一种面向云计算环境的安全日志生成方法
【技术领域】
[0001]本发明涉及信息安全技术领域,尤其涉及一种在云计算环境下生成可靠有效的安全审计日志的方法。
【背景技术】
[0002]云计算是一种根据使用计费的模型,它提供了一种已配置及可靠的共享资源池(包括网络资源、服务器、存储设备、应用程序以及服务等)的方便以及按需的网络访问,从而实现快速部署和资源回收等,同时并不需要用户以及服务提供商的过多参与。为了加强其使用的安全性,除了传统安全技术和入侵检测系统之外,常常使用日志安全审计的方法维护网络环境的安全。
[0003]在云计算环境中应用日志安全审计技术具有安全性、有效性的优点,但是由于云计算环境中资源的动态分配,资源拥有者不断变化,使得各个设备产生的安全审计日志出现不确定性。因此需要设计方法,能够根据用户身份产生相应的安全审计日志,以便为之后的日志分析处理带来依据和便利。
【发明内容】
[0004]本发明解决的技术问题在于提出一种面向云计算的日志生成方法,提高各设备生成日志的准确性和有效性。在云计算环境下,日志生成器根据资源状态表和设备的元日志记录生成可靠有效的安全审计日志,并发送给集中安全审计系统。
[0005]为了解决以上问题,一种面向云计算的安全审计日志生成方法,包括以下步骤: 云资源系统根据资源的实时分配情况建立并更新资源状态表;
各设备的安全审计模块生成元日志记录;
日志生成器根据资源状态表和元日志记录生成最终安全审计日志。
[0006]进一步,作为一种优选,所述云资源系统根据资源的实时分配情况建立并更新资源状态表步骤进一步包括:在建立和更新资源状态表时,表中的数据项应包括详细的用户拥有资源的信息,包括用户的唯一身份标识(ID/用户名/证书等)、所拥有资源的标识(资源类别/资源名/IP地址/MAC地址等);
进一步,作为一种优选,所述云资源系统根据资源的实时分配情况建立并更新资源状态表步骤进一步包括:对于资源状态表的创建更新来说,当资源分配发生变化时,实时创建或更新资源状态表;
进一步,作为一种优选,所述各设备的安全审计模块生成元日志记录步骤进一步包括:各设备的安全审计模块根据事件生成相应的元日志记录。其中,元日志记录是指安全审计模块生成的原始的安全审计记录,包含了设备的标识以及业务相关日志内容;
进一步,作为一种优选,所述各设备的安全审计模块生成元日志记录步骤进一步包括:各设备将日志通过传输协议(http/https,syslog,snmp,ftp/ftps,消息队列等)传到统一的存储(缓存或文件存储)当中,由日志生成器定时读取并处理; 进一步,作为一种优选,在元日志的写入和读取部分,利用分布式处理的方式,提高处理效率和横向扩展的能力,适应云计算资源无限扩展的特性;
进一步,作为一种优选,所述日志生成器根据资源状态表和元日志项生成最终安全审计日志步骤进一步包括:当读取并处理安全审计日志时,日志生成器根据资源的唯一标识查询资源状态表中相应资源拥有者的唯一身份标识,将该唯一标识与元日志进行合并,在不破坏元日志完整性的基础上产生最终安全审计日志;
进一步,作为一种优选,所述日志生成器根据资源状态表和元日志项生成最终安全审计日志步骤进一步包括:对于日志生成器来说,云资源系统生成的资源状态表和元日志记录中包含的所有信息均是可以被日志生成器解析得到的。
[0007]本发明的有益效果在于,第一,资源状态表由用户身份信息和用户当前拥有的资源信息共同组成,能够有效反应当前用户与资源的占有关系,增强了主客体资源表的有效性和实时性;第二,安全审计日志使用用户的唯一身份标识而不是动态变化的信息(例如,IP),确保日志的准确性和有效性;第三,增强日志信息的易读性,便于日志的处理和分析,综上,这种机制能够有效解决云计算环境中由于资源动态分配而造成的安全审计日志不准确的问题,提高安全审计日志的准确性和有效性。
【附图说明】
[0008]当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本发明的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中:
图1是本发明中云计算环境下各设备产生安全审计日志的工作示意;
图2是云计算环境下分布式日志生成器部署示意图;
图3是在云资源系统中资源状态表的生成示意图。
【具体实施方式】
[0009]以下参照图1、图2及图3对本发明的实施例进行说明。
[0010]为使上述目的、特征和优点能够更加明显易懂,下面结合附图和【具体实施方式】对本发明作进一步详细的说明。
[0011]—种面向云计算的安全日志生成方法,其特征在于,包括以下部分:资源状态表维护模块,根据云资源系统中资源的实时分配情况建立并更新资源状态表;各资源的安全审计模块生成元日志记录;日志生成器根据资源状态表和元日志记录生成最终安全审计日
V1、1、O
[0012]其中日志生成器根据资源状态表和元日志记录生成最终安全审计日志,步骤为:当产生安全审计日志时,日志生成器查询资源状态表中相应资源拥有者的用户唯一身份标识,利用这个身份标识代替元日志记录中不断变化的资源标识,产生最终安全审计日志。
[0013]其中资源状态表维护模块完成云资源系统中资源状态表的建立和更新维护过程,由于云计算环境下,资源的动态特性,资源状态表维护模块根据当前资源分配情况建立资源状态表,由于用户操作或资源动态分配导致资源分配情况发生变化时,及时更新资源状态表。资源状态表包含用户身份标识,资源标识,以及用户与资源的对应关系,如图3所示。
[0014]资源状态表作为日志生成器记录用户唯一标识与资源唯一标识关联关系的媒介,为了保证索引速度应该保存在内存当中,并定时做数据持久化以及冗余备份,在一份资源状态表读写出现问题时,能够实时切换至另外一张表,通过持久化数据恢复读写错误的资源状态表。
[0015]其中各资源的安全审计模块生成元日志记录,元日志记录包括各资源的资源标识如资源ID、资源名称及业务日志记录如事件时间、操作类型、访问结果等。进一步,支持各资源通过各种通信协议以消息或者文件的方式将元日志记录上传至内存或硬盘存储中,供日志生成器集中读取。
[0016]各资源的安全审计模块生成元日志记录,进一步包括:由于云资源系统中,资源可能是包含多个虚拟单元的资源池,因此,可以以传统安全设备类型,如防火墙、入侵检测系统等定义资源类型,元日志记录中包含当前资源的类型,对应不同类型的业务日志记录。
[0017]其中日志生成器生成最终安全审计日志的步骤,包括:日志生成器读取元日志记录,根据其中的资源标识查找资源状态表中用户身份与资源的对应关系,确认该资源所属的用户,取得该用户身份标识包括用户ID、用户名或证书等,将用户身份标识与元日志记录合并,重新进行生成安全审计日志。
[0018]为了应对云计算环境中产生的海量元日志,日志生成器应该部署在分布式系统上,如图2所示,通过分布式系统的横向扩展能力以及容错性,消除海量日志的处理瓶颈。
[0019]一种面向云计算的安全日志生成方法,适应于云资源系统中将动态资源分配给用户作为防火墙、入侵检测系统、VPN系统、加密设备等安全设备,生成安全审计日志的步骤和流程。
[0020]实施例一:
一种面向云计算的日志生成方法在防火墙设备中的应用如图1所示,包括以下步骤:
51、云资源系统创建或更新资源状态表;
52、动态资源作为防火墙设备,安全审计模块根据事件生成相应的元日志记录,包括资源标识、IP、MAC地址以及业务相关的网络访问的源IP、源端口、目的IP、目的端口、访问协议等;
53、日志生成器通过资源标识查询资源状态表,获得元日志记录中相应资源拥有者的唯一身份标识;
54、将S3查询到的用户身份唯一标识与元日志进行合并,生成最终安全审计日志;
55、通过日志采集传输协议(如syslog、snmp等)将日志生成器合并后的防火墙安全审计日志传输到集中安全审计系统,集中安全审计系统根据匹配发现设备或服务故障,报警响应;
在整个过程中,如果因用户操作而引起了资源分配的变化,则立刻创建或更新资源状态表。
[0021]实施例二:
一种面向云计算的日志生成方法在入侵检测系统中的应用如图1所示,包括以下步骤: 51、云资源系统创建或更新资源状态表;
52、动态资源作为入侵检测系统,安全审计模块根据事件