专利名称:日志系统及其使用方法
技术领域:
本申请涉及TOB应用领域,特别是涉及一种日志系统以及该日志系统的使用方法。
背景技术:
在网络应用领域,运行在智能DNS库系统中的智能DNS节点将产生大量的日志信 息,用户可通过这些日志信息检测DNS库系统运行过程中域名访问情况,还可帮助用户对 攻击者进行监控。因此,用户对智能DNS库系统中的日志系统及日志信息安全性要求越来 越高,并且努力寻求一种能够灵活控制且占用资源少的处理方式。申请人:经过研究发现,现有技术中尚没有应用在智能DNS库系统中的日志系统, 提供满足智能DNS库系统应用的功能需求。
发明内容
为解决上述技术问题,本申请实施例提供一种日志系统及其使用方法,通过对日 志消息的记录与分析,得出在固定时间段内域名的查询字数及响应时间,能够更好的对异 常访问地址进行防御。技术方案如下一种日志系统,包括日志记录单元,与多个智能DNS服务器进行连接,用于接收所述智能DNS服务发送 的日志消息,将所述日志消息转换为日志文件;日志存储单元,与所述日志记录单元进行信息交换,用于对所述日志记录单元转 换的日志文件进行存储,并对所述日志文件进行初步分析统计;日志分析单元,与所述日志存储单元进行信息交换,用于对所述日志存储单元对 所述日志文件的统计结果进行深入分析。上述的系统,优选的,其特征在于,所述日志系统还包括与日志存储单元连接的日 志管理单元,用于对日志文件及日志文件中的规则信息进行管理。上述的日志系统,优选的,所述日志记录单元包括校验与加密模块,用于对接收的 日志消息计算校验及加密处理。上述的日志系统,优选的,所述日志存储单元对日志文件进行的初步分析统计包 括对日志文件中记录的域名、本地DNS服务器、智能DNS服务器及IP地址位置的分析统 计。上述的日志系统,优选的,所述日志分析单元对所述日志文件的深入分析包括确 定域名访问过程中的黑客IP地址。日志系统的使用方法,包括每一智能DNS服务器定义该智能DNS服务器的日志消息类别及等级信息;建立日志记录单元与多个智能DNS服务器的连接关系,日志记录单元以每一智能DNS服务器的IP地址做为唯一的ID号,并写入每一智能DNS服务器的日志消息规则信息;智能DNS服务器向日志记录单元发送日志消息;日志记录单元根据ID号接收对应智能DNS服务器中的日志消息并将所述日志消 息输出。上述的使用方法,优选的,所述日志消息的输出方式为输出至本地文件或本地数 据库或服务器文件或服务器数据库或不存储。由以上本申请实施例提供的技术方案可见,本发明提供的日志系统及其使用方 法,所述日志系统中设置有日志记录单元及日志分析单元,对智能DNS服务器发送的日志 消息进行记录并分析,最终确定攻击者的IP地址,更好的满足了智能DNS库系统的功能需 求。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下, 还可以根据这些附图获得其他的附图。图1为本申请实施例提供的日志系统的结构示意图;图2为本申请实施例提供的日志系统的一详细结构示意图;图3为本申请实施例提供的日志系统的又一详细结构示意图;图4为本申请实施例提供的日志数据处理流程图;图5为本申请实施例提供的日志记录流程图;图6为本申请实施例提供的一分析日志流程图;图7为本申请实施例提供的另一分析日志流程图;图8为本申请实施例提供的日志系统的使用方法示意图。
具体实施例方式为了使本技术领域的人员更好地理解本申请方案。下面将结合本申请实施例中的 附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是 本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员 在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。本申请实施例提供的日志系统的结构示意图如图1所示,包括日志记录单元101,与多个智能DNS服务器进行连接,用于接收所述智能DNS服务 发送的日志消息,将所述日志消息转换为日志文件;日志存储单元102,与所述日志记录单元101进行信息交换,用于对所述日志记录 单元101转换的日志文件进行存储,并对所述日志文件进行初步分析统计;日志分析单元103,与所述日志存储单元102进行信息交换,用于对所述日志存储 单元102对所述日志文件的统计结果进行深入分析。本申请实施例提供的日志数据处理流程如图4所示,智能DNS节点返回DNS查询 结果,产生日志消息,将所述日志消息发送至日志记录模块,将所述日志消息写入日志文件,在预定时间内每隔5分钟对日志文件中的数据进行一次统计,将统计的数据导入数据 库,数据库对导入的数据在预定时间内,每隔5分钟做一次统计,将统计的数据经过智能 DNS库系统中的通信系统,同步到日志分析单元中,日志分析单元在预定时间内每5分钟统 计一次数据,每隔一小时对日志做一次分析。本申请实施例提供的日志记录流程图如图5所示,日志记录单元利用开源软件 rsyslog将日志消息从智能DNS服务器传输到日志系统中,不影响智能DNS服务器的工作, 即使智能DNS服务宕机,日志也不会丢失。在智能DNS服务器中安装一个rsyslog作为发 送客户端,发送客户端接收智能DNS服务器进行发送的日志消息后,转发到日志系统中的 rsyslog,然后将日志消息写入日志文件中。本申请实施例提供的日志分析流程图如图6与图7所示,综合图6与图7,在预定 时间内,每隔5分钟将日志系统中日志文件导入到日志存储单元中,进行从域名、本地DNS 服务器、智能DNS服务器、IP地理位置各个方面的统计,统计完成后的结果汇总到日志分析 单元中,进行一小时和一天的统计,期间可判断出哪些IP是黑客,判断依据5分钟内请求同 一个域名次数超过10次,或者请求不存在域名次数超过1000次,请求总数超过10000次。本申请实施例提供的日志系统的一详细结构示意图如图2所示,日志系统还包括 与日志存储单元102连接的日志管理单元104,日志管理单元104用于对日志文件即日志文 件中的规则信息进行管理。本申请实施例提供的日志系统的另一详细结构示意图如图3所示,日志记录单元 101中包括校验与加密模块105,校验与加密模块105用于对接收的日志消息进行计算校验 及加密处理。真对以上本申请实施例提供的日志系统,本申请实施例还提供了一中日志系统使 用方法,包括步骤S201 每一智能DNS服务器定义该智能DNS服务器的日志消息类别即等级消 息;步骤S202 建立日志记录单元与多个智能DNS服务器的连接关系,日志记录单元 以每一智能DNS服务器的IP地址做为唯一的ID号,并写入每一智能DNS服务器的日志消 息规则信息;步骤S203 智能DNS服务器向日志记录单元发送日志消息;步骤S204 日志记录单元根据ID号接收对应智能DNS服务器中的日志消息并将 所述日志消息输出。上述步骤中,日志消息的输出方式可为多种,可输出至本地文件或本地数据库或 服务器文件或服务器数据库或不存储。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部 分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。以上所述仅是本 申请的具体实施方式
,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原 理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
权利要求
1.一种日志系统,其特征在于,包括日志记录单元,与多个智能DNS服务器进行连接,用于接收所述智能DNS服务发送的日 志消息,将所述日志消息转换为日志文件;日志存储单元,与所述日志记录单元进行信息交换,用于对所述日志记录单元转换的 日志文件进行存储,并对所述日志文件进行初步分析统计;日志分析单元,与所述日志存储单元进行信息交换,用于对所述日志存储单元对所述 日志文件的统计 结果进行深入分析。
2.根据权利要求1所述的系统,其特征在于,其特征在于,所述日志系统还包括与日志 存储单元连接的日志管理单元,用于对日志文件及日志文件中的规则信息进行管理。
3.根据权利要求1或2所述的日志系统,其特征在于,所述日志记录单元包括校验与加 密模块,用于对接收的日志消息计算校验及加密处理。
4.根据权利要求1所述的日志系统,其特征在于,所述日志存储单元对日志文件进行 的初步分析统计包括对日志文件中记录的域名、本地DNS服务器、智能DNS服务器及IP地 址位置的分析统计。
5.根据权利要求4所述的日志系统,其特征在于,所述日志分析单元对所述日志文件 的深入分析包括确定域名访问过程中的黑客IP地址。
6.如权利要求1所述日志系统的使用方法,其特征在于,包括每一智能DNS服务器定义该智能DNS服务器的日志消息类别及等级信息; 建立日志记录单元与多个智能DNS服务器的连接关系,日志系统记录单元以每一智能 DNS服务器的IP地址做为唯一的ID号,并写入每一智能DNS服务器的日志消息规则信息; 智能DNS服务器向日志记录单元发送日志消息;日志记录单元根据ID号接收对应智能DNS服务器中的日志消息并将所述日志消息输出ο
7.根据权利要求6所述的使用方法,其特征在于,所述日志消息的输出方式为输出至 本地文件或本地数据库或服务器文件或服务器数据库或不存储。
全文摘要
本申请公开了一种日志系统及其使用方法,包括日志记录单元,与多个智能DNS服务器进行连接,用于接收所述智能DNS服务发送的日志消息,将所述日志消息转换为日志文件;日志存储单元,与所述日志记录单元进行信息交换,用于对所述日志记录单元转换的日志文件进行存储,并对所述日志文件进行初步分析统计;日志分析单元,与所述日志存储单元进行信息交换,用于对所述日志存储单元对所述日志文件的统计结果进行深入分析。本申请实施例提供一种日志系统,通过对日志消息的记录与分析,得出在固定时间段内域名的查询次数及响应时间,能够更好的对异常访问地址进行防御。
文档编号H04L12/24GK102075355SQ201010616520
公开日2011年5月25日 申请日期2010年12月30日 优先权日2010年12月30日
发明者于洪方, 井卫军, 刘旺, 姚福源, 蒋建平 申请人:北京世纪互联工程技术服务有限公司, 北京云快线软件服务有限公司