[发明专利]一种基于多Agent的云数据安全审计方法

说明书

技术领域

本发明涉及计算机网络中云存储数据安全领域，特别是一种基于多Agent的云数据安全审计方法。 

背景技术

安全审计是采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、处理和追踪。 

随着信息技术的发展和云存储技术的兴起，审计日志系统对检查、了解或评估云存储系统受攻击的程度来说是十分重要的。然而，目前的审计系统存在以下问题： 

1）目前几乎所有的审计系统都是简单的将敏感的日志信息以文本形式写入日志文件，或通过syslog机制将日志发送到数据库保存，由于保存日志记录的系统自身的脆弱性，使得系统一旦被入侵者突破后获取访问权限，入侵者就可以读取、修改或删除日志而不留任何“痕迹”。因此保护日志数据的完整性和真实性便成为确定日志文件是否被篡改或删除的重要工作，它是系统日志能否成为审计数据来源的关键因素。

2）根据PEO和VCR协议设计的审计日志系统不完全支持云存储的安全日志审计系统，主要表现在：不能将多种系统或应用程序的不同格式的日志集中发送到远程的日志服务器保存；仅用简单的日志加密方法来保护原始日志，没有利用消息认证码（MAC）机制校验审计人员请求访问日志的权限；系统产生的日志实时发送到日志服务器时付出的带宽较大，并且容易让攻击者获取系统权限后对日志服务器发起拒绝服务攻击（Dos），从而修改甚至删除日志；查看日志时，只要获取一个日志记录的解密密钥就可以查看后面的所有日志记录。 

3）目前的审计系统的可扩展性不够好。 

因此，设计一种适合于云存储系统的云审计方法对于保护云存储安全系统的安全具有重要的作用和意义。 

发明内容

发明目的：本发明所要解决的技术问题是针对现有技术的不足，提供一种基于多Agent的云数据安全审计方法。 

为了解决上述技术问题，本发明公开了一种基于多Agent的动态可扩展云审计方法，设置一个云审计系统，云审计系统包括GUI客户端、中央管理服务器和数据库、一台以上部署Linux Agent系统的主机，以及一台以上部署Windows Agent系统的主机； 

每台主机上都加载运行Agent事件收集子系统和Agent事件分析子系统，在受监视云审计系统中作为后台进程运行审计信息的收集和分析，并将数据分析处理后传递给中央管理者服务器；

GUI客户端用于查看各个主机的状态，并能进行数据的展示；

中央管理服务器和数据库用于接收来自主机的数据和报告，控制整个云审计系统的通信信息，对接收到的安全审计事件进行分析、存储；

Windows Agent子系统底层调用系统的应用程序编程接口api直接获取windows的事件内容，获取事件内容后，由日志采集模块对事件进行标准化，标准化为系统日志syslog事件，再发送给agent事件分析子系统；

Linux Agent系统最底层采用事件收集模块收集数据，由事件收集子系统处理为标准事件；

所述云审计系统运行以下交互流程完成云审计：

事件收集子系统采集原始事件，并将原始事件发送到Agent事件解析子系统；

Agent事件解析子系统解析并加载Linux Agent系统或者Windows Agent系统对应的分析规则文件，并根据分析规则文件中的分析规则对收集的原始事件进行标准化，并以SSL协议发送给中央管理服务器；

在交互流程中，分别加载云审计系统的正则表达式子系统、底层通信子系统和状态监测子系统：正则表达式子系统对boost库（boost库是为C++语言标准库提供扩展的一些C++程序库的总称）中的正则表达式regex库的进行封装并简化，提供正则表达式的完全匹配、部分匹配和替换接口，并提供对匹配后子串的获取与操作功能；底层通信子系统提供云审计系统后台的通信的功能，包括SSL协议的TCP通信以及UDP通信；状态监测子系统提供与状态监控服务器进行交互并且发送状态监测子系统所在的组件的心跳包UDP协议到中央管理服务器。

本发明中，Linux Agent系统事件解析执行以下流程进行事件解析： 

将原始事件传递给Agent事件解析子系统，并进行事件的初始化，加入消息队列；

构造规则树，若构造不成功记录日志并退出线程，否则从消息队列中取得一条原始事件的指针；

执行清空堆栈、清空模式匹配值表、布尔值重置、系统变量表的变量值置空；