CN101662480B - 一种基于访问控制的日志系统 - Google Patents
一种基于访问控制的日志系统 Download PDFInfo
- Publication number
- CN101662480B CN101662480B CN2009101949677A CN200910194967A CN101662480B CN 101662480 B CN101662480 B CN 101662480B CN 2009101949677 A CN2009101949677 A CN 2009101949677A CN 200910194967 A CN200910194967 A CN 200910194967A CN 101662480 B CN101662480 B CN 101662480B
- Authority
- CN
- China
- Prior art keywords
- layer
- access control
- log
- daily record
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种基于访问控制的日志系统,该系统包括基本组件层、日志处理输出层、访问控制策略层、网络接口层,所述的基本组件层向上与日志处理输出层连接,所述的日志处理输出层是日志输出管理器的集合,向上与访问控制策略层连接,所述的访问控制策略层向上与网络接口层相连,所述的网络接口层通过访问控制策略层提供的指令来判断是否接受网络发来的日志。与现有技术相比,本发明具有开放性好、可扩展性、抵抗拒绝服务攻击等优点。
Description
技术领域
本发明涉及软件日志系统,尤其涉及一种基于访问控制的日志系统。
背景技术
在软件系统中,往往需要通过生成日志来记录软件系统运行过程中所发生的事件,日志可以写在本地,也可以通过网络发送到远程日志系统。目前一些通过网络接收日志的日志系统有Syslog Watcher、Kivi等,这些系统提供了统一的接口,通过TCP端口(默认端口号为1468)和UDP端口(默认端口号为514)接收网络发送来的日志,把接收到的日志写到本地文件。然而,这些系统在接收日志时并不考虑日志的来源,而是接收所有的日志并进行处理。这样可能导致的问题有:
(1)若日志系统开放了TCP端口,恶意攻击者可以向日志系统发出成千上万个连接请求。当TCP连接数目有限制时,在日志系统的TCP连接数目将达到上限后,其他合法IP将无法连接日志系统,导致合法IP发送日志失败;若TCP连接数目无限制,随着恶意连接数目的增加,日志系统需要维护大量的TCP连接,导致日志系统性能下降,甚至不稳定或崩溃;
(2)若日志系统开放了UDP端口,恶意攻击者可以向日志系统发送大量垃圾日志,以耗用日志系统的资源,导致日志系统效率下降,甚至不稳定或崩溃。以上均为拒绝服务攻击,在这种情况下,为了解决上述问题,提出了一种基于访问控制的日志系统体系结构。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷,提供一种开放性、可扩展性的基于访问控制的日志系统。
本发明的目的可以通过以下技术方案来实现:
一种基于访问控制的日志系统,其特征在于,该系统包括基本组件层、日志处理输出层、访问控制策略层、网络接口层,所述的基本组件层向上与日志处理输出层连接,所述的日志处理输出层是日志输出管理器的集合,向上与访问控制策略层连接,所述的访问控制策略层向上与网络接口层相连,所述的网络接口层通过访问控制策略层提供的指令来判断是否接受网络发来的日志。
所述的基本组件层为系统的最底层,包括队列互斥锁组件、异常管理组件、线程安全队列组件、线程组件、XML组件等功能组件,这些功能组件为以上三层功能的实现提供功能服务。
所述的日志处理输出层中的每一个日志输出管理器均可接收日志消息,并将日志消息以预设的格式输出到预设的输出目的地。
所述的网络接口层包括开放的TCP端口、UDP端口,基于访问控制策略层所提供的控制策略,对TCP端口接受哪些IP的连接、UDP端口接收哪些IP发送的日志进行管理,有效地过滤非法IP。
所述的访问控制策略层包括允许策略模块和拒绝策略模块,允许策略模块和拒绝策略模块分别定义了合法IP地址列表和非法IP地址列表,仅当IP地址位于合法列表,且不在非法列表中时,认为是合法IP地址,TCP端口接受合法IP地址的连接,UDP端口在接收到日志之后,对日志来源进行分析,丢弃非法IP地址发送来的日志。
与现有技术相比,本发明具有以下优点:
(1)具有开放性结构;
(2)扩展性好;
(3)抵御拒绝服务攻击。
附图说明
图1是本发明一种基于访问控制的日志系统的结构示意图。
具体实施方式
以下结合具体实施例对本发明做进一步说明。
实施例
如图1所示,本体系结构由下至上共四层:
1.基本组件层:
基本组件层为体系结构的最低一层,实现基本功能,这层向上与日志处理输出层连接,为以上三层功能的实现提供功能服务组件,如图1所示,如:队列互斥锁组件、异常管理组件、线程安全队列组件、线程组件、XML组件等。以这种组件的形式,用户在使用组件提供的服务时并不需要考虑服务的底层实现,可以方便灵活地通过增减组件的数目来增减基本服务,达到了基本组件与上层体系结构的无缝连接。
2.日志处理输出层:
该层中每个符合体系结构标准的日志输出管理器均可以以插件或组件形式纳入到体系结构中。每一个日志输出管理器可以接收日志并输出到相应的输出目的地,其彼此之间是独立的。如图1所示,日志可以写本地文件、写数据库、写本地系统事件等。
3.访问控制策略层:
访问控制策略层服务于上层的网络接口层,为上一层的网络接口层定制访问控制策略,其具体策略包括允许策略模块和拒绝策略模块。允许策略模块和拒绝策略模块分别定义了合法列表和非法列表。仅当IP位于合法列表,且不在非法列表中时,认为是合法IP。日志系统的TCP端口只接收合法IP的连接,这样就可以防止非法IP通过TCP向日志系统发送日志;日志系统的UDP端口在接收到日志之后,对日志来源进行分析,丢弃非法IP发送来的日志。该策略用XML描述,其DTD格式如下:
<?xml version=″1.0″encoding=″UTF-8″?>
<!ELEMENT ACCESSCONTROL(LEGAL+)>
<!ELEMENT ACCESSCONTROL(ILLEGAL+)>
<!ELEMENT LEGAL(IP+)>
<!ELEMENT ILLEGAL(IP+)>
<!ATTLIST IP from CDATA#REQUIRED>
<!ATTLIST IP to CDATA#REQUIRED>
其中:
