CN115834260A - 网络安全防御系统、方法及装置 - Google Patents

Abstract

本申请提供一种网络安全防御系统、方法及装置，应用于云计算领域，该系统包括：日志服务器单元、日志存储单元、日志分析单元和至少一个客户端；日志服务器单元用于根据配置文件，从至少一个客户端中获取目标日志文件；日志分析单元，用于运行日志分析脚本，对目标日志文件进行初次分析，获取目标日志文件中的日志信息和恶意访问信息；对恶意访问信息进行二次分析，确定带有恶意攻击意图的目标恶意访问信息；日志存储单元，用于将目标恶意访问信息对应的IP地址存入黑名单中。通过该方系统，使得客户端可以通过日志存储单元获取具有攻击意图的IP地址，从而实现了网络安全防御的可靠性和共享性，进而提高了信息安全性。

Description

网络安全防御系统、方法及装置

技术领域

本申请实施例涉及云计算技术领域，尤其涉及一种网络安全防御系统、方法及装置。

背景技术

云服务与网络安全是当今信息技术领域的两个热门话题。随着互联网经济的快速发展，越来越多的与网络服务相关的网站不断孕育而生。由于实体服务器的价格依然高居不下，购买实体服务器所造成的在硬件上的投入对于小型的创业型网站来说，是一笔不小的开支。

随着云服务技术的不断发展与其服务费用的不断降低，越来越多的小型网站采用了云端的服务器来为广大用户提供各种各样的网络服务。云计算的主要优势之一是，能够根据业务发展来进行扩展，从而节省前期的基础设施费用，以降低成本。利用云服务，可以无需再提前数周或数月来计划和采购服务器及其他 IT 基础设施，而是可以在几分钟内即时运行成百上千台服务器并更快达成结果。

然而，当前的在云服务上运行的网络应用，亟需一个网络安全防御系统来提高信息安全性。

发明内容

本申请实施例提供一种网络安全防御系统、方法及装置，以提高云服务上运行的网络应用的信息安全性。

第一方面，本申请实施例提供一种网络安全防御系统，所述系统包括：日志服务器单元、日志存储单元、日志分析单元和至少一个客户端；

所述日志服务器单元用于根据配置文件，从所述至少一个客户端中获取目标日志文件；

所述日志分析单元，用于运行日志分析脚本，对所述目标日志文件进行初次分析，获取所述目标日志文件中的日志信息和恶意访问信息；对所述恶意访问信息进行二次分析，确定带有恶意攻击意图的目标恶意访问信息；

所述日志存储单元，用于将所述目标恶意访问信息对应的IP地址存入黑名单中。

一种可选的实施方式中，所述至少一个客户端、所述日志服务器单元、所述日志存储单元和所述日志分析单元均分布式部署在云服务器上。

一种可选的实施方式中，所述日志服务器单元，具体用于获取预先设置的配置文件；根据所述配置文件确定所述目标日志文件对应的服务类别和日志等级；根据所述标日志文件对应的服务类别和日志等级，从所述至少一个客户端中获取目标日志文件。

一种可选的实施方式中，所述日志服务器单元，具体用于接收所述至少一个客户端发送的非对称加密公钥；根据所述非对称加密公钥，从所述至少一个客户端中获取所述目标日志文件。

一种可选的实施方式中，所述至少一个客户端，用于根据时间信息对本机生成的日志文件进行多级分割，生成所述目标日志文件。

一种可选的实施方式中，所述至少一个客户端，分别用于根据访问信息和本机当前网络信息，确定恶意访问信息；将所述恶意访问信息通过目标日志文件发送给所述日志服务器单元；

一种可选的实施方式中，所述日志服务器单元还用于，接收所述至少一个客户端发送的获取请求，将所述黑名单中的IP地址发送给所述至少一个客户端；

所述至少一个客户端，还用根据于所述黑名单中的IP地址，设置本机的防火墙。

一种可选的实施方式中，所述日志服务器单元，还用于使用聚类算法，对所述目标日志文件进行聚类，确定所述目标日志文件的类型。

第二方面，本申请实施例提供一种网络安全防御方法，所述方法包括：

运行日志分析脚本，对目标日志文件进行初次分析，获取所述目标日志文件中的日志信息和恶意访问信息，所述目标日志文件是根据配置文件，由日志服务器单元从至少一个客户端中获取目标日志文件；

