本发明涉及的是一种网络安全方法，特别是一种基于状态转换表的多源审计数据业务一致性判断方法。属于网络技术领域。

安全审计技术是一个安全的网络必须支持的功能特性，根据一定的安全策略，记录和分析在计算机网络系统中进行的各种活动，识别已发生的和潜在的违规事件。目前安全审计在很多的国际规范以及国内对重要网络的安全规定中都被放在重要的位置。近年来，安全审计技术的重心从网络审计和系统审计扩展到了业务系统的内容审计范畴。经文献检索，发现国内申请：申请号：02148414.7，申请日：2002.12.3，公开号：CN1417690A，申请人：南京金鹰国际集团软件系统有限公司，发明名称：基于构件的应用过程审计平台系统，发明人：吕军、李伟奇、薛伟生。该发明通过事中过程审计，对业务系统运行过程中各种内部、外部行为过程在业务系统各个层面上所遗漏的痕迹信息进行实时和准实时扫描分析处理和预警。然而该发明的技术方案存在很多缺陷：(1)安全审计的审计数据采集方式过于单一，导致审计数据来源不够全面。该发明是基于在业务系统各个层面上所遗漏的痕迹信息作为审计数据的来源，系统遗漏的痕迹信息只能记录自身的运转状况和一些简单违规的信息，对于较高隐蔽性的入侵手段，无法真实的记录所发生的违规行为，使得审计强度较低。(2)缺乏上下文关联的一致性判断功能。该发明中提出的应用过程审计，是将一个业务流程中的每个环节作为一个孤立的结点进行数据分析，判断在每一个环节发生的操作行为是否符合该环节的审计规则，缺乏对各个环节审计数据之间进行关联分析和判断的能力。(3)审计监管强度较低。尤其是对审计机制防绕过特性上较差，因此很多情况下，该发明的审计监管机制会被有经验的黑客或者违规操作人员绕过。

本发明的目的在于针对现有审计技术的上述不足，提出一种基于状态转化表的多源审计数据业务一致性判断方法，使其采用多种方式从系统的不同环节和不同层次获取审计数据，并根据前后业务环节的关联性，找出在各个环节中业务处理操作的不一致性，从而为追踪不规范或非法的业务操作过程提供有力的证据。
本发明是通过以下技术方案实现的，本发明采用分布在系统各处的多种类型的信息采集代理实现多种信息采集方式，从系统的各个环节和各层次获取审计数据，各个环节包括关键业务服务器、网络链路、主机、数据库，各层次包括系统平台层、网络应用层、业务应用层，信息采集代理对各信息格式进行处理，生成统一的规范化审计信息，并上报到业务审计数据一致性判断中心。业务审计数据一致性判断中心基于状态转换表对业务审计数据进行整体一致性判断，根据前后业务环节的关联性，找出在各个环节中业务处理操作的不一致性，及时发现删改相关数据、绕过应用系统伪造业务数据流等异常业务操作的发生，并根据一致性判断结果进行相应的事务处理。
以下对本发明方法的处理流程作进一步的说明，具体内容如下：1.系统设置：包括定义规范化业务审计数据格式，构建标准业务流程模板，确定关联主键，设置审计策略和事务处理策略。
(1)在业务审计数据一致性判断中心定义各类业务在各个环节的规范化业务审计数据的数据项。每类业务的各个环节的规范化业务审计数据格式统一成以下的形式：
(2)管理员将系统中待审计的各类业务流程用业务状态转换图形式来描述，业务审计数据一致性判断中心采用业务状态转换表格记录业务状态转换图中表达的业务状态转换信息，形成标准业务流程模板。业务状态转换表格采用以下的形式：
(3)在每个业务流程各个环节的规范化业务审计数据中选取适当的数据项作为整个业务流程中各个结点的“关联主键”，“关联主键”将在业务数据关联过程中用于筛选属于同一次业务操作的业务审计数据。
(4)针对判断结果设置相关的审计策略和事务处理策略。
2.数据采集：由分布在系统各处的数据采集代理(Agent)进行审计数据的采集，对各信息格式进行处理，根据定义的数据格式生成统一的规范化审计信息，并上报到业务审计数据一致性判断中心。
3.业务数据关联：业务审计数据一致性判断中心从汇总上来的规范化业务审计数据中，根据预先设置在业务流程中各环节业务审计数据的“业务分类标识”，对各业务进行分类，将各个环节上属于同一业务的数据拼接形成完整的业务流程。这个过程的详细流程如下：(1)对汇总的规范化业务审计数据，根据业务分类标识进行分类；(2)选取第一类业务的所有规范化业务审计数据；(3)对选定类别的规范化业务审计数据中选择下一条审计数据，第一次进入选取第一个；(4)判断该业务审计数据是否已关联，否则转(5)，是则转(3)；(5)将该业务审计数据拷贝入“关联业务数据缓冲区”，并将该业务审计数据标志为“已关联”；(6)提取该业务审计数据中定义为“关联主键”的数据项，在所有规范化业务审计数据中搜索“关联主键”与从该业务审计数据中提取的“关联主键”相同的“未关联”业务审计数据，将搜索到的业务审计数据拷贝入“关联业务数据缓冲区”，并将这些业务审计数据标志为“已关联”；(7)在“关联业务数据缓冲区”提取下一个业务审计数据，如果“关联业务数据缓冲区”中还有业务审计数据则转(6)，否则转(8)；(8)将“关联业务数据缓冲区”中的业务审计数据按照操作时间排序，将这些数据作为同一次业务的拼接后的业务审计数据集存储，清空“关联业务数据缓冲区”；(9)在对选定类别的规范化业务审计数据中选择下一条“未关联”业务审计数据，如果还存在“未关联”业务审计数据则转(5)，否则转(10)；(10)选取下一类业务的所有规范化业务审计数据，如果所有类型的业务均已经处理完毕，转(11)，否则转(3)；(11)处理完毕。
4.业务审计数据的一致性判断：将拼接成的各个业务审计数据集与预先设置的标准业务流程模板中的状态转换表中定义的正常业务模板进行匹配，判断该业务审计数据与正常业务审计数据是否一致。该过程的具体流程如下：选取下一个拼接后业务审计数据集(第一次进入选取第一个)，一个拼接后业务审计数据集由多个按时间排序的业务审计数据组成。
(1)根据该业务审计数据集中业务审计数据的业务分类标识，选择相应的业务状态转换表格；(2)选取业务状态转换表格中“是否起始状态”为“是”的条目，将该条目的“状态标识”项作为“当前状态”；(3)选取拼接后业务审计数据集中的第一个业务审计数据，提取操作标识；(4)在业务状态转换表中选取状态标识项为“当前状态”的条目，在这些条目中查找操作标识项分别与从业务审计数据中已提取的操作标识相同的条目，如果查找到对应条目，则转(5)，否则转(10)；(5)在业务状态转换表中提取该条目的转移状态标识，作为“当前状态”，选取拼接后业务审计数据集中的下一个业务审计数据，如果所有业务审计数据都已处理，则转(7)，否则转(6)；(6)提取该业务审计数据的操作标识，转(4)；(7)在业务状态转换表中选取状态标识项为“当前状态”的条目，察看该条目是否转移到终止状态，如果是则转(8)，否则转(10)；(8)根据该条目的结果标识形成对该业务审计数据集的判断结果；(9)选取下一个拼接后业务审计数据集，如果所有拼接后业务审计数据集均处理完毕，则转(11)，否则转(1)；(10)对该业务审计数据集的判断结果为“不一致业务数据”，转(9)；(11)处理完毕。
5.事务处理：业务审计数据一致性判断中心根据判断结果，按照预先设置的事务处理策略，采取相应的响应措施。
为了全面获得系统中各个层次、各个方面的信息源，本发明采用多种类型的信息采集代(Agent)实现多种信息采集方式，主要包括以下几种：■通过日志文件的方式采集对操作系统、应用平台、应用系统、安全设备(如入侵检测系统(IDS)、防火墙、网络审计工具等)产生的日志进行收集是本发明中数据采集代理(Agent)获取审计信息的方式之一。数据采集代(Agent)并将采用基于模板的方法对日志中的重要信息进行分析、提取和转化，形成规范化审计监管记录再上报业务审计数据一致性判断中心。
■通过远程轮询和主动探测方式的信息采集远程轮询和主动探测的信息采集方式主要针对一些开设服务的网络设备、应用服务等。对于远程轮询和主动探测的结果将根据安全策略进行判别，形成规范化的审计监管记录。本发明中的远程轮询和主动探测的方式包括：(1)采用简单网络管理协议(SNMP)，对支持简单网络管理协议(SNMP)的网络设备、主机设备和安全设备进行状态轮询。(2)采用Windows管理规范(WMI)，对Windows系列的主机状态进行轮询。(3)采用传输控制协议(TCP)连接尝试，用户数据报协议(UDP)探测的方法，获得主机开放的端口以及服务响应时间等信息。(4)采用超文本传输协议(HTTP)等协议，对支持HTTP访问的服务进行轮询，获取某些状态数据，发现页面改变情况。(5)采用telnet、rlogin、ssh类的远程操作，运行定制的脚本，获取有关信息。(6)采用Ping、路径跟踪(trace route)类的探测方式，发现网络设备/端口的运行异常情况。(7)采用远程查询数据库方式，对采用数据库记录日志信息的系统进行信息采集。(8)有针对性地采用远程漏洞扫描的方式，收集系统弱点状况。
■被动信息接收采集方式由于许多应用软件和应用平台本身具备多样化的报警响应机制，可以通过收集这些信息实现某些审计信息的收集。本发明具有以下的被动信息接收采集方式：(1)接收SNMP陷阱(SNMP Trap)信息，(2)接收系统日志(syslog)信息，(3)接收Windows消息(Windows Message)信息，(4)提供报警服务Web服务(Web Service)，接收报警信息。
■通过嵌入式的信息收集软件或强制性封装(wrapper)方式采集嵌入式的信息收集软件或强制性封装(wrapper)代理主要针对不能够由自身产生完整信息的日志的系统，或者自身日志机制容易因为各种原因被绕过的系统。本发明中所研发的嵌入式信息收集软件和封装(wrapper)代理主要针对特定上层软件和系统软件，实现以下强制审计内容：(1)网络通信调用日志，(2)文件系统操作日志，(3)数据库操作日志，(4)系统资源申请和释放日志，(5)系统消息生成和接收日志，(6)系统调用日志。
由于采用了多种数据采集方式，可以获取系统中多个层次的数据收集，有利于获取一个安全事件的多层次数据，并进行相应的综合关联分析。
本发明的业务流程的一致性判断，根据业务系统的信息技术规范和操作流程，基于状态转换表定义标准业务流程的模板。基于这种定义，对整个业务流程的各个关键点的业务数据进行分析，根据在各个环节中提取出的关联主键，将在各个环节上采集到的数据按照不同业务进行分类，拼接属于同一业务的数据，与标准业务流程模板进行匹配，及时发现删改相关数据、绕过应用系统伪造业务数据流等异常业务操作的发生。
本发明中采用了防绕过技术，在实际运转的系统中，审计监管机制要面对各种被绕过的威胁，这种绕过可能来自于违规人员对系统的重新设置、安装，对审计机制的删除等，造成部分违规操作或重要操作未被审计机制发现或完整记录，由于审计监管机制被绕过将会使花费巨大投入的系统在关键时候发挥不了应有的作用。本发明中采用了一系列的技术手段增强审计监管机制本身的强度，体现出较好的防绕过特性，这些防绕过措施主要包括：(1)检测审计监管系统自身的运转完整性：本发明着重对自身运转完整性的检测，一方面在软件装入时检测各个部件程序自身的完整性和配置数据的完整性，另一方面在运行过程中，通过各个审计系统组成部件之间的“心跳检测”协议以及进程监测功能和Watchdog功能，确保组成审计系统的各个部件的正常运转，并在任何一个部件失效的情况下进行报警和自我保护措施(如重起进程、中断相关服务等)。
(2)检测外围审计部件的运转完整性：本发明不仅向一些外围审计部件(如主机操作系统的日志功能)收集审计信息，同时还将重点监测提供这些审计信息的外围审计部件运行的完整性，防止由于这些外围审计部件的失效而造成数据源失效的问题。
(3)封装(Wrapper)技术及嵌入式的审计软件：对于某些审计机制容易被绕过的应用系统，采用封装(wrapper)技术和嵌入式的审计监管代理(Agent)软件强制收集软件的输入输出信息和系统事件信息。由于这些封装(wrapper)和代理(Agent)软件自身具备一定的隐蔽性，不太容易遭到攻击和关闭，具备一定的防绕过能力，对于应用系统或操作系统自身存在后门情况下也能实现强制的审计。
(4)多层次审计信息的一致性对应校验：由于本发明采用的是基于多数据源的审计，将收集来自不同层次，不同角度的审计信息。对于一个重要的操作，在操作过程中将触发不同层次的审计机制(网络、操作系统、中间件系统、数据库系统、应用软件)，这些审计机制产生的数据合并在一起将组成一个事件的完整记录。如果在某个层次上的某个审计机制被绕过，将会缺少这一层次的审计监管记录，而通过对这一事件的所有审计监管记录进行一致性判断，可以发现缺失的审计监管记录，进而发现审计机制被绕过的现实。这也是多数据源相互验证在加大审计强度方面的合理运用。
