專利名稱：基于linux平臺服務(wù)器安全性能實(shí)時(shí)監(jiān)控方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及服務(wù)器安全性能監(jiān)控技術(shù)，尤其涉及一種基于Iinux平臺的服務(wù)器安 全性能實(shí)時(shí)監(jiān)控方法及系統(tǒng)。
背景技術(shù)：
隨著信息化進(jìn)程的加快，計(jì)算機(jī)及網(wǎng)絡(luò)已經(jīng)在各行各業(yè)中得到廣泛應(yīng)用，安全性 問題已變得越來越重要。對數(shù)據(jù)保密性要求較高的客戶，迫切需要安全性服務(wù)器提供安全 保障。另一方面，業(yè)務(wù)管理人員也迫切需要安全性架構(gòu)技術(shù)提高自身系統(tǒng)的安全性能。目前，雖然已有少量Iinux平臺的服務(wù)器安全性能監(jiān)控方案，但是還都不能做到 實(shí)時(shí)監(jiān)控，而且在監(jiān)控時(shí)對主機(jī)資源的占用率比較高，通用性也較差，主要是針對具體行業(yè) 或者應(yīng)用進(jìn)行的，不能動態(tài)靈活地進(jìn)行擴(kuò)充。

發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是需要提供一種服務(wù)器安全性能實(shí)時(shí)監(jiān)控技術(shù)，克服 現(xiàn)有的基于Iinux平臺的服務(wù)器安全性能監(jiān)控方案不能實(shí)現(xiàn)實(shí)時(shí)監(jiān)控的缺陷。為了解決上述技術(shù)問題，本發(fā)明首先提供了一種基于1 inux平臺的服務(wù)器安全性 能實(shí)時(shí)監(jiān)控系統(tǒng)，包括
訪問控制模塊，用于接收訪問者提交的對該服務(wù)器的訪問請求，在該訪問者合法時(shí)根 據(jù)該訪問請求生成訪問日志，根據(jù)該訪問日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；
數(shù)據(jù)控制模塊，用于接收合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)的操作請求，在合法 的該訪問者對該目標(biāo)數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)該操作請求對應(yīng)的操作生成操作日志，根據(jù) 該操作日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；
業(yè)務(wù)控制模塊，用于該服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日 志，并根據(jù)該業(yè)務(wù)日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。優(yōu)選地，該訪問控制模塊包括
第一接收子模塊，用于接收該訪問者提交的該訪問請求； 第一判斷子模塊，用于判斷該訪問請求是否合法；
第一使能子模塊，用于該第一判斷子模塊判斷出該訪問請求合法時(shí)允許該訪問者對該 服務(wù)器的業(yè)務(wù)訪問；
第一生成子模塊，用于合法的訪問者根據(jù)該訪問請求對該服務(wù)器進(jìn)行該業(yè)務(wù)訪問時(shí)生 成訪問日志；
第一監(jiān)控子模塊，用于根據(jù)該訪問日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。優(yōu)選地，該訪問控制模塊包括
第二接收子模塊，用于接收該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù) 據(jù)的該操作請求；
第二判斷子模塊，用于根據(jù)該操作請求判斷該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)是否具備該操作權(quán)限；
第二使能子模塊，用于該第二判斷模塊判斷出該訪問控制模塊認(rèn)為合法的該訪問者對 該服務(wù)器中目標(biāo)數(shù)據(jù)具備該操作權(quán)限時(shí)允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作；
第二生成子模塊，用于該第二使能子模塊允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作 時(shí)，根據(jù)該操作請求對應(yīng)的操作生成該操作日志；
第二監(jiān)控子模塊，用于根據(jù)該操作日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。優(yōu)選地，該業(yè)務(wù)控制模塊包括
制定子模塊，用于根據(jù)該服務(wù)器對外的業(yè)務(wù)訪問的特點(diǎn)及用戶關(guān)心的業(yè)務(wù)內(nèi)容制定標(biāo) 準(zhǔn)的該訪問規(guī)則；
