本發(fā)明屬于網(wǎng)絡(luò)安全審計(jì)設(shè)備領(lǐng)域，涉及一種分布式部署審計(jì)平臺(tái)的審計(jì)數(shù)據(jù)去重系統(tǒng)。

背景技術(shù)：

網(wǎng)絡(luò)安全審計(jì)系統(tǒng)是對(duì)網(wǎng)絡(luò)中的協(xié)議、數(shù)據(jù)和行為等進(jìn)行記錄、分析，并做出一定的響應(yīng)措施的信息安全專用產(chǎn)品，一般采取旁路接入的方式。分布式部署審計(jì)平臺(tái)是把多臺(tái)審計(jì)設(shè)備分散地部署在網(wǎng)絡(luò)中，由一臺(tái)審計(jì)中心管理主機(jī)(以下簡(jiǎn)稱審計(jì)中心)負(fù)責(zé)對(duì)多臺(tái)分散部署的審計(jì)設(shè)備單元(以下簡(jiǎn)稱審計(jì)單元或?qū)徲?jì)設(shè)備)進(jìn)行管理，滿足用戶對(duì)網(wǎng)絡(luò)行為審計(jì)備案要求，提供完整的網(wǎng)絡(luò)行為記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險(xiǎn)防范。

如圖1所示，現(xiàn)有分布式網(wǎng)絡(luò)審計(jì)系統(tǒng)一般采用多個(gè)審計(jì)單元1分散布置采集數(shù)據(jù)，并由一臺(tái)審計(jì)中心2管理主機(jī)負(fù)責(zé)對(duì)多臺(tái)審計(jì)單元1進(jìn)行集中管理方式。

專利號(hào)為2006100614047、專利權(quán)人為深圳市中科新業(yè)信息科技發(fā)展有限公司的中國(guó)專利文獻(xiàn)，公開了一種分布式審計(jì)系統(tǒng)，所述分布式審計(jì)系統(tǒng)包括多個(gè)審計(jì)單元，所述多個(gè)審計(jì)單元構(gòu)建成一個(gè)向下的樹形結(jié)構(gòu)的分布式網(wǎng)絡(luò)，并形成上下級(jí)關(guān)系，上級(jí)審計(jì)單元向下級(jí)審計(jì)單元傳遞命令和策略數(shù)據(jù)，下級(jí)審計(jì)單元向上級(jí)審計(jì)單元傳遞審計(jì)日志數(shù)據(jù)。由于本發(fā)明分布式審計(jì)系統(tǒng)多個(gè)審計(jì)單元連接起來(lái)，建立了一個(gè)分級(jí)的分布式審計(jì)網(wǎng)絡(luò)，實(shí)現(xiàn)了審計(jì)系統(tǒng)的上下級(jí)控制和管理，還能夠通過(guò)同時(shí)控制多臺(tái)網(wǎng)絡(luò)審計(jì)單元進(jìn)行工作處理高速網(wǎng)絡(luò)里的數(shù)據(jù)，滿足高速網(wǎng)絡(luò)審計(jì)要求。

但是該專利存在以下問(wèn)題：如果同一條網(wǎng)絡(luò)流量經(jīng)過(guò)其中某些不同的審計(jì)單元，當(dāng)這些審計(jì)單元向?qū)徲?jì)中心管理主機(jī)匯總審計(jì)數(shù)據(jù)時(shí)，上述網(wǎng)絡(luò)流量的審計(jì)數(shù)據(jù)就會(huì)有多條重復(fù)記錄，不但占用過(guò)多的存儲(chǔ)空間，還增加處理的數(shù)據(jù)量，降低處理速度。

