校验日志信息真伪的方法、装置、设备和介质与流程

本发明涉及通信技术领域，尤其涉及一种校验日志信息真伪的方法、装置、设备和介质。

背景技术：

系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找系统受到攻击时攻击者留下的痕迹。

syslog协议是在一个互联网协议(internetprotocol，ip)中转发系统日志信息的标准，可用它记录设备的日志。syslog记录着系统中的任何事件，管理者可以通过查看系统记录随时掌握系统状况。系统日志通过syslog进程记录系统的有关事件，也可以记录应用程序运作事件。通过分析这些网络行为日志，可追踪和掌握与设备和网络有关的情况。

syslog协议就是简单地被设计用来传送事件信息，在发送服务器没有对syslog日志进行定义的情况下，日志服务器也可以接收syslog日志。并且，发送的syslog日志只要符合日志标准化定义，即使syslog日志的内容存在问题，也可以被正常解析。

因此，目前存在无法准确校验日志信息真伪的技术问题。

技术实现要素：

本发明实施例提供了一种校验日志信息真伪的方法、装置、设备和介质，能够准确校验日志信息的真伪。

本发明实施例的一方面，提供一种校验日志信息真伪的方法，该方法包括：

依据预设关键词，提取日志信息中的属性信息；

根据属性信息和规则库中的访问控制状态信息，得到合法访问行为信息或非法访问行为信息；

基于属性信息和规则库中的服务器信息，得到合法服务器基本信息或非法服务器基本信息；

将包括合法服务器基本信息的日志信息和/或包括合法访问行为信息的日志信息，作为合法日志信息；

将包括非法服务器基本信息的日志信息和/或包括非法访问行为信息的日志信息，作为非法日志信息。

本发明实施例的另一方面，提供一种校验日志信息真伪的装置，该装置包括：

信息采集模块，用于依据预设关键词，提取日志信息中的属性信息；

合规判断模块，用于根据属性信息和规则库中的访问控制状态信息，得到合法访问行为信息或非法访问行为信息，以及

基于属性信息和规则库中的服务器信息，得到合法服务器基本信息或非法服务器基本信息；

结果输出模块，用于将包括合法服务器基本信息的日志信息和/或包括合法访问行为信息的日志信息，作为合法日志信息，以及

将包括非法服务器基本信息的日志信息和/或包括非法访问行为信息的日志信息，作为非法日志信息。

根据本发明实施例的另一方面，提供一种校验日志信息真伪的设备，该设备包括：

处理器以及存储有计算机程序指令的存储器；

处理器执行计算机程序指令时实现如上述本发明实施例的任意一方面提供的校验日志信息真伪的方法。

根据本发明实施例的另一方面，提供一种计算机存储介质，计算机存储介质上存储有计算机程序指令，计算机程序指令被处理器执行时实现如上述本发明实施例的任意一方面提供的校验日志信息真伪的方法。

本发明实施例提供的校验日志信息真伪的方法、装置、设备和介质。通过判断日志信息中的访问行为信息和/或服务器基本信息，得到合法访问行为信息和/或合法服务器基本信息。将包括合法服务器基本信息的日志信息和/或包括合法访问行为信息的日志信息，作为合法日志信息，能够准确校验日志信息的真伪。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本发明一实施例的校验日志信息真伪的方法的示意图；

图2示出本发明一实施例的校验日志信息真伪的方法的流程图；

图3示出本发明另一实施例的校验日志信息真伪的方法的流程图；

图4示出本发明一实施例的校验日志信息真伪的装置的结构示意图；

图5示出了能够实现根据本发明实施例的校验日志信息真伪的方法和装置的计算设备的示例性硬件架构的结构图。

具体实施方式

下面将详细描述本发明的各个方面的特征和示例性实施例，为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细描述。应理解，此处所描述的具体实施例仅被配置为解释本发明，并不被配置为限定本发明。对于本领域技术人员来说，本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

