CN105812324B - Idc信息安全管理的方法、装置及*** - Google Patents
Idc信息安全管理的方法、装置及*** Download PDFInfo
- Publication number
- CN105812324B CN105812324B CN201410843504.XA CN201410843504A CN105812324B CN 105812324 B CN105812324 B CN 105812324B CN 201410843504 A CN201410843504 A CN 201410843504A CN 105812324 B CN105812324 B CN 105812324B
- Authority
- CN
- China
- Prior art keywords
- log
- url
- information security
- missing
- compensated
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种IDC信息安全管理的方法、装置及***,该方法,包括:日志合成服务器识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;所述日志合成服务器识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存;进一步地,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,从而实现了对同源同宿场景下缺失URL的信息安全日志进行了补偿。
Description
技术领域
本发明实施例涉及通信技术,尤其涉及一种IDC信息安全管理的方法、装置及***。
背景技术
同源同宿的网络拓扑一般比较复杂,如包含非对称路由设备且存在多台深度包检测(Deep Packet Inspection,简称DPI)设备,此时同一个互联网数据中心(Internet DataCenter,简称IDC)节点网络设备和同一个骨干网网络设备间有多条物理链路连接,并且所述链路的路由设备具有相同的优先级,两端的路由设备通常会在多条所述物理链路上采用负载分担的方式进行流量均衡处理,从而导致同一会话的上行流量和下行流量会经过不同物理链路达到对端路由设备,也即同一会话的上行流量和下行流量经过不同的信息安全检测设备,导致所述下行流量经过的信息安全检测设备上报的信息安全日志缺失资源定位符(Uniform Resource Locator,简称URL),而无法满足IDC信息安全管理相关规范中对信息安全日志的规定(即信息安全日志应包含URL)。
因此,针对同源同宿场景下如何对缺失URL的信息安全日志进行补偿以实现IDC信息安全管理是本发明所要解决的技术问题。
发明内容
本发明实施例提供一种IDC信息安全管理的方法、装置及***,实现了针对同源同宿场景下缺失URL的信息安全日志进行了补偿。
第一方面,本发明实施例提供一种互联网数据中心IDC信息安全管理的方法,包括:
日志合成服务器识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志为深度包检测DPI设备上报的访问日志,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;
所述日志合成服务器识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存,其中,所述缺失URL的信息安全日志为信息安全检测设备上报的信息安全日志;
所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
结合第一方面,在第一方面的第一种可能的实现方式中,所述日志合成服务器识别待补偿的访问日志,包括:
所述日志合成服务器根据所述待补偿的访问日志中的待补偿标识,识别所述待补偿的访问日志,其中,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿。
结合第一方面或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述日志合成服务器识别缺失URL的信息安全日志,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志中的异常标识,识别所述缺失URL的信息安全日志,其中,所述异常标识用于指示所述信息安全日志需要做URL补偿。
结合第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
结合第一方面、第一方面的第一种至第三种任一种可能的实现方式,在第一方面的第四种可能的实现方式中,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,包括:
所述日志合成服务器确定任一所述缺失URL的信息安全日志的关键标识字段;
所述日志合成服务器根据所述关键标识字段遍历查询缓存的所有所述待补偿的访问日志,直至确定与所述关键标识字段匹配的待补偿的访问日志;
所述日志合成服务器获取所述与所述关键标识字段匹配的待补偿的访问日志的URL,并将所述URL补偿给所述任一缺失URL的信息安全日志。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,所述关键标识字段包括:源网络之间互连的协议IP、目的IP、源端口、目的端口及设备事务标识ID。
结合第一方面的第三种至第五种任一种可能的实现方式,在第一方面的第六种可能的实现方式中,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿之后,还包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中;其中,所述缺失URL的信息安全日志对应的策略信息包括策略域名和/或策略URL,所述策略信息为信息安全检测设备增加到所述缺失URL的信息安全日志中的。
结合第一方面的第六种可能的实现方式,在第一方面的第七种可能的实现方式中,若所述策略信息包括策略域名,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
所述日志合成服务器将所述缺失URL的信息安全日志对应的域名,与所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
结合第一方面的第六种可能的实现方式,在第一方面的第八种可能的实现方式中,若所述策略信息包括策略URL,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器将所述缺失URL的信息安全日志对应的URL,与所述策略URL进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,则策略命中。
结合第一方面的第六种可能的实现方式,在第一方面的第九种可能的实现方式中,若所述策略信息包括策略域名和策略URL,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
所述日志合成服务器将所述缺失URL的信息安全日志对应的URL以及域名,分别与所述策略URL及所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,且所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
第二方面,本发明实施例提供一种互联网数据中心IDC信息安全管理的方法,包括:
信息安全检测设备对检测到缺失统一资源定位符URL的信息安全日志中增加异常标识,其中,包含所述异常标识的信息安全日志为缺失URL的信息安全日志,所述异常标识用于指示所述缺失URL的信息安全日志需要做URL补偿;
所述信息安全检测设备将所述缺失URL的信息安全日志上报给日志合成服务器,以使所述日志合成服务器根据由深度包检测DPI设备上报的待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
结合第二方面,在第二方面的第一种可能的实现方式中,所述方法,还包括:
所述信息安全检测设备通过哈希算法确保将相同用户访问的信息安全日志上报给同一日志合成服务器。
结合第二方面或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述信息安全检测设备将所述缺失URL的信息安全日志上报给日志合成服务器之后,还包括:
所述信息安全检测设备对所述缺失URL的信息安全日志进行关键字检测,并根据所述缺失URL的信息安全日志的关键字获知所述缺失URL的信息安全日志对应的策略信息,其中,所述策略信息包括策略域名和/或策略URL;
所述信息安全检测设备将所述策略信息增加到所述缺失URL的信息安全日志中,并将包含所述策略信息的缺失URL的信息安全日志上报给日志合成服务器。
第三方面,本发明实施例提供一种互联网数据中心IDC信息安全管理的方法,包括:
深度包检测DPI设备判断用户访问的上下行是否都经过所述DPI设备,若否,则将所述用户访问对应的访问日志中增加待补偿标识,其中,包含所述待补偿标识的访问日志为待补偿的日志,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;
