[发明专利]用于实时检测网络黑客攻击的网络流量记录系统及方法

说明书

本发明涉及黑客攻击检测技术，更具体地，涉及用于实时分析网络流量以应对网络黑客攻击的记录技术。根据本发明的一实施例，可通过在作为远程系统的云服务器执行网络流量分析而不是产生包或日志的相应服务器检测和阻止系统攻击的系统，来提供与网络防火墙类似的效果的服务。

技术领域

本发明涉及黑客攻击检测技术，更具体地，涉及用于分析网络流量以对应网络黑客攻击的记录技术。

背景技术

最近，利用服务器漏洞的攻击以零日攻击进行，该攻击可以通过网络应用程序中的漏洞简单快速地入侵服务器。

防御网络应用程序漏洞攻击的常见产品是网络防火墙(WAF，Web ApplicationFirewall)。网络应用程序防火墙检测并阻止针对开放系统互连参考模型(Open SystemsInterconnection Reference Model)的网络应用程序的黑客攻击。现有网络防火墙(WAF)从主机服务器或反向代理(从实际网络服务器前端接收和传输所有流量的装置)分析网络应用程序流量，以检测和阻止攻击。

在主机服务器分析并阻止流量的网络防火墙存在降低主机服务器的性能的缺点。相反地，基于反向代理(Reverse Proxy)的网络防火墙由于在主机服务器分离了分析过程，虽然不存在如上所述的性能问题，但是在普及了云服务的环境中，存在因其结构而限制使用的缺点。其中，云服务是利用云计算(Cloud Computing)的服务，而云计算是一种基于互联网的计算，这意味着利用连接到互联网而不是自己的计算机的另一台计算机处理信息的技术。并且，云服务器还意味着用于实现云计算的服务器。

并且，在检测黑客攻击中，网络防火墙使用基于特征(signiture)的分析。特征分析作为在流量中查找已登记的特征，具有以下问题。第一，基于特征的分析需要登记许多特征，以便应对误报等的问题，但是随着特征的增加，检测速度变慢。第二，基于特征的分析无法检测未登记的新攻击。

由于网络防火墙的这些问题，很有可能网络防火墙无法检测并阻止网站管理权限(web shell)等的恶意代码，因而使其入侵网络服务器内部。

与本发明相关的现有技术文献有专利授权10—1417671号(2014年07月02日)。

发明内容

技术课题

本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法：将利用超文本传输协议/超文本传输协议安全(HTTP/HTTPS)协议的网络流量存储为日志后，向云服务器立即传输相应日志或在存储器中向云服务器立即传输流量，以便通过实时分析来检测黑客攻击，从而检测通过网络防火墙的黑客攻击并应对网络服务器黑客攻击。

本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法：能够在云服务器分析与来自网络流量(包)的黑客攻击有关的检测，因此与在网络服务器的性能问题相比，更易于检测来自大容量日志的黑客攻击。

本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法：收集包括向上电自检—主体(POST—BODY)、回应—主体(RESPONSE—BODY)传输的数据的网络流量信息，并按照字段分解，将其转发至云服务器以在云服务器进行分析。

本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法：在云服务器通过按照字段分解网络流量信息，生成对应字段的指纹来快速检测攻击，并可扩展可检测的攻击的范围。

解决课题手段

根据本发明的一个方面，提供网络流量记录系统。

根据本发明一实施例的网络流量记录系统可包括：日志设置部，用于执行从网络服务器及网络服务器操作系统中的至少一个收集日志的设定；日志聚合部，用于生成包括根据上述设定收集的上述日志的日志信息；以及日志传输部，用于向云服务器传输上述日志信息。