[发明专利]一种系统日志安全检测方法及装置、电子设备及存储介质

说明书

本发明提供了一种系统日志安全检测方法及装置、电子设备及存储介质，该方法包括：响应于目标日志文件的文件头信息内的文件校验和发生改变，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块；获取目标事件记录信息的当前摘要信息以及历史摘要信息；目标事件记录信息为目标数据块中包含的事件记录信息；若任意目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示。本发明在系统日志内容校验算法的基础上，通过记录校验和以及目标日志文件的摘要信息的对比，来检测目标日志文件是否存在被篡改的情况，与现有的日志防篡改技术相比，可以在保护日志的完整性的同时，对目标日志文件进行安全检测。

背景技术

系统日志通常存储在系统未经严格保护的目录中，并以文本作为载体，采用明文方式存储，由于未经加密和校验处理，且缺乏有效的日志安全保护机制，因此，日志文件并不一定是安全可靠的，攻击者可能会通过篡改日志文件，从而使系统日志不能被视为有效的电子证据。

现有的日志防篡改技术主要是从文件系统驱动层面针对系统安全日志服务进行实时监测，并对监测到的系统安全日志的修改行为进行拦截。但在高级威胁活动中，可利用技术手段中断事件日志服务，基于Windows日志的文件结构和日志内容校验算法，随后针对事件日志进行修改，所以，目前的日志防篡改技术会破坏系统日志的完整性。

发明内容

有鉴于此，本发明提供一种系统日志安全检测方法及装置、电子设备及存储介质，至少部分解决现有技术中存在的技术问题，本发明采用的技术方案为：

根据本申请的一个方面，提供一种系统日志安全检测方法，包括：

响应于目标日志文件的文件头信息内的文件校验和发生改变，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块；

获取目标事件记录信息的当前摘要信息以及历史摘要信息；目标事件记录信息为目标数据块中包含的事件记录信息；

若任意目标事件记录信息对应的当前摘要信息和历史摘要信息存在差异，则输出报警提示。

在本申请的一种示例性实施例中，目标日志文件的文件头信息内的文件校验和发生改变，包括：

每隔预设获取时间，获取目标日志文件的文件头信息的历史文件校验和以及当前文件校验和；

若文件头信息的历史文件校验和与当前文件校验和存在差异，则判定目标日志文件的文件头信息内的文件校验和发生改变。

在本申请的一种示例性实施例中，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块，包括：

获取目标日志文件包含的每一原始数据块的历史数据块校验和与对应的当前数据块校验和；

若原始数据块的历史数据块校验和与对应的当前数据块校验和存在差异，则将该原始数据块确定为目标数据块。

在本申请的一种示例性实施例中，在响应于目标日志文件的文件头信息内的文件校验和发生改变，从目标日志文件包含的若干原始数据块中确定出至少一个目标数据块之前，所述系统日志安全检测方法，还包括：

依次获取目标日志文件中包含的每一原始数据块的大小，若依次连续的至少部分原始数据块的大小之和小于等于预设容量阈值，则将此部分原始数据块合并为日志子文件；日志子文件中包含对应的每一原始数据块的起始记录生成时间和截止记录生成时间，起始记录生成时间为对应的原始数据块包含的首个原始事件记录信息的生成时间，截止记录生成时间为对应的原始数据块包含的最后一个原始事件记录信息的生成时间，原始事件记录信息为对应的原始数据块中包含的事件记录信息；

将目标日志文件中包含的若干日志子文件复制到预设存储空间中；

若目标日志文件存在新增数据块，则获取新增数据块的大小与预设存储空间中的最后一个日志子文件的大小之和，若其小于等于预设容量阈值，则将新增数据块复制到预设存储空间中的最后一个日志子文件中；若其大于预设容量阈值，则在预设存储空间中新建一个空白日志子文件，并将新增数据块复制到空白日志子文件中。