一种系统日志安全检测方法及装置、电子设备及存储介质制造方法及图纸

本发明专利技术提供了一种系统日志安全检测方法及装置、电子设备及存储介质，该方法包括：响应于目标日志文件的文件头信息内的文件校验和发生改变，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块；获取目标事件记录信息的当前摘要信息以及历史摘要信息；目标事件记录信息为目标数据块中包含的事件记录信息；若任意目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示。本发明专利技术在系统日志内容校验算法的基础上，通过记录校验和以及目标日志文件的摘要信息的对比，来检测目标日志文件是否存在被篡改的情况，与现有的日志防篡改技术相比，可以在保护日志的完整性的同时，对目标日志文件进行安全检测。全检测。全检测。

【技术实现步骤摘要】
一种系统日志安全检测方法及装置、电子设备及存储介质


[0001]本专利技术涉及安全检测领域，特别是涉及一种系统日志安全检测方法及装置、电子设备及存储介质。

技术介绍

[0002]系统日志通常存储在系统未经严格保护的目录中，并以文本作为载体，采用明文方式存储，由于未经加密和校验处理，且缺乏有效的日志安全保护机制，因此，日志文件并不一定是安全可靠的，攻击者可能会通过篡改日志文件，从而使系统日志不能被视为有效的电子证据。
[0003]现有的日志防篡改技术主要是从文件系统驱动层面针对系统安全日志服务进行实时监测，并对监测到的系统安全日志的修改行为进行拦截。但在高级威胁活动中，可利用技术手段中断事件日志服务，基于Windows日志的文件结构和日志内容校验算法，随后针对事件日志进行修改，所以，目前的日志防篡改技术会破坏系统日志的完整性。

