(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211497840.4 (22)申请日 2022.11.28 (71)申请人 天津安华易科技发展 有限公司 地址 300000 天津市滨 海新区高新区华苑 产业区(环外)海泰发展五道16号B-6 号楼-2-302-01、 02 (72)发明人 王海军　王海金　王羿文　穆慧　 (74)专利代理 机构 北京众合诚成知识产权代理 有限公司 1 1246 专利代理师 张海洋 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0631(2022.01) H04L 41/069(2022.01) G06F 11/30(2006.01)G06F 11/32(2006.01) G06F 11/34(2006.01) (54)发明名称 一种主机日志信息安全审计方法 (57)摘要 本发明公开了一种主机日志信息安全审计 方法， 属于网络信息安全技术领域， 包括： 安装客 户端， 配置连接信息并连接至服务端； 客户端接 收服务端配置的审计策略项； 客户端执行服务端 下发的审计策略项； 客户端将执行审计策略项后 产生的审计日志数据上报至服务端； 服务端对有 异常事件或违规事件发生的审计日志数据分别 进行告警； 服务端将系统内所有审计日志数据存 储在数据库内并在页面进行统计分析和分类展 示； 本发明通过统计网络内终端的硬件信息、 操 作系统信息、 用户操作和系统日志信息， 并进行 异常/违规事件告警； 实现了对所有用户的所有 关键操作进行审计， 有助于管理员审计所有事 件， 任何事件都有据可依， 有据可查， 保证了网内 信息安全。 权利要求书3页 说明书7页 附图2页 CN 115550068 A 2022.12.30 CN 115550068 A 1.一种主机日志信息安全审计方法， 其特 征在于， 包括： 安装客户端， 配置连接信息并连接 至服务端； 客户端接收服 务端配置的审计策略项； 客户端执 行服务端下发的审计策略项； 客户端将执 行审计策略项后产生的审计日志数据上报至服 务端； 服务端对有异常事 件或违规事 件发生的审计日志数据分别进行告警； 服务端将系统内所有审计日志数据存储在数据库内并在页面进行统计分析和分类展 示。 2.根据权利要求1所述的一种 主机日志信 息安全审计方法， 其特征在于， 所述审计策略 项包括终端硬件信息、 操作系统信息、 用户操作信息和系统日志信息四个方面。 3.根据权利要求2所述的一种 主机日志信 息安全审计方法， 其特征在于， 所述终端硬件 信息对应的审计策略项包括： 终端资源信息审计， 用于查看主机当前CPU、 内存信息、 硬 盘剩余空间， 并实时显示； 端口信息审计， 用于查询终端 主机中正在使用的端口信息； 硬件信息审计， 用于周期性扫描 主机硬件信息并上报； 端口扫描审计， 用于对端口扫描的恶意行为进行检测； 端口监控审计， 用于对指定端口进行审计， 审计内容包括使用端口的进程ID以及使用 端口的进程名、 端口号、 端口使用 用户信息； 磁盘空间审计， 用于对本地磁 盘空间使用率进行监控； 高负荷运行监控， 用于对CPU 使用率和内存使用率进行监控。 4.根据权利要求3所述的一种 主机日志信 息安全审计方法， 其特征在于， 所述服务端对 有异常事件或违规事件发生的审计日志数据分别进行告警包括： 所述服务端配置有异常/ 违规事件告警策略， 并依据所述异常/违规事 件告警策略对 全部审计日志数据进行分析； 所述终端硬件信息对应的异常/违规事 件告警策略包括： 周期性扫描主机硬件信息， 首次扫描主机硬件信息为正常， 间隔固定周期扫描终端主 机硬件信息， 若 主机硬件信息有变动则产生异常告警； 对端口扫描行为进行审计， 如果某IP  在一定时间范围内多次访问某端口并且超出一 定次数时， 则认 为该 IP 正在进行端口扫描， 选择是否配置防御 功能， 并对多次访问端口的 异常动作信息产生违规告警； 针对端口监控审计设置端口黑名单， 对使用黑名单端口 的情况产生违规告警； 设置磁盘占用率百分比和告警类别， 对 超过磁盘使用率的情况产生相应告警； 设置CPU占用和内存占用百分比， 对 超过使用率的情况产生异常告警。 