順序的連續(xù)日志集以時(shí)間序逐條進(jìn)行日志時(shí)間及應(yīng)用系統(tǒng)標(biāo)識(shí)比較分析����,來(lái)實(shí)現(xiàn)分析指定用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)日志。
[0017]優(yōu)選的��,所述步驟(3)進(jìn)行分析指定用戶對(duì)應(yīng)用系統(tǒng)的訪問(wèn)日志時(shí)����,首先針對(duì)當(dāng)前日志進(jìn)行應(yīng)用系統(tǒng)標(biāo)識(shí)比較,若當(dāng)前日志和上一條日志不屬于同一應(yīng)用系統(tǒng)�����,則識(shí)別為一次登出行為����;若當(dāng)前日志和上一條日志屬于同一應(yīng)用系統(tǒng),則進(jìn)行日志時(shí)間比較分析����,若前日志和上一條日志時(shí)間間隔大于指定閥值,則識(shí)別為一次登出行為��,否則進(jìn)行下一條日志的分析。
[0018]優(yōu)選的�����,所述的閥值是系統(tǒng)對(duì)應(yīng)用系統(tǒng)設(shè)定的預(yù)定值�����。
[0019]優(yōu)選的���,所述的閥值是系統(tǒng)對(duì)應(yīng)用系統(tǒng)的訪問(wèn)日志進(jìn)行類聚���、分析后的結(jié)果。
[0020]根據(jù)上述技術(shù)方案得到的本發(fā)明可以在網(wǎng)絡(luò)設(shè)備記錄應(yīng)用系統(tǒng)的用戶訪問(wèn)日志后��,通過(guò)對(duì)訪問(wèn)日志的分析��,識(shí)別出用戶在每個(gè)應(yīng)用系統(tǒng)的登錄���、登出時(shí)間�,從而有效解決現(xiàn)有技術(shù)所面臨的問(wèn)題�����。
【附圖說(shuō)明】
[0021]以下結(jié)合附圖和【具體實(shí)施方式】來(lái)進(jìn)一步說(shuō)明本發(fā)明。
[0022]圖1為本發(fā)明實(shí)施的流程圖��。
【具體實(shí)施方式】
[0023]為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段���、創(chuàng)作特征、達(dá)成目的與功效易于明白了解�����,下面結(jié)合具體圖示��,進(jìn)一步闡述本發(fā)明�����。
[0024]本發(fā)明通過(guò)對(duì)應(yīng)用系統(tǒng)的系統(tǒng)外訪問(wèn)日志記錄分析�,以此來(lái)識(shí)別用戶登錄該系統(tǒng)、登出該應(yīng)用系統(tǒng)的時(shí)間��。
[0025]為此���,本發(fā)明提供一種對(duì)用戶登錄登出應(yīng)用系統(tǒng)的行為軌跡的分析方法���,參見(jiàn)圖1���,該方法包括如下步驟:
[0026](I)通過(guò)系統(tǒng)外的網(wǎng)絡(luò)設(shè)備,記錄應(yīng)用系統(tǒng)的訪問(wèn)日志����。
[0027](2)將訪問(wèn)日志根據(jù)用戶標(biāo)識(shí)、應(yīng)用系統(tǒng)標(biāo)識(shí)進(jìn)行分類�,并根據(jù)時(shí)間排序。
[0028](3)以時(shí)間升序順序�����,針對(duì)同一用戶對(duì)應(yīng)用系統(tǒng)的日志進(jìn)行逐條分析��。
[0029](4)創(chuàng)建該用戶訪問(wèn)應(yīng)用系統(tǒng)的日志記錄表���,表結(jié)構(gòu)為首次訪問(wèn)時(shí)間����、最后訪問(wèn)時(shí)間����,應(yīng)用系統(tǒng)標(biāo)識(shí)。
[0030](5)讀取下一條日志記錄。
[0031](6)獲取當(dāng)前日志記錄的應(yīng)用系統(tǒng)標(biāo)識(shí)���、日志時(shí)間���。
[0032](7)首先針對(duì)當(dāng)前日志進(jìn)行應(yīng)用系統(tǒng)標(biāo)識(shí)比較,若當(dāng)前日志和日志記錄表中上一條日志不屬于同一應(yīng)用系統(tǒng)���,則識(shí)別為一次登出行為;若當(dāng)前日志和上一條日志屬于同一應(yīng)用系統(tǒng)�,則將當(dāng)前日志記錄的日志時(shí)間和日志記錄表對(duì)應(yīng)的該應(yīng)用系統(tǒng)最后訪問(wèn)時(shí)間進(jìn)行比較。
[0033](8)如果時(shí)間間隔小于閥值�����,更新表結(jié)構(gòu)的最后訪問(wèn)時(shí)間為本條記錄的日志時(shí)間�����,返回第5步��。
[0034](9)如果時(shí)間間隔大于等于閥值��,則識(shí)別為用戶登出����。
[0035](10)將首次訪問(wèn)時(shí)間識(shí)別為用戶的登錄時(shí)間�����。
[0036](11)將最后訪問(wèn)時(shí)間識(shí)別為用戶的退出時(shí)間����。
[0037](12)更新表結(jié)構(gòu)的首次訪問(wèn)時(shí)間���、最后訪問(wèn)時(shí)間為本記錄的日志時(shí)間�����。
[0038](13)返回第5步���,直到日志處理完成。
[0039]這里需要說(shuō)明的�,上述的應(yīng)用系統(tǒng)可以是B/S架構(gòu)系統(tǒng),也可以是C/S架構(gòu)系統(tǒng)����。
[0040]上述的閥值可以是根據(jù)應(yīng)用系統(tǒng)類型指定的預(yù)定值���,比如B/S應(yīng)用一般sess1n的超時(shí)時(shí)間為30分鐘��,則30分鐘內(nèi)的訪問(wèn)記錄可以視為一次用戶登錄��、登出。
[0041]針對(duì)上述的方案��,以下通過(guò)一具體實(shí)例來(lái)進(jìn)一步的說(shuō)明。
[0042]本實(shí)例以如下用戶日志記錄為例,設(shè)定的間隔閥值為5分鐘:
[0043]I 2014-12-12 08:00:00 UserIdl AppIdl http://1calhost:8080/appl
[0044]2 2014-12-12 08:01:00 UserIdl AppIdl http://localhost:8080/appl
[0045]3 2014-12-12 08:02:00 UserIdl AppIdl http://localhost:8080/appl
[0046]4 2014-12-12 08:12:00 UserIdl AppIdl http://localhost:8080/appl
[0047]5 2014-12-12 08:40:00 UserIdl AppIdl http://localhost:8080/appl
[0048]6 2