CN115766165B

CN115766165B - 日志处理方法、设备和存储介质

Info

Publication number: CN115766165B
Application number: CN202211392442.6A
Authority: CN
Inventors: 肖飞; 陈磊; 胡迎春; 侯玉华; 张智辉
Original assignee: Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd
Current assignee: Dinghyun Commercial Code Evaluation Technology Shenzhen Co ltd
Priority date: 2022-11-08
Filing date: 2022-11-08
Publication date: 2023-10-27
Anticipated expiration: 2042-11-08
Also published as: CN115766165A

Abstract

本发明公开了一种日志处理方法、日志处理设备和存储介质，属于信息安全技术领域，该方法包括：获取当前时刻生成的第一日志记录，获取密钥和日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码；根据所述密钥、所述第一鉴别码和所述第一日志记录，获得对应的目标鉴别码；将所述第一日志记录、所述第一鉴别码和所述目标鉴别码关联存储至所述日志记录文件。本发明旨在提高日志校验的校验效果准确性。

Description

日志处理方法、设备和存储介质

技术领域

本发明涉及信息安全技术领域，尤其日志处理方法、日志处理设备和存储介质。

背景技术

随着计算机技术和互联网技术的发展，高级持续性威胁攻击变得复杂多变，威胁信息安全的网络攻击也呈现多样化的趋势。日志信息作为记录网络事件及用户行为的记录集合，面对网络攻击时在数据分析和主动防御中发挥着重要的作用。

而日志信息本身也面临着被攻击者篡改的风险，目前针对日志信息的保护方法，一般根据每条日志信息生成对应的消息鉴别码，在需要校验时用计算出的消息鉴别码与数据库中存储的消息鉴别码进行比对确认日志信息是否被篡改。但该方法仅能逐个检测单个的日志信息是否被修改，无法对日志信息的整体进行校验，也无法检测出日志信息被修改以外的其他情况，导致日志校验效果不理想。

