专利名称:一种基于访问控制的日志系统的制作方法
技术领域:
本发明涉及软件日志系统,尤其涉及一种基于访问控制的日志系统。
背景技术:
在软件系统中,往往需要通过生成日志来记录软件系统运行过程中所发生的事 件,日志可以写在本地,也可以通过网络发送到远程日志系统。目前一些通过网络
接收日志的日志系统有SyslogWatcher、 Kivi等,这些系统提供了统一的接口,通 过TCP端口 (默认端口号为1468)和UDP端口 (默认端口号为514)接收网络发 送来的日志,把接收到的日志写到本地文件。然而,这些系统在接收日志时并不考 虑日志的来源,而是接收所有的日志并进行处理。这样可能导致的问题有
(1) 若日志系统开放了TCP端口,恶意攻击者可以向日志系统发出成千上万 个连接请求。当TCP连接数目有限制时,在日志系统的TCP连接数目将达到上限 后,其他合法IP将无法连接日志系统,导致合法IP发送日志失败;若TCP连接 数目无限制,随着恶意连接数目的增加,日志系统需要维护大量的TCP连接,导 致日志系统性能下降,甚至不稳定或崩溃;
(2) 若日志系统开放了 UDP端口,恶意攻击者可以向日志系统发送大量垃圾 日志,以耗用日志系统的资源,导致日志系统效率下降,甚至不稳定或崩溃。
以上均为拒绝服务攻击,在这种情况下,为了解决上述问题,提出了一种基于 访问控制的日志系统体系结构。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷,提供一种开放性、可扩 展性的基于访问控制的日志系统。
本发明的目的可以通过以下技术方案来实现
一种基于访问控制的日志系统,其特征在于,该系统包括基本组件层、日志处理输出层、访问控制策略层、网络接口层,所述的基本组件层向上与日志处理输出 层连接,所述的日志处理输出层是日志输出管理器的集合,向上与访问控制策略层 连接,所述的访问控制策略层向上与网络接口层相连,所述的网络接口层通过访问 控制策略层提供的指令来判断是否接受网络发来的日志。
所述的基本组件层为系统的最底层,包括队列互斥锁组件、异常管理组件、线
程安全队列组件、线程组件、XML组件等功能组件,这些功能组件为以上三层功 能的实现提供功能服务。
所述的日志处理输出层中的每一个日志输出管理器均可接收日志消息,并将日 志消息以预设的格式输出到预设的输出目的地。
所述的网络接口层包括开放的TCP端口、 UDP端口,基于访问控制策略层所 提供的控制策略,对TCP端口接受哪些IP的连接、UDP端口接收哪些IP发送的 日志进行管理,有效地过滤非法IP。
所述的访问控制策略层包括允许策略模块和拒绝策略模块,允许策略模块和 拒绝策略模块分别定义了合法IP地址列表和非法IP地址列表,仅当IP地址位于 合法列表,且不在非法列表中时,认为是合法IP地址,TCP端口接受合法IP地址 的连接,UDP端口在接收到日志之后,对日志来源进行分析,丢弃非法IP地址发 送来的日志。
与现有技术相比,本发明具有以下优点
(1) 具有开放性结构;
(2) 扩展性好;
(3) 抵御拒绝服务攻击。
图1是本发明一种基于访问控制的日志系统的结构示意图。
具体实施例方式
以下结合具体实施例对本发明做进一步说明。 实施例
如图1所示,本体系结构由下至上共四层 1.基本组件层基本组件层为体系结构的最低一层,实现基本功能,这层向上与日志处理输 出层连接,为以上三层功能的实现提供功能服务组件,如图1所示,如队列互斥 锁组件、异常管理组件、线程安全队列组件、线程组件、XML组件等。以这种组 件的形式,用户在使用组件提供的服务时并不需要考虑服务的底层实现,可以方便 灵活地通过增减组件的数目来增减基本服务,达到了基本组件与上层体系结构的无 缝连接。
2. 日志处理输出层-
该层中每个符合体系结构标准的日志输出管理器均可以以插件或组件形式纳 入到体系结构中。每一个日志输出管理器可以接收日志并输出到相应的输出目的 地,其彼此之间是独立的。如图1所示,日志可以写本地文件、写数据库、写本地 系统事件等。
3. 访问控制策略层
访问控制策略层服务于上层的网络接口层,为上一层的网络接口层定制访问 控制策略,其具体策略包括允许策略模块和拒绝策略模块。允许策略模块和拒绝策 略模块分别定义了合法列表和非法列表。仅当IP位于合法列表,且不在非法列表
中时,认为是合法IP。日志系统的TCP端口只接收合法IP的连接,这样就可以防 止非法IP通过TCP向日志系统发送日志;日志系统的UDP端口在接收到日志之 后,对日志来源进行分析,丢弃非法IP发送来的日志。该策略用XML描述,其DTD 格式如下
< xml version-" 1.0" encoding="UTF-8" > <!ELEMENT ACCESSCONTROL(LEGAL+)> 〈!ELEMENT ACCESSCONTROL(ILLEGAL+)> <!ELEMENT LEGAL(IP+)> <!ELEMENT IIXEGAL(IP+)> 〈!ATTLIST IP from CDATA #REQUIRED> 〈!ATTLIST IP to CDATA #REQUIRED> 其中
ACCESSCONTROL为XML格式的访问控制策略的根节点; LEGAL为合法列表节点,其中含有一个或多个子节点IP; ILLEGAL为非法列表节点,其中含有一个或多个子节点IP;定义了一个IP范围。
例如,某访问控制策略如下
< xml version="1.0" encodiiig="GB2312" >
<ACCESSCONTROL>
<LEGAI>
<IP from="192.168.0.0" to="192.168.255.255"/> <IP from=" 192.100.0.0" to="192.100.255.2557> </LEGAI> < ILLEGAL>
<IP from=" 192.168.0.1" to=" 192.168.0.17〉 <IP from=" 192.100.0.1" to="192.100.0.17> </ ILLEGAL〉 </ACCESSCONTROL>
在该策略中,合法列表中定义了两个IP段192.168.0.0到192.168.255.255、 192.100.0.0到192.100.255.255,非法类表中定义了两个IP端IP192.168.0.1 、 192.100.0.1,因此实际合法IP段为192.168.0.0、 192.168.0.2到192.168.255.255、 192.100.0.0、 192.168.0.2至IJ 192.168.255.255。
4.网络接口层
在XML策略示例中,若192.168.0.0、 192.168.0.2至U 192.168.255.255 、 192.100.0.0、 192.168.0.2到192.168.255.255范围内的IP连接日志系统的TCP端口, 日志系统接受其连接,否则拒绝连接。如果日志系统通过UDP端口接收到日志, 若发送日志的IP在192.168.0.0、 192.168.0.2至lj 192.168.255.255、 192.100.0.0、 192.168.0.2至lj 192.168.255.255范围内,则处理日志,否则丢弃曰志。
权利要求
1.一种基于访问控制的日志系统,其特征在于,该系统包括基本组件层、日志处理输出层、访问控制策略层、网络接口层,所述的基本组件层向上与日志处理输出层连接,所述的日志处理输出层是日志输出管理器的集合,向上与访问控制策略层连接,所述的访问控制策略层向上与网络接口层相连,所述的网络接口层通过访问控制策略层提供的指令来判断是否接受网络发来的日志。
2. 根据权利要求l所述的基于访问控制的日志系统,其特征在于,所述的基 本组件层为系统的最底层,包括队列互斥锁组件、异常管理组件、线程安全队列组 件、线程组件、XML组件等功能组件,这些功能组件为以上三层功能的实现提供 功能服务。
3. 根据权利要求l所述的基于访问控制的日志系统,其特征在于,所述的日 志处理输出层中的每一个日志输出管理器均可接收日志消息,并将日志消息以预设 的格式输出到预设的输出目的地。
4. 根据权利要求l所述的基于访问控制的日志系统,其特征在于,所述的网 络接口层包括开放的TCP端口、 UDP端口,基于访问控制策略层所提供的控制策 略,对TCP端口接受哪些IP的连接、UDP端口接收哪些IP发送的日志进行管理, 有效地过滤非法IP。
5. 根据权利要求l所述的基于访问控制的日志系统,其特征在于,所述的访 问控制策略层包括允许策略模块和柜绝策略模块,允许策略模块和拒绝策略模块分 别定义了合法IP地址列表和非法IP地址列表,仅当IP地址位于合法列表,且不 在非法列表中时,认为是合法IP地址,TCP端口接受合法IP地址的连接,UDP 端口在接收到日志之后,对日志来源进行分析,丢弃非法IP地址发送来的日志。
全文摘要
本发明涉及一种基于访问控制的日志系统,该系统包括基本组件层、日志处理输出层、访问控制策略层、网络接口层,所述的基本组件层向上与日志处理输出层连接,所述的日志处理输出层是日志输出管理器的集合,向上与访问控制策略层连接,所述的访问控制策略层向上与网络接口层相连,所述的网络接口层通过访问控制策略层提供的指令来判断是否接受网络发来的日志。与现有技术相比,本发明具有开放性好、可扩展性、抵抗拒绝服务攻击等优点。
文档编号H04L29/06GK101662480SQ20091019496
公开日2010年3月3日 申请日期2009年9月1日 优先权日2009年9月1日
发明者郝黎明 申请人:卡斯柯信号有限公司