5.根据权利要求4所述的一种 主机日志信 息安全审计方法， 其特征在于， 所述操作系统 信息对应的审计策略项包括： 进程信息审计， 用于查询主机中正在运行的所有 进程信息； 软件安装信息审计， 用于对终端 主机软件信息变动情况进行审计； HTTP审计， 系统对终端主机中指定 的HTTP访问进行审计， 对指定URL， 允许以任何方式 访问HTTP网站， 审计内容包括URL、 访问用户和访问时间信息； 进程基础审计， 用于对主机上的系统进程进行监控， 监控项包括进程名称、 公司名称、权　利　要　求　书 1/3 页 2 CN 115550068 A 2产品名称、 源文件名、 计算机账户 、 计算机IP地址、 MAC地址、 内存占用、 进程启 动和终止事 件； 进程行为审计， 用于对计算机中的指定进程做进程信息采集， 包括创建的子进程信息 和进程的网络行为信息； 进程流量审计， 用于对计算机进程的上传流 量和下载流量进行监控； 系统服务审计， 用于对主机上的系统服务进行监控， 监控项包括服务名称、 服务描述、 启动或关闭、 计算机账户、 计算机IP地址、 MAC地址、 服 务启动和终止时间； ARP攻击审计， 用于识别ARP攻击， 同时检测专用机  IP 地址冲突问题。 6.根据权利要求5所述的一种 主机日志信 息安全审计方法， 其特征在于， 所述操作系统 信息对应的异常/违规事 件告警策略包括： 定时扫描系统软件情况， 软件信息异常时产生异常告警； 针对进程基础审计设置进程黑名单和告警类别， 对使用黑名单进程的情况产生相应告 警并进行阻断； 针对进程流量审计设置进程名称和流量阈值， 当上传流量或下载流量超出配置的流量 阈值时， 对 超出流量阈值的动作产生告警并进行阻断； 针对系统服务审计， 设置系统服务黑名单和告警类别， 对使用黑名单中的系统服务的 情况产生相应告警； 针对ARP攻击审计， 自定义 防御机制， 自动、 手动绑定网关IP/MAC， 对网关欺骗、 一般欺 骗、 带宽限制的行为进行审计， 对识别到ARP攻击情况产生违规告警。 7.根据权利要求6所述的一种 主机日志信 息安全审计方法， 其特征在于， 所述用户操作 信息对应的审计策略项包括： 刻录审计， 用于监控用户所有刻录动作和刻录文件， 当发生刻录事件时进行刻录审计， 监视文件流出； 刻录事件发生时产生审计信息， 包括刻录机型号、 光盘属性、 刻录文件名称 及大小、 文件类型、 所在路径、 计算机账户、 刻录事 件和成功与否信息； 打印审计， 用于当打印事件发生 时产生审计信 息， 审计信 息至少包括用户信息、 硬件信 息、 打印时间、 打印文件名称、 文件类型、 打印份数、 打印页数和打印结果； 浏览器信息审计， 用于对终端主机中浏览器的网络访 问操作行为进行查询， 包括浏览 器访问历史、 浏览器已安装 插件、 浏览器下 载记录信息； 网络流量信息审计， 用于审计终端 主机中产生的上传流 量和下载流量； 指定目录/文件审计， 用于审计指定目录或指定文件的创建、 打开、 修改、 删除和重命名 的操作行为， 产生日志内容包括文件属性、 所属用户、 操作类型、 操作对象、 源文件名、 目标 文件名和操作时间信息， 操作类型包括创建、 打开、 修改、 删除和重命名。 8.根据权利要求7所述的一种 主机日志信 息安全审计方法， 其特征在于， 所述用户操作 信息对应的异常/违规事件告警策略包括： 针对网络流量信息审计设置流量阈值和告警类 别， 对超出阈值的情况进行 上报并产生相应告警。 9.根据权利要求8所述的一种 主机日志信 息安全审计方法， 其特征在于， 所述系统日志 信息对应的审计策略项包括： 系统日志信息审计， 用于审计终端 主机的操作系统日志， 查看操作系统异常信息； 专用机系统安全审计， 用于审计专用机操作系统安全相关的事件， 包括软件安装卸载权　利　要　求　书 2/3 页 3 CN 115550068 A 3