发明内容

本发明的主要目的在于提供一种日志处理方法、日志处理设备和存储介质，旨在提高日志校验的校验效果准确性。

为实现上述目的，本发明提供一种日志处理方法，所述日志处理方法包括以下步骤：

获取当前时刻生成的第一日志记录和密钥，获取日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码；

根据所述密钥、所述第一鉴别码和所述第一日志记录，获得对应的目标鉴别码；

将所述第一日志记录、所述第一鉴别码和所述目标鉴别码关联存储至所述日志记录文件。

可选地，所述根据所述密钥、所述第一鉴别码和所述第一日志记录，获得对应的目标鉴别码的步骤包括：

确定所述第一日志记录和所述第一鉴别码拼接的字符串为特征字符串；

根据所述密钥和所述特征字符串，获得对应的所述目标鉴别码。

可选地，所述根据所述密钥和所述特征字符串，获得对应的所述目标鉴别码的步骤包括：

利用所述密钥按照HMAC算法对所述特征字符串作处理，获得所述目标鉴别码。

可选地，所述将所述第一日志记录、所述第一鉴别码和所述目标鉴别码关联存储至所述日志记录文件的步骤包括：

将所述第一日志记录、所述第一鉴别码和所述目标鉴别码依次拼接，并将拼接获得的字符串定义为第一特征日志；

将所述第一特征日志添加至所述日志记录文件。

可选地，所述获取日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码的步骤包括：

确定所述日志记录文件中之前存储的第二特征日志，所述第二特征日志包括依次拼接的所述第二日志记录、所述第二日志记录之前生成的日志记录的对应鉴别码以及所述第一鉴别码；

根据所述第二特征日志确定所述第一鉴别码。

此外，为了实现上述目的，本申请还提出一种日志处理方法，所述日志处理方法包括以下步骤：

获取密钥和日志记录文件，所述日志记录文件包括多个不同时间生成的日志记录及对应的第二鉴别码；

确定所述日志记录文件中目标时刻生成的日志记录为第三日志记录以及所述第三日志记录之前生成的第四日志记录；

根据所述密钥、所述第三日志记录和所述第四日志记录的第一检测鉴别码，获得对应的目标检测鉴别码；

根据所述第三日志记录对应的所述第二鉴别码和所述目标检测鉴别码确定检测结果，所述检测结果包括所述日志记录文件是否被篡改。

可选地，所述根据所述第三日志记录对应的所述第二鉴别码和所述目标检测鉴别码确定检测结果的步骤包括：

确定所述日志记录文件中所述第三日志记录以及之前生成的每个所述日志记录的集合为日志记录集合；

当所述第三日志记录对应的所述第二鉴别码与所述目标检测鉴别码匹配时，确定所述检测结果包括所述日志记录集合的日志记录没有被篡改；

当所述第三日志记录对应的所述第二鉴别码与所述目标检测鉴别码不匹配时，确定所述检测结果包括所述日志记录集合的日志记录已被篡改。

可选地，所述当所述第三日志记录对应的所述第二鉴别码与所述目标检测鉴别码不匹配时，确定所述检测结果包括所述日志记录集合的日志记录已被篡改的步骤之后，还包括：

确定所述日志记录文件中所述第四日志记录以及之前生成的每个所述日志记录对应的第二检测鉴别码，每个所述第二检测鉴别码根据所述密钥、对应的日志记录和前一生成的日志记录的所述第二检测鉴别码生成；

确定任意两个生成时间相邻的所述日志记录对应的第二鉴别码依次为第三鉴别码和第四鉴别码；

当存在所述第四鉴别码与对应的所述第二检测鉴别码不匹配，且所述第三鉴别码与对应的所述第二检测鉴别码匹配时，确定所述第四鉴别码对应日志记录为被篡改的目标日志记录；

确定所述检测结果为所述目标日志记录被篡改。

此外，为了实现上述目的，本申请还提出一种日志处理设备，所述日志处理设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的日志处理程序，所述日志处理程序配置为实现如上任一项所述的日志处理方法的步骤。

此外，为了实现上述目的，本申请还提出一种存储介质，所述存储介质上存储有日志处理程序，所述日志处理程序被处理器执行时实现如上任一项所述的日志处理方法的步骤。

本发明提出的一种日志处理方法，该方法通过获取密钥和当前时刻生成的第一日志记录，以及日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码；继而根据密钥、第一鉴别码和第一日志记录，获得第一日志记录的目标鉴别码，完成对第一日志记录的处理，相比于利用密钥分别对每个日志记录进行处理时每个日志记录对应的鉴别码互相不产生影响，该方法处理第一日志记录时还结合第一鉴别码，即和之前生成的第二日志记录的信息建立关联；然后将第一日志记录、第一鉴别码和目标鉴别码关联存储至日志记录文件。结合之前生成的第二日志记录对当前时刻生成的第一日志记录作处理，可使相邻生成的日志记录之间的鉴别码产生关联性，当前一记录改变时，将导致目标鉴别码也发生改变，从而可通过检测目标鉴别码追溯之前生成的日志记录是否被篡改，实现对日志信息的完整性进行检测，确定日志记录是否有被修改、添加或删除，提高日志校验的校验效果准确性。

附图说明

图1为本发明日志处理设备一实施例运行涉及的硬件结构示意图；

图2为本发明日志处理方法一实施例的流程示意图；

图3为本发明日志处理方法另一实施例的流程示意图；

图4为本发明日志处理方法又一实施例的流程示意图；

图5为本发明日志处理方法再一实施例的流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明实施例提出一种日志处理设备。如图1所示，该日志处理设备可以包括：处理器1001，例如中央处理器(Central Processing Unit，CPU)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(WIreless-FIdelity，WI-FI)接口)。存储器1005可以是高速的随机存取存储器(Random Access Memory，RAM)存储器，也可以是稳定的非易失性存储器(Non-Volatile Memory，NVM)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对日志处理设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括日志处理程序。在图1所示的日志处理设备中，网络接口1004主要用于与其他设备进行数据通信；用户接口1003主要用于与用户进行数据交互；处理器1001可以用于调用存储器1005中存储的日志处理程序，并执行本发明实施例提供的日志处理方法。

本发明实施例还提供了一种日志处理方法，应用于上述日志处理设备。

参照图2，提出本申请日志处理方法一实施例。在本实施例中，所述日志处理方法包括：

步骤S10，获取当前时刻生成的第一日志记录，获取密钥和日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码；

日志记录用于记录系统或软件运行中发生的事件或与其他设备通信交互等信息，在本实施例中不限定日志记录的内容，可以是用于终端软件或脚本的日志记录，也可以是用于门禁系统监控出入信息的日志记录等。在日志记录生成后，需要对日志记录做处理，结合密钥生成对应的鉴别码，然后将日志记录和对应的鉴别码存储至日志记录文件中。该鉴别码即为MAC值(Message Authentication Code，消息认证码)，基于日志记录的内容生成，可用于验证日志记录是否被篡改。

第一日志记录为该系统当前时刻生成的日志记录，第二日志记录为记录于日志记录文件中且为第一日志记录前一生成的日志记录，第一鉴别码为记录于日志记录文件中的第二日志记录的对应鉴别码。

可选地，当系统生成当前时刻的第一日志记录后，获取第一日志记录，并从存储当前时刻之前生成的日志记录的日志记录文件中获取第二日志记录和对应的第一鉴别码，而密钥从安全模块或认证的产品中获取。

步骤S20，根据所述密钥、所述第一鉴别码和所述第一日志记录，获得对应的目标鉴别码；

可选地，基于密钥、第一鉴别码和第一日志记录，获得用于对第一日志记录作校验的目标鉴别码。在本实施例中，每个日志记录对应的鉴别码生成时，均基于同样的步骤生成，因此生成时间相邻的两个日志记录中，后一记录的对应鉴别码不止与后一记录的内容有关联，也通过前一记录的对应鉴别码与前一记录的内容有关联，因此通过该关联第一日志记录的目标鉴别码与之前生成的每个日志记录均有关联。

需要说明的是，第一鉴别码与目标鉴别码为同类型的鉴别码，第一鉴别码为第二日志记录的对应鉴别码，可用于检测第二日志记录，而目标鉴别码为第一日志记录的对应鉴别码，可用于检测第一日志记录，本实施例正是通过处理第一日志记录时利用之前生成的日志记录的对应鉴别码，从而建立目标鉴别码与之前生成的日志记录的关联。

此外，针对日志记录文件中的首个日志记录的对应鉴别码，由于没有前一生成的日志记录，可根据密钥和该首个日志记录生成。

步骤S30，将所述第一日志记录、所述第一鉴别码和所述目标鉴别码关联存储至所述日志记录文件。

可选地，日志记录文件可包括多个字段用于记录多种不同种类的信息，并通过标识字段关联具有关联关系的其他不同字段，将第一日志记录、第一鉴别码和目标鉴别码关联存储至日志记录文件中的对应字段。

需要说明的是，即使第一鉴别码也与第一日志记录关联存储，但本实施例中所指第一日志记录的对应鉴别码为目标鉴别码，正是通过目标鉴别码才可实现对第一日志记录的检测，第一鉴别码与第一日志记录关联是用于对第一日志记录的保护。

本发明实施例提出的一种日志处理方法，该方法通过获取密钥和当前时刻生成的第一日志记录，以及日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码；继而根据密钥、第一鉴别码和第一日志记录，获得第一日志记录的目标鉴别码，完成对第一日志记录的处理，相比于利用密钥分别对每个日志记录进行处理时每个日志记录对应的鉴别码互相不产生影响，该方法处理第一日志记录时还结合第一鉴别码，即和之前生成的第二日志记录的信息建立关联；然后将第一日志记录、第一鉴别码和目标鉴别码关联存储至日志记录文件。结合之前生成的第二日志记录对当前时刻生成的第一日志记录作处理，可使相邻生成的日志记录之间的鉴别码产生关联性，当前一记录改变时，将导致目标鉴别码也发生改变，从而可通过检测目标鉴别码追溯之前生成的日志记录是否被篡改，实现对日志信息的完整性进行检测，确定日志记录是否有被修改、添加或删除，提高日志校验的校验效果准确性。

进一步的，在本实施例中，步骤S30包括：

将所述第一特征日志添加至所述日志记录文件。

可选地，将第一日志记录、第一鉴别码和目标鉴别码依次拼接，以拼接获得的字符串作为第一特征日志添加至日志记录文件。此外，针对第一特征日志的内容，将第一日志记录与第一鉴别码拼接的部分认定为处理完成的日志记录，而目标鉴别码的部分作为其对应的鉴别码。

通过将拼接后的字符串存储至日志记录文件，可完整记录第一日志记录、第一鉴别码和目标鉴别码的信息。此外，拼接后的字符串可形成对第一日志记录的保护，提高日志记录保存在日志记录文件的安全性。

进一步的，在本实施例中，所述获取日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码的步骤包括：

根据所述第二特征日志确定所述第一鉴别码。

可选地，当对第一日志记录进行处理时，从日志记录文件中确定前一存储的特征日志，即第二特征日志；第二特征日志同样为基于第二日志记录、第二日志记录之前生成的日志记录的对应鉴别码，以及第一鉴别码拼接而成的字符串。当需要使用特征日志中的信息时，可通过预设方法对该拼接的字符串分割，从而获得第二特征日志中的第一鉴别码。

通过在日志记录文件之前存储的第二特征日志中获取第一鉴别码，可对应日志记录处理存储时的步骤获得前一日志记录的对应鉴别码，提高日志处理的效率。

进一步的，基于上述实施例，提出本申请日志处理方法另一实施例。在本实施例中，参考图3，步骤S20包括：

步骤S21，确定所述第一日志记录和所述第一鉴别码拼接的字符串为特征字符串；

步骤S22，根据所述密钥和所述特征字符串，获得对应的所述目标鉴别码。

可选地，欲获得第一日志记录的目标鉴别码时，将第一日志记录和第一鉴别码拼接生成特征字符串，以特征字符串作为被处理的待处理信息，根据密钥和特征字符串获得对应的目标鉴别码。

在其他实施例中，除了拼接外也可应用其他字符串操作方法，使基于第一日志记录和第一鉴别码生成的特征字符串可以表征第一日志记录和第一鉴别码的内容即可。此外，除了利用第一日志记录和第一鉴别码获得特征字符串外，也可结合其他内容获得特征字符串，例如利用第一日志记录之前生成的多个日志记录的对应鉴别码。

通过拼接第一日志记录和第一鉴别码，可使处理时是基于第一日志记录和第一鉴别码的信息进行处理，从而生成对应的目标鉴别码，使目标鉴别码能表征第一日志记录和第二日志记录的信息，提高日志校验的校验效果准确性。

进一步的，在本实施例中，步骤S22包括：

利用所述密钥按照HMAC算法对所述特征字符串作处理，获得所述目标鉴别码；

HMAC算法(Hash-based Message Authentication Code，哈希运算消息认证码)为基于哈希函数和密钥进行消息认证的方法，该算法可输入密钥和待处理信息，在该算法的处理过程中，基于所输入的密钥和待处理信息的字符串作预设处理，并通过哈希函数计算，最终生成并输出一个固定长度的字符串。

其中，HMAC的计算公式为：

在上述HMAC计算公式中，K表示密钥，D表示待处理信息，函数H()为哈希函数，在本实施例中不限定哈希函数的类型，m表示输出字符串的长度，函数MSB_m()用于对哈希函数输出的字符串取从左数的m比特长度。

可选地，按照HMAC算法输入密钥和特征字符串，以特征字符串作为待处理信息，并将HMAC算法输出的字符串作为目标鉴别码。

在本实施例中，特征字符串通过第一日志记录和第一鉴别码拼接获得。示例性的，设第二日志记录为D_i-1，第一日志记录为D_i，密钥为K，第一鉴别码为X_i-1，由于第一鉴别码与第二日志记录的前一记录还有关联，因此还设第二日志记录的前一记录对应鉴别码为X_i-2，则第一鉴别码X_i-1＝HMAC(K,D_i-1X_i-2)，特征字符串为D_i X_i-1，目标鉴别码为HMAC(K,D_iX_i-1)。

在其他实施例中，也可以选择使用CMAC算法(Cipher Block Chaining-MessageAuthentication Code，对称密钥分组算法消息认证码)，通过CMAC算法处理获得目标鉴别码或第一鉴别码，或也可与HAMC算法组合使用。

通过利用密钥按照HAMC算法处理特征字符串获得目标鉴别码，使目标鉴别码可基于特征字符串同时表征第一日志记录和第二日志记录的内容，并可通过目标鉴别码校验第一日志记录或第二日志记录是否被篡改，提高检测日志记录是否被篡改的准确性。

进一步的，基于上述实施例，提出本申请日志处理方法又一实施例。在本实施例中，第一日志记录的鉴别码可基于密钥与第二日志记录进行关联，所述日志处理方法还包括：

步骤S100，获取当前时刻生成的第一日志记录，获取日志记录文件中当前时刻之前生成的第二日志记录对应的第五鉴别码和第一密钥；

可选地，当系统生成当前时刻的第一日志记录后，获取第一日志记录，并从存储当前时刻之前生成的日志记录的日志记录文件中获取第二日志记录对应的第五鉴别码和第一密钥，以通过第五鉴别码和第一密钥对第一日志记录作处理。

步骤S200，根据所述第一密钥和所述第五鉴别码，获得对应的第二密钥；

可选地，根据第二日志记录的第一密钥和第五鉴别码，获得用于对第一日志记录作处理的第二密钥。在本实施例中，对每个日志记录处理所用的密钥均不相同，并且生成时间相邻两个日志记录所用的密钥具有关联；两个生成时间相邻的日志记录中，后一日志记录所用的密钥根据前一日志记录的密钥和其鉴别码生成，即第一日志记录的第二密钥根据第二日志记录的第一密钥和第二日志记录的第五鉴别码生成。

步骤S300，根据所述第二密钥和所述第一日志记录，获得对应的第六鉴别码。

可选地，根据第二密钥和第一日志记录，获得第一日志记录的第六鉴别码，因为第二密钥的生成与第二日志记录的第一密钥和第五鉴别码有关，而第五鉴别码与对应的第二日志记录有关联，从而使第六鉴别码基于第一日志记录内容生成的同时，也相当于基于第二日志记录的内容生成。

进一步的，需要对日志记录文件进行检测时，可参考步骤S200和步骤S300生成日志记录文件中每个日志记录的检测密钥和第三检测鉴别码，确定欲检测的目标日志记录，然后通过比对目标日志记录的第六鉴别码与第三检测鉴别码是否匹配，确定日志记录文件中目标日志记录及之前生成的日志记录是否被篡改。

通过使后一日志记录所用的密钥基于前一记录的密钥和鉴别码生成，即基于前一记录的密钥和日志记录的内容生成，可建立相邻时刻生成的两个日志记录之间密钥的关联，当前一记录被篡改时，将导致第五鉴别码和第六鉴别码都发生改变，从而可通过检测第六鉴别码追溯第一日志记录之前生成的日志记录是否被篡改，提高日志校验的校验效果准确性。

进一步的，基于上述实施例，提出本申请日志处理方法再一实施例。在本实施例中，参考图4，所述日志处理方法包括：

步骤S40，获取密钥和日志记录文件，所述日志记录文件包括多个不同时间生成的日志记录及对应的第二鉴别码；

可选地，在对日志记录进行校验时，获取需要校验的日志记录文件和密钥。密钥从该日志记录文件对应的安全模块或认证的产品中获取，使密钥与处理该日志记录文件中的日志记录时所用的密钥匹配。日志记录文件中包括已经生成并记录的多个不同时间的日志记录，每个日志记录还记录有对应的第二鉴别码，第二鉴别码为与第一鉴别码同类的鉴别码，第二鉴别码为每个日志记录对应的目标鉴别码。

步骤S50，确定所述日志记录文件中目标时刻生成的日志记录为第三日志记录以及所述第三日志记录之前生成的第四日志记录；

目标时刻由工作人员设定，表征检测日志记录文件中目标时刻及之前记录的日志记录是否被篡改。在实际场景中，目标时刻一般指定为日志记录文件中最接近当前时刻生成的日志记录的时刻，从而实现对该日志记录文件中所有日志记录的检测。

可选地，确定目标时刻，将日志记录文件中目标时刻生成的对应日志记录设定为第三日志记录，将第三日志记录前一生成的日志记录设定为第四日志记录。

步骤S60，根据所述密钥、所述第三日志记录和所述第四日志记录的第一检测鉴别码，获得对应的目标检测鉴别码；

在检测日志记录时需重新生成检测鉴别码，以通过检测鉴别码与存储的对应鉴别码比对。其中，第一检测鉴别码又基于第四日志记录以及第四日志记录之前生成的日志记录的对应检测鉴别码生成。可选地，根据密钥、第四日志记录的第一检测鉴别码和第三日志记录，获得第三日志记录的目标检测鉴别码，该步骤可参照步骤S20。

步骤S70，根据所述第三日志记录对应的所述第二鉴别码和所述目标检测鉴别码确定检测结果，所述检测结果包括所述日志记录文件是否被篡改。

可选地，生成第三日志记录的目标检测鉴别码后，第三日志记录有对应的第二鉴别码和目标检测鉴别码，其中，第二鉴别码为第三日志记录生成时的数据，并关联存储于日志记录文件中，目标检测鉴别码为第三日志记录检测时才生成的数据。根据第三日志记录对应的第二鉴别码和目标检测鉴别码确定日志记录文件是否被篡改。

通过第三日志记录的第二鉴别码和目标检测鉴别码，可确定第三日志记录是否被篡改。又因为第二鉴别码基于第三日志记录和第四日志记录生成，该检测结果可同时校验第三日志记录和第四日志记录。进一步的，通过生成时间相邻的日志记录的关联，实际可通过目标检测鉴别码检测日志记录文件中生成时间在第三日志记录之前的每个日志记录，提高日志校验的校验效果准确性。

