本發明公開了一種基于狀態通道的分布式日志審計系統及方法，系統包括日志服務器中的狀態處理及存儲單元、包含多方狀態通道合約的區塊鏈網絡、外部審計者的日志審計單元組成；所述日志服務器中的狀態處理及存儲單元用于對日志進行預處理、生成本地日志狀態及全局日志狀態以及與區塊鏈的交互；所述高效多方狀態通道合約的區塊鏈網絡用于保護日志狀態的安全性、完整性，通過該狀態通道實現狀態的鏈下確認；所述外部審計者的日志審計單元用于對服務器日志記錄進行審計,自動化得到審計結果。本發明所提供的基于狀態通道的分布式日志審計系統能夠在計算機的入侵檢測及數字取證等領域，為使用者提供可靠、安全的日志完整性保護方法。

技術領域

本發明屬于區塊鏈技術領域，涉及一種分布式日志審計系統及方法，具體涉及一種基于狀態通道的分布式集群環境下的快速日志審計系統及方法。

背景技術

日志是一組與安全相關的具有時序的記錄，它可以用來對計算機系統的事件進行入侵檢測和數字取證。特別是在大規模的組織機構中，通常利用從多個服務器更新的審計日志來檢測攻擊。這些計算機(例如，web服務器、防火墻和入侵檢測系統)共同組成一個分布式的集群環境。現在大部分企業都選用功能完備的日志審計系統對日志數據進行采集、分析、存儲和展示。

研究人員已經證明通過使用攻擊調查技術，例如因果關系分析表明，管理員可以通過審計跟蹤許多攻擊日志，甚至高級持久威脅(APT攻擊)。傳統的審計日志的存儲是把日志落入系統文件或數據庫，定期備份。但是，隨著黑客活動日益猖獗和隱蔽，傳統的日志審計系統本身也存在被攻擊和篡改的可能。顯然，日志的完整性是一個關鍵因素，需要保證。

分布式日志審計主要可以歸為兩個方向的解決思路。一個解決方案是外包日志審計到云服務提供商，并使用可證明的數據持有(PDP)或可檢索性證明(PoR)來檢查日志完整性。但是,使用云服務進行日志審計會帶來兩個問題，一個是云服務提供商本身的信任問題，第二是在進行日志上傳與校驗時花費的時間會較長。另一種選擇是采用區塊鏈技術，該技術主要用于保護小而大量具有時序順序的數據的完整性。該種技術存儲有審計日志或日志的校驗和在區塊鏈中。當審計者需要檢查時日志完整性，它將區塊鏈中的數據與審計日志進行比較以估計日志是否已被修改。現有的基于區塊鏈的方案中要求每條記錄(或記錄的校驗和)都存儲于區塊鏈之中，這就要求每條記錄發布到整個網絡并通過所有參與者的共識機制來保存到區塊鏈中。然而，這些解決方案在實際中不足以解決海量日志生成的問題。據估計，一臺普通web服務器一天可產生上百萬條日志，需要占用上百MB的存儲空間，然而當前區塊鏈的吞吐量以及其本身區塊鏈的存儲空間不足以支撐如此海量并發數據的存儲。

由于區塊鏈不同共識下吞吐量的限制，大量的文獻探索了不同的區塊鏈規模解決方案:(1)分片共識和(2)狀態通道。分片共識需要協調現有的共識機制和區塊鏈的整體改進。

發明內容

鑒于以上提及的傳統的日志審計系統及現有基于區塊鏈日志審計系統無法滿級集群環境下審計日志的海量并發需求，本發明提供了一種在分布式集群環境下具有高效性、低延時、互監督的基于狀態通道的日志審計系統及方法。

本發明的系統所采用的技術方案是：一種基于狀態通道的分布式日志審計系統，其特征在于：包括日志服務器集群、區塊鏈網絡和外部審計者；

所述日志服務器集群由若干服務器組成，通過TLS加密信道進行連接；所述區塊鏈網絡通過高效多方狀態通道合約接口與所述日志服務器集群連接通信；

所述外部審計者的日志審計單元，通過TLS加密信道與日志服務器連接，通過高效多方狀態通道合約接口與區塊鏈進行連接；

所述日志服務器中的狀態處理及存儲單元用于對日志進行預處理、生成本地日志狀態及全局日志狀態以及與區塊鏈的交互，接入狀態通道的各種協議，包括狀態的離鏈確認以及狀態的上鏈；