技术摘要：
本公开描述一种网络安全审计方法，其包括：对终端的用户的操作过程通过录屏程序进行录屏，获取录屏的视频文件，视频文件存储于视频存储节点；在录屏过程中，对终端屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截获信息，文本截获信息存储于视频检索数据库  全部
背景技术：
计算机网络安全审计(Audit)是指按照一定的安全策略，利用记录、系统活动和用 户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或 改善系统性能的过程。 计算机网络安全审计可以简称为安全审计，实际是记录与审查用户操作计算机及 网络系统活动的过程，是提高系统安全性的重要举措。系统活动包括操作系统活动和应用 程序进程的活动。用户活动包括用户在操作系统和应用程序中的活动，如用户所使用的资 源、使用时间、执行的操作等。 现有的文本审计方法具有局限性，比如日志量大、可读性差、安全事件难以关联 等。另外，现有的录屏审计对终端进行录屏并获得录屏结果的相关文件，审计员对相关文件 进行检索。这种简单的录屏审计在实践中也有其自身的弱点，比如在事件追踪时，耗人耗 时、很容易漏掉事件细节，而且需要不断的进行相关文件的存储，造成了资源的消耗。
技术实现要素：
本公开有鉴于上述现有技术的状况而完成，其目的在于提供了一种可以对录屏结 果进行快速检索，帮助审计管理员提高安全事件分析和追踪能力的网络安全审计方法及系 统。 为此，本公开的第一方面提供了一种网络安全审计方法，是包括终端和审计端的 可视化网络的安全审计方法，其特征在于，包括：对终端的用户的操作过程通过录屏程序进 行录屏，获取录屏过程中的视频文件，所述视频文件存储于视频存储节点；在录屏过程中， 对所述终端的屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截获信息，所述 文本截获信息存储于视频检索数据库；在审计端输入检索条件，对所述视频检索数据库中 的所述文本截获信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获 信息时，所述视频检索数据库向所述视频存储节点输出相应的文本截获信息，并且所述视 频存储节点基于所述相应的文本截获信息，查找相应的视频文件，定位所述视频文件中出 现所述检索条件中的文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述 审计端，以便在所述审计端进行安全审计。 在本公开中，对终端的用户的操作过程进行录屏获得视频文件，对终端的屏幕的 文本输出进行监视，当文本输出发生变化时，截获文本截获信息，视频文件和文本截获信息 分别存储在视频存储节点和视频检索数据库中，在审计端输入检索条件，从视频检索数据 4 CN 111597382 A 说　明　书 2/10 页 库中找到符合检索条件的截获文本截获信息，视频存储节点基于截获文本截获信息获得相 应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻，并将视频文件和起始 时刻反馈给审计端，以便在审计端进行安全审计。由此，能够对录屏结果进行快速检索，能 够帮助审计管理员对终端的用户的违规操作和越权访问进行有效审计和快速追踪，并通过 直观的可视化方法回放用户的违规操作和越权访问过程，提高网络安全审计能力和效果。 在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述录屏程序为一 个独立的进程时，采用进程监视和安全保护机制，防止所述录屏程序被卸载或被终止运行。 由此，能够防止用户规避被录屏。 在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述视频文件的获 取和存储方法包括：判断所述用户是否退出操作环境；若所述用户没有退出所述操作环境， 继续录屏；录屏过程中判断时间片中断是否发生；若接收到时间片中断信号，创建子进程来 运行时间片中断处理程序，然后继续录屏；若没有接收到所述时间片中断信号，继续录屏， 若所述用户已经退出所述操作环境，则终止录屏活动；并且将该用户还未发送到所述视频 存储节点的本地录屏文件发送到所述视频存储节点；并且然后删除录屏过程中所述本地录 屏文件。由此，能够获取和存储视频文件。 