為了解決上述中國(guó)專利文獻(xiàn)公開的分布式審計(jì)系統(tǒng)存在的問(wèn)題，申請(qǐng)?zhí)枮?01610232783x、申請(qǐng)人為北京威努特技術(shù)有限公司的中國(guó)專利文獻(xiàn)，公開了一種分布式部署審計(jì)平臺(tái)的審計(jì)數(shù)據(jù)去重方法。所述方法包括：審計(jì)中心存儲(chǔ)各審計(jì)單元上報(bào)的審計(jì)記錄的信息；審計(jì)中心啟動(dòng)一個(gè)線程或進(jìn)程，定時(shí)檢測(cè)和處理審計(jì)中心存儲(chǔ)的審計(jì)記錄的信息；根據(jù)審計(jì)中心存儲(chǔ)的審計(jì)記錄的信息，判斷新上傳的審計(jì)記錄是否為重復(fù)數(shù)據(jù)，舍棄重復(fù)上傳的審計(jì)記錄。本發(fā)明實(shí)現(xiàn)了分布式部署審計(jì)平臺(tái)的審計(jì)數(shù)據(jù)去重處理，有效消除了新上傳審計(jì)數(shù)據(jù)中的重復(fù)數(shù)據(jù)，節(jié)省了存儲(chǔ)空間，提高了審計(jì)處理的速度。

但是該申請(qǐng)文件所公開的分布式部署審計(jì)平臺(tái)的審計(jì)數(shù)據(jù)去重方法存在的問(wèn)題是：審計(jì)中心存儲(chǔ)各審計(jì)單元上報(bào)的審計(jì)記錄的信息，審計(jì)數(shù)據(jù)的去重工作主要由審計(jì)中心來(lái)完成，這種完全集中式管理的處理方式還是有很多的審計(jì)記錄需要上報(bào)審計(jì)中心，會(huì)造成嚴(yán)重的網(wǎng)絡(luò)負(fù)荷，審計(jì)中心的工作量大，影響審計(jì)處理的速度。為此，提出一種分布式部署的審計(jì)平臺(tái)去重系統(tǒng)，主要的審計(jì)數(shù)據(jù)的去重工作由各分散部署的審計(jì)單元完成，集中管理和協(xié)調(diào)工作放在審計(jì)中心管理主機(jī)來(lái)完成。這樣，網(wǎng)絡(luò)負(fù)荷會(huì)有效降低，簡(jiǎn)化了審計(jì)中心對(duì)審計(jì)記錄的去重處理，整體提高了審計(jì)記錄處理速度。

技術(shù)實(shí)現(xiàn)要素：

為了解決上述問(wèn)題，本發(fā)明提出一種分布式部署的審計(jì)平臺(tái)去重系統(tǒng)，主要的審計(jì)數(shù)據(jù)的去重工作由各分散部署的審計(jì)單元完成，集中管理和協(xié)調(diào)工作放在審計(jì)中心管理主機(jī)來(lái)完成。從而有效降低網(wǎng)絡(luò)負(fù)荷會(huì)，簡(jiǎn)化審計(jì)中心對(duì)審計(jì)記錄的去重處理，整體提高審計(jì)記錄處理速度。

為實(shí)現(xiàn)上述技術(shù)目的，本發(fā)明采用的技術(shù)方案如下：

一種分布式部署的審計(jì)數(shù)據(jù)去重系統(tǒng)，包括，

審計(jì)單元，用于采集審計(jì)記錄，并同時(shí)用于對(duì)所采集的審計(jì)記錄作出第一次判斷，若重復(fù)，則不用上報(bào)給審計(jì)中心，若不重復(fù)，則上報(bào)給審計(jì)中心；

審計(jì)中心，用于接收及存儲(chǔ)各審計(jì)單元上報(bào)的審計(jì)記錄的信息，并根據(jù)儲(chǔ)存的審計(jì)記錄的信息對(duì)接收到的審計(jì)記錄作出第二次判斷，若不包含，則儲(chǔ)存，若包含，則更新審計(jì)記錄。