第三生成子模塊，用于該服務(wù)器根據(jù)標(biāo)準(zhǔn)的該訪問規(guī)則對外進(jìn)行該業(yè)務(wù)訪問時(shí)生成該 業(yè)務(wù)日志；
第三監(jiān)控子模塊，用于根據(jù)該業(yè)務(wù)日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。優(yōu)選地，該系統(tǒng)進(jìn)一步包括
審計(jì)模塊，用于對該訪問日志、操作日志以及業(yè)務(wù)日志進(jìn)行跟蹤審計(jì)。為了解決上述技術(shù)問題，本發(fā)明還提供了一種基于Iinux平臺的服務(wù)器安全性能 實(shí)時(shí)監(jiān)控方法，包括
接收訪問者提交的對該服務(wù)器的訪問請求，在該訪問者合法時(shí)根據(jù)該訪問請求生成訪 問日志，根據(jù)該訪問日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；
接收合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)的操作請求，在合法的該訪問者對該目標(biāo) 數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)該操作請求對應(yīng)的操作生成操作日志，根據(jù)該操作日志實(shí)時(shí)監(jiān)控 該服務(wù)器的安全性能；
在該服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日志，并根據(jù)該業(yè)務(wù)日 志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。優(yōu)選地，在該訪問者合法時(shí)根據(jù)該訪問請求生成訪問日志的步驟，包括 判斷該訪問請求是否合法；
判斷出該訪問請求合法時(shí)允許該訪問者對該服務(wù)器的業(yè)務(wù)訪問； 合法的訪問者根據(jù)該訪問請求對該服務(wù)器進(jìn)行該業(yè)務(wù)訪問時(shí)生成訪問日志。優(yōu)選地，在合法的該訪問者對該目標(biāo)數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)該操作請求對應(yīng)的 操作生成操作日志的步驟，包括
根據(jù)該操作請求判斷該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)是 否具備該操作權(quán)限；
判斷出該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)具備該操作權(quán)限 時(shí)允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作；
允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作時(shí)，根據(jù)該操作請求對應(yīng)的操作生成該操作
日志ο優(yōu)選地，在該服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日志的步 驟，包括
根據(jù)該服務(wù)器對外的業(yè)務(wù)訪問的特點(diǎn)及用戶關(guān)心的業(yè)務(wù)內(nèi)容制定標(biāo)準(zhǔn)的該訪問規(guī)
則；該服務(wù)器根據(jù)標(biāo)準(zhǔn)的該訪問規(guī)則對外進(jìn)行該業(yè)務(wù)訪問時(shí)生成該業(yè)務(wù)日志。優(yōu)選地，該方法進(jìn)一步包括
對該訪問日志、操作日志以及業(yè)務(wù)日志進(jìn)行跟蹤審計(jì)。本發(fā)明的技術(shù)方案中，包括日志的傳輸和分析，主機(jī)系統(tǒng)狀態(tài)數(shù)據(jù)的監(jiān)控以及數(shù) 據(jù)分析等都是基于Iinux技術(shù)實(shí)現(xiàn)的，因此本發(fā)明的技術(shù)方案是基于Iirmx平臺的動態(tài)服 務(wù)器安全性能監(jiān)控技術(shù)，其與傳統(tǒng)的服務(wù)器性能監(jiān)控技術(shù)相比，主要的優(yōu)點(diǎn)表現(xiàn)在
(1)獲取的數(shù)據(jù)信息及時(shí)、準(zhǔn)確、可擴(kuò)充性好，可以隨時(shí)填充監(jiān)控事件，滿足安全監(jiān)控需 求；自始至終都在監(jiān)控服務(wù)器的安全狀況，確保獲取信息的及時(shí)以及準(zhǔn)確性；利用數(shù)據(jù)控 制模塊和業(yè)務(wù)控制模塊根據(jù)應(yīng)用的特點(diǎn)進(jìn)行靈活定義，而且提供可開放的接口供用戶定義 監(jiān)控事件，因此擴(kuò)充性以及通用性強(qiáng)，滿足不通用戶的監(jiān)控需求。( 2 )靈活方便，對服務(wù)器資源占用率低，通過引入緩沖區(qū)技術(shù)，批量更新緩沖數(shù)據(jù)， 提高了服務(wù)器的資源利用率，減輕了服務(wù)器的負(fù)擔(dān)；通過引入緩沖區(qū)技術(shù)，將訪問控制模塊 中產(chǎn)生的大量的訪問日志先提交到緩沖區(qū)，待一段時(shí)間或者緩沖區(qū)滿時(shí)再批量提交到硬盤 上，這樣避免磁盤IO的爭用，減輕了服務(wù)器的寫負(fù)擔(dān)，提高了磁盤IO性能。(3)采用文本文件格式作為傳輸文件，大大降低網(wǎng)絡(luò)帶寬；在本發(fā)明的技術(shù)方案 中，所生成的訪問日志均以文本格式進(jìn)行記錄和傳輸，如此便于處理，而且文本格式數(shù)據(jù)本 身占用字節(jié)少，數(shù)據(jù)傳輸時(shí)節(jié)省網(wǎng)絡(luò)帶寬。(4)安全性高，利用多層防御機(jī)制，大大提高了服務(wù)器安全性；本發(fā)明的技術(shù)方案 中，首先通過訪問控制模塊屏蔽掉非法的請求者，然后通過數(shù)據(jù)控制模塊來進(jìn)一步控制部 分合法請求者的訪問，最后還通過業(yè)務(wù)控制模塊來記錄合法請求者的行為，通過層層防御， 大大提高了服務(wù)器的安全性。本發(fā)明的其它特征和優(yōu)點(diǎn)將在隨后的說明書中闡述，并且，部分地從說明書中變 得顯而易見，或者通過實(shí)施本發(fā)明而了解。本發(fā)明的目的和其他優(yōu)點(diǎn)可通過在說明書、權(quán)利 要求書以及附圖中所特別指出的結(jié)構(gòu)來實(shí)現(xiàn)和獲得。


附圖用來提供對本發(fā)明技術(shù)方案的進(jìn)一步理解，并且構(gòu)成說明書的一部分，與本 發(fā)明的實(shí)施例一起用于解釋本發(fā)明的技術(shù)方案，并不構(gòu)成對本發(fā)明技術(shù)方案的限制。在附 圖中
圖1是本發(fā)明實(shí)施例一服務(wù)器安全監(jiān)控系統(tǒng)的組成示意圖； 圖2是圖1所示實(shí)施例中訪問控制模塊的組成示意圖； 圖3是圖1所示實(shí)施例中數(shù)據(jù)控制模塊的組成示意圖； 圖4是本發(fā)明另一實(shí)施例服務(wù)器安全監(jiān)控系統(tǒng)的組成示意圖； 圖5是本發(fā)明實(shí)施例二服務(wù)器安全監(jiān)控方法的流程示意圖。
具體實(shí)施例方式以下將結(jié)合附圖及實(shí)施例來詳細(xì)說明本發(fā)明的實(shí)施方式，借此對本發(fā)明如何應(yīng)用 技術(shù)手段來解決技術(shù)問題，并達(dá)成技術(shù)效果的實(shí)現(xiàn)過程能充分理解并據(jù)以實(shí)施。首先，如果不沖突，本發(fā)明實(shí)施例以及實(shí)施例中的各個(gè)特征的相互結(jié)合，均在本發(fā)明的保護(hù)范圍之內(nèi)。另外，在附圖的流程圖示出的步驟可以在諸如一組計(jì)算機(jī)可執(zhí)行指令 的計(jì)算機(jī)系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以 不同于此處的順序執(zhí)行所示出或描述的步驟。實(shí)施例一、基于Iinux平臺的服務(wù)器安全監(jiān)控系統(tǒng)
如圖1所示，本實(shí)施例安全監(jiān)控系統(tǒng)100主要包括訪問控制模塊110、數(shù)據(jù)控制模塊 120以及業(yè)務(wù)控制模塊130，其中
訪問控制模塊110，用于監(jiān)控訪問者對服務(wù)器200的業(yè)務(wù)訪問，接收訪問者提交的對服 務(wù)器200的訪問請求并判斷該訪問請求是否合法，該訪問請求合法則根據(jù)合法的訪問者對 服務(wù)器200的業(yè)務(wù)訪問生成訪問日志并記錄、分析和跟蹤，并根據(jù)該訪問日志監(jiān)控服務(wù)器 200的安全性能；
數(shù)據(jù)控制模塊120，與該訪問控制模塊110及服務(wù)器200相連，用于接收訪問控制模塊 110認(rèn)為訪問請求合法的訪問者對服務(wù)器200中目標(biāo)數(shù)據(jù)的數(shù)據(jù)操作請求，并判斷訪問者 對目標(biāo)數(shù)據(jù)是否具備操作權(quán)限；在合法的該訪問者對該目標(biāo)數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)操作 請求所對應(yīng)的操作生成操作日志，并根據(jù)操作日志實(shí)時(shí)監(jiān)控服務(wù)器200的安全性能；在此 過程中，通過數(shù)據(jù)庫的安全機(jī)制在安全監(jiān)控的粒度上采取靈活的監(jiān)控策略，實(shí)施數(shù)據(jù)庫級 別的跟蹤，以此判斷訪問者對目標(biāo)數(shù)據(jù)是否具備操作權(quán)限等，并保證服務(wù)器200安全性能 的實(shí)時(shí)監(jiān)控；
業(yè)務(wù)控制模塊130，與服務(wù)器200相連，用于按照標(biāo)準(zhǔn)的訪問規(guī)則監(jiān)控服務(wù)器200對外 的業(yè)務(wù)訪問，在服務(wù)器200根據(jù)標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日志，并根 據(jù)業(yè)務(wù)日志實(shí)時(shí)監(jiān)控服務(wù)器200的安全性能；在分析處理層將服務(wù)器200對外訪問所存在 的潛在安全問題分等級列出，并通過標(biāo)準(zhǔn)的訪問規(guī)則規(guī)則確保達(dá)到一定預(yù)警級別時(shí)，以短 信、郵件等方式告知客戶，以便客戶及時(shí)作出響應(yīng)。該業(yè)務(wù)控制模塊130將訪問規(guī)則標(biāo)準(zhǔn)化的過程，是根據(jù)服務(wù)器對外的業(yè)務(wù)訪問的 特點(diǎn)及用戶所關(guān)心的業(yè)務(wù)內(nèi)容進(jìn)行靈活制定的，例如一個(gè)機(jī)密文件，如果一個(gè)非授權(quán)請求 者(或者說非法請求者)試圖連續(xù)3次訪問以嘗試打開這個(gè)文件，那么就可以觸發(fā)預(yù)警，生成 訪問日志以記錄該請求者為潛在懷疑對象。又比如服務(wù)器網(wǎng)絡(luò)長時(shí)間內(nèi)網(wǎng)卡利用率都超過 95%，那么也可以觸發(fā)預(yù)警，認(rèn)為該服務(wù)器可能受到某站點(diǎn)的網(wǎng)絡(luò)攻擊或者中病毒。此處的 該機(jī)密文件3次訪問和95%的網(wǎng)絡(luò)卡利用率就是相應(yīng)行為的標(biāo)準(zhǔn)化規(guī)則。如果定義請求者(用戶)連續(xù)3次訪問未對其授權(quán)的機(jī)密文件(也即訪問請求不合 法)時(shí)，其服務(wù)器安全等級為0，連續(xù)20次訪問該機(jī)密文件時(shí)，其服務(wù)器安全等級為1，連續(xù) 30次訪問，其服務(wù)器安全等級定義為2，如果分析處理層統(tǒng)計(jì)到安全等級為2時(shí)，將禁止服 務(wù)器為該用戶提供服務(wù)。由此可見，所有的分析數(shù)據(jù)都源于用戶的行為記錄，分析處理層可 以根據(jù)這些規(guī)則，抽取訪問日志中的信息進(jìn)行分析，列出安全問題等級。在本實(shí)施例中，上述的訪問控制模塊110如圖2所示，可以包括第一接收子模塊 210、第一判斷子模塊220、第一使能子模塊230、第一生成子模塊MO以及第一監(jiān)控子模塊 250，其中
第一接收子模塊210，用于接收訪問者所提交的訪問請求；
第一判斷子模塊220，與第一接收子模塊210相連，用于判斷第一接收子模塊210所接 收的訪問請求是否合法；第一使能子模塊230，與第一判斷子模塊220相連，用于第一判斷子模塊220判斷出第 一接收子模塊210所接收的訪問請求合法時(shí)允許訪問者對該服務(wù)器的業(yè)務(wù)訪問；
第一生成子模塊對0，與該第一接收子模塊210及第一使能子模塊230相連，用于合法 的訪問者根據(jù)訪問請求對該服務(wù)器進(jìn)行該業(yè)務(wù)訪問時(shí)生成訪問日志；
第一監(jiān)控子模塊250，與該第一生成子模塊240相連，用于根據(jù)訪問日志實(shí)時(shí)監(jiān)控該服 務(wù)器的安全性能，并可以在必要時(shí)根據(jù)監(jiān)控結(jié)果進(jìn)行實(shí)時(shí)報(bào)警。上述的數(shù)據(jù)控制模塊120主要是用于抵御突破訪問控制模塊110的入侵者，防止 入侵者破壞服務(wù)器中數(shù)據(jù)庫所存儲的數(shù)據(jù)。本模塊采用角色-視圖-用戶權(quán)限的管理機(jī)制 來實(shí)現(xiàn)，細(xì)化到表數(shù)據(jù)中的列，同時(shí)針對數(shù)據(jù)庫存儲的關(guān)鍵數(shù)據(jù)采用加密機(jī)制處理。上述角色-視圖-用戶權(quán)限的管理機(jī)制中，角色的定義是為了便于安全權(quán)限的管 理，是將細(xì)粒度的對某個(gè)數(shù)據(jù)讀和/或?qū)憴?quán)限的一個(gè)組合，譬如李工可以讀和/或?qū)懩硞€(gè)表 的數(shù)據(jù)，那么就可以定義對該表的一個(gè)角色，為讀寫。如果王工也具有讀寫這個(gè)表的角色的 話，那么直接將這個(gè)角色賦給王工，而不需要單獨(dú)賦權(quán)限，這個(gè)角色可以靈活定義。視圖是 為了屏蔽真實(shí)數(shù)據(jù)，根據(jù)用戶權(quán)限進(jìn)行設(shè)置，用戶只能看到屬于授權(quán)范圍內(nèi)的數(shù)據(jù)，而不能 看到超出授權(quán)范圍之外的數(shù)據(jù)。上述細(xì)化到表數(shù)據(jù)中的列的含義是指數(shù)據(jù)安全控制的粒度 可達(dá)到一列數(shù)據(jù)，譬如銀行賬號表的用戶姓名列進(jìn)行保密，就可以對姓名列加密控制，該用 戶的年齡可以讓用戶看到，則可以不進(jìn)行加密。在本實(shí)施例中，上述的數(shù)據(jù)控制模塊120如圖3所示，可以包括第二接收子模塊 310、第二判斷子模塊320、第二使能子模塊330、第二生成子模塊340以及第二監(jiān)控子模塊 350，其中
第二接收子模塊310，與該訪問控制模塊110相連，用于接收訪問控制模塊110認(rèn)為合 法的訪問者對服務(wù)器中目標(biāo)數(shù)據(jù)的操作請求；
第二判斷子模塊320，與該訪問控制模塊110及第二接收子模塊310相連，用于根據(jù)該 操作請求判斷訪問控制模塊110認(rèn)為合法的訪問者對服務(wù)器中目標(biāo)數(shù)據(jù)是否具備相應(yīng)的 操作權(quán)限；
第二使能子模塊330，與第二判斷子模塊320相連，用于第二判斷模塊判斷出訪問控制 模塊110認(rèn)為合法的訪問者對服務(wù)器中目標(biāo)數(shù)據(jù)具備相應(yīng)的操作權(quán)限時(shí)允許合法的訪問 者對目標(biāo)數(shù)據(jù)的操作；
第二生成子模塊340，與第二使能子模塊330相連，用于第二使能子模塊330允許合法 的訪問者對目標(biāo)數(shù)據(jù)的操作時(shí)，根據(jù)操作請求對應(yīng)的操作生成操作日志；
第二監(jiān)控子模塊350，與第二生成子模塊340相連，用于根據(jù)操作日志實(shí)時(shí)監(jiān)控服務(wù)器 的安全性能，并可以在必要時(shí)根據(jù)監(jiān)控結(jié)果進(jìn)行實(shí)時(shí)報(bào)警。在本實(shí)施例中，上述的業(yè)務(wù)控制模塊130可以包括制定子模塊、第三生成子模塊 以及第三監(jiān)控子模塊，其中
制定子模塊，用于根據(jù)該服務(wù)器對外的業(yè)務(wù)訪問的特點(diǎn)及用戶關(guān)心的業(yè)務(wù)內(nèi)容制定標(biāo) 準(zhǔn)的該訪問規(guī)則；
第三生成子模塊，與該制定子模塊相連，用于該服務(wù)器根據(jù)標(biāo)準(zhǔn)的該訪問規(guī)則對外進(jìn) 行該業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日志；
第三監(jiān)控子模塊，與第三生成子模塊相連，用于根據(jù)該業(yè)務(wù)日志實(shí)時(shí)監(jiān)控服務(wù)器的安全性能，并可以在必要時(shí)根據(jù)監(jiān)控結(jié)果進(jìn)行實(shí)時(shí)報(bào)警。如圖4所示，在本發(fā)明的另一實(shí)時(shí)監(jiān)控系統(tǒng)的實(shí)施例中，還可以包括一審計(jì)模塊 410，其中
審計(jì)模塊410與訪問控制模塊110、數(shù)據(jù)控制模塊120以及業(yè)務(wù)控制模塊130均相連， 用于對該訪問日志、操作日志以及業(yè)務(wù)日志進(jìn)行跟蹤審計(jì)。服務(wù)器在整個(gè)運(yùn)行過程中，都會 觸發(fā)該審計(jì)模塊，審計(jì)模塊根據(jù)事件執(zhí)行的成功與失敗判定是否進(jìn)行審計(jì)。如果決定需要 進(jìn)行審計(jì)，則會將審計(jì)記錄提交到一審計(jì)隊(duì)列，當(dāng)審計(jì)隊(duì)列滿時(shí)喚醒一審計(jì)進(jìn)程，該審計(jì)進(jìn) 程讀取審計(jì)記錄進(jìn)行審計(jì)。實(shí)施例二、基于Iinux平臺的服務(wù)器安全性能實(shí)時(shí)監(jiān)控方法
請參考圖1至圖3以及相應(yīng)的文字說明，如圖5所示的本實(shí)施例主要包括如下步驟 步驟S510，接收訪問者提交的對該服務(wù)器的訪問請求，在該訪問者合法時(shí)根據(jù)該訪問 請求生成訪問日志，根據(jù)該訪問日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；
步驟S520，接收合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)的操作請求，在合法的該訪問 者對該目標(biāo)數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)該操作請求對應(yīng)的操作生成操作日志，根據(jù)該操作日 志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；
步驟S530，在該服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日志，并根 據(jù)該業(yè)務(wù)日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。其中，上述的在該訪問者合法時(shí)根據(jù)該訪問請求生成訪問日志的步驟，可以包 括
判斷該訪問請求是否合法；
判斷出該訪問請求合法時(shí)允許該訪問者對該服務(wù)器的業(yè)務(wù)訪問； 合法的訪問者根據(jù)該訪問請求對該服務(wù)器進(jìn)行該業(yè)務(wù)訪問時(shí)生成訪問日志。其中，上述的在合法的該訪問者對該目標(biāo)數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)該操作請求對 應(yīng)的操作生成操作日志的步驟，可以包括
根據(jù)該操作請求判斷該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)是 否具備該操作權(quán)限；
