本发明专利技术公开了一种基于状态日志的服务系统运行异常识别系统及识别方法,包括状态日志数据库、状态检测系统、异常状态上报消息数据库、状态上报设备、以及位于远端系统状态管理中心;所述状态检测系统定时扫描系统状态,并生成一个状态日志暂存在所述状态日志数据库,与默认的系统状态日志进行比对,然后基于状态上报消息数据库要求的消息格式提交到所述状态上报设备,由所述状态上报设备加密后,发送到解码器,所述解码器接收到之后解密并转发到所述数据服务器。本发明专利技术的系统通过对系统运行的状态进行扫描,并于缺省值对比,及时发现各种异常,及时时采取措施进行阻断,有效的提升系统运行的安全性,防范于未然。防范于未然。防范于未然。
【技术实现步骤摘要】
基于状态日志的服务系统运行异常识别系统及识别方法
[0001]本专利技术涉及服务系统的安全
,具体为一种基于状态日志的服务系统运行异常识别系统及识别方法。
技术介绍
[0002]系统的安全风险通常来自软件主要有这几种,第一,恶意软件,会定时(或通过触发)去启动(也可能驻留内存一直运行),进行信息收集和处理;第二,恶意软件,会打开一个端口,去收发消息;第三,恶意访问者,可能会登录shell(WEB界面或者窗口界面);第四,恶意软件会修改系统中的文件内容(程序文件或数据文件);如果系统的安全防护一旦被攻破,则会给操作系统带来不可预估的灾难,因而需要对系统运行过程实对风险因子进行实时识别,以有效防护低于外来侵害。但是现有技术中对恶意软件等进行防御识别系统硬件设施投资大,发现问题时,成本高。
技术实现思路
[0003]本专利技术的目的在于提供一种基于状态日志的服务系统运行异常识别系统及识别方法,通过对系统运行的状态进行扫描,并于缺省值对比,及时发现各种异常,及时时采取措施进行阻断,有效的提升系统运行的安全性,防范于未然。
[0004]为实现上述目的,本专利技术采用的技术方案是:提供一种基于状态日志的服务系统运行异常的识别系统,包括状态日志数据库、状态检测系统、异常状态上报消息数据库、状态上报设备、以及位于远端系统状态管理中心;所述状态检测系统定时扫描系统状态,并生成一个状态日志暂存在所述状态日志数据库,所述状态检测系统基于分析所述状态日志数据库中新的系统状态日志,并与默认的系统状态日志进行比对,然后基于状态上报消息数据库要求的消息格式提交到所述状态上报设备,并由所述状态上报设备加密后,发送到所述远端系统状态管理中心所属的解码器,所述解码器接收到之后解密并转发到所述数据服务器,供状态管理员在界面上及时发现出现了异常的系统设备。
[0005]优选的,在本技术方案中,所述状态检测系统将更新的状态日志与所述状态日志数据库中默认的状态日志做对比,如果两者内容不同,则判断为异常,并向系统输出状态异常消息,发送至所述状态上报消息数据库存储;检测状态日志对比判断无异常,发送至所述状态上报消息数据库后,状态上报消息数据库就将内容设置为空,不再传递或上报。
[0006]优选的,在本技术方案中,所述异常状态上报消息数据库,异常状态上报消息数据库对单条异常状态上报消息或多条消息群组进行设置使其按约定格式发送。
[0007]优选的,在本技术方案中,所述状态上报设备为单片机,在系统中分配由自己的ID和密钥。
[0008]优选的,在本技术方案中,所述远端系统状态管理中心至少包括解码器、数据服务
器及界面三个组成部分;其中,所述数据服务器和所述界面总是完全位于安全内网的,只允许解码器访问。
[0009]本专利技术的另一个目的在于提供一种基于状态日志的服务系统运行异常的识别系统的识别方法,包括如下步骤:S001, 在安全环境中,系统对状态上报设备放号,并将ID和密钥分别登记于系统状态上报设备和远端系统状态管理中心中;S002,状态上报设备与远端系统状态管理中心的解码器进行包括了ID和基于ID的密钥进行的加密以及预定义参数的互认协议;S003,状态上报设备收到状态检测系统提交的状态数据后,将其上报给远端系统状态管理中心所属的解码器,解码器对数据解密并发给数据服务器保存;S004,远端系统状态管理中心处理上报消息,并生成记录日志;S041,上报数据出现异常时,按照系统状态上报设备设备丢失,系统状态上报设备访问出错等,通知管理员做出处理;S005,系统状态管理员基于界面,访问位于安全内网的数据服务器,从而了解当前处于异常状态的系统,并通知现场人员采取措施处置;S006,配置系统状态上报设备的参数,使其与系统的配置参数保持相关性,方便后续查找设备。
