[发明专利]用于实时检测网络黑客攻击的网络流量记录系统及方法

权利要求书

1.一种网络流量记录系统，其特征在于，包括：

日志设置部，用于执行从网络服务器及网络服务器操作系统中的至少一个收集日志的设定；

日志聚合部，用于生成包括根据上述设定收集的上述日志的日志信息；以及

日志传输部，用于向云服务器传输上述日志信息，

上述日志设置部执行如下的设置：收集包括传输到上电自检—主体、回应—主体的数据的日志，收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一种以上的日志，

上述云服务器包括：

日志分解部，按照字段分解上述日志信息；

指纹生成部，用于生成对应字段的指纹；以及

检测部，在上述指纹中存在与黑名单中的指纹相对应的攻击指纹的情况下，生成包括源互联网协议地址的检测信息，

所述指纹为根据字段信息的形式执行解析，并将指定的单词、数字以及字符转换为预先指定的转换字符的字符串，

通过上述指纹，以与上述日志信息所包含的单词及包含上述单词的字段相对应的方式将上述单词转换为预先指定的转换字符，以与所有数字相对应的方式将上述日志信息所包含的数字串转换为转换字符。

2.根据权利要求1所述的网络流量记录系统，其特征在于，上述检测部在上述指纹中不存在与黑名单中的指纹相对应的攻击指纹的情况下，通过基于特征的攻击检测方式来检测对应于上述日志信息的攻击。

3.根据权利要求1所述的网络流量记录系统，其特征在于，上述网络流量记录系统嵌入网络服务器程序并执行用于生成由网络服务器及网络服务器的操作系统中的至少一个产生的日志的日志设置，根据日志设置生成及聚合日志，以便向云服务器传输所生成的日志信息。

4.根据权利要求1所述的网络流量记录系统，其特征在于，上述网络流量记录系统由与网络服务器的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全即HTTP/HTTPS协议的请求及响应的模块形成，并向上述云服务器传输所生成的上电自检—主体、回应—主体日志信息。

5.根据权利要求1所述的网络流量记录系统，其特征在于，上述网络流量记录系统由在按照客户端的请求向网络服务器传输流量的过程中，位于中间来接收客户端的请求，再将其传输到网络服务器的反向代理服务器形成，向上述云服务器传输通过收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应来生成的上电自检—主体、回应—主体日志信息。

6.根据权利要求1所述的网络流量记录系统，其特征在于，在上述网络流量记录系统中，使用端口镜像技术在单独的网络流量日志服务器聚合客户端与网络服务器之间的流量，并向上述云服务器传输通过收集超文本传输协议/超文本传输协议安全协议的请求及响应来生成的上电自检—主体、回应—主体日志信息。

7.根据权利要求1所述的网络流量记录系统，其特征在于，在上述日志设置部中，根据安全原则预先设置的敏感数据提供转换为如星号即*的特殊字符或加密的设置，并提供预先检测敏感数据来进行推荐的设置，以通过预先监测上述敏感数据来防止上述敏感数据存储为明文。

8.根据权利要求7所述的网络流量记录系统，其特征在于，在上述日志聚合部中，根据上述日志设置部的设置，敏感数据能够转换为如星号即*的特殊字符或被加密，根据日志设置部的设置，通过敏感数据推荐系统选择敏感数据并将其记录在单独的文件。

9.根据权利要求1所述的网络流量记录系统，其特征在于，在上述日志聚合部中，根据日志设置部的协议设置，在超文本传输协议(80)的情况下，支持一般明文分析，在超文本传输协议安全(443)的情况下，利用网络服务器的认证书和作为秘钥的私钥来将密文转换为明文，以存储日志。