对所述恶意访问信息进行二次分析，确定带有恶意攻击意图的恶意访问信息；

调用日志存储单元，将所述恶意访问信息对应的IP地址存入黑名单中。

第三方面，本申请实施例提供一种网络安全防御装置，所述装置包括：

运行模块，用于运行日志分析脚本，对目标日志文件进行初次分析，获取所述目标日志文件中的日志信息和恶意访问信息，所述目标日志文件是根据配置文件由日志服务器单元从至少一个客户端中获取的；

分析模块，用于对所述恶意访问信息进行二次分析，确定带有恶意攻击意图的恶意访问信息；

存储模块，用于调用日志存储单元，将所述恶意访问信息对应的IP地址存入黑名单中。

第四方面，本申请实施例提供一种网络安全防御设备，包括：至少一个处理器和存储器；

所述存储器存储计算机执行指令；

所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如上第二方面所设计的网络安全防御方法。

第五方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，当处理器执行所述计算机执行指令时，实现如上第二方面所设计的网络安全防御方法。

第六方面，本申请实施例提供一种计算机程序产品，包括计算机指令，该计算机指令被处理器执行时实现如上第二方面所设计的网络安全防御方法。

通过上述网络安全防御系统、方法及装置，由于客户端可以通过日志存储单元获取具有攻击意图的IP地址，从而实现了网络安全防御的可靠性和共享性，进而提高了信息安全性。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请实施例提供的一种网络安全防御系统的应用场景示意图；

图2为本申请实施例涉及的一种网络安全防御系统的结构示意图；

图3为本申请实施例提供的一种syslog协议的原理图；

图4为本申请实施例提供的一种数据流向的示意图；

图5为本申请实施例提供的一种聚类算法的原理示意图；

图6为本申请实施例提供的一种网络安全防御方法的流程示意图；

图7为本申请实施例提供的一种网络安全防御装置的结构框图；

图8为本申请实施例提供的一种网络安全防御设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例，相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。

应当理解，本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。

本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。

需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

随着云服务技术的不断发展与其服务费用的不断降低，越来越多的小型网站采用了云端的服务器来为广大用户提供各种各样的网络服务。云计算的主要优势之一是，能够根据业务发展来进行扩展，从而节省前期的基础设施费用，以降低成本。利用云服务，可以无需再提前数周或数月来计划和采购服务器及其他 IT 基础设施，而是可以在几分钟内即时运行成百上千台服务器并更快达成结果。

然而，当前的在云服务上运行的网络应用，亟需一个网络安全防御系统来提高信息安全性。

为解决上述问题，本申请提供一种网络安全防御系统、方法及装置，该系统包括：日志服务器单元、日志存储单元、日志分析单元和至少一个客户端；日志服务器单元用于根据配置文件，从至少一个客户端中获取目标日志文件；日志分析单元，用于运行日志分析脚本，对目标日志文件进行初次分析，获取目标日志文件中的日志信息和恶意访问信息；对恶意访问信息进行二次分析，确定带有恶意攻击意图的目标恶意访问信息；日志存储单元，用于将目标恶意访问信息对应的IP地址存入黑名单中。通过该方系统，使得客户端可以通过日志存储单元获取具有攻击意图的IP地址，从而实现了网络安全防御的可靠性和共享性，进而提高了信息安全性。

下面对于本申请涉及的应用场景进行说明。

图1为本申请实施例提供的一种网络安全防御系统的应用场景示意图。如图1所示，该网络安全防御系统的实施环境可以包括终端设备101和云服务器102。终端设备101可以通过无线或有线网络与云服务器102连接。

云服务器102上可以部署应用程序，用户在终端设备101上运行应用程序时与云服务器102交互。当终端设备101产生日志文件时，终端设备101可以将日志文件发送给云服务器102，从而使云服务器102对日志文件进行分析，确定其中的恶意访问信息的IP，从而将恶意访问信息的IP保存到黑名单中进行共享，从而实现了网络安全防御的可靠性和共享性，进而提高了信息安全性。

