在通信网络中存储日志数据的方法和装置[发明专利]

[12]发明专利申请公开说明书

[21]申请号00128889.X

[51]Int.CI7

G06F 12/14G06F 12/16

[43]公开日2001年10月17日

[22]申请日2000.09.28[21]申请号00128889.X[30]优先权

[32]2000.04.07 [33]KR [31]18152/2000[32]2000.05.19 [33]KR [31]26975/2000[71]申请人数字保安株式会社

地址韩国汉城市[72]发明人金成柱

[11]公开号CN 1317745A

[74]专利代理机构柳沈知识产权律师事务所

代理人马莹

权利要求书 2 页 说明书 9 页 附图 3 页

[54]发明名称

在通信网络中存储日志数据的方法和装置

[57]摘要

一种存储通信网络中的日志数据的方法和装置，其中访问服务器计算机的用户的日志数据通过包含该记录介质的日志数据存储设备存入只容许数据被记录一次的记录介质中。因此，即使在一个未被授权的用户，例如黑客，在让由操作系统和防火墙生成的访问限制命令失效之后，没有经过任何认可就访问了服务器的情况下，他也不能修改和删除日志数据，因为日志数据被日志存储设备存储在单次可写介质中。

00128889.X

权 利 要 求 书

第1/2页

1．一种存储通过通信网络访问网络系统的用户的日志数据的装置，包括： 控制设备，用于创建关于用户访问历史的日志数据；

数据传送设备，用于传送控制设备所创建的日志数据；和 存储设备，用于接收从数据传送设备来的日志数据，并将所接收的数据存入到容许数据在其中只写一次的记录介质中。

2．如权利要求1所述的装置，其中所述存储设备包括：多个记录媒体，一缓冲单元，和一信号切换单元，其中从多个记录媒体中选择所述记录介质，当其中一个记录介质不够用来存储其中附加日志数据时，该附加的日志数据由此切换并存储到另外一个记录介质中。

3．如权利要求1或2所述的装置，其中所述存储设备的记录介质或每个记录介质是光盘记录器介质。

4．如权利要求1或2所述的装置，其中所述存储设备的记录介质或每个记录介质是数字通用光盘记录器介质。

5．一种存储通过通信网络访问网络系统的用户的日志数据的方法，包括下列步骤：

(a)创建用于记录其中的日志数据的日志文件，并将创建的日志文件存储到存储设备中；

(b)将存储在存储设备中的日志文件设成旧日志文件；

(c)将正在访问用户的日志数据记录在存储于存储设备中的日志文件中； (d)将存储于存储设备中的最终的日志文件设成新日志文件；并且 (e)如果旧日志文件和新日志文件内容有所不同，那么将该正在访问的用户的日志数据记录在附加的日志文件中，将该附加的日志文件存储于只容许数据在其中记录一次的记录介质中，然后返回到步骤(b)。

6．如权利要求5所述方法，其中，以希望的时间间隔执行步骤(e)中将附加日志文件存储到单次可写介质中。

7．如权利要求5或6所述方法，其中，在步骤(e)只将新旧日志文件不相同的内容记录到附加日志文件中。

8．如权利要求7所述的方法，其中，给附加日志文件分配序列号，加在其文件名后面，用于标识。

2

00128889.X权 利 要 求 书 第2/2页

9．如权利要求5所述方法，其中，随时间流逝而增加的访问用户日志数据以实时的方式被记录到单次可写介质中。

10．如权利要求5,6或9所述方法，其中，记录介质是光盘记录器介质。 11．如权利要求5,6或9所述方法，其中，记录介质是数字通用光盘记录器介质。

3

00128889.X

说 明 书

在通信网络中存储日志数据的方法和装置

第1/9页

本发明涉及在通信网络中存储日志数据的方法和装置，并且特别涉及能够防止一个没有权限访问服务器的用户修改和删除该日志数据的在通信网络中存储日志数据的方法和装置。

典型地，通过数据通信网络，例如互联网，可以随时访问到的服务器，为了防止有机会通过数据通信网络访问服务器的未被授权的用户去访问存储在服务器内部的重要信息，和访问与服务器相连的其他用户的电脑，实现了一种由操作系统和防火墙制定的访问限制。

