CN104468505A - 一种安全审计日志播放方法及装置 - Google Patents
一种安全审计日志播放方法及装置 Download PDFInfo
- Publication number
- CN104468505A CN104468505A CN201410585044.5A CN201410585044A CN104468505A CN 104468505 A CN104468505 A CN 104468505A CN 201410585044 A CN201410585044 A CN 201410585044A CN 104468505 A CN104468505 A CN 104468505A
- Authority
- CN
- China
- Prior art keywords
- full screen
- daily record
- update request
- time
- screen graphics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/328—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the presentation layer [OSI layer 6]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
本发明实施例公开了一种安全审计日志播放方法及装置,涉及安全审计领域,用以减少了安全审计日志定点回放时的运算时间,降低了进行图形绘制时占用的系统资源。在本发明实施例中,当需要对于预先生成的安全审计日志进行定点回放时,根据需要进行回放的时间起始点T和所述安全审计日志中的每个全屏图形数据的更新时间,确定在时间上最接近所述时间起始点T的日志片段;所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;根据确定出的日志片段中的全屏图形数据和局部图形数据,绘制图像;从而解决了上述问题。
Description
技术领域
本发明涉及安全审计领域,尤其涉及一种安全审计日志播放方法及装置。
背景技术
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。堡垒机通过对常用的运维协议(RDP(Remote DesktopProtocol,远程桌面协议)、VNC(Virtual Network Computing,虚拟网络计算机)等)采用协议代理的方式,切断了运维人员对服务器的直接访问,所有运维操作都需要经过堡垒机进行。堡垒机将运维人员的操作记录至日志文件中,供审计人员进行安全审计和追责。
VNC是一种使用RFB(Remote Frame Buffer,远程帧缓冲)协议的屏幕画面分享及远程操作软件。运维人员可以使用VNC客户端通过堡垒机访问配置有VNC服务的服务器,堡垒机VNC协议代理作为服务器和VNC客户端进行交互,同时也作为客户端和VNC服务器进行交互。VNC协议代理在收到VNC服务器发回的图形数据后,将VNC图形数据流转发给客户端,并复制一份转发给安全审计日志生成模块。安全审计日志生成模块在对VNC协议数据流进行解析后,将图像数据按照安全审计日志文件格式存储到文件系统中。VNC协议代理和日志记录的系统架构如图1所示。
然而,现有技术中的VNC协议为基于区域图像更新的协议,安全审计日志文件中记录的为局部的图像更新(第一个图像更新除外),因此在对日志进行回放时,需要将每一个前置数据包进行解析和绘图,导致定点播放的定位速度慢,不能快速定位,影响客户体验。
发明内容
本发明实施例提供了一种安全审计日志播放方法及装置,实现了安全审计日志的快速定点播放,减少了安全审计日志定点回放时的运算时间。
一种安全审计日志播放方法,该方法包括:
当需要对于预先生成的安全审计日志进行定点回放时,根据需要进行回放的时间起始点T和所述安全审计日志中的每个全屏图形数据的更新时间,确定在时间上最接近所述时间起始点T的日志片段;所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;
根据确定出的日志片段中的全屏图形数据和局部图形数据,绘制图像。
一种安全审计日志播放装置,该装置包括:
日志片段确定单元,用于当需要对于预先生成的安全审计日志进行定点回放时,根据需要进行回放的时间起始点T和所述安全审计日志中的每个全屏图形数据的更新时间,确定在时间上最接近所述时间起始点T的日志片段;所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;
图像绘制单元,用于根据确定出的日志片段中的全屏图形数据和局部图形数据,绘制图像。
从上述方案可以看出,本发明实施例提供一种安全审计日志播放方法,本发明实施例中的安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以所述全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;在本发明实施例中,日志片段中的局部图形数据均是基于同一日志片段中的全屏图形数据的,而现有技术中的局部图形数据均是基于初始化时服务器返回的唯一一个全屏图形数据的,因此,在对安全审计日志进行回放时,本发明实施例不需要从初始化时服务器返回的全屏图形数据开始进行绘制,而是对时间上最接近需要进行回放的时间起始点T的日志片段中的全屏图形数据进行图像绘制,从而实现了安全审计日志的快速定点播放,减少了安全审计日志定点回放时的运算时间,降低了进行图形绘制时占用的系统资源。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的VNC系统的架构示意图;