采用上述技術(shù)方案的發(fā)明，審計(jì)單元先對(duì)所采集的審計(jì)記錄進(jìn)行第一次判斷，只上報(bào)沒(méi)有重復(fù)的審計(jì)記錄給審計(jì)中心，審計(jì)中心對(duì)上報(bào)上來(lái)的審計(jì)記錄進(jìn)行第二次判斷，沒(méi)有包含的則儲(chǔ)存，包含的則更新記錄即可。從而就可減少上報(bào)至審計(jì)中心的審計(jì)記錄的量，將主要去重的工作分配給各個(gè)設(shè)計(jì)單元來(lái)完成，減少審計(jì)中心的工作量，進(jìn)而有效降低網(wǎng)絡(luò)負(fù)荷，簡(jiǎn)化審計(jì)中心對(duì)審計(jì)記錄的去重處理，整體提高審計(jì)記錄處理速度。

進(jìn)一步限定，所述審計(jì)記錄包括，審計(jì)記錄主索引、該條審計(jì)記錄的源審計(jì)單元信息、記錄內(nèi)容、審計(jì)記錄時(shí)間，審計(jì)記錄主索引是能唯一區(qū)分審計(jì)記錄的標(biāo)識(shí)。

當(dāng)審計(jì)中心接收到新上傳的審計(jì)記錄時(shí)，逐條查詢審計(jì)中心存儲(chǔ)的審計(jì)記錄，根據(jù)審計(jì)記錄主索引判斷審計(jì)中心存儲(chǔ)的審計(jì)記錄的信息中是否包含新上傳的審計(jì)記錄。如果不包含，則在審計(jì)中心存儲(chǔ)該條新上傳的審計(jì)記錄的信息，如果包含，則更新該審計(jì)記錄的記錄時(shí)間，從而實(shí)現(xiàn)審計(jì)中心對(duì)審計(jì)記錄作出第二次判斷。審計(jì)中心只需要比對(duì)審計(jì)記錄主索引即可，無(wú)需對(duì)審計(jì)記錄進(jìn)行逐級(jí)審查去重，減輕工作量，提高審計(jì)記錄處理速度。

進(jìn)一步限定，審計(jì)中心首次收到某審計(jì)記錄時(shí)，審計(jì)中心會(huì)根據(jù)該審計(jì)記錄主索引與審計(jì)中心存儲(chǔ)的審計(jì)記錄的信息，判斷出審計(jì)中心不包含該審計(jì)記錄，審計(jì)中心將會(huì)儲(chǔ)存該審計(jì)記錄，并同時(shí)審計(jì)中心基于該審計(jì)記錄形成通知報(bào)文信息下發(fā)到各審計(jì)單元，上報(bào)首次審計(jì)記錄的源審計(jì)單元再次采集到該審計(jì)記錄時(shí)，需立即上報(bào)給審計(jì)中心，其它審計(jì)單元再次采集到該審計(jì)記錄時(shí)，則不需要上報(bào)給審計(jì)中心，從而實(shí)現(xiàn)審計(jì)單元對(duì)所采集的審計(jì)記錄作出第一次判斷。

當(dāng)審計(jì)中心首次收到某審計(jì)記錄時(shí)，審計(jì)中心將會(huì)存儲(chǔ)該審計(jì)記錄，并發(fā)送通知報(bào)文信息給個(gè)審計(jì)單元，使得只有源審計(jì)單元再次采集到該審計(jì)記錄時(shí)，即為不重復(fù)的信息，才需要上報(bào)給審計(jì)中心，而其他審計(jì)單元，再次采集到該審計(jì)記錄，即為重復(fù)的信息，則可以直接丟棄該信息，從而將主要的去重工作分配在各個(gè)審計(jì)單元，減輕網(wǎng)絡(luò)負(fù)荷，減少審計(jì)中心的工作量。

進(jìn)一步限定，所述審計(jì)中心周期性地維護(hù)一個(gè)管理周期時(shí)間，一個(gè)管理周期時(shí)間結(jié)束的同時(shí)，新的管理周期時(shí)間開始；在管理周期時(shí)間內(nèi)，審計(jì)中心定義上報(bào)首次審計(jì)記錄的源審計(jì)單元為該審計(jì)記錄主上報(bào)人，其它審計(jì)單元為該審計(jì)記錄非主上報(bào)人；主上報(bào)人再次采集到該審計(jì)記錄時(shí)，需立即上報(bào)給審計(jì)中心，非主上報(bào)人再次采集到該審計(jì)記錄時(shí)，則不需要上報(bào)給審計(jì)中心；在管理周期時(shí)間外，主上報(bào)人與非主上報(bào)人，在未收到新的通知報(bào)文信息前，在采集到該審計(jì)記錄時(shí)，均需上報(bào)審計(jì)中心。

將本系統(tǒng)劃分為多個(gè)管理周期進(jìn)行維護(hù)與管理，每一個(gè)管理周期里面，重新定義主上報(bào)人和非主上報(bào)人，便于審計(jì)記錄信息的管理。

進(jìn)一步限定，所述通知報(bào)文信息包括，審計(jì)記錄主索引、該條審計(jì)記錄的源審計(jì)單元信息、記錄內(nèi)容、審計(jì)記錄時(shí)間、管理周期時(shí)間、同步時(shí)間信息。

進(jìn)一步限定，審計(jì)中心會(huì)定期刪除儲(chǔ)存在審計(jì)中心里長(zhǎng)時(shí)間不更新的審計(jì)記錄。

進(jìn)一步限定，該定期的時(shí)間為n*管理周期時(shí)間，n為除0以外的自然數(shù)。

定期刪除長(zhǎng)期不更新的審計(jì)記錄，可節(jié)約審計(jì)中心的儲(chǔ)存空間；而將該定期的時(shí)間設(shè)置為管理周期時(shí)間的n倍，即將定期刪除不更新的審計(jì)記錄的時(shí)間與管理周期時(shí)間同步，可以避免因刪除周期和管理周期不一致而使得系統(tǒng)刪除數(shù)據(jù)錯(cuò)誤的情況發(fā)生。

本發(fā)明相比現(xiàn)有技術(shù)，在實(shí)現(xiàn)去重處理的同時(shí)，可節(jié)省存儲(chǔ)空間，有效降低網(wǎng)絡(luò)負(fù)荷，簡(jiǎn)化了審計(jì)中心對(duì)審計(jì)記錄的去重處理，整體提高了審計(jì)記錄處理速度。

附圖說(shuō)明

本發(fā)明可以通過(guò)附圖給出的非限定性實(shí)施例進(jìn)一步說(shuō)明；

圖1為現(xiàn)有分布式網(wǎng)絡(luò)審計(jì)系統(tǒng)結(jié)構(gòu)示意圖；

圖2為實(shí)施例1中審計(jì)中心首次收到審計(jì)記錄a的結(jié)構(gòu)示意圖；

圖3為實(shí)施例1中審計(jì)單元再次采集到審計(jì)記錄a的結(jié)構(gòu)示意圖；

具體實(shí)施方式

為了使本領(lǐng)域的技術(shù)人員可以更好地理解本發(fā)明，下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明技術(shù)方案進(jìn)一步說(shuō)明。

實(shí)施例1

一種網(wǎng)絡(luò)審計(jì)數(shù)據(jù)去重系統(tǒng)，包括審計(jì)中心的軟件處理和各審計(jì)單元上的軟件處理兩部分。

如圖2、圖3所示，審計(jì)單元，用于采集審計(jì)記錄，并同時(shí)用于對(duì)所采集的審計(jì)記錄作出第一次判斷，若重復(fù)，則不用上報(bào)給審計(jì)中心，若不重復(fù)，則上報(bào)給審計(jì)中心。