所述DPI设备将所述待补偿的访问日志上报给日志合成服务器,以使所述日志合成服务器根据所述待补偿的访问日志对缺失URL的信息安全日志进行补偿。
结合第三方面,在第三方面的第一种可能的实现方式中,所述方法,还包括:
所述DPI设备通过哈希算法确保将相同用户访问的访问日志上报给同一日志合成服务器。
第四方面,本发明实施例提供一种日志合成服务器,包括:
第一识别模块,用于识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志为深度包检测DPI设备上报的访问日志,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;
第二识别模块,用于识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存,其中,所述缺失URL的信息安全日志为信息安全检测设备上报的信息安全日志;
补偿模块,用于根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
结合第四方面,在第四方面的第一种可能的实现方式中,所述第一识别模块具体用于:
根据所述待补偿的访问日志中的待补偿标识,识别所述待补偿的访问日志,其中,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿。
结合第四方面或第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中,所述第二识别模块具体用于:
根据所述缺失URL的信息安全日志中的异常标识,识别所述缺失URL的信息安全日志,其中,所述异常标识用于指示所述信息安全日志需要做URL补偿。
结合第四方面的第二种可能的实现方式,在第四方面的第三种可能的实现方式中,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
结合第四方面、第四方面的第一种至第三种任一种可能的实现方式,在第四方面的第四种可能的实现方式中,所述补偿模块,包括:
第一确定单元,用于确定任一所述缺失URL的信息安全日志的关键标识字段;
第二确定单元,用于根据所述关键标识字段遍历查询缓存的所有所述待补偿的访问日志,直至确定与所述关键标识字段匹配的待补偿的访问日志;
补偿单元,用于获取所述与所述关键标识字段匹配的待补偿的访问日志的URL,并将所述URL补偿给所述任一缺失URL的信息安全日志。
结合第四方面的第四种可能的实现方式,在第四方面的第五种可能的实现方式中,所述关键标识字段包括:源网络之间互连的协议IP、目的IP、源端口、目的端口及设备事务标识ID。
结合第四方面的第三种至第五种任一种可能的实现方式,在第四方面的第六种可能的实现方式中,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述日志合成服务器,还包括:
匹配模块,用于根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中;其中,所述缺失URL的信息安全日志对应的策略信息包括策略域名和/或策略URL,所述策略信息为信息安全检测设备增加到所述缺失URL的信息安全日志中的。
结合第四方面的第六种可能的实现方式,在第四方面的第七种可能的实现方式中,若所述策略信息包括策略域名,所述匹配模块具体用于:
根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
将所述缺失URL的信息安全日志对应的域名,与所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
结合第四方面的第六种可能的实现方式,在第四方面的第八种可能的实现方式中,若所述策略信息包括策略URL,所述匹配模块具体用于:
将所述缺失URL的信息安全日志对应的URL,与所述策略URL进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,则策略命中。
结合第四方面的第六种可能的实现方式,在第四方面的第九种可能的实现方式中,若所述策略信息包括策略域名和策略URL,所述匹配模块具体用于:
根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
将所述缺失URL的信息安全日志对应的URL以及域名,分别与所述策略URL及所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,且所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
第五方面,本发明实施例提供一种信息安全检测设备,包括:
标识模块,用于对检测到缺失统一资源定位符URL的信息安全日志中增加异常标识,其中,包含所述异常标识的信息安全日志为缺失URL的信息安全日志,所述异常标识用于指示所述缺失URL的信息安全日志需要做URL补偿;
第一上报模块,用于将所述缺失URL的信息安全日志上报给日志合成服务器,以使所述日志合成服务器根据由深度包检测DPI设备上报的待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
结合第五方面,在第五方面的第一种可能的实现方式中,所述第一上报模块还具体用于:通过哈希算法确保将相同用户访问的信息安全日志上报给同一日志合成服务器。
结合第五方面或第五方面的第一种可能的实现方式,在第五方面的第二种可能的实现方式中,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
结合第五方面的第二种可能的实现方式,在第五方面的第三种可能的实现方式中,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述信息安全检测设备还包括:
检测模块,用于对所述缺失URL的信息安全日志进行关键字检测,并根据所述缺失URL的信息安全日志的关键字获知所述缺失URL的信息安全日志对应的策略信息,其中,所述策略信息包括策略域名和/或策略URL;
第二上报模块,用于将所述策略信息增加到所述缺失URL的信息安全日志中,并将包含所述策略信息的缺失URL的信息安全日志上报给日志合成服务器。
第六方面,本发明实施例提供一种深度包检测DPI设备,包括:
判断模块,用于判断用户访问的上下行是否都经过所述DPI设备,若否,则将所述用户访问对应的访问日志中增加待补偿标识,其中,包含所述待补偿标识的访问日志为待补偿的日志,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;
上报模块,用于将所述待补偿的访问日志上报给日志合成服务器,以使所述日志合成服务器根据所述待补偿的访问日志对缺失URL的信息安全日志进行补偿。
结合第六方面,在第六方面的第一种可能的实现方式中,所述上报模块还具体用于:通过哈希算法确保将相同用户访问的访问日志上报给同一日志合成服务器。
第七方面,本发明实施例提供一种互联网数据中心IDC信息安全管理***,包括:
如上述第四方面中任一实现方式所述的日志合成服务器、如上述第五方面中任一实现方式所述的信息安全检测设备、如上述第六方面中任一实现方式所述的深度包检测DPI设备以及路由设备。
本发明中,日志合成服务器识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;进一步地,所述日志合成服务器识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存;进一步地,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,也即实现了对同源同宿场景下缺失URL的信息安全日志进行了补偿。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明IDC信息安全管理方法的应用场景示意图;
图2为本发明IDC信息安全管理的方法实施例一的流程示意图;
图3为本发明IDC信息安全管理的方法实施例二的流程示意图;
图4为本发明IDC信息安全管理的方法实施例三的流程示意图;
图5为本发明IDC信息安全管理的方法实施例四的流程示意图;
图6为本发明日志合成服务器实施例一的结构示意图;
图7为本发明日志合成服务器实施例二的结构示意图;
图8为本发明信息安全检测设备实施例一的结构示意图;
图9为本发明信息安全检测设备实施例二的结构示意图;
图10为本发明深度包检测DPI设备实施例一的结构示意图;
图11为本发明深度包检测DPI设备实施例二的结构示意图;
图12为本发明互联网数据中心IDC信息安全管理***实施例的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
2012年底中国工业和信息化部发布了2个有关IDC信息安全管理***的相关规范-《IDCISP信息安全管理***技术要求》以及《IDCISP信息安全管理***接口规范》,实现对IDC的信息监管。在上述规范中,明确要求:信息安全管理体系(Information SecurityManagement System,简称ISMS)应对IDC/互联网服务提供商(Internet ServiceProvider,简称ISP)的双向流量数据进行监测,对发现的违法信息进行记录及处置,以实现监测及过滤日志。根据规范,一个满足要求的***应该至少具备以下条件:1)、能够根据网络之间互连的协议(Internet Protocol,简称IP)、域名、URL以及关键字等组合条件,对会话进行检测或者过滤;2)、在命中策略时,能够在上报日志中包含源/目的IP,源/目的端口、违法信息、采集时间以及触发的指令标识,其中,对超文本传输协议(Hyper Text TransferProtocol,简称HTTP)还需要记录URL。
