[发明专利]一种基于访问控制的日志系统

说明书

技术领域

本发明涉及软件日志系统，尤其涉及一种基于访问控制的日志系统。

背景技术

在软件系统中，往往需要通过生成日志来记录软件系统运行过程中所发生的事 件，日志可以写在本地，也可以通过网络发送到远程日志系统。目前一些通过网络 接收日志的日志系统有Syslog Watcher、Kivi等，这些系统提供了统一的接口，通 过TCP端口(默认端口号为1468)和UDP端口(默认端口号为514)接收网络发 送来的日志，把接收到的日志写到本地文件。然而，这些系统在接收日志时并不考 虑日志的来源，而是接收所有的日志并进行处理。这样可能导致的问题有：

(1)若日志系统开放了TCP端口，恶意攻击者可以向日志系统发出成千上万 个连接请求。当TCP连接数目有限制时，在日志系统的TCP连接数目将达到上限 后，其他合法IP将无法连接日志系统，导致合法IP发送日志失败；若TCP连接 数目无限制，随着恶意连接数目的增加，日志系统需要维护大量的TCP连接，导 致日志系统性能下降，甚至不稳定或崩溃；

(2)若日志系统开放了UDP端口，恶意攻击者可以向日志系统发送大量垃圾 日志，以耗用日志系统的资源，导致日志系统效率下降，甚至不稳定或崩溃。 以上均为拒绝服务攻击，在这种情况下，为了解决上述问题，提出了一种基于 访问控制的日志系统体系结构。

发明内容

本发明的目的就是为了克服上述现有技术存在的缺陷，提供一种开放性、可扩 展性的基于访问控制的日志系统。

本发明的目的可以通过以下技术方案来实现：

一种基于访问控制的日志系统，其特征在于，该系统包括基本组件层、日志处 理输出层、访问控制策略层、网络接口层，所述的基本组件层向上与日志处理输出 层连接，所述的日志处理输出层是日志输出管理器的集合，向上与访问控制策略层 连接，所述的访问控制策略层向上与网络接口层相连，所述的网络接口层通过访问 控制策略层提供的指令来判断是否接受网络发来的日志。

所述的基本组件层为系统的最底层，包括队列互斥锁组件、异常管理组件、线 程安全队列组件、线程组件、XML组件等功能组件，这些功能组件为以上三层功 能的实现提供功能服务。

所述的日志处理输出层中的每一个日志输出管理器均可接收日志消息，并将日 志消息以预设的格式输出到预设的输出目的地。

所述的网络接口层包括开放的TCP端口、UDP端口，基于访问控制策略层所 提供的控制策略，对TCP端口接受哪些IP的连接、UDP端口接收哪些IP发送的 日志进行管理，有效地过滤非法IP。

所述的访问控制策略层包括允许策略模块和拒绝策略模块，允许策略模块和 拒绝策略模块分别定义了合法IP地址列表和非法IP地址列表，仅当IP地址位于 合法列表，且不在非法列表中时，认为是合法IP地址，TCP端口接受合法IP地址 的连接，UDP端口在接收到日志之后，对日志来源进行分析，丢弃非法IP地址发 送来的日志。

与现有技术相比，本发明具有以下优点：

(1)具有开放性结构；

(2)扩展性好；

(3)抵御拒绝服务攻击。

附图说明

图1是本发明一种基于访问控制的日志系统的结构示意图。

具体实施方式

以下结合具体实施例对本发明做进一步说明。

实施例

如图1所示，本体系结构由下至上共四层：

1.基本组件层：

基本组件层为体系结构的最低一层，实现基本功能，这层向上与日志处理输 出层连接，为以上三层功能的实现提供功能服务组件，如图1所示，如：队列互斥 锁组件、异常管理组件、线程安全队列组件、线程组件、XML组件等。以这种组 件的形式，用户在使用组件提供的服务时并不需要考虑服务的底层实现，可以方便 灵活地通过增减组件的数目来增减基本服务，达到了基本组件与上层体系结构的无 缝连接。

2.日志处理输出层：

该层中每个符合体系结构标准的日志输出管理器均可以以插件或组件形式纳 入到体系结构中。每一个日志输出管理器可以接收日志并输出到相应的输出目的 地，其彼此之间是独立的。如图1所示，日志可以写本地文件、写数据库、写本地 系统事件等。

3.访问控制策略层：