審計(jì)中心，用于接收及存儲(chǔ)各審計(jì)單元上報(bào)的審計(jì)記錄的信息，并根據(jù)儲(chǔ)存的審計(jì)記錄的信息對(duì)接收到的審計(jì)記錄作出第二次判斷，若不包含，則儲(chǔ)存，若包含，則更新審計(jì)記錄。

其中，審計(jì)記錄的信息包括：審計(jì)記錄主索引、該條審計(jì)記錄的源審計(jì)單元信息、記錄內(nèi)容、審計(jì)記錄時(shí)間；審計(jì)記錄主索引是能唯一區(qū)分審計(jì)記錄的標(biāo)識(shí)。

具體地，如圖2所示，審計(jì)單元有多個(gè)，包括審計(jì)單元a、審計(jì)單元b、審計(jì)單元c……審計(jì)單元z，當(dāng)審計(jì)單元a首次采集到審計(jì)記錄a時(shí)，因?qū)徲?jì)中心并未發(fā)出通知報(bào)文信息，審計(jì)單元a判斷該審計(jì)記錄a為不重復(fù)的，并將該審計(jì)記錄a上傳至審計(jì)中心，審計(jì)中心根據(jù)審計(jì)記錄主索引與審計(jì)中心存儲(chǔ)的審計(jì)記錄的信息，判斷出審計(jì)中心不包含新上傳的審計(jì)記錄a，則將審計(jì)記錄a儲(chǔ)存在審計(jì)中心中，并同時(shí)會(huì)基于該審計(jì)記錄a以通知報(bào)文信息形式下發(fā)給各審計(jì)單元，通知報(bào)文信息包括：審計(jì)記錄主索引、該條審計(jì)記錄的源審計(jì)單元信息，記錄內(nèi)容，審計(jì)記錄時(shí)間，管理周期時(shí)間，同步時(shí)間信息。

如圖3所示，若審計(jì)單元b、審計(jì)單元c……審計(jì)單元z再次采集到審計(jì)記錄a時(shí)，審計(jì)單元b、審計(jì)單元c……審計(jì)單元z將會(huì)判斷該審計(jì)記錄a為重復(fù)記錄，直接丟棄，不上報(bào)至審計(jì)中心，從而節(jié)約網(wǎng)絡(luò)負(fù)荷，減少審計(jì)中心工作量；若審計(jì)單元a再次采集到審計(jì)記錄a時(shí)，審計(jì)單元a將會(huì)判斷該審計(jì)記錄a為不重復(fù)記錄，更新審計(jì)記錄時(shí)間，并上傳至審計(jì)中心。

審計(jì)中心再次根據(jù)審計(jì)記錄主索引與審計(jì)中心存儲(chǔ)的審計(jì)記錄的信息判斷出包含該審計(jì)記錄，并更新審計(jì)記錄時(shí)間。

實(shí)施例2

一種網(wǎng)絡(luò)審計(jì)數(shù)據(jù)去重系統(tǒng)，包括審計(jì)中心的軟件處理和各審計(jì)單元上的軟件處理兩部分。

審計(jì)單元，用于采集審計(jì)記錄，并同時(shí)用于對(duì)所采集的審計(jì)記錄作出第一次判斷，若重復(fù)，則不用上報(bào)給審計(jì)中心，若不重復(fù)，則上報(bào)給審計(jì)中心。

審計(jì)中心，用于接收及存儲(chǔ)各審計(jì)單元上報(bào)的審計(jì)記錄的信息，并根據(jù)儲(chǔ)存的審計(jì)記錄的信息對(duì)接收到的審計(jì)記錄作出第二次判斷，若不包含，則儲(chǔ)存，若包含，則更新審計(jì)記錄。

其中，審計(jì)記錄的信息包括：審計(jì)記錄主索引、該條審計(jì)記錄的源審計(jì)單元信息、記錄內(nèi)容、審計(jì)記錄時(shí)間；審計(jì)記錄主索引是能唯一區(qū)分審計(jì)記錄的標(biāo)識(shí)。