判斷出該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)具備該操作權(quán)限 時(shí)允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作；
允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作時(shí)，根據(jù)該操作請求對應(yīng)的操作生成該操作
日志ο其中，上述的在該服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日志 的步驟，可以包括
根據(jù)該服務(wù)器對外的業(yè)務(wù)訪問的特點(diǎn)及用戶關(guān)心的業(yè)務(wù)內(nèi)容制定標(biāo)準(zhǔn)的該訪問規(guī)
則；
該服務(wù)器根據(jù)標(biāo)準(zhǔn)的該訪問規(guī)則對外進(jìn)行該業(yè)務(wù)訪問時(shí)生成該業(yè)務(wù)日志。其中，本實(shí)施例的該方法可以進(jìn)一步包括步驟 對該訪問日志、操作日志以及業(yè)務(wù)日志進(jìn)行跟蹤審計(jì)。本發(fā)明的技術(shù)方案在具體實(shí)現(xiàn)時(shí)，可以首先定義系統(tǒng)的環(huán)境變量，包括主機(jī)信息， 數(shù)據(jù)庫的安裝目錄以及其他一些信息，主要用來正確識別服務(wù)器的某個(gè)具體應(yīng)用的。然后利用Iinux系統(tǒng)自身的監(jiān)控命令如T0P、SAR以及Uptime等獲取主機(jī)服務(wù)器運(yùn)行的時(shí)間，系 統(tǒng)資源運(yùn)行是否正常，將所有這些信息都記錄到相關(guān)的日志文件中，最后通過網(wǎng)絡(luò)傳輸將 相應(yīng)的日志文件拷貝到安全服務(wù)器上為后續(xù)數(shù)據(jù)分析做準(zhǔn)備。系統(tǒng)總是循環(huán)監(jiān)測被測服務(wù) 器的業(yè)務(wù)處理結(jié)果是否達(dá)到某項(xiàng)指標(biāo)的閾值。如果達(dá)到該閾值，則調(diào)用監(jiān)控接口進(jìn)行監(jiān)控 和報(bào)警。監(jiān)控接口的主要功能是根據(jù)數(shù)據(jù)分析獲取的服務(wù)器安全級別，判定通知用戶的方 式是選擇郵件還是手機(jī)方式，如果安全級別比較高，就直接通過短信發(fā)送給用戶，如果安全 級別比較低的，則通過郵件發(fā)送給用戶，如果只是一些警告的話，可以后期處理。在結(jié)果顯 示處理就是根據(jù)數(shù)據(jù)分析處理的結(jié)果，進(jìn)行歷史數(shù)據(jù)的整理，然后繪制成圖表的形式，便于 用戶分析整個(gè)服務(wù)器運(yùn)行過程的安全性能變化趨勢。本發(fā)明基于Iinux平臺的提高服務(wù)器安全性能并且實(shí)時(shí)預(yù)警的技術(shù)方案，在提高 了服務(wù)器安全性的同時(shí)還加入審計(jì)功能，防止一旦發(fā)生服務(wù)器安全性問題時(shí)可以進(jìn)行審計(jì) 跟蹤，防止抵賴發(fā)生，并通過實(shí)時(shí)預(yù)警機(jī)制，提醒管理人員采取及時(shí)措施。另外，本發(fā)明技術(shù) 方案引入了多層防御技術(shù)，訪問控制模塊可以利用加密機(jī)制和口令控制，訪問控制模塊可 以利用數(shù)據(jù)庫安全加密技術(shù)提供到列的加密機(jī)制和審計(jì)跟蹤處理，業(yè)務(wù)控制模塊可以提供 日志分析和管理功能，包括日志的壓縮，轉(zhuǎn)儲等。本發(fā)明的技術(shù)方案既適合于數(shù)據(jù)安全要求嚴(yán)格的用戶部署安全性架構(gòu)方案，又適 合于研發(fā)安全性服務(wù)器，提高安全服務(wù)器的性能。對于維護(hù)人員而言，通過本發(fā)明的技術(shù)方 案可以很好地解決因安全問題造成的抵賴發(fā)生，同時(shí)可以盡快采取措施，將損失降到最小。 而且，本發(fā)明的技術(shù)方案還具有及時(shí)、準(zhǔn)確、可擴(kuò)展性強(qiáng)、對服務(wù)器資源占有率低等諸多優(yōu)
點(diǎn)ο本發(fā)明的技術(shù)方案能夠?qū)崟r(shí)監(jiān)控服務(wù)器的運(yùn)行狀況，并且通過訂制策略來及時(shí)準(zhǔn) 確的反饋系統(tǒng)存在的安全威脅。利用緩沖區(qū)技術(shù)，降低系統(tǒng)負(fù)載，并且提供了因磁盤空間不 足采用循環(huán)日志覆蓋策略和壓縮備份功能，這些都是傳統(tǒng)性能監(jiān)控方法以及普通審計(jì)安全 監(jiān)控技術(shù)難以實(shí)現(xiàn)的。本領(lǐng)域的技術(shù)人員應(yīng)該明白，上述的本發(fā)明系統(tǒng)或裝置實(shí)施例中的各模塊、子模 塊，和/或方法實(shí)施例中的各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn)，它們可以集中在單個(gè)的 計(jì)算裝置上，或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上，可選地，它們可以用計(jì)算裝置可執(zhí) 行的程序代碼來實(shí)現(xiàn)，從而，可以將它們存儲在存儲裝置中由計(jì)算裝置來執(zhí)行，或者將它們 分別制作成各個(gè)集成電路模塊，或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊 來實(shí)現(xiàn)。這樣，本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。雖然本發(fā)明所揭露的實(shí)施方式如上，但所述的內(nèi)容只是為了便于理解本發(fā)明而采 用的實(shí)施方式，并非用以限定本發(fā)明。任何本發(fā)明所屬技術(shù)領(lǐng)域內(nèi)的技術(shù)人員，在不脫離本 發(fā)明所揭露的精神和范圍的前提下，可以在實(shí)施的形式上及細(xì)節(jié)上作任何的修改與變化， 但本發(fā)明的專利保護(hù)范圍，仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)。
權(quán)利要求
1.一種基于Iinux平臺的服務(wù)器安全性能實(shí)時(shí)監(jiān)控系統(tǒng)，包括訪問控制模塊，用于接收訪問者提交的對該服務(wù)器的訪問請求，在該訪問者合法時(shí)根 據(jù)該訪問請求生成訪問日志，根據(jù)該訪問日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；數(shù)據(jù)控制模塊，用于接收合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)的操作請求，在合法 的該訪問者對該目標(biāo)數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)該操作請求對應(yīng)的操作生成操作日志，根據(jù) 該操作日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；業(yè)務(wù)控制模塊，用于該服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日 志，并根據(jù)該業(yè)務(wù)日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。
2.根據(jù)權(quán)利要求1所述的系統(tǒng)，其中，該訪問控制模塊包括 第一接收子模塊，用于接收該訪問者提交的該訪問請求； 第一判斷子模塊，用于判斷該訪問請求是否合法；第一使能子模塊，用于該第一判斷子模塊判斷出該訪問請求合法時(shí)允許該訪問者對該 服務(wù)器的業(yè)務(wù)訪問；第一生成子模塊，用于合法的訪問者根據(jù)該訪問請求對該服務(wù)器進(jìn)行該業(yè)務(wù)訪問時(shí)生 成訪問日志；第一監(jiān)控子模塊，用于根據(jù)該訪問日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。
3.根據(jù)權(quán)利要求1所述的系統(tǒng)，其中，該訪問控制模塊包括第二接收子模塊，用于接收該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù) 據(jù)的該操作請求；第二判斷子模塊，用于根據(jù)該操作請求判斷該訪問控制模塊認(rèn)為合法的該訪問者對該 服務(wù)器中目標(biāo)數(shù)據(jù)是否具備該操作權(quán)限；第二使能子模塊，用于該第二判斷模塊判斷出該訪問控制模塊認(rèn)為合法的該訪問者對 該服務(wù)器中目標(biāo)數(shù)據(jù)具備該操作權(quán)限時(shí)允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作；第二生成子模塊，用于該第二使能子模塊允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作 時(shí)，根據(jù)該操作請求對應(yīng)的操作生成該操作日志；第二監(jiān)控子模塊，用于根據(jù)該操作日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。
4.根據(jù)權(quán)利要求1所述的系統(tǒng)，其中，該業(yè)務(wù)控制模塊包括制定子模塊，用于根據(jù)該服務(wù)器對外的業(yè)務(wù)訪問的特點(diǎn)及用戶關(guān)心的業(yè)務(wù)內(nèi)容制定標(biāo) 準(zhǔn)的該訪問規(guī)則；第三生成子模塊，用于該服務(wù)器根據(jù)標(biāo)準(zhǔn)的該訪問規(guī)則對外進(jìn)行該業(yè)務(wù)訪問時(shí)生成該 業(yè)務(wù)日志；第三監(jiān)控子模塊，用于根據(jù)該業(yè)務(wù)日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。
5.根據(jù)權(quán)利要求1所述的系統(tǒng)，其中，該系統(tǒng)進(jìn)一步包括審計(jì)模塊，用于對該訪問日志、操作日志以及業(yè)務(wù)日志進(jìn)行跟蹤審計(jì)。
6.一種基于Iinux平臺的服務(wù)器安全性能實(shí)時(shí)監(jiān)控方法，包括接收訪問者提交的對該服務(wù)器的訪問請求，在該訪問者合法時(shí)根據(jù)該訪問請求生成訪 問日志，根據(jù)該訪問日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；接收合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)的操作請求，在合法的該訪問者對該目標(biāo) 數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)該操作請求對應(yīng)的操作生成操作日志，根據(jù)該操作日志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能；在該服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日志，并根據(jù)該業(yè)務(wù)日 志實(shí)時(shí)監(jiān)控該服務(wù)器的安全性能。
7.根據(jù)權(quán)利要求6所述的方法，其中，在該訪問者合法時(shí)根據(jù)該訪問請求生成訪問日 志的步驟，包括判斷該訪問請求是否合法；判斷出該訪問請求合法時(shí)允許該訪問者對該服務(wù)器的業(yè)務(wù)訪問； 合法的訪問者根據(jù)該訪問請求對該服務(wù)器進(jìn)行該業(yè)務(wù)訪問時(shí)生成訪問日志。
8.根據(jù)權(quán)利要求6所述的方法，其中，在合法的該訪問者對該目標(biāo)數(shù)據(jù)具備操作權(quán)限 時(shí)根據(jù)該操作請求對應(yīng)的操作生成操作日志的步驟，包括根據(jù)該操作請求判斷該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)是 否具備該操作權(quán)限；判斷出該訪問控制模塊認(rèn)為合法的該訪問者對該服務(wù)器中目標(biāo)數(shù)據(jù)具備該操作權(quán)限 時(shí)允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作；允許合法的該訪問者對該目標(biāo)數(shù)據(jù)的操作時(shí)，根據(jù)該操作請求對應(yīng)的操作生成該操作日志ο
9.根據(jù)權(quán)利要求6所述的方法，其中，在該服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù) 訪問時(shí)生成業(yè)務(wù)日志的步驟，包括根據(jù)該服務(wù)器對外的業(yè)務(wù)訪問的特點(diǎn)及用戶關(guān)心的業(yè)務(wù)內(nèi)容制定標(biāo)準(zhǔn)的該訪問規(guī)則；該服務(wù)器根據(jù)標(biāo)準(zhǔn)的該訪問規(guī)則對外進(jìn)行該業(yè)務(wù)訪問時(shí)生成該業(yè)務(wù)日志。
10.根據(jù)權(quán)利要求6所述的方法，其中，該方法進(jìn)一步包括 對該訪問日志、操作日志以及業(yè)務(wù)日志進(jìn)行跟蹤審計(jì)。
全文摘要
本發(fā)明公開了一種基于linux平臺的服務(wù)器安全性能實(shí)時(shí)監(jiān)控方法及系統(tǒng)，克服現(xiàn)有的基于linux平臺的服務(wù)器安全性能監(jiān)控方案不能實(shí)現(xiàn)實(shí)時(shí)監(jiān)控的缺陷，其中該系統(tǒng)包括訪問控制模塊，用于訪問者提交的對服務(wù)器的訪問請求合法時(shí)生成訪問日志以實(shí)時(shí)監(jiān)控服務(wù)器的安全性能；數(shù)據(jù)控制模塊，用于合法的訪問者對服務(wù)器中目標(biāo)數(shù)據(jù)具備操作權(quán)限時(shí)根據(jù)操作請求對應(yīng)的操作生成操作日志以實(shí)時(shí)監(jiān)控服務(wù)器的安全性能；業(yè)務(wù)控制模塊，用于服務(wù)器按照標(biāo)準(zhǔn)的訪問規(guī)則對外進(jìn)行業(yè)務(wù)訪問時(shí)生成業(yè)務(wù)日志以實(shí)時(shí)監(jiān)控服務(wù)器的安全性能。本發(fā)明實(shí)現(xiàn)了對服務(wù)器安全性能的實(shí)時(shí)監(jiān)控。
文檔編號H04L12/24GK102143168SQ20111004713
公開日2011年8月3日 申請日期2011年2月28日 優(yōu)先權(quán)日2011年2月28日
發(fā)明者王友升 申請人:浪潮(北京)電子信息產(chǎn)業(yè)有限公司