另外，日志数据被存储在一个辅助存储设备上，如硬盘。该日志数据可能包括这样的信息：通过数据通信网络访问服务器的所有用户各自的访问路径，那些用户各自的访问时间(包括访问开始时间，访问结束时间，和总访问时间)，这些用户各自的标识(ID)，和访问服务器后用户各自的活动。 当一个未被授权的用户，例如黑客，在让由操作系统和防火墙生成的访问限制命令失效之后，没有经过任何认可就访问了服务器的时候，通过存储在辅助存储设备上的日志数据，可以反向跟踪未被授权用户的访问路径，并且可以容易地修复可能被修改或破坏了的系统。

然而，即使在服务器如上所述实现了由操作系统、防火墙制定的访问限制，存储了日志数据的情况下，也存在一个问题。譬如，当一个未被授权的用户，例如黑客，在使由操作系统和防火墙生成的访问限制命令失效后访问了存储在辅助存储器设备中的日志数据，随后有选择地修改和删除该日志数据的时候，跟踪未被授权用户的访问路径和修复可能被修改或破坏了的系统就很困难。

因此，鉴于相关技术涉及的上述问题做出了本发明，本发明的一个目的是提供在通信数据网络中存储日志数据的方法和装置，其中该方法和装置能够容许只写一次日志数据而防止重写和删除所写的日志数据，从而防止有机会访问该日志数据而未被授权的用户修改或删除所写的日志数据。 一方面，本发明提供一种用于存储，通过通信网络访问网络系统的用户的日志数据的装置，包括：用于创建关于用户访问历史的日志数据的控制设

4

00128889.X说 明 书 第2/9页

备；用于传送在控制设备中创建的日志数据的数据传送设备；和用于接收传送设备中来的日志数据，并且将接收到的日志数据存储于记录介质之中的存储设备，其中该存储介质只容许数据在其中记录一次。

另一方面，本发明提供一种用于存储通过通信网络访问网络系统的用户的日志数据的方法，其中，该用户的日志数据存储于只容许数据在其中记录一次的记录介质中。

该方法最好包括这样的步骤：(a)创建用来记录其中的日志数据的日志文件，并将创建的日志文件存储到存储设备中；(b)将存储在存储设备中的日志文件设成旧日志文件；(c)将正在访问用户的日志数据记录在存储于存储设备中的日志文件中；(d)将存储于存储设备中的最终的日志文件设成新日志文件；并且(e)如果旧日志文件和新日志文件内容有所不同，那么将该正在访问的用户的日志数据记录在附加的日志文件中，将该附加的日志文件存储于只容许数据在其中记录一次的记录介质中，然后返回到步骤(b)。

参照附图，本发明的其他目的和方面将随着后面对实施例的说明而变得清晰，其中：

图1是一个描述通信服务器访问系统的示意图，该服务器包括按照本发明实施例的在通信网络中存储日志数据的装置；

图2是一个描述通信服务器访问系统的示意图，该服务器包括根据本发明另一个实施例的在通信网络中存储日志数据的装置；

图3是一个描述包括在图1或图2所示系统中的服务器计算机的方框图； 图4是一个描述根据本发明实施例的日志数据存储设备的方框图； 图5是一个描述根据本发明实施例来存储在通信网络中的日志数据的方法流程图。

现在将结合附图来说明本发明的优选实施例。

图1是一个示意图，描述了一个通信服务器访问系统，该服务器包括一个按照本发明实施例的在通信网络中存储日志数据的装置。参照图1，该通信服务器访问系统包括服务器计算机10，可以通过通信网络N访问该服务器计算机10的用户计算机20，和能够访问服务器计算机10的日志数据存储设备30。

尽管日志数据存储设备30在图1中被画成安装在服务器计算机10外部的外设类型，它可以安装到服务器计算机10内部，如图2所示。

5

00128889.X说 明 书 第3/9页

服务器计算机10总是和通信网络N相连，向通过通信网络N访问的用户展示网页，提供丰富的内容，或者传送和接收信件或数据。服务器计算机10也生成和通过通信网络N连接到服务器计算机10的用户的连接历史相关联的日志数据，并且将生成的日志数据输出到日志数据存储设备30。 如图3所示，服务器计算机10包括：进行多种控制计算的主处理器11；作为主处理器11执行控制计算所需数据的临时存储空间的存储器12；拥有操作系统和丰富的应用程序，并且用于存储写有日志数据的日志文件的辅助存储设备13，譬如硬盘；用于访问通信网络N，用于传送和接收数据的通信网络访问单元14；和在主处理器11的控制下用于给日志数据存储设备30传送日志数据的日志数据存储设备访问单元15。

除了上述配置以外，服务器计算机10还可以包括诸如显示设备和用户控制命令输入设备这些组成元素。由于这些元素为技术领域所公知，不再对其进行说明。

对服务器计算机10所包括的主处理器11，存储器12，辅助存储设备13，通信网络访问单元14，和日志数据存储设备访问单元15进行配置，通过系统总线或者数据总线16来相互交换数据。

对日志数据存储设备访问单元15，可以用任何可选设备，只要它具有在主处理器11控制下给日志数据存储设备30传送日志数据的功能。当日志数据存储设备30安装到服务器计算机10外部时，日志数据存储设备访问单元15可以包括：公知的外部数据输入/输出设备，例如用于通用计算机系统的并行端口或者SCSI适配器，或通用串行总线端口。反之，当日志数据存储设备30是安装到服务器计算机10内部时，日志数据存储设备访问单元15可以包括：公知的内部数据输入/输出设备，例如用于通用计算机系统中E-IDE输入/输出设备或SCSI输入/输出设备。

用户计算机20是典型的可以通过通信网络N上网的网民的个人电脑。然而对于用户计算机20，按照本发明，可以用任何类型的通信终端，只要它可以访问服务器计算机10和用户计算机20都能够访问的通信网络N。例如，可以用个人数字辅助单元或可访问互联网的电视。

如技术领域所公知，用户计算机20可以利用诸如调制解调器或信道服务单元(CSU,Channel Service Unit)等丰富的设备和丰富的方法来访问通信网络N。因此，不再做更深入的说明。

6

00128889.X说 明 书 第4/9页

通信网络N可以是任何网络，只要它可以被服务器计算机10和用户计算机20访问，并且允许那些服务器计算机10和用户计算机20在其间进行数据通信。例如，通信网络N可以是互联网。

日志数据存储设备30用来将从服务器计算机10输出的日志数据实时地存储到被设置成只能写一次数据的记录介质中。

该被设置成只能写一次数据的记录介质可以由光盘记录器介质(CD-R,Compact Disk-Recorder)或数字通用光盘记录器介质(DVDR:Digital VersatileDisk-Recorder)组成。对于日志数据存储设备30，可以用任何介质，只要将它们设置成数据一经存储，就可以防止被重写，修改和删除。

图4描述了日志数据存储设备30的一个实施例。如图4所示，日志数据存储设备30包括控制单元31，缓冲单元32，信号切换单元33，和多个介质驱动34和35。

控制单元31用于驱动信号切换单元33，以便有选择地驱动介质驱动器34和35当中所需的一个，去响应从服务器计算机10接收到的日志数据。控制单元31也访问所选的介质驱动器，并且实时地将收到的日志数据存储到设置成只能写一次数据的记录介质中。

缓中单元32临时存储从服务器计算机10传送过来的日志数据，随后将所存储的日志数据通过信号切换单元33传送到所选的介质驱动器34或35。安装缓冲单元32来将服务器计算机10和日志数据存储设备30的数据传送速率的差别存入缓中区。

在控制单元31的控制下，信号切换单元33将连续地将从缓冲单元32传送过来的日志数据传送到介质驱动器34和35当中选中的一个。介质驱动器34和35中的每一个都将信号切换单元33所传送过来的日志数据记录在被设置成只能写一次数据的记录介质中。