现有技术中,在网络拓扑比较简单时,同一会话的上下行流量都能够经过同一台DPI设备,因此,检测、生成及上报访问日志都可以满足上述两个要求。但对于网络结构比较复杂,如包含非对称路由设备且存在多台DPI设备时,同一会话的上下行流量会经过不同信息安全检测设备,导致下行流量经过的信息安全检测设备无法上报满足IDC信息安全管理相关规范的信息安全日志(如缺失URL),因此,针对同源同宿场景下如何对缺失URL的信息安全日志进行补偿以实现IDC信息安全管理是急需解决的技术问题。
现有技术中,虽然可以通过增加前置交换机/分流设备进行汇聚分流的方式,将同一用户访问的上下行流量都镜像到同一信息安全检测设备,以保证同一用户访问的上下行流量经过同一信息安全检测设备进行检测,但现有技术需配置额外的分流设备,提高用户成本,同时所述分流设备物理距离要求较高。因此,本发明实施例中提供了一种针对同源同宿场景下对缺失URL的信息安全日志进行补偿的技术方案。
图1为本发明IDC信息安全管理方法的应用场景示意图,如图1所示,本发明实施例中的网络结构包括:路由器1、路由器2、DPI设备1、DPI设备2、信息安全检测设备1、信息安全检测设备2、日志合成服务器1以及应用服务器。可选地,具体流程如下:(1)、用户访问的上行流量(即请求信息)通过路由器1分流到DPI设备1;(2)、所述DPI设备1针对业务链路上的公共信息数据进行全量检测,生成访问日志并将所述访问日志上报给所述日志合成服务器1;(3)、所述用户访问的下行流量(即响应消息)通过路由器2分流到DPI设备2;(4)、所述DPI设备2将所述下行流量镜像到信息安全检测设备2,其中,由于上行流量未经过所述DPI设备2,所述安全检测设备2获取不到所述用户访问的URL;(5)、所述信息安全检测设备2实现关键字检测,生成缺失URL的信息安全日志并将所述信息安全日志上报给日志合成服务器1;(6)、所述日志合成服务器1根据所述访问日志以及所述信息安全日志,合成完整的信息安全日志。
图2为本发明IDC信息安全管理的方法实施例一的流程示意图,如图2所示,本实施例的方法可以包括:
S201、日志合成服务器识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存。
本发明实施例中,日志合成服务器接收由DPI设备上报的所有访问日志,由于部分用户访问的上下行流量都通过同一DPI设备,因此,所述部分用户访问所产生的信息安全日志是完整的,而不需要做URL补偿。可选地,本发明实施例中,所述日志合成服务器识别所述所有访问日志中的待补偿的访问日志,并仅将所述待补偿的访问日志进行缓存,以便所述日志合成服务器根据缓存的所述待补偿的访问日志对缺失URL的信息安全日志进行补偿,从而减少了所述日志合成服务器缓存的访问日志量,提高匹配效率;其中,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿。
可选地,所述S201,包括:
所述日志合成服务器根据所述待补偿的访问日志中的待补偿标识,识别所述待补偿的访问日志,其中,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿。
本发明实施例中,所述日志合成服务器可以根据所述待补偿的访问日志中包含的用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿的待补偿标识,识别所述待补偿的访问日志。可选地,当所述日志合成服务器接收到一访问日志时,所述日志合成服务器可以先判断所述访问日志是否包含待补偿标识,若包含,则确定所述访问日志为待补偿的访问日志,进一步地,将所述待补偿的访问日志进行缓存;否则,则确定所述访问日志对应的用户访问所产生的信息安全日志为完整的日志,不需要进行URL补偿,进一步地,直接上报所述访问日志而不需要进行缓存。
S202、所述日志合成服务器识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存。
本发明实施例中,日志合成服务器接收由信息安全检测设备上报的所有信息安全日志,可选地,所述信息安全检测设备上报的信息安全日志包括两大部分,其中,第一部分确实为信息安全日志(该第一部分包括完整的信息安全日志,以及缺失URL的信息安全日志),第二部分为所述信息安全检测设备不确定该日志是否为信息安全日志(该第二部分为缺失URL且日志类型待定的日志,也即所述信息安全检测设备不确定该日志是信息安全日志还是其它合法日志)。其中,完整的信息安全日志对应的用户访问的上下行流量都通过同一DPI设备,因此,所述用户访问所产生的信息安全日志是完整的。可选地,本发明实施例中,所述日志合成服务器识别所述所有信息安全日志中的缺失URL的信息安全日志(包括所述信息安全检测设备可以确定的缺失URL的信息安全日志,以及所述信息安全检测设备不确定的缺失URL的信息安全日志),并仅将所述缺失URL的信息安全日志进行缓存,以便所述日志合成服务器根据缓存的所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,不仅减少了所述日志合成服务器缓存的日志量,同时减少了需要补偿的日志量,从而提高匹配效率。
可选地,所述S202,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志中的异常标识,识别所述缺失URL的信息安全日志,其中,所述异常标识用于指示所述信息安全日志需要做URL补偿。
本发明实施例中,所述日志合成服务器可以根据所述缺失URL的信息安全日志中包含的用于指示所述信息安全日志需要做URL补偿的异常标识,识别所述缺失URL的信息安全日志,可选地,所述异常标识包括:缺失URL日志标识以及结果待定日志标识,其中,异常标识为缺失URL日志标识的信息安全日志为所述信息安全检测设备可以确定该日志为信息安全日志的;异常标识为结果待定日志标识的信息安全日志不仅缺失URL,且日志类型待定,也即所述信息安全检测设备不确定该日志是信息安全日志还是其它合法日志,标识该日志为结果待定日志的目的是为了便于让所述日志合成服务器对该日志类型作进一步地判定,以确定该日志到底是信息安全日志还是其它合法日志。可选地,如异常标识为1表示该信息安全日志为缺失URL的信息安全日志,异常标识为2表示该信息安全日志为结果待定的信息安全日志。
也即所述缺失URL的信息安全日志包括异常标识为缺失URL日志标识对应的信息安全日志(所述信息安全检测设备可以确定该日志为信息安全日志),以及异常标识为结果待定日志标识对应的信息安全日志(所述信息安全检测设备不确定该日志是信息安全日志还是其它合法日志)。可选地,当所述日志合成服务器接收到一信息安全日志时,所述日志合成服务器可以先判断所述信息安全日志是否包含异常标识,若包含,则确定所述信息安全日志为缺失URL的信息安全日志,进一步地,将所述缺失URL的信息安全日志进行缓存;否则,则确定所述信息安全日志为完整的日志,不需要进行URL补偿。
S203、所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
本发明实施例中,DPI设备及信息安全检测设备通过哈希(Hash)算法保证将相同用户访问的对应日志发送到同一日志合成服务器,如:根据前述图1所述,所述DPI设备1将用户访问1的访问日志上报给所述日志合成服务器1,对应地,所述信息安全检测设备2将所述用户访问1对应的缺失URL的信息安全日志上报给所述日志合成服务器1。由于所述待补偿的访问日志中包含所述用户访问的URL,因此,可选地,所述日志合成服务器可以首先确定与某一缺失URL的信息安全日志对应的待补偿的访问日志,其次,获取与所述缺失URL的信息安全日志对应的待补偿的访问日志中包含的URL,最后,根据获取的所述URL对所述缺失URL的信息安全日志进行补偿。
可选地,所述S203,包括:
所述日志合成服务器确定任一所述缺失URL的信息安全日志的关键标识字段;
所述日志合成服务器根据所述关键标识字段遍历查询缓存的所有所述待补偿的访问日志,直至确定与所述关键标识字段匹配的待补偿的访问日志;
所述日志合成服务器获取所述与所述关键标识字段匹配的待补偿的访问日志的URL,并将所述URL补偿给所述任一缺失URL的信息安全日志。
本发明实施例中,所述日志合成服务器首先通过关键字检测方式,以确定任一所述缺失URL的信息安全日志的关键标识字段;进一步地,所述日志合成服务器根据所述关键标识字段,遍历查询缓存的所有所述待补偿的访问日志,直至确定与所述关键标识字段匹配的待补偿的访问日志,可选地,由于五个关键标识字段可以唯一确定任一访问,所述日志合成服务器通过五元组匹配方式确定与所述关键标识字段匹配的待补偿的访问日志,具体地,所述日志合成服务器根据五个关键标识字段,遍历查询缓存的所有所述待补偿的访问日志,直至确定与所述五个关键标识字段匹配的待补偿的访问日志,可选地,所述关键标识字段包括:源网络之间互连的协议IP、目的IP、源端口、目的端口及设备事务标识(Identity,简称ID);进一步地,所述日志合成服务器获取所述与所述关键标识字段匹配的待补偿的访问日志的URL,并将所述URL补偿给所述任一缺失URL的信息安全日志,从而得到完整的信息安全日志。
可选地,本发明实施例中,并不限定S201与S202的前后顺序,可选地,S201可以在S202之前、在S202之后、或者S201与S202同时执行。可选地,本发明实施例中,所述日志合成服务器还可采用其它保存方式对所述待补偿的访问日志和/或所述缺失URL的信息安全日志进行保存,本发明实施例中对此并不作限制。
本发明实施例中,日志合成服务器识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;进一步地,所述日志合成服务器识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存;进一步地,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,也即实现了对同源同宿场景下缺失URL的信息安全日志进行了补偿。
现有技术中同源同宿场景下,由于同一用户访问的上下行流量不经过同一信息安全检测设备,所述信息安全检测设备上报的信息安全日志为缺失URL的日志,导致所述日志合成服务器无法根据多种组合条件进行关联检测,也即未满足IDC信息安全管理相关规范。
进一步地,本发明实施例中,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,也即所述信息安全检测设备不确定该日志是信息安全日志还是其它合法日志,因此,需要所述日志合成服务器对该日志类型作进一步地判定,以确定该日志到底是信息安全日志还是其它合法日志。进一步地,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿之后,还包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中。
本发明实施例中,所述日志合成服务器若确定所述缺失URL的信息安全日志的异常标识为结果待定日志标识(该日志缺失URL,且日志类型待定),进一步地,所日志合成服务器将已获取到的所述缺失URL的信息安全日志对应的URL与所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则认为策略命中,即实现了组合条件的关联检测,从而确定该日志确实为信息安全日志;否则,确定该日志为合法日志,也即该日志对应的访问并未涉及到信息安全。其中,所述缺失URL的信息安全日志对应的策略信息包括策略域名和/或策略URL,所述策略信息为信息安全检测设备增加到所述缺失URL的信息安全日志中的。可选地,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配之前,还包括:所述日志合成服务器接收由所述信息安全检测设备上报的包含所述策略信息的所述缺失URL的信息安全日志。
可选地,若所述策略信息包括策略域名,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
所述日志合成服务器将所述缺失URL的信息安全日志对应的域名,与所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
本发明实施例中,若所述策略信息包括策略域名(或者,所述策略信息为策略域名+关键字),所述日志合成服务器首先根据所述缺失URL的信息安全日志对应的URL,获取所述缺失URL的信息安全日志对应的域名;其次,所述日志合成服务器将所述缺失URL的信息安全日志对应的域名,与所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的域名与所述策略域名相同,即匹配成功,则认为策略命中,即实现了域名及关键字的关联检测,从而确定所述缺失URL的信息安全日志确实为信息安全日志;否则,确定所述缺失URL的信息安全日志为合法日志。
可选地,若所述策略信息包括策略URL,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器将所述缺失URL的信息安全日志对应的URL,与所述策略URL进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,则策略命中。
本发明实施例中,若所述策略信息包括策略URL(或者,所述策略信息为策略URL+关键字),所述日志合成服务器将所述缺失URL的信息安全日志对应的URL,与所述策略URL进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,即匹配成功,则认为策略命中,即实现了URL及关键字的关联检测,从而确定所述缺失URL的信息安全日志确实为信息安全日志;否则,确定所述缺失URL的信息安全日志为合法日志。
可选地,若所述策略信息包括策略域名和策略URL,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
所述日志合成服务器将所述缺失URL的信息安全日志对应的URL以及域名,分别与所述策略URL及所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,且所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
本发明实施例中,若所述策略信息包括策略域名和策略URL(或者,所述策略信息为策略URL+策略域名+关键字),所述日志合成服务器首先根据所述缺失URL的信息安全日志对应的URL,获取所述缺失URL的信息安全日志对应的域名;其次,所述日志合成服务器将所述缺失URL的信息安全日志对应的URL以及所述域名,分别与所述策略URL及所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,且所述缺失URL的信息安全日志对应的域名与所述策略域名相同,即匹配成功,则认为策略命中,即实现了域名、URL及关键字的关联检测,从而确定所述缺失URL的信息安全日志确实为信息安全日志;否则,确定所述缺失URL的信息安全日志为合法日志。
可选地,所述所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配之前,还包括:所述日志合成服务器确定所述缺失URL的信息安全日志的异常标识为结果待定日志标识。
本发明实施例中,日志合成服务器识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;进一步地,所述日志合成服务器识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存;进一步地,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,也即实现了对同源同宿场景下缺失URL的信息安全日志进行了补偿;进一步地,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,实现了组合条件的关联检测,并确定异常标识为结果待定日志标识对应的信息安全日志确实为信息安全日志;否则,确定所述日志为合法日志。
图3为本发明IDC信息安全管理的方法实施例二的流程示意图,如图3所示,本实施例的方法可以包括:
S301、信息安全检测设备对检测到缺失统一资源定位符URL的信息安全日志中增加异常标识。
本发明实施例中,为了便于日志合成服务器能快速识别缺失URL的信息安全日志,可选地,所述信息安全检测设备对检测到缺失统一资源定位符URL的信息安全日志中增加异常标识,其中,包含所述异常标识的信息安全日志为缺失URL的信息安全日志(包括所述信息安全检测设备可以确定的缺失URL的信息安全日志,以及所述信息安全检测设备不确定的缺失URL的信息安全日志),所述异常标识用于指示所述缺失URL的信息安全日志需要做URL补偿,以便于当所述日志合成服务器在接收到某一信息安全日志时,可以通过判断所述信息安全日志中是否包含所述异常标识而快速确定所述信息安全日志是否为缺失URL的信息安全日志。可选地,所述异常标识包括:缺失URL日志标识(所述信息安全检测设备可以确定该日志为信息安全日志)以及结果待定日志标识(其中,结果待定日志标识表示该日志缺失URL,且日志类型待定,也即所述信息安全检测设备不确定该日志是信息安全日志还是其它合法日志)。也即,所述缺失URL的信息安全日志包括两大部分,其中,第一部分确实为信息安全日志(也即异常标识为缺失URL日志标识对应的信息安全日志),另一部分为所述信息安全检测设备不确定该日志是否为信息安全日志(也即异常标识为结果待定日志标识对应的信息安全日志);其中,标识该日志为结果待定日志的目的是为了便于让所述日志合成服务器对该日志类型作进一步地判定,以确定该日志到底是信息安全日志还是其它合法日志。可选地,如异常标识为1表示该信息安全日志为缺失URL的信息安全日志,异常标识为2表示该信息安全日志为结果待定的信息安全日志。
S302、所述信息安全检测设备将所述缺失URL的信息安全日志上报给日志合成服务器,以使所述日志合成服务器根据由深度包检测DPI设备上报的待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
本发明实施例中,所述信息安全监测设备将包含所述异常标识的缺失URL的信息安全日志上报给日志合成服务器,以使所述日志合成服务器根据由深度包检测DPI设备上报的待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。可选地,所述信息安全检测设备通过哈希(Hash)算法确保将相同用户访问的信息安全日志上报给同一日志合成服务器,以便于所述日志合成服务器实现URL补偿功能。
本发明实施例中,信息安全检测设备对检测到缺失统一资源定位符URL的信息安全日志中增加异常标识,其中,包含所述异常标识的信息安全日志为缺失URL的信息安全日志,所述异常标识用于指示所述缺失URL的信息安全日志需要做URL补偿;进一步地,所述信息安全检测设备将所述缺失URL的信息安全日志上报给日志合成服务器,以使所述日志合成服务器根据由深度包检测DPI设备上报的待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,也即实现了对同源同宿场景下缺失URL的信息安全日志进行了补偿。
进一步地,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述信息安全检测设备将所述缺失URL的信息安全日志上报给日志合成服务器之后,还包括:
所述信息安全检测设备对所述缺失URL的信息安全日志进行关键字检测,并根据所述缺失URL的信息安全日志的关键字获知所述缺失URL的信息安全日志对应的策略信息,其中,所述策略信息包括策略域名和/或策略URL;
所述信息安全检测设备将所述策略信息增加到所述缺失URL的信息安全日志中,并将包含所述策略信息的缺失URL的信息安全日志上报给日志合成服务器。
本发明实施例中,所述信息安全检测设备在确定所述缺失URL的信息安全日志的异常标识为结果待定日志标识时,也即所述信息安全检测设备不确定该日志是信息安全日志还是其它合法日志,因此,需要所述日志合成服务器对该日志类型作进一步地判定,以确定该日志到底是信息安全日志还是其它合法日志;可选地,所述信息安全检测设备通过对所述缺失URL的信息安全日志进行关键字检测,并根据所述缺失URL的信息安全日志的关键字获知所述缺失URL的信息安全日志对应的策略信息,其中,所述策略信息包括策略域名和/或策略URL,(如所述策略信息为策略域名+关键字、策略URL+关键字、或者策略URL+策略域名+关键字);进一步地,所述信息安全检测设备将所述策略信息增加到所述缺失URL的信息安全日志中,并将包含所述策略信息的缺失URL的信息安全日志上报给日志合成服务器,以便于所述日志合成服务器根据按照本发明上述步骤S201-S203获取的缺失URL的信息安全日志对应的URL与所述缺失URL的信息安全日志对应的策略信息进行匹配,从而实现了关联检测。
图4为本发明IDC信息安全管理的方法实施例三的流程示意图,如图4所示,本实施例的方法可以包括:
S401、深度包检测DPI设备判断用户访问的上下行是否都经过所述DPI设备,若否,则将所述用户访问对应的访问日志中增加待补偿标识。
本发明实施例中,为了便于日志合成服务器能快速识别待补偿的访问日志,可选地,所述DPI设备通过判断用户访问的上下行是否都经过所述DPI设备,若否,则将所述用户访问对应的访问日志中增加待补偿标识,其中,包含所述待补偿标识的访问日志为待补偿的日志,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿,以便于当所述日志合成服务器在接收到某一访问日志时,可以通过判断所述访问日志中是否包含所述待补偿标识而快速确定所述访问日志是否为待补偿的访问日志。
S402、所述DPI设备将所述待补偿的访问日志上报给日志合成服务器,以使所述日志合成服务器根据所述待补偿的访问日志对缺失URL的信息安全日志进行补偿。
本发明实施例中,所述DPI设备将包含所述待补偿标识的访问日志上报给所述日志合成服务器,以使所述日志合成服务器根据所述待补偿的访问日志对缺失URL的信息安全日志进行补偿。可选地,所述DPI设备通过Hash算法确保将相同用户访问的访问日志上报给同一日志合成服务器,以便于所述日志合成服务器实现URL补偿功能。
本发明实施例中,深度包检测DPI设备判断用户访问的上下行是否都经过所述DPI设备,若否,则将所述用户访问对应的访问日志中增加待补偿标识,其中,包含所述待补偿标识的访问日志为待补偿的日志,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;进一步地,所述DPI设备将所述待补偿的访问日志上报给日志合成服务器,以使所述日志合成服务器根据所述待补偿的访问日志对缺失URL的信息安全日志进行补偿,也即实现了对同源同宿场景下缺失URL的信息安全日志进行了补偿。
图5为本发明IDC信息安全管理的方法实施例四的流程示意图,如图5所示,本实施例的方法可以包括:
S501、DPI设备上报所有访问日志。
本发明实施中,所述DPI设备识别上下行不经过同一DPI设备的用户访问,并将所述用户访问对应的访问日志中增加待补偿标识,其中,包含所述待补偿标识的访问日志为待补偿的日志,也即所述DPI设备上报的访问日志分为两种:完整的访问日志以及待补偿的访问日志。
S502、日志合成服务器在接收所述所有访问日志后,合成符合要求的访问日志并上报。
S503、所述日志合成服务器识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存。
S504、信息安全监测设备上报所有信息安全检测设备。
本发明实施例中,所述信息安全监测设备对检测到缺失URL的信息安全日志中增加异常标识,其中,包含所述异常标识的信息安全日志为缺失URL的信息安全日志,所述异常标识用于指示所述缺失URL的信息安全日志需要做URL补偿,可选地,所述异常标识包括:缺失URL日志标识以及结果待定日志标识,也即所述信息安全检测设备上报的信息安全日志分为三种:完整的信息安全日志、缺失URL的信息安全日志以及结果待定信息安全日志,其中,结果待定信息安全日志不仅缺失URL,且日志类型待定。
S505、日志合成服务器在接收所述所有信息安全日志后,合成符合要求的信息安全日志并上报。
S506、所述日志合成服务器识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存。
S507、所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,以得到完整的信息安全日志。
具体的实施过程,请详见本发明上述实施例,本实施例在此不再赘述。
图6为本发明日志合成服务器实施例一的结构示意图,如图6所示,本实施例提供的日志合成服务器60可以包括:第一识别模块601、第二识别模块602以及补偿模块603。
其中,第一识别模块601用于识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志为深度包检测DPI设备上报的访问日志,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;
第二识别模块602用于识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存,其中,所述缺失URL的信息安全日志为信息安全检测设备上报的信息安全日志;
补偿模块603用于根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
可选地,所述第一识别模块601具体用于:
根据所述待补偿的访问日志中的待补偿标识,识别所述待补偿的访问日志,其中,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿。
可选地,所述第二识别模块602具体用于:
根据所述缺失URL的信息安全日志中的异常标识,识别所述缺失URL的信息安全日志,其中,所述异常标识用于指示所述信息安全日志需要做URL补偿。
可选地,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
可选地,所述补偿模块603包括:
第一确定单元,用于确定任一所述缺失URL的信息安全日志的关键标识字段;
第二确定单元,用于根据所述关键标识字段遍历查询缓存的所有所述待补偿的访问日志,直至确定与所述关键标识字段匹配的待补偿的访问日志;
补偿单元,用于获取所述与所述关键标识字段匹配的待补偿的访问日志的URL,并将所述URL补偿给所述任一缺失URL的信息安全日志。
可选地,所述关键标识字段包括:源网络之间互连的协议IP、目的IP、源端口、目的端口及设备事务标识ID。
可选地,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述日志合成服务器,还包括:
匹配模块,用于根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中;其中,所述缺失URL的信息安全日志对应的策略信息包括策略域名和/或策略URL,所述策略信息为信息安全检测设备增加到所述缺失URL的信息安全日志中的。
可选地,若所述策略信息包括策略域名,所述匹配模块具体用于:
根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
将所述缺失URL的信息安全日志对应的域名,与所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
可选地,若所述策略信息包括策略URL,所述匹配模块具体用于:
将所述缺失URL的信息安全日志对应的URL,与所述策略URL进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,则策略命中。
可选地,若所述策略信息包括策略域名和策略URL,所述匹配模块具体用于:
根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
将所述缺失URL的信息安全日志对应的URL以及域名,分别与所述策略URL及所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,且所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
本实施例的日志合成服务器,可以用于执行本发明上述IDC信息安全管理的方法实施例一及四中的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明日志合成服务器实施例二的结构示意图,如图7所示,本实施例提供的日志合成服务器70可以包括处理器701和存储器702。日志合成服务器70还可以包括数据接口单元703,该数据接口单元703可以和处理器701相连。其中,数据接口单元703用于接收/发送数据,存储器702用于存储执行指令。当日志合成服务器70运行时,处理器701与存储器702之间通信,处理器701调用存储器702中的执行指令,用以执行上述IDC信息安全管理的方法实施例一及四中的操作。
本实施例的日志合成服务器,可以用于执行本发明上述IDC信息安全管理的方法实施例一及四中的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本发明信息安全检测设备实施例一的结构示意图,如图8所示,本实施例提供的信息安全检测设备80可以包括:标识模块801以及第一上报模块802。
其中,标识模块801用于对检测到缺失统一资源定位符URL的信息安全日志中增加异常标识,其中,包含所述异常标识的信息安全日志为缺失URL的信息安全日志,所述异常标识用于指示所述缺失URL的信息安全日志需要做URL补偿;
第一上报模块802用于将所述缺失URL的信息安全日志上报给日志合成服务器,以使所述日志合成服务器根据由深度包检测DPI设备上报的待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
可选地,所述第一上报模块802还具体用于:通过哈希算法确保将相同用户访问的信息安全日志上报给同一日志合成服务器。
可选地,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
可选地,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述信息安全检测设备还包括:
检测模块,用于对所述缺失URL的信息安全日志进行关键字检测,并根据所述缺失URL的信息安全日志的关键字获知所述缺失URL的信息安全日志对应的策略信息,其中,所述策略信息包括策略域名和/或策略URL;
第二上报模块,用于将所述策略信息增加到所述缺失URL的信息安全日志中,并将包含所述策略信息的缺失URL的信息安全日志上报给日志合成服务器。
本实施例的信息安全检测设备,可以用于执行本发明上述IDC信息安全管理的方法实施例二及四中的技术方案,其实现原理和技术效果类似,此处不再赘述。
图9为本发明信息安全检测设备实施例二的结构示意图,如图9所示,本实施例提供的信息安全检测设备90可以包括处理器901和存储器902。信息安全检测设备90还可以包括数据接口单元903,该数据接口单元903可以和处理器901相连。其中,数据接口单元903用于接收/发送数据,存储器902用于存储执行指令。当信息安全检测设备90运行时,处理器901与存储器902之间通信,处理器901调用存储器902中的执行指令,用以执行上述IDC信息安全管理的方法实施例二及四中的操作。
本实施例的信息安全检测设备,可以用于执行本发明上述IDC信息安全管理的方法实施例二及四中的技术方案,其实现原理和技术效果类似,此处不再赘述。
图10为本发明深度包检测DPI设备实施例一的结构示意图,如图10所示,本实施例提供的深度包检测DPI设备100可以包括:判断模块1001以及上报模块1002。
判断模块1001用于判断用户访问的上下行是否都经过所述DPI设备,若否,则将所述用户访问对应的访问日志中增加待补偿标识,其中,包含所述待补偿标识的访问日志为待补偿的日志,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;
上报模块1002用于将所述待补偿的访问日志上报给日志合成服务器,以使所述日志合成服务器根据所述待补偿的访问日志对缺失URL的信息安全日志进行补偿。
可选地,所述上报模块还具体用于:通过哈希算法确保将相同用户访问的访问日志上报给同一日志合成服务器。
本实施例的深度包检测DPI设备,可以用于执行本发明上述IDC信息安全管理的方法实施例三及四中的技术方案,其实现原理和技术效果类似,此处不再赘述。
图11为本发明深度包检测DPI设备实施例二的结构示意图,如图11所示,本实施例提供的深度包检测DPI设备110可以包括处理器1101和存储器1102。深度包检测DPI设备110还可以包括数据接口单元1103,该数据接口单元1103可以和处理器1101相连。其中,数据接口单元1103用于接收/发送数据,存储器1102用于存储执行指令。当深度包检测DPI设备110运行时,处理器1101与存储器1102之间通信,处理器1101调用存储器1102中的执行指令,用以执行上述IDC信息安全管理的方法实施例三及四中的操作。
本实施例的深度包检测DPI设备,可以用于执行本发明上述IDC信息安全管理的方法实施例三及四中的技术方案,其实现原理和技术效果类似,此处不再赘述。
图12为本发明互联网数据中心IDC信息安全管理***实施例的结构示意图,如图12所示,本实施例的IDC信息安全管理***包括:日志合成服务器1201、信息安全检测设备1202、深度包检测DPI设备1203以及路由设备1204;其中,日志合成服务器1201可以采用上述日志合成服务器实施例一及实施例二的结构,其对应地,可以执行上述IDC信息安全管理的方法实施例一及实施例四的技术方案;信息安全检测设备1202可以采用上述信息安全检测设备实施例一及实施例二的结构,其对应地,可以执行上述IDC信息安全管理的方法实施例二及实施例四的技术方案;深度包检测DPI设备1203可以采用上述深度包检测DPI设备实施例一及实施例二的结构,其对应地,可以执行上述IDC信息安全管理的方法实施例三及实施例四的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (33)
1.一种互联网数据中心IDC信息安全管理的方法,其特征在于,包括:
日志合成服务器识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志为深度包检测DPI设备上报的包含用户访问的统一资源定位符URL的访问日志,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿;
所述日志合成服务器识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存,其中,所述缺失URL的信息安全日志为信息安全检测设备上报的信息安全日志;
所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
2.根据权利要求1所述的方法,其特征在于,所述日志合成服务器识别待补偿的访问日志,包括:
所述日志合成服务器根据所述待补偿的访问日志中的待补偿标识,识别所述待补偿的访问日志,其中,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿。
3.根据权利要求1或2所述的方法,其特征在于,所述日志合成服务器识别缺失URL的信息安全日志,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志中的异常标识,识别所述缺失URL的信息安全日志,其中,所述异常标识用于指示所述信息安全日志需要做URL补偿。
4.根据权利要求3所述的方法,其特征在于,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
5.根据权利要求1所述的方法,其特征在于,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿,包括:
所述日志合成服务器确定任一所述缺失URL的信息安全日志的关键标识字段;
所述日志合成服务器根据所述关键标识字段遍历查询缓存的所有所述待补偿的访问日志,直至确定与所述关键标识字段匹配的待补偿的访问日志;
所述日志合成服务器获取所述与所述关键标识字段匹配的待补偿的访问日志的URL,并将所述URL补偿给所述任一缺失URL的信息安全日志。
6.根据权利要求5所述的方法,其特征在于,所述关键标识字段包括:源网络之间互连的协议IP、目的IP、源端口、目的端口及设备事务标识ID。
7.根据权利要求4-6中任一项所述的方法,其特征在于,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述日志合成服务器根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿之后,还包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中;其中,所述缺失URL的信息安全日志对应的策略信息包括策略域名和/或策略URL,所述策略信息为信息安全检测设备增加到所述缺失URL的信息安全日志中的。
8.根据权利要求7所述的方法,其特征在于,若所述策略信息包括策略域名,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
所述日志合成服务器将所述缺失URL的信息安全日志对应的域名,与所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
9.根据权利要求7所述的方法,其特征在于,若所述策略信息包括策略URL,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器将所述缺失URL的信息安全日志对应的URL,与所述策略URL进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,则策略命中。
10.根据权利要求7所述的方法,其特征在于,若所述策略信息包括策略域名和策略URL,所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中,包括:
所述日志合成服务器根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
所述日志合成服务器将所述缺失URL的信息安全日志对应的URL以及域名,分别与所述策略URL及所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,且所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
11.一种互联网数据中心IDC信息安全管理的方法,其特征在于,包括:
信息安全检测设备对检测到缺失统一资源定位符URL的信息安全日志中增加异常标识,其中,包含所述异常标识的信息安全日志为缺失URL的信息安全日志,所述异常标识用于指示所述缺失URL的信息安全日志需要做URL补偿;
所述信息安全检测设备将所述缺失URL的信息安全日志上报给日志合成服务器,以使所述日志合成服务器根据由深度包检测DPI设备上报的包含用户访问的URL的待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
12.根据权利要求11所述的方法,其特征在于,还包括:
所述信息安全检测设备通过哈希算法确保将相同用户访问的信息安全日志上报给同一日志合成服务器。
13.根据权利要求11或12所述的方法,其特征在于,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
14.根据权利要求13所述的方法,其特征在于,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述信息安全检测设备将所述缺失URL的信息安全日志上报给日志合成服务器之后,还包括:
所述信息安全检测设备对所述缺失URL的信息安全日志进行关键字检测,并根据所述缺失URL的信息安全日志的关键字获知所述缺失URL的信息安全日志对应的策略信息,其中,所述策略信息包括策略域名和/或策略URL;
所述信息安全检测设备将所述策略信息增加到所述缺失URL的信息安全日志中,并将包含所述策略信息的缺失URL的信息安全日志上报给日志合成服务器。
15.一种互联网数据中心IDC信息安全管理的方法,其特征在于,包括:
深度包检测DPI设备判断用户访问的上下行是否都经过所述DPI设备,若否,则将所述用户访问对应的访问日志中增加待补偿标识,其中,包含所述待补偿标识和用户访问的统一资源定位符URL的访问日志为待补偿的日志,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;
所述DPI设备将所述待补偿的访问日志上报给日志合成服务器,以使所述日志合成服务器根据所述待补偿的访问日志对缺失URL的信息安全日志进行补偿。
16.根据权利要求15所述的方法,其特征在于,还包括:
所述DPI设备通过哈希算法确保将相同用户访问的访问日志上报给同一日志合成服务器。
17.一种日志合成服务器,其特征在于,包括:
第一识别模块,用于识别待补偿的访问日志,并将所述待补偿的访问日志进行缓存,其中,所述待补偿的访问日志为深度包检测DPI设备上报的包含用户访问的统一资源定位符URL的访问日志,所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿;
第二识别模块,用于识别缺失URL的信息安全日志,并将所述缺失URL的信息安全日志进行缓存,其中,所述缺失URL的信息安全日志为信息安全检测设备上报的信息安全日志;
补偿模块,用于根据所述待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
18.根据权利要求17所述的日志合成服务器,其特征在于,所述第一识别模块具体用于:
根据所述待补偿的访问日志中的待补偿标识,识别所述待补偿的访问日志,其中,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做URL补偿。
19.根据权利要求17或18所述的日志合成服务器,其特征在于,所述第二识别模块具体用于:
根据所述缺失URL的信息安全日志中的异常标识,识别所述缺失URL的信息安全日志,其中,所述异常标识用于指示所述信息安全日志需要做URL补偿。
20.根据权利要求19所述的日志合成服务器,其特征在于,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
21.根据权利要求17所述的日志合成服务器,其特征在于,所述补偿模块,包括:
第一确定单元,用于确定任一所述缺失URL的信息安全日志的关键标识字段;
第二确定单元,用于根据所述关键标识字段遍历查询缓存的所有所述待补偿的访问日志,直至确定与所述关键标识字段匹配的待补偿的访问日志;
补偿单元,用于获取所述与所述关键标识字段匹配的待补偿的访问日志的URL,并将所述URL补偿给所述任一缺失URL的信息安全日志。
22.根据权利要求21所述的日志合成服务器,其特征在于,所述关键标识字段包括:源网络之间互连的协议IP、目的IP、源端口、目的端口及设备事务标识ID。
23.根据权利要求20-22中任一项所述的日志合成服务器,其特征在于,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述日志合成服务器,还包括:
匹配模块,用于根据所述缺失URL的信息安全日志对应的URL及所述缺失URL的信息安全日志对应的策略信息进行匹配,若匹配成功,则策略命中;其中,所述缺失URL的信息安全日志对应的策略信息包括策略域名和/或策略URL,所述策略信息为信息安全检测设备增加到所述缺失URL的信息安全日志中的。
24.根据权利要求23所述的日志合成服务器,其特征在于,若所述策略信息包括策略域名,所述匹配模块具体用于:
根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
将所述缺失URL的信息安全日志对应的域名,与所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
25.根据权利要求23所述的日志合成服务器,其特征在于,若所述策略信息包括策略URL,所述匹配模块具体用于:
将所述缺失URL的信息安全日志对应的URL,与所述策略URL进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,则策略命中。
26.根据权利要求23所述的日志合成服务器,其特征在于,若所述策略信息包括策略域名和策略URL,所述匹配模块具体用于:
根据所述缺失URL的信息安全日志对应的URL获取所述缺失URL的信息安全日志对应的域名;
将所述缺失URL的信息安全日志对应的URL以及域名,分别与所述策略URL及所述策略域名进行匹配,若所述缺失URL的信息安全日志对应的URL与所述策略URL相同,且所述缺失URL的信息安全日志对应的域名与所述策略域名相同,则策略命中。
27.一种信息安全检测设备,其特征在于,包括:
标识模块,用于对检测到缺失统一资源定位符URL的信息安全日志中增加异常标识,其中,包含所述异常标识的信息安全日志为缺失URL的信息安全日志,所述异常标识用于指示所述缺失URL的信息安全日志需要做URL补偿;
第一上报模块,用于将所述缺失URL的信息安全日志上报给日志合成服务器,以使所述日志合成服务器根据由深度包检测DPI设备上报的包含用户访问的URL的待补偿的访问日志对所述缺失URL的信息安全日志进行补偿。
28.根据权利要求27所述的信息安全检测设备,其特征在于,所述第一上报模块还具体用于:通过哈希算法确保将相同用户访问的信息安全日志上报给同一日志合成服务器。