[0010]与现有技术对比,本专利技术具备以下有益效果:1、本专利技术通过对系统运行的状态进行扫描,并于缺省值对比,从而,发现了各种异常,这些异常,通常意味着有安全性问题了,所以,在它们出现时采取措施进行阻断。可以有效的提升系统运行的安全性,防范于未然。
[0011]2、本专利技术的系统运行的安全性的提升,不依赖于硬件的设计,也不依赖于系统软件更新,只需增加状态检测系统(SSDP)基于简单的状态上报消息数据库(ASRM)提交到系统状态上报设备(SSRE),并发送到远端系统状态管理中心(RSSM),本专利技术的识别方法简单、有效。
附图说明
[0012]图1为本专利技术识别系统组网架构图;图2为本专利技术识别系统的架构图;图3为本专利技术SSRE和SYSTEM 的串口通信图;图4为本专利技术发现异常上报状态流程示意图;图5为本专利技术SSDP执行上报状态流程图;图6为本专利技术识别方法的流程图。
具体实施方式
[0013]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0014]请参阅图1-5,一种基于状态日志的服务系统运行异常的识别系统,包括状态日志数据库、状态检测系统、异常状态上报消息数据库、状态上报设备、以及位于远端系统状态管理中心。基于状态检测系统分析状态日志数据库中新的系统状态日志,并与缺省的系统状态日志进行比对,然后基于状态上报消息数据库要求的消息格式提交到状态上报设备,并由状态上报设备加密后,发送到远端系统状态管理中心所属的MAIN/解码器,MAIN/解码器接收到之后解密并转发到DATA/数据服务器,以便状态管理员在SHOW/界面上,及时发现出现了异常的系统设备,即刻通知到现场技术人员,采取维修和识别措施。
[0015]在本专利技术中,状态日志数据库(System Status Log File 简称SSLF)是系统单个或多个状态日志的集合,系统状态日志是操作系统约定的记录形式。例如,假定一个正常运行的操作系统,与它连接的服务程序、打开的端口(TCP/UDP)、Shell(web/桌面)的状态、文件内容(程序/数据)是预定的固定形式,但本申请包括但不限于列举的这)。因此,本专利技术的识别系统,状态检测系统通过不停的对系统扫描生成系统状态日志,并与缺省的系统状态日志对比,通过两者的区别,来发现运行的系统是否存在异常,若存在异常意味着系统被攻击,例如病毒传播、植入木马、恶意篡改、恶意访问等。
[0016]进一步的,系统状态日志的异常主要是由于非法运行的程序、非法传输的端口、非法登录的用户以及非法篡改的文件。更具体的是:非法运行的程序,通常来自于定时(或触发)启动的某个程序,也可能一直驻留内存运行,因此,状态检测系统(SSDP)基于内存运行的程序清单,可确认有无此类攻击。
[0017]非法传输的端口,通常打开特定端口(TCP/UDP)收发消息,因此,状态检测系统(SSDP)基于当前打开的端口(TCP/UDP)清单,可确认有无此类攻击。
...
【技术保护点】
【技术特征摘要】
1.一种基于状态日志的服务系统运行异常的识别系统,其特征在于,包括状态日志数据库、状态检测系统、异常状态上报消息数据库、状态上报设备、以及位于远端系统状态管理中心;所述状态检测系统定时扫描系统状态,并生成一个状态日志暂存在所述状态日志数据库,所述状态检测系统基于分析所述状态日志数据库中新的系统状态日志,并与默认的系统状态日志进行比对,然后基于状态上报消息数据库要求的消息格式提交到所述状态上报设备,并由所述状态上报设备加密后,发送到所述远端系统状态管理中心所属的解码器,所述解码器接收到之后解密并转发到所述数据服务器,供状态管理员在界面上及时发现出现了异常的系统设备。2.根据权利要求1所述的基于状态日志的服务系统运行异常的识别系统,其特征在于,所述状态检测系统将更新的状态日志与所述状态日志数据库中默认的状态日志做对比,如果两者内容不同,则判断为异常,并向系统输出状态异常消息,发送至所述状态上报消息数据库存储;检测状态日志对比判断无异常,发送至所述状态上报消息数据库后,状态上报消息数据库就将内容设置为空,不再传递或上报。3.根据权利要求1所述的基于状态日志的服务系统运行异常的识别系统,其特征在于,所述异常状态上报消息数据库,异常状态上报消息数据库对单条异常状态上报消息或多条消息群组进行设置使其按约定格式发送。4.根据权利要求1所述的基于状态日志的服务系统运行异常的识别...
【专利技术属性】
技术研发人员:王志东,王志晓,
申请(专利权)人:王志东,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。