图2为本发明实施例提供的一种安全审计日志播放方法的流程示意图;
图3为本发明实施例提供的一种安全审计日志生成方法的流程示意图;
图4为本发明实施例中的安全审计日志的格式示意图;
图5为本发明实施例提供的一种对预先生成的安全审计日志进行播放的流程示意图;
图6为本发明实施例提供的一种安全审计日志播放装置的结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例可适用于VNC(Virtual Network Computing,虚拟网络计算机)系统,尤其适用于一种由至少一个客户端(Client),一个服务器(Sever)和一个图形代理组成的VNC系统。本发明实施例中的客户端、服务器和图形代理均可运行于任意计算机设备上。
本发明实施例提供一种安全审计日志播放方法,本发明实施例中的安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以所述全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;在本发明实施例中,日志片段中的局部图形数据均是基于同一日志片段中的全屏图形数据的,而现有技术中的局部图形数据均是基于初始化时服务器返回的唯一一个全屏图形数据的,因此,在对安全审计日志进行回放时,本发明实施例不需要从初始化时服务器返回的全屏图形数据开始进行绘制,而是对时间上最接近需要进行回放的时间起始点T的日志片段中的全屏图形数据进行图像绘制,从而实现了安全审计日志的快速定点播放,减少了安全审计日志定点回放时的运算时间,降低了进行图形绘制时占用的系统资源。
图2示出了本发明实施例提供的一种安全审计日志播放方法的流程示意图,如图2所示,该方法包括:
步骤21:当需要对于预先生成的安全审计日志进行定点回放时,根据需要进行回放的时间起始点T和所述安全审计日志中的每个全屏图形数据的更新时间,确定在时间上最接近所述时间起始点T的日志片段;所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;
步骤22:根据确定出的日志片段中的全屏图形数据和局部图形数据,绘制图像。
可选的,在上述步骤22中,所述确定在时间上最接近所述时间起始点T的日志片段,具体包括:获取第N个全屏图形数据的更新时间T1和第N+1个全屏图形数据的更新时间T2,所述第N个全屏图形数据和所述第N+1个全屏图形数据是所述安全审计日志中任意两个在时间上相邻的全屏图形数据;当T1<T<T2时,将所述第N个全屏图形数据所在的日志片段确定为在时间上最接近所述时间起始点T的日志片段。
可选的,在上述步骤22中,通过如下步骤生成安全审计日志:截获客户端向服务器发送的图形更新请求包,根据所述图形更新请求包所请求更新的图形区域,确定是否需要对所述图形更新请求包进行修改,若需要,则将修改后的图形更新请求包转发给所述服务器;否则,将截获到的图形更新请求包转发给所述服务器;接收所述服务器发送的全屏图形数据并获取对应的更新时间;根据所述全屏图形数据和对应的更新时间,生成最新的日志片段;并接收所述服务器发送的基于所述全屏图形数据进行更新的每个局部图形数据并获取每个局部图形数据对应的更新时间;分别将所述局部图形数据和对应的更新时间,添加到最新生成的日志片段中;根据已生成的每个日志片段,生成安全审计日志。
可选的,在上述步骤中,还包括:根据存储两个在时间上相邻的全屏图形数据之间的文件偏移量确定两个在时间上相邻的日志片段的间隔距离。
可选的,在上述步骤中,所述根据所述图形更新请求包所请求更新的图形区域,确定是否需要对所述图形更新请求包进行修改,具体包括:判断所述图形更新请求包是否为全屏图形更新请求包;当所述图形更新请求包为全屏图形更新请求包时,记录所述客户端请求进行图形更新的时间,并将截获到的图形更新请求包转发给所述服务器;当所述图形更新请求包为局部图形更新请求包时,判断所述客户端请求进行本次局部图形更新与上一次发送全屏图形更新请求包之间的时间间隔是否大于预设时间门限值,若是,则将截获到的图形更新请求包修改为全屏图形更新请求包,记录所述客户端请求进行图形更新的时间,并将修改后的图形更新请求包转发给所述服务器。
可选的,在上述步骤21~步骤22中,当所述图形更新请求中的增量incremental字段的值为零、所述图形更新请求中宽度width字段的取值等于初始化时所述服务器与所述客户端预先约定的全屏图形区域的宽度值且所述图形更新请求中高度height字段的取值等于初始化时所述服务器与所述客户端预先约定的全屏图形区域的高度值时,确定所述图形更新请求包为全屏图形更新请求包。
可选的,在上述步骤21~步骤22中,当所述图形更新请求中的增量incremental字段的值为非零时,确定所述图形更新请求包所请求更新的图形区域为局部图形区域;截获到的所述服务器发送的用于响应所述图形更新请求包的局部图形数据,具体包括:基于所述全屏图形数据进行更新的局部图形数据和位置信息。
下面对本发明实施例进行详细描述。
图3示出了本发明实施例提供的一种安全审计日志生成方法的流程示意图,如图3所示,该方法包括:
步骤31:图形代理截获客户端向服务器发送的图形更新请求包,根据所述图形更新请求包,判断所述图形更新请求包所请求更新的图形区域是否为全屏图形区域;若是,则执行步骤32;若否,则执行步骤33。