審計(jì)中心周期性地維護(hù)一個(gè)管理周期時(shí)間，一個(gè)管理周期時(shí)間結(jié)束的同時(shí)，新的管理周期時(shí)間開始生效。在每個(gè)新的管理周期時(shí)間內(nèi)，審計(jì)中心首次收到審計(jì)記錄b時(shí)，會(huì)基于該審計(jì)記錄b以通知報(bào)文形式下發(fā)給各審計(jì)單元，定義上報(bào)首次審計(jì)記錄b的源審計(jì)單元為該審計(jì)記錄主上報(bào)人，其它審計(jì)單元為該審計(jì)記錄非主上報(bào)人；主上報(bào)人在管理周期時(shí)間內(nèi)，如再次采集到該審計(jì)記錄b時(shí)，需立即上報(bào)給審計(jì)中心，非主上報(bào)人則不需要上報(bào)給審計(jì)中心。在管理周期時(shí)間外，無(wú)論是主上報(bào)人還是非主上報(bào)人，在采集到該審計(jì)記錄b時(shí)，均需上報(bào)審計(jì)中心。

其中，通知報(bào)文信息包括：審計(jì)記錄主索引、該條審計(jì)記錄的源審計(jì)單元信息、記錄內(nèi)容、審計(jì)記錄時(shí)間、終止窗口時(shí)間、同步時(shí)間信息。

各審計(jì)單元在收到審計(jì)中心的審計(jì)記錄通知報(bào)文信息時(shí)，依據(jù)是否是審計(jì)記錄的源上報(bào)審計(jì)單元，作不同的處理。

如果是審計(jì)記錄b的源上報(bào)審計(jì)單元，區(qū)分是在通知報(bào)文中規(guī)定的管理周期時(shí)間內(nèi)、外兩種情況分別處理；在管理周期時(shí)間內(nèi)，本審計(jì)單元為主上報(bào)人，具有該審計(jì)記錄上報(bào)責(zé)任，如果再次采集到該審計(jì)記錄b時(shí)，更新審計(jì)記錄時(shí)間信息，同時(shí)，必須把審計(jì)記錄b上報(bào)給審計(jì)中心；在管理周期時(shí)間外，本審計(jì)單元在未收到審計(jì)中心關(guān)于該審計(jì)記錄的新的通知報(bào)文前，如果再采集到該審計(jì)記錄b時(shí)，更新審計(jì)記錄時(shí)間信息，同時(shí)，把審計(jì)記錄b上報(bào)給審計(jì)中心。

如果不是審計(jì)記錄的源上報(bào)審計(jì)單元，區(qū)分是在通知報(bào)文中規(guī)定的管理周期時(shí)間內(nèi)、外兩種情況分別處理；在管理周期時(shí)間內(nèi)，本審計(jì)單元為該條審計(jì)記錄非主上報(bào)人，如果采集到該審計(jì)記錄b時(shí)，不上報(bào)給審計(jì)中心，直接丟棄掉；在管理周期時(shí)間外，本審計(jì)單元在未收到審計(jì)中心關(guān)于該審計(jì)記錄b的新的通知報(bào)文前，如果采集到該審計(jì)記錄b時(shí)，更新審計(jì)記錄時(shí)間信息，同時(shí)，把審計(jì)記錄b上報(bào)給審計(jì)中心。

以上對(duì)本發(fā)明提供的一種分布式部署的審計(jì)數(shù)據(jù)去重系統(tǒng)進(jìn)行了詳細(xì)介紹。具體實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的系統(tǒng)及其核心思想。應(yīng)當(dāng)指出，對(duì)于本技術(shù)領(lǐng)域的普通技術(shù)人員來(lái)說(shuō)，在不脫離本發(fā)明原理的前提下，還可以對(duì)本發(fā)明進(jìn)行若干改進(jìn)和修飾，這些改進(jìn)和修飾也落入本發(fā)明權(quán)利要求的保護(hù)范圍內(nèi)。