ACCESSCONTROL为XML格式的访问控制策略的根节点;
LEGAL为合法列表节点,其中含有一个或多个子节点IP;
ILLEGAL为非法列表节点,其中含有一个或多个子节点IP;
IP为IP范围节点,该节点中属性from和to定义了一个IP范围。
例如,某访问控制策略如下:
<?xml version=″1.0″encoding=″GB2312″?>
<ACCESSCONTROL>
<LEGAL>
<IP from=″192.168.0.0”to=″192.168.255.255″/>
<IP from=″192.100.0.0”to=″192.100.255.255″/>
</LEGAL>
<ILLEGAL>
<IP from=″192.168.0.1″to=″192.168.0.1″/>
<IP from=″192.100.0.1″to=″192.100.0.1″/>
</ILLEGAL>
</ACCESSCONTROL>
在该策略中,合法列表中定义了两个IP段:192.168.0.0到192.168.255.255、192.100.0.0到192.100.255.255,非法类表中定义了两个IP端:IP192.168.0.1、192.100.0.1,因此实际合法IP段为192.168.0.0、192.168.0.2到192.168.255.255、192.100.0.0、192.168.0.2到192.168.255.255。
4.网络接口层:
在XML策略示例中,若192.168.0.0、192.168.0.2到192.168.255.255、192.100.0.0、192.168.0.2到192.168.255.255范围内的IP连接日志系统的TCP端口,日志系统接受其连接,否则拒绝连接。如果日志系统通过UDP端口接收到日志,若发送日志的IP在192.168.0.0、192.168.0.2到192.168.255.255、192.100.0.0、192.168.0.2到192.168.255.255范围内,则处理日志,否则丢弃日志。
Claims (5)
1.一种基于访问控制的日志系统,其特征在于,该系统包括基本组件层、日志处理输出层、访问控制策略层、网络接口层,所述的基本组件层向上与日志处理输出层连接,所述的日志处理输出层是日志输出管理器的集合,向上与访问控制策略层连接,所述的访问控制策略层向上与网络接口层相连,所述的网络接口层通过访问控制策略层提供的指令来判断是否接受网络发来的日志。
2.根据权利要求1所述的基于访问控制的日志系统,其特征在于,所述的基本组件层为系统的最底层,包括队列互斥锁组件、异常管理组件、线程安全队列组件、线程组件、XML组件功能组件,这些功能组件为以上三层功能的实现提供功能服务。
3.根据权利要求1所述的基于访问控制的日志系统,其特征在于,所述的日志处理输出层中的每一个日志输出管理器均可接收日志消息,并将日志消息以预设的格式输出到预设的输出目的地。
4.根据权利要求1所述的基于访问控制的日志系统,其特征在于,所述的网络接口层包括开放的TCP端口、UDP端口,基于访问控制策略层所提供的控制策略,对TCP端口接受哪些IP的连接、UDP端口接收哪些IP发送的日志进行管理,有效地过滤非法IP。
5.根据权利要求1所述的基于访问控制的日志系统,其特征在于,所述的访问控制策略层包括允许策略模块和拒绝策略模块,允许策略模块和拒绝策略模块分别定义了合法IP地址列表和非法IP地址列表,仅当IP地址位于合法列表,且不在非法列表中时,认为是合法IP地址,TCP端口接受合法IP地址的连接,UDP端口在接收到日志之后,对日志来源进行分析,丢弃非法IP地址发送来的日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101949677A CN101662480B (zh) | 2009-09-01 | 2009-09-01 | 一种基于访问控制的日志系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009101949677A CN101662480B (zh) | 2009-09-01 | 2009-09-01 | 一种基于访问控制的日志系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101662480A CN101662480A (zh) | 2010-03-03 |
| CN101662480B true CN101662480B (zh) | 2012-03-07 |
Family
ID=41790266
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101949677A Active CN101662480B (zh) | 2009-09-01 | 2009-09-01 | 一种基于访问控制的日志系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101662480B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195795B (zh) * | 2010-03-19 | 2014-03-12 | Tcl集团股份有限公司 | 智能小区日志系统及其日志记录方法 |
| US9712382B2 (en) * | 2014-10-27 | 2017-07-18 | Quanta Computer Inc. | Retrieving console messages after device failure |
| CN105306465B (zh) * | 2015-10-30 | 2019-01-18 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN108718295A (zh) * | 2018-04-20 | 2018-10-30 | 新华三技术有限公司 | 一种系统日志传输方法及装置 |
| CN111193685B (zh) * | 2018-11-14 | 2022-10-18 | 中国移动通信集团辽宁有限公司 | 校验日志信息真伪的方法、装置、设备和介质 |
| CN111901147B (zh) * | 2020-06-28 | 2022-08-30 | 北京可信华泰信息技术有限公司 | 一种网络访问的控制方法和装置 |
