基于数据分析的服务器入侵识别方法、装置和云安全系统与流程

文档序号:12134557阅读:来源:国知局
导航: 利记体育> 最新专利>电子通信装置的制造及其应用技术>基于数据分析的服务器入侵识别方法、装置和云安全系统与流程

技术特征:

1.一种基于数据分析的服务器入侵识别方法,其特征在于,包括:

从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据;

在当前服务器的访问数据中查找所述攻击源数据;

若存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器被入侵。

2.如权利要求1所述的方法,其特征在于,还包括:收集一台或多台服务器记录的安全事件。

3.如权利要求2所述的方法,其特征在于,当所述安全事件包括web攻击事件时,所述收集一台或多台服务器记录的安全事件包括:

访问所述服务器的web应用防护系统获取针对所述服务器的web攻击事件,和/或,提取所述服务器的网络流量的镜像数据,将所述镜像数据与预设的检测规则进行规则匹配得到针对所述服务器的web攻击事件。

4.如权利要求2所述的方法,其特征在于,当所述安全事件包括服务器暴力破解事件时,所述收集一台或多台服务器记录的安全事件包括:

采集所述服务器的登录日志,通过分析所述登录日志中包括的登录成功事件和登录失败事件得到针对所述服务器的服务器暴力破解事件。

5.如权利要求2所述的方法,其特征在于,当所述安全事件包括拒绝服务攻击事件时,所述收集一台或多台服务器记录的安全事件包括:

访问所述服务器的分布式拒绝服务攻击系统获取针对所述服务器的拒绝服务攻击事件。

6.如权利要求1所述的方法,其特征在于,所述在当前服务器的访问数据中查找所述攻击源数据包括:

从所述当前服务器的访问数据中解析登录所述当前服务器的登录源数据,并在所述攻击源数据查找解析的登录源数据;

若查找到所述登录源数据,则确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。

7.如权利要求1所述的方法,其特征在于,所述访问数据具备标识所 述攻击源数据对所述服务器恶意程度的恶意系数,在确定存在由所述攻击源数据访问所述当前服务器产生的访问数据之后,所述方法还包括:

确定查找到的所述攻击源数据的恶意系数大于预设阀值。

8.如权利要求7所述的方法,其特征在于,所述方法还包括:

统计所述安全事件中所述攻击源数据的攻击次数和攻击频率,并根据所述攻击次数和所述攻击频率计算所述攻击源数据的恶意系数。

9.如权利要求1所述的方法,其特征在于,在所述确定所述当前服务器被入侵之前,所述方法还包括:

确定查找到的所述攻击源数据在本次访问之前未登录过所述当前服务器;

和/或,确定查找到的所述攻击源数据并非常用登录源数据。

10.如权利要求7所述的方法,其特征在于,所述方法还包括:

生成通知所述当前服务器被入侵的提示信息;

将所述提示信息展示在所述当前服务器上,和/或,将所述提示信息下发到访问所述当前服务器的客户端。

11.如权利要求10所述的方法,其特征在于,所述方法还包括:

若接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息,则降低所述攻击源数据的恶意系数;

和/或,若未接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息,则增加所述攻击源数据的恶意系数。

12.如权利要求9所述的方法,其特征在于,所述方法还包括:

若不存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器未被入侵,并提取所述访问数据对应的登录源数据添加至所述当前服务器的常用登录源数据。

13.如权利要求1所述的方法,其特征在于,所述从一台或多台服务器记录的安全事件中解析入侵服务器的攻击源数据包括:

从所述安全事件中解析入侵所述服务器的攻击源IP地址。

14.如权利要求1所述的方法,其特征在于,所述方法还包括:

通过预置接口接收外部导入的攻击源数据。

15.如权利要求1所述的方法,其特征在于,所述安全事件包括web攻击事件、服务器暴力破解事件和拒绝服务攻击事件中至少一种。

16.一种基于数据分析的服务器入侵识别装置,其特征在于,包括:

攻击源数据获取模块,用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据;

数据查找模块,用于在当前服务器的访问数据中查找所述攻击源数据,并确定存在由所述攻击源数据访问所述当前服务器产生的访问数据;

入侵确定模块,用于确定所述当前服务器被入侵。

17.如权利要求16所述的装置,其特征在于,还包括:

安全事件收集模块,用于收集一台或多台服务器记录的安全事件。

18.如权利要求15所述的装置,其特征在于,所述访问数据具备标识所述攻击源数据对所述服务器恶意程度的恶意系数,所述装置还包括:

恶意系数判断模块,用于在确定存在由所述攻击源数据访问所述当前服务器产生的访问数据之后,确定查找到的所述攻击源数据的恶意系数大于预设阀值。

19.如权利要求15所述的装置,其特征在于,所述装置还包括:

历史登录确定模块,用于在确定所述当前服务器被入侵之前,确定查找到的所述攻击源数据在本次访问之前未登录过所述当前服务器;

和/或,常用登录确定模块,用于在确定所述当前服务器被入侵之前,确定查找到的所述攻击源数据并非常用登录源数据。

20.一种云安全系统,其特征在于,包括当前服务器和攻击源数据库;

所述攻击源数据库,用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据;

所述当前服务器包括:

数据查找模块,用于在所述当前服务器的访问数据中查找所述攻击源数据;

入侵判断模块,用于若存在由所述攻击源数据访问所述当前服务器产生的访问数据,则确定所述当前服务器被入侵。

完整全部详细技术资料下载
当前第2页1 2 3 
    相关技术
    网友询问留言 已有0条留言
    • 还没有人留言评论。精彩留言会获得点赞!
    1
    精彩留言,会给你点赞!
    lkj监控装置数据分析相关技术
    数据分析服务器相关技术
    被动红外入侵报警装置相关技术
    入侵报警探测装置相关技术

    使用协议| 关于我们| 联系利记体育

    © 2008-2024 【利记体育】 版权所有,并保留所有权利。津ICP备16005673号-2