技術領域

本發明涉及計算機網絡安全技術領域，尤其涉及一種分布式實時入侵檢測方法及一種分布式實時入侵檢測系統。

背景技術

互聯網的開放性、共享性，以及越來越多的基于互聯網的web網站的應用，使得更多的安全缺口被暴露，對web網站的攻擊逐漸取代網絡服務器的攻擊成為更多攻擊者的選擇。針對自身網站建立完善的安全防護策略以及入侵檢測機制將會給網站運維人員帶來福音。

web日志記錄了網站訪問操作的所有行為，是分析異常入侵行為的最好方式，但是攻擊日志的隱蔽性、日志數據的大量性以及日志格式的異構性，對傳統的人為分析方式和日志集中式分析方式提出了很大的挑戰。且當前的基于日志的入侵檢測大都著重于事后分析，進行事件的檢測、追蹤以及事后的追責，缺乏對實時日志流數據的即時分析，不能在第一時間發現攻擊行為并及時做出響應。如圖1所示，傳統的入侵檢測系統采用先入庫再分析的架構模型，且安全分析引擎采用集中式單節點分析。數據先入庫再集中分析，在實時性上就已經有所損耗，且集中式分析引擎在數據量較大的情況下延時較高，在分析節點不穩定的情況下容易造成單點故障。

因此，如何能夠對于網站的訪問日志進行實時入侵分析成為本領域技術人員亟待解決的技術問題。

發明內容

本發明旨在至少解決現有技術中存在的技術問題之一，提供一種分布式實時入侵檢測方法及一種分布式實時入侵檢測系統，以解決現有技術中的問題。

作為本發明的第一個方面，提供一種分布式實時入侵檢測方法，其中，所述分布式實時入侵檢測方法包括：

采集不同類型服務器的日志數據；

將所述日志數據進行緩存；

同步進行對緩存的所述日志數據的存儲以及對緩存的所述日志數據的安全分析，得到日志安全分析結果；

輸出所述日志安全分析結果。

優選地，所述日志數據包括時間敏感性數據，且帶有時間戳。

優選地，所述同步進行對緩存的所述日志數據的存儲以及對緩存的所述日志數據的安全分析，得到日志安全分析結果包括：

對緩存的所述日志數據進行時序數據專用操作以及對緩存的所述日志數據進行冗余操作；

對緩存的所述日志數據進行實時預處理得到預處理數據；

對所述預處理數據進行入侵行為分析，得到日志安全分析結果。

優選地，所述對緩存的所述日志數據進行實時預處理得到預處理數據包括：

對緩存的所述日志數據進行類型匹配；

將類型匹配得到的不完整數據或錯誤數據進行清理；

對經過清理后的日志數據進行日志格式化；

對經過日志格式化的日志數據通過增加標簽的方式進行日志標記。

優選地，所述對所述預處理數據進行入侵行為分析，得到日志安全分析結果包括：

對所述預處理數據采用誤用檢測的方式判斷所述預處理數據是否為異常訪問日志；

若所述預處理數據與特征庫的特征匹配成功，則判定所述預處理數據為異常訪問日志，并對所述預處理數據進行報警顯示；

若所述預處理數據與特征庫的特征匹配不成功，則對所述預處理數據采用異常檢測的方式判斷所述預處理數據是否為異常訪問日志；

若所述預處理數據的特定特征值與正常訪問模塊的偏離程度達到設定閾值，則判定所述預處理數據為異常訪問日志，否則判定為正常訪問日志。

優選地，所述分布式實時入侵檢測方法還包括：

對所述日志安全分析結果和存儲的所述日志數據進行查詢檢索，得到查詢檢索結果；

輸出所述查詢檢索結果。

作為本發明的第二個方面，提供一種分布式實時入侵檢測系統，其中，所述分布式實時入侵檢測系統包括：

日志采集模塊，所述日志采集模塊用于采集不同類型服務器的日志數據；

日志緩存模塊，所述日志緩存模塊用于將所述日志數據進行緩存，并將緩存的所述日志數據同步發送至日志存儲模塊和日志安全分析模塊；

日志存儲模塊，所述日志存儲模塊用于對緩存的所述日志數據的存儲；

日志安全分析模塊，所述日志安全分析模塊用于對緩存的所述日志數據的安全分析，得到日志安全分析結果；

輸出模塊，所述輸出模塊用于輸出所述日志安全分析結果。

優選地，所述日志存儲模塊包括數據庫和分布式文件系統，

所述數據庫用于對緩存的所述日志數據進行時序數據專用操作；

所述分布式文件系統用于對緩存的所述日志數據進行冗余操作。