WO2020258982A1

WO2020258982A1 - 一种分析基站安全日志的方法、系统及计算机可读存储介质

Info

Publication number: WO2020258982A1
Application number: PCT/CN2020/083742
Authority: WO
Inventors: 穆青
Original assignee: 中兴通讯股份有限公司
Priority date: 2019-06-25
Filing date: 2020-04-08
Publication date: 2020-12-30
Also published as: CN112134719A

Abstract

本发明实施例公开了一种分析基站安全日志的方法、系统及计算机可读存储介质，所述方法包括：数据汇聚系统基于第一分布式集群基站将基站实时上报的安全日志缓存到第一数据缓存系统中；日志特征计算系统基于第二分布式集群计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统中；特征值实时分析系统基于流式计算框架对安全日志的特征值进行实时分析得到分析结果；数据呈现装置显示分析结果。

Description

一种分析基站安全日志的方法、系统及计算机可读存储介质

相关申请的交叉引用

本申请基于申请号为201910556924.2、申请日为2019年06月25日的中国专利申请提出，并要求该中国专利申请的优先权，该中国专利申请的全部内容在此引入本申请作为参考。

技术领域

本发明实施例涉及但不限于计算机和通信领域，尤指一种分析基站安全日志的方法、系统及计算机可读存储介质。

背景技术

随着5G无线网络技术的发展，无线接入网络中基站数量越来越多，对基站的指令操作和数据操作以及访问安全的采集和分析需求越来越重要。传统的基站安全日志是通过定时任务周期从基站上采集得到的，采集后对所有的安全日志进行解析入库，故障发生后，人工进行分析，这一流程存在获取数据的延迟较大，人工分析可能会由于忽略了某些关键安全日志而导致问题的定位和处理出现极大的拖延。5G，随着无线网络和物联网的发展极大扩展了网络规模，面对现网每天成千上万条安全日志，需要投入大量人力。

发明内容

本发明实施例提供了一种分析基站安全日志的方法、系统及计算机可读存储介质，能够实现对基站的安全日志的实时分析，从而缩短高危安全问题的发现时间。

本发明实施例提供了一种分析基站安全日志的方法，包括：

数据汇聚系统基于第一分布式集群基站将基站实时上报的安全日志缓存到第一数据缓存系统中；

日志特征计算系统基于第二分布式集群计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统中；

特征值实时分析系统基于流式计算框架对安全日志的特征值进行实时分析得到分析结果；

数据呈现装置显示分析结果。

本发明实施例提供了一种分析基站安全日志的系统，包括：

数据汇聚系统，用于基于第一分布式集群基站将基站实时上报的安全日志缓存到第一数据缓存系统中；

日志特征计算系统，用于基于第二分布式集群计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统中；

特征值实时分析系统，用于基于流式计算框架对安全日志的特征值进行实时分析得到分析结果；

数据呈现装置，用于显示分析结果。

本发明实施例还提供一种计算机可读存储介质，其中，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被设置为运行时执行上述的方法。

本发明实施例的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明实施例而了解。本发明实施例的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。

附图说明

附图用来提供对本发明实施例技术方案的进一步理解，并且构成说明书的一部分，与本发明实施例的实施例一起用于解释本发明实施例的技术方案，并不构成对本发明实施例技术方案的限制。

图1为本发明一个实施例提出的分析基站安全日志的方法的流程图；

图2为本发明另一个实施例提出的分析基站安全日志的系统的结构组成示意图。

具体实施方式

下文中将结合附图对本发明实施例进行详细说明。需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互任意组合。

在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

参见图1，本发明一个实施例提出了一种分析基站安全日志的方法，包括：

步骤100、数据汇聚系统基于第一分布式集群基站将基站实时上报的安全日志缓存到第一数据缓存系统中。

在本发明实施例中，安全日志包括一条或一条以上记录，每一条记录包括：日志类型、日志级别、基站标识(ID)、基站互联网协议(IP，Internet Protocol)地址、业务名称、PID等基本信息，也包括日志的具体内容如：安全日志的产生源、产生原因等。

例如，某一个安全日志的某一条记录为：

45673491238900123<37>1 2017-12-13T05:42:16.156Z gnb1 g2z7p-2–src_ip:192.254.1.100,u:ad,content:login fail.

其中，45673491238900123为记录的唯一标识(即安全日志标识)，<37>为PRI()，1为版本号，2017-12-13T05:42:16.156Z为记录的产生时间，gnb1为主机名，g2z7p为服务名，-为PID号，无PID时用“-”占位，2为事件号，–为结构体定义，无结构体时用“—”占位，src_ip:192.254.1.100,u:ad,content:login fail为日志的具体内容。

由上说明，每一条日志记录包括PRI，日志版本，时间，基站标识(即主机名)，业务名称(即服务名)，PID号，事件号，结构体，日志内容组成。

其中，通过PRI值可以解析出日志类型和日志级别；不同事件号规定了日志内容的不同格式，在本例中2号事件为用户登录失败，则日志内容包含三个属性：src_ip为登录用户的IP；u为用户使用的登录名；content为说明。

在本发明实施例中，基站的参数修改或者访问登陆都会产生安全日志，产生安全日志后实时上报。

在一个示例性实例中，第一数据缓存系统为消息中间件，基于开源分布式消息系统Kafka实现。

在本发明另一个实施例中，数据汇聚系统基于第一分布式集群将安全日志缓存到第一数据缓存系统中包括：

所述数据汇聚系统基于第一分布式集群为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中；

所述安全日志的特征值包括所述安全日志标识；

所述方法还包括：数据存储系统将所述第一对应关系、所述安全日志的特征值和所述分析结果进行持久化保存。

在一个示例性实例中，所述第一分布式集群包括：接入网关、zookeeper和两个或两个以上采集服务器(Collection-Server)；所述数据汇聚系统基于第一分布式集群为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中包括：

所述zookeeper维护所述两个或两个以上采集服务器的集群状态；其中，所述集群状态包括：登陆集群状态或退出集群状态；

所述接入网关从所述zookeeper中获取所述两个或两个采集服务器的集群状态，将所述安全日志分配给所述两个或两个采集服务器中，处于登陆集群状态的所述采集服务器；

所述处于登陆集群状态的采集服务器为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中。

其中，接入网关为基站暴露统一的接入入口。

在一个示例性实例中，该方法还包括：zookeeper为采集服务器分配标识。

在一个示例性实例中，安全日志标识为每一个安全日志的全局唯一的标识，安全日志标识可以采用Twitter开源的分布式全局标识分配算法snowflake来进行分配。

在一个示例性实例中，所述数据存储系统包括：两个或两个以上数据服务器和搜索服务器集群；

所述数据存储系统将所述第一对应关系、所述安全日志的特征值和所述分析结果进行持久化保存包括：

对于每一个所述数据服务器，所述数据服务器从所述第一数据缓存系统中获取所述第一对应关系，从所述第二数据缓存系统中获取所述特征值，将所述第一对应关系和所述特征值保存到所述搜索服务器集群中；

数据服务器从特征值实时分析系统中获取所述分析结果，将所述分析结果保存到所述搜索服务器集群中。

在一个示例性实例中，搜索服务器集群为ES(ElasticSearch)集群。

在另一个示例性实例中，数据服务器还维护第一对应关系和特征值在搜索服务器集群中的存储时间。

步骤101、日志特征计算系统基于第二分布式集群计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统中。

在一个示例性实例中，第二数据缓存系统为消息中间件，基于开源分布式消息系统Kafka实现。

在一个示例性实例中，所述第二分布式集群包括：两个或两个以上特征计算服务器；所述日志特征计算系统基于第二分布式集群计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统中包括：

对于每一个所述特征计算服务器，所述特征计算服务器计算所述安全日志的特征值，将所述安全日志的特征值缓存到所述第二数据缓存系统中。

在一个示例性实例中，特征计算服务器计算所述安全日志的特征值包括：

所述特征计算服务器从所述安全日志中提取预先定义的一个或一个以上特征向量值，将所述一个或一个以上特征向量值组成所述特征值。

例如，如表1所示，某一安全日志包括以下字段：id、PRI、time、hostname、app-name和msgld，其中，id为记录的唯一标识，PRI为主键值，time为记录的产生事件，hostname为主机名，app-name为服务名，magld为事件ID；

采用的特征向量包括：id、Facility、Severity、Time、NBId、ServerName、EventId；其中，id为记录的唯一标识，facility为设施码，Severity为严重级别，time为记录的产生时间，NBId为基站标识，SeverName为服务名，EventId为事件ID。

其中，Facility、Severity均根据字段PRI计算获得，其他特征向量之间从安全日志中提取获得，如表1所示，Facility＝PRI>>3，Severity＝PRI&0x7。

特征向量	安全日志中的字段
Id	Id

Facility	PRI>>3
Severity	PRI&0x7
Time	Time
NBId	Hostname
ServerName	App-name
EventId	Msgld

表1

其中，特征向量Id的提取，Id是数据汇聚系统为日志记录分配的唯一标识，Id的提取无算法；

特征向量Facility的提取，Facility是通过日志记录中PRI的值通过位运算(右移3位)得出；

特征向量Severity的提取，Severity是通过日志记录中PRI的值通过位运算(位于0x7)得出；

特征向量Time的提取，Time是通过日志记录中的Time获取；

特征向量NBId的提取，NBId是通过日志记录中的Hostname获取；

特征向量ServerName的提取，ServerName是通过日志记录中的App-name获取；

特征向量EventId的提取，EventId是通过日志记录中的Msgld获取，MsgId还包含一些内部的特殊标识，在提取EventId时会将其剥离；

其他一些特征向量，如客户端IP，登录用户名等从日志内容中获取，日志内容为内部定义的归一化格式，适用于各服务模块。

在一个示例性实例中，为了将特征值和安全日志进行关联，可以将安全日志标识作为其中一个特征向量。

在本发明实施例中，不同的特征计算服务器可以采用相同的特征向量，也可以采用不同的特征向量，以灵活满足业务需要。

步骤102、特征值实时分析系统基于流式计算框架对安全日志的特征值进行实时分析得到分析结果。

在本发明实施例中，特征向量Facility提取了产生日志的程序的类型信息，Severity提取了日志记录中的严重级别，ServerName提取了基站产生安全日志的程序模块，因此，可以通过预定义Facility、Severity和ServerName构成的评分算法计算日志记录的分值，通过分值来评估日志是否是主要程序模块严重的安全问题；

特征向量NBId提取了基站标识，因此可以识别那个基站产生了安全问题。

在一个示例性实例中，流式计算框架可以是JStorm流式计算框架，根据业务场景定义 topology并部署到JStorm集群，topology对特征值进行分析，将分析结果发送给数据呈现装置进行展示，将分析结果保存到数据存储系统中。

其中，Topology是运行在JStorm集群上的一段代码，即为一个数据流转换图，其定义了数据的获取，计算和分发的流程。

在一个示例性实例中，定义的topology可以包含但不限于以下一个或多个场景：

满足第一预设条件的特征值的数量最大的N个基站；

在预设时间内满足第二预设条件的特征值的数量；

满足第三预设条件的安全日志。

步骤103、数据呈现装置显示分析结果。

在本发明另一个实施例中，该方法还包括：基站实时上报安全日志。

在本发明实施例中，基站上报的安全日志的消息可以符合任何协议定义，例如RFC5424协议等。

在本发明另一个实施例中，该方法还包括：

所述数据呈现装置在所述数据存储系统中查找所述分析结果对应的所述第一对应关系和所述安全日志的特征值，将查找到的所述第一对应关系和所述安全日志的特征值进行关联，得到所述分析结果、查找到的所述第一对应关系和所述安全日志的特征值之间的第二对应关系，显示所述第二对应关系；

或者，所述数据呈现装置在所述数据存储系统中查找用户输入的查找指令对应的所述第一对应关系和所述安全日志的特征值，将查找到的所述第一对应关系和所述安全日志的特征值进行关联，得到查找到的所述分析结果、所述第一对应关系和所述安全日志的特征值之间的第二对应关系，显示所述第二对应关系。

具体在进行查找时，可以基于安全日志标识进行查找。

本发明实施例基于分布式集群和流式计算框架实现了对基站实时上报的安全日志的实时分析，从而缩短了高危安全问题的发现时间，大幅度降低了人工分析的时间，缩短了问题反馈周期，减少了人力投入，提升了管理效率。

下面列举几个实例说明上述方法的具体实现，所列举的例子不用于限定本发明实施例的保护范围。

实例1

本实例中，统计Serverity在Warning及以上级别的安全日志的数量，并显示排名前20位的基站。

首先定义特征值包括以下的特征向量值：id、Facility、Severity、Time、NBId、ServerName，这些特征向量与安全日志中的字段之间的对应关系如表2所示。

特征向量	安全日志中的字段
Id	Id
Facility	PRI>>3
Severity	PRI&0x7
Time	Time
NBId	Hostname
ServerName	App-name

表2

要统计Warning及以上级别的安全日志的数量，需要依据特征向量Severity，根据安全日志所遵循的RFC5424协议的定义，Severity可以取到如表3所示的8个值。

表3

如表3所示可知Warning的值为4，Waring及以上级别的值为：0,1,2,3,4共5个值。由于是对基站的排序，需要依据特征向量NBId，NBId代表基站的唯一ID对安全日志的数量进行统计，也就是对于相同NBId的基站，统计特征向量Severity为0,1,2,3,4中的任何一个的值的安全日志的数量，可以每30分钟计算一次，每次计算排名前20位的基站发送至数据呈现装置进行显示。

实例2

本实例中，统计5分钟窗口内基站登陆的数量。

首先定义特征值包括以下的特征向量值：id、Facility、Severity、Time、NBId、ServerName、EventId，这些特征向量与安全日志中的字段之间的对应关系如表1所示。

要统计5分钟窗口内基站登陆的数量，需要先明确基站登陆的字段，例如安全日志中登陆时间的msgId定义为1，需要特征向量EventId的值为1。也就是说，对于相同NBId的基站，统计特征向量EventId的值为1的安全日志的数量，数据呈现装置显示5分钟内每一个基站登陆的数量(即特征向量EventId的值为1的安全日志的数量)。

实例3

本实例中，获取Serverity为Critical的安全日志。

要获取Critical级别的安全日志，需要依据特征向量Severity，根据安全日志所遵循的RFC5424协议的定义，Severity可以取到如表3所示的8个值。

如表3所示可知Critical的值为2。由于是对基站的统计，需要依据特征向量NBId，NBId代表基站的唯一ID对安全日志的数量进行统计，也就是对于相同NBId的基站，获取特征向量Severity为2特征值，根据特征值中的安全日志标识获取对应的安全日志，获得的安全日志发送至数据呈现装置进行显示。

参见图2，本发明另一个实施例提出了一种分析基站安全日志的系统，包括：

数据汇聚系统201，用于基于第一分布式集群2011基站将基站实时上报的安全日志缓存到第一数据缓存系统202中；

日志特征计算系统203，用于基于第二分布式集群2031计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统204中；

特征值实时分析系统205，用于基于流式计算框架2051对安全日志的特征值进行实时分析得到分析结果；

数据呈现装置206，用于显示分析结果。

在本发明另一个实施例中，还包括：基站207，用于实时上报安全日志。

在本发明实施例中，所述数据汇聚系统201具体用于：

基于第一分布式集群2011为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中；

所述安全日志的特征值包括所述安全日志标识；

所述系统还包括：

数据存储系统208，用于将所述第一对应关系、所述安全日志的特征值和所述分析结果进行持久化保存。

在本发明实施例中，所述数据呈现装置206还用于：

在所述数据存储系统中查找所述分析结果对应的所述第一对应关系和所述安全日志的特征值，将查找到的所述第一对应关系和所述安全日志的特征值进行关联，得到所述分析结果、查找到的所述第一对应关系和所述安全日志的特征值之间的第二对应关系，显示所述第二对应关系；

或者，在所述数据存储系统中查找用户输入的查找指令对应的所述第一对应关系和所述安全日志的特征值，将查找到的所述第一对应关系和所述安全日志的特征值进行关联，得到查找到的所述分析结果、所述第一对应关系和所述安全日志的特征值之间的第二对应关系，显示所述第二对应关系。

在本发明实施例中，所述第一分布式集群2011包括：接入网关2012、zookeeper2013和两个或两个以上采集服务器2014；

所述zookeeper2013，用于维护所述两个或两个以上采集服务器的集群状态；其中，所述集群状态包括：登陆集群状态或退出集群状态；

所述接入网关2012，用于从所述zookeeper中获取所述两个或两个采集服务器的集群状态，将所述安全日志分配给所述两个或两个采集服务器中，处于登陆集群状态的所述采集服务器；

所述处于登陆集群状态的采集服务器2014，用于为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中。

在本发明实施例中，所述数据存储系统208包括：两个或两个以上数据服务器2081和搜索服务器集群2082；

所述数据服务器2081，用于从所述第一数据缓存系统中获取所述第一对应关系，从所述第二数据缓存系统中获取所述特征值，根据所述第一对应关系和所述特征值确定所述第二对应关系，将所述第二对应关系保存到所述搜索服务器集群2082中；

从特征值实时分析系统201中获取所述分析结果，将所述分析结果保存到所述搜索服务器集群2082中。

在本发明实施例中，所述第二分布式集群2021包括：两个或两个以上特征计算服务器2022；

所述特征计算服务器2022，用于计算所述安全日志的特征值，将所述安全日志的特征值缓存到所述第二数据缓存系统中。

在本发明实施例中，所述特征计算服务器2022具体用于采用以下方式实现计算所述安全日志的特征值：

从所述安全日志中提取预先定义的一个或一个以上特征向量值，将所述一个或一个以上特征向量值组成所述特征值。

在一个示例性实例中，流式计算框架可以是JStorm流式计算框架，根据业务场景定义topology并部署到JStorm集群，topology对特征值进行分析，将分析结果发送给数据呈现装置进行展示，将分析结果保存到数据存储系统中。

满足第一预设条件的特征值的数量最大的N个基站；

在预设时间内满足第二预设条件的特征值的数量；

满足第三预设条件的安全日志。

上述分析基站安全日志的系统的具体实现过程与前述实施例分析基站安全日志的方法的具体实现过程相同，这里不再赘述。

根据本发明的再一实施例，提供了一种计算机可读存储介质，其中，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被设置为运行时执行上述的分析基站安全日志的方法。

本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。

虽然本发明实施例所揭露的实施方式如上，但所述的内容仅为便于理解本发明实施例而采用的实施方式，并非用以限定本发明实施例。任何本发明实施例所属领域内的技术人员，在不脱离本发明实施例所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本发明实施例的专利保护范围，仍须以所附的权利要求书所界定的范围为准。

Claims

一种分析基站安全日志的方法，包括：

数据汇聚系统基于第一分布式集群基站将基站实时上报的安全日志缓存到第一数据缓存系统中；

日志特征计算系统基于第二分布式集群计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统中；

特征值实时分析系统基于流式计算框架对安全日志的特征值进行实时分析得到分析结果；

数据呈现装置显示分析结果。
根据权利要求1所述的方法，其中，该方法还包括：

基站实时上报所述安全日志。
根据权利要求1所述的方法，其中，所述数据汇聚系统基于第一分布式集群将安全日志缓存到第一数据缓存系统中包括：

所述数据汇聚系统基于第一分布式集群为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中；

所述安全日志的特征值包括所述安全日志标识；

所述方法还包括：

数据存储系统将所述第一对应关系、所述安全日志的特征值和所述分析结果进行持久化保存。
根据权利要求3所述的方法，其中，该方法还包括：

所述数据呈现装置在所述数据存储系统中查找所述分析结果对应的所述第一对应关系和所述安全日志的特征值，将查找到的所述第一对应关系和所述安全日志的特征值进行关联，得到所述分析结果、查找到的所述第一对应关系和所述安全日志的特征值之间的第二对应关系，显示所述第二对应关系；

或者，所述数据呈现装置在所述数据存储系统中查找用户输入的查找指令对应的所述第一对应关系和所述安全日志的特征值，将查找到的所述第一对应关系和所述安全日志的特征值进行关联，得到查找到的所述分析结果、所述第一对应关系和所述安全日志的特征值之间的第二对应关系，显示所述第二对应关系。
根据权利要求3所述的方法，其中，所述第一分布式集群包括：接入网关、zookeeper和两个或两个以上采集服务器；所述数据汇聚系统基于第一分布式集群为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中包括：

所述zookeeper维护所述两个或两个以上采集服务器的集群状态；其中，所述集群状态包括：登陆集群状态或退出集群状态；

所述接入网关从所述zookeeper中获取所述两个或两个采集服务器的集群状态，将所述安全日志分配给所述两个或两个采集服务器中，处于登陆集群状态的所述采集服务器；

所述处于登陆集群状态的采集服务器为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中。
根据权利要求3所述的方法，其中，所述数据存储系统包括：两个或两个以上数据服务器和搜索服务器集群；

所述数据存储系统将所述安全日志、所述安全日志的特征值和分析结果进行持久化保存包括：

对于每一个所述数据服务器，所述数据服务器从所述第一数据缓存系统中获取所述第一对应关系，从所述第二数据缓存系统中获取所述特征值，根据所述第一对应关系和所述特征值确定所述第二对应关系，将所述第二对应关系保存到所述搜索服务器集群中；

所述数据服务器从特征值实时分析系统中获取所述分析结果，将所述分析结果保存到所述搜索服务器集群中。
根据权利要求1所述的方法，其中，所述第二分布式集群包括：两个或两个以上特征计算服务器；所述日志特征计算系统基于第二分布式集群计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统中包括：

对于每一个所述特征计算服务器，所述特征计算服务器计算所述安全日志的特征值，将所述安全日志的特征值缓存到所述第二数据缓存系统中。
根据权利要求7所述的方法，其中，所述特征计算服务器计算所述安全日志的特征值包括：

所述特征计算服务器从所述安全日志中提取预先定义的一个或一个以上特征向量值，将所述一个或一个以上特征向量值组成所述特征值。
一种分析基站安全日志的系统，包括：

数据汇聚系统，用于基于第一分布式集群基站将基站实时上报的安全日志缓存到第一数据缓存系统中；

日志特征计算系统，用于基于第二分布式集群计算安全日志的特征值，将安全日志的特征值缓存到第二数据缓存系统中；

特征值实时分析系统，用于基于流式计算框架对安全日志的特征值进行实时分析得到分析结果；

数据呈现装置，用于显示分析结果。
根据权利要求9所述的系统，其特征在于，还包括：

基站，用于实时上报安全日志。
根据权利要求9所述的系统，其特征在于，所述数据汇聚系统具体用于：

所述数据汇聚系统基于第一分布式集群为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中；

所述安全日志的特征值包括所述安全日志标识；

所述系统还包括：

数据存储系统，用于将所述第一对应关系、所述安全日志的特征值和所述分析结果进行持久化保存。
根据权利要求11所述的系统，其特征在于，所述数据呈现装置还用于：

在所述数据存储系统中查找所述分析结果对应的所述第一对应关系和所述安全日志的特征值，将查找到的所述第一对应关系和所述安全日志的特征值进行关联，得到所述分析结果、查找到的所述第一对应关系和所述安全日志的特征值之间的第二对应关系，显示所述第二对应关系；

或者，在所述数据存储系统中查找用户输入的查找指令对应的所述第一对应关系和所述安全日志的特征值，将查找到的所述第一对应关系和所述安全日志的特征值进行关联，得到查找到的所述分析结果、所述第一对应关系和所述安全日志的特征值之间的第二对应关系，显示所述第二对应关系。
根据权利要求11所述的系统，其特征在于，所述第一分布式集群包括：接入网关、zookeeper和两个或两个以上采集服务器；

所述zookeeper，用于维护所述两个或两个以上采集服务器的集群状态；其中，所述集群状态包括：登陆集群状态或退出集群状态；

所述接入网关，用于从所述zookeeper中获取所述两个或两个采集服务器的集群状态，将所述安全日志分配给所述两个或两个采集服务器中，处于登陆集群状态的所述采集服务器；

所述处于登陆集群状态的采集服务器，用于为所述安全日志分配安全日志标识，将所述安全日志标识和所述安全日志之间的第一对应关系缓存到所述第一数据缓存系统中。
根据权利要求11所述的系统，其特征在于，其中，所述数据存储系统包括：两个或两个以上数据服务器和搜索服务器集群；

所述数据服务器，用于从所述第一数据缓存系统中获取所述第一对应关系，从所述第二数据缓存系统中获取所述特征值，根据所述第一对应关系和所述特征值确定所述第二对应关系，将所述第二对应关系保存到所述搜索服务器集群中；

从特征值实时分析系统中获取所述分析结果，将所述分析结果保存到所述搜索服务器集群中。
根据权利要求9所述的系统，其特征在于，其中，所述第二分布式集群包括：两个或两个以上特征计算服务器；

所述特征计算服务器，用于计算所述安全日志的特征值，将所述安全日志的特征值缓存到所述第二数据缓存系统中。
根据权利要求15所述的系统，其特征在于，其中，所述特征计算服务器具体用于采用以下方式实现计算所述安全日志的特征值：

从所述安全日志中提取预先定义的一个或一个以上特征向量值，将所述一个或一个以上特征向量值组成所述特征值。
一种计算机可读存储介质，其中，所述计算机可读存储介质中存储有计算机程序，所述计算机程序被设置为运行时执行权利要求1至8中任一项所述的方法。