进一步的，在本实施例中，所述根据所述第三日志记录对应的所述第二鉴别码和所述目标检测鉴别码确定检测结果的步骤包括：

可选地，确定日志记录文件中第三日志记录以及之前的所有日志记录的集合为日志记录集合，当对第三日志记录的第二鉴别码与目标检测鉴别码比对时，同时即是在校验日志记录集合中是否存在被篡改的日志记录。当第二鉴别码与目标检测鉴别码匹配时，确定日志记录集合中没有日志记录被篡改；而当第二鉴别码与目标检测鉴别码不匹配时，确定日志记录集合中存储日志记录被篡改。

通过比对第三日志记录的第二鉴别码和目标检测鉴别码是否匹配，可判断日志记录文件中第三日志记录以及之前的日志记录是否被篡改，提高日志校验的校验效果准确性。

进一步的，在本实施例中，所述当所述第三日志记录对应的所述第二鉴别码与所述目标检测鉴别码不匹配时，确定所述检测结果包括所述日志记录集合的日志记录已被篡改的步骤之后，还包括：

确定所述检测结果为所述目标日志记录被篡改。

可选地，当确定第三日志记录的第二鉴别码和目标检测鉴别码不匹配时，确定日志记录集合中其他所有日志记录的对应检测鉴别码，即第二检测鉴别码。从第三日志记录往之前追溯，依次比对每个日志记录对应的第二鉴别码和第二检测鉴别码。确定任意两个生成时间相邻的日志记录对应的第二鉴别码依次为第三鉴别码和第四鉴别码，当比对确定有两个相邻的日志记录中，第四鉴别码与对应的第二检测鉴别码不匹配，且第三鉴别码与对应的第二检测鉴别码匹配时，可确定第四鉴别码对应的日志记录为被篡改的日志记录，即上述目标日志记录。

通过比对第四日志记录以及之前每个日志记录的第二鉴别码和第二检测鉴别码，可在日志记录集合中确定被篡改的日志记录，从而在检测出日志记录文件被篡改的基础上，还能定位其中被篡改的日志记录，提高日志校验的校验效果准确性。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有日志处理程序，所述日志处理程序被处理器执行时实现如上日志处理方法任一实施例的相关步骤。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

1.一种日志处理方法，其特征在于，所述日志处理方法包括以下步骤：

获取密钥和日志记录文件，所述日志记录文件包括多个不同时间生成的日志记录及对应的第二鉴别码，所述日志记录文件的生成方法包括：获取当前时刻生成的第一日志记录和密钥，获取日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码；确定所述第一日志记录和所述第一鉴别码拼接的字符串为特征字符串；利用所述密钥按照HMAC算法对所述特征字符串作处理，获得目标鉴别码，所述目标鉴别码为对应日志记录的MAC值；将所述第一日志记录、所述第一鉴别码和所述目标鉴别码依次拼接，并将拼接获得的字符串定义为第一特征日志；将所述第一特征日志添加至所述日志记录文件；其中，所述第一日志记录与所述第一鉴别码拼接的部分为处理完成的日志记录，所述目标鉴别码为所述处理完成的日志记录对应的鉴别码；

2.如权利要求1所述的日志处理方法，其特征在于，所述获取日志记录文件中当前时刻之前生成的第二日志记录对应的第一鉴别码的步骤包括：

根据所述第二特征日志确定所述第一鉴别码。

3.如权利要求1所述的日志处理方法，其特征在于，所述根据所述第三日志记录对应的所述第二鉴别码和所述目标检测鉴别码确定检测结果的步骤包括：

4.如权利要求3所述的日志处理方法，其特征在于，所述当所述第三日志记录对应的所述第二鉴别码与所述目标检测鉴别码不匹配时，确定所述检测结果包括所述日志记录集合的日志记录已被篡改的步骤之后，还包括：

确定所述检测结果为所述目标日志记录被篡改。

5.一种日志处理设备，其特征在于，所述日志处理设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的日志处理程序，所述日志处理程序配置为实现如权利要求1至4中任一项所述的日志处理方法的步骤。

6.一种存储介质，其特征在于，所述存储介质上存储有日志处理程序，所述日志处理程序被处理器执行时实现如权利要求1至4中任一项所述的日志处理方法的步骤。