具体实现时,客户端向服务器发送图形更新请求包(FramebufferUpdateRequest),表1示出了本发明实施例中的FramebufferUpdateRequest的格式,如表1所示,其中,FramebufferUpdateRequest中的增量incremental字段用于表示该FramebufferUpdateRequest所请求更新的图形区域是否为全屏图形区域,当incremental字段为0时,该FramebufferUpdateRequest所请求更新的图形区域为全屏图形区域,当incremental字段为非0时,该FramebufferUpdateRequest所请求更新的图形区域为局部图形区域。
需要说明的是,在客户端向服务器发送FramebufferUpdateRequest之前,客户端可以与服务器预先建立通信链路上的连接(即为初始化阶段),服务器预先将该服务器所运行于的计算机屏幕的全屏图形区域的大小通知给客户端,即服务器向客户端发送ServerInit数据包,该ServerInit数据包中包含全屏图形区域的大小。当客户端向服务器发送用于请求更新全屏图形区域的FramebufferUpdateRequest时,该FramebufferUpdateRequest的宽度width字段用于表示全屏图形区域的宽度值,该FramebufferUpdateRequest的高度height字段用于表示全屏图形区域的高度值。
表1
字段 | 字节数 | 类型(值) | 说明 |
message-type | 1 | U8(3) | 数据包类型,固定取值3 |
incremental | 1 | U8 | 是否请求增量更新 |
x-position | 2 | U16 | 请求区域的X值 |
y-position | 2 | U16 | 请求区域的Y值 |
width | 2 | U16 | 请求区域宽度 |
height | 2 | U16 | 请求区域高度 |
步骤32:当所述图形更新请求包为全屏图形更新请求包时,记录所述全屏图形区域的大小和所述客户端请求进行图形更新的时间,并将截获到的图形更新请求包转发给所述服务器。
具体实现时,当所述图形更新请求包为全屏图形更新请求包(即,该FramebufferUpdateRequest的incremental字段为0)时,不需要修改该FramebufferUpdateRequest,仅需要记录客户端发送该FramebufferUpdateRequest的时间;之后,将该FramebufferUpdateRequest直接转发给服务器。也就是说,在步骤32中,图形代理截获到incremental字段为0的FramebufferUpdateRequest后,记录该FramebufferUpdateRequest的width字段、height字段以及客户端请求进行全屏图形更新的时间之后,将该FramebufferUpdateRequest直接转发给预先建立通信链路上的连接的服务器,以指示服务器根据该FramebufferUpdateRequest所请求的内容返回图形数据。在本发明实施例中,此时服务器返回的图形数据应为全屏图形数据。需要说明的是,在执行步骤32之后,可以直接执行步骤36。
步骤33:当所述图形更新请求包所请求更新的图形区域为局部图形区域时,判断所述客户端请求进行本次局部图形更新与上一次所述客户端请求进行全屏图形更新之间的时间间隔是否大于预设时间门限值,若是,则执行步骤34;若否,则执行步骤35。
具体实现时,当所述图形更新请求包所请求更新的图形区域为局部图形区域(即,该FramebufferUpdateRequest的incremental字段为非0)时,进一步判断客户端请求进行本次局部图形更新与上一次客户端请求进行全屏图形更新(即,上一个FramebufferUpdateRequest的incremental字段为0的时间)之间的时间间隔是否大于预设时间门限值,若是,则执行步骤34;若否,则执行步骤35。需要说明的是,本发明实施例中的预设时间门限值可以根据实际使用场景进行预设,还可以根据实际需求进行修改。优选的,在本发明实施例中,该预设时间门限值可以为1分钟。举例来说,如果将预设时间门限值从1分钟修改为30秒或更短的时间,则全屏图形更新的频率更高,生成的安全审计日志的文件大小会变大,并减少定点回放时的等待时间(等待时间为全屏图形更新时间到指定回放的时间起始点之间进行安全审计日志解析和图像绘制所消耗的时间)。再举例来说,如果将预设时间门限值从1分钟修改为2分钟或更长的时间,则全屏图形更新的频率变低,生成的安全审计日志的文件大小变小,定点回放时的等待时间增加。
步骤34:当所述客户端请求进行本次局部图形更新与上一次所述客户端请求进行全屏图形更新之间的时间间隔大于预设时间门限值时,将截获到的图形更新请求包所请求更新的图形区域的大小修改为预先记录的全屏图形区域的大小,记录所述客户端请求进行图形更新的时间,并将修改后的图形更新请求包转发给所述服务器。
具体实现时,当客户端请求进行本次局部图形更新与上一次客户端请求进行全屏图形更新之间的时间间隔大于预设时间门限值时,图形代理将截获到的图形更新请求包的incremental字段修改为0之后,还将截获到的图形更新请求包所请求更新的图形区域的大小修改为预先记录的全屏图形区域的大小(在初始化时记录的全屏图形区域的大小),即,图形代理将截获到的FramebufferUpdateRequest中的width字段修改为全屏图形区域的长度值,将截获到的FramebufferUpdateRequest中的height字段修改为全屏图形区域的高度值,从而完成了将截获到的图形更新请求包所请求更新的图形区域的大小修改为预先记录的全屏图形区域的大小的过程;进一步的,图形代理记录客户端请求进行图形更新的时间;在完成上述步骤之后,图形代理将修改后的图形更新请求包转发给服务器,以指示服务器根据该FramebufferUpdateRequest所请求的内容返回图形数据。在本发明实施例中,此时服务器返回的图形数据应为全屏图形数据。需要说明的是,在执行步骤34之后,可以继续执行步骤36。
步骤35:当所述客户端请求进行本次局部图形更新与上一次所述客户端请求进行全屏图形更新之间的时间间隔不大于预设时间门限值时,将截获到的图形更新请求包转发给所述服务器。
具体实现时,当客户端请求进行本次局部图形更新与上一次客户端请求进行全屏图形更新之间的时间间隔小于或等于预设时间门限值时,图形代理不修改截获到的图形更新请求包,记录客户端发送该图形更新请求包的时间,并将截获到的图形更新请求包直接转发给服务器,以指示服务器根据该FramebufferUpdateRequest所请求的内容返回图形数据。在本发明实施例中,此时服务器返回的图形数据应为局部图形数据。在执行步骤35之后,继续执行步骤36。
步骤36:图形代理截获所述服务器发送的用于响应图形更新请求包的全屏图形数据或局部图形数据,并获取对应的更新时间,将截获到的全屏图形数据或局部图形数据、以及对应的更新时间,添加到安全审计日志中最新生成的日志片段中。
具体的,所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以所述全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成。
可选的,在上述步骤36中,生成安全审计日志的步骤具体包括:所述图形代理接收所述服务器发送的全屏图形数据并获取对应的更新时间;根据所述全屏图形数据和对应的更新时间,生成最新的日志片段;所述图形代理接收所述服务器发送的基于所述全屏图形数据进行更新的每个局部图形数据并获取每个局部图形数据对应的更新时间;分别将所述局部图形数据和对应的更新时间,添加到最新生成的日志片段中;所述图形代理根据每个日志片段,生成安全审计日志。
可选的,在上述步骤36中,还可以包括:所述图形代理根据存储两个在时间上相邻的全屏图形数据之间的文件偏移量确定两个在时间上相邻的日志片段的间隔距离。
具体实现时,图4示出了本发明实施例中的安全审计日志的格式示意图,在执行步骤36之后,生成的安全审计日志的格式如图4所示。其中,本发明实施例中的安全审计日志中还可以在每个全屏图形数据之前增加一个用于表示当前全屏图形数据与在时间上相邻的下一个全屏图形数据之间的文件偏移量。也就是说,在生成最新的日志片段时,先保留该日志片段的文件偏移量字段,当获取到该日志片段与下一个日志片段之间的文件偏移量之后,再将获取到的文件偏移量写入到预先保留的文件偏移量字段;这样,可以使图形代理快速的获取到用于存储每个日志片段的间隔距离,从而更快的实现安全审计日志的定点回放。
可选的,在上述步骤31~步骤36中,当所述图形更新请求中的增量incremental字段的值为零时,所述图形代理确定所述图形更新请求包为全屏图形更新请求包;所述图形更新请求中的宽度width字段用于表示在初始化时所述服务器与所述客户端预先约定的全屏图形区域的宽度值,所述图形更新请求中的高度height字段用于表示在初始化时所述服务器与所述客户端预先约定的全屏图形区域的高度值。
可选的,在上述步骤31~步骤36中,当所述图形更新请求中的增量incremental字段的值为非零时,所述图形代理确定所述图形更新请求包所请求更新的图形区域为局部图形区域;所述图形代理截获到的所述服务器发送的用于响应所述图形更新请求包的局部图形数据,包括:基于所述全屏图形数据进行更新的局部图形数据和位置信息。
图5示出了本发明实施例提供的一种对预先生成的安全审计日志进行播放的流程示意图,如图5所示,该方法可以包括:
步骤51:图形日志播放器获取预先生成的安全审计日志。
具体的,所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以所述全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成。
具体实现时,本发明实施例可以通过上述步骤31~步骤36生成安全审计日志,本发明实施例中的安全审计日志的格式如图4所示。
步骤52:图形日志播放器根据需要进行回放的时间起始点T和所述安全审计日志中的每个全屏图形数据的更新时间,确定在时间上最接近所述时间起始点T的日志片段。
可选的,在上述步骤52中,所述图形日志播放器获取第N个全屏图形数据的更新时间T1和第N+1个全屏图形数据的更新时间T2,所述第N个全屏图形数据和所述第N+1个全屏图形数据是所述安全审计日志中任意两个在时间上相邻的全屏图形数据;当T1<T<T2时,将所述第N个全屏图形数据所在的日志片段确定为在时间上最接近所述时间起始点T的日志片段。
具体实现时,对于需要进行回放的时间起始点T,图形日志播放器获取任意两个在时间上相邻的全屏图形数据的更新时间,即第N个全屏图形数据的更新时间T1和第N+1个全屏图形数据的更新时间T2;当T1<T<T2时,图形日志播放器认为此时T1所属的日志片段是在时间上最接近时间起始点T的日志片段,且T1所属日志片段在时间起始点T所属的日志片段之前,进一步的,图形日志播放器可以获取T1所属日志片段的全屏图形数据,并从该全屏图形数据开始进行图像绘制,直至绘制到时间起始点T,并继续进行图像绘制,实现了快速定点回放的功能;由于本发明实施例无需从安全审计日志的第一帧图像开始绘制,而是先找到与时间起始点T在时间上最接近的日志片段,并从找到的日志片段处开始进行图像绘制,从而大大减少了进行图像绘制时所消耗的系统资源和运算时间。