现在，结合图1到5来说明具有符合本发明的上述配置的日志数据存储装置的操作。

当外加电源到服务器计算机10时，服务器计算机10的所有组成部件，包括主处理器11，都被初始化。被初始化过的主处理器11搜索辅助存储设备13(步骤S10)，从而确定是否有包含日志数据的日志文件(步骤S20)。 当在步骤S20中确定在辅助存储设备13中没有以前创建的日志文件时，主处理器11在辅助存储设备13中创建一个用于记录日志数据的日志文件(步

7

00128889.X说 明 书 第5/9页

骤S30)。在创建日志文件后，开始计时以便以后检查自文件创建起所用的时间T(步骤S40)。与此同时，将当前存于辅助存储设备13中的日志文件设成旧日志文件Fo(步骤S45)。例如，关于日日志文件Fo的信息可以被临时存到存储器12或存储到辅助存储设备13中某个标题为，比如说是“temporary”，的目录下。

下一步，主处理器给通过通信网络N访问通信网络访问单元14的用户分别创建日志数据，并且以顺序的方式将那些用户各自的日志数据写进存储在辅助存储设备13中的日志文件Fo(步骤S50)。该日志数据可能包括这样的信息：所有访问用户各自访问路径，那些用户各自的访问时间，以及用户在访问之后各自动活动。

作为参考，下面是记录在辅助存储设备13上日志文件中日志数据的例子：

安全违规(Security Violation)

Nov 2 13:50:23 nemesis su‘su’failed for crowland on/dev/ttyp6 Nov 2 13:50:35 nemesis login:LOGIN FAILURE ON/dev/ttyp5 FROMlocalhost,crowland

Nov 2 13:50:43 nemesis login:LOGIN FAILURE ON/dev/ttyp5 FROMlocalhost,adm

Nov 2 13:50:46 nemesis login:LOGIN FAILURE ON/dev/ttyp5 FROMlocalhost,uucp

Nov 2 13:50:48 nemesis login:LOGIN FAILURE ON/dev/ttyp5 FROMlocalhost,root

Nov 2 13:56:44 nemesis netacl[25785]:denyhost=blast.psionic.com/206.161.70.238 非正常系统事件(Unusual System Events)

Nov 2 13:50:23 nemesis su‘su’failed for crowland on/dev/ttyp6 Nov 2 13:50:35 nemesis login:LOGIN FAILURE ON/dev/ttyp5 FROMlocalhost,crowland

Nov 2 13:50:43 nemesis login:LOGIN FAILURE ON/dev/ttyp5 FROMlocalhost,adm

Nov 2 13:50:46 nemesis login:LOGIN FAILURE ON/dev/ttyp5 FROM

8

00128889.X说 明 书 第6/9页

localhost,uucp

Nov 2 13:50:48 nemesis login:LOGIN FAILURE ON/dev/ttyp5 FROMlocalhost,root

Nov 2 13:52:34 nemesis sshd[25715]:log:Connection from206.161.70.238 port 4839

Nov 2 13:52:39 nemesis sshd[25715]:fatal:Connection closed by remotehost

Nov 2 13:52:40 nemesis sshd[25717]:log:Connection from206.161.70.238 port 4840

Nov 2 13:52:44 nemesis sshd[25717]:log:password authentication forcrowland accept

Nov 2 13:52:48 nemesis sshd[25717]:log:closing connection to206.161.70.238

Nov 2 13:56:44 nemesis netacl[25785]:denyhost=blast.psionic.com/206.161.70.238

此后，主处理器11将当前存于辅助存储设备13中的日志文件设成新日志文件Fn(步骤S55)。例如，关于新日志文件Fn的信息可能被临时存到存储器12或存储到辅助存储设备13中某个标题为，比如说是“temporary”，的目录下。

主处理器11随后比较在步骤S45中设置的旧日志文件Fo的日志数据和在步骤S55中设置的新日志文件Fn的日志数据，从而确定被比较的日志文件的日志数据是否有所不同(步骤S60)。当旧日志文件Fo和新日志文件Fn没什么不同时，检查直到当前的计数时间T(步骤S70)，然后和预设时间Ts，例如5秒，比较(步骤S80)。