下面结合附图，详细描述根据本发明实施例的校验日志信息真伪的方法、装置、设备和介质。应注意，这些实施例并不是用来限制本发明公开的范围。

下面通过图1至图3详细介绍根据本发明实施例的校验日志信息真伪的方法。

在本发明的一个实施例中，如图1所示，图1是示出本发明一实施例的校验日志信息真伪的方法的示意图。首先，由访问行为目的服务器发送syslog日志。其次，校验syslog日志信息的真伪。接下来，由syslog服务器接收校验结果为真的日志信息，并以此syslog服务器为基础进行审计，从而提高审计结果的准确性。

为了更好的理解本发明，下面结合图2对本发明一实施例的校验日志信息真伪的方法进行详细说明，图2是示出本发明一实施例的校验日志信息真伪的方法的流程图。

如图2所示，本发明实施例中的校验日志信息真伪的方法200包括以下步骤：

s210，依据预设关键词，提取日志信息中的属性信息。

在本发明一个实施例中，可以通过日志信息采集器，依据预设的关键词提取日志信息中的属性信息。属性信息可以是访问行为源地址logsrcip、访问行为目的地址logdstip、服务器操作系统版本信息logsbanner、访问行为目的服务器账号logaccount和实际ip地址ipreal。

s220，根据属性信息和规则库中的访问控制状态信息，得到合法访问行为信息或非法访问行为信息。

具体的，规则库中可以包括访问控制状态信息和服务器信息。其中，访问控制状态信息可以是源地址信息ipsource和目的地址信息ipdest。应当注意的是，ipsource和ipdest分别表示在当前网络环境下的访问控制设备上采集到的源地址信息和目的地址信息。

在本发明的一个实施例中，将属性信息中的logsrcip和属性信息中的logdstip组成一个2元组信息。将访问控制状态信息中的源地址信息ipsource和访问控制状态信息中的目的地址信息ipdest组成一个2元组信息。应当理解的是，元组是关系数据库中的基本概念，关系是一张表，表中的每行就是一个元组。

接下来，可以通过合规判断引擎判断logsrcip和logdstip组成的2元组信息是否属于ipsource和ipdest组成的2元组信息，即判断(logsrcip，logdstip)∈(ipsource，ipdest)是否为真。当判断结果为真时，得到合法访问行为信息，当判断结果为假时，得到非法访问行为信息，并将非法访问行为信息所对应的日志信息标记为“非法源地址日志伪造”。

应当理解的是，合规判断引擎是将日志信息采集器采集到的日志信息进行合规判断，通过与规则库中的信息进行交互，进行特定规则分析，从而判断日志信息是否为伪造的syslog日志，并将结果输出。

在本发明实施例中，通过判断访问行为信息是否合法，可以有效检验出日志信息中的访问行为信息为随意编造的情况，进而可以准确校验日志信息的真伪。

s230，基于属性信息和规则库中的服务器信息，得到合法服务器基本信息或非法服务器基本信息。

具体的，服务器信息可以是服务器版本信息和/或服务器账号信息sacc。其中，服务器版本信息可以是服务器操作系统版本信息sban和服务器ip地址信息sip。

在本发明的一个实施例中，当服务器信息包括服务器版本信息时，将logsbanner和logdstip组成一个2元组信息，将sban和sip组成一个2元组信息。

接下来，可以通过合规判断引擎判断logsbanner和logdstip组成的2元组信息是否属于sban和sip组成的2元组信息，即判断(logsbanner，logdstip)∈(sban，sip)是否为真。当判断结果为真时，得到合法服务器基本信息，当判断结果为假时，得到非法服务器基本信息，并将非法服务器基本信息所对应的日志信息标记为“服务器版本信息错误”。

在本发明的另一个实施例中，当服务器信息包括sacc时，将logdstip和logaccount组成一个2元组信息，将sip和sacc组成一个2元组信息。

接下来，可以通过合规判断引擎判断logdstip和logaccount组成的2元组信息是否属于sip和sacc组成的2元组信息，即判断(logdstip，logaccount)∈(sip，sacc)是否为真。当判断结果为真时，得到合法服务器基本信息，当判断结果为假时，得到非法服务器基本信息，并将非法服务器基本信息所对应的日志信息标记为“服务器账号信息错误”。

应当注意的是，当服务器信息同时包括服务器版本信息和sacc时，可以是当服务器版本信息和服务器账号信息的判断结果都为真时，得到合法服务器基本信息，否则，得到非法服务器基本信息。也可以是当服务器版本信息和服务器账号信息的判断结果至少一个为真时，得到合法服务器基本信息，否则，得到非法服务器基本信息。

在本发明实施例中，通过判断服务器基本信息是否合法，可以有效检验出日志信息中的服务器版本信息和/或服务器账号信息不合法的情况，进而可以准确校验日志信息的真伪。

s240，将包括合法服务器基本信息的日志信息和/或包括合法访问行为信息的日志信息，作为合法日志信息。

在本发明的一个实施例中，确认包括合法服务器基本信息的日志信息和/或包括合法访问行为信息的日志信息为合法日志信息，将合法日志信息标记为正常状态并写入数据库中。

s250，将包括非法服务器基本信息的日志信息和/或包括非法访问行为信息的日志信息，作为非法日志信息。

在本发明的一个实施例中，确认包括非法服务器基本信息的日志信息和/或包括非法访问行为信息的日志信息为非法日志信息，将非法日志信息标记为非法状态并写入数据库中。

通过上述实施例所述的校验日志信息真伪的方法，通过判断日志信息中的访问行为信息和/或服务器基本信息，得到合法访问行为信息和/或合法服务器基本信息。将包括合法服务器基本信息的日志信息和/或包括合法访问行为信息的日志信息，作为合法日志信息，能够准确校验日志信息的真伪。同时，还可以检验出日志信息中的访问行为信息为随意编造的情况以及检验出日志信息中的服务器版本信息和/或服务器账号信息不合法的情况。

在本发明的一个实施例中，还可以判断属性信息中的logdstip和ipreal是否一致。当判断结果为不一致时，将该属性信息所对应的日志信息标记为“非法服务器地址”。

接下来，将包括合法服务器基本信息、包括合法访问行为信息和包括合法服务器地址信息中至少一个的日志信息，作为合法日志信息，将合法日志信息标记为正常状态并写入数据库。将包括非法服务器基本信息、包括非法访问行为信息和包括非法服务器地址信息中至少一个的日志信息，作为非法日志信息，将非法日志信息标记为非法状态并写入数据库中。

在本发明的实施例中，通过判断服务器地址信息是否合法，可以有效检验出非法伪造日志信息中的服务器地址信息的情况，进而可以准确校验日志信息的真伪。

应当注意的是，本发明实施例中的校验日志信息真伪的方法200还包括：

s260，基于合法日志信息进行系统审计处理。

在本发明的一个实施例中，将合法日志信息发送至syslog日志接收服务器。从而以syslog日志接收服务器为基础进行审计时，可以提高审计结果的准确性。

图3示出了本发明另一实施例的校验日志信息真伪的方法的流程图。

如图3所示，本发明实施例中的校验日志信息真伪的方法300包括以下步骤：

s310，日志信息采集器采集日志服务器信息及日志包含内容信息。

s320，采集信息送入合规判断引擎。

s330，判断发送日志的服务器地址是否伪造。

s340，判断发送日志的服务器访问源地址是否伪造。

s350，判断发送日志服务器的操作系统版本及操作账号的真伪。

s360，日志真伪状态输出并入库。

在本发明的一个实施例中，首先，日志信息采集器采集由访问行为目的服务器发送的日志信息，提取出日志信息中的属性信息。属性信息可以是访问行为目的服务器的服务器信息以及日志中包含的内容信息。

接下来，合规判断引擎根据发送过来的属性信息判断访问行为目的服务器的服务器地址是否伪造。将判断结果为服务器地址伪造的日志信息标记为“非法服务器地址伪造”，对判断结果为服务器地址正确的日志信息不做任何标记。