其中，终端设备101可以为平板电脑（pad）、带无线收发功能的电脑、虚拟现实（virtual reality，VR）终端设备、增强现实（augmented reality，AR）终端设备、工业控制（industrial control）中的无线终端、无人驾驶（self driving）中的无线终端、远程手术（remote medical surgery）中的无线终端、智能电网（smart grid）中的无线终端、智慧家庭（smart home）中的无线终端等。本申请实施例中，用于实现终端的功能的装置可以是终端，也可以是能够支持终端实现该功能的装置，例如芯片系统，该装置可以被安装在终端中。本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。

云服务器102可以是基于云计算的由大量计算机或网络服务器构成的云。其中，云计算是分布式计算的一种，由一群松散耦合的计算机组成的一个超级虚拟计算机。

下面对于本申请涉及的网络安全防御系统的结构进行说明。

图2为本申请实施例涉及的一种网络安全防御系统的结构示意图。如图2所示，网络安全防御系统包括：日志服务器单元、日志存储单元、日志分析单元和至少一个客户端。

日志服务器单元用于根据配置文件，从至少一个客户端中获取目标日志文件。

日志分析单元，用于运行日志分析脚本，对目标日志文件进行初次分析，获取目标日志文件中的日志信息和恶意访问信息；对恶意访问信息进行二次分析，确定带有恶意攻击意图的目标恶意访问信息。

日志存储单元，用于将目标恶意访问信息对应的IP地址存入黑名单中。

示例性的，日志服务器单元可以从至少一个客户端获取目标日志文件。随后，日志服务器单元首先会对接收到的目标日志文件进行解压操作。通过crond守护进程，日志分析单元定期地运行日志分析脚本初次分析每一个客户端传送来的目标日志文件，从而获取其中日志信息和恶意访问信息。随后，日志分析单元将获得的日志信息保存到日志存储单元的数据库中。并且，对每个客户端传送过来的恶意访问信息再进行二次分析处理，将有恶意攻击意图的目标恶意访问信息的ip地址放入黑名单中。最后，将处理过的日志信息及黑名单保存在相应的文件里。

示例性的，可以采用boto工具的接口，通过HTTP协议将日志文件及黑名单保存到存储服务中。

在一些实施例中，上述至少一个客户端、日志服务器单元、日志存储单元和日志分析单元均分布式部署在云服务器上。

其中，上述客户端可以为上述终端设备，其可以为一个，也可以为多个，本申请对此不做限制。上述日志服务器单元、日志存储单元和日志分析单元，可以为用户在云服务器中划分的不同的功能模块，从而执行不同的功能。

应理解，本申请实施例对于目标日志文件不做限制，在一些实施例中，目标日志文件可以包括包含产生日志的服务类别（Facility）、严重性（Severity或 Level）、时间、主机名或IP、进程名、进程ID和正文。

应理解，本申请实施例对于日志服务器单元如何从客户端中获取目标日志文件不做限制，在一些实施例中，日志服务器单元可以通过用户数据报协议（User DatagramProtocol，UDP）（例如，端口号:514）的方式来接收多个客户端的日志文件。

下面对于目标日志文件的收集进行说明。

在一些实施例中，日志服务器单元，具体用于获取预先设置的配置文件；根据配置文件确定目标日志文件对应的服务类别和日志等级；根据标日志文件对应的服务类别和日志等级，从至少一个客户端中获取目标日志文件。

应理解，日志等级可以根据实际情况具体设置，示例性的，可以采用三级日志等级，分别日志等级分别用于传输审计日志、访问日志和黑名单。

应理解，服务类别也可以根据实际情况具体设置，示例性的，服务类别可以包括记录与验证有关的信息（auth 、authpri）、记录系统排程的信息（cro）auth (authpriv)、记录各个daemon产生lpr的信息（daemon）、记录核心产生的信息（kern）、记录列印相关的信息（lpr）、记录邮件的有关的信息（mail）、记录新闻有关的信息（news）、记录syslog本身产生的信息（syslog）、记录各种传统的Unix系统本身有关的信息（local0-local7）。

示例性的，图3为本申请实施例提供的一种syslog协议的原理图。通过syslog协议，可以实现日志服务器单元对于目标日志文件的收集。

示例性的，在Linux操作系统中，伴随着众多的网络应用（如Apache服务器、邮件服务等）内核或其它内部模块会产生很多日志信息或错误信息，这些信息通常会被存储在本机的文件系统中或是以syslog特定的信息格式（例如，上述目标日志文件的格式）传送到上述日志服务器单元。这些系统的日志信息对于系统的安全管理和日志审计等功能来说是非常有用的。

Syslog协议可以定义于RFC3164.这个协议提供了一种基于互联网的日志收集服务。它允许客户端通过网络将本机的文本信息传送到上述日志服务器单元，上述日志服务器单元可以对多个设备的syslog消息进行统一的存储，或者解析其中的内容做相应的处理。

示例性的，syslog依据两个重要的文件：/etc/syslogd守护进程和/etc/syslog.conf配置文件（即，上述配置文件）。通过使用syslog.conf文件，可以对生成的日志的位置及其相关信息进行灵活的配置。/etc/syslog.conf配置文件指明了syslogd守护程序记录日志的行为，其中最主要的是指定需要记录哪些服务和需要记录服务什么等级的信息。syslogd在启动时会查询配置文件。

应理解，本申请实施例对于日志服务器单元在获取目标日志文件时如何进行验证不做限制，在一些实施例中，日志服务器单元，具体用于接收至少一个客户端发送的非对称加密公钥；根据非对称加密公钥，从至少一个客户端中获取目标日志文件。

其中，上述非对称加密公钥可例如ras公钥。

示例性的，客户端可以会通过SFTP协议发送自己的ras公钥到日志服务器单元，以便在日志服务器在获取目标日志文件时通过ras公钥对日志服务器单元的身份进行验证。

应理解，本申请实施例对于客户端可以用于根据时间信息对本机生成的日志文件进行多级分割，生成目标日志文件。

其中，上述时间信息可以包括多级时间信息，例如小时级别和日级别。示例性的，客户端通过crond守护进程来定期地运行自动化脚本来收集并分割相关的日志文件，日志分割脚本会以小时为单位，进行日志的分割与存储；当天的日志文件会被打包成以日期命名的压缩文件。示例性的，可以将24小时内的日志文件打包为以日期命名的压缩文件，形成上述目标日志文件。随后，然后通过syslog系统服务将对应的目标日志文件通过不同的日志级别发送到日志服务器单元。

在一些实施例中，客户端可以自己分析恶意访问信息，并同步给日志服务器单元。至少一个客户端，分别用于根据访问信息和本机当前网络信息，确定恶意访问信息；将恶意访问信息通过目标日志文件发送给日志服务器单元。

示例性的，图4为本申请实施例提供的一种数据流向的示意图。如图4所示，客户端可以根据访问日志及本机当前网络信息，通过大数据分析获得本机的恶意访问信息。恶意访问信息会通过syslog的local3级别发送到日志服务器。服务器端会综合每个客户端发送来的恶意访问信息，并添加到黑名单信息，而且这份黑名单会被存储于日志存储单元的相应文件夹中。

相应的，日志服务器单元还用于，接收至少一个客户端发送的获取请求，将黑名单中的IP地址发送给至少一个客户端。至少一个客户端，还用根据于黑名单中的IP地址，设置本机的防火墙。

示例性的，客户端会通过crond守护进程定期地启动“获取黑名单”脚本，从日志存储单元中获取黑名单，并通过黑名单及当前的恶意访问信息来设置本机的防火墙。

在本申请实施例中，通过这种分布式的客户端与服务器模式，每个提供访问的客户端之前可以通过黑名单机制分享潜在恶意访问信息，因为对于某一个客户端的恶意访问会扩展到其它关联的服务器，对于其它暂时未受到攻击的客户端而言，可以做到提前的防范，从而提高了信息安全性。

在上述实施例的基础上，日志服务器单元，还用于使用聚类算法，对目标日志文件进行聚类，确定目标日志文件的类型。

其中，本申请实施例对于聚类算法的类型不做限制，在一些实施例中，聚类算法可以为DBSCAN聚类算法。

示例性的，图5为本申请实施例提供的一种聚类算法的原理示意图。如图5所示，在聚类算法中，包含由多个节点组成的ES集群。在日志服务器单元获取到目标日志文件后，可以先进行分词，对于英文的日志文件，可以通过正则表达式进行分词，对于中文的日志文件，则可以通过分词库进行分词。其次，可以基于矢量化器生成相应的词向量。再次，可以通过主成分分析（Principal Component Analysis，PCA）进行降维。最后，通过DBSCAN或K-means等聚类算法完成聚类。在完成聚类后，还可以进行超参调节和效果评估。

通过日志聚类，可以将海量目标日志文件经过AI算法分成几类或者几十类，运维人员也可以按照业务的实际情况调整聚类的精度，控制聚类的类别数量，从而加快查看日志的效率。

本申请提供的网络安全防御系统，具有原理简单、安全性高、易于配置等特点。通过使用日志聚类对日志进行汇总、抽象聚类，则能够使运维人员发现异常日志与正常日志“类别”上的不同，从而快速定位到异常日志，发现问题。基于云计算部署的网络安全防御系统，日志服务器单元通过综合客户端对于日志文件的大数据分析结果，将恶意攻击的信息通过黑名单的方式存储到云端，以便客户端获得黑名单信息，用于客户端的防火墙设置，从而实现了网络安全防御的可靠性和共享性，进而提高了信息安全性。

在上述实施例的基础上，下面提供一种网络安全防御方法。图6为本申请实施例提供的一种网络安全防御方法的流程示意图。如图6所示，该方法包括：

S601：运行日志分析脚本，对目标日志文件进行初次分析，获取目标日志文件中的日志信息和恶意访问信息，目标日志文件是根据配置文件由日志服务器单元从至少一个客户端中获取的。

S602：对恶意访问信息进行二次分析，确定带有恶意攻击意图的恶意访问信息。

S603：调用日志存储单元，将恶意访问信息对应的IP地址存入黑名单中。

本实施例提供的网络安全防御方法，与上述网络安全防御系统的实现原理和技术效果类似，本实施例此处不再赘述。

本领域技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

图7为本申请实施例提供的一种网络安全防御装置的结构框图。为了便于说明，仅示出了与本申请实施例相关的部分。参照图7，该网络安全防御装置700包括：运行模块701、分析模块702和存储模块703。

运行模块701，用于运行日志分析脚本，对目标日志文件进行初次分析，获取目标日志文件中的日志信息和恶意访问信息，目标日志文件是根据配置文件，由日志服务器单元从至少一个客户端中获取目标日志文件；

分析模块702，用于对恶意访问信息进行二次分析，确定带有恶意攻击意图的恶意访问信息；

存储模块703，用于调用日志存储单元，将恶意访问信息对应的IP地址存入黑名单中。

本实施例提供的网络安全防御装置，可用于执行上述方法实施例的技术方案，其实现原理和技术效果类似，本实施例此处不再赘述。

图8为本申请实施例提供的一种网络安全防御设备的结构示意图。如图8示，该计算机设备可以包括：多个处理器801和存储器802。图8的是以一个处理器为例的计算机设备。

存储器802，用于存放程序。具体地，程序可以包括程序代码，程序代码包括计算机操作指令。

存储器802可能包含高速RAM存储器，也可能还包括非易失性存储器（non-volatile memory），例如多个磁盘存储器。

处理器801用于执行存储器802存储的计算机执行指令，以实现上述网络安全防御方法。

其中，处理器801可能是一个处理器（Central Processing Unit，简称为CPU），或者是特定集成电路（Application Specific Integrated Circuit，简称为ASIC），或者是被配置成实施本申请实施例的一个或多个集成电路。

可选的，在具体实现上，如果通信接口、存储器802和处理器801独立实现，则通信接口、存储器802和处理器801可以通过总线相互连接并完成相互间的通信。总线可以是工业标准体系结构（Industry Standard Architecture，简称为ISA）总线、外部设备互连（Peripheral Component，简称为PCI）总线或扩展工业标准体系结构（Extended IndustryStandard Architecture，简称为EISA）总线等。总线可以分为地址总线、数据总线、控制总线等，但并不表示仅有一根总线或一种类型的总线。

可选的，在具体实现上，如果通信接口、存储器802和处理器801集成在一块芯片上实现，则通信接口、存储器802和处理器801可以通过内部接口完成通信。

本申请实施例还提供了一种芯片，包括处理器和接口。其中接口用于输入输出处理器所处理的数据或指令。处理器用于执行以上方法实施例中提供的网络安全防御方法。

本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以包括：U盘、移动硬盘、只读存储器（ROM，Read-Only Memory）、随机存取存储器（RAM，Random AccessMemory）、磁盘或者光盘等各种可以存储程序代码的介质，具体的，该计算机可读存储介质中存储有程序信息，程序信息用于上述网络安全防御方法。

本申请还提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如上述的网络安全防御方法。

本申请还提供了一种计算机程序，计算机程序使得计算机执行上述的网络安全防御方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如同轴电缆、光纤、数字用户线（DSL））或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质（例如固态硬盘Solid State Disk (SSD)）等。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种网络安全防御系统，其特征在于，所述系统包括：日志服务器单元、日志存储单元、日志分析单元和至少一个客户端；

所述日志服务器单元用于根据配置文件，从所述至少一个客户端中获取目标日志文件；

所述日志分析单元，用于运行日志分析脚本，对所述目标日志文件进行初次分析，获取所述目标日志文件中的日志信息和恶意访问信息；对所述恶意访问信息进行二次分析，确定带有恶意攻击意图的目标恶意访问信息；

所述日志存储单元，用于将所述目标恶意访问信息对应的IP地址存入黑名单中。

2.根据权利要求1所述的系统，其特征在于，所述至少一个客户端、所述日志服务器单元、所述日志存储单元和所述日志分析单元均分布式部署在云服务器上。

3.根据权利要求1所述的系统，其特征在于，所述日志服务器单元，具体用于获取预先设置的配置文件；根据所述配置文件确定所述目标日志文件对应的服务类别和日志等级；根据所述标日志文件对应的服务类别和日志等级，从所述至少一个客户端中获取目标日志文件。

4.根据权利要求1所述的系统，其特征在于，所述日志服务器单元，具体用于接收所述至少一个客户端发送的非对称加密公钥；根据所述非对称加密公钥，从所述至少一个客户端中获取所述目标日志文件。

5.根据权利要求1-4任一项所述的系统，其特征在于，所述至少一个客户端，用于根据时间信息对本机生成的日志文件进行多级分割，生成所述目标日志文件。

6.根据权利要求1-4任一项所述的系统，其特征在于，所述至少一个客户端，分别用于根据访问信息和本机当前网络信息，确定恶意访问信息；将所述恶意访问信息通过目标日志文件发送给所述日志服务器单元。

7.根据权利要求6所述的系统，其特征在于，所述日志服务器单元还用于，接收所述至少一个客户端发送的获取请求，将所述黑名单中的IP地址发送给所述至少一个客户端；

所述至少一个客户端，还用根据于所述黑名单中的IP地址，设置本机的防火墙。

8.根据权利要求1-4任一项所述的系统，其特征在于，所述日志服务器单元，还用于使用聚类算法，对所述目标日志文件进行聚类，确定所述目标日志文件的类型。

9.一种网络安全防御方法，其特征在于，所述方法包括：

运行日志分析脚本，对目标日志文件进行初次分析，获取所述目标日志文件中的日志信息和恶意访问信息，所述目标日志文件是根据配置文件，由日志服务器单元从至少一个客户端中获取目标日志文件；

对所述恶意访问信息进行二次分析，确定带有恶意攻击意图的恶意访问信息；

调用日志存储单元，将所述恶意访问信息对应的IP地址存入黑名单中。

10.一种网络安全防御装置，其特征在于，所述装置，包括：

运行模块，用于运行日志分析脚本，对目标日志文件进行初次分析，获取所述目标日志文件中的日志信息和恶意访问信息，所述目标日志文件是根据配置文件由日志服务器单元从至少一个客户端中获取的；

分析模块，用于对所述恶意访问信息进行二次分析，确定带有恶意攻击意图的恶意访问信息；

存储模块，用于调用日志存储单元，将所述恶意访问信息对应的IP地址存入黑名单中。

Images