CN112100660A - 一种日志文件敏感信息检测方法及装置 - Google Patents

Abstract

本发明提供了一种日志文件敏感信息检测方法及装置，包括：在确定的待检测日志文件的路径集合中选取一条路径作为当前路径，路径集合包括：多个待检测日志文件的路径；依次读取当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对读取的日志文件进行敏感信息匹配；将匹配的敏感信息关联至中间文件中，并将当前路径的检测时间更新为当前时间；选取下一条待检测日志文件的路径作为当前路径，重复执行：前两个步骤，直至全部待检测日志文件的路径对应目录下的日志文件匹配完成且检测时间更新完成。本发明的实施能够高效地对日志文件进行敏感信息检查，精确识别日志中敏感信息内容及类型，以便于加强对敏感信息的管控，提高用户安全感。

Description

一种日志文件敏感信息检测方法及装置

技术领域

本发明涉及敏感信息检测技术领域，特别涉及一种日志文件敏感信息检测方法及装置。

背景技术

随着计算机和互联网技术的快速发展，数字化越来受欢迎，应用系统在运行过程中会输出大量的敏感信息到日志文件中，记录业务处理过程及交易要素，以便于进行交易跟踪、合规审计、问题排查等后续处理。为满足日常运维过程中对日志文件进行监控、分析的需求，日志文件的访问权限控制往往设置得相对比较简单，多数的监控用户、普通用户都具有日志查看权限；且为满足监管审计要求，日志文件往往需要在本地文件系统和备份服务器上进行多地备份，导致日志文件分布较为分散。日志文件在使用上的这些特点使其相对于其他数据文件更易以相对较低的用户权限进行访问，同时这些特点也使其更易于产生信息泄露的风险。

因此，为保障信息安全，规避通过日志文件产生敏感信息泄露的风险，亟需提供一种日志文件敏感信息检测方法的技术方案，能够快速检测出日志文件中的敏感信息，以便于加强对敏感信息的管控。

发明内容

针对现有技术的上述问题，本发明的目的在于提供一种日志文件敏感信息检测方法及装置，能够对日志文件中的敏感信息进行检测，以提高敏感信息的管控，提高用户安全感。

为了解决上述技术问题，一方面、本发明提供一种日志文件敏感信息检测方法，包括：

在确定的待检测日志文件的路径集合中选取一条路径作为当前路径，所述路径集合包括：多个待检测日志文件的路径；

依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对读取的所述日志文件进行敏感信息匹配；

将匹配的敏感信息关联至中间文件中，并将所述当前路径的检测时间更新为当前时间；

选取下一条待检测日志文件的路径作为当前路径，重复执行：依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对所述日志文件进行敏感信息匹配；将匹配的敏感信息存储至中间文件中，并将所述当前路径的检测时间更新为当前时间；直至全部待检测日志文件的路径对应目录下的日志文件匹配完成且检测时间更新完成。

第二方面、本发明提供一种日志文件敏感信息检测装置，包括：

当前路径选取模块，被配置为执行在确定的待检测日志文件的路径集合中选取一条路径作为当前路径，所述路径集合包括：多个待检测日志文件的路径；

敏感信息匹配模块，被配置为执行依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对读取的所述日志文件进行敏感信息匹配；

关联模块，被配置为执行将匹配的敏感信息关联至中间文件中，并将所述当前路径的检测时间更新为当前时间；

循环匹配模块，被配置为执行选取下一条待检测日志文件的路径作为当前路径，返回至敏感信息匹配模块和关联模块；直至全部待检测日志文件的路径对应目录下的日志文件匹配完成且检测时间更新完成。

第三方面、本发明提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或至少一段程序由处理器加载并执行以实现如上述所述的一种日志文件敏感信息检测方法。

第四方面、本发明提供一种日志文件敏感信息检测设备，包括至少一个处理器，以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现如上述所述的一种日志文件敏感信息检测方法。

本发明提供的一种日志文件敏感信息检测方法及装置，具有如下有益效果：

本发明提供的一种日志文件敏感信息检测方法及装置能够适应各类操作系统使用，基于自适应机制精准识别日志输出路径，高效对日志文件进行敏感信息检查，精确识别日志中敏感信息内容及类型，以便于加强对敏感信息的管控，提高用户安全感。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它附图。

图1为本发明实施例提供的第一种日志文件敏感信息检测方法的流程示意图；

图2为本发明实施例提供的第二种日志文件敏感信息检测方法的流程示意图；

图3为本发明实施例提供的第三种日志文件敏感信息检测方法的流程示意图；

图4为本发明实施例提供的第四种日志文件敏感信息检测方法的流程示意图；

图5为本发明实施例提供的第五种日志文件敏感信息检测方法的流程示意图；

图6为本发明实施例提供的第六种日志文件敏感信息检测方法的流程示意图；

图7为本发明实施例提供的第七种日志文件敏感信息检测方法的流程示意图；

图8为本发明实施例提供的第八种日志文件敏感信息检测方法的流程示意图；

图9为本发明实施例提供的一种日志文件敏感信息检测装置的结构示意图；

图10为本发明实施例提供的一种日志文件敏感信息检测设备的结构示意图。

其中，110-当前路径选取模块，120-敏感信息匹配模块，130-关联模块，140-循环匹配模块。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、装置、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

在系统处理过程中会经常涉及大量的敏感信息的使用和处理(如：个人账务信息、身份信息、信用信息等)，如在日志输出过程中不加以严格控制，则会将敏感数据输出到日志文件中。由于目前对日志文件的访问权限控制不够严格，若日志存在敏感信息，通过日志文件产生敏感信息泄露的风险较高。

为保障信息安全，规避通过日志文件产生敏感信息泄露的风险，金融类业务系统严禁在日志文件中输出包含敏感信息的内容。为严格落实日志输出合规性要求，实现定期对日志输出内容进行敏感信息合规检查，需建立一套通用的日志敏感信息合规检查方法，能够高效、精准的对各类应用日志文件进行扫描和核查，通过技术手段及时发现存在的问题风险，并及时进行风险整改。

如图1所示，图1为本发明实施例提供的第一种日志文件敏感信息检测方法的流程示意图，本发明提供一种日志文件敏感信息检测方法，本方法包括:

S102、在确定的待检测日志文件的路径集合中选取一条路径作为当前路径，所述路径集合包括：多个待检测日志文件的路径。

在具体的实施过程中，待检测日志文件的路径集合中可以包括多个待检测日志文件的路径。多个待检测日志文件的路径可以按照预设的排列顺序进行排序，预设的排列顺序在本说明书实施例中不做具体限定，可以是按照更新时间进行排序或按照路径的字母顺序进行排序。其中，多个待检测日志文件的路径的获取方式可以是不同的，且每个待检测日志文件的路径对应的日志文件的数量可以是相同的也可以是不同。

可以理解的是，待检测日志文件的路径集合可以是存储在服务器中的日志文件的路径列表，日志文件的路径列表还关联有与待检测日志文件的路径对应的更新时间。其中，服务器可以是Linux、AIX、HP-UX等操作系统对应的服务器。

S104、依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对读取的所述日志文件进行敏感信息匹配。

在具体的实施过程中，当当前路径对应目录下的日志文件数量为多个时，可以按照日志文件的排列顺序依次读取当前路径对应目录下的日志文件，每读取一个日志文件便利用预设敏感信息正则表达式中的敏感信息的正则表达式一一与读取的所述日志文件进行敏感信息匹配。

需要说明的是，预设敏感信息正则表达式可以是多个敏感信息的正则表达式，每个敏感信息的正则表达式可以对应一种类别的敏感信息。

示例地、预设敏感信息正则表达式可以但不限于以下敏感信息的正则表达式：

电话号码:MOBILE_REG#1[3-8][0-9]{9}

身份证:D_REG#([1-9][0-9]{7}((0[1-9])|(1[0-2]))((0[1-9])|([1|2][0-9])|3[0-1])[0-9]{3})|([1-9][0-9]{5}[1-2][0,1,9][0-9]{2}((0[1-9])|(1[0-2]))((0[1-9])|([1|2][0-9])|3[0-1])(([0-9]{4})|[0-9]{3}[Xx]))

卡号:ARD_REG#(453242|436742|622700|622280|628266|628366|622708|489592)[0-9]{9,13}

二磁信息:MAG2_REG#(453242|436742|622700||628266|628366|622708|489592)[0-9]{9,13}*[0-9]{16,21}

密码:WD_REG#pwd|passwd|paykey

一磁信息:MAG1_REG#B[0-9]\{15,19\}*[0-9]\{6,32\}

其他敏感信息:OHTHER_KEY#ic_data2|track2|CVV"。

其中，银行卡可以设置有3个磁道，分别如下：

一磁道：只读，信息量79位；

二磁道：只读，信息量40位；

三磁道：读写，信息量107位；

一磁信息指第1个磁道上磁条信息，最大记录长度为70个字符。

一磁信息格式为：“％”+“99(2N)”+“16位卡号(19A)”+“^”+“凸字姓名(26A)”+“^”+“expiry_date YYMM(4N)”+“101或者501(PRMCD.SERV-CODE)”+“CARD.PVV(5N)”+“0000000000(10N)”+“CVV(3A)”+“00(2N)”+”？”。

二磁信息指第2个磁道上磁条信息，最大记录长度为40个字符。

二磁信息格式为：“；”+“16位卡号(19A)”+“＝”+“expiry_date YYMM(4N)”+“106(3N，服务代码)”+“PVV(5N)”+“00(2N)”+“CVV(3A)”+“？”。

S106、将匹配的敏感信息关联至中间文件中，并将所述当前路径的检测时间更新为当前时间。

在具体的实施过程中，在多个敏感信息的正则表达式一一与读取的日志文件匹配后，可以将匹配的敏感信息关联至中间文件，关联的方式可以理解为将敏感信息类别、敏感信息、路径等信息存储到中间文件中。而后读取当前路径对应的目录下的另一日志文件，并进行匹配，匹配后将敏感信息等关联至中间文件中，在当前路径对应目录下的日志文件全部匹配并关联至中间文件后，将当前路径的检测时间更新为当前时间。当前时间的表示形式在本说明书实施例中不做具体限定。

可以理解的是，中间文件存储在设定的文件夹中，其文件格式在本说明书实施例中不做具体限定，可以根据实际需要进行设置。

S108、选取下一条待检测日志文件的路径作为当前路径，重复执行：依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对所述日志文件进行敏感信息匹配；将匹配的敏感信息存储至中间文件中，并将所述当前路径的检测时间更新为当前时间；直至全部待检测日志文件的路径对应目录下的日志文件匹配完成且检测时间更新完成。

在具体的实施过程中，可以在待检测日志文件的路径集合中选取下一条待检测日志文件的路径作为当前路径，下一条待检测日志文件的路径可以是按照预设排列顺序进行选取的，也可以是根据检查时间随机选取的。重复执行：依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对所述日志文件进行敏感信息匹配；将匹配的敏感信息存储至中间文件中，并将所述当前路径的检测时间更新为当前时间；直至待检测日志文件的路径集合中全部待检测日志文件的路径对应目录下的日志文件匹配完成、并将匹配的敏感信息等关联至中间文件中且每条待检测日志文件的路径的检测时间更新完成。

本说明书实施例提供的日志文件敏感信息检测方法，通过预设敏感信息正则表达式对待检测日志文件的路径集合中对应的目录下的日志文件进行敏感信息匹配，能够适应各类操作系统使用，基于自适应机制精准识别日志输出路径，高效对日志文件进行敏感信息检查，精确识别日志中敏感信息内容及类型，以便于加强对敏感信息的管控，提高用户安全感，并且通过定时任务自动执行，精准对日志文件进行检查，避免人工干预，具有自适应、免维护的优势。

在上述实施例基础上，本说明书一个实施例中，图2为本发明实施例提供的第二种日志文件敏感信息检测方法的流程示意图，如图2所示，所述在确定的待检测日志文件的路径集合中一个路径作为当前路径之前还包括：

S202、基于接收到的检测指令获取服务器运行参数。

在具体的实施过程中，检测指令可以是基于用户操作生成的，也可以是定时生成。在接收到检测指令后可以获取服务器运行参数。其中服务器的运行参数可以包括：中央处理器核数(CPU，Central Processing Unit/Processor)、中央处理器核数使用率及系统负载等参数。服务器运行参数可以表征为当前服务器是否处于空闲状态。

S204、判断所述服务器运行参数是否符合预设要求。

在具体的实施过程中，预设要求在本说明书实施例中不做具体限定，可以根据实际需要进行设置。

再具体的实施过程中，当服务器运行参数包括：CPU核数、CPU使用率及系统负载时，先判断CPU核数是否大于预设CPU核数，若CPU核数小于等于预设CPU核数时，则判断CPU使用率是否大于预设第一CPU使用率，若CPU使用率小于等于预设第一CPU使用率，则判断系统负载是否小于预设第一系统负载，若系统负载小于预设第一系统负载，则确认服务器运行参数符合预设要求即空闲状态。

若CPU核数大于预设CPU核数时，则判断CPU使用率是否大于预设第二CPU使用率，若CPU使用率小于等于预设第二CPU使用率，则判断系统负载是否小于预设第二系统负载，若系统负载小于预设第二系统负载，则确认服务器运行参数符合预设要求即空闲状态。

可以理解的是，预设CPU核数、预设第一CPU使用率、预设第二CPU使用率、预设第一系统负载及预设第二系统负载在本说明书实施例中均不作具体限定。

示例地、当预设CPU核数为4C、预设第一CPU使用率为50％、预设第二CPU使用率为30％、预设第一系统负载为1及预设第二系统负载为2时，当服务器的CPU核数小于等于4C、CPU使用率小于等于50％且系统负载小于等于1时，可以确认服务器运行参数符合预设要求即空闲状态。

或、当服务器的CPU核数大于4C、CPU使用率小于等于30％且系统负载小于等于2时，可以确认服务器运行参数符合预设要求即空闲状态。

可以理解的是，服务器运行参数还可以包括其他参数，当包括其他参数时，采用不同参数均符合时才能够确定服务器运行参数符合预设要求即空闲状态。

S206、若所述服务器运行参数符合预设要求，则确定待检测日志文件的路径集合。

在具体的实施过程中，当服务器运行参数符合预设要求时即服务器处于空闲状态时，可以确定待检测日志文件的路径集合。

本说明书实施例提供的一种日志文件敏感信息检测方法，优先判定服务器是否符合预设要求，在符合预设要求后再对敏感信息进行匹配，有效避免检测敏感信息过多消耗系统资源，保证敏感信息检测执行的安全性，避免对系统正常运行产生影响。

在上述实施例基础上，本说明书一个实施例中，图3为本发明实施例提供的第三种日志文件敏感信息检测方法的流程示意图，如图3所示，所述确定待检测日志文件的路径集合包括：

S302、获取原始待检测日志文件的路径集合，所述原始待检测日志文件的路径集合包括：多个原始待检测日志文件的路径及对应的检测时间。

在具体的实施过程中，原始待检测日志文件的路径集合可以是日志文件的路径列表。检测时间可以是上次对原始待检测日志文件的路径集合检测的时间。

S304、依次判断所述检测时间是否满足预设格式要求；

在具体的实施过程中，按照原始待检测日志文件的路径集合中检测时间的顺序或随机选取方式依次判断检测时间是否满足预设格式要求。

其中，预设格式要求在本说明书实施例中不做具体限定。

示例地、预设格式要求可以是空值或其他非时间的字符。

S306、若至少一个检测时间满足预设格式要求，则将所述检测时间为预设格式要求的原始待检测日志文件的路径的集合作为待检测日志文件的路径集合。

在具体的实施过程中，当原始待检测日志文件的路径集合中有满足预设格式要求的原始待检测日志文件的路径时，将全部满足预设格式要求的原始待检测日志文件的路径构成的集合作为待检测日志文件的路径集合。

示例地、原始待检测日志文件的路径集合是在服务器上维护的文件，用于记录服务器待查的日志路径。文件可以保存于：/tmp/.app_auto/data/logdir.list：

LogPath(日志路径)	UpdateTime(更新时间)	LastCheckTime(最新检查时间)
			/home/ap/tytx/logs	20200624	20200624120000
/home/ap/nft/logs	20200624	20200624120001
			/home/ap/tytx/tran/log	20200624

如上表所示，LogPath记录了原始待检测日志文件的路径的绝对路径。

UpdateTime记录了日志文件路径的更改时间或发现时间，每次检测若发现日志路径存在，都会进行更新。

LastChkTime记录了上一次完成对该日志文件的路径进行敏感信息检测时的检测时间。

若日志路径的LastChkTime为空值，表明该日志路径在上一次检测中还未对该日志文件的路径下的日志文件进行敏感信息检测。

本说明书实施例提供的日志文件敏感信息检测方法，可以在上一次日志文件敏感信息检测中止时，能够在上一次检测的基础，续接执行检测，有效利用历史检测结果，提高检测效率，同时避免造成日志文件敏感信息检测重复和检测日志文本数据量过多。

在上述实施例的基础上，本说明书一个实施例中，图4为本发明实施例提供的第四种日志文件敏感信息检测方法的流程示意图，如图4所示，所述方法还包括：

S402、若全部所述检测时间均不满足预设格式要求，则获取应用系统对应日志文件目录下的日志文件及对应的更新时间；

在具体的实施过程中，当全部检测时间均不满足预设格式要求时，可以获取应用系统对应日志文件目录下的日志文件及对应的更新时间。

标准的应用系统，会将日志文件保存在指定或特定的标准日志目录下。基于这一规则检测标准日志目录是否存在，若存在则，获取应用系统对应日志文件目录下的日志文件及对应的更新时间。

S404、将更新时间小于预设第一时间阈值的日志文件路径添加至原始待检测日志文件的路径集合，并以当前时间更新所述日志文件路径的更新时间以得到新增路径集合；

在具体的实施过程中，可以依次判断应用系统对应日志文件目录下的日志文件对应的更新时间是否小于预设第一时间阈值，在全部日志文件对应的更新时间全部判断完成或当期阶段判断的日志文件对应的更新时间小于预设第一时间阈值时，可以对应的将日志文件路径添加至原始待检测日志文件的路径集合中，并以当前时间更新日志文件路径的更新时间以得到新增路径集合。新增路径集合包括：原始待检测日志文件的路径集合、小于预设第一时间阈值且存储在应用系统对应日志文件目录下的日志文件路径。

其中，预设第一时间阈值在本说明书实施例中不做具体限定，可以是一天。

S406、将所述新增路径集合作为待检测日志文件的路径集合。

在具体的实施过程中，新增路径集合包括：原始待检测日志文件的路径集合、小于预设第一时间阈值且存储在应用系统对应日志文件目录下的日志文件路径。可以将新增路径集合作为待检测日志文件的路径集合。

示例地、更新时间小于预设第一时间阈值的日志文件路径可以通过以下语句获得：

V_DEF_LOG_PATH＝"${HOME}/log${HOME}/logs"

local v_log_path＝""

for v_log_path in${V_DEF_LOG_PATH}

do

if[[-d${v_log_path}]]

then

cd${v_log_path}

if[[$？-ne"0"]]

then

LogI-n"打开日志文件的路径[${path}]失败"

continue

fi

find${v_log_path}-name"*.log"-mtime-1-type f|grep-Eiv"${V_EXCLUDE_LOG_KEY}">>${V_HC_TMP_FILE}

if[[-z$(cat${V_HC_TMP_FILE})]

then

#AddParaToRecFile为公共函数，实现对日志文件列表进行更新

AddParaToRecFile"APP_LOG_PATH""${v_log_path}"

fi

else

LogI-n"日志文件的路径[${v_log_path}]不存在"

continue

fi

done。

本说明书实施例提供的日志文件敏感信息检测方法，基于标准规范方式查找日志文件路径，并将其与原始待检测日志文件的路径集合均作为待检测日志文件的路径集合，能够扩大日志文件敏感信息检测范围，提高日志文件敏感信息检测的准确性，提高日志文件安全性。

在上述实施例基础上，本说明书一个实施例中，图5为本发明实施例提供的第五种日志文件敏感信息检测方法的流程示意图，如图5所示，所述方法还包括：

S502、若全部所述检测时间均不满足预设格式要求，则根据当前应用进程打开的文件句柄获取对应的日志文件。

S504、将所述日志文件对应的路径添加至原始待检测日志文件的路径集合，并以当前时间更新所述日志文件路径的更新时间以得到新增路径集合。

S506、将所述新增路径集合作为待检测日志文件的路径集合。

在具体的实施过程中，通过lsof命令获得当前应用进程正在打开的文件句柄，检查文件名中是否包含.log、.out等关键字，从中筛选出日志文件，获取日志文件的路径并将日志文件的路径更新到原始待检测日志文件的路径集合。将日志文件的路径的日志发现时间(UpdateTime)更新为当前时间。

示例地、通过打开的文件句柄发现日志文件的路径可以如下语句实现：

V_INCLOUDE_LOG_KEY＝"\.log*|\.out$"

V_EXCLUDE_LOG_KEY＝"access.log|AdminServer.*\/data\/ldap\/|\/servers\/"

local v_log_list＝$(lsof-u${USER}|awk'{print$(NF)}'|grep-Ei"${V_INCLOUDE_LOG_KEY}"|sort|uniq|grep-Ev"${V_EXCLUDE_LOG_KEY}")

for v_log in$(printf"${v_log_list}\n")

do

if[[-f${v_log}]]

then

local v_log_path＝$(dirname${v_log})

AddParaToRecFile"APP_LOG_PATH""${v_log_path}"

fi

done。

本说明书实施例提供的日志文件敏感信息检测方法，通过打开的文件句柄发现日志文件路径，并将其与原始待检测日志文件的路径集合均作为待检测日志文件的路径集合，能够扩大日志文件敏感信息检测范围，提高日志文件敏感信息检测的准确性，提高日志文件安全性。

在上述实施例基础上，本说明书一个实施例中，图6为本发明实施例提供的第六种日志文件敏感信息检测方法的流程示意图，如图6所示，所述方法还包括：

S602、若全部所述检测时间均不满足预设格式要求，则通过解析应用程序的日志配置文件获取所述应用程序配置的日志文件路径；

S604、将所述日志文件路径添加至原始待检测日志文件的路径集合，并以当前时间更新所述日志文件路径的更新时间以得到新增路径集合；

S606、将所述新增路径集合作为待检测日志文件的路径集合。

首先，通过环境变量或解析应用配置文件找到应用程序的部署路径；(如：对于部署在weblogic上应用，可以通过webloigc config.xml文件中deploy字段找到应用的部署位置)。

然后，基于应用部署路径定位到应用日志配置文件(如Log4j.xml)，通过解析该文件获得应用程序配置的日志文件的路径。检查日志文件的路径是否存在，若存在则将其更新到原始待检测日志文件的路径集合中。并将日志文件的路径的日志发现时间(UpdateTime)更新为当前时间。