| CN111859373B (zh) * | 2020-07-15 | 2024-05-28 | 杭州安恒信息技术股份有限公司 | 一种针对hid攻击的防御方法、装置和计算机设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1667573A (zh) * | 2004-10-26 | 2005-09-14 | 中国科学技术大学 | 基于服务体/执行流模型的操作系统 |
| WO2006131475A1 (en) * | 2005-06-06 | 2006-12-14 | International Business Machines Corporation | Computer network intrusion detection system and method |
| CN101064712A (zh) * | 2006-04-24 | 2007-10-31 | 维豪信息技术有限公司 | 一种基于Linux内核实现双通道穿越多级NAT和防火墙的系统及方法 |
| WO2008077414A1 (en) * | 2006-12-22 | 2008-07-03 | Telefonaktiebolaget L.M. Ericsson (Publ) | Preventing spoofing |
| CN101355775A (zh) * | 2008-08-15 | 2009-01-28 | 中兴通讯股份有限公司 | 配置数据批量导入装置及其多客户端互斥方法 |
-
2009
- 2009-09-01 CN CN2009101949677A patent/CN101662480B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1667573A (zh) * | 2004-10-26 | 2005-09-14 | 中国科学技术大学 | 基于服务体/执行流模型的操作系统 |
| WO2006131475A1 (en) * | 2005-06-06 | 2006-12-14 | International Business Machines Corporation | Computer network intrusion detection system and method |
| CN101064712A (zh) * | 2006-04-24 | 2007-10-31 | 维豪信息技术有限公司 | 一种基于Linux内核实现双通道穿越多级NAT和防火墙的系统及方法 |
| WO2008077414A1 (en) * | 2006-12-22 | 2008-07-03 | Telefonaktiebolaget L.M. Ericsson (Publ) | Preventing spoofing |
| CN101355775A (zh) * | 2008-08-15 | 2009-01-28 | 中兴通讯股份有限公司 | 配置数据批量导入装置及其多客户端互斥方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101662480A (zh) | 2010-03-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101662480B (zh) | 一种基于访问控制的日志系统 | |
| CN106559382B (zh) | 基于opc协议的安全网关防护系统访问控制方法 | |
| CN101631116B (zh) | 一种分布式双重授权及访问控制方法和系统 | |
| CN103119907B (zh) | 提供用于访问控制的智能组的系统和方法 | |
| US8081640B2 (en) | Network system, network management server, and access filter reconfiguration method | |
| US8146147B2 (en) | Combined firewalls | |
| Kelbert et al. | Data usage control enforcement in distributed systems | |
| US20070291791A1 (en) | Dynamic reconfigurable embedded compression common operating environment | |
| US20150229610A1 (en) | Event aggregation in a distributed processor system | |
| CN103379089A (zh) | 基于安全域隔离的访问控制方法及其系统 | |
| CN101986599A (zh) | 基于云服务的网络安全控制方法和云安全网关 | |
| CN101212453A (zh) | 实现网络访问控制的方法及其防火墙装置 | |
| US20050010659A1 (en) | Use of a communications network element management system to manage network policy rules | |
| CN100539499C (zh) | 一种安全的星形局域网计算机系统 | |
| CN106130962A (zh) | 一种报文处理方法和装置 | |
| CN102592211A (zh) | 一种基于互动电视的政务系统 | |
| CN103618762A (zh) | 一种基于aop的企业服务总线状态预处理系统及方法 | |
| CN112104540A (zh) | 一种跨域资源动态编排方法及跨域互联系统 | |
| CN104270317B (zh) | 一种路由器运行应用程序的控制方法、系统及路由器 | |
| CN111324456A (zh) | 一种基于命名空间绑定的云租户间资源隔离方法与系统 | |
| CN103051743B (zh) | 一种基于分布式层级化的dns防御系统和方法 | |
| CN104468818B (zh) | 一种物联网业务处理系统及其方法 | |
| CN101668028B (zh) | 基于可扩展体系结构的分布式系统及该系统的应用方法 | |
| CN101277302A (zh) | 一种分布式网络设备安全集中防护的装置与方法 | |
| CN201821376U (zh) | 一种全局的网络访问控制装置和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |