CN1592233A - 安全日志的实现方法 - Google Patents
安全日志的实现方法 Download PDFInfo
- Publication number
- CN1592233A CN1592233A CN 03155474 CN03155474A CN1592233A CN 1592233 A CN1592233 A CN 1592233A CN 03155474 CN03155474 CN 03155474 CN 03155474 A CN03155474 A CN 03155474A CN 1592233 A CN1592233 A CN 1592233A
- Authority
- CN
- China
- Prior art keywords
- information table
- log information
- list item
- message
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明涉及通信系统的日志生成,公开了一种安全日志的实现方法,使得能够使用硬件来实现安全日志的处理,报文的处理速度和设备的处理能力得以提高,从而克服现有方案中的处理瓶颈现象,并使CPU的负荷得以减轻从而提高系统的工作效率。这种安全日志的实现方法包含以下步骤:A当接收到一个报文时,以所述报文的信息作为索引查找用户配置的规则缓存,并判断是否需要对所述报文做日志,如果是则进入步骤B,否则进入步骤C;B根据用户配置的策略提取所述报文相关信息作为索引查找日志信息表,并判断所述日志信息表中是否有匹配所述报文信息的表项,如果没有则在所述日志信息表中新增一条表项;进入步骤C;C转发所述报文。
Description
技术领域
本发明涉及通信系统的日志生成,特别涉及通信系统中是用硬件生成安全日志的方法。
背景技术
随着网络的普及和发展,网络的安全越来越重要,现在网络的安全控制技术正飞速发展。一套网络安全的整体解决方案涉及很多方面,包括设置好密码策略、设置安全日志策略以及安全管理制度等等。其中设置安全日志策略是通过在安全日志中记录一些重要信息以对网络的使用情况进行监控,通过监控的结果不断调整安全设置,提高网络安全性。
由于网络安全的重要性,考虑到交换机在网络中处于核心的地位,因此需要在交换机实现对用户的监控日志功能,从而可以查看各个用户上网情况,了解网上流量信息,对网络不法行为进行追查等。目前的安全日志可以包括以下几部分:
一、用户的上网记录,即用户的上下线时间、互联网协议(InternetProtocal,简称“IP”)地址、介质访问控制(Media Access Control,简称“MAC”)地址、永久虚电路(Permanent Virtual Circuit,简称“PVC”)等信息进行保存;
二、用户的上网操作记录,即对用户所访问过的IP地址、协议类型、端口号等也进行保存;
三、对于做网络地址转换(Net Address Translation,简称“NAT”)的用户,还需要其报文的转发地址转换记录,以便必要时进行追踪。
现有的技术方案在生成安全日志时,软件在其中完成的功能较多,以下简称为安全日志的软件实现方案。该方案的实现有以下特点:
第一、由软件维护形成安全日志的规则,该规则一般以数据报文的五元组进行精确匹配查找。所谓五元组,即报文的一个套接字,包括协议、本地地址、本地端口、远程地址、远程端口。五元组中的项需要精确匹配,比如某个五元组的组合。
第二、硬件在缓存中保存查找规则,软件为硬件维护查找规则缓存。该查找规则的组织形式可以为多种,例如采用哈希(HASH)表组织,该查找规则缓存以五元组为索引作精确匹配查找。
第三、硬件在接收到一个报文时,以它的五元组索引查找规则缓存。如果有匹配,则按匹配表项的内容对该报文做处理;否则,将这个报文上报给软件。
第四、软件收到硬件上报的报文后,同样以它的五元组去索引查找规则,如果没有找到匹配结果,则要在查找规则缓存中添加一个记录,以使以后当硬件接收到的五元组完全相同的报文时可以通过查查找规则缓存转发。
第五、软件定时按一定的策略,例如超时老化策略,刷新查找规则缓存。
这样,通过这种首包上报的流转发机制,软件可以根据需要记录报文的信息,主要是五元组、接收客户端口,实现对网上流量的监控,实现安全日志功能。
在实际应用中,上述方案存在以下问题:软件处理速度慢,容易丢失报文;对中央处理器(Central Processing Unit,简称“CPU”)的资源消耗大,导致整个系统的整体效率较低。
造成这种情况的一个主要原因在于在现有的安全日志的软件实现方案中,所有需要做日志的报文的首包都要上报给软件,由于软件的处理速度不高会形成处理瓶颈,对于数据流量瞬时突发度较大的情况,会导致报文丢失;该方案中,CPU需要花掉大量的时间执行软件去分析报文、计算索引、设置转发表项等等,因而会大大地增加CPU的负荷,进而导致整个系统的整体效率较低。
发明内容
本发明要解决的技术问题是提供一种安全日志的实现方法,使得能够使用硬件来实现安全日志的处理,报文的处理速度和设备的处理能力得以提高,从而克服现有方案中的处理瓶颈现象,并使CPU的负荷得以减轻从而提高系统的工作效率。
为了解决上述技术问题,本发明提供了一种安全日志的实现方法,包含以下步骤:
A当接收到一个报文时,以所述报文的信息作为索引查找用户配置的规则缓存,并根据查找结果判断是否需要对所述报文做日志,如果是则进入步骤B,否则进入步骤C;
B根据用户配置的策略提取所述报文的相关信息作为索引查找日志信息表,并判断所述日志信息表中是否有匹配所述相关信息的表项,如果没有则根据所述报文在所述日志信息表中新增一条表项;进入步骤C;
C转发所述报文。
其中,所述方法还包含以下步骤:
当在所述日志信息表中新增表项时将该表项的老化系数设置为预定的初始值;
定时刷新所述日志信息表,并判断所述日志信息表每一个表项的老化系数是否为0,如果是则删除该表项,否则将该表项的老化系数减1。
所述步骤B中还包含以下步骤:
当所述日志信息表中有匹配所述报文信息的表项时,判断该表项的老化系数是否为达到最大阈值,如果否,则将该表项的老化系数加1。
所述步骤B还包含以下步骤:
在所述日志信息表中新增一条表项以前,判断所述日志信息表是否已满,如果是则在临时日志信息表中新增一条表项。
所述临时日志信息表的结构、存储组织、查找方法和维护方式都与日志信息表完全相同,并在系统初始化时由软件清除所有信息。
在临时日志信息表中新增一条表项的步骤包含以下子步骤:
判断所述临时日志信息表的存储空间是否已满,如果是则用新的表项覆盖所述临时日志信息表中的旧表项,否则在所述临时日志信息表中新增一条表项。
所述步骤B还包含以下步骤:
在所述日志信息表中新增一条表项以前,判断所述日志信息表是否已满,如果是则直接转发所述报文,不做日志。
所述步骤B还包含以下步骤:
在所述日志信息表中新增一条表项以前,判断所述日志信息表是否已满,如果是则将所述报文上报给上层软件处理。
所述方法还包含以下步骤:
当所述报文需要做安全日志时,把所述报文所对应的所述日志信息表或者临时日志信息表中的内容写入一个日志信息上报队列。
所述日志信息上报队列由硬件中断通知系统读取或者由系统定时读取。
通过比较可以发现,本发明的技术方案与现有技术的区别在于,不同于现有的大部分用软件处理形成安全日志的方案,本发明提出的流程适合于用硬件完成安全日志的处理;并且不同于现有方案,本方案不必根据五元组进行精确的匹配查找,查找时根据用户策略配置的查找引擎中的查找规则进行查找,查找的灵活性更大。
这种技术方案上的区别,带来了较为明显的有益效果,即首先通过该方案的实施,系统对于报文的处理速度显著加快,解决了传统的软件实现的技术方案中报文丢失的问题。在本方案的实施例中,在数据流量突然增大的时候,不会发生报文丢失的问题。其次通过该方案的实施,显著减轻了系统尤其是中央处理器的负担,系统的整体性能得到明显提高。在该实施例中,即使在数据流量突然增大的情况下,也不会出现中央处理器被完全占用而使系统响应其它的操作的时间太长的情况。
附图说明
图1为根据本发明的一个实施例的安全日志的实现方案的一个报文的硬件处理流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述。
下面结合本发明的一个具体实施例来说明,该实施例的一个报文的硬件处理流程如图1。存在一个用于周期性触发刷新动作的定时器,当该定时器超时时,首先进入步骤100,判断是否需要刷新日志信息表,如果是进入步骤110,否则进入步骤120。刷新过程为定时进行,本实施例中刷新过程为硬件定时,定时时间由上层软件事先配置。
在步骤110中,刷新日志信息表。该步骤可以分为以下两种情况:对于一条记录,如果老化系数为0,则删除这个表项;如果老化系数不为0,则将其减1。该步骤是为了定时更新日志信息表,删除不需要的表项并为后续的新添加的表项准备存储空间。
当接收到一个报文时,进入步骤120,按照规则进行硬件查找。该规则为用户配置的五元组匹配的规则。硬件接收的报文,以该报文的五元组匹配硬件搜索引擎中的查找规则。本实施例中,采用具可扩充性的内容可寻址存储器(Content Addressable Memory,简称“CAM”)进行查表操作。
接着进入步骤130,根据用户配置的规则判断是否需要做日志,如果是进入步骤140,否则进入步骤210。在实施例的具体实施中,根据查找引擎匹配到的结果判断是否需要做日志。
在步骤140中,提取该报文的信息作为索引查找日志信息表。提取该报文的何种信息取决于查找引擎匹配到的用户配置策略,例如,在本发明的一个实施例中,用户配置发往2.2.2.2这个IP地址的所有报文提取源IP地址和源端口号作为日志的记录,则该步骤提取目的IP地址、源IP地址和源端口号作为索引查找日志信息表。
接着进入步骤150,判断日志信息表中是否有匹配该报文的表项,如果有则进入步骤160,否则进入步骤170。该步骤即判断在日志信息表中是否已经有该报文表项的的记录,如果有就不用重复记录了。
在步骤160中,判断该报文对应的表项的老化系数是否已经达到最大阈值,如果是则进入步骤210,否则进入步骤180。该老化系数的最大阈值由人为设定,它用来表征该表项的最大存活时间,例如在本发明的一个实施例中,最大阈值可以设置为10,表示在没有后序相同报文的情况下,可以在日志信息表中驻留10次刷新的时间间隔。如果不设置老化系数的最大阈值,那么当一个时间段内某个表项相应的报文密集到达时,该表项的老化系数会达到一个非常大的值,以至于即使此后与该表项相对应的报文一个也没有,该表项也会在日志信息表中保留相当长的一段时间,这并不是我们希望看到的。我们希望在日志信息表中只保留最近活跃的表项,因此需要设置老化系数的最大阈值。
在步骤170中,判断日志信息表是否已经存储满,如果是则进入步骤200,否则进入步骤190。该步骤即判断是否需要进行溢出处理,如果日志信息表满了就要进行溢出处理。溢出处理的方法有多种,在本发明的一个实施例中采用增加一个临时表即临时日志信息表来处理溢出的方法,该方法的具体步骤在下文有详细说明。除了这种方法以外,还可以采用以下方法:
可选方法一,上报给软件,硬件不做进一步的处理;
可选方法二,对这个包不做日志,直接由硬件转发。
在步骤180中,增加该报文对应的表项的老化系数。在本实施例中,该步骤将该报文对应的表项的老化系数增加1,以表示该报文对应的表项应该多保存一段时间,以避免该出现频率较高的需要做日志的报文重复写入擦除日志信息表,造成日志信息表的振荡。接着进入步骤210。
在步骤190中,在日志信息表中增加一条表项,并将该表项的老化系数设置为1。增加的表项对应于在日志信息表中没有匹配项的报文需要写入日志的数据,比如系统时间,源IP地址等信息。接着进入步骤210。
在步骤200中,使用临时表临时日志信息表保存新增加的一条表项。该步骤为溢出处理,在日志信息表已满需要进行溢出处理的时候执行。临时日志信息表的结构、存储组织、查找方法和刷新维护方式都与日志信息表一致,区别在于:在临时日志信息中,当表项溢出时,允许后来的记录覆盖原来的记录。即当需要新增加一条记录时,首先检查日志信息表,如果日志信息表满了,则检查临时日志信息表,如果临时日志信息表也满了,则用新记录覆盖临时日志信息表中的旧记录。接着进入步骤210。
在步骤210中,进行该报文的转发。
至此,一个报文的硬件处理流程完成。
在该实施例中,报文日志信息的硬件上报流程如下:当硬件根据用户配置的策略检测到某报文需要做安全日志后,例如有新的报文信息写入日志信息表或者临时日志信息表时需要保存用户上线时间等信息,有报文信息要从日志信息表或者临时日志信息表中删除时需要保存用户下线时间等信息,则要把该报文所对应的日志信息表或者临时日志信息表中的内容写入一个上报缓存中,该上报缓存采用先进先出的队列管理方式,称之为日志信息上报队列。上层软件则会从日志信息上报队列中读取上报的日志信息。
在该实施例中,上层软件的维护处理较少,概括起来主要包括下面几方面:
上层软件需要维护好硬件搜索引擎中的查找规则。关于硬件搜索引擎及其查找规则不属于本文描述内容,本文不多说明。
初始化时,上层软件将日志信息表和临时日志信息表的所有记录清除。
上层软件按照一定的机制,例如硬件上报中断、定时读取等规则,读取硬件的日志信息上报队列,并将其内容存储到其他介质,例如磁盘上,然后进行安全日志的其它一些后续处理。在本发明的一个较佳实施例中,软件使用硬件中断上报规则读取硬件的日志信息上报队列,并将读取的内容存储到磁盘上。
虽然通过参照本发明的某些优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
Claims (10)
1.一种安全日志的实现方法,其特征在于,包含以下步骤:
A 当接收到一个报文时,以所述报文的信息作为索引查找用户配置的规则缓存,并根据查找结果判断是否需要对所述报文做日志,如果是则进入步骤B,否则进入步骤C;
B 根据用户配置的策略提取所述报文的相关信息作为索引查找日志信息表,并判断所述日志信息表中是否有匹配所述相关信息的表项,如果没有则根据所述报文在所述日志信息表中新增一条表项;进入步骤C;
C 转发所述报文。
2.根据权利要求1所述的安全日志的实现方法,其特征在于,还包含以下步骤:
当在所述日志信息表中新增表项时将该表项的老化系数设置为预定的初始值;
定时刷新所述日志信息表,并判断所述日志信息表每一个表项的老化系数是否为0,如果是则删除该表项,否则将该表项的老化系数减1。
3.根据权利要求2所述的安全日志的实现方法,其特征在于,所述步骤B中还包含以下步骤:
当所述日志信息表中有匹配所述报文信息的表项时,判断该表项的老化系数是否达到最大阈值,如果否,则将该表项的老化系数加1。
4.根据权利要求1所述的安全日志的实现方法,其特征在于,所述步骤B还包含以下步骤:
在所述日志信息表中新增一条表项以前,判断所述日志信息表是否已满,如果是则在临时日志信息表中新增一条表项。
5.根据权利要求4所述的安全日志的实现方法,其特征在于,所述临时日志信息表的结构、存储组织、查找方法和维护方式都与日志信息表完全相同,并在系统初始化时由软件清除所有信息。
6.根据权利要求4所述的安全日志的实现方法,其特征在于,在临时日志信息表中新增一条表项的步骤包含以下子步骤:
判断所述临时日志信息表的存储空间是否已满,如果是则用新的表项覆盖所述临时日志信息表中的旧表项,否则在所述临时日志信息表中新增一条表项。
7.根据权利要求1所述的安全日志的实现方法,其特征在于,所述步骤B还包含以下步骤:
在所述日志信息表中新增一条表项以前,判断所述日志信息表是否已满,如果是则直接转发所述报文,不做日志。
8.根据权利要求1所述的安全日志的实现方法,其特征在于,所述步骤B还包含以下步骤:
在所述日志信息表中新增一条表项以前,判断所述日志信息表是否已满,如果是则将所述报文上报给上层软件处理。
9.根据权利要求1、4或5所述的安全日志的实现方法,其特征在于,还包含以下步骤:
当所述报文需要做安全日志时,把所述报文所对应的所述日志信息表或者临时日志信息表中的内容写入一个日志信息上报队列。
10.根据权利要求9所述的安全日志的实现方法,其特征在于,所述日志信息上报队列由硬件中断通知系统读取或者由系统定时读取。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031554741A CN100341285C (zh) | 2003-08-30 | 2003-08-30 | 安全日志的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB031554741A CN100341285C (zh) | 2003-08-30 | 2003-08-30 | 安全日志的实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1592233A true CN1592233A (zh) | 2005-03-09 |
CN100341285C CN100341285C (zh) | 2007-10-03 |
Family
ID=34598139
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB031554741A Expired - Fee Related CN100341285C (zh) | 2003-08-30 | 2003-08-30 | 安全日志的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100341285C (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100446508C (zh) * | 2005-12-30 | 2008-12-24 | 华为技术有限公司 | 一种实现报文转发的装置及方法 |
CN100449543C (zh) * | 2005-09-16 | 2009-01-07 | 腾讯科技(深圳)有限公司 | 一种日志保存方法及装置 |
CN101409732B (zh) * | 2008-11-19 | 2011-09-14 | 福建星网锐捷网络有限公司 | 一种网络地址转换信息管理系统及方法 |
CN101729295B (zh) * | 2009-12-02 | 2012-01-11 | 北京东土科技股份有限公司 | 一种日志功能的实现方法 |