示例地、以下流程示例为部署在Weblogic产品上的Java应用，通过解析日志配置文件发现日志文件的路径的过程，所述若全部所述检测时间均不满足预设格式要求，则通过解析应用程序的日志配置文件获取所述应用程序配置的日志文件路径包括：

S6020、根据weblogic Server进程获取到weblogic domain路径；

S6022、根据所述weblogic domain路径获取到config.xml；

S6024、解析config.xml文件得到应用部署路径；

S6026、根据所述应用部署路径获取到log4j.xml；

S6028、解析log4j.xml得到应用的日志文件的路径。

示例地、通过解析应用程序的日志配置文件获取所述应用程序配置的日志文件路径可以通过以下语句获得：

local v_file＝""

for v_file in${V_LOG4J_XML}

do

if[[-f${v_file}]]

then

local v_file_list＝$(cat${v_file}|grep"file"|grep"value＝"|awk-F"value＝"'{print$2}'|awk'{print$1}'|tr-d"\""|grep-Ev"^$|appmon")

for v_file in${v_file_list}

do

if[[-f${v_file}]]

then

#记录日志文件的路径

local v_log_path＝$(dirname${v_file})

AddParaToRecFile"APP_LOG_PATH""${v_log_path}"

fi

done

fi

done。

本说明书实施例提供的日志文件敏感信息检测方法，通过解析日志配置文件发现日志文件路径，并将其与原始待检测日志文件的路径集合均作为待检测日志文件的路径集合，能够扩大日志文件敏感信息检测范围，提高日志文件敏感信息检测的准确性，提高日志文件安全性。

可以理解的是，新增路径集合可以包括：基于标准规范方式查找到的日志文件路径、打开的文件句柄发现的日志文件路径和/或解析日志配置文件发现日志文件路径。

在上述实施例基础上，本说明书一个实施例中，图7为本发明实施例提供的第七种日志文件敏感信息检测方法的流程示意图，如图7所示，所述原始待检测日志文件的路径集合还包括：与所述原始待检测日志文件的路径对应的更新时间；

在具体的实施过程中，与所述原始待检测日志文件的路径对应的更新时间可以表征为该日志最后的更改时间或最新发现的时间。

所述将所述新增路径集合作为待检测日志文件的路径集合包括：

S702、删除所述新增路径集合中重复的路径及更新时间大于预设第二时间阈值的路径。

S704、将所述新增路径集合中剩余所述路径对应的检测时间置为满足预设格式要求的参数得到待检测日志文件的路径集合。

在具体的实施过程中，预设第二时间阈值在本说明书实施例中不做具体限定，可以根据实际需要进行设置。可以理解的是，对新增路径集合进行一次整理。主要操作内容可以包括：

对新增路径集合中的日志文件的路径进行去重处理，删除其中的重复路径；

检查日志文件的路径的UpdateTime(更新时间)，若距离当前时间超过7天，则认为该路径已失效(或已不在使用)，将该路径从新增路径集合中清理出去；

将日志文件的路径对应LastCheckTime(最新检测时间)全部置为符合预设格式要求的参数(全部置为空指以表示要进行一次全新的检测)。

本说明书实施例提供的日志文件敏感信息检测方法能够精确找到日志路径进行检查，避免全盘扫描式扫描日志，提高检查的精准性，提升了检查的执行效率，减少了无效的资源消耗。

在上述实施例基础上，本说明书一个实施例中，图8为本发明实施例提供的第八种日志文件敏感信息检测方法的流程示意图，如图8所示，所述选取下一条待检测日志文件的路径作为当前路径之前还包括：

S802、判断已利用预设敏感信息正则表达式匹配的所述日志文件的数量是否超过预设数量阈值；

S804、若超过预设数量阈值，则检查系统资源使用参数是否超过预设使用要求；

S806、若超过预设使用要求，则中止或退出日志文件敏感信息检测。

在具体的实施过程中，预设数量阈值在本说明书实施例中不做具体限定。预设使用要求可以表征系统资源使用情况和/或检测运行时长。

示例地、在日志文件检查过程中，会对检查完成的文件进行计数。每完成100个文件，系统将设置一个检查点。到达检查点时，将检查的系统资源使用情况及检测运行时长，是否满足预设条件，则继续执行，若不满足则暂停(中止)或退出日志文件敏感信息检测。

