用于实时检测网络黑客攻击的网络流量记录系统及方法与流程

本发明涉及黑客攻击检测技术，更具体地，涉及用于分析网络流量以对应网络黑客攻击的记录技术。
背景技术：
：：最近，利用服务器漏洞的攻击以零日攻击进行，该攻击可以通过网络应用程序中的漏洞简单快速地入侵服务器。防御网络应用程序漏洞攻击的常见产品是网络防火墙(waf，webapplicationfirewall)。网络应用程序防火墙检测并阻止针对开放系统互连参考模型(opensystemsinterconnectionreferencemodel)的网络应用程序的黑客攻击。现有网络防火墙(waf)从主机服务器或反向代理(从实际网络服务器前端接收和传输所有流量的装置)分析网络应用程序流量，以检测和阻止攻击。在主机服务器分析并阻止流量的网络防火墙存在降低主机服务器的性能的缺点。相反地，基于反向代理(reverseproxy)的网络防火墙由于在主机服务器分离了分析过程，虽然不存在如上所述的性能问题，但是在普及了云服务的环境中，存在因其结构而限制使用的缺点。其中，云服务是利用云计算(cloudcomputing)的服务，而云计算是一种基于互联网的计算，这意味着利用连接到互联网而不是自己的计算机的另一台计算机处理信息的技术。并且，云服务器还意味着用于实现云计算的服务器。并且，在检测黑客攻击中，网络防火墙使用基于特征(signiture)的分析。特征分析作为在流量中查找已登记的特征，具有以下问题。第一，基于特征的分析需要登记许多特征，以便应对误报等的问题，但是随着特征的增加，检测速度变慢。第二，基于特征的分析无法检测未登记的新攻击。由于网络防火墙的这些问题，很有可能网络防火墙无法检测并阻止网站管理权限(webshell)等的恶意代码，因而使其入侵网络服务器内部。与本发明相关的现有技术文献有专利授权10—1417671号(2014年07月02日)。技术实现要素：技术课题本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法：将利用超文本传输协议/超文本传输协议安全(http/https)协议的网络流量存储为日志后，向云服务器立即传输相应日志或在存储器中向云服务器立即传输流量，以便通过实时分析来检测黑客攻击，从而检测通过网络防火墙的黑客攻击并应对网络服务器黑客攻击。本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法：能够在云服务器分析与来自网络流量(包)的黑客攻击有关的检测，因此与在网络服务器的性能问题相比，更易于检测来自大容量日志的黑客攻击。本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法：收集包括向上电自检—主体(post—body)、回应—主体(response—body)传输的数据的网络流量信息，并按照字段分解，将其转发至云服务器以在云服务器进行分析。本发明提供如下的用于实时检测网络黑客攻击的网络流量记录系统及方法：在云服务器通过按照字段分解网络流量信息，生成对应字段的指纹来快速检测攻击，并可扩展可检测的攻击的范围。解决课题手段根据本发明的一个方面，提供网络流量记录系统。根据本发明一实施例的网络流量记录系统可包括：日志设置部，用于执行从网络服务器及网络服务器操作系统中的至少一个收集日志的设定；日志聚合部，用于生成包括根据上述设定收集的上述日志的日志信息；以及日志传输部，用于向云服务器传输上述日志信息。根据一实施例，云服务器可包括：日志分解部，按照字段分解上述日志信息；指纹生成部，用于生成对应字段的指纹；以及检测部，在上述指纹中存在与黑名单中的指纹相对应的攻击指纹的情况下，生成包括源互联网协议(ip)地址的检测信息。根据一实施例，通过指纹，以与日志信息所包含的单词及包含单词的字段相对应的方式将单词转换为预先指定的转换字符，以与所有数字相对应的方式将日志信息所包含的数字串转换为转换字符。根据一实施例，在指纹中不存在与黑名单中的指纹相对应的攻击指纹的情况下，检测部可通过基于特征的攻击检测方式来检测对应于日志信息的攻击。根据一实施例，日志设置部可执行如下的设置：收集包括传输到上电自检—主体、回应—主体的数据的日志，收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一种以上的日志。根据一实施例，网络流量记录系统可嵌入网络服务器程序并执行用于生成由网络服务器及网络服务器的操作系统中的至少一个产生的日志的日志设置，根据日志设置生成及聚合日志，以便向云服务器传输所生成的日志信息。根据一实施例，网络流量记录系统由与网络服务器的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应的模块形成，并可向上述云服务器传输所生成的上电自检—主体、回应—主体日志信息。根据一实施例，网络流量记录系统由在相对于客户端的请求向网络服务器传输流量的过程中，通过位于中间来首先接收客户端的请求，再将其流量传输到网络服务器的反向代理服务器形成，可向上述云服务器传输通过收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应来生成的上电自检—主体、回应—主体日志信息。根据一实施例，在网络流量记录系统中，使用端口镜像技术在单独的网络流量日志服务器聚合客户端与网络服务器之间的流量，并可向上述云服务器传输通过收集超文本传输协议/超文本传输协议安全协议的请求及响应来生成的上电自检—主体、回应—主体日志信息。根据一实施例，日志设置部可提供如下的功能设置：根据安全原则预先设置的敏感数据通过转换为星号(asterisk，*)等的特殊字符或加密，使得原始数据无法被识别，或需要进行加密，使得具有私钥(秘钥)才可以进行解码。并且，可提供预先检测敏感数据来进行推荐的设置，以通过预先监测上述敏感数据来防止上述敏感数据存储为明文。根据一实施例，日志设置部可提供使其由从网络流量或日志预先定义的形态的样式(格式)构成的设置。根据一实施例，在日志聚合部中，可根据日志设置部的设置，敏感数据可转换为星号(asterisk，*)等的特殊字符或被加密，根据日志设置部的设置，通过敏感数据推荐系统选择敏感数据并将其记录在单独的文件。根据一实施例，在日志聚合部中，根据日志设置部的协议设置，在超文本传输协议(80)的情况下，支持一般明文分析，在超文本传输协议安全(443)的情况下，利用网络服务器的认证书和私钥(privatekey)或秘钥(secretkey)来将密文转换为明文，以存储日志。根据一实施例，在日志传输部中，在传输由日志聚合部聚合的日志的情况下，为了减少传输量而提供选项，使得对于未执行程序执行的静态文件可例外进行传输，对于压缩和非压缩、加密和非加密也可提供选项。根据本发明的另一方面，提供用于在网络流量记录系统实时检测网络黑客攻击的网络流量记录方法。根据本发明一实施例的网络流量记录方法包括：执行用于收集日志的设置的步骤；生成包括根据上述设置收集的上述日志的日志信息的步骤；以及向上述云服务器传输上述日志信息的步骤。执行用于收集日志的设置的步骤可以是执行用于收集包括传输到上电自检—主体、回应—主体的数据的日志以及收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一种以上的日志的设置的步骤。根据一实施例，可包括云服务器生成对应于日志信息的指纹的步骤；云服务器通过分析指纹来生成检测信息的步骤；以及根据检测信息阻止来自日志信息的源互联网协议(ip)地址的访问的步骤。根据一实施例，云服务器生成对应于日志信息的指纹的步骤可包括按照字段分解日志信息的步骤以及生成对应字段的指纹的步骤。根据一实施例，云服务器通过分析指纹来生成检测信息的步骤可以是在指纹中存在与黑名单中的指纹相对应的攻击指纹的情况下，生成包括源互联网协议地址的检测信息的步骤。根据一实施例，通过指纹，以与日志信息所包含的单词及包含单词的字段相对应的方式将单词转换为预先指定的转换字符，以与所有数字相对应的方式将日志信息所包含的数字串转换为转换字符。根据一实施例，还包括在指纹中不存在与黑名单中的指纹相对应的攻击指纹的情况下通过基于特征的攻击检测方式来检测对应于日志信息的攻击的步骤。根据一实施例，在网络流量记录系统中，可包括嵌入网络服务器的模块，或包括与网络服务器的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应的模块，或包括设置在相对于客户端的请求向网络服务器传输流量的过程中，通过位于中间来首先接收客户端的请求，再将流量传输到网络服务器的反向代理服务器的模块，或包括使用端口镜像技术聚合客户端与网络服务器之间的流量的单独的网络流量日志服务器，以便通过收集超文本传输协议/超文本传输协议安全协议的请求及响应来生成上电自检—主体、回应—主体日志。发明的效果如上所述，根据本发明一实施例，在网络流量分析中，并非在设置于网络服务器的模块分析网络流量，而是将其传输到独立于产生日志的网络服务器的远程系统的云服务器并进行分析，从而解决了网络服务器的性能问题，提供与用于在云环境下检测并阻止网络应用程序攻击的网络防火墙类似的效果的服务。并且，在网络流量分析中，网络流量日志设置部可设置为从网络流量或日志预先定义的形态的样式(格式)。这使得云服务器可以方便地按照字段区分日志，即使发生网络流量或日志的变化，也可最小化云服务器日志分解部的系统或程序结构的变化。并且，根据本发明一实施例，通过收集并分析包括传输到上电自检—主体和回应—主体的数据的网络流量信息来扩展可检测的攻击的范围，并可准确判断相应攻击是否成功。并且，由于上电自检—主体和回应—主体等的数据存储于云服务器，因而可对于在发生问题前从日志掌握问题的原因并解决问题有很大的帮助。并且，根据本发明一实施例，通过按照字段分解日志信息，生成对应字段的指纹来快速检测攻击。并且，根据本发明一实施例，由于将利用超文本传输协议/超文本传输协议安全协议的网络流量实时传输或存储为日志后，向云服务器传输相应日志，以便通过实时分析来检测黑客攻击，从而检测通过网络防火墙的黑客攻击并应对网络服务器黑客攻击。并且，根据本发明一实施例，在云服务器执行基于与日志有关的特征的分析，使得主机服务器的性能不受基于特征的分析。并且，根据本发明一实施例，网络流量记录系统可包括嵌入网络服务器的模块，与网络服务器独立的方式设置于网络服务器的模块，设置于客户端与网络服务器中间的反向代理服务器的模块或通过镜像网络服务器的端口来在独立的服务器聚合网络流量的模块。附图说明图1为用于说明本发明第一实施例的网络流量记录系统的图。图2为用于说明本发明一实施例的网络流量记录系统的网络流量记录部的图。图3为用于说明本发明一实施例的网络流量记录系统的云服务器的图。图4为用于说明本发明一实施例的用于实时检测网络黑客攻击的网络流量记录方法及通过分析日志来进行检测的方法的图。图5为用于说明作为本发明第二实施例的网络流量记录系统，虽然设置于网络服务器，但是以与网络服务器独立的方式进行操作的网络流量记录部的图。图6为用于说明作为本发明第三实施例的网络流量记录系统，通过设置于反向代理来被操作的网络流量记录部的图。图7为作为本发明第四实施例的网络流量记录系统，以端口镜像方式说明网络流量记录部的图。具体实施方式以下，参照附图详细说明本发明的实施例，使得本发明所属领域技术人员可以容易地实现本发明。然而，本发明可以以多种不同的形式实施，并且不应该被解释为限于这里说明的实施例。并且，当某个部分被称为“包括”某个结构要素时，在没有特别与其相反的记载情况下，应该理解它可以包括其他结构，而非排除其他结构要素。图1为用于说明本发明第一实施例的网络流量记录系统的图。参照图1，根据本发明第一实施例的网络流量记录系统包括网络服务器100、网络流量记录部110以及云服务器200。网络服务器100通过网络流量记录部110执行用于生成从网络服务器及网络服务器的操作系统中的至少一个收集的日志的设置，根据日志设置生成及聚合日志，以便生成日志信息。之后，网络流量记录部110向云服务器200传输日志信息。网络流量记录部110以从云服务器200接收网络黑客攻击检测信息或自动收集相应信息的方式获取信息，并将包括在网络黑客攻击检测信息的日志的源互联网协议(ip)地址添加到阻止列表。网络服务器100或网络服务器操作系统通过网络流量记录部110阻止来自包括在阻止列表的各源互联网协议地址的访问。更详细地，网络流量记录部110包括例如以通用日志格式(clf，commonlogformat)、扩展日志格式(elf，extendedlogformat)规定的项目，生成并格式化如下的日志。cookie,status,server,version,request,referer,user-agent,connection,host,accept-encoding,method,x-forwarded-for,remote-addr,uri,cache-control,content-length,request-date,content-type,request-body(post-body),response-body(resp-body)并且，作为网络流量的超文本传输协议/超文本传输协议安全(http/https)协议的请求(request)方式有get、post、head、options、put、delete、trace。为了应对网络服务器黑客攻击，网络流量记录部110在网络客户端与网络服务器之间的超文本传输协议/超文本传输协议安全协议内的所有项目中检测黑客攻击。网络流量记录部110包括上电自检—主体及回应—主体的聚合。由于黑客们以上电自检(post)方式向正文(body)插入攻击数据，因而上电自检—主体分析尤为重要。并且，就攻击成功与否而言，可通过回应—主体明确判断，因此回应—主体分析也尤为重要。网络流量记录部110可通过分析插入有资料隐码攻击(sql)、跨站点脚本(xss，crosssitescripting)及网站管理权限(webshell)等的大部分的黑客攻击代码后转发的上电自检—主体，来检测网络黑客攻击。这种网络服务器的请求(request)数据包括网络服务器对于请求的相应结果。其中，响应结果包括实际攻击是否成功，当攻击成功时，可实时确认哪种数据是泄露数据。上电自检—主体或回应—主体具有通常在网络服务器程序的存储器中管理并在操作结束后被删除的特征，因此通过日志分析的黑客攻击检测解决方案无法支持上电自检—主体和回应—主体的分析。网络服务器100通过包括嵌入网络服务器程序的网络流量记录部110，并共享网络服务器程序的存储器，来以超文本传输协议/超文本传输协议安全协议的请求及响应的所有项目生成上电自检—主体和回应—主体日志，并将上电自检—主体和回应—主体日志传输到云服务器200。在超文本传输协议安全(https)协议的情况下，由于数据被加密，因此在利用网络服务器的认证书和私钥(秘钥)进行解码后，进行数据分析。云服务器200包括多个服务器，各服务器200通过相互联动的方式分析日志信息并检测攻击。云服务器200不仅包括云服务器，还可包括远程驱动的所有系统。例如，各云服务器200以相互联动的方式按照字段分解日志信息，可生成分解的各字段有关的指纹。云服务器200可通过分析指纹来检测攻击。在没有根据指纹检测到攻击的情况下，云服务器200可通过基于特征的分析来分析日志信息。在根据基于指纹分析或基于特征分析检测攻击的情况下，云服务器200使得包括相应日志的源互联网协议地址的检测信息被传输到网络服务器100的网络流量记录部110，或使得网络流量记录部110通过周期性地连接来收集检测信息。稍后参照图3详细说明各云服务器200的详细结构。以下，详细说明如上所述的网络流量记录系统的网络流量记录部110及云服务器200。图2为用于说明本发明一实施例的网络流量记录系统的网络流量记录部的图。参照图2，网络流量记录部110包括日志设置部112、日志聚合部114、日志传输部116以及互联网协议地址阻止部118。根据本发明的第一实施例，网络流量记录部110借助网络服务器100的操作系统操作，日志设置部112、日志聚合部114、日志传输部116以及互联网协议地址阻止部118可在操作系统执行其操作。日志设置部112执行用于生成日志的设置。例如，在通常的窗口操作系统(window)或linux中没有被设置记录如下的恶意行为有关的日志，上述恶意行为包括根据借助程序的执行的服务器的密码等的安全原则预先设置的敏感数据的泄露、借助向特定执行程序注入的存储器黑客攻击、借助主机(hosts)文件修改的网络钓鱼或网址嫁接攻击、黑客通过向外部的远程访问来访问服务器内部的反向连接等的恶意行为有关的日志。在窗口操作系统的情况下，日志设置部112执行日志设置，以便在高级安全审计策略中激活个体访问跟踪审计和过程跟踪审计。日志设置部112执行日志设置，以日志的方式收集通过包括转发到上电自检—主体和回应—主体的数据的所有超文本传输协议/超文本传输协议安全协议转发的数据。其中，网络服务器100所使用的超文本传输协议/超文本传输协议安全协议的方法(method)包括get、put或post等的动词形方法、head或options等的名词形方法。例如，get为索取一个资源的方法，post为意味着数据需要进入服务器(生成或修改资源，或创建所要接收的临时文档的操作等)的方法。为了提高网络黑客攻击的检测能力，日志设置部112以日志的方式保留上电自检—主体和回应—主体内容。并且，日志设置部112可通过如下的方法来加强安全性：将借助上电自检—主体及回应—主体内容中，密码、个人识别号码、卡号码等的安全原则预先设定的敏感内容转换为星号(asterisk，*)等的特殊字符或加密。并且，日志设置部112以可推荐敏感内容的数据的系统，利用正规表达式，通过单独记录/pw/、/secure/、/jumin/等的可预期敏感的数据，来告知用户，从而可以预先防止敏感数据以明文的方式存储在日志而不被加密。网络服务器100的窗口操作系统根据日志设置部112的日志设置高级审计策略，因此可生成如下的日志。在这种情况下，与在通常的窗口操作系统生成的基本日志不同地，在网络流量记录部110生成的日志可包括程序运行位置(objectname)、程序执行信息(processname)、程序执行对象形态(objecttype)以及程序执行主体(subjectusername)等的与文件访问检测有关的重要信息。并且，日志设置部112为了检测基于linux的网站管理权限的攻击等，可通过如下的指令执行日志设置。auditctl-aalways，exit-farch＝b64-sexecve-fuid＝apache在这种情况下，linux操作系统可生成如下的日志。在这种情况下，与在通常的linux操作系统生成的基本日志不同地，在网络流量记录部110生成的日志可包括程序运行位置(/var/www/html/wordpress)、程序执行信息(psaux、ls)、程序整体路径(/usr/bin/ps,/usr/bin/ls)以及程序信息(pid、ppid、uid、gid、euid、egid)等的与网站管理权限攻击检测有关的重要信息。并且，网络服务器100的网络流量记录部110可以生成如下的日志，以包括网络的超文本传输协议/超文本传输协议安全协议的方法中的上电自检方式的上电自检—主体数据。并且，网络服务器100的网络流量记录部110可生成如下的日志以包括在网络的超文本传输协议/超文本传输协议安全协议的方法中的回应—主体。日志聚合部114聚合根据日志设置生成的日志以生成日志信息。日志聚合部114向日志传输部116传输日志信息。日志聚合部114可根据日志设置部112的设置将敏感数据转换为星号(asterisk，*)等的特殊字符或加密，根据日志设置部112的设置通过敏感数据推荐系统选择敏感数据并记录在单独的文件。日志聚合部114根据日志设置部112的协议设置，在超文本传输协议(http)80的情况下，支持一般明文分析，在超文本传输协议安全(https)443的情况下，可利用网络服务器的认证书和私钥，将密文转换为明文并存储日志。日志传输部116以预定格式编码日志信息并传输到云服务器200。因此，为了通过编码压缩日志信息并传输到云服务器200，日志传输部116可减少网络流量。或者，根据实现方法日志传输部116可由以日志信息以非压缩状态、以减少网络流量记录部110的资源消耗的形态实现。在这种情况下，日志传输部116可向多个云服务器200分散传输各日志信息。因此，多个云服务器200可通过并行的日志分析来执行攻击检测。并且，在传输由日志聚合部聚合的日志的情况下，为了减少传输量，日志传输部116可提供选项，使得对于未执行程序执行的静态文件可例外进行传输，对于压缩和非压缩、加密和非加密也提供选项。例如，在请求方法中的get的情况下，静态文件为单纯文件、图像、字体等，对于未执行程序执行的多个静态文件，日志传输部116不需要从生成的日志传输到作为分析系统的云服务器。互联网协议地址阻止部118以从云服务器200接收或自动周期性地访问网络黑客攻击检测信息收集相应信息的方式获取信息，阻止来自包括在检测信息的源网址(sourceip)的访问。例如，互联网协议地址阻止部118将网络黑客攻击检测信息的源互联网协议地址添加到阻止列表，可阻止对应于包括在阻止列表的各源互联网协议地址的访问。在网络流量记录部110不包括在网络服务器100，由反向代理服务器或单独的服务器形成的情况下，互联网协议地址阻止部118向网络服务器100转送包括在网络黑客攻击检测信息的源网址(sourceip)信息，以便在网络服务器100将网络黑客攻击检测信息的源互联网协议地址添加到阻止列表，或将组织列表添加到包括在操作系统的防火墙或防护墙(iptables)，并阻止对应于包括在阻止列表的各源互联网协议地址的访问。图3为用于说明本发明一实施例的网络流量记录系统的云服务器的图。参照图3，根据本发明一实施例的云服务器200包括日志分解部210、指纹生成部220以及检测部230。日志分解部210按照字段分解从网络服务器100的网络流量记录部110接收的日志信息。例如，日志分解部210将日志信息以header,requestbody(post—body),responsebody(resp—body),cookie等的预先设定的字段为单位进行分解。日志分解部210向指纹生成部220传输分解的日志信息(以下，称之为字段信息)。并且，日志分解部210向检测部230传输日志信息。指纹生成部220按照字段信息生成指纹。在这种情况下，指纹为根据sql、html、javascript、网站管理权限等的字段信息的形式执行解析，并将指定的单词、数字以及字符转换为预定字符(以下，称之为转换字符)的字符串。例如，在字段信息中包括特定单词的情况下，指纹生成部220可以将相应单词转换为预定转换字符以对应相应单词，并且，在字段信息包括数字串的情况下，指纹生成部220可以将相应数字串转换为预先设置的转换字符以对应所有数字。指纹生成部220可生成依次包括对应于各单词、数字、字符的多个转换字符的指纹。在这种情况下，各个预定转换字符可根据字段信息的形式(sql、html、javascript、网站管理权限等)以不同的方式指定，以对应各单词、数字以及字符。例如，不同的转换字符可以预定，以对应包括在sql形式的字段信息和html形式的字段信息的相同的单词。指纹生成部220向检测部230传输与各字段信息有关的指纹。即，指纹生成部220以特定字符表达除了资料隐码攻击(sqr)关键字和资料隐码攻击(sqr)注入中使用的字符以外的所有单词和数字，关键字或注入文中使用的多个单词/字符也可以生成由指定的字符表达的资料隐码攻击(sqr)指纹。并且，指纹生成部220可将除了html中使用的多个字符以外的所有单词和数字表达为特定字符，关键字中使用的多个单词/字符也可以生成由指定的字符表达的html指纹。并且，指纹生成部220可将除了javascript中使用的多个字符以外的所有单词和数字表达为特定字符，关键字中使用的多个单词/字符也可以生成由指定的字符表达的javascript指纹。并且，指纹生成部220可将除了php、asp、perl、python、bash等的在程序中使用的多个字符以外的所有单词和数字表达为特定字符，关键字中使用的多个单词/字符也可以以指纹生成指定的字符表达的网站管理权限(webshell)。检测部230判断是否存在各指纹中对应于攻击的指纹(以下，称之为攻击指纹)。检测部230存储于包括所有黑客攻击有关的指纹的黑名单，各指纹中存在包括在黑名单内的指纹的情况下，将对应于相应黑名单的指纹判断为攻击指纹。在各指纹中不存在攻击指纹的情况下，检测部230从日志分解部210接收日志信息，执行与日志信息有关的基于特征的攻击检测。在这种情况下，检测部230存储与预定攻击有关的特征，在日志信息中存在对应于存储的特征的情况下，可判断发生了根据相应日志信息的攻击。在存在攻击指纹或根据基于特征的攻击检测而检测到攻击的情况下，检测部230生成包括作为分析对象的日志信息的源网址(sourceip)的检测信息并保管，使得网络流量记录部110的互联网协议地址阻止部118周期性地取走或传输到网络流量记录部110的互联网协议地址阻止部118。图4为用于说明本发明一实施例的用于实时检测网络黑客攻击的网络流量记录方法的图。参照图4，在步骤s410中，网络服务器100的网络流量记录部110执行日志设置。为了应对网络服务器黑客攻击，网络流量记录部110在网络客户端与网络服务器之间的超文本传输协议/超文本传输协议安全协议内的所有项目中检测黑客攻击。网络流量记录部110以超文本传输协议/超文本传输协议安全协议方法收集以例如，转送到上电自检—主体、回应—主体的数据作为日志，并执行日志设置以便收集包括程序运行位置、程序执行信息、程序执行对象形态及程序执行主体、程序整体路径及程序信息中的一个以上的日志。由于黑客们以上电自检(post)方式向正文(body)插入攻击数据，因而上电自检—主体分析尤为重要。并且，就攻击成功与否而言，可通过回应—主体明确判断，因此回应—主体分析也尤为重要。例如，就资料隐码的入侵模式攻击而言，由于能够直接确认实际数据是否泄露，因此可以检测损坏和风险。作为另一种例，在跨站点脚本(xss)攻击的情况下，可通过在get/post请求步骤进行检测，在云服务器的虚拟网络环境执行作为响应步骤的回应—主体并进行检测的方式来更明确地检测。其中，虚拟网络环境为类似于用户个人电脑(pc)的浏览器中执行的环境，可包括浏览器模拟器等的多种技术。在步骤s420中，网络流量记录部110通过聚合由操作系统生成的日志来生成日志信息。在步骤s430中，网络流量记录部110向云服务器200传输日志信息。在这种情况下，网络流量记录部110可根据预定方式编码日志信息，从而当传输日志信息时，减少网络负载，并且可以进行加密来保护数据。在步骤s440中，云服务器200按照字段分解日志信息。例如，云服务器200可将日志信息以header,requestbody,responsebody,url,cookie等的预先设置的字段为单位进行分解。在步骤s450中，云服务器200生成按照各字段的指纹。例如，云服务器200可通过根据字段信息的形式执行解析来将指定的单词、数字以及字符转换为预定转换字符以生成指纹。在步骤s460中，云服务器200整体指纹中判断是否存在与黑名单中的指纹相对应的攻击指纹。在步骤s470中，在不存在攻击指纹的情况下，云服务器200通过将基于特征的攻击检测方式适用于日志信息来检测攻击。在步骤s480中，在根据基于指纹或基于特征的攻击检测方式检测到攻击的情况下，云服务器200向网络流量记录部110传输包括对应于日志信息的源互联网协议地址的检测信息。在步骤s490中，网络服务器100或网络流量记录部110阻止来自检测信息的源互联网协议地址的访问。例如，网络服务器100或网络流量记录部110将检测信息的源互联网协议地址添加到阻止列表，可阻止对应于包括在阻止列表的各源互联网协议地址的访问。图5为用于说明作为本发明第二实施例的网络流量记录系统的图。参照图5，根据本发明的第二实施例，网络流量记录部110可由与网络服务器100的程序独立的方式收集由客户端与网络服务器之间的通信产生的超文本传输协议/超文本传输协议安全协议的请求及响应的模块形成。网络流量记录部110由与网络服务器100的程序独立的模块形成，生成尤其上电自检—主体和回应—主体日志作为所有项目，并可向云服务器200传输所生成的上电自检—主体和回应—主体日志。这是因为存在如下的情况，在许多商用网络服务器程序的情况下，不支持网络服务器程序的存储器共享，或因系统性能等理由无法设置嵌入商用网络服务器程序的模块。图6为用于说明本发明第三实施例的网络流量记录系统的图。参照图6，根据本发明的第三实施例，网络流量记录部110可由利用反向代理功能的反向代理服务器300形成。反向代理服务器300通过设置用于网络日志分析的模块或激活上电自检—主体记录功能，生成超文本传输协议/超文本传输协议安全协议的请求及响应所有项目，尤其上电自检—主体和回应—主体日志，向云服务器200实施传输上电自检—主体和回应—主体日志。其中，反向代理(reverseproxy)功能是指，在相对于客户端的请求向网络服务器传输流量的过程中，通过位于中间来首先接收客户端的请求，再将其流量传输到网络服务器100的方式，就服务器的响应方式而言，也是首先接收，再将其传输到客户端。由于网络流量记录部110通过反向代理服务器300实现，因而不需要在网络服务器程序直接设置模块也可以生成作为用于检测黑客攻击的重要日志的上电自检—主体和回应—主体等。在通过反向代理服务器300实现的情况下，网络流量记录部110存在如下的优点：虽然可改变客户端网络的结构，但是不需要在网络服务器设置模块。图7为用于说明本发明第四实施例的网络流量记录系统的图。参照图7，根据本发明的第四实施例，网络流量记录部110使用端口镜像(portmirroring)技术，使客户端与网络服务器之间的流量不像反向代理位于中间，而是在单独的网络流量记录服务器400中，将超文本传输协议/超文本传输协议安全协议存储为日志，以支持黑客攻击检测。这是因为，需要在作为新系统操作中的系统进行变更，因添加到系统而添加故障产生点，从而增加了管理费用。网络流量记录服务器400利用端口镜像功能在单独的服务器接收网络的流量。以日志生成所接收的超文本传输协议/超文本传输协议安全协议的请求和相应的所有项目，尤其上电自检—主体、回应—主体，或向远程云服务器传输。其中，端口镜像(portmirroring)功能是将在网络交换机的某一端口上看到的所有网络包或整体虚拟局域网(vlan)的所有包复制到其他监视端口的技术。如果交换机没有端口镜像功能，则利用网络分路器(tap，testaccessports)设备以日志生成超文本传输协议/超文本传输协议安全协议的所有项目，尤其上电自检—主体和回应—主体，或传输到远程服务器。其中，分路器(tap)设备是指在不中断数据流的情况下监视流量而不影响网络的设备。网络流量记录服务器400可以生成作为用于检测黑客攻击的重要的日志的上电自检—主体、回应—主体等，而无需在网络服务器程序直接设置模块。并且，利用端口镜像技术阻止黑客在攻击网络服务器后直接操作日志并妨碍分析的攻击。可通过多种手段实现如上所述的本发明的多个实施例。例如，本发明的多个实施例可通过网络交换机、防火墙，分路器、l4交换机、反向代理硬件设备、软件程序或其组合来实现。并且，本发明的多个实施例可以通过硬件、固件(firmware)、软件或其组合来实现。在基于硬件实现的情况下，根据本发明的多个实施例的方法可通过一个或一个以上的专用集成电路(asics，applicationspecificintegratedcircuits)、数字信号处理器(dsps，digitalsignalprocessors)、数字信号处理装置(dspds，digitalsignalprocessingdevices)、可编程逻辑器件(plds，programmablelogicdevices)、现场可编程门阵列(fpgas，fieldprogrammablegatearrays)、处理器、控制器、微控制器、微处理器等实现。在基于固件(firmware)或软件实现的情况下，根据本发明的多个实施例的方法可以以执行以上说明的功能或多个操作的模块、程序或函数等的形态实现。记录有软件代码等的计算机程序可以存储在计算机可读记录介质或存储器单元中，并且可以由处理器驱动。存储器单元位于处理器内部或外部，并且可以通过已知的各种手段与处理器交换数据。并且，附加到本发明的框图的各块和流程图的各步骤的组合可以由计算机程序指令执行。这些计算机程序指令可装载在通用计算机、专用计算机或其他可编程数据处理设备的编码处理器，因此生成通过计算机或其它可编程数据的编码处理设备的编码处理器执行的指令，用于执行该框图的各块或流程图的各步骤中说明的功能的手段。这些计算机程序指令还可以存储在计算机可用或计算机可读存储器中，该存储器能够指示计算机或其他可编程数据处理装置以特定方式实现功能，存储在计算机可用或计算机可读存储器中的指令也可以生产包含指令手段的品目，该指令手段包括用于执行在框图的各块或流程图的各步骤中说明的功能的指令手段。计算机程序指令也可以装载在计算机或其他可编程数据处理设备上，以便在计算机或其他可编程数据处理设备上执行一系列操作步骤，通过生成由计算机执行的过程，来执行计算机或其他可编程数据处理设备的指令也可以提供用于执行框图的各块及流程图的各步骤中说明的功能的步骤。并且，各块或各步骤可以表示包括用于执行特定逻辑功能的一个以上可执行的指令的模块、段或代码的一部分。还应注意，在一些替代实施例中，多个块或多个步骤中提到的功能可能不按顺序发生。例如，连续示出的两个块或步骤实际上可以基本上同时执行，或者其块或步骤有时可以根据相应的功能以相反的顺序执行。像这样，本领域所属领域技术人员应理解，在不脱离本发明的技术思想或必要特征的情况下，本发明可以以其他具体形式实施。因此，应该理解，上述实施例在所有方面都是例示性的，而非限制性的。本发明的范围由发明要求保护范围表示，从发明要求保护范围的意义、范围以及等同概念导出的所有变更或变形的形态都应被解释为包括在本发明的范围内。当前第1页12当前第1页12