CN102780641A (zh) * | 2012-08-17 | 2012-11-14 | 北京傲天动联技术有限公司 | 快速转发引擎的流表老化方法、装置以及交换机 |
CN105302703A (zh) * | 2015-09-21 | 2016-02-03 | 上海斐讯数据通信技术有限公司 | 一种olt设备的告警数据管理的方法 |
CN108243107A (zh) * | 2018-01-30 | 2018-07-03 | 盛科网络(苏州)有限公司 | 一种动态调整硬件表项老化周期的方法及装置 |
CN111614622A (zh) * | 2020-04-20 | 2020-09-01 | 武汉思普崚技术有限公司 | 上网行为管理产品审计日志发送方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6408371B1 (en) * | 1999-01-29 | 2002-06-18 | Micron Technology, Inc. | Device to access memory based on a programmable page limit |
ATE326801T1 (de) * | 1999-06-10 | 2006-06-15 | Alcatel Internetworking Inc | Virtuelles privates netzwerk mit automatischer aktualisierung von benutzererreichbarkeitsinformation |
US7120156B2 (en) * | 2001-07-16 | 2006-10-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Policy information transfer in 3GPP networks |
-
2003
- 2003-08-30 CN CNB031554741A patent/CN100341285C/zh not_active Expired - Fee Related
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100449543C (zh) * | 2005-09-16 | 2009-01-07 | 腾讯科技(深圳)有限公司 | 一种日志保存方法及装置 |
CN100446508C (zh) * | 2005-12-30 | 2008-12-24 | 华为技术有限公司 | 一种实现报文转发的装置及方法 |
CN101409732B (zh) * | 2008-11-19 | 2011-09-14 | 福建星网锐捷网络有限公司 | 一种网络地址转换信息管理系统及方法 |
CN101729295B (zh) * | 2009-12-02 | 2012-01-11 | 北京东土科技股份有限公司 | 一种日志功能的实现方法 |
CN102780641A (zh) * | 2012-08-17 | 2012-11-14 | 北京傲天动联技术有限公司 | 快速转发引擎的流表老化方法、装置以及交换机 |
CN102780641B (zh) * | 2012-08-17 | 2015-07-08 | 北京傲天动联技术股份有限公司 | 快速转发引擎的流表老化方法、装置以及交换机 |
CN105302703A (zh) * | 2015-09-21 | 2016-02-03 | 上海斐讯数据通信技术有限公司 | 一种olt设备的告警数据管理的方法 |
CN105302703B (zh) * | 2015-09-21 | 2018-01-30 | 上海斐讯数据通信技术有限公司 | 一种olt设备的告警数据管理的方法 |
CN108243107A (zh) * | 2018-01-30 | 2018-07-03 | 盛科网络(苏州)有限公司 | 一种动态调整硬件表项老化周期的方法及装置 |
CN108243107B (zh) * | 2018-01-30 | 2020-11-20 | 盛科网络(苏州)有限公司 | 一种动态调整硬件表项老化周期的方法及装置 |
CN111614622A (zh) * | 2020-04-20 | 2020-09-01 | 武汉思普崚技术有限公司 | 上网行为管理产品审计日志发送方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN100341285C (zh) | 2007-10-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757740B2 (en) | Aggregation of select network traffic statistics | |
US7353266B2 (en) | System and method for managing states and user context over stateless protocols | |
CN106815112B (zh) | 一种基于深度包检测的海量数据监控系统及方法 | |
US11522829B2 (en) | Determining traceability of network traffic over a communications network | |
EP3113460B1 (en) | Enhanced inter-network monitoring and adaptive management of dns traffic | |
CN103152352A (zh) | 一种基于云计算环境的全信息安全取证监听方法和系统 | |
EP2308216A2 (en) | Method and system of using a local hosted cache and cryptographic hash functions to reduce network traffic | |
CN109379390B (zh) | 一种基于全流量的网络安全基线生成方法 | |
EP3633948B1 (en) | Anti-attack method and device for server | |
CN1592203A (zh) | 使用通知联结来管理高速缓存对象的系统和方法 | |
US20190280948A1 (en) | Determining traceability of network traffic over a communications network | |
CN1263256C (zh) | 内容传送网络中内容刷新的方法 | |
CN1804831A (zh) | 网络缓存管理的系统和方法 | |
CN100341285C (zh) | 安全日志的实现方法 | |
Giura et al. | Netstore: An efficient storage infrastructure for network forensics and monitoring | |
CN111314301A (zh) | 一种基于dns解析的网站访问控制方法及装置 | |
US11792157B1 (en) | Detection of DNS beaconing through time-to-live and transmission analyses | |
Nickless et al. | Combining Cisco {NetFlow} Exports with Relational Database Technology for Usage Statistics, Intrusion Detection, and Network Forensics | |
CN118041660A (zh) | 一种高速大规模并发全量网络流量入侵检测方法及系统 | |
CN111224891B (zh) | 一种基于动态学习三元组的流量应用识别系统及方法 | |
CN1842011A (zh) | 一种基于流量进行计费的改进方法和系统 | |
Shomura et al. | Analyzing the number of varieties in frequently found flows | |
Xiao et al. | Building a large and efficient hybrid peer-to-peer Internet caching system | |
US9609079B1 (en) | Methods for improved cache maintenance and devices thereof | |
CN112015707A (zh) | 一种日志数据收集方法及日志数据收集系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071003 Termination date: 20150830 |
|
EXPY | Termination of patent right or utility model |