本发明具有实质性特点和显著进步，通过多种数据采集方式，可以获取系统中多个层次的数据收集，有利于获取一个安全事件的多层次数据，对进行相应的综合关联分析和一致性判断提供了全面的审计数据源。通过对整个业务流程的各个关键点的业务数据进行关联分析和一致性判断，能够及时发现删改相关数据、绕过应用系统伪造业务数据流等异常业务操作的发生。另外，本发明中采用的防绕过技术，增强了审计监管机制本身的强度。
附图说明
图1为发明实施例系统结构图图2为网上报税业务流程状态转换图图3为完税信息查询流程状态转换图图4为网上报税业务模拟审计数据拼接后的业务审计数据集示意图具体实施方式如图1所示，本发明方法由分布式数据采集代理(Agent)，业务审计数据一致性判断中心和控制界面组成的系统来进行，各类数据采集代理(Agent)的主要作用是实现原始数据采集，根据一定的模板和安全策略进行信息提取和识别，将原始信息转化成为规范化业务审计信息表示方式，并上报到业务审计数据一致性判断中心。本发明包括五种数据采集代理(Agent)，其中包括：(1)日志收集代理(Agent)负责收集包括主流操作系统(Windows系列，UNIX系列)的系统日志和内部事件、各类应用平台和数据库平台产生的日志，应用系统(公文流转等)产生的日志、各类网络和安全设备(如入侵检测、旁路式审计系统等)产生的日志等。
(2)状态收集代理(Agent)负责对各类网络设备、主机设备、安全设备、应用服务的运转性能以及状态信息进行收集，支持主动轮询(SNMP，WMI，HTTP，telnet等)，报警接收(SNMP陷阱(SNMP Trap)，系统日志(Syslog)，Windows消息(WindowsMessage))等多种方式。
(3)封装代理(Wrapper Agent)采用嵌入系统的方式，实现对网络通信、资源访问、系统调用等操作的强制审计。
(4)应用审计代理(Agent)提供应用系统调用的审计API，实现应用层精化审计。
(5)网络监控记录收集代理(Agent)以旁路监听方式收集网络上的审计数据。
业务审计数据一致性判断中心对各类信息采集代理(Agent)处理的规范化业务审计数据进行汇总、分类存储，并对业务审计数据的一致性进行判断，根据相应的安全策略进行有关的事务处理(如通知、响应等)。管理员通过控制界面可以定义和发布安全策略，进行相关的安全事务处理，以及审计数据查询和报表操作。
各类审计代理(Agent)根据预先设定的审计规则对监控到的数据进行提取和分析，形成报警信息以及审计记录信息，将原始信息转化成为规范化审计信息表示方式，并上报到业务审计数据一致性判断中心。业务审计数据一致性判断中心对接收到的数据进行分类汇总与统计分析及业务数据一致性判断。
下面以网上纳税系统为例来描述本发明的具体实施方式：网上报税系统由用户终端、申报服务网站、税收征管系统和税银联网服务器组成。网上纳税系统包括两个主要流程，网上报税业务流程和完税信息查询流程。网上报税业务流程如下：(1)递交网上报税申请：纳税人登录相应的申报服务网站，通过相应的界面填报纳税数据。
(2)报送纳税申报信息：申报服务网站将纳税申报信息报送到相应的税收征管服务器。
(3)处理申报信息：税收征管服务器根据纳税申报信息以及数据库中的信息实现对纳税申报信息的有效性核查与校验。
(4)提交扣款请求：税收征管服务器通过税银联网服务器向银行发出扣款请求。
(5)返回扣款结果：银行系统进行扣款操作后，返回扣款结果信息。
完税信息查询流程如下：(1)递交网上查询完税信息申请：纳税人登录相应的申报服务网站，通过相应的界面提交网上查询完税信息请求。
(2)报送完税查询请求信息：申报服务网站将完税查询请求信息报送到相应的税收征管服务器。
(3)处理完税查询请求：税收征管服务器根据完税查询请求信息从数据库中读取完税结果。
(4)返回完税结果信息：税收征管服务器返回完税结果信息。
根据上述流程，按照本发明的方法，进行业务数据一致性判断的具体工作流程如下：1.正常业务模板的构建：(1)定义网上报税业务流程和完税信息查询流程的规范化业务审计数据格式。其中：业务分类标识定义为：01代表网上报税业务；02代表完税信息查询业务。操作标识定义为：
(2)定义网上报税业务流程和完税信息查询流程的业务状态转换表。网上报税业务流程的业务状态转换表如下表，网上报税业务流程的业务状态转换图如图2所示。
网上报税业务流程状态转换表