在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述时间片中断处 理程序包括：将所述本地录屏文件转储到临时文件，并清空所述本地录屏文件；将所述临时 文件发送到所述视频存储节点；并且清空所述临时文件。由此，能够保证录屏过程中发生时 间片中断时的正常运行。 在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述录屏程序包括 用于当文本输出发生变化时截获所述文本截获信息的钩子程序，所述文本截获信息包括文 本信息、截获时间和与所述视频文件关联的文件标识符，所述文本截获信息的获取和存储 方法包括：在所述终端往屏幕上写入所述文本信息；进入所述钩子程序，其中，所述钩子程 序包括：从屏幕写文本函数的参数中获取或截获要写入的所述文本信息；然后采集系统当 前时间、系统IP地址、用户名以及用户视频文件标识符等信息；合并一起生成视频检索记 录；并且将所述视频检索记录发送给所述视频检索数据库中保存。由此，能够减少对网络系 统的整体性能的影响。 在本公开的第一方面所涉及的网络安全审计方法中，可选地，由所述终端对每个 用户的一次连续操作过程进行录屏获得一个视频文件，所述一个视频文件包括多个视频单 元。由此，一次连续操作过程为存储为一个视频文件，便于审计管理员进行有效审计和快速 追踪。 在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述录屏程序每隔 设定时间片将该时间片的所述视频单元发送至所述视频存储节点，该时间片的所述视频单 元与已经保存的同一个连续操作过程的所述视频单元进行合并，直至所述用户退出，在所 述用户退出当前操作环境后，所述终端将最后一个视频单元发送至所述视频存储节点，并 且所述最后一个视频单元与已经保存的同一个连续操作过程的其他视频单元进行合并，生 成所述用户本次连续操作过程的完整一个视频文件。由此，能够保证审计检索的实时性，以 及减少对资源的占用。 在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述视频检索数据 5 CN 111597382 A 说　明　书 3/10 页 库支持多个所述终端的所述视频文件的存储和检索。由此，能够支持对多终端用户操作行 为的可视化审计。 在本公开的第一方面所涉及的网络安全审计方法中，可选地，所述视频存储节点 和所述视频检索数据库使用同一个物理服务器。 本公开的第二方面提供了一种网络的安全审计系统，其特征在于，包括：用户装 置，其用于对用户的操作过程通过录屏程序进行录屏，获取录屏过程中的视频文件，在录屏 过程中，对所述用户装置的屏幕的文本输出进行监视，当文本输出发生变化时，获取文本截 获信息；视频存储节点，其用于存储所述视频文件；视频检索数据库，其用于存储所述文本 截获信息；以及审计装置，其用于输入检索条件，对所述视频检索数据库中的所述文本截获 信息进行检索，当在所述视频检索数据库查找到符合检索条件的文本截获信息时，所述视 频检索数据库向所述视频存储节点输出相应的文本截获信息，所述视频存储节点基于所述 相应的文本截获信息，查找相应的视频文件，定位所述视频文件中出现所述检索条件中的 文本信息的起始时刻，并将所述视频文件和所述起始时刻反馈给所述审计装置，以便在所 述审计装置进行安全审计。 在本公开中，对用户装置的用户的操作过程进行录屏获得视频文件，对用户装置 的屏幕的文本输出进行监视，当文本输出发生变化时，截获文本截获信息，视频文件和文本 截获信息分别存储在视频存储节点和视频检索数据库中，在审计装置输入检索条件，从视 频检索数据库中找到符合检索条件的截获文本截获信息，视频存储节点基于截获文本截获 信息获得相应的视频文件和视频文件中出现检索条件中的文本信息的起始时刻，并将视频 文件和起始时刻反馈给审计装置，以便在审计装置进行安全审计。由此，能够对录屏结果进 行快速检索，能够帮助审计管理员对用户装置的用户的违规操作和越权访问进行有效审计 和快速追踪，并通过直观的可视化方法回放用户的违规操作和越权访问过程，提高网络安 全审计能力和效果。 附图说明 现在将仅通过参考附图的例子进一步详细地解释本公开的实施例，其中： 图1是本公开所涉及的可视化网络的安全审计方法流程示意图。 图2是图1的视频文件的获取和存储的流程示意图。 图3是图2的时间片中断处理程序的流程示意图。 图4是本公开所涉及的视频文件存储合并存储的流程示意图。 图5是本公开所涉及的文本截获信息的截获和存储流程示意图。 图6是本公开所涉及的可视化网络安全审计系统结构示意图。