CN112235243A - 一种基于Web应用安全的日志审计安全平台 - Google Patents
一种基于Web应用安全的日志审计安全平台 Download PDFInfo
- Publication number
- CN112235243A CN112235243A CN202010948104.0A CN202010948104A CN112235243A CN 112235243 A CN112235243 A CN 112235243A CN 202010948104 A CN202010948104 A CN 202010948104A CN 112235243 A CN112235243 A CN 112235243A
- Authority
- CN
- China
- Prior art keywords
- log
- data
- web application
- service module
- block chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及Web应用日志审计技术领域,且公开了一种基于Web应用安全的日志审计安全平台,包括Web应用日志数据采集系统、日志数据处理系统,该日志数据处理系统包括数据处理服务模块、密钥服务模块和区块链集群;数据处理服务模块通过向密钥服务模块申请加密秘钥,对Web应用日志数据采集系统采集的日志数据以数字签名形式生成加密数据,并向区块链集群发送加密数据;区块链集群向密钥服务模块申请数据处理服务模块的签名公钥,对上述的加密数据进行验证,区块链集群验证有效后将日志数据置入数据缓冲区,区块生成条件满足后则生成新的日志数据区块。本发明解决了目前的日志审计系统由于存在管理员权限过大,导致审计日志数据可靠性低的技术问题。
Description
技术领域
本发明涉及Web应用日志审计技术领域,具体为一种基于Web应用安全的日志审计安全平台。
背景技术
近年来随着Web应用技术的不断进步和发展,针对Web应用业务的需求越来越多,随之而来的Web应用安全攻击也呈上升趋势。目前针对网络攻击的防护技术手段也是层出不穷,但一般都是事前检测和事中防护,事后检测维护的则相应比较少。在网络中心有大量的服务器设备,Web日志文件作为服务器的一部分,详细记录设备系统每天发生的各种各样的事件,如客户端对服务器的访问请求记录、黑客对网站的入侵行为记录等,因此要想有效的管理维护设备,以及在攻击事件发生之后及时的降低风险,分析审计日志发生的操作事件,对攻击行为进行抽丝剥茧般的分析进行追溯和特征归纳,从而对未来网络攻击进行预警,对于事后检测和维护设备的安全是非常必要的,但是目前的日志审计系统由于存在管理员权限过大的问题,所以会导致审计所使用的审计日志数据的安全性不高、机密性低,甚至存在着被篡改的可能性。
发明内容
(一)解决的技术问题
针对现有技术的不足,本发明提供一种基于Web应用安全的日志审计安全平台,以解决目前的日志审计系统由于存在管理员权限过大,导致审计日志数据可靠性低的技术问题。
(二)技术方案
为实现上述目的,本发明提供如下技术方案:
一种基于Web应用安全的日志审计安全平台,包括Web应用日志数据采集系统、日志数据处理系统,该日志数据处理系统包括数据处理服务模块、密钥服务模块和区块链集群;
数据处理服务模块通过向密钥服务模块申请加密秘钥,对Web应用日志数据采集系统采集的日志数据以数字签名形式生成加密数据,并向区块链集群发送加密数据;
区块链集群向密钥服务模块申请数据处理服务模块的签名公钥,对上述的加密数据进行验证,区块链集群验证有效后将日志数据置入数据缓冲区,区块生成条件满足后则生成新的日志数据区块。
进一步的,所述Web应用日志数据采集系统包括用于采集Web应用日志数据的日志采集器集群,该日志采集器集群采集各个Web应用服务器及安全设备的日志并做归一化处理。
进一步的,所述日志审计安全平台还包括Web应用日志大数据中心,该Web应用日志大数据中心与日志采集器集群连接。
进一步的,所述日志审计安全平台还包括日志数据展示系统,日志数据展示系统的展示端可分别向日志数据处理系统的区块链集群和Web应用日志大数据中心请求查看数据,获得两边数据,将区块链数据与大数据中心的数据进行自动比对。
(三)有益的技术效果
与现有技术相比,本发明具备以下有益的技术效果:
1.本发明利用区块链技术中不可篡政的特性在日志数据处理系统中添加使用区块链技术,保障Web应用的关键日志数据不可篡改,提升了Web应用日志数据的安全性。
2.本发明对上传至区块链中的Web应用日志数据进行加密,并将加密的数据进行数字签名,不仅保证了审计数据只有被授权用户访问,而且保证了操作日志和系统日志的机密性,更进一步的阻止了加密后的日志数据被恶意篡改。
具体实施方式
下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
一种基于Web应用安全的日志审计安全平台,包括Web应用日志数据采集系统、Web应用日志大数据中心、日志数据处理系统和日志数据展示系统;
Web应用日志数据采集系统包括用于采集Web应用日志数据的日志采集器集群,该日志采集器集群用于采集各个Web应用服务器及安全设备的日志并做归一化处理,日志采集器集群分别连接到Web应用日志大数据中心和日志数据处理系统;
日志数据处理系统包括数据处理服务模块、密钥服务模块和区块链集群;
数据处理服务模块通过向密钥服务模块申请加密秘钥,对日志采集器集群中任一日志采集器采集的日志数据以数字签名形式生成加密数据,并向区块链集群发送加密数据;
区块链集群向密钥服务模块申请数据处理服务模块的签名公钥,对上述的加密数据进行验证,区块链集群验证有效后将日志数据置入数据缓冲区,区块生成条件满足后则生成新的日志数据区块,该处的数据上链即将通过验证的数据,在各节点通过共识机制达成一致后将其写入区块链的过程,此项目是一条私链,因此采用的共识机制算法是门限数字签名;
