审计系统及审计检测方法.pdf

《审计系统及审计检测方法.pdf》由会员分享，可在线阅读，更多相关《审计系统及审计检测方法.pdf（13页完整版）》请在专利查询网上搜索。

1、(10)申请公布号 (43)申请公布日 (21)申请号 201410640780.6 (22)申请日 2014.11.13 G06F 21/55(2013.01) H04L 29/06(2006.01) (71)申请人 普华基础软件股份有限公司 地址 200030 上海市徐汇区虹漕路 448 号 1 幢 12 楼 (72)发明人 江水 车烈权 张志高 (74)专利代理机构 上海申新律师事务所 31272 代理人 朱俊跃 (54) 发明名称 审计系统及审计检测方法 (57) 摘要 本发明公开了审计系统及审计检测方法， 所 述审计系统的接收单元用以接收启动信号或审计 事件， 所述审计事件由多条日志。

2、记录组成 ； 存储 单元用以存储所述审计事件 ； 检测单元连接所述 存储单元， 用以对所述审计事件中的每条日志记 录逐条进行检测， 检测所述日志记录是否存在入 侵行为 ； 处理单元连接所述接收单元、 所述存储 单元和所述检测单元， 用以根据所述启动信号读 取所述审计系统内预设的配置文件， 启动所述检 测单元 ； 执行单元连接所述检测单元， 用以根据 所述检测单元的检测结果执行相应的操作。本发 明能检测出多种以合法权限对系统进行的入侵， 并将其强制终止 ； 可适时的入侵进行检测 ； 精确 的入侵检测 ； 用简单、 有效的方式对入侵进行处 理。 (51)Int.Cl. (19)中华人民共和国国家知。

3、识产权局 (12)发明专利申请 权利要求书2页 说明书8页 附图2页 (10)申请公布号 CN 104392173 A (43)申请公布日 2015.03.04 CN 104392173 A 1/2 页 2 1. 一种审计系统， 其特征在于， 包括 ： 接收单元， 用以接收启动信号或审计事件， 所述审计事件由多条日志记录组成， 每条所 述日志记录至少包括一个表示所述日志记录对应类型的字段和一个表示所述日志记录所 在终端的字段 ； 存储单元， 用以存储所述审计事件 ； 检测单元， 连接所述存储单元， 用以对所述审计事件中的每条日志记录逐条进行检测， 检测所述日志记录是否存在入侵行为 ； 处理单元。

4、， 连接所述接收单元、 所述存储单元和所述检测单元， 用以根据所述启动信号 读取所述审计系统内预设的配置文件， 启动所述检测单元 ； 执行单元， 连接所述检测单元， 用以根据所述检测单元的检测结果执行相应的操作。 2. 如权利要求 1 所述审计系统， 其特征在于， 所述检测单元包括 ： 解析模块， 用以对所述审计事件中的每条日志记录进行解析， 获取表示所述日志记录 所在终端及类型字段的键值。 3. 如权利要求 2 所述审计系统， 其特征在于， 所述检测单元还包括 ： 匹配模块， 连接所述解析模块， 用以将与所述日志记录的类型字段键值与预设类型字 段键值进行匹配， 获取检测结果。 4. 如权利要。

5、求 3 所述审计系统， 其特征在于， 所述执行单元包括 ： 识别模块， 用以识别所述检测结果是强制终止所述日志记录进程的原始进程模式还是 强制终止所述日志记录所在终端下的所有进程的相关进程模式。 5. 如权利要求 4 所述审计系统， 其特征在于， 所述执行单元还包括 ： 第一终止模块， 连接所述识别模块， 用以强制终止属于原始进程模式的所述日志记录 的对应的原始进程。 6. 如权利要求 4 所述审计系统， 其特征在于， 所述执行单元还包括 ： 第二终止模块， 连接所述识别模块， 用以强制终止属于相关进程模式的所述日志记录 所在终端下的所有进程。 7. 一种审计检测方法， 应用于如权利要求 1 。

6、所述审计系统， 其特征在于， 包括下列步 骤 ： A1. 接收启动信号 ； A2. 读取所述审计系统内预设的配置文件， 启动所述检测单元 ； A3. 判断是否接收到审计事件， 若否， 执行 A4 ； 若是， 执行 A5 ； A4. 所述检测单元处于休眠状态， 执行 A3 ； A5. 存储所述审计事件 ； A6. 对所述审计事件中的每条日志记录逐条进行检测。 8. 如权利要求 7 所述审计检测方法， 其特征在于， 所述步骤 A6 包括 ： A61. 对所述审计事件中的每条日志记录进行解析， 获取表示所述日志记录的类型字段 键值 ； A62. 将与所述日志记录的类型字段键值与预设类型字段键值进行匹。

7、配， 获取检测结 果。 9. 如权利要求 7 所述审计检测方法， 其特征在于， 还包括 ： 权 利 要 求 书 CN 104392173 A 2 2/2 页 3 A7. 逐条检测所述日志记录是否存在入侵行为， 若是强制终止所述日志记录的对应的 原始进程或所述日志记录所在终端下的所有进程， 若没有检测下一条日志记录， 直到所有 日志记录检测完毕， 检测单元进入休眠状态。 权 利 要 求 书 CN 104392173 A 3 1/8 页 4 审计系统及审计检测方法 技术领域 0001 本发明涉及系统安全领域， 尤其涉及一种审计系统及基于审计系统的入侵检测方 法。 背景技术 0002 安全威胁从计算。

8、机诞生开始就从未减少。为了抵御各种安全威胁， 人们设计了许 多技术及机制。 例如Linux系统中最基础的自主访问控制(DAC)、 防火墙和扩张强制访问控 制安全模式 (Security-Enhanced Linux， SELinux) 等， 都对保护系统安全发挥了巨大的作 用。但传统的安全机制存在的漏洞在于， 这些机制都是在入侵发生前或发生时对不符合权 限的操作进行阻止 ； 当入侵者突破了这些系统， 以合法权限对系统进行破坏时， 传统安全机 制无法做出有效的应对， 从而对系统的安全造成威胁。 发明内容 0003 针对传统的安全机制存在的上述问题， 现提供一种旨在实现可以对成功的 ( 或不 成功。

9、的 ) 突破系统安全的企图进行检测及终止的审计系统及审计检测方法。 0004 具体技术方案如下 ： 0005 一种审计系统， 包括 ： 0006 接收单元， 用以接收启动信号或审计事件， 所述审计事件由多条日志记录组成， 每 条所述日志记录至少包括一个表示所述日志记录对应类型的字段和一个表示所述日志记 录所在终端的字段 ； 0007 存储单元， 用以存储所述审计事件 ； 0008 检测单元， 连接所述存储单元， 用以对所述审计事件中的每条日志记录逐条进行 检测， 检测所述日志记录是否存在入侵行为 ； 0009 处理单元， 连接所述接收单元、 所述存储单元和所述检测单元， 用以根据所述启动 信号。

10、读取所述审计系统内预设的配置文件， 启动所述检测单元 ； 0010 执行单元， 连接所述检测单元， 用以根据所述检测单元的检测结果执行相应的操 作。 0011 优选的， 所述检测单元包括 ： 0012 解析模块， 用以对所述审计事件中的每条日志记录进行解析， 获取表示所述日志 记录所在终端及类型字段的键值。 0013 优选的， 所述检测单元还包括 ： 0014 匹配模块， 连接所述解析模块， 用以将与所述日志记录的类型字段键值与预设类 型字段键值进行匹配， 获取检测结果。 0015 优选的， 所述执行单元包括 ： 0016 识别模块， 用以识别所述检测结果是强制终止所述日志记录进程的原始进程模。

11、式 还是强制终止所述日志记录所在终端下的所有进程的相关进程模式。 说 明 书 CN 104392173 A 4 2/8 页 5 0017 优选的， 所述执行单元还包括 ： 0018 第一终止模块， 连接所述识别模块， 用以强制终止属于原始进程模式的所述日志 记录的对应的原始进程。 0019 优选的， 所述执行单元还包括 ： 0020 第二终止模块， 连接所述识别模块， 用以强制终止属于相关进程模式的所述日志 记录所在终端下的所有进程。 0021 一种审计检测方法， 应用所述审计系统， 包括下列步骤 ： 0022 A1. 接收启动信号 ； 0023 A2. 读取所述审计系统内预设的配置文件， 启。

12、动所述检测单元 ； 0024 A3. 判断是否接收到审计事件， 若否， 执行 A4 ； 若是， 执行 A5 ； 0025 A4. 所述检测单元处于休眠状态， 执行 A3 ； 0026 A5. 存储所述审计事件 ； 0027 A6. 对所述审计事件中的每条日志记录逐条进行检测。 0028 优选的， 所述步骤 A6 包括 ： 0029 A61. 对所述审计事件中的每条日志记录进行解析， 获取表示所述日志记录的类型 字段键值 ； 0030 A62. 将与所述日志记录的类型字段键值与预设类型字段键值进行匹配， 获取检测 结果。 0031 优选的， 还包括 ： 0032 A7. 逐条检测所述日志记录是否。

13、存在入侵行为， 若是强制终止所述日志记录的对 应的原始进程或所述日志记录所在终端下的所有进程， 若没有检测下一条日志记录， 直到 所有日志记录检测完毕， 检测单元进入休眠状态。 0033 上述技术方案的有益效果 ： 0034 1) 能检测出多种以合法权限对系统进行的入侵， 并将其强制终止 ； 0035 2) 可适时 ( 适时不是指实时， 实时的入侵检测会带来响应速度变慢问题 ) 的入侵 进行检测 ； 0036 3) 精确的入侵检测 ； 0037 4) 用简单、 有效的方式对入侵进行处理。 附图说明 0038 图 1 为本发明所述审计系统的一种实施例的模块图 ； 0039 图 2 为本发明所述审。

14、计系统与传统审计终止的安全机制关系图 ； 0040 图 3 为本发明所述审计检测方法的一种实施例的方法流程图。 具体实施方式 0041 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完 整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。基于 本发明中的实施例， 本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其 他实施例， 都属于本发明保护的范围。 说 明 书 CN 104392173 A 5 3/8 页 6 0042 需要说明的是， 在不冲突的情况下， 本发明中的实施例及实施例中的特征可以相 互组合。 0043 下面结合附图。

15、和具体实施例对本发明作进一步说明， 但不作为本发明的限定。 0044 如图 1 所示， 一种审计系统， 包括 ： 0045 接收单元 1， 用以接收启动信号或审计事件， 审计事件由多条日志记录组成， 每条 所述日志记录至少包括一个表示所述日志记录对应类型的字段和一个表示所述日志记录 所在终端的字段 ； 0046 存储单元 3， 用以存储审计事件 ； 0047 检测单元 4， 连接存储单元 3， 用以对审计事件中的每条日志记录逐条进行检测， 检测日志记录是否存在入侵行为 ； 0048 处理单元 2， 连接接收单元 1、 存储单元 3 和检测单元 4， 用以根据启动信号读取审 计系统内预设的配置文。

16、件， 启动检测单元 4 ； 0049 执行单元 5， 连接检测单元 4， 用以根据检测单元 4 的检测结果执行相应的操作。 0050 其中， 审计事件是指所有拥有相同主机、 时间戳和事件序列号的日志记录。 在同一 台主机上的每个事件都拥有唯一的时间戳和序列号。 0051 该审计系统设置于一分部式集群网络中， 该网络中包括多个服务器， 该系统用以 接收该网络中每个服务器发送的审计事件， 并逐条对每个审计事件进行检测。在本实施例 中检测单元 4 通过在审计系统的服务进程中增加一个插件检测程序来实现， 当审计系统启 动后， 嵌套于处理单元 2 中的分发程序 audisp 随之启动， 通过该分发程序读。

17、取审计系统中 自身已经存在的插件的配置文件(预设的配置文件)。 如果存在可用的插件， 则由分发程序 来启动该插件， 并使用 socket 套接字来进行分发程序及插件之间的进程间通信， 插件的标 准输入被重定向为 socket 套接字。当审计系统中发生审计事件， 并产生审计日志信息时， 通过分发程序将所有审计事件发送给已启动的插件检测程序。 0052 如图 2 所示， 本实施例的处理机制与传统安全机制之间的关系。从图 2 中可以看 出， 入侵者在入侵过程中首先需要突破传统安全机制的权限检查， 如果在这个过程中出现 错误， 入侵者就会被防火墙或者SELinux或者DAC权限控制机制等拒之门外， 无。

18、法对系统进 行控制或操作。 当入侵者突破了上述安全机制， 对系统进行控制或操作， 会触发审计事件发 生， 审计系统控制行为通过接收单元检测到入审计事件， 通过检测单元检测到入侵者， 通过 终止单元将入侵行为强行终止。 0053 在优选的实施例中， 检测单元 4 可包括 ： 0054 解析模块 41， 用以对审计事件中的每条日志记录进行解析， 获取表示日志记录所 在终端及类型字段的键值。 0055 在本实施例中当插件检测程序启动后会读取自身的配置文件， 配置文件详细设置 了针对各种疑似入侵行为的处理内容。包括 ： 使能 / 禁用开关、 处理方式等。通过配置文 件， 系统管理员可以清晰地对每种疑似。

19、入侵行为进行精细化处理。配置文件样板如下 ： 0056 detect_avc yes 0057 avc_action idmef 0058 detect_logins no 0059 login_action idmef 说 明 书 CN 104392173 A 6 4/8 页 7 0060 detect_login_fail_max yes 0061 login_fail_max_action kill 0062 detect_login_session_max yes 0063 login_session_max_action session 0064 detect_login_locat。

20、ion yes 0065 login_location_action idmef,session 0066 0067 在本实施例中的插件检测程序在读取配置文件无误后， 会初始化 Auparse 解析工 具。Auparse 库是由审计系统提供的解析审计事件的接口。利用 Auparse 工具可以对从分 发程序接收到的审计事件通过存储单元 3 进行储存、 采用解析模块 41 对审计事件进行分 析、 以及进行提取等操作。 一个审计事件由多条日志记录组成， 每条记录用来描述事件不同 方面的信息。每条记录所描述的方向由记录的类型字段来表示。记录中的信息都是由用等 号连接的键值对来表示， 每个键值对用逗号或。

21、空白分割。这些键值包括 ： 0068 acct-alphanumeric,a users account name 0069 addr-the remote address that the user is connecting from 0070 arch-numeric,the elf architecture flags 0071 audit_backlog_limit-numeric,audit systems backlog queue size 0072 audit_enabled-numeric,audit systemss enable/disable status 0073 。

22、audit_failure-numeric,audit systems failure mode 0074 auid-numeric,login user id 0075 comm-alphanumeric,command line program name 0076 cwd-path name,the current working directory 0077 dev-numeric,in path records,major and minor for device 0078 dev-in avc records,device name as found in/dev 0079 egid。

23、-numeric,effective group id 0080 euid-numeric,effective user id 0081 exe-path name,executable name 0082 exit-numeric,syscall exit code 0083 fi le-fi le name 0084 flags-numeric,fi le system namei flags 0085 format-alphanumeric,audit logs format 0086 fsgid-numeric,fi le system group id 0087 fsuid-nume。

24、ric,fi le system user id 0088 gid-numeric,group id 0089 hostname-alphanumeric,the hostname that the user is connecting from 0090 id-numeric,during account changes,the user id of the account 0091 inode-numeric,inode number 0092 inode_gid-numeric,group id of the inodes owner 0093 inode_uid-numeric,use。

25、r id of the inodes owner 说 明 书 CN 104392173 A 7 5/8 页 8 0094 item-numeric,which item is being recorded 0095 items-numeric,the number of path records in the event 0096 list-numeric,the audit systems fi lter list number 0097 mode-numeric,mode flags on a fi le 0098 msg-alphanumeric,the payload of the a。

26、udit record 0099 nargs-numeric,the number of arguments to a socket call 0100 name-fi le name in avcs 0101 obj-alphanumeric,lspp object context string 0102 ogid-numeric,object owners group id 0103 old-numeric,old audit_enabled,audit_backlog,or audit_failure value 0104 old_prom-numeric,network promisc。

27、uity flag 0105 op-alphanumeric,the operation being performed that is audited 0106 ouid-numeric,object owners user id 0107 parent-numeric,the inode number of the parent fi le 0108 path-fi le system path name 0109 perm-numeric,the fi le permission being used 0110 perm_mask-numeric,file permission audi。

28、t mask that triggered a watch event 0111 pid-numeric,process id 0112 prom-numeric,network promiscuity flag 0113 qbytes-numeric,ipc objects quantity of bytes 0114 range-alphanumeric,users SE Linux range 0115 rdev-numeric,the device identifi er(special fi les only) 0116 res-alphanumeric,result of the 。

29、audited operation(success/fail) 0117 result-alphanumeric,result of the audited operation(success/fail) 0118 role-alphanumeric,users SE linux role 0119 saddr-alphanumeric,socket address 0120 sauid-numeric,sending login user id 0121 scontext-alphanumeric,the subjects context string 0122 seuser-alphanu。

30、meric,users SE Linux user acct 0123 sgid-numeric,set group id 0124 spid-numeric,sending process id 0125 subj-alphanumeric,lspp subjects context string 0126 success-alphanumeric,whether the syscall was successful or not 0127 suid-numeric,sending user id 0128 syscall-numeric,the syscall number in effe。

31、ct when the event occurred 0129 tclass-alphanumeric,targets object classifi cation 0130 tcontext-alphanumeric,the targets or objects context string 0131 terminal-alphanumeric,terminal name the user is running programs on 说 明 书 CN 104392173 A 8 6/8 页 9 0132 tty-alphanumeric,tty interface that the use。

32、r is running programs on 0133 type-alphanumeric,the audit records type 0134 uid-numeric,user id 0135 user-alphanumeric,account the user claims to be prior to authentication 0136 ver-numeric,audit daemons version number 0137 watch-the fi le name in a watch record 0138 在优选的实施例中， 检测单元 4 还包括 ： 0139 匹配模块。

33、 42， 连接解析模块 41， 用以将与日志记录的类型字段键值与预设类型字 段键值进行匹配， 获取检测结果。 0140 通过调用 Auparse 库的相关接口， 审计日志信息中包含大量审计事件的相关信 息， 通过匹配模块 42 的搜索下列类型的审计日志 ： 0141 AUDIT_AVC 0142 AUDIT_USER_LOGIN 0143 AUDIT_ANOM_LOGIN_FAILURES 0144 AUDIT_ANOM_LOGIN_SESSIONS 0145 AUDIT_ANOM_LOGIN_LOCATION 0146 AUDIT_ANOM_LOGIN_TIME 0147 AUDIT_ANO。

34、M_ABEND 0148 AUDIT_ANOM_PROMISCUOUS 0149 AUDIT_MAC_STATUS 0150 AUDIT_GRP_AUTH 0151 AUDIT_SYSCALL 0152 这些审计日志类型覆盖了入侵行为的各个方面， 当其中的一类或几类事件发生时 匹配模块 42 会依据配置文件的配置来进行相应的处理。 0153 插件检测程序在初始化 Auparse 工具成功后， 就开始等待审计系统的分发程序发 送的审计事件。当没有审计事件发生时， 插件检测程序进入休眠。当有审计事件发生时， 插 件检测程序从休眠中被唤醒， 使用 Auparse 工具对审计事件进行保存， 再逐条对日。

35、志记录 进行处理。 0154 在优选的实施例中， 执行单元 5 包括 ： 0155 识别模块 52， 用以识别检测结果是强制终止日志记录进程的原始进程模式还是强 制终止日志记录所在终端下的所有进程的相关进程模式。 0156 在本实施例中， 插件检测程序在处理审计事件时， 通过键值 type 判断该日志记录 是否属于入侵行为。 对于非入侵行为不做任何处理， 直接处理下一条日志记录， 直到所有日 志记录处理完毕后进入休眠。对于入侵行为， 执行单元 5 通过审计日志信息将其强制终止。 终止操作原理如下 ： 0157 终止操作可以设置两种模式 ： 强制终止入侵的原始进程模式 kill、 强制终止所有 。

36、入侵的相关进程模式 session。 0158 在优选的实施例中， 执行单元 5 还包括 ： 0159 第一终止模块 53， 连接识别模块 52， 用以强制终止属于原始进程模式的日志记录 说 明 书 CN 104392173 A 9 7/8 页 10 的对应的原始进程。 0160 原始进程模式 kill 的实现较为简单， 在日志记录中包含触发审计事件的进程的 PID 信息。通过 Auparse 接口解析日志记录里的 PID 键值即可得到。插件检测程序直接通 过该 PID 向进程发送 TERM 信号强制终止该进程。 0161 在优选的实施例中， 执行单元 5 还包括 ： 0162 第二终止模块 。

37、51， 连接识别模块 52， 用以强制终止属于相关进程模式的日志记录 所在终端下的所有进程。 0163 相关进程模式 session 的基本原理为首先找到入侵进程所在的终端， 再向该终端 下所有的进程依次发送 TERM 信号将其全部终止。 0164 所有登陆系统的用户， 都需要首先由系统给其分配一个终端， 然后才能进行其它 的操作。而每一个终端都由一个终端号来唯一确定。插件检测程序利用日志记录中的三个 键值 PID、 TTY 和 TERMINAL， 通过 /proc 文件系统， 采用下述两种方法均可以查找相关终端 号。 0165 第一种方法是 ： 每一个系统进程在 proc 文件系统中都有对应。

38、的文件夹， 该文件夹 下会有一个名为 stat 的文件， 该文件的内容实例如下 ： 0166 rootlocalhost # cat /proc/3714/stat 0167 3714 (vim) S 3675 3714 3675 34816 3714 4202496 1039 0 0168 27 0 1 0 0 0 20 0 1 0 5740 155303936 943 18446744073 0169 709551615 4194304 6049260 140734377513040 14073437751 0170 0952 215445537619 0 0 12288 18708108。

39、79 18446777071580 0171 482777 0 0 17 3 0 0 24 0 0 0172 该文件内容由空格分为许多项， 其中第 7 项内容即为该进程所在终端的终端号。 0173 第二种方法是 ： 审计日志信息中的TTY和TERMINAL键值会记录相关进程的终端名 称， 通过 /proc/tty/drivers 文件可以手动计算出该终端名称对应的终端号。/proc/tty/ drivers 文件内容实例如下 ： 0174 0175 其中， 第二列为终端名称前缀， 第三列为终端名称前缀对应的主设备号， 第四列为 终端名称前缀对应的次设备号范围。终端号由终端的主设备号和次设备号组。

40、合而成。设主 设备号为 major， 词设备号为 minor， 则终端号为 ： 0176 (minor & 0xff)|(major & 0xfff)8) & 0xfff)20) 0177 例如某进程的终端名称为 /dev/tty5， 则该终端名称前缀为 /dev/tty， 次设备号 为 5， 在上述实例中第一行和最后一行的终端名称前缀都符合， 但第一行中次设备号范围为 0， 而最后一行的次设备号范围为 1-63， 所以 /dev/tty5 应该符合最后一行， 即主设备号为 说 明 书 CN 104392173 A 10 8/8 页 11 4， 次设备号为 5， 通过上面的公式可以计算其终端号。

41、为 1029。 0178 由于不同类型审计事件产生的日志记录格式不相同， 在一个具体的日志记录中上 述的 PID、 TTY、 TERMINAL 键值不一定都存在。所以在解析每一条日志记录时都需要对这三 个键值分别解析一次， 直到得到有效的终端号为止。 0179 在得到入侵进程的终端号后， 插件检测程序通过 /proc 文件系统筛选出与所有与 该终端号相同的进程 PID， 并依次向其发送 TERM 信号将其强制终止。 0180 如图 3 所示， 一种审计检测方法， 应用审计系统， 包括下列步骤 ： 0181 A1. 接收启动信号 ； 0182 A2. 读取审计系统内预设的配置文件， 启动检测单元。

42、 4 ； 0183 A3. 判断是否接收到审计事件， 若否， 执行 A4 ； 若是， 执行 A5 ； 0184 A4. 检测单元处于休眠状态， 执行 A3 ； 0185 A5. 存储审计事件 ； 0186 A6. 对审计事件中的每条日志记录逐条进行检测。 0187 在本实施例中该审计检测方法依赖于分发程序及检测单元。当审计事件发生时， 数据流向为 ： 对审计事件进行解析并存储， 对解析后的日志记录进行检测及相应的处理。 0188 在优选的实施例中， 步骤 A6 包括 ： 0189 A61. 对审计事件中的每条日志记录进行解析， 获取表示日志记录的类型字段键 值 ； 0190 A62. 将与日志。

43、记录的类型字段键值与预设类型字段键值进行匹配， 获取检测结 果。 0191 通过Auparse库对审计事件进行解析。 Auparse库提供解析审计日志的接口， 将日 志记录与预设类型字段键值进行比较。 0192 在优选的实施例中， 还包括 ： 0193 A7. 逐条检测日志记录是否存在入侵行为， 若是强制终止日志记录的对应的原始 进程或日志记录所在终端下的所有进程， 若没有检测下一条日志记录， 直到所有日志记录 检测完毕， 检测单元进入休眠状态。 0194 在本实施例中首先接收审计系统分发程序发送的所有系统审计事件， 将审计事件 分析后， 筛选出具有入侵行为特征的程序， 并将其强制终止。 该方法能够提高系统对成功的 ( 或不成功的 ) 突破系统安全的企图的分辨及防御能力。 0195 以上所述仅为本发明较佳的实施例， 并非因此限制本发明的实施方式及保护范 围， 对于本领域技术人员而言， 应当能够意识到凡运用本发明说明书及图示内容所作出的 等同替换和显而易见的变化所得到的方案， 均应当包含在本发明的保护范围内。 说 明 书 CN 104392173 A 11 1/2 页 12 图 1 图 2 说 明 书 附 图 CN 104392173 A 12 2/2 页 13 图 3 说 明 书 附 图 CN 104392173 A 13 。