完税信息查询流程的业务状态转换表如下表，完税信息查询流程的业务状态转换表状态转换图如图3所示。
完税信息查询流程状态转换表
(3)定义关联主键。企业代码和交易号两个参数就可以唯一标识一笔业务，所以将关联主键定义为：企业代码+交易号。
2.数据采集：由分布在系统各处的数据采集Agent分别在申报服务网站、税收征管服务器和税银联网服务器以及三者之间的网络通道上进行审计数据的采集，对不同信息格式进行处理，根据第一步定义的数据格式生成统一的规范化审计信息，并上报到业务审计数据一致性判断中心。
3.业务数据关联：(1)业务审计数据一致性判断中心对汇总的规范化业务审计数据，根据业务分类标识进行分类：业务分类标识为“01”的表示该审计数据属于“网络报税业务”，业务分类标识为“02”的表示该审计数据属于“完税信息查询业务”；(2)在业务分类标识为“01”的所有规范化业务审计数据中选择下一条审计数据(第一次进入选取第一个)；(3)判断该业务审计数据是否已关联，否则转(4)，是则转(2)；(4)将该业务审计数据拷贝入“关联业务数据缓冲区”，并将该业务审计数据标志为“已关联”；(5)提取该业务审计数据中定义为“关联主键”的数据项，即“企业代码”和“交易号”，在所有规范化业务审计数据中搜索“企业代码”和“交易号”与从该业务审计数据中提取的“企业代码”和“交易号”相同的“未关联”业务审计数据。将搜索到的业务审计数据拷贝入“关联业务数据缓冲区”，并将这些业务审计数据标志为“已关联”；(6)在“关联业务数据缓冲区”提取下一个业务审计数据，如果“关联业务数据缓冲区”中已没有业务审计数据则转(7)，否则转(5)；(7)将“关联业务数据缓冲区”中的业务审计数据按照操作时间排序，将这些数据作为同一次业务的拼接后的业务审计数据集存储，清空“关联业务数据缓冲区”；(8)在业务分类标识为“01”的规范化业务审计数据中选择下一条“未关联”业务审计数据，如果已不存在“未关联”业务审计数据则转(9)，否则转(4)；(9)当业务分类标识为“01”的所有规范化业务审计数据关联处理完毕后，选取业务分类标识为“02”的所有规范化业务审计数据，按上述第(2)-(8)步进行同样的关联处理。当业务分类标识为“02”的所有规范化业务审计数据也关联处理完毕后，所有业务分类数据的关联处理完毕。
4.业务审计数据的一致性判断：下面以一组模拟的网上报税业务审计数据为例来描述业务审计数据一致性判断的具体过程。假设该网上报税业务流程在税银联网服务器上出现故障，未能正常处理扣款请求，没有返回完税信息，则此次网上报税业务审计数据拼接后的业务审计数据集如图4所示。
此次网上报税业务审计数据一致性判断过程如下：(1)选择业务分类标识为“01”的业务状态转换表，见“网上报税业务流程状态转换表”。
(2)选取网上报税业务流程状态转换表中“是否起始状态”为“是”的条目，即
将上面两个条目的“状态标识”项作为“当前状态”；
(3)提取拼接后业务审计数据集中的第一个业务审计数据的操作标识，即提取图4中“审计数据1”的操作标识“01”；(4)在业务状态转换表中选取状态标识项为“当前状态”的条目中查找操作标识为“01”的条目，两条条目都符合，则将业务状态转换表中状态标识为“02”和“03”的条目都作为“当前状态”；(5)选取拼接后业务审计数据集中的下一个业务审计数据，即“审计数据2”，提取“审计数据2”的操作标识“02”，与上述当前状态条目中的操作标识匹配，得出业务状态标识为“04”和“05”的条目将作为新的“当前状态”。
按上述步骤以此类推，在各阶段得到的匹配结果在下表中用阴影表示：审计数据操作标识为“02”的匹配结果，状态“04”和“05”变为当前状态：
审计数据操作标识为“03”的匹配结果，状态“05”和“06”变为当前状态：
审计数据操作标识为“04”的匹配结果，状态“07”变为当前状态：
(6)按上述步骤可以得到：从状态01到02到04到06到07这个过程都是与该模拟流程一致的，但状态07并不是完整的申报流程的最终状态，而此时所有拼接后业务审计数据集均处理完毕，因此可以判断该业务审计数据集的判断结果为“不一致业务数据”。
5.事务处理：业务审计数据一致性判断中心根据判断结果，报警通知管理员发生异常操作，管理员可以在控制界面上查询此次异常操作的基本信息和审计结果，根据系统提供的审计信息，采取相应的处理措施。