步骤53:所述图形日志播放器根据确定出的日志片段中的全屏图形数据和局部图形数据,绘制图像。
从上述方案可以看出,本发明实施例提供一种安全审计日志生成和播放方法,本发明实施例中的安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以所述全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;在本发明实施例中,日志片段中的局部图形数据均是基于同一日志片段中的全屏图形数据的,而现有技术中的局部图形数据均是基于初始化时服务器返回的唯一一个全屏图形数据的,因此,在对安全审计日志进行回放时,本发明实施例不需要从初始化时服务器返回的全屏图形数据开始进行绘制,而是对时间上最接近需要进行回放的时间起始点T的日志片段中的全屏图形数据进行图像绘制,从而实现了安全审计日志的快速定点播放,减少了安全审计日志定点回放时的运算时间,降低了进行图形绘制时占用的系统资源。
图6示出了本发明实施例提供的一种安全审计日志播放装置,如图6所述,该装置包括:
日志片段确定单元61,用于当需要对于预先生成的安全审计日志进行定点回放时,根据需要进行回放的时间起始点T和所述安全审计日志中的每个全屏图形数据的更新时间,确定在时间上最接近所述时间起始点T的日志片段;所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;
图像绘制单元62,用于根据确定出的日志片段中的全屏图形数据和局部图形数据,绘制图像。
可选的,所述日志片段确定单元61具体用于,获取第N个全屏图形数据的更新时间T1和第N+1个全屏图形数据的更新时间T2,所述第N个全屏图形数据和所述第N+1个全屏图形数据是所述安全审计日志中任意两个在时间上相邻的全屏图形数据;当T1<T<T2时,将所述第N个全屏图形数据所在的日志片段确定为在时间上最接近所述时间起始点T的日志片段。
可选的,该装置还包括:
安全审计日志生成单元,用于截获客户端向服务器发送的图形更新请求包,根据所述图形更新请求包所请求更新的图形区域,确定是否需要对所述图形更新请求包进行修改,若需要,则将修改后的图形更新请求包转发给所述服务器;否则,将截获到的图形更新请求包转发给所述服务器;接收所述服务器发送的全屏图形数据并获取对应的更新时间;根据所述全屏图形数据和对应的更新时间,生成最新的日志片段;并接收所述服务器发送的基于所述全屏图形数据进行更新的每个局部图形数据并获取每个局部图形数据对应的更新时间;分别将所述局部图形数据和对应的更新时间,添加到最新生成的日志片段中;根据已生成的每个日志片段,生成安全审计日志。
可选的,所述安全审计日志生成单元还用于:根据存储两个在时间上相邻的全屏图形数据之间的文件偏移量确定两个在时间上相邻的日志片段的间隔距离。
可选的,所述安全审计日志生成单元具体用于:判断所述图形更新请求包是否为全屏图形更新请求包;当所述图形更新请求包为全屏图形更新请求包时,记录所述客户端请求进行图形更新的时间,并将截获到的图形更新请求包转发给所述服务器;当所述图形更新请求包为局部图形更新请求包时,判断所述客户端请求进行本次局部图形更新与上一次发送全屏图形更新请求包之间的时间间隔是否大于预设时间门限值,若是,则将截获到的图形更新请求包修改为全屏图形更新请求包,记录所述客户端请求进行图形更新的时间,并将修改后的图形更新请求包转发给所述服务器。
可选的,当所述图形更新请求中的增量incremental字段的值为零、所述图形更新请求中宽度width字段的取值等于初始化时所述服务器与所述客户端预先约定的全屏图形区域的宽度值且所述图形更新请求中高度height字段的取值等于初始化时所述服务器与所述客户端预先约定的全屏图形区域的高度值时,确定所述图形更新请求包为全屏图形更新请求包。
可选的,当所述图形更新请求中的增量incremental字段的值为非零时,确定所述图形更新请求包所请求更新的图形区域为局部图形区域;截获到的所述服务器发送的用于响应所述图形更新请求包的局部图形数据,具体包括:基于所述全屏图形数据进行更新的局部图形数据和位置信息。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器,使得通过该计算机或其他可编程数据处理设备的处理器执行的指令可实现流程图中的一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图的一个流程或多个流程和/或方框图的一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种安全审计日志播放方法,其特征在于,该方法包括:
当需要对于预先生成的安全审计日志进行定点回放时,根据需要进行回放的时间起始点T和所述安全审计日志中的每个全屏图形数据的更新时间,确定在时间上最接近所述时间起始点T的日志片段;所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;
根据确定出的日志片段中的全屏图形数据和局部图形数据,绘制图像。
2.如权利要求1所述的方法,其特征在于,所述确定在时间上最接近所述时间起始点T的日志片段,具体包括:
获取第N个全屏图形数据的更新时间T1和第N+1个全屏图形数据的更新时间T2,所述第N个全屏图形数据和所述第N+1个全屏图形数据是所述安全审计日志中任意两个在时间上相邻的全屏图形数据;当T1<T<T2时,将所述第N个全屏图形数据所在的日志片段确定为在时间上最接近所述时间起始点T的日志片段。
3.如权利要求1所述的方法,其特征在于,通过如下步骤生成安全审计日志:
截获客户端向服务器发送的图形更新请求包,根据所述图形更新请求包所请求更新的图形区域,确定是否需要对所述图形更新请求包进行修改,若需要,则将修改后的图形更新请求包转发给所述服务器;否则,将截获到的图形更新请求包转发给所述服务器;
接收所述服务器发送的全屏图形数据并获取对应的更新时间;根据所述全屏图形数据和对应的更新时间,生成最新的日志片段;并接收所述服务器发送的基于所述全屏图形数据进行更新的每个局部图形数据并获取每个局部图形数据对应的更新时间;分别将所述局部图形数据和对应的更新时间,添加到最新生成的日志片段中;
根据已生成的每个日志片段,生成安全审计日志。
4.如权利要求3所述的方法,其特征在于,该方法进一步包括:
根据存储两个在时间上相邻的全屏图形数据之间的文件偏移量确定两个在时间上相邻的日志片段的间隔距离。
5.如权利要求3所述的方法,其特征在于,所述根据所述图形更新请求包所请求更新的图形区域,确定是否需要对所述图形更新请求包进行修改,具体包括:
判断所述图形更新请求包是否为全屏图形更新请求包;
当所述图形更新请求包为全屏图形更新请求包时,记录所述客户端请求进行图形更新的时间,并将截获到的图形更新请求包转发给所述服务器;
当所述图形更新请求包为局部图形更新请求包时,判断所述客户端请求进行本次局部图形更新与上一次发送全屏图形更新请求包之间的时间间隔是否大于预设时间门限值,若是,则将截获到的图形更新请求包修改为全屏图形更新请求包,记录所述客户端请求进行图形更新的时间,并将修改后的图形更新请求包转发给所述服务器。
6.如权利要求1-5中任一项所述的方法,其特征在于,当所述图形更新请求中的增量incremental字段的值为零、所述图形更新请求中宽度width字段的取值等于初始化时所述服务器与所述客户端预先约定的全屏图形区域的宽度值且所述图形更新请求中高度height字段的取值等于初始化时所述服务器与所述客户端预先约定的全屏图形区域的高度值时,确定所述图形更新请求包为全屏图形更新请求包。
7.如权利要求1-5中任一项所述的方法,其特征在于,当所述图形更新请求中的增量incremental字段的值为非零时,确定所述图形更新请求包所请求更新的图形区域为局部图形区域;
截获到的所述服务器发送的用于响应所述图形更新请求包的局部图形数据,具体包括:基于所述全屏图形数据进行更新的局部图形数据和位置信息。
8.一种安全审计日志播放装置,其特征在于,该装置包括:
日志片段确定单元,用于当需要对于预先生成的安全审计日志进行定点回放时,根据需要进行回放的时间起始点T和所述安全审计日志中的每个全屏图形数据的更新时间,确定在时间上最接近所述时间起始点T的日志片段;所述安全审计日志由各日志片段组成;所述日志片段是在每个所述预设时间门限值之内,以全屏图形数据为分界点,由一个全屏图形数据和若干个局部图形数据组成;
图像绘制单元,用于根据确定出的日志片段中的全屏图形数据和局部图形数据,绘制图像。
9.如权利要求8所述的装置,其特征在于,所述日志片段确定单元具体用于,
获取第N个全屏图形数据的更新时间T1和第N+1个全屏图形数据的更新时间T2,所述第N个全屏图形数据和所述第N+1个全屏图形数据是所述安全审计日志中任意两个在时间上相邻的全屏图形数据;当T1<T<T2时,将所述第N个全屏图形数据所在的日志片段确定为在时间上最接近所述时间起始点T的日志片段。
10.如权利要求8所述的装置,其特征在于,该装置还包括:
安全审计日志生成单元,用于截获客户端向服务器发送的图形更新请求包,根据所述图形更新请求包所请求更新的图形区域,确定是否需要对所述图形更新请求包进行修改,若需要,则将修改后的图形更新请求包转发给所述服务器;否则,将截获到的图形更新请求包转发给所述服务器;接收所述服务器发送的全屏图形数据并获取对应的更新时间;根据所述全屏图形数据和对应的更新时间,生成最新的日志片段;并接收所述服务器发送的基于所述全屏图形数据进行更新的每个局部图形数据并获取每个局部图形数据对应的更新时间;分别将所述局部图形数据和对应的更新时间,添加到最新生成的日志片段中;根据已生成的每个日志片段,生成安全审计日志。
11.如权利要求10所述的装置,其特征在于,所述安全审计日志生成单元还用于:
根据存储两个在时间上相邻的全屏图形数据之间的文件偏移量确定两个在时间上相邻的日志片段的间隔距离。
12.如权利要求10所述的装置,其特征在于,所述安全审计日志生成单元具体用于:
判断所述图形更新请求包是否为全屏图形更新请求包;
当所述图形更新请求包为全屏图形更新请求包时,记录所述客户端请求进行图形更新的时间,并将截获到的图形更新请求包转发给所述服务器;
当所述图形更新请求包为局部图形更新请求包时,判断所述客户端请求进行本次局部图形更新与上一次发送全屏图形更新请求包之间的时间间隔是否大于预设时间门限值,若是,则将截获到的图形更新请求包修改为全屏图形更新请求包,记录所述客户端请求进行图形更新的时间,并将修改后的图形更新请求包转发给所述服务器。
13.如权利要求8-12中任一项所述的装置,其特征在于,当所述图形更新请求中的增量incremental字段的值为零、所述图形更新请求中宽度width字段的取值等于初始化时所述服务器与所述客户端预先约定的全屏图形区域的宽度值且所述图形更新请求中高度height字段的取值等于初始化时所述服务器与所述客户端预先约定的全屏图形区域的高度值时,确定所述图形更新请求包为全屏图形更新请求包。
14.如权利要求8-12中任一项所述的装置,其特征在于,当所述图形更新请求中的增量incremental字段的值为非零时,确定所述图形更新请求包所请求更新的图形区域为局部图形区域;
截获到的所述服务器发送的用于响应所述图形更新请求包的局部图形数据,具体包括:基于所述全屏图形数据进行更新的局部图形数据和位置信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410585044.5A CN104468505B (zh) | 2014-10-27 | 2014-10-27 | 一种安全审计日志播放方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410585044.5A CN104468505B (zh) | 2014-10-27 | 2014-10-27 | 一种安全审计日志播放方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN104468505A true CN104468505A (zh) | 2015-03-25 |
CN104468505B CN104468505B (zh) | 2017-11-21 |
Family
ID=52913877
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410585044.5A Active CN104468505B (zh) | 2014-10-27 | 2014-10-27 | 一种安全审计日志播放方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104468505B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753954A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种利用堡垒机保障网络安全的方法 |
CN107769981A (zh) * | 2017-11-03 | 2018-03-06 | 泰康保险集团股份有限公司 | 服务器使用管理方法与装置 |
CN110832473A (zh) * | 2017-06-21 | 2020-02-21 | 华为技术有限公司 | 日志结构管理系统及方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1588302A (zh) * | 2004-08-05 | 2005-03-02 | 深圳市友邻通讯设备有限公司 | 计算机屏幕捕获监控及记录方法 |
CN101197990A (zh) * | 2006-12-13 | 2008-06-11 | 四川川大智胜软件股份有限公司 | 与硬件和操作系统平台无关的屏幕景象记录方法 |
CN101848214A (zh) * | 2010-04-30 | 2010-09-29 | 南京德讯信息系统有限公司 | 基于rdp审计数据的任意定位回放方法及系统 |
CN102279739A (zh) * | 2011-06-10 | 2011-12-14 | 吴东辉 | 屏幕操作的记录方法和应用 |
CN103970533A (zh) * | 2014-04-14 | 2014-08-06 | 深圳市深信服电子科技有限公司 | 屏幕录制的信息记录方法及装置 |
US20140289847A1 (en) * | 2013-03-20 | 2014-09-25 | Watchguard Technologies, Inc. | Systems and methods for scalable network monitoring |
-
2014
- 2014-10-27 CN CN201410585044.5A patent/CN104468505B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1588302A (zh) * | 2004-08-05 | 2005-03-02 | 深圳市友邻通讯设备有限公司 | 计算机屏幕捕获监控及记录方法 |
CN101197990A (zh) * | 2006-12-13 | 2008-06-11 | 四川川大智胜软件股份有限公司 | 与硬件和操作系统平台无关的屏幕景象记录方法 |
CN101848214A (zh) * | 2010-04-30 | 2010-09-29 | 南京德讯信息系统有限公司 | 基于rdp审计数据的任意定位回放方法及系统 |
CN102279739A (zh) * | 2011-06-10 | 2011-12-14 | 吴东辉 | 屏幕操作的记录方法和应用 |
US20140289847A1 (en) * | 2013-03-20 | 2014-09-25 | Watchguard Technologies, Inc. | Systems and methods for scalable network monitoring |
