CN108900505B - 一种基于区块链技术的集群审计管控方法 - Google Patents
一种基于区块链技术的集群审计管控方法 Download PDFInfo
- Publication number
- CN108900505B CN108900505B CN201810685724.2A CN201810685724A CN108900505B CN 108900505 B CN108900505 B CN 108900505B CN 201810685724 A CN201810685724 A CN 201810685724A CN 108900505 B CN108900505 B CN 108900505B
- Authority
- CN
- China
- Prior art keywords
- log
- cluster
- block chain
- logs
- audit management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出一种基于区块链技术的集群审计管控方法。首先提取集群中与安全相关的日志并进行信息采集,随后建立集群审计管控引擎,保存日志的初始状态,实时采集日志,并对日志进行审计;当日志更新时,集群审计管控引擎对更新的日志在区块链上进行比较添加操作,并将更新的日志备份到服务器上;集群日志被恶意篡改时,集群审计管控引擎报告篡改事件并恢复原日志。本发明为集群的安全审计及集群的管理控制提供了一种方法,提高了集群的审计效率及集群的安全性。
Description
技术领域
本发明属于信息技术、计算机软件技术领域,具体涉及一种基于区块链技术的集群审计管控方法。
背景技术
随着计算机集群应用领域的逐步扩展,来自公网的恶意攻击对集群安全造成的威胁日益严重。攻击者通过删除、篡改日志,销毁被攻击系统的操作记录,从而躲避管理工具和管理人员对集群的监控和审计。准确快速地识别日志篡改成为保护计算机集群安全的重要工作。
目前对日志安全的保护由系统自带安全机制和第三方安全策略两部分组成。系统自带的安全机制,如Unix系统的Syslog机制和Windows系统的SCE机制,采用权限制约方法限制非授权用户对日志的操作,入侵者一旦获取权限,即可对日志进行篡改;第三方安全策略包括修改日志存放目录、设置日志访问权限、对日志进行备份、使用密钥生成校验码方法。但通过查找注册表、提升权限操作,入侵者仍然可以定位日志并进行篡改。
区块链属于一种去中心化的记录技术。每个区块和哈希值是一一对应的。区块头中包含了当前区块的哈希值与上一个区块的哈希值,这种联动机制使得数据一旦写入就无法被篡改,确保了数据的唯一性。
将集群日志写入区块链,并对其进行审计和管控,可以解决恶意攻击为躲避管控而对日志进行篡改、删除的问题。通常的攻击行为都会清除或者篡改审计记录,从而达到消除攻击痕迹、躲避追踪的目的。到目前为止,还没有基于区块链技术对集群进行审计管控的方法。因此本发明基于区块链,为集群提供了一种审计管控方法,能够对攻击者的日志篡改行为进行审计,并对相关恶意行为进行管控。
发明内容
本发明的目的在于填补目前对集群安全审计及集群运行时安全管控技术的空白,提出一种基于区块链的方法,对集群日志进行审计管控和日志备份,从而对恶意篡改日志的行为进行审计和日志还原,该方法可以对集群运行时恶意篡改日志的行为进行审计和管控,提高集群的安全性。
本发明采用如下技术方案:一种基于区块链技术的集群审计管控方法,提取集群中与安全相关的日志并进行信息采集;建立集群审计管控引擎,保存日志的初始状态;实时采集日志,并对日志进行审计;当日志更新时,对更新的日志在区块链上进行比较添加操作,并将更新的日志备份到服务器上;集群日志被恶意篡改时,报告篡改事件并恢复原日志。本发明为集群的安全审计及集群的管理控制提供了一种方法,提高了集群的审计效率及集群的安全性。
其步骤包括:
1)收集集群的日志,从中分析并选取与集群安全相关的日志;对选取的日志进行信息采集;
2)建立基于区块链的集群审计管控引擎,保存集群中待审计管控日志的初始状态;
3)集群审计管控引擎实时采集日志,并对日志进行审计;
4)集群审计管控引擎对更新的日志在区块链比较添加操作,并将更新的日志备份到服务器上;
5)集群日志被恶意篡改时,集群审计管控引擎报告篡改事件并恢复原日志。
进一步地,步骤1)收集集群的日志时,选取应用程序日志、系统日志和安全日志作为分析对象;对选取的日志进行信息采集,记录日志的操作信息,包括:操作日志的程序名称、创建时间、访问时间。
进一步地,步骤2)建立基于区块链的集群审计管控引擎时,配置日志分析工具LogAnalyzer,配置日志采集和备份工具Rsyslog;将步骤(1)中选取的日志写入集群日志区块链的第一个区块,并备份到Rsyslog服务器上;
进一步地,步骤3)集群审计管控引擎实时日志采集和审计时,使用LogAnalyzer工具进行可视化的展现和分析;
进一步地,步骤4)集群审计管控引擎对更新的日志在区块链上进行操作时,将区块链中保存的日志与更新日志进行比较;若更新的日志与区块链内容一致,则将前一个区块的哈希值作为新区块的第一部分,连同更新日志的新增部分,写入新的区块。
进一步地,步骤5)集群审计管控引擎报告篡改事件并恢复原日志时,集群审计管控引擎记录篡改日志的程序、篡改日志名称、篡改内容、篡改时间,形成告警信息;将此告警信息以邮件形式发送给运维人员;根据被篡改的日志名称,查找并复制存储在Rsyslog服务器上的日志,使用此日志替换掉被篡改的日志。
本发明与技术相比的优点在于:现有技术方案通过修改日志存放目录、设置日志访问权限、对日志进行备份、使用密钥生成校验码对实现对日志的保护,而入侵者通过查找注册表、提升权限操作,仍然可以定位日志并进行篡改。本发明提取集群中安全相关日志并进行信息采集,随后建立集群审计管控引擎,保存日志的初始状态,实时采集日志,并对日志进行审计;当日志更新时,集群审计管控引擎对更新的日志在区块链上进行比较添加操作,并将更新的日志备份到服务器上;集群日志被恶意篡改时,集群审计管控引擎报告篡改事件并恢复原日志。本发明为集群的安全审计及集群的管理控制提供了一种方法,提高了集群的审计效率及集群的安全性。
附图说明
图1是实施例的基于区块链技术的集群审计管控结构图;
图2是实施例的基于区块链技术的集群审计管控示意图;
图3是实施例的基于区块链技术的集群审计管控流程图。
具体实施方式
下面结合附图,通过实施例对本发明作进一步的说明。
如图1所示,本实施例的基于区块链技术的集群审计管控方法,主体为硬件装置,其中承载着集群审计管控引擎,该引擎的输入为与安全相关的集群日志,输出为集群审计结果及集群管控信息。
本实施例的功能实现为全自动化,从集群日志的审计到集群的管控,全程在引擎内部各单元自动执行,无需人工参与干预。
本实施例的集群审计管控示意图如图2所示,集群审计管控流程图如图3所示,主要包括如下步骤:
1)收集集群的日志,从中分析并选取与集群安全相关的日志;对选取的日志进行信息采集;
具体地,收集分析并采集待审计集群中安全相关日志的详细说明如下:
1a)收集集群中系统日志,选取应用程序日志、系统日志和安全日志作为分析对象,转到1b);
1b)对选取的日志进行信息采集,记录对日志的操作信息,包括:操作日志的程序名称、创建时间、访问时间,转到1c);
1c)结束。
2)建立基于区块链的集群审计管控引擎,保存集群中待审计管控日志的初始状态;
具体地,建立基于区块链的集群审计管控引擎及保存日志的初始状态详细说明如下:
2a)配置LogAnalyzer作为日志分析工具,设置1b)中选取的日志作为数据源,转到2b);
2b)配置Rsyslog服务作为日志采集和备份工具,设置1b)中选取的日志作为数据源,转到2c);
2c)创建集群日志区块链,转到2d);
2d)将1b)中选取的日志写入集群日志区块链的第一个区块,转到2e);
2e)将1b)中选取的日志备份到Rsyslog服务器上,转到2f);
2f)结束。
3)集群审计管控引擎实时采集日志,并对日志进行审计;
具体地,集群审计管控引擎采集并审计日志详细说明如下:
3a)开启集群审计管控引擎,运行LogAnalyzer工具及Rsyslog服务,转到3b);
3b)LogAnalyzer工具对集群日志进行采集,定时将LogAnalyzer工具生成的日志审计结果形成pdf报告,并发送给运维人员,转到3c);
3c)若集群审计管控引擎发现更新的日志,转到4a),否则转到3b);
4)集群审计管控引擎对更新的日志在区块链比较添加操作,并将更新的日志备份到服务器上;
具体地,集群审计管控引擎对更新的日志在区块链上的操作及日志备份的详细说明如下:
4a)将区块链中保存的日志与更新日志进行比较,转到4b);
4b)若更新的日志与区块链内容一致,转到4c),若不一致,转到5a);
4c)将前一个区块的哈希值作为新区块的第一部分,连同更新日志的新增部分,写入新的区块,转到4d);
4d)将更新的日志备份到Rsyslog服务器上,转到4e);
4e)结束。
5)集群日志被恶意篡改时,集群审计管控引擎报告篡改事件并恢复原日志。
具体地,集群审计管控引擎报告篡改事件并恢复原日志的详细说明如下:
5a)集群审计管控引擎记录篡改日志的程序、篡改日志名称、篡改内容、篡改时间,形成告警信息,转到5b);
5b)将此告警信息以邮件形式发送给运维人员,转到5c);
5c)根据被篡改的日志名称,查找并复制存储在Rsyslog服务器上的日志,转到5d);
5d)使用5c)中的日志替换掉被篡改的日志,转到5e);
5e)结束。
以上实施例仅用于说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求所述为准。
Claims (4)
1.一种基于区块链技术的集群审计管控方法,其特征在于,包括以下步骤:
(1)收集集群的日志,从中分析并选取与集群安全相关的日志;对选取的日志进行信息采集;
(2)建立基于区块链的集群审计管控引擎,保存集群中待审计管控日志的初始状态;
(3)集群审计管控引擎实时采集日志,并对日志进行审计;
(4)集群审计管控引擎对更新的日志在区块链上进行比较添加操作,并将更新的日志备份到服务器上;
(5)集群日志被恶意篡改时,集群审计管控引擎报告篡改事件并恢复原日志;
所述步骤(2)中,建立基于区块链的集群审计管控引擎,具体过程如下:
(1)创建集群日志区块链;
(2)配置LogAnalyzer工具,作为日志分析工具;
(3)配置Rsyslog服务,作为日志采集和备份工具;
所述步骤(2)中,保存集群中待审计管控日志的初始状态的具体过程如下:
(1)将相关日志写入集群日志区块链的第一个区块;
(2)将相关日志备份到Rsyslog服务器上;
所述步骤(4)中,集群审计管控引擎对更新的日志在区块链上进行操作,具体过程如下:
(1)将区块链中保存的日志与更新日志进行比较;
(2)若更新的日志与区块链内容一致,则将前一个区块的哈希值作为新区块的第一部分,连同更新日志的新增部分,写入新的区块;
所述步骤(5)中,集群审计管控引擎报告篡改事件并恢复原日志,具体过程如下:
(1)将区块链中保存的日志与更新日志进行比较;若更新的日志与区块链内容不同,集群审计管控引擎记录篡改日志的程序、篡改日志名称、篡改内容、篡改时间,形成告警信息;
(2)将此告警信息以邮件形式发送给运维人员;
(3)根据被篡改的日志名称,查找并复制存储在Rsyslog服务器上的日志,作为待恢复日志;
(4)使用(3)中的日志替换掉被篡改的日志。
2.根据权利要求1所述的基于区块链技术的集群审计管控方法,其特征在于:所述步骤(1)中,所述相关的日志选取应用程序日志、系统日志和安全日志。
3.根据权利要求1所述的基于区块链技术的集群审计管控方法,其特征在于:所述步骤(1)中,对选取的日志进行信息采集时,对日志的操作信息进行记录,所述操作信息,包括:操作日志的程序名称、创建时间、访问时间。
4.根据权利要求1所述的基于区块链技术的集群审计管控方法,其特征在于:所述步骤(3)中针对采集到的日志,使用LogAnalyzer工具进行可视化的展现和分析。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810685724.2A CN108900505B (zh) | 2018-06-28 | 2018-06-28 | 一种基于区块链技术的集群审计管控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810685724.2A CN108900505B (zh) | 2018-06-28 | 2018-06-28 | 一种基于区块链技术的集群审计管控方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108900505A CN108900505A (zh) | 2018-11-27 |
| CN108900505B true CN108900505B (zh) | 2020-08-11 |
Family
ID=64346805
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810685724.2A Active CN108900505B (zh) | 2018-06-28 | 2018-06-28 | 一种基于区块链技术的集群审计管控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108900505B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110049043B (zh) * | 2019-04-17 | 2021-07-27 | 江苏全链通信息科技有限公司 | 基于区块链的服务器日志监控方法和系统 |
| CN111092745A (zh) * | 2019-10-12 | 2020-05-01 | 深圳壹账通智能科技有限公司 | 基于区块链的日志处理方法、装置、计算机设备及存储介质 |
| CN111490978B (zh) * | 2020-03-27 | 2021-02-19 | 武汉大学 | 一种基于状态通道的分布式日志审计系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1917445A (zh) * | 2006-09-07 | 2007-02-21 | 上海交通大学 | 防火墙日志事件审计方法及教学实验系统 |
| CN105721198A (zh) * | 2016-01-20 | 2016-06-29 | 中国科学院信息工程研究所 | 一种视频监控系统日志安全审计方法 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103138989B (zh) * | 2013-02-25 | 2016-12-28 | 武汉华工安鼎信息技术有限责任公司 | 一种海量日志分析系统及方法 |
| US9444819B2 (en) * | 2014-01-16 | 2016-09-13 | International Business Machines Corporation | Providing context-based visibility of cloud resources in a multi-tenant environment |
| US20170264428A1 (en) * | 2016-03-08 | 2017-09-14 | Manifold Technology, Inc. | Data storage system with blockchain technology |
| US20180083786A1 (en) * | 2016-09-22 | 2018-03-22 | Google Inc. | Methods and systems of performing tamper-evident logging using block lattices |
| US20190266146A1 (en) * | 2016-11-10 | 2019-08-29 | Saavha, Inc. | Secure auditing system based on verified hash algorithm |
| CN106775619B (zh) * | 2016-11-12 | 2020-05-12 | 杭州复杂美科技有限公司 | 灵活区块链架构系统 |
| CN106843750B (zh) * | 2016-12-20 | 2020-06-19 | 中国科学院苏州生物医学工程技术研究所 | 分布式存储系统 |
| CN106919476A (zh) * | 2017-02-24 | 2017-07-04 | 中国科学院软件研究所 | 基于联盟链的数据安全备份方法、客户端及云服务端 |
| CN106936818A (zh) * | 2017-02-24 | 2017-07-07 | 中国科学院软件研究所 | 基于区块链技术的数据审计方法、客户端及区块链云端设备 |
| CN107948235B (zh) * | 2017-09-01 | 2021-01-01 | 清华大学 | 基于jar的云数据安全管理与审计装置 |
| CN107517221B (zh) * | 2017-09-29 | 2021-03-02 | 北京计算机技术及应用研究所 | 一种无中心的安全可信审计方法 |
| CN107707410B (zh) * | 2017-10-26 | 2021-04-27 | 上海点融信息科技有限责任公司 | 配置系统审计服务的方法、信息处理装置及可读存储介质 |
| CN107947922B (zh) * | 2017-11-29 | 2020-07-21 | 中国科学院合肥物质科学研究院 | 一种基于区块链技术的数字档案管理方法及系统 |
| CN108038389A (zh) * | 2017-12-08 | 2018-05-15 | 福建亿榕信息技术有限公司 | 基于区块链存储电子文件审计跟踪日志的方法以及装置 |
| CN107944034A (zh) * | 2017-12-13 | 2018-04-20 | 国云科技股份有限公司 | 一种基于区块链的数据非差异化方法 |
| CN108111299B (zh) * | 2017-12-28 | 2021-03-09 | 上海唯链信息科技有限公司 | 一种基于区块链技术的实时审计追溯系统 |
| CN108197959B (zh) * | 2018-01-23 | 2020-11-27 | 华南理工大学 | 一种基于区块链的快速验证池、快速验证系统及操作方法 |
-
2018
- 2018-06-28 CN CN201810685724.2A patent/CN108900505B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1917445A (zh) * | 2006-09-07 | 2007-02-21 | 上海交通大学 | 防火墙日志事件审计方法及教学实验系统 |
| CN105721198A (zh) * | 2016-01-20 | 2016-06-29 | 中国科学院信息工程研究所 | 一种视频监控系统日志安全审计方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108900505A (zh) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11204996B2 (en) | Retention and accessibility of data characterizing events on an endpoint computer | |
| JP5357777B2 (ja) | コンピュータネットワークセキュリティを支援するために、クエリーをサポートしながら効率的にログデータを記憶する技術 | |
| US9166989B2 (en) | Storing log data efficiently while supporting querying | |
| CN108900505B (zh) | 一种基于区块链技术的集群审计管控方法 | |
| CN103413088B (zh) | 一种计算机文档操作安全审计系统 | |
| Sindhu et al. | Digital forensics and cyber crime datamining | |
| Spyridopoulos et al. | Incident analysis & digital forensics in SCADA and industrial control systems | |
| Wagner et al. | Carving database storage to detect and trace security breaches | |
| EP3567509B1 (en) | Systems and methods for tamper-resistant activity logging | |
| RU2697953C2 (ru) | Система и способ вынесения решения о компрометации данных | |
| CN112419130B (zh) | 基于网络安全监控和数据分析的应急响应系统及方法 | |
| CN104573530A (zh) | 一种服务器安全加固系统 | |
| US8745010B2 (en) | Data storage and archiving spanning multiple data storage systems | |
| US11349855B1 (en) | System and method for detecting encrypted ransom-type attacks | |
| CN109271281B (zh) | 一种防数据被篡改的数据备份方法及系统 | |
| CN111061593B (zh) | 一种电子取证系统及方法 | |
| Held et al. | Fighting ransomware with guided undo | |
| US20240054217A1 (en) | Method and apparatus for detecting disablement of data backup processes | |
| CN112818396B (zh) | 一种bmc可信审计日志的生成与管理方法 | |
| CN117938434A (zh) | 一种基于云计算平台的勒索病毒协同防护系统 | |
| CN117744152A (zh) | 基于MySQL General Log的用户运动训练数据的安全审计方法 | |
| JP2005165541A (ja) | 被害判定装置、被害解析装置、被害判別システム、被害判定プログラム及び被害解析プログラム | |
| CN117527359A (zh) | 一种基于区块链技术的攻击溯源保存并还原攻击场景方法 | |
| CN115328393A (zh) | 一种数据存储方法及系统 | |
| CN113868640A (zh) | 一种应用操作策略白名单的自定义增删改操作方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |