[发明专利]一种基于特征检索的网络日志在线跟踪方法及系统

说明书

本发明公开了一种基于特征检索的网络日志在线跟踪方法及系统，本发明的网络日志在线跟踪方法包括实时捕获网络流量镜像数据包，接收来自控制中心的过滤参数数组K[M]以及和时间阈值t，将网络流量镜像数据包中长度为时间阈值t的网络数据包根据过滤参数数组K[M]记录的网络行为参数并基于网络行为特征属性的哈希表的过滤模型进行过滤，得到攻击行为的网络日志文件，将网络日志文件采用断点续传的方式输出至控制中心。本发明能够快速筛选符合条件的流量数据，实现海量流量数据的在线检索和跟踪，将网络日志文件采用断点续传的方式输出至控制中心，数据传输实时可靠。

技术领域

本发明涉及网络安全中网络日志的实时在线跟踪技术，具体涉及一种基于特征检索的网络日志在线跟踪方法及系统。

背景技术

随着信息技术的不断发展，信息系统和设施为各行各业的生产和生活提供极大的便利，而与之相关的网络安全，则成为关系公共安全，甚至是国家安全的关键环节，对网络攻击行为和非法行为进行实时监控已成为保护关键信息基础设施安全的必要措施。

为了准确验证和深入分析攻击行为，需要对可疑的访问行为实时跟踪，及时发现其攻击意图和攻击目标。网络流量数据中记录了信息系统的访问行为，包括访问的源地址、目的地址、源端口、目的端口及访问时间等特征属性。对于规模庞大的企业或者数据中心，网络出口流量数据高达1G/S，网络日志跟踪方法必须要支持海量的数据实时在线检测，即通过特定的特征属性，如源地址、源端口、目的地址、目的端口等，筛选跟踪用户的访问行为。目前，还没有公开文献涉及网络流量的实时在线跟踪方法。

发明内容

本发明要解决的技术问题：针对现有技术的上述问题，提供一种基于特征检索的网络日志在线跟踪方法及系统，本发明能够快速筛选符合条件的流量数据，实现海量流量数据的在线检索和跟踪，将网络日志文件采用断点续传的方式输出至控制中心，数据传输实时可靠。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于特征检索的网络日志在线跟踪方法，实施步骤包括：

1）实时捕获网络流量镜像数据包；

2）接收来自控制中心的过滤参数数组K[M]以及和时间阈值t，将网络流量镜像数据包中长度为时间阈值t的网络数据包根据过滤参数数组K[M]记录的网络行为参数并基于网络行为特征属性的哈希表的过滤模型进行过滤，得到攻击行为的网络日志文件；

3）将网络日志文件采用断点续传的方式输出至控制中心。

优选地，步骤2）的详细步骤包括：

2.1）初始化特征属性哈希表H，特征属性哈希表H由N个数据单元组成，每个数据单元是一个格式为flag, addr的结构体，其中标识flag用于标记哈希匹配状态且初始置为0，地址addr用于记录冲突链表头结点的内存地址；