[发明专利]基于的区块链的日志安全解析及存储方法

说明书

一种基于区块链的日志安全解析及存储方式，包括以下步骤：系统user生成新的日志之后，发送解析器publisher解析生成日志模板摘要以及摘要哈希值。publisher对原始日志文件、摘要、哈希值等打上数据签名，通过对称密钥k将数据进行加密，发送数据回系统进行验证，user验证通过之后，publisher将原始日志存储在云中，将日志审查信息存储在区块链中，对全网进行广播。系统完成日志解析存储。

技术领域

本发明涉及日志安全检测领域，具体为基于的区块链的日志安全解析及存储方法。

背景技术

随互联网及数字技术的飞速发展，高级持续威胁(APT)攻击的复杂多变，让人们对网络空间安全的不信任逐年增加。这时系统日志的作用就体现出来。网络设备、系统及服务程序等，在运作时都会产生一个叫log的事件记录；每一行日志都记载着日期、时间、使用者及动作等相关操作的描述。Windows网络操作系统都设计有各种各样的日志文件，如应用程序日志，安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等，这些根据系统开启的服务的不同而有所不同。在系统上进行操作时，日志文件通常会记录下操作的一些相关内容，这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测，系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等，用FTP探测后，就会在FTP日志中记下IP、时间、探测所用的用户名等。

系统日志由非结构化文本到结构化日志类型的解析，在系统日志安全监测、网络异常检测等领域具有重要的应用，根据日志解析的结果，可以明确了解系统中程序的运行顺序，进一步可以用于系统中程序工作流的构建与异常的检测；经典的日志解析方法可以较有效地解析日志，目前已有的方法可分为两类：离线方法与在线方法：离线即首先需要收集一段时间内产生的日志，一次性对这些日志进行解析，如果有新产生的日志需要解析，那么就需要重新训练；在线方法可不需要一次性载入所有需要解析的日志，而是一条一条地对日志以流式的方式进行处理。但是，上述的两种方法，在解析的日志时和进行存储的过程中容易被篡改，这样的弊端会导致，无法保证系统日志运维人员在进行日志安全检测的时候，看到的是正确的原始日志信息，给日志安全监测和网络异常检测带来极大的危害。

发明内容

本发明的目的在于针对上述问题中的方法解析的日志文件易于被篡改的问题，提出一种基于区块链的日志解析及存储方法。

本发明是通过以下技术方案来实现：

一种基于的区块链的日志安全解析及存储方法，包括以下步骤：

步骤1、将系统日志用户新生成的原始日志语句解析为日志模板摘要信息，并生成日志模板摘要信息的摘要哈希；

步骤2、对日志模板摘要信息、原始日志语句和摘要哈希进行数字签名，并生成一个随机对称密钥，然后采用对称密钥对原始日志语句、日志模板摘要信息、摘要哈希和数字签名进行加密得到密文，同时采用系统日志用户的非对称密钥的公钥对对称密钥进行加密，将密文和加密后的对称秘钥发送给系统日志用户；

步骤3、系统日志用户采用非对称密钥的私钥解密对称密钥，然后采用解密后的对称密钥对密文进行解密，并对解密得到的摘要哈希进行验证，是否与步骤1中生成的摘要哈希一致，验证通过后将解密后的原始日志语句存储在云服务器，并获取存储地址，将摘要哈希发布在区块链上，完成日志的解析存储。

优选的，步骤1中将原始日志语句解析为日志模板和日志键，作为日志模板摘要信息。

优选的，所述解析日志模板和日志键的步骤如下：

S1.1、根据正确的日志训练生成一定数量的日志模板，使用前缀树匹配方法查找原始日志语句对象列表中是否存在相同的日志模板，当匹配阈值大于设定值，得到日志模板，否则执行步骤1.2；

S1.2、使用LCS算法再次进行匹配，当匹配阈值大于设定值，得到日志模板，否则执行步骤1.3；