基于linux平台服务器安全性能实时监控方法及系统

暂无

基于linux平台服务器安全性能实时监控方法及系统\n技术领域\n[0001] 本发明涉及服务器安全性能监控技术，尤其涉及一种基于linux平台的服务器安全性能实时监控方法及系统。\n背景技术\n[0002] 随着信息化进程的加快，计算机及网络已经在各行各业中得到广泛应用，安全性问题已变得越来越重要。对数据保密性要求较高的客户，迫切需要安全性服务器提供安全保障。另一方面，业务管理人员也迫切需要安全性架构技术提高自身系统的安全性能。\n[0003] 目前，虽然已有少量linux平台的服务器安全性能监控方案，但是还都不能做到实时监控，而且在监控时对主机资源的占用率比较高，通用性也较差，主要是针对具体行业或者应用进行的，不能动态灵活地进行扩充。\n发明内容\n[0004] 本发明所要解决的技术问题是需要提供一种服务器安全性能实时监控技术，克服现有的基于linux平台的服务器安全性能监控方案不能实现实时监控的缺陷。\n[0005] 为了解决上述技术问题，本发明首先提供了一种基于linux平台的服务器安全性能实时监控系统，包括：\n[0006] 访问控制模块，用于接收访问者提交的对该服务器的访问请求，在该访问者合法时根据该访问请求生成访问日志，根据该访问日志实时监控该服务器的安全性能；\n[0007] 数据控制模块，用于接收合法的该访问者对该服务器中目标数据的操作请求，在合法的该访问者对该目标数据具备操作权限时根据该操作请求对应的操作生成操作日志，根据该操作日志实时监控该服务器的安全性能；\n[0008] 业务控制模块，用于该服务器按照标准的访问规则对外进行业务访问时生成业务日志，并根据该业务日志实时监控该服务器的安全性能。\n[0009] 优选地，该访问控制模块包括：\n[0010] 第一接收子模块，用于接收该访问者提交的该访问请求；\n[0011] 第一判断子模块，用于判断该访问请求是否合法；\n[0012] 第一使能子模块，用于该第一判断子模块判断出该访问请求合法时允许该访问者对该服务器的业务访问；\n[0013] 第一生成子模块，用于合法的访问者根据该访问请求对该服务器进行该业务访问时生成访问日志；\n[0014] 第一监控子模块，用于根据该访问日志实时监控该服务器的安全性能。\n[0015] 优选地，该访问控制模块包括：\n[0016] 第二接收子模块，用于接收该访问控制模块认为合法的该访问者对该服务器中目标数据的该操作请求；\n[0017] 第二判断子模块，用于根据该操作请求判断该访问控制模块认为合法的该访问者对该服务器中目标数据是否具备该操作权限；\n[0018] 第二使能子模块，用于该第二判断模块判断出该访问控制模块认为合法的该访问者对该服务器中目标数据具备该操作权限时允许合法的该访问者对该目标数据的操作；\n[0019] 第二生成子模块，用于该第二使能子模块允许合法的该访问者对该目标数据的操作时，根据该操作请求对应的操作生成该操作日志；\n[0020] 第二监控子模块，用于根据该操作日志实时监控该服务器的安全性能。\n[0021] 优选地，该业务控制模块包括：\n[0022] 制定子模块，用于根据该服务器对外的业务访问的特点及用户关心的业务内容制定标准的该访问规则；\n[0023] 第三生成子模块，用于该服务器根据标准的该访问规则对外进行该业务访问时生成该业务日志；\n[0024] 第三监控子模块，用于根据该业务日志实时监控该服务器的安全性能。\n[0025] 优选地，该系统进一步包括：\n[0026] 审计模块，用于对该访问日志、操作日志以及业务日志进行跟踪审计。\n[0027] 为了解决上述技术问题，本发明还提供了一种基于linux平台的服务器安全性能实时监控方法，包括：\n[0028] 接收访问者提交的对该服务器的访问请求，在该访问者合法时根据该访问请求生成访问日志，根据该访问日志实时监控该服务器的安全性能；\n[0029] 接收合法的该访问者对该服务器中目标数据的操作请求，在合法的该访问者对该目标数据具备操作权限时根据该操作请求对应的操作生成操作日志，根据该操作日志实时监控该服务器的安全性能；\n[0030] 在该服务器按照标准的访问规则对外进行业务访问时生成业务日志，并根据该业务日志实时监控该服务器的安全性能。\n[0031] 优选地，在该访问者合法时根据该访问请求生成访问日志的步骤，包括：\n[0032] 判断该访问请求是否合法；\n[0033] 判断出该访问请求合法时允许该访问者对该服务器的业务访问；\n[0034] 合法的访问者根据该访问请求对该服务器进行该业务访问时生成访问日志。\n[0035] 优选地，在合法的该访问者对该目标数据具备操作权限时根据该操作请求对应的操作生成操作日志的步骤，包括：\n[0036] 根据该操作请求判断该访问控制模块认为合法的该访问者对该服务器中目标数据是否具备该操作权限；\n[0037] 判断出该访问控制模块认为合法的该访问者对该服务器中目标数据具备该操作权限时允许合法的该访问者对该目标数据的操作；\n[0038] 允许合法的该访问者对该目标数据的操作时，根据该操作请求对应的操作生成该操作日志。\n[0039] 优选地，在该服务器按照标准的访问规则对外进行业务访问时生成业务日志的步骤，包括：\n[0040] 根据该服务器对外的业务访问的特点及用户关心的业务内容制定标准的该访问规则；\n[0041] 该服务器根据标准的该访问规则对外进行该业务访问时生成该业务日志。\n[0042] 优选地，该方法进一步包括：\n[0043] 对该访问日志、操作日志以及业务日志进行跟踪审计。\n[0044] 本发明的技术方案中，包括日志的传输和分析，主机系统状态数据的监控以及数据分析等都是基于linux技术实现的，因此本发明的技术方案是基于linux平台的动态服务器安全性能监控技术，其与传统的服务器性能监控技术相比，主要的优点表现在：\n[0045] （1）获取的数据信息及时、准确、可扩充性好，可以随时填充监控事件，满足安全监控需求；自始至终都在监控服务器的安全状况，确保获取信息的及时以及准确性；利用数据控制模块和业务控制模块根据应用的特点进行灵活定义，而且提供可开放的接口供用户定义监控事件，因此扩充性以及通用性强，满足不通用户的监控需求。\n[0046] （2）灵活方便，对服务器资源占用率低，通过引入缓冲区技术，批量更新缓冲数据，提高了服务器的资源利用率，减轻了服务器的负担；通过引入缓冲区技术，将访问控制模块中产生的大量的访问日志先提交到缓冲区，待一段时间或者缓冲区满时再批量提交到硬盘上，这样避免磁盘IO的争用，减轻了服务器的写负担，提高了磁盘IO性能。\n[0047] （3）采用文本文件格式作为传输文件，大大降低网络带宽；在本发明的技术方案中，所生成的访问日志均以文本格式进行记录和传输，如此便于处理，而且文本格式数据本身占用字节少，数据传输时节省网络带宽。\n[0048] （4）安全性高，利用多层防御机制，大大提高了服务器安全性；本发明的技术方案中，首先通过访问控制模块屏蔽掉非法的请求者，然后通过数据控制模块来进一步控制部分合法请求者的访问，最后还通过业务控制模块来记录合法请求者的行为，通过层层防御，大大提高了服务器的安全性。\n[0049] 本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。\n附图说明\n[0050] 附图用来提供对本发明技术方案的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明的技术方案，并不构成对本发明技术方案的限制。在附图中：\n[0051] 图1是本发明实施例一服务器安全监控系统的组成示意图；\n[0052] 图2是图1所示实施例中访问控制模块的组成示意图；\n[0053] 图3是图1所示实施例中数据控制模块的组成示意图；\n[0054] 图4是本发明另一实施例服务器安全监控系统的组成示意图；\n[0055] 图5是本发明实施例二服务器安全监控方法的流程示意图。\n具体实施方式\n[0056] 以下将结合附图及实施例来详细说明本发明的实施方式，借此对本发明如何应用技术手段来解决技术问题，并达成技术效果的实现过程能充分理解并据以实施。\n[0057] 首先，如果不冲突，本发明实施例以及实施例中的各个特征的相互结合，均在本发明的保护范围之内。另外，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。\n[0058] 实施例一、基于linux平台的服务器安全监控系统\n[0059] 如图1所示，本实施例安全监控系统100主要包括访问控制模块110、数据控制模块120以及业务控制模块130，其中：\n[0060] 访问控制模块110，用于监控访问者对服务器200的业务访问，接收访问者提交的对服务器200的访问请求并判断该访问请求是否合法，该访问请求合法则根据合法的访问者对服务器200的业务访问生成访问日志并记录、分析和跟踪，并根据该访问日志监控服务器200的安全性能；\n[0061] 数据控制模块120，与该访问控制模块110及服务器200相连，用于接收访问控制模块110认为访问请求合法的访问者对服务器200中目标数据的数据操作请求，并判断访问者对目标数据是否具备操作权限；在合法的该访问者对该目标数据具备操作权限时根据操作请求所对应的操作生成操作日志，并根据操作日志实时监控服务器200的安全性能；\n在此过程中，通过数据库的安全机制在安全监控的粒度上采取灵活的监控策略，实施数据库级别的跟踪，以此判断访问者对目标数据是否具备操作权限等，并保证服务器200安全性能的实时监控；\n[0062] 业务控制模块130，与服务器200相连，用于按照标准的访问规则监控服务器200对外的业务访问，在服务器200根据标准的访问规则对外进行业务访问时生成业务日志，并根据业务日志实时监控服务器200的安全性能；在分析处理层将服务器200对外访问所存在的潜在安全问题分等级列出，并通过标准的访问规则规则确保达到一定预警级别时，以短信、邮件等方式告知客户，以便客户及时作出响应。\n[0063] 该业务控制模块130将访问规则标准化的过程，是根据服务器对外的业务访问的特点及用户所关心的业务内容进行灵活制定的，例如一个机密文件，如果一个非授权请求者（或者说非法请求者）试图连续3次访问以尝试打开这个文件，那么就可以触发预警，生成访问日志以记录该请求者为潜在怀疑对象。又比如服务器网络长时间内网卡利用率都超过\n95%，那么也可以触发预警，认为该服务器可能受到某站点的网络攻击或者中病毒。此处的该机密文件3次访问和95%的网络卡利用率就是相应行为的标准化规则。\n[0064] 如果定义请求者（用户）连续3次访问未对其授权的机密文件（也即访问请求不合法）时，其服务器安全等级为0，连续20次访问该机密文件时，其服务器安全等级为1，连续\n30次访问，其服务器安全等级定义为2，如果分析处理层统计到安全等级为2时，将禁止服务器为该用户提供服务。由此可见，所有的分析数据都源于用户的行为记录，分析处理层可以根据这些规则，抽取访问日志中的信息进行分析，列出安全问题等级。\n[0065] 在本实施例中，上述的访问控制模块110如图2所示，可以包括第一接收子模块\n210、第一判断子模块220、第一使能子模块230、第一生成子模块240以及第一监控子模块\n250，其中：\n[0066] 第一接收子模块210，用于接收访问者所提交的访问请求；\n[0067] 第一判断子模块220，与第一接收子模块210相连，用于判断第一接收子模块210所接收的访问请求是否合法；\n[0068] 第一使能子模块230，与第一判断子模块220相连，用于第一判断子模块220判断出第一接收子模块210所接收的访问请求合法时允许访问者对该服务器的业务访问；\n[0069] 第一生成子模块240，与该第一接收子模块210及第一使能子模块230相连，用于合法的访问者根据访问请求对该服务器进行该业务访问时生成访问日志；\n[0070] 第一监控子模块250，与该第一生成子模块240相连，用于根据访问日志实时监控该服务器的安全性能，并可以在必要时根据监控结果进行实时报警。\n[0071] 上述的数据控制模块120主要是用于抵御突破访问控制模块110的入侵者，防止入侵者破坏服务器中数据库所存储的数据。本模块采用角色-视图-用户权限的管理机制来实现，细化到表数据中的列，同时针对数据库存储的关键数据采用加密机制处理。\n[0072] 上述角色-视图-用户权限的管理机制中，角色的定义是为了便于安全权限的管理，是将细粒度的对某个数据读和/或写权限的一个组合，譬如李工可以读和/或写某个表的数据，那么就可以定义对该表的一个角色，为读写。如果王工也具有读写这个表的角色的话，那么直接将这个角色赋给王工，而不需要单独赋权限，这个角色可以灵活定义。视图是为了屏蔽真实数据，根据用户权限进行设置，用户只能看到属于授权范围内的数据，而不能看到超出授权范围之外的数据。上述细化到表数据中的列的含义是指数据安全控制的粒度可达到一列数据，譬如银行账号表的用户姓名列进行保密，就可以对姓名列加密控制，该用户的年龄可以让用户看到，则可以不进行加密。\n[0073] 在本实施例中，上述的数据控制模块120如图3所示，可以包括第二接收子模块\n310、第二判断子模块320、第二使能子模块330、第二生成子模块340以及第二监控子模块\n350，其中：\n[0074] 第二接收子模块310，与该访问控制模块110相连，用于接收访问控制模块110认为合法的访问者对服务器中目标数据的操作请求；\n[0075] 第二判断子模块320，与该访问控制模块110及第二接收子模块310相连，用于根据该操作请求判断访问控制模块110认为合法的访问者对服务器中目标数据是否具备相应的操作权限；\n[0076] 第二使能子模块330，与第二判断子模块320相连，用于第二判断模块判断出访问控制模块110认为合法的访问者对服务器中目标数据具备相应的操作权限时允许合法的访问者对目标数据的操作；\n[0077] 第二生成子模块340，与第二使能子模块330相连，用于第二使能子模块330允许合法的访问者对目标数据的操作时，根据操作请求对应的操作生成操作日志；\n[0078] 第二监控子模块350，与第二生成子模块340相连，用于根据操作日志实时监控服务器的安全性能，并可以在必要时根据监控结果进行实时报警。\n[0079] 在本实施例中，上述的业务控制模块130可以包括制定子模块、第三生成子模块以及第三监控子模块，其中：\n[0080] 制定子模块，用于根据该服务器对外的业务访问的特点及用户关心的业务内容制定标准的该访问规则；\n[0081] 第三生成子模块，与该制定子模块相连，用于该服务器根据标准的该访问规则对外进行该业务访问时生成业务日志；\n[0082] 第三监控子模块，与第三生成子模块相连，用于根据该业务日志实时监控服务器的安全性能，并可以在必要时根据监控结果进行实时报警。\n[0083] 如图4所示，在本发明的另一实时监控系统的实施例中，还可以包括一审计模块\n410，其中：\n[0084] 审计模块410与访问控制模块110、数据控制模块120以及业务控制模块130均相连，用于对该访问日志、操作日志以及业务日志进行跟踪审计。服务器在整个运行过程中，都会触发该审计模块，审计模块根据事件执行的成功与失败判定是否进行审计。如果决定需要进行审计，则会将审计记录提交到一审计队列，当审计队列满时唤醒一审计进程，该审计进程读取审计记录进行审计。\n[0085] 实施例二、基于linux平台的服务器安全性能实时监控方法\n[0086] 请参考图1至图3以及相应的文字说明，如图5所示的本实施例主要包括如下步骤：\n[0087] 步骤S510，接收访问者提交的对该服务器的访问请求，在该访问者合法时根据该访问请求生成访问日志，根据该访问日志实时监控该服务器的安全性能；\n[0088] 步骤S520，接收合法的该访问者对该服务器中目标数据的操作请求，在合法的该访问者对该目标数据具备操作权限时根据该操作请求对应的操作生成操作日志，根据该操作日志实时监控该服务器的安全性能；\n[0089] 步骤S530，在该服务器按照标准的访问规则对外进行业务访问时生成业务日志，并根据该业务日志实时监控该服务器的安全性能。\n[0090] 其中，上述的在该访问者合法时根据该访问请求生成访问日志的步骤，可以包括：\n[0091] 判断该访问请求是否合法；\n[0092] 判断出该访问请求合法时允许该访问者对该服务器的业务访问；\n[0093] 合法的访问者根据该访问请求对该服务器进行该业务访问时生成访问日志。\n[0094] 其中，上述的在合法的该访问者对该目标数据具备操作权限时根据该操作请求对应的操作生成操作日志的步骤，可以包括：\n[0095] 根据该操作请求判断该访问控制模块认为合法的该访问者对该服务器中目标数据是否具备该操作权限；\n[0096] 判断出该访问控制模块认为合法的该访问者对该服务器中目标数据具备该操作权限时允许合法的该访问者对该目标数据的操作；\n[0097] 允许合法的该访问者对该目标数据的操作时，根据该操作请求对应的操作生成该操作日志。\n[0098] 其中，上述的在该服务器按照标准的访问规则对外进行业务访问时生成业务日志的步骤，可以包括：\n[0099] 根据该服务器对外的业务访问的特点及用户关心的业务内容制定标准的该访问规则；\n[0100] 该服务器根据标准的该访问规则对外进行该业务访问时生成该业务日志。\n[0101] 其中，本实施例的该方法可以进一步包括步骤：\n[0102] 对该访问日志、操作日志以及业务日志进行跟踪审计。\n[0103] 本发明的技术方案在具体实现时，可以首先定义系统的环境变量，包括主机信息，数据库的安装目录以及其他一些信息，主要用来正确识别服务器的某个具体应用的。然后利用linux系统自身的监控命令如TOP、SAR以及Uptime等获取主机服务器运行的时间，系统资源运行是否正常，将所有这些信息都记录到相关的日志文件中，最后通过网络传输将相应的日志文件拷贝到安全服务器上为后续数据分析做准备。系统总是循环监测被测服务器的业务处理结果是否达到某项指标的阈值。如果达到该阈值，则调用监控接口进行监控和报警。监控接口的主要功能是根据数据分析获取的服务器安全级别，判定通知用户的方式是选择邮件还是手机方式，如果安全级别比较高，就直接通过短信发送给用户，如果安全级别比较低的，则通过邮件发送给用户，如果只是一些警告的话，可以后期处理。在结果显示处理就是根据数据分析处理的结果，进行历史数据的整理，然后绘制成图表的形式，便于用户分析整个服务器运行过程的安全性能变化趋势。\n[0104] 本发明基于linux平台的提高服务器安全性能并且实时预警的技术方案，在提高了服务器安全性的同时还加入审计功能，防止一旦发生服务器安全性问题时可以进行审计跟踪，防止抵赖发生，并通过实时预警机制，提醒管理人员采取及时措施。另外，本发明技术方案引入了多层防御技术，访问控制模块可以利用加密机制和口令控制，访问控制模块可以利用数据库安全加密技术提供到列的加密机制和审计跟踪处理，业务控制模块可以提供日志分析和管理功能，包括日志的压缩，转储等。\n[0105] 本发明的技术方案既适合于数据安全要求严格的用户部署安全性架构方案，又适合于研发安全性服务器，提高安全服务器的性能。对于维护人员而言，通过本发明的技术方案可以很好地解决因安全问题造成的抵赖发生，同时可以尽快采取措施，将损失降到最小。\n而且，本发明的技术方案还具有及时、准确、可扩展性强、对服务器资源占有率低等诸多优点。\n[0106] 本发明的技术方案能够实时监控服务器的运行状况，并且通过订制策略来及时准确的反馈系统存在的安全威胁。利用缓冲区技术，降低系统负载，并且提供了因磁盘空间不足采用循环日志覆盖策略和压缩备份功能，这些都是传统性能监控方法以及普通审计安全监控技术难以实现的。\n[0107] 本领域的技术人员应该明白，上述的本发明系统或装置实施例中的各模块、子模块，和/或方法实施例中的各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。\n[0108] 虽然本发明所揭露的实施方式如上，但所述的内容只是为了便于理解本发明而采用的实施方式，并非用以限定本发明。任何本发明所属技术领域内的技术人员，在不脱离本发明所揭露的精神和范围的前提下，可以在实施的形式上及细节上作任何的修改与变化，但本发明的专利保护范围，仍须以所附的权利要求书所界定的范围为准。