基于数据分析的服务器入侵识别方法、装置和云安全系统与流程

文档序号:12134557阅读:289来源:国知局
基于数据分析的服务器入侵识别方法、装置和云安全系统与流程

本申请涉及计算机技术领域,具体涉及一种基于数据分析的服务器入侵识别方法、一种基于数据分析的服务器入侵识别装置以及一种云安全系统。



背景技术:

在云计算日愈普及的今天,云服务器的用户越来越关注云服务器的安全,云服务器的安全已经成为云计算服务的核心竞争力之一。

由于受到云服务器用户的安全意识与安全能力的欠缺、云服务器上应用多样性、web漏洞、系统漏洞、0day漏洞、弱口令、服务器的不正确的配置等因素的影响,大量的云服务器被攻击源入侵,沦为肉鸡,用户的业务及数据安全受到严重的威胁。在此背景下,云服务器安全面临非常严峻的挑战,服务器入侵检测非常重要。

服务器入侵识别是指在攻击源突破防御系统入侵服务器成功后,能及时的识别出服务器被入侵的事件,并通知用户处理,从而有助于减少用户的损失,控制云计算环境中的肉鸡威胁,净化云计算网络环境。因此与服务器安全防御手段相比,服务器的入侵识别也很重要。

传统的入侵识别方法包括病毒木马扫描、web后门扫描、服务器日志分析等方法。例如,收集服务器web目录里面的文件,然后在云端进行webshell查杀;收集暴力破解事件,然后进行拦截等。但这种方案的分析与检测的数据都由单台服务器产生,识别范围仅仅停留在单台服务器内。



技术实现要素:

鉴于上述问题,提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的基于数据分析的服务器入侵识别方法和相应的基于数据分析的服务器入侵识别装置。

依据本申请的一个方面,提供了一种基于数据分析的服务器入侵识别 方法,包括:从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据;在当前服务器的访问数据中查找所述攻击源数据;若存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器被入侵。

可选地,收集一台或多台服务器记录的安全事件。

可选地,当所述安全事件包括web攻击事件时,所述收集一台或多台服务器记录的安全事件包括:访问所述服务器的web应用防护系统获取针对所述服务器的web攻击事件,和/或,提取所述服务器的网络流量的镜像数据,将所述镜像数据与预设的检测规则进行规则匹配得到针对所述服务器的web攻击事件。

可选地,当所述安全事件包括服务器暴力破解事件时,所述收集一台或多台服务器记录的安全事件包括:采集所述服务器的登录日志,通过分析所述登录日志中包括的登录成功事件和登录失败事件得到针对所述服务器的服务器暴力破解事件。

可选地,,当所述安全事件包括拒绝服务攻击事件时,所述收集一台或多台服务器记录的安全事件包括:访问所述服务器的分布式拒绝服务攻击系统获取针对所述服务器的拒绝服务攻击事件。

可选地,所述在当前服务器的访问数据中查找所述攻击源数据包括:从所述当前服务器的访问数据中解析登录所述当前服务器的登录源数据,并在所述攻击源数据查找解析的登录源数据;若查找到所述登录源数据,则确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。

可选地,所述访问数据具备标识所述攻击源数据对所述服务器恶意程度的恶意系数,在确定存在由所述攻击源数据访问所述当前服务器产生的访问数据之后,所述方法还包括:确定查找到的所述攻击源数据的恶意系数大于预设阀值。

可选地,所述方法还包括:统计所述安全事件中所述攻击源数据的攻击次数和攻击频率,并根据所述攻击次数和所述攻击频率计算所述攻击源数据的恶意系数。

可选地,在所述确定所述当前服务器被入侵之前,所述方法还包括:确定查找到的所述攻击源数据在本次访问之前未登录过所述当前服务器;和/或,确定查找到的所述攻击源数据并非常用登录源数据。

可选地,所述方法还包括:生成通知所述当前服务器被入侵的提示信息;

将所述提示信息展示在所述当前服务器上,和/或,将所述提示信息下发到访问所述当前服务器的客户端。

可选地,所述方法还包括:若接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息,则降低所述攻击源数据的恶意系数;和/或,若未接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息,则增加所述攻击源数据的恶意系数。

可选地,所述方法还包括:若不存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器未被入侵,并提取所述访问数据对应的登录源数据添加至所述当前服务器的常用登录源数据。

可选地,所述从一台或多台服务器记录的安全事件中解析入侵服务器的攻击源数据包括:从所述安全事件中解析入侵所述服务器的攻击源IP地址。

可选地,所述方法还包括:通过预置接口接收外部导入的攻击源数据。

可选地,所述安全事件包括web攻击事件、服务器暴力破解事件和拒绝服务攻击事件中至少一种。

根据本申请的另一方面,提供了一种基于数据分析的服务器入侵识别装置,包括:攻击源数据获取模块,用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据;数据查找模块,用于在当前服务器的访问数据中查找所述攻击源数据,并确定存在由所述攻击源数据访问所述当前服务器产生的访问数据;入侵确定模块,用于确定所述当前服务器被入侵。

可选地,所述装置还包括:安全事件收集模块,用于收集一台或多台 服务器记录的安全事件。

可选地,所述访问数据具备标识所述攻击源数据对所述服务器恶意程度的恶意系数,所述装置还包括:恶意系数判断模块,用于在确定存在由所述攻击源数据访问所述当前服务器产生的访问数据之后,确定查找到的所述攻击源数据的恶意系数大于预设阀值。

可选地,所述装置还包括:历史登录确定模块,用于在确定所述当前服务器被入侵之前,确定查找到的所述攻击源数据在本次访问之前未登录过所述当前服务器;和/或,常用登录确定模块,用于在确定所述当前服务器被入侵之前,确定查找到的所述攻击源数据并非常用登录源数据。

根据本申请的再一方面,提供了一种云安全系统,包括当前服务器和攻击源数据库;所述攻击源数据库,用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据;所述当前服务器包括:数据查找模块,用于在所述当前服务器的访问数据中查找所述攻击源数据;入侵判断模块,用于若存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器被入侵。

依据本申请实施例,从云计算环境下的一台或多台服务器记录的海量安全事件中解析攻击服务器的攻击源数据,在当前服务器的访问数据中查找所述攻击源数据,当存在由攻击源数据对应的访问数据时,识别当前服务器被入侵,从而对云环境下的一台或多台服务器记录的安全数据进行了充分有效的挖掘和利用,识别范围可以扩大到云环境下的多台服务器。

上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符 号表示相同的部件。在附图中:

图1示出了根据本申请一个实施例的基于数据分析的服务器入侵识别方法的流程图;

图2示出了根据本申请另一个实施例的基于数据分析的服务器入侵识别方法的流程图;

图3示出了本申请实施例的一个示例中收集恶意IP的示意图;

图4示出了本申请实施例的一个示例中服务器入侵识别过程示意图;

图5示出了根据本申请一个实施例的基于数据分析的服务器入侵识别装置的结构框图;

图6示出了根据本申请另一个实施例的基于数据分析的服务器入侵识别装置的结构框图;

图7示出了根据本申请一个实施例的云安全系统的结构框图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。

参考图1,示出了根据本申请一个实施例的基于数据分析的服务器入侵识别方法的流程图,该方法具体可以包括以下步骤:

步骤101,从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据。

云集群中的服务器上记录有已发生的安全事件,安全事件为服务器遭受的攻击事件,例如web攻击事件、服务器密码暴力破解事件及服务器登录日志等。本申请可以从其中一台服务器上提取安全事件,或是从多台服务器上分别提取安全事件用作后续分析依据。

服务器记录的安全事件中包括攻击服务器的攻击源的相关信息,记为攻击源数据,本申请实施例中,攻击源数据可以是标识入侵服务器的攻击 源的信息,具体可以是网络地址(例如IP地址、MAC地址等),也可以是攻击源所属实际地理位置,也可以是攻击源所在服务器的服务器标识符或是终端的设备标识符,还可以是其他任意适用的信息种类。

攻击源数据来源于整个云计算平台受到的多种形式的攻击,随着云计算的普及,云服务器用户的增长,数据量将会越来越大,攻击事件分类随之越来越丰富,通过对攻击事件分析用于服务器的入侵识别也将产生更大的价值,并且分析效果随着攻击事件的数据量的增大会更有利于全面的服务器安全防御。

步骤102,在当前服务器的访问数据中查找所述攻击源数据。

通过对历史发生的安全事件解析出攻击源的攻击源信息后,进一步可以用于对某个当前服务器上发生的访问行为进行监控,可以采用访问数据记录在当前服务器上发生的访问行为,进一步在当前服务器的访问数据中查找所述攻击源数据,以确定访问数据中是否存在由攻击源攻击服务器产生的访问数据。

所述访问数据可以记录外部设备对当前服务器的各种访问事件,例如,访问数据可以是记录外部设备在当前服务器的登录事件的登录数据,也可以是记录外部设备对当前服务器的搜索事件的搜索数据,还可以是记录其他类型访问事件的数据,本申请对此不做限制。

在所述访问数据中查找所述攻击源数据,若访问数据中存在全部或部分所述攻击源数据,则确定当前服务器被入侵。

步骤103,若存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器被入侵。

若在当前服务器的访问数据中查找到所述攻击源数据,则可以确定存在由攻击源数据访问当前服务器产生的访问数据,则当前服务器已被攻击源入侵。

依据本申请实施例,从云计算环境下的一台或多台服务器记录的海量安全事件中解析攻击服务器的攻击源数据,数据查找模块,当存在由攻击源数据对应的访问数据时,识别当前服务器被入侵,从而对云环境下的一 台或多台服务器记录的安全数据进行了充分有效的挖掘和利用,识别范围可以扩大到云环境下的多台服务器。本申请的一种优选实施例中,所述步骤102可以包括:

子步骤S1,从所述当前服务器的访问数据中解析登录所述当前服务器的登录源数据,并在所述攻击源数据查找解析的登录源数据。

子步骤S2,若查找到所述登录源数据,则确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。

当前服务器的访问数据中记载了访问当前服务器的访问者的登录源数据,由于访问数据可以记录对当前服务器的一次或多次访问,相应的,登录源数据则可以对应一个或多个访问者的登录信息。登录源数据与攻击源数据可以为同一类型的数据,用于标识登录服务器的访问者,当某个访问者的登录源数据与某个攻击源的攻击源数据相同时,则可以确定该访问者为攻击源,因此,可以在记录有至少一个攻击源的登录源数据中查找是否存在当前服务器的访问数据,若存在,则可以确定已存在的该访问数据是由所述攻击源数据对应的攻击源访问当前服务器产生。

本申请实施例中,攻击源数据可以是用于标识攻击服务器的攻击源各种信息,本申请实施例优选的攻击源数据可以为攻击源的IP地址,所述从所述安全事件中解析入侵各个服务器的攻击源数据可以包括:

子步骤S3,从所述安全事件中解析入侵所述服务器的攻击源IP地址。

参考图2,示出了根据本申请另一个实施例的基于数据分析的服务器入侵识别方法的流程图,该方法具体可以包括以下步骤:

步骤201,收集一台或多台服务器记录的安全事件。

本申请的一种优选实施例中,所述安全事件可以包括web攻击事件、服务器暴力破解事件和拒绝服务攻击事件中至少一种,根据实际应用环境还可以包括其他系统记录的其他类型的安全事件。安全事件的来源可以是服务器上部署的云安全相关系统,还可以来自于任意其他可提供安全事件的来源,本申请对此并不作限制。

进一步优选地,当所述安全事件包括web攻击事件时,所述步骤201中收集一台或多台服务器记录的安全事件可以包括:

子步骤S4,访问所述服务器的web应用防护系统获取针对所述服务器的web攻击事件。

和/或,子步骤S5,提取所述服务器的网络流量的镜像数据,将所述镜像数据与预设的检测规则进行规则匹配得到针对所述服务器的web攻击事件。

在本申请的一种示例中,可以通过web应用防护系统获取web攻击事件。web应用防护系统用于防护对服务器的web攻击,以web应用防火墙为例,web应用防火墙通过执行一系列针对网络协议的安全策略来专门为web应用提供保护,通过解析web客户端发起的HTTP请求,对其中的内容进行检测,拒绝不符合HTTP标准的请求,同时,只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。对于拒绝的请求采用web攻击事件进行记录,通过访问web应用防火墙即可获得记录的web攻击事件。

在本申请的另一种示例中,还可以通过分析网络流量获取web攻击事件。可以预先收集所述服务器与外部设备进行通信的网络流量的镜像数据。例如,可以将web应用防火墙通过串联或者旁路方式接入到网络中,复制访问服务器的网络流量的镜像数据,或是通过在网络服务器与网络路由设备设置采集设备复制镜像数据,还可以通过其他任意适用的方式采集网络流量的镜像数据。

进一步,根据针对攻击事件预先设定的检测规则,将镜像数据与检测规则进行规则匹配,得到针对各个服务器的web攻击事件。具体的检测规则可以根据实际应用设定,例如,镜像数据中包含或是不包含某个特定关键词,或是某个特定关键词出现的次数超过或是小于一定阈值等,进一步可以从网络流量的镜像数据中提取与规则匹配的web攻击事件。

本申请的一种优选实施例中,当所述安全事件包括服务器暴力破解事件时,所述步骤201中收集一台或多台服务器记录的安全事件可以包括:

子步骤S6,采集所述服务器的登录日志,通过分析所述登录日志中包 括的登录成功事件和登录失败事件得到针对所述服务器的服务器暴力破解事件。

暴力破解攻击是指攻击源通过系统地组合所有可能的登录信息组合,尝试破解服务器的登录信息,在数次登录过程中在服务器的登录日志中记录有登录成功事件和登录失败事件。

如果多次出现来自同一个登录源数据的登录失败事件,则可以确定发生了暴力破解事件;如果在发生多次登录失败事件后,登录成功出现登录成功事件,认为是通过暴力破解成功的登录。本申请实施例中可以根据连续预设时间段内发生的登录失败事件的次数,以确定发生了来自某个登录源数据的暴力破解事件,进一步确定在多次登录失败事件后出现该登录源数据的登录成功事件,则记录该暴力破解事件。

本申请的一种优选实施例中,当所述安全事件包括拒绝服务攻击事件时,所述步骤201中收集一台或多台服务器记录的安全事件包括:

子步骤S7,访问所述服务器的分布式拒绝服务攻击系统获取针对所述服务器的拒绝服务攻击事件。

分布式拒绝服务攻击(DistributedDenial of Service,DDoS)是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击源使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。本申请实施例中,根据提取云集群中服务器上安装的DDoS系统中记录的拒绝攻击事件。具体可以通过访问目标文件夹获取,也可以通过向DDoS系统请求获取。

区别于背景技术根据从服务器web客户端收集的安全数据进行入侵识别的方案,本申请的上述优选示例中,可以提取服务器的云安全相关系统收集的安全事件,并据此提供了一种全新的入侵识别方法。

在具体实现中,还可以从其他类型的风控数据中获取当前服务器的安 全事件,本申请对此并不做限制。

步骤202,从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据。

步骤203,通过预置接口接收外部导入的攻击源数据。

攻击源数据可以来自于服务器密码暴力破解事件或web攻击事件等各种形式的网络攻击事件,也可来自第三方机构提供的恶意攻击源数据库。

本实施例中,攻击源数据可以来自于外部第三方平台,通过向第三方平台提供预置接口,接收第三方平台通过预置接口发送的攻击源数据。

步骤204,统计所述安全事件中所述攻击源数据的攻击次数和攻击频率,并根据所述攻击次数和所述攻击频率计算所述攻击源数据的恶意系数。

本实施例中,所述访问数据具备标识所述攻击源数据对所述服务器恶意程度的恶意系数,恶意系数的高低与攻击源对该服务器的攻击次数和攻击频率有关,并且恶意系数与攻击次数和攻击频率成正比。本申请实施例优选地,可以将攻击次数与攻击频率的乘积作为攻击源数据的恶意系数,在具体的实现中,还可以根据攻击次数和攻击频率按照任意适用的计算方式得到恶意系数。

步骤205,在当前服务器的访问数据中查找所述攻击源数据。

步骤206,确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。

步骤207,确定查找到的所述攻击源数据的恶意系数大于预设阀值。

与上个实施例不同的是,本实施例中,在确定存在由攻击源数据访问当前服务器产生的访问数据后,在确定当前服务器被入侵之前,还需要经过多次判断。

首先需要进一步对攻击源数据的访问数据的恶意系数进行判断,若恶意系数较高,大于某个预设阀值,则进入下一步判断,若恶意系数并不大于该预设阀值,则确定所述当前服务器未被入侵。

步骤208,确定查找到的所述攻击源数据在本次访问之前未登录过所述 当前服务器。

在确定查找到的攻击源数据的恶意系数大于预设阀值后,进一步判断该攻击源数据在本次访问之前是否登录过当前服务器。具体可以查找当前服务器上的历史登录信息,其中记录了历史登录过当前服务器的访问者的登录源数据,将攻击源数据与历史登录信息进行匹配,若在历史登录信息中查找不到该攻击源数据,则说明该攻击源数据未登录过当前服务器,则进入下一步判断。反之,若确定攻击源数据登录过当前服务器,则说明该登录源数据未被拦截,则可以确定该登录源数据产生的本次访问是安全的,因此,当前服务器未被入侵。

步骤209,确定查找到的所述攻击源数据并非常用登录源数据。

本实施例中,预置常用登录源数据,常用登录源数据为满足一定登录次数要求的登录源数据,在确定查找的攻击源数据在本次访问之前未登录过当前服务器,则进一步将该登录源数据与常用登录源数据进行匹配,若匹配,则该登录源数据为常用登录源数据,若不匹配,则进入步骤210。

优选地,攻击源数据可以是访问者的IP地址,常用登录源数据可以是常用的IP地址以及根据IP地址分析得出的实际地理位置,将攻击源数据与常用登录源数据进行匹配时,可以判断访问数据对应的IP地址是否为常用的IP地址,或是访问数据对应的IP地址所属地理位置是否为常用的IP地址对应的地理位置或是具备一定的匹配关系。

步骤210,确定所述当前服务器被入侵。

通过上述判断,攻击源数据存在于访问数据中且恶意系数大于预设阀值,且在本次访问之前未登录当前服务器,且不属于常用登录源数据,则可以确定当前服务器已被该攻击源数据入侵。相比于上个实施例,本实施例增加了多个判断条件,若不满足其中任意一项判断条件,则确定当前服务器未被入侵,通过引入恶意系数作为判断条件,可以将访问数据与当前服务器中的常用登录源数据进行关联判断,也可以将访问数据与历史登录信息进行关联判断,从而可以排除简单与攻击源数据匹配时判断失误的情况。

在具体实现中,上述各个判断步骤的先后顺序可以根据实际需求调整,并且可以根据需要执行其中一个或多个判断步骤,本申请对此并不做限制。

步骤211,生成通知所述当前服务器被入侵的提示信息。

若当前服务器被入侵,可以生成相应的提示信息,提示信息可以包括攻击源数据、被入侵的服务器、入侵服务器的时间等各种信息,可以是各种适用的形式,例如文字、图片、音视频或是多种形式的结合。

步骤212,将所述提示信息展示在所述当前服务器上,和/或,将所述提示信息下发到访问所述当前服务器的客户端。

提示信息展示在当前服务器上以供当前服务器的管理员作参考,若当前服务器配置有对应的客户端,则可以将提示信息下发到客户端,以供远程管理当前服务器的管理员作参考。

步骤213,若接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息,则降低所述攻击源数据的恶意系数。

针对展示的提示信息,用户查看到该提示信息后,若根据实际经验发现,上述判断确定入侵服务器的攻击源数据为安全的访问者产生的访问数据,则可以通过界面上预置接口反馈本次提示信息发生误报,根据接收到的误报信息,则可以相应降低攻击源数据的恶意系数,从而避免下次判断时,因该攻击源数据的恶意系数较大误判当前服务器被入侵。

步骤214,若未接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息,则增加所述攻击源数据的恶意系数。

若用户未针对提示信息反馈对应的误报信息,则说明该攻击源数据确实导致该服务器被入侵,可以根据本次入侵,增加攻击源数据的恶意系数。

上述对恶意系数的调整幅度可以根据实际需求设置,例如,预先分别设定恶意系数增加值和降低值,或是根据该攻击源数据入侵服务器的次数计算不同的增加值和降低值,本申请对此并不做限制。

上述增加或降低恶意系数的步骤可以选择其中一个执行或是均执行, 本申请对此并不做限制。

步骤215,若不存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器未被入侵,并提取所述访问数据对应的登录源数据添加至所述当前服务器的常用登录源数据。

在上述步骤204的判断中,通过数据查找模块,当确定不存在由攻击源数据访问所述当前服务器产生的访问数据时,则可以确定的是该访问数据并非由当前服务器的攻击源产生,其对应的登录源数据为安全的登录源数据,可以进一步作为当前服务器的常用登录源数据。具体可以统计各个登录源数据出现的次数,若某个登录源数据出现次数达到一定预设阀值,则可以作为当前服务器的常用登录源。

依据本申请实施例,从云计算环境下的一台或多台服务器记录的海量安全事件中解析攻击服务器的攻击源数据,在当前服务器的访问数据中查找所述攻击源数据,当存在由攻击源数据对应的访问数据时,识别当前服务器被入侵,从而对云环境下的一台或多台服务器记录的安全数据进行了充分有效的挖掘和利用,识别范围可以扩大到云环境下的多台服务器。

为使本领域技术人员更好地理解本申请,以下通过具体的示例对本申请的一种基于数据分析的服务器入侵识别方法进行说明。

参见图3,以攻击源数据为攻击源IP为例,示出了本申请实施例的一个示例中收集恶意IP的示意图。通过服务器暴力破解事件、web攻击事件、其他网络攻击事件或是其他第三方机构提供的恶意IP库中提取恶意攻击的源IP,添加至恶意IP库作为后续分析当前服务器是否被入侵的依据。

参见图4,以攻击源数据为攻击源IP为例,示出了本申请实施例的一个示例中服务器入侵识别过程示意图。

步骤1、判断登录源IP是否在恶意IP库中,若是,则执行步骤2,若否,则执行步骤3。

步骤2、判断恶意IP的恶意系数是否超过阈值,若是,则执行步骤6,若否,则执行步骤4。

步骤3、为该服务器形成常用登录地址及常用登录源IP。

步骤4、登录源IP是否曾经登录过该服务器,若是,则结束判断,若否,则执行步骤5。

步骤5、登录源IP的地址是否为常用登录地址,若是,则结束判断,若否,则执行步骤6。

步骤6、上报异常登录事件,通知用户服务器被入侵。

步骤7、用户是否反馈误报,若是,则执行步骤9,若否,则执行步骤8。

步骤8、增加恶意IP的恶意指数。

步骤9、降低恶意IP的恶意指数。

参考图5,其示出了根据本申请一个实施例的基于数据分析的服务器入侵识别装置的结构框图,具体可以包括:

攻击源数据获取模块301,用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据。

数据查找模块302,用于在当前服务器的访问数据中查找所述攻击源数据,并确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。

入侵确定模块303,用于确定所述当前服务器被入侵。

本申请实施例中,优选地,所述安全事件包括web攻击事件、服务器暴力破解事件和拒绝服务攻击事件中至少一种。

本申请实施例中,优选地,所述数据查找模块包括:

登录源数据查找子模块,用于从所述当前服务器的访问数据中解析登录所述当前服务器的登录源数据,并在所述攻击源数据查找解析的登录源数据;

攻击源访问确定子模块,用于若查找到所述登录源数据,则确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。

本申请实施例中,优选地,所述攻击源数据获取模块,具体用于从所述安全事件中解析入侵所述服务器的攻击源IP地址。

依据本申请实施例,从云计算环境下的一台或多台服务器记录的海量安全事件中解析攻击服务器的攻击源数据,数据查找模块,当存在由攻击源数据对应的访问数据时,识别当前服务器被入侵,从而对云环境下的一台或多台服务器记录的安全数据进行了充分有效的挖掘和利用,识别范围可以扩大到云环境下的多台服务器。

参考图6,其示出了根据本申请另一个实施例的基于数据分析的服务器入侵识别装置的结构框图,具体可以包括:

安全事件收集模块401,用于收集一台或多台服务器记录的安全事件。

攻击源数据获取模块402,用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据。

攻击源数据导入模块403,用于通过预置接口接收外部导入的攻击源数据。

攻击统计模块404,用于统计所述安全事件中所述攻击源数据的攻击次数和攻击频率。

恶意系数计算模块405,用于根据所述攻击次数和所述攻击频率计算所述攻击源数据的恶意系数。

数据查找模块406,用于在当前服务器的访问数据中查找所述攻击源数据,并确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。

恶意系数判断模块407,用于确定查找到的所述攻击源数据的恶意系数大于预设阀值。

历史登录确定模块408,用于在确定所述当前服务器被入侵之前,确定查找到的所述攻击源数据在本次访问之前未登录过所述当前服务器。

常用登录确定模块409,用于在确定所述当前服务器被入侵之前,确定查找到的所述攻击源数据并非常用登录源数据。

入侵确定模块410,用于确定所述当前服务器被入侵。

提示信息生成模块411,用于生成通知所述当前服务器被入侵的提示信息;

提示信息展示模块412,用于将所述提示信息展示在所述当前服务器上,和/或,将所述提示信息下发到访问所述当前服务器的客户端。

恶意系数降低模块413,用于若接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息,则降低所述攻击源数据的恶意系数。

恶意系数增加模块414,用于若未接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息,则增加所述攻击源数据的恶意系数。

常用登录源添加模块415,用于若不存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器未被入侵,并提取所述访问数据对应的登录源数据添加至所述当前服务器的常用登录源数据。

本申请实施例中,优选地,当所述安全事件包括web攻击事件时,所述安全事件收集模块包括:

第一web攻击事件获取子模块,访问所述服务器的web应用防护系统获取针对所述服务器的web攻击事件;

和/或,第二web攻击事件获取子模块,用于提取所述服务器的网络流量的镜像数据,将所述镜像数据与预设的检测规则进行规则匹配得到针对所述服务器的web攻击事件。

本申请实施例中,优选地,当所述安全事件包括服务器暴力破解事件时,所述安全事件收集模块包括:

破解事件获取子模块,用于采集所述服务器的登录日志,通过分析所述登录日志中包括的登录成功事件和登录失败事件得到针对所述服务器的服务器暴力破解事件。

本申请实施例中,优选地,当所述安全事件包括拒绝服务攻击事件时,所述安全事件收集模块包括:

拒绝服务攻击事件获取子模块,用于访问所述服务器的分布式拒绝服务攻击系统获取针对所述服务器的拒绝服务攻击事件。

依据本申请实施例,从云计算环境下的一台或多台服务器记录的海量安全事件中解析攻击服务器的攻击源数据,数据查找模块,当存在由攻击源数据对应的访问数据时,识别当前服务器被入侵,从而对云环境下的一 台或多台服务器记录的安全数据进行了充分有效的挖掘和利用,识别范围可以扩大到云环境下的多台服务器。

参考图7,其示出了根据本申请一个实施例的云安全系统的结构框图,该系统具体可以包括当前服务器601和攻击源数据库602。

所述攻击源数据库602,用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据;

所述当前服务器601包括:

数据查找模块6011,用于在所述当前服务器的访问数据中查找所述攻击源数据;

入侵判断模块6012,用于若存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器被入侵。

依据本申请实施例,从云计算环境下的一台或多台服务器记录的海量安全事件中解析攻击服务器的攻击源数据,数据查找模块,当存在由攻击源数据对应的访问数据时,识别当前服务器被入侵,从而对云环境下的一台或多台服务器记录的安全数据进行了充分有效的挖掘和利用,识别范围可以扩大到云环境下的多台服务器。

由于所述装置和系统实施例基本相应于前述图1和图2所示的方法实施例,故本实施例的描述中未详尽之处,可以参见前述实施例中的相关说明,在此就不赘述了。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。

在此处所提供的说明书中,说明了大量具体细节。然而,能够理解, 本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。

类似地,应当理解,为了精简本公开并帮助理解各个申请方面中的一个或多个,在上面对本申请的示例性实施例的描述中,本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,申请方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本申请的单独实施例。

本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本申请的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的基于数据分析的服务器入侵识别设备中的一些或者全 部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。

应该注意的是上述实施例对本申请进行说明而不是对本申请进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1