其中,数据处理服务模块直接从密钥服务模块的密钥服务器中获取加密秘钥,采用加密秘钥对日志采集器集群所采集的日志数据进行加密,并将加密的数据进行数字签名,且区块链集群直接从密钥服务模块的密钥服务器中获取数据处理服务模块的签名公钥进行签名验证,不仅保证了操作日志和系统日志的机密性,而且阻止了加密后的日志数据被恶意篡改;
进一步的,将日志采集器集群所采集的日志数据加密后上链,保证了日志数据加解密的效率和安全性;
日志数据展示系统的展示端可分别向日志数据处理系统的区块链集群和Web应用日志大数据中心请求查看数据,获得两边数据,将区块链数据与大数据中心的数据进行自动比对,该分为人工比对和自动比对;
人工比对:提供数据比对入口,对异常数据进行告警,能够提供多维度的筛选条件,用户可随时进行人工自查比对,比对结果列表支持分页、异常操作行为判断和异常数据告警,可查看已上链原始数据,支持多种格化下载;
自动比对:通过多个时间维度,比如一天、一周、一个月和3个月,自动将区块链上的日志数据与Web应用日志大数据中心的日志数据进行智能比对,并对异常日志数据进行判断,包括删除、篡改和插入行为等;
在上述的日志审计安全平台上系统初始化阶段主要消耗是公私钥的产生,这些操作都可在秒级完成,因此效率很高;在数据上链阶段主要消耗包括对签名的验证,以及共识形成,因此完成的效率也极高;在数据采集阶段完善的数据采集工具体系的采集可达百万条每秒的速度,因此该阶段不会是该系统效率瓶颈;在数据下链阶段采用引入数据库的方式,让整个下链过程非常快速;
因此,该平台的效率非常高效,不但利用了区块链的安全性,即不可篡改性,而且弥补了区块链技术的查找效率低的问题,因此效率价值显著。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (4)
1.一种基于Web应用安全的日志审计安全平台,其特征在于,包括Web应用日志数据采集系统、日志数据处理系统,该日志数据处理系统包括数据处理服务模块、密钥服务模块和区块链集群;
数据处理服务模块通过向密钥服务模块申请加密秘钥,对Web应用日志数据采集系统采集的日志数据以数字签名形式生成加密数据,并向区块链集群发送加密数据;
区块链集群向密钥服务模块申请数据处理服务模块的签名公钥,对上述的加密数据进行验证,区块链集群验证有效后将日志数据置入数据缓冲区,区块生成条件满足后则生成新的日志数据区块。
2.根据权利要求1所述的基于Web应用安全的日志审计安全平台,其特征在于,所述Web应用日志数据采集系统包括用于采集Web应用日志数据的日志采集器集群,该日志采集器集群采集各个Web应用服务器及安全设备的日志并做归一化处理。
3.根据权利要求2所述的基于Web应用安全的日志审计安全平台,其特征在于,所述日志审计安全平台还包括Web应用日志大数据中心,该Web应用日志大数据中心与日志采集器集群连接。
4.根据权利要求3所述的基于Web应用安全的日志审计安全平台,其特征在于,所述日志审计安全平台还包括日志数据展示系统,日志数据展示系统的展示端可分别向日志数据处理系统的区块链集群和Web应用日志大数据中心请求查看数据,获得两边数据,将区块链数据与大数据中心的数据进行自动比对。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010948104.0A CN112235243A (zh) | 2020-09-10 | 2020-09-10 | 一种基于Web应用安全的日志审计安全平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010948104.0A CN112235243A (zh) | 2020-09-10 | 2020-09-10 | 一种基于Web应用安全的日志审计安全平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112235243A true CN112235243A (zh) | 2021-01-15 |
Family
ID=74116144
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010948104.0A Pending CN112235243A (zh) | 2020-09-10 | 2020-09-10 | 一种基于Web应用安全的日志审计安全平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112235243A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115529251A (zh) * | 2022-09-29 | 2022-12-27 | 西安热工研究院有限公司 | 一种发电厂防火墙日志数据处理方法、系统、设备及介质 |
| CN115632879A (zh) * | 2022-12-07 | 2023-01-20 | 富算科技(上海)有限公司 | 日志管理方法、系统、电子设备及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833514A (zh) * | 2018-06-01 | 2018-11-16 | 众安信息技术服务有限公司 | 基于区块链的审计日志处理方法、装置和日志审计系统 |
| US20190245680A1 (en) * | 2018-02-07 | 2019-08-08 | Raouf Boutaba | Blockchain based secure naming and update verification |
| US10484343B1 (en) * | 2017-10-03 | 2019-11-19 | Cerebri AI Inc. | Distributed logging for securing non-repudiable multi-party transactions |
| CN110502500A (zh) * | 2019-07-22 | 2019-11-26 | 福建智恒优水科技有限公司 | 一种基于区块链的去中心化数据库实现方法及装置 |