当在步骤S80中确定所计时间T没有超过预设时间Ts时，主处理器11的控制程序执行步骤S100。否则，当所计时间T超过预设时间Ts时，所计时间T被复位(步骤S90)。在时间被复位之后，主处理器11检查管理员是否想要关闭服务器计算机10(步骤100)。当检查的结果确定服务器计算机10不选择关机时，控制程序回到步骤S40计算时间T。

当在步骤S60中确定旧日志文件Fo和新日志文件Fn日志数据有所不同时，主处理器11检查直到当前的计数时间T(步骤S110)，然后比较所检查

9

00128889.X说 明 书 第7/9页

时间T和预设时间Ts(步骤S120)。

当在步骤S120中确定所计时间T没有超过预设时间Ts时，主处理器11的控制程序执行步骤S100。否则，当所计时间T超过预设时间Ts时，主处理器11创建日志文件Fm，存储于只容许通过日志数据存储设备30在其中记录一次数据的记录介质中(步骤S130)。

当旧日志文件和新日志文件日志数据有所不同时，新创建一个既包括先前记录的日志数据，又包括和先前日志数据不同的日志数据的文件，覆盖旧日志文件。最终日志文件被存储到辅助存储设备13。否则，存储于单次可写记录介质中的日志文件Fm只记录改变的日志数据。

设置辅助存储设备13允许重新记录数据，也就是允许反复删除和重写数据。换二种说法，辅助存储设备13被设置成将新日志文件覆盖地写到旧日志文件。因此辅助存储设备13中用于记录日志数据的容量没有大的增长。但是，在单次可写记录介质的情况下，如果每次日志数据有变化时就创建一个日志文件，并且所有创建的日志文件被记录在单次可写记录介质中的话，会有个问题，记录介质的记录容量将不希望地增长。为了解决这个问题，记录在只容许写一次数据的记录介质中的日志文件Fm如上所述只记录改变的日志数据。

例如，当旧日志文件包含从某时间点到2000年5月9号13:20:00这段时间内创建的数据，而新改变的日志数据包括从2000年5月9号13:20:05到2000年5月9号13:20:50这段时间创建的数据时，所有从该时间点到2000年5月9号13:20:50创建的日志数据都被存入辅助存储设备13的一个日志文件中。但是，在这种情况下，只有新改变的日志数据，即在2000年5月9号13:20:05到2000年5月9号13:20:50这段时间内每当日志数据有所变化时所创建的日志数据，被存储到单次可写记录介质。

因此，辅助存储设备13只有1个日志文件，而所述单次可写记录介质中有多个日志文件Fm，每个文件都是每当日志数据有所改变的时候建立的。为了相互区分日志文件Fm，给那些日志文件分配了各自的序列号。 例如，当记录各个日志数据的时候，存储在单次可写记录介质中的日志文件Fm的文件名分别加上了时间点作为序列号，采用这样的形式，举例来说：”log-nov2-12-50-23.txt…”,”log-nov2-13-52-11.txt…”,”log-nov2-13-53-15.txt…”，和”log-nov2-14-01-55.txt…”。凭借这样的序列号，不但

10

00128889.X说 明 书 第8/9页

可以实现每个日志文件Fm的简单识别，还可以容易地识别记录每个日志数据的时间点。

此后，主处理器11通过日志数据存储设备访问单元15将在步骤S130创建的日志文件Fm传送到日志数据存储设备30。从日志数据存储设备访问单元15传送到日志数据存储设备30的日志文件Fm被日志数据存储设备30存入单次可写记录介质(步骤S140)。

换一种说法，按照所描述的本发明实施例，所有日志数据以预设时间间隔Ts被分别记录到单次可写介质中，其中每个日志数据是在每次日志数据有所改变时创建的。以预设时间为间隔将日志数据记录到单次可写介质中的原因是为了防止频繁执行写操作，从而实现减轻主处理器11的负荷。 主处理器11的控制程序随后执行步骤S90，复位当前所计时间。在复位时间之后，主处理器11的控制程序执行步骤100。在步骤100，主处理器11如上所述检查管理员是否想要关闭服务器计算机10。当检查结果确定服务器计算机10不选择关机时，控制程序回到步骤S40计数时间T。否则，当在步骤S100确定服务器计算机10选择关机，主处理器11创建一个日志文件Fm存储于单次可写介质中(步骤S150)。

接着，主处理器11将在步骤S150中创建的日志文件Fm通过日志数据存储设备访问单元15传送到日志数据存储设备30。从日志数据存储设备访问单元15传送到日志数据存储设备30的日志文件Fm被日志数据存储设备30存入单次可写记录介质(步骤S160)。

此后，主处理器11完成了控制程序。同时服务器计算机10被关闭。 尽管典型地服务器计算机10在整段24小时都处于开机状态，有可能出现因为进行管理员要求的系统检查或者必须临时关闭系统而关闭服务器计算机10的情形。在这种情况下，在日志数据存储设备30将最后的日志数据存入单次可写介质之后，系统被关闭。

现在按照本发明实施例来说明如图4所示的在日志数据存储设备30中存储日志数据的程序。

当写有日志数据的日志文件Fm从服务器计算机10传送到日志数据存储设备30的时候，日志数据存储设备30的控制单元31产生一个控制信号，从而驱动介质驱动器34和35当中被选定的一个。控制单元31也控制信号切换单元33，以便允许传送日志文件Fm到被驱动的介质驱动器。

11

00128889.X说 明 书 第9/9页

从服务器计算机10传送到日志数据存储设备30的日志文件Fm，被临时存入缓中单元32，然后被传送到介质驱动器34和35中当前正在工作的一个。 随后从缓冲单元32传送过来的日志数据被存入到当前正在工作的介质驱动器所包含的单次可写介质中。

在这种情况下，控制单元31连续地检查传送到介质驱动器中的日志数据的数量。当当前从缓中单元32输出的日志文件所含数据量超过了介质驱动器中的单次可写介质的剩余容量时，控制单元31驱动剩下的介质驱动器，并且控制信号切换单元33允许传送当前日志文件到剩下的介质驱动器。 此时，控制单元31通过没有示出的蜂鸣器或显示设备通知管理员当前存储驱动器的存储容量溢出，让管理员用另一个来替换容量溢出的介质驱动器。 从上述说明显而易见，按照本发明，通过通信网络访问服务器计算机的用户各自的日志数据被日志存储设备存储到只容许记录一次数据的记录介质中。因此，即使在一个未被授权的用户，例如黑客，在让由操作系统和防火墙生成的访问限制命令失效之后，没有经过任何认可就访问了服务器的情况下，他也不能修改和删除日志数据，因为日志数据被日志存储设备存储在单次可写介质中。

因此，按照本发明，能够轻易地跟踪未被授权用户的访问路径，并恢复被修改或破坏的系统。

虽然本发明是结合实施例来进行说明的，该实施例的初始日志数据存于辅助存储设备，并且其后每当日志数据改变时，为响应日志数据改变而创建的日志数据被存入单次可写介质，但它不局限于该实施例。应该指出的是，按照本发明的另一个实施例，日志数据可以不通过辅助存储设备，而以实时的方式存入单次可写介质中。在后面的情况下，各自的改变的日志数据以实时的方式被连续地存入单次可写介质中，而不创建附加的日志文件。 另外，尽管只对用于存储诸如日志数据等的连接记录的连接记录存储设备在服务器计算机上的应用作了说明，本发明并不受限于此。按照本发明，连接记录存储设备可以容易地应用于各种各样的网络设备。

从上述说明显而易见，本发明提供了用于存储通信网络中的日志数据的方法和装置，其中该方法和装置能够容许只写一次日志数据而防止重写和删除日志数据，从而防止有机会访问该日志数据而未被授权的用户修改或删除所写的日志数据。

12

00128889.X

说 明 书 附 图

第1/3页

图2

13

00128889.X说 明 书 附 图 第2/3页

图3

图4

14

00128889.X说 明 书 附 图 第3/3页

图5

15