1)检查系统资源使用情况，当出现以下所列情况之一时，将暂停1分钟执行(sheep1分钟)，然后重新设置checkpoint进行检查。

CPU使用率>70％；

系统负载>2；

SWAP使用率>10％；

IO等待时间>100ms。

在上述实施例基础上，本说明书一个实施例中，所述检测指令包括：时间指令；

所述基于接收到的检测指令获取服务器运行参数包括：

基于接收到的检测指令开始记录时间并获取服务器运行参数；

相应的，所述选取下一条待检测日志文件的路径作为当前路径之前还包括：

判断所述记录时间是否大于等于预设中断时间阈值；

若所述记录时间大于等于预设中断时间阈值，则则中止或退出日志文件敏感信息检测。

在具体的实施过程中，预设中断时间阈值在本说明书实施例中不做具体限定。

示例地、从接收到检测指令后记录时间若超过10分钟，则退出执行。

本说明书实施例提供的日志文件敏感信息检测方法，在日志检测过程中设置“闲时执行、忙时等待、超时退出”的安全控制措施，保障日志敏感信息检测过程中，不占用过多的系统资源，防止对系统正常运行产生影响。

在上述实施例基础上，本说明书一个实施例中，所述方法还包括：

根据所述中间文件生成日志敏感信息检测报告。

在具体的实施过程中，当全部日志文件的路径检测完成后，对中间文件进行分析处理，生成本次检测的检查报告，检测报告的具体文件类型在本说明书实施例中不做具体限定，可以根据实际需要进行设置，可选的是word、excel、txt等常用文件类型。检查报告内容可以包括：

1)敏感信息检查结果总数；

2)各种类型敏感信息识别结果汇总统计；

3)按匹配的敏感信息的数量对日志文件进行排序；

4)展示敏感信息检测结果明细，对其中存在高危风险情况(如包含一磁、二磁信息)进行突出显示。

本说明书实施例提供的日志文件敏感信息检测方法，根据检测的敏感信息生成日志敏感信息检测报告，便于用户查阅，并且在报告中对敏感信息的数量对日志文件进行排序，能够更加清楚的展示敏感信息，为用户或系统加强敏感信息管控提供数据支持，进而提高敏感信息的安全性，提高用户的好感度。

在上述实施例基础上，本说明书一个实施例中，所述敏感信息包括：财产信息、健康生理信息、生物识别信息、身份信息和/或网络身份标识信息。

再具体的实施过程中，个人财产信息可以包括：银行账号、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。

个人健康生理信息可以包括：个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况产生的相关信息等。

个人生物识别信息可以包括：个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

个人身份信息可以包括：身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等照片或证件号码。

网络身份标识信息可以包括：系统账号、邮箱地址及与前述有关的密码、口令、口令保护答案、用户个人数字证书等。

敏感信息还可以包括：个人电话号码、性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。

另一方面、本说明书实施例提供一种日志文件敏感信息检测装置，图9为本发明实施例提供的一种日志文件敏感信息检测装置的结构示意图，如图9所示，包括：

当前路径选取模块110，被配置为执行在确定的待检测日志文件的路径集合中选取一条路径作为当前路径，所述路径集合包括：多个待检测日志文件的路径；

敏感信息匹配模块120，被配置为执行依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对读取的所述日志文件进行敏感信息匹配；

关联模块130，被配置为执行将匹配的敏感信息关联至中间文件中，并将所述当前路径的检测时间更新为当前时间；

循环匹配模块140，被配置为执行选取下一条待检测日志文件的路径作为当前路径，返回至敏感信息匹配模块和关联模块；直至全部待检测日志文件的路径对应目录下的日志文件匹配完成且检测时间更新完成。

另一方面、本说明书实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或至少一段程序由处理器加载并执行以实现如上述所述的一种日志文件敏感信息检测方法。

另一方面、本说明书实施例提供一种日志文件敏感信息检测设备，图10为本发明实施例提供的一种日志文件敏感信息检测设备的结构示意图，如图10所示，包括至少一个处理器，以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现如上述所述的一种日志文件敏感信息检测方法。

由于日志文件敏感信息检测装置、计算机可读存储介质及日志文件敏感信息检测设备与日志文件敏感信息检测方法的技术效果相同，在此不在赘述。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。本发明实施例所提供测试方法，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，方法实施例部分未提及之处，可参考前述系统实施例中相应内容。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

上述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以上述权利要求的保护范围为准。

Claims (13)

1.一种日志文件敏感信息检测方法，包括：

在确定的待检测日志文件的路径集合中选取一条路径作为当前路径，所述路径集合包括：多个待检测日志文件的路径；

依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对读取的所述日志文件进行敏感信息匹配；

将匹配的敏感信息关联至中间文件中，并将所述当前路径的检测时间更新为当前时间；

选取下一条待检测日志文件的路径作为当前路径，重复执行：依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对所述日志文件进行敏感信息匹配；将匹配的敏感信息存储至中间文件中，并将所述当前路径的检测时间更新为当前时间；直至全部待检测日志文件的路径对应目录下的日志文件匹配完成且检测时间更新完成。

2.如权利要求1所述的方法，所述在确定的待检测日志文件的路径集合中一个路径作为当前路径之前还包括：

基于接收到的检测指令获取服务器运行参数；

判断所述服务器运行参数是否符合预设要求；

若所述服务器运行参数符合预设要求，则确定待检测日志文件的路径集合。

3.如权利要求1或2所述的方法，所述确定待检测日志文件的路径集合包括：

获取原始待检测日志文件的路径集合，所述原始待检测日志文件的路径集合包括：多个原始待检测日志文件的路径及对应的检测时间；

依次判断所述检测时间是否满足预设格式要求；

若至少一个检测时间满足预设格式要求，则将所述检测时间为预设格式要求的原始待检测日志文件的路径的集合作为待检测日志文件的路径集合。

4.如权利要求3所述的方法，所述方法还包括：

若全部所述检测时间均不满足预设格式要求，则获取应用系统对应日志文件目录下的日志文件及对应的更新时间；

将更新时间小于预设第一时间阈值的日志文件路径添加至原始待检测日志文件的路径集合，并以当前时间更新所述日志文件路径的更新时间以得到新增路径集合；

将所述新增路径集合作为待检测日志文件的路径集合。

5.如权利要求3所述的方法，所述方法还包括：

若全部所述检测时间均不满足预设格式要求，则根据当前应用进程打开的文件句柄获取对应的日志文件；

将所述日志文件对应的路径添加至原始待检测日志文件的路径集合，并以当前时间更新所述日志文件路径的更新时间以得到新增路径集合；

将所述新增路径集合作为待检测日志文件的路径集合。

6.如权利要求3所述的方法，所述方法还包括：

若全部所述检测时间均不满足预设格式要求，则通过解析应用程序的日志配置文件获取所述应用程序配置的日志文件路径；

将所述日志文件路径添加至原始待检测日志文件的路径集合，并以当前时间更新所述日志文件路径的更新时间以得到新增路径集合；

将所述新增路径集合作为待检测日志文件的路径集合。

7.如权利要求4-6任一项所述的方法，所述原始待检测日志文件的路径集合还包括：与所述原始待检测日志文件的路径对应的更新时间；

所述将所述新增路径集合作为待检测日志文件的路径集合包括：

删除所述新增路径集合中重复的路径及更新时间大于预设第二时间阈值的路径；

将所述新增路径集合中剩余所述路径对应的检测时间置为满足预设格式要求的参数得到待检测日志文件的路径集合。

8.如权利要求1所述的方法，所述选取下一条待检测日志文件的路径作为当前路径之前还包括：

判断已利用预设敏感信息正则表达式匹配的所述日志文件的数量是否超过预设数量阈值；

若超过预设数量阈值，则检查系统资源使用参数是否超过预设使用要求；

若超过预设使用要求，则中止或退出日志文件敏感信息检测。

9.如权利要求1、2、4-6及8任一项所述的方法，还包括：

根据所述中间文件生成日志敏感信息检测报告。

10.如权利要求1、2、4-6及8任一项所述的方法，所述敏感信息包括：财产信息、健康生理信息、生物识别信息、身份信息和/或网络身份标识信息。

11.一种日志文件敏感信息检测装置，包括：

当前路径选取模块，被配置为执行在确定的待检测日志文件的路径集合中选取一条路径作为当前路径，所述路径集合包括：多个待检测日志文件的路径；

敏感信息匹配模块，被配置为执行依次读取所述当前路径对应目录下的日志文件，并利用预设敏感信息正则表达式对读取的所述日志文件进行敏感信息匹配；

关联模块，被配置为执行将匹配的敏感信息关联至中间文件中，并将所述当前路径的检测时间更新为当前时间；

循环匹配模块，被配置为执行选取下一条待检测日志文件的路径作为当前路径，返回至敏感信息匹配模块和关联模块；直至全部待检测日志文件的路径对应目录下的日志文件匹配完成且检测时间更新完成。

12.一种计算机可读存储介质，所述计算机可读存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或至少一段程序由处理器加载并执行以实现如权利要求1-10中任一所述的一种日志文件敏感信息检测方法。

13.一种日志文件敏感信息检测设备，包括至少一个处理器，以及与所述至少一个处理器通信连接的存储器；其中，所述存储器存储有可被所述至少一个处理器执行的指令，所述至少一个处理器通过执行所述存储器存储的指令实现如权利要求1-10中任一所述的一种日志文件敏感信息检测方法。

Images