| CN110839015A (zh) * | 2019-10-12 | 2020-02-25 | 深圳壹账通智能科技有限公司 | 基于区块链的日志存储和读取方法、装置、设备及介质 |
| CN111092745A (zh) * | 2019-10-12 | 2020-05-01 | 深圳壹账通智能科技有限公司 | 基于区块链的日志处理方法、装置、计算机设备及存储介质 |
-
2020
- 2020-09-10 CN CN202010948104.0A patent/CN112235243A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10484343B1 (en) * | 2017-10-03 | 2019-11-19 | Cerebri AI Inc. | Distributed logging for securing non-repudiable multi-party transactions |
| US20190245680A1 (en) * | 2018-02-07 | 2019-08-08 | Raouf Boutaba | Blockchain based secure naming and update verification |
| CN108833514A (zh) * | 2018-06-01 | 2018-11-16 | 众安信息技术服务有限公司 | 基于区块链的审计日志处理方法、装置和日志审计系统 |
| CN110502500A (zh) * | 2019-07-22 | 2019-11-26 | 福建智恒优水科技有限公司 | 一种基于区块链的去中心化数据库实现方法及装置 |
| CN110839015A (zh) * | 2019-10-12 | 2020-02-25 | 深圳壹账通智能科技有限公司 | 基于区块链的日志存储和读取方法、装置、设备及介质 |
| CN111092745A (zh) * | 2019-10-12 | 2020-05-01 | 深圳壹账通智能科技有限公司 | 基于区块链的日志处理方法、装置、计算机设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 陈辉著: "区块链技术保障平台的安全", 《金融科技 框架与实践》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115529251A (zh) * | 2022-09-29 | 2022-12-27 | 西安热工研究院有限公司 | 一种发电厂防火墙日志数据处理方法、系统、设备及介质 |
| CN115632879A (zh) * | 2022-12-07 | 2023-01-20 | 富算科技(上海)有限公司 | 日志管理方法、系统、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103413088B (zh) | 一种计算机文档操作安全审计系统 | |
| US8549649B2 (en) | Systems and methods for sensitive data remediation | |
| CN105553940A (zh) | 一种基于大数据处理平台的安全防护方法 | |
| CN112333166B (zh) | 一种基于物联网的攻击方式自动识别系统 | |
| CN112235243A (zh) | 一种基于Web应用安全的日志审计安全平台 | |
| CN112632639B (zh) | 一种基于区块链的分布式可信日志管理方法 | |
| CN113495920A (zh) | 一种基于区块链的内容审核系统、方法、装置和存储介质 | |
| Doshi et al. | A review paper on security concerns in cloud computing and proposed security models | |
| CN112651021A (zh) | 一种基于大数据的信息安全防御系统 | |
| CN113032793A (zh) | 数据安全智能加固系统及方法 | |
| CN109254893B (zh) | 一种业务数据稽核方法、装置、服务器和存储介质 | |
| KR102013415B1 (ko) | 개인정보 접속기록 무결성 검증시스템 및 검증방법 | |
| CN116089398A (zh) | 一种数据库安全审计方法及系统 | |
| Bartoli et al. | The reaction time to web site defacements | |
| CN110311908A (zh) | 一种企业内部经济管理信息安全加密方法 | |
| CN100594484C (zh) | 网站服务器系统 | |
| CN113608907A (zh) | 数据库审计方法、装置、设备、系统及存储介质 | |
| CN116151826B (zh) | 一种基于区块链的电力交易终端信任管理方法 | |
| Zhao | Development of Electric Power Information Communication in the Era of Big Data | |
| Yang et al. | Analysis of Computer Network Security and Prevention Technology | |
| Liu | Data Security Threats of Log Aggregation | |
| CN109361652B (zh) | 一种车险理赔安全保护系统 | |
| JP6987406B2 (ja) | ペネトレーションテスト監視サーバ及びシステム | |
| CN117454420A (zh) | 一种云计算加密存储服务系统及方法 | |
| CN115622705A (zh) | 审计信息的验证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210115 |