其次，合规判断引擎根据发送过来的属性信息以及规则库中的访问控制状态信息，判断访问行为目的服务器的访问源地址是否伪造，将判断结果为访问源地址伪造的日志信息标记为“非法源地址日志伪造”，对判断结果为访问源地址正确的日志信息不做任何标记。

合规判断引擎还可以根据发送过来的属性信息以及规则库中的服务器信息，判断访问行为目的服务器的操作系统版本及操作账号的真伪。将判断结果为操作系统版本信息错误的日志信息标记为“服务器版本信息错误”，对判断结果为操作系统版本信息正确的日志信息不做任何标记。将判断结果为操作账号信息错误的日志信息标记为“服务器账号信息错误”，对判断结果为操作账号信息正确的日志信息不做任何标记。

最后，将日志信息真伪的校验结果写入数据库中。其中，将没有标记信息的日志信息标记为“正常状态”并写入数据库中，将具有标记信息的日志信息标记为“非法状态”并写入数据库中。将标记为“正常状态”的日志信息发送给syslog日志接收服务器，进而以该syslog日志接收服务器为基础进行审计，从而提高审计结果的准确性。

下面通过图4详细介绍根据本发明实施例的校验日志信息真伪的装置，校验日志信息真伪的装置与校验日志信息真伪的方法相对应。

图4示出了本发明一实施例的校验日志信息真伪的装置的结构示意图。

如图4所示，校验日志信息真伪的装置400包括：

信息采集模块410，用于依据预设关键词，提取日志信息中的属性信息。

合规判断模块420，用于根据属性信息和规则库中的访问控制状态信息，得到合法访问行为信息或非法访问行为信息，以及

基于属性信息和规则库中的服务器信息，得到合法服务器基本信息或非法服务器基本信息。

结果输出模块430，用于将包括合法服务器基本信息的日志信息和/或包括合法访问行为信息的日志信息，作为合法日志信息，以及

将包括非法服务器基本信息的日志信息和/或包括非法访问行为信息的日志信息，作为非法日志信息。

通过上述实施例所述的校验日志信息真伪的装置，通过信息采集模块410采集日志信息，基于合规判断模块420，判断访问行为信息是否合法以及判断服务器基本信息是否合法，可以有效校验出日志信息中的访问行为信息为随意编造的情况以及日志信息中的服务器版本信息和/或服务器账号信息不合法的情况。最终通过结果输出模块430将校验结果输出，进而可以准确校验日志信息的真伪。

在本发明的一个实施例中，合规判断模块420，具体用于基于属性信息中的访问行为源地址logsrcip和属性信息中的访问行为目的地址logdstip组成的2元组信息属于访问控制状态信息中的源地址ipsource和访问控制状态信息中的目的地址ipdest组成的2元组信息，得到合法访问行为信息。

依据logsrcip和logdstip组成的2元组信息不属于ipsource和ipdest组成的2元组信息，得到非法访问行为信息。

在本发明实施例中，通过合规判断模块420，判断访问行为信息是否合法，可以有效检验出日志信息中的访问行为信息为随意编造的情况，进而可以准确校验日志信息的真伪。

在本发明的一个实施例中，合规判断模块420，还用于服务器基本信息包括服务器版本信息时，根据属性信息中的服务器操作系统版本信息logsbanner和属性信息中的logdstip组成的2元组信息属于服务器信息中的服务器操作系统版本信息sban和服务器信息中的服务器ip地址信息sip组成的2元组信息，得到合法服务器基本信息。

服务器基本信息包括服务器版本信息时，依据logsbanner和logdstip组成的2元组信息不属于sban和sip组成的2元组信息，得到非法服务器基本信息。

在本发明实施例中，通过合规判断模块420，判断服务器基本信息是否合法，可以有效检验出日志信息中的服务器版本信息不合法的情况，进而可以准确校验日志信息的真伪。

在本发明的一个实施例中，合规判断模块420，还用于服务器基本信息包括服务器账号信息时，通过属性信息中的logdstip和属性信息中的访问行为目的服务器账号logaccount组成的2元组信息属于服务器信息中的sip和服务器信息中的服务器账号信息sacc组成的2元组信息，得到合法服务器基本信息。

服务器基本信息包括服务器账号信息时，根据logdstip和logaccount组成的2元组信息不属于sip和sacc组成的2元组信息，得到非法服务器基本信息。

在本发明实施例中，通过合规判断模块420，判断服务器基本信息是否合法，可以有效检验出日志信息中的服务器账号信息不合法的情况，进而可以准确校验日志信息的真伪。

在本发明的一个实施例中，合规判断模块420，还用于基于属性信息中的logdstip和属性信息中的访问行为的实际ip地址ipreal一致，得到合法服务器地址信息。

根据logdstip和ipreal不一致，得到非法服务器地址信息。

在本发明实施例中，通过合规判断模块420，判断服务器地址信息是否合法，可以有效检验出非法伪造日志信息中的服务器地址信息的情况，进而可以准确校验日志信息的真伪。

在本发明的一个实施例中，结果输出模块430，还用于将包括合法服务器基本信息、包括合法访问行为信息和包括合法服务器地址信息中至少一个的日志信息，作为合法日志信息。

将包括非法服务器基本信息、包括非法访问行为信息和包括非法服务器地址信息中至少一个的日志信息，作为非法日志信息。

应当注意的是，在本发明的一个实施例中，校验日志信息真伪的装置400还包括：

审计模块440，用于基于合法日志信息进行系统审计处理。

在本发明实施例中，通过审计模块440基于合法日志信息进行系统审计处理，可以提高审计结果的准确性，同时也提高了审计处理的效率。

图5示出了能够实现根据本发明实施例的校验日志信息真伪的方法和装置的计算设备的示例性硬件架构的结构图。

如图5所示，计算设备500包括输入设备501、输入接口502、中央处理器503、存储器504、输出接口505、以及输出设备506。其中，输入接口502、中央处理器503、存储器504、以及输出接口505通过总线510相互连接，输入设备501和输出设备506分别通过输入接口502和输出接口505与总线510连接，进而与计算设备500的其他组件连接。

具体地，输入设备501接收来自外部的输入信息，并通过输入接口502将输入信息传送到中央处理器503；中央处理器503基于存储器504中存储的计算机可执行指令对输入信息进行处理以生成输出信息，将输出信息临时或者永久地存储在存储器504中，然后通过输出接口505将输出信息传送到输出设备506；输出设备506将输出信息输出到计算设备500的外部供用户使用。

也就是说，图5所示的计算设备也可以被实现校验日志信息真伪的设备，该校验日志信息真伪的设备可以包括：存储有计算机可执行指令的存储器；以及处理器，该处理器在执行计算机可执行指令时可以实现结合图1至图4描述的校验日志信息真伪的方法和装置。

本发明实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现本发明实施例提供的校验日志信息真伪。

需要明确的是，本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见，这里省略了对已知方法的详细描述。在上述实施例中，描述和示出了若干具体的步骤作为示例。但是，本发明的方法过程并不限于所描述和示出的具体步骤，本领域的技术人员可以在领会本发明的精神后，作出各种改变、修改和添加，或者改变步骤之间的顺序。以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时，其可以例如是电子电路、专用集成电路(asic)、适当的固件、插件、功能卡等等。当以软件方式实现时，本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中，或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、rom、闪存、可擦除rom(erom)、软盘、cd-rom、光盘、硬盘、光纤介质、射频(rf)链路，等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。

本发明可以以其他的具体形式实现，而不脱离其精神和本质特征。例如，特定实施例中所描述的算法可以被修改，而设备体系结构并不脱离本发明的基本精神。因此，当前的实施例在所有方面都被看作是示例性的而非限定性的，本发明的范围由所附权利要求而非上述描述定义，并且，落入权利要求的含义和等同物的范围内的全部改变从而都被包括在本发明的范围之中。