技术实现思路

[0004]有鉴于此，本专利技术提供一种系统日志安全检测方法及装置、电子设备及存储介质，至少部分解决现有技术中存在的技术问题，本专利技术采用的技术方案为：根据本申请的一个方面，提供一种系统日志安全检测方法，包括：响应于目标日志文件的文件头信息内的文件校验和发生改变，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块；获取目标事件记录信息的当前摘要信息以及历史摘要信息；目标事件记录信息为目标数据块中包含的事件记录信息；若任意目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示。
[0005]在本申请的一种示例性实施例中，目标日志文件的文件头信息内的文件校验和发生改变，包括：每隔预设获取时间，获取目标日志文件的文件头信息的历史文件校验和以及当前文件校验和；若文件头信息的历史文件校验和与当前文件校验和存在差异，则判定目标日志文件的文件头信息内的文件校验和发生改变。
[0006]在本申请的一种示例性实施例中，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块，包括：获取目标日志文件包含的每一原始数据块的历史数据块校验和与对应的当前数据块校验和；若原始数据块的历史数据块校验和与对应的当前数据块校验和存在差异，则将该原始数据块确定为目标数据块。
[0007]在本申请的一种示例性实施例中，在响应于目标日志文件的文件头信息内的文件校验和发生改变，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块之前，所述系统日志安全检测方法，还包括：依次获取目标日志文件中包含的每一原始数据块的大小，若依次连续的至少部分原始数据块的大小之和小于等于预设容量阈值，则将此部分原始数据块合并为日志子文件；日志子文件中包含对应的每一原始数据块的起始记录生成时间和截止记录生成时间，起始记录生成时间为对应的原始数据块包含的首个原始事件记录信息的生成时间，截止记录生成时间为对应的原始数据块包含的最后一个原始事件记录信息的生成时间，原始事件记录信息为对应的原始数据块中包含的事件记录信息；将目标日志文件中包含的若干日志子文件复制到预设存储空间中；若目标日志文件存在新增数据块，则获取新增数据块的大小与预设存储空间中的最后一个日志子文件的大小之和，若其小于等于预设容量阈值，则将新增数据块复制到预设存储空间中的最后一个日志子文件中；若其大于预设容量阈值，则在预设存储空间中新建一个空白日志子文件，并将新增数据块复制到空白日志子文件中。
[0008]在本申请的一种示例性实施例中，在若任意目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示之后，所述系统日志安全检测方法，还包括：将当前摘要信息和历史摘要信息存在差异的目标事件记录信息确定为变更事件记录信息；根据变更事件记录信息，对预设存储空间中的变更事件记录信息所在的日志子文件进行更新。
[0009]在本申请的一种示例性实施例中，获取目标事件记录信息的当前摘要信息以及历史摘要信息，包括：若原始数据块的起始记录生成时间与目标数据块的截止记录生成时间处于预设间隔时段内，则将此原始数据块确定为第一数据块；对第一事件记录信息进行加密处理，得到对应的当前第一事件摘要信息；第一事件记录信息为第一数据块中包含的事件记录信息；获取第一事件记录信息的历史第一事件摘要信息；若任意目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示，包括：若任意第一事件记录信息的当前第一事件摘要信息和历史第一事件摘要信息存在差异，则输出报警提示；否则，将目标日志文件中不属于第一数据块的原始数据块确定为第二数据块；对第二数据块进行加密处理，得到对应的当前第二数据块摘要信息；获取第二数据块的历史第二数据块摘要信息；若任意第二数据块的当前第二数据块摘要信息和历史第二数据块摘要信息存在差异，则对其包含的若干第二事件记录信息进行加密处理，得到对应的当前第二事件摘要信息；获取当前第二数据块摘要信息和历史第二数据块摘要信息存在差异的第二数据块包含的若干第二事件记录信息的历史第二事件摘要信息；
若任意第二事件记录信息的当前第二事件摘要信息和历史第二事件摘要信息存在差异，则输出报警提示。
[0010]在本申请的一种示例性实施例中，预设间隔时段，通过以下方式确定：若目标数据块的截止记录生成时间属于预设第一时段，则将目标数据块的截止记录生成时间之前的第一预设时长与预设时差之和确定为预设间隔时段；若目标数据块的截止记录生成时间属于预设第二时段，则将目标数据块的截止记录生成时间之前的第二预设时长与预设时差之和确定为预设间隔时段。
[0011]根据本申请的一个方面，提供一种系统日志安全检测装置，包括：响应模块，用于响应于目标日志文件的文件头信息内的文件校验和发生改变，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块；获取模块，用于获取目标事件记录信息的当前摘要信息以及历史摘要信息；目标事件记录信息为目标数据块中包含的事件记录信息；比较模块，用于当任意目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异时，输出报警提示。
[0012]根据本申请的一个方面，提供一种非瞬时性计算机可读存储介质，所述存储介质中存储有至少一条指令或至少一段程序，所述至少一条指令或所述至少一段程序由处理器加载并执行以实现前述的系统日志安全检测方法。
[0013]根据本申请的一个方面，提供一种电子设备，包括处理器和前述的非瞬时性计算机可读存储介质。
[0014]本专利技术至少具有以下有益效果：本专利技术通过检测目标日志文件的文件头信息的文件校验和是否发生改变，确定目标日志文件是否被修改，再通过比较目标事件记录信息的当前摘要信息与历史摘要信息是否存在差异，来确定目标日志文件中被修改的目标事件记录信息，在系统日志内容校验算法的基础上，通过记录校验和以及目标日志文件的摘要信息的对比，来检测目标日志文件是否存在被篡改的情况，与现有的日志防篡改技术相比，可以在保护日志的完整性的同时，对目标日志文件进行安全检测。
附图说明
[0015]为了更清楚地说明本专利技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种系统日志安全检测方法，其特征在于，包括：响应于目标日志文件的文件头信息内的文件校验和发生改变，从所述目标日志文件包含的若干原始数据块中确定出至少一个目标数据块；获取目标事件记录信息的当前摘要信息以及历史摘要信息；所述目标事件记录信息为所述目标数据块中包含的事件记录信息；若任意所述目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示。2.根据权利要求1所述的方法，其特征在于，目标日志文件的文件头信息内的文件校验和发生改变，包括：每隔预设获取时间，获取目标日志文件的文件头信息的历史文件校验和以及当前文件校验和；若所述文件头信息的历史文件校验和与当前文件校验和存在差异，则判定目标日志文件的文件头信息内的文件校验和发生改变。3.根据权利要求2所述的方法，其特征在于，所述从所述目标日志文件包含的若干原始数据块中确定出至少一个目标数据块，包括：获取所述目标日志文件包含的每一原始数据块的历史数据块校验和与对应的当前数据块校验和；若所述原始数据块的历史数据块校验和与对应的当前数据块校验和存在差异，则将该原始数据块确定为目标数据块。4.根据权利要求1所述的方法，其特征在于，在响应于目标日志文件的文件头信息内的文件校验和发生改变，从所述目标日志文件包含的若干原始数据块中确定出至少一个目标数据块之前，所述方法还包括：依次获取目标日志文件中包含的每一原始数据块的大小，若依次连续的至少部分原始数据块的大小之和小于等于预设容量阈值，则将此部分原始数据块合并为日志子文件；所述日志子文件中包含对应的每一所述原始数据块的起始记录生成时间和截止记录生成时间，所述起始记录生成时间为对应的所述原始数据块包含的首个原始事件记录信息的生成时间，所述截止记录生成时间为对应的所述原始数据块包含的最后一个原始事件记录信息的生成时间，所述原始事件记录信息为对应的所述原始数据块中包含的事件记录信息；将所述目标日志文件中包含的若干所述日志子文件复制到预设存储空间中；若所述目标日志文件存在新增数据块，则获取所述新增数据块的大小与预设存储空间中的最后一个所述日志子文件的大小之和，若其小于等于预设容量阈值，则将所述新增数据块复制到预设存储空间中的最后一个所述日志子文件中；若其大于预设容量阈值，则在预设存储空间中新建一个空白日志子文件，并将所述新增数据块复制到所述空白日志子文件中。5.根据权利要求4所述的方法，其特征在于，在若任意所述目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示之后，所述方法还包括：将当前摘要信息和历史摘要信息存在差异的所述目标事件记录信息确定为变更事件记录信息；根据所述变更事件记录信息，对所述预设存储空间中的变更事件...

【专利技术属性】
技术研发人员：邢宝玉，白淳升，肖新光，
申请(专利权)人：北京安天网络安全技术有限公司，
类型：发明
国别省市：