29.根据权利要求27或28所述的信息安全检测设备,其特征在于,所述异常标识包括:缺失URL日志标识以及结果待定日志标识。
30.根据权利要求29所述的信息安全检测设备,其特征在于,若所述缺失URL的信息安全日志的异常标识为结果待定日志标识,所述信息安全检测设备还包括:
检测模块,用于对所述缺失URL的信息安全日志进行关键字检测,并根据所述缺失URL的信息安全日志的关键字获知所述缺失URL的信息安全日志对应的策略信息,其中,所述策略信息包括策略域名和/或策略URL;
第二上报模块,用于将所述策略信息增加到所述缺失URL的信息安全日志中,并将包含所述策略信息的缺失URL的信息安全日志上报给日志合成服务器。
31.一种深度包检测DPI设备,其特征在于,包括:
判断模块,用于判断用户访问的上下行是否都经过所述DPI设备,若否,则将所述用户访问对应的访问日志中增加待补偿标识,其中,包含所述待补偿标识和用户访问的统一资源定位符URL的访问日志为待补偿的日志,所述待补偿标识用于指示所述待补偿的访问日志对应的用户访问所产生的信息安全日志需要做统一资源定位符URL补偿;
上报模块,用于将所述待补偿的访问日志上报给日志合成服务器,以使所述日志合成服务器根据所述待补偿的访问日志对缺失URL的信息安全日志进行补偿。
32.根据权利要求31所述的深度包检测DPI设备,其特征在于,所述上报模块还具体用于:通过哈希算法确保将相同用户访问的访问日志上报给同一日志合成服务器。
33.一种互联网数据中心IDC信息安全管理***,其特征在于,包括:
如权利要求17~26任一项所述的日志合成服务器、如权利要求27~30任一项所述的信息安全检测设备、如权利要求31或32所述的深度包检测DPI设备以及路由设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410843504.XA CN105812324B (zh) | 2014-12-30 | 2014-12-30 | Idc信息安全管理的方法、装置及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410843504.XA CN105812324B (zh) | 2014-12-30 | 2014-12-30 | Idc信息安全管理的方法、装置及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105812324A CN105812324A (zh) | 2016-07-27 |
| CN105812324B true CN105812324B (zh) | 2019-04-05 |
Family
ID=56421096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410843504.XA Active CN105812324B (zh) | 2014-12-30 | 2014-12-30 | Idc信息安全管理的方法、装置及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105812324B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109995602B (zh) * | 2017-12-29 | 2021-03-16 | ***通信集团设计院有限公司 | 一种协议识别的方法、***和装置 |
| CN108683598B (zh) * | 2018-04-20 | 2020-04-10 | 武汉绿色网络信息服务有限责任公司 | 一种非对称网络流量处理方法和处理装置 |
| CN112217770B (zh) * | 2019-07-11 | 2023-10-13 | 奇安信科技集团股份有限公司 | 一种安全检测方法、装置、计算机设备及存储介质 |
| CN110417759A (zh) * | 2019-07-16 | 2019-11-05 | 广东申立信息工程股份有限公司 | 一种idc信息安全管理的方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103178982A (zh) * | 2011-12-23 | 2013-06-26 | 阿里巴巴集团控股有限公司 | 日志分析方法和装置 |
| CN104156389A (zh) * | 2014-07-04 | 2014-11-19 | 重庆邮电大学 | 基于Hadoop平台的深度包检测***及方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20030018740A (ko) * | 2001-08-31 | 2003-03-06 | 삼성전자주식회사 | 투사 장치 |
| US8862516B2 (en) * | 2012-03-06 | 2014-10-14 | Edgecast Networks, Inc. | Systems and methods for billing content providers for designated content delivered over a data network |
-
2014
- 2014-12-30 CN CN201410843504.XA patent/CN105812324B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103178982A (zh) * | 2011-12-23 | 2013-06-26 | 阿里巴巴集团控股有限公司 | 日志分析方法和装置 |
| CN104156389A (zh) * | 2014-07-04 | 2014-11-19 | 重庆邮电大学 | 基于Hadoop平台的深度包检测***及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 《IDC信息安全管理***建设方案探讨》;顾欣,那业君等;《互联网天地》;20131215;全文 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105812324A (zh) | 2016-07-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103634786B (zh) | 一种无线网络的安全检测和修复的方法与*** | |
| CN105812324B (zh) | Idc信息安全管理的方法、装置及*** | |
| CN105681133B (zh) | 一种检测dns服务器是否防网络攻击的方法 | |
| CN108259425A (zh) | 攻击请求的确定方法、装置及服务器 | |
| CN109962903A (zh) | 一种家庭网关安全监控方法、装置、***和介质 | |
| CN102438025B (zh) | 一种基于Web代理的间接分布式拒绝服务攻击抵御方法及*** | |
| CN109413097A (zh) | 一种非法外联检测方法、装置、设备及存储介质 | |
| US9379952B2 (en) | Monitoring NAT behaviors through URI dereferences in web browsers | |
| CN104734903B (zh) | 基于动态跟踪技术的opc协议的安全防护方法 | |
| CN105871947B (zh) | 跨域请求数据的方法及装置 | |
| CN101505247A (zh) | 一种共享接入主机数目的检测方法和装置 | |
| CN104168316B (zh) | 一种网页访问控制方法、网关 | |
| Pras et al. | Attacks by “Anonymous‿ WikiLeaks Proponents not Anonymous | |
| CN106657050A (zh) | 一种域名解析异常检测方法、探测管理服务器及网关设备 | |
| CN110362992A (zh) | 在基于云端环境中阻挡或侦测计算机攻击的方法和设备 | |
| CN104125215B (zh) | 网站域名劫持检测方法和*** | |
| CN106471772B (zh) | 利用客户机路由控制***检测问题起因客户机的方法和*** | |
| US20100145912A1 (en) | Detecting peer to peer applications | |
| CN110166480A (zh) | 一种数据包的分析方法及装置 | |
| KR101127246B1 (ko) | Ip 주소를 공유하는 단말을 검출하는 방법 및 그 장치 | |
| CN102223266B (zh) | 一种协议代理检测方法和装置 | |
| CN108028847A (zh) | 互联网连接设备、中央管理服务器和互联网连接方法 | |
| CN102624691A (zh) | 可共用广告拦截配置信息的多代理上网方法 | |
| CN106790073B (zh) | 一种Web服务器恶意攻击的阻断方法、装置及防火墙 | |
| Hasan et al. | A constraint-based intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |