[发明专利]保护日志数据的完整性

说明书

公开了保护日志数据的完整性。本发明涉及一种用于保护日志数据的完整性的方法。日志数据包括与第一逻辑电路(21)的操作相关联的日志数据元素的序列。该方法(100)包括在远离第一逻辑电路(21)的第二逻辑电路(30)处接收(104)日志数据元素序列中的日志数据元素。基于日志数据元素和对于第一逻辑电路(21)来说未知的秘密信息，在第二逻辑电路(30)处生成受保护的日志数据元素(60)。

技术领域

本发明的各种示例一般涉及保护日志数据的完整性。特别是，本申请涉及一种用于保护日志数据的完整性的方法和实现该方法的计算机系统。

背景技术

日志数据——其也被称为日志消息或日志条目——可以在系统上生成并且记录系统的行为。系统可以包括例如计算机系统或网络，例如计算机网络。为了检测对系统的恶意攻击，系统可以被提供有入侵检测系统(IDS)。例如，计算机系统可以被提供有基于主机的入侵检测系统(HIDS)，并且网络可以被提供有网络入侵检测系统(NIDS)。IDS是针对恶意活动或策略违背监控网络或(多个)系统的设备或软件应用。任何恶意活动或违背可以被报告给管理员或者可以被记录在日志数据中。特别是，在对系统攻击或入侵的情况下，日志数据可以提供关于攻击或入侵是如何执行的信息。安装在计算机系统上的HIDS可以收集关于计算机系统的操作状态的信息，以便借助于该信息来检测攻击。

因此，IDS是主动监控计算机系统或计算机网络并且目的在于检测攻击的系统。一般而言，IDS可以使用两种不同的技术用于进行攻击检测：基于签名的攻击检测和基于异常的攻击检测。

基于签名的攻击检测使用存储在数据库中的攻击模式(例如指示可能的攻击的特殊日志消息)来监控活动系统。IDS通过将来自其数据库的攻击签名与活动系统行为进行比较来检测攻击。如果存储的签名与当前的系统行为匹配，则IDS将断定攻击已经发生。

基于异常的攻击检测试图基于系统行为上的改变来检测攻击。这意味着IDS在第一步骤中学习/分析系统的正常行为，并且在第二步骤中将系统的活动行为与先前学习的正常行为进行比较。如果当前行为背离先前学习的正常行为，则这可以被解释为异常并且可以是对系统的攻击的指示。可以使用统计方法或机器学习算法来作出关于系统是否已经背离正常行为的决定。为了实现这两种类型的IDS (HIDS，NIDS)，可以首先创建当前系统行为的日志数据，并且然后检查该日志数据。日志数据可以记录系统行为性质(诸如系统调用、数据访问、用户登录、失败的调用、活动的网络连接等)并且为其提供证明。

攻击计算机系统并且获得掌控系统或内核的管理员特权的攻击者可能然后改变日志数据。当日志数据记录攻击的证据并且被攻击者删除时，不可能证明攻击者在系统上的过去的和未来的活动。例如，Linux操作系统运行在处理器上。此外，HIDS可以被安装在该操作系统上，其是在用户空间中执行的或者被锚定在内核中并且监控/存储来自处理的系统调用。HIDS可以被从用户空间配置有对应的特权。如果攻击者希望攻击系统，则攻击者可能例如利用合法功能的漏洞，并且然后在系统上安装并且执行恶意软件(malware)。如果恶意软件被安装在系统上，则下一步骤是获得对内核的控制(例如，通过内核根工具箱(rootkit))并且禁用HIDS。恶意软件还可能获得用户空间区域中的完全特权(即，根权限(root right))并且重新配置HIDS。更进一步地，攻击者可能操纵由HIDS生成的日志数据，并且因此防止恶意软件的存在和活动被记入日志。最后，恶意软件可以改变过去的日志数据并且因此将其自身的攻击痕迹从日志数据删除。

日志操纵的问题可以通过若干措施来解决。例如，内核可以提供特殊的日志保护，例如，可以仅向管理员授权对日志数据的访问，或者可以完全阻止某些关键功能以便限制攻击者对系统的自由度。还存在文件完整性监控方法，但是如果攻击者具有管理员权限或完全控制内核，则所有这些措施都失败。