(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111350494.2 (22)申请日 2021.11.15 (71)申请人 北京天地和兴科技有限公司 地址 100000 北京市海淀区东北旺西路8号 中关村软件园8号楼三层316室 (72)发明人 王小东　邹丛林　 (74)专利代理 机构 北京劲创知识产权代理事务 所(普通合伙) 11589 代理人 田亚飞 (51)Int.Cl. H04L 41/147(2022.01) H04L 41/0604(2022.01) H04L 9/40(2022.01) H04L 67/02(2022.01) G06F 16/903(2019.01)G06F 16/906(2019.01) (54)发明名称 一种结合内容审计的用户上网行为审计的 方法及系统 (57)摘要 本发明公开了一种结合内容审计的用户上 网行为审计的方法及系统， 包括DPI子系统和UI 子系统， 所述DPI子系统的输出端与行为审计模 块和黑名单模块的输入端通过中间件子系统连 接； 包括以下步骤： 步骤1： 利用丰富的域名库积 累和高效的域名匹配算法， 对用户上网的行为做 分类统计； 步骤2： 利用正则匹配表达式对用户上 网的详细内容做分类和记录； 利用黑名单对HTTP 协议流量做匹配； 步骤3： 利用纵向 的时光轴展 示 用户上网行为和具体内容。 本发 明利用用户上网 行为审计和黑名单功能， 结合时光轴和黑名单匹 配的告警事件对用户上网行为和攻击事件做了 很好的关联性， 有利于网络管理员快速追根溯 源， 找到网络攻击的源头， 并且通过打补丁解决 安全漏洞问题。 权利要求书1页 说明书3页 附图3页 CN 114024861 A 2022.02.08 CN 114024861 A 1.一种结合内容审计的用户上网行为审计系统， 包括DPI子系统和UI子系统， 其特征在 于， 所述DPI子系统的输出端与行为审计模块和黑名单模块的输入端通过中间件子系统连 接； 所述DPI子系统包括数据包接收模块、 HTTP协议分析模块、 行为审计模块和黑名单模 块， 所述数据包接收模块的输出端与HTTP协议分析模块的输入端连接， HTTP协议分析模块 的输出端分别与行为审计模块和黑名单模块的输入端连接， 所述行为审 计模块和黑名单模 块的输出端与中间件子系统的输入端通过 数据上报模块连接； 所述UI子系统包括行为审计策略模块和时光轴模块， 所述中间件子系统 的输出端分别 与审计策略模块和时光轴模块的输入端连接 。 2.根据权利要求1所述的一种结合内容审计的用户上网行为审计系统， 其特征在于， 所 述中间件子系统包括子系统行为审计策略模块和数据处理模块， 所述据上报模块的输出端 分别与子系统行为审计策略模块和数据处 理模块的输入端连接 。 3.根据权利要求1所述的一种结合内容审计的用户上网行为审计系统， 其特征在于， 所 述数据包接收模块用于 接收用户上网行为的数据包。 4.根据权利要求1所述的一种结合内容审计的用户上网行为审计系统， 其特征在于， 所 述HTTP协议分析模块用于解析HT TP协议。 5.根据权利要求1所述的一种结合内容审计的用户上网行为审计系统， 其特征在于， 所 述黑名单模块对HT TP协议做黑名单匹配， 生成黑名单告警事 件。 6.根据权利要求1所述的一种结合内容审计的用户上网行为审计系统， 其特征在于， 所 述行为审计模块对HTTP协议做行为审计， 得到用户上网行为的类别(比如浏览， 发帖等)和 统计数据， 并且通过内容审计得到上网行为的具体内容(发帖内容 等)。 7.根据权利要求1所述的一种结合内容审计的用户上网行为审计系统， 其特征在于， 所 述数据处理模块接收来自DPI子系统的审计数据和黑名单告警数据并且做关联， 供UI的时 光轴控件展现。 8.根据权利要求1所述的一种结合内容审计的用户上网行为审计系统， 其特征在于， 所 述时光轴模块以时间作为纵轴， 展现行为审计和内容审计的内容， 同时显示黑名单告警事 件。 9.一种结合内容审计的用户上网行为审计方法， 其特 征在于， 包括以下步骤： 步骤1： 利用丰富的域名库积累和高效的域名匹配算法， 对用户上网的行为做分类统 计； 步骤2： 利用正则匹配表达式对用户上网的详细内容做分类和记录； 利用黑名单对HTTP 协议流量做匹配， 生成告警事 件； 步骤3： 利用纵向的时光轴 展示用户上网行为和具体内容， 并且让黑名单告警事件关联 到时光轴。权　利　要　求　书 1/1 页 2 CN 114024861 A 2一种结合内容审 计的用户上 网行为审计的方法及系统 技术领域 [0001]本发明涉及上网行为审计技术领域， 尤其涉及一种结合内容审计的用户上网行为 审计的方法及系统。 背景技术 [0002]如何感知用户的网络行为， 实现对用户上网行为的审计， 并根据审计结果对用户 上网行为进 行控制， 一直是网络管理者关注的问题。 简单地说， 用户上网行为的审 计技术是 一种对用户上网行为进行记录和分析的方法， 包括用户上网数据的采集和用户上网数据的 分析等内容。 在用户行为审计技术提供 的各种分析数据基础上， 网络管理者可以根据网络 使用状况， 对网络安全、 用户行为进行有效的监控和管理， 同时为网络犯罪提供有力的证 据。 [0003]目前用户上 网行为审计的方法很多， 可以把用户上 网的IP地址， URL以及网站分类 信息等记录下来， 并且可以通过配置审计条件 对满足相关条件的用户上网行为进行审计。 [0004]但是审计数据量很大， 关联性比较差， 而且多以表格形式呈现， 网络管理员很难 从 其中发现异常行为。 发明内容 [0005]1.要解决的技 术问题 [0006]本发明的目的是为了解决现有技术中审计数据量很大， 关联性比较差， 而且多以 表格形式呈现的问题， 而提出的一种结合内容审计的用户上网行为审计系统。 [0007]2.技术方案 [0008]为了实现上述目的， 本发明采用了如下技 术方案： [0009]一种结合内容审计的用户上网行为审计系统， 包括DPI子系统和UI子系统， 所述 DPI子系统的输出端与行为审计模块和黑名单模块的输入端通过中间件子系统连接； [0010]所述DPI子系统包括数据 包接收模块、 HTTP协议分析模块、 行为审计模块和黑名单 模块， 所述数据包接收模块的输出端与HTTP协议分析模块的输入端连接， HTTP协议分析模 块的输出端分别与行为审 计模块和黑名单模块的输入端连接， 所述行为审计模块和黑名单 模块的输出端与中间件子系统的输入端通过 数据上报模块连接； [0011]所述UI子系统包括行为审计策略模块和时光轴模块， 所述中间件子系统的输出端 分别与审计策略模块和时光轴模块的输入端连接 。 [0012]优选地， 所述中间件子系统包括子系统行为审计策略模块和数据处理模块， 所述 据上报模块的输出端分别与子系统行为审计策略模块和数据处 理模块的输入端连接 。 [0013]优选地， 所述数据包接收模块用于 接收用户上网行为的数据包。 [0014]优选地， 所述HT TP协议分析模块用于解析HT TP协议。 [0015]优选地， 所述 黑名单模块对HT TP协议做黑名单匹配， 生成黑名单告警事 件。 [0016]优选地， 所述行为审计模块对HTTP协议做行为审计， 得到用户上网行为的类别(比说　明　书 1/3 页 3 CN 114024861 A 3