CN103970533A (zh) * | 2014-04-14 | 2014-08-06 | 深圳市深信服电子科技有限公司 | 屏幕录制的信息记录方法及装置 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104753954A (zh) * | 2015-04-13 | 2015-07-01 | 成都双奥阳科技有限公司 | 一种利用堡垒机保障网络安全的方法 |
CN110832473A (zh) * | 2017-06-21 | 2020-02-21 | 华为技术有限公司 | 日志结构管理系统及方法 |
CN110832473B (zh) * | 2017-06-21 | 2023-01-13 | 华为技术有限公司 | 日志结构管理系统及方法 |
US11983159B2 (en) | 2017-06-21 | 2024-05-14 | Huawei Technologies Co., Ltd. | Systems and methods for management of a log-structure |
CN107769981A (zh) * | 2017-11-03 | 2018-03-06 | 泰康保险集团股份有限公司 | 服务器使用管理方法与装置 |
CN107769981B (zh) * | 2017-11-03 | 2020-11-10 | 泰康保险集团股份有限公司 | 服务器使用管理方法与装置 |
Also Published As
Publication number | Publication date |
---|---|
CN104468505B (zh) | 2017-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110765381B (zh) | 基于WebAssembly技术的配网主站的Web发布方法及系统 | |
CN108984170A (zh) | H5页面多语言渲染方法及装置 | |
CN112260853B (zh) | 容灾切换方法、装置、存储介质及电子设备 | |
CN104902327A (zh) | 一种页面的内容更新及下发方法、智能电视和系统 | |
US20170033980A1 (en) | Agent manager for distributed transaction monitoring system | |
CN105260082A (zh) | 一种测试数据展示方法及开发终端 | |
CN110083341A (zh) | 一种前端开发平台、前端开发方法及页面显示方法 | |
CN111435937A (zh) | 一种监控平台的刷新方法及装置 | |
CN104468505A (zh) | 一种安全审计日志播放方法及装置 | |
CN111010429B (zh) | 一种基于物联网平台管理设备运行状态的方法及系统 | |
CN104731650A (zh) | 系统接口调用信息的获取方法和装置 | |
CN109788251B (zh) | 视频处理方法、装置及存储介质 | |
CN113204425B (zh) | 供进程管理内部线程的方法、装置、电子设备及存储介质 | |
US10432490B2 (en) | Monitoring single content page application transitions | |
CN112379963B (zh) | 远程应用窗口控制方法、装置及计算机设备 | |
CN111897643A (zh) | 线程池配置系统、方法、装置和存储介质 | |
CN105743669A (zh) | 一种数据通信方法和装置 | |
CN112416995B (zh) | 一种数据统计方法、装置、计算机设备及存储介质 | |
CN108880849B (zh) | 属性信息的统计方法、装置及系统 | |
CN109388498A (zh) | 一种互斥的处理方法、装置、设备及介质 | |
CN111310043B (zh) | 用于推送信息的方法和装置 | |
CN111163138B (zh) | 一种降低游戏期间网络负载的方法、装置和服务器 | |
EP3872630A2 (en) | Request processing method and apparatus, electronic device, and computer storage medium | |
CN107450876A (zh) | 一种同屏信息同步方法 | |
CN105808724A (zh) | 一种浏览器首页的更新方法和系统、服务器及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder |
Address after: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee after: NSFOCUS Technologies Group Co.,Ltd. Patentee after: NSFOCUS TECHNOLOGIES Inc. Address before: 100089 Beijing city Haidian District Road No. 4 North wa Yitai three storey building Patentee before: NSFOCUS INFORMATION TECHNOLOGY Co.,Ltd. Patentee before: NSFOCUS TECHNOLOGIES Inc. |
|
CP01 | Change in the name or title of a patent holder |