基于云的網(wǎng)站日志安全分析方法、裝置及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域，尤其涉及一種基于云的網(wǎng)站日志安全分析方法、裝置及系統(tǒng)。
【背景技術(shù)】
[0002]網(wǎng)站日志(也叫服務(wù)器日志)是記錄網(wǎng)站服務(wù)器接收的訪問請(qǐng)求以及運(yùn)行時(shí)發(fā)生錯(cuò)誤等各種原始信息的文件。網(wǎng)站管理員通過網(wǎng)站日志可以查看訪問者的IPdnternetProtocol，網(wǎng)間協(xié)議)地址、訪問時(shí)間、操作系統(tǒng)類型、瀏覽器類型、具體訪問對(duì)象(頁(yè)面)和訪問成功與否等信息。
[0003]因此，通過網(wǎng)站日志可以分析出訪問者對(duì)網(wǎng)站服務(wù)器的攻擊情況?，F(xiàn)有技術(shù)中的網(wǎng)站日志分析工具，可以針對(duì)指定路徑下的網(wǎng)站日志進(jìn)行分析，并作出分析報(bào)告。然而有些攻擊過于隱蔽，使用網(wǎng)站日志分析工具也無法將其檢測(cè)出來。例如，對(duì)于訪問者一分鐘向網(wǎng)站服務(wù)器發(fā)送1000個(gè)ping測(cè)試包而言，網(wǎng)站日志分析工具可以分析出這是個(gè)流量攻擊，而對(duì)于訪問者一分鐘向網(wǎng)站服務(wù)器發(fā)送100個(gè)ping測(cè)試包，卻持續(xù)發(fā)送了兩天而言，網(wǎng)站日志分析工具卻分析不出這也是個(gè)流量攻擊。在這種情況下，網(wǎng)站管理員無法獲知這些沒有測(cè)出來的攻擊源的信息，從而無法對(duì)這些攻擊源的后續(xù)攻擊實(shí)現(xiàn)防御操作，進(jìn)而使得網(wǎng)站服務(wù)器的安全問題無法得到保障。

【發(fā)明內(nèi)容】

[0004]有鑒于此，本發(fā)明提供一種基于云的網(wǎng)站日志安全分析方法、裝置及系統(tǒng)，能夠分析出網(wǎng)站日志中隱蔽的攻擊日志。
[0005]第一方面，本發(fā)明提供了一種基于云的網(wǎng)站日志安全分析方法，所述方法包括:
[0006]實(shí)時(shí)獲取網(wǎng)站服務(wù)器側(cè)記錄的最新的網(wǎng)站日志；
[0007]將所述最新的網(wǎng)站日志與強(qiáng)規(guī)則進(jìn)行匹配；
[0008]若所述最新的網(wǎng)站日志與所述強(qiáng)規(guī)則匹配成功，則確定所述最新的網(wǎng)站日志為明顯攻擊日志；
[0009]將在特定時(shí)間段內(nèi)獲取的網(wǎng)站日志與異常模型進(jìn)行匹配；
[0010]若所述在特定時(shí)間段內(nèi)獲取的網(wǎng)站日志中存在與所述異常模型匹配成功的網(wǎng)站日志，則確定所述與所述異常模型匹配成功的網(wǎng)站日志為隱蔽攻擊日志；
[0011]若檢測(cè)到所述明顯攻擊日志和/或所述隱蔽攻擊日志，則向云平臺(tái)上報(bào)所述明顯攻擊日志和/或所述隱蔽攻擊日志的攻擊信息，以便所述云平臺(tái)對(duì)各個(gè)網(wǎng)站服務(wù)器的攻擊信息進(jìn)行統(tǒng)計(jì)與分析。
[0012]第二方面，本發(fā)明提供了一種基于云的網(wǎng)站日志安全分析裝置，所述裝置包括:
[0013]獲取單元，用于實(shí)時(shí)獲取網(wǎng)站服務(wù)器側(cè)記錄的最新的網(wǎng)站日志；
[0014]匹配單元，用于將所述獲取單元獲取的所述最新的網(wǎng)站日志與強(qiáng)規(guī)則進(jìn)行匹配；
[0015]確定單元，用于當(dāng)所述匹配單元的匹配結(jié)果為所述最新的網(wǎng)站日志與所述強(qiáng)規(guī)則匹配成功時(shí)，確定所述最新的網(wǎng)站日志為明顯攻擊日志；
[0016]所述匹配單元，還用于將所述獲取單元在特定時(shí)間段內(nèi)獲取的網(wǎng)站日志與異常模型進(jìn)行匹配；
[0017]所述確定單元，還用于當(dāng)所述匹配單元的匹配結(jié)果為所述在特定時(shí)間段內(nèi)獲取的網(wǎng)站日志中存在與所述異常模型匹配成功的網(wǎng)站日志時(shí)，確定所述與所述異常模型匹配成功的網(wǎng)站日志為隱蔽攻擊日志；
[0018]上報(bào)單元，用于當(dāng)檢測(cè)到所述明顯攻擊日志和/或所述隱蔽攻擊日志時(shí)，向云平臺(tái)上報(bào)所述明顯攻擊日志和/或所述隱蔽攻擊日志的攻擊信息，以便所述云平臺(tái)對(duì)各個(gè)網(wǎng)站服務(wù)器的攻擊信息進(jìn)行統(tǒng)計(jì)與分析。
[0019]第三方面，本發(fā)明提供了一種基于云的網(wǎng)站日志安全分析系統(tǒng)，所述系統(tǒng)包括網(wǎng)關(guān)和云平臺(tái)，其中所述網(wǎng)關(guān)包括第二方面所述的裝置；
[0020]所述云平臺(tái)，用于接收所述網(wǎng)關(guān)上報(bào)的明顯攻擊日志和/或隱蔽攻擊日志的攻擊信息，并對(duì)所述攻擊信息進(jìn)行統(tǒng)計(jì)與分析。
[0021]借由上述技術(shù)方案，本發(fā)明提供的基于云的網(wǎng)站日志安全分析方法、裝置及系統(tǒng)，能夠通過將實(shí)時(shí)獲取的最新的網(wǎng)站日志與強(qiáng)規(guī)則進(jìn)行匹配，并確定匹配成功的最新的網(wǎng)站日志為明顯攻擊日志；將在特定時(shí)間段內(nèi)獲取的網(wǎng)站日志與異常模型進(jìn)行匹配，并確定匹配成功的網(wǎng)站日志為隱蔽攻擊日志；最后將確定的明顯攻擊日志和/或隱蔽攻擊日志上報(bào)云平臺(tái)，以便云平臺(tái)對(duì)其進(jìn)行統(tǒng)計(jì)與分析。與現(xiàn)有技術(shù)中無法檢測(cè)出隱蔽攻擊日志相比，本發(fā)明不僅針對(duì)單條網(wǎng)站日志進(jìn)行強(qiáng)規(guī)則的檢測(cè)，還針對(duì)多條網(wǎng)站日志進(jìn)行異常模型的檢測(cè)，從而能夠?qū)⒕W(wǎng)站日志中存在的明顯攻擊日志和隱蔽攻擊日志都檢測(cè)出來，進(jìn)而使得網(wǎng)站管理員能夠及時(shí)對(duì)攻擊源采取防御操作，以保證網(wǎng)站服務(wù)器的安全。
[0022]上述說明僅是本發(fā)明技術(shù)方案的概述，為了能夠更清楚了解本發(fā)明的技術(shù)手段，而可依照說明書的內(nèi)容予以實(shí)施，并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂，以下特舉本發(fā)明的【具體實(shí)施方式】。
【附圖說明】
[0023]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述，各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實(shí)施方式的目的，而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中，用相同的參考符號(hào)表示相同的部件。在附圖中:
[0024]圖1示出了本發(fā)明實(shí)施例提供的一種基于云的網(wǎng)站日志安全分析方法的流程圖；
[0025]圖2示出了本發(fā)明實(shí)施例提供的一種基于云的網(wǎng)站日志安全分析裝置的組成框圖；
[0026]圖3示出了本發(fā)明實(shí)施例提供的另一種基于云的網(wǎng)站日志安全分析裝置的組成框圖；
[0027]圖4示出了本發(fā)明實(shí)施例提供的一種基于云的網(wǎng)站日志安全分析系統(tǒng)的組成框圖。
【具體實(shí)施方式】
[0028]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例。雖然附圖中顯示了本公開的示例性實(shí)施例，然而應(yīng)當(dāng)理解，可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制。相反，提供這些實(shí)施例是為了能夠更透徹地理解本公開，并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
[0029]本發(fā)明實(shí)施例提供了一種基于云的網(wǎng)站日志安全分析方法，如圖1所示，該方法包括:
[0030]101、實(shí)時(shí)獲取網(wǎng)站服務(wù)器側(cè)記錄的最新的網(wǎng)站日志。
[0031]當(dāng)外部訪問網(wǎng)站服務(wù)器時(shí)，網(wǎng)站服務(wù)器側(cè)會(huì)記錄關(guān)于訪問者的訪問信息(如訪問者的IP(Internet Protocol，網(wǎng)間協(xié)議)地址、訪問請(qǐng)求的內(nèi)容和訪問時(shí)間等)以及網(wǎng)站服務(wù)器響應(yīng)信息(如回復(fù)信息)的網(wǎng)站日志。隨著訪問者對(duì)網(wǎng)站服務(wù)器的的不斷訪問，網(wǎng)站服務(wù)器側(cè)記錄的網(wǎng)站日志也在不斷更新。網(wǎng)關(guān)可以實(shí)時(shí)從網(wǎng)站服務(wù)器側(cè)獲取最新的網(wǎng)站日志，以便實(shí)時(shí)對(duì)網(wǎng)站日志進(jìn)行安全性分析。其中，最新的網(wǎng)站日志為在網(wǎng)站服務(wù)器側(cè)產(chǎn)生的一條最新的日志。
[0032]102、將最新的網(wǎng)站日志與強(qiáng)規(guī)則進(jìn)行匹配。
[0033]其中，強(qiáng)規(guī)則為硬性規(guī)定某條網(wǎng)站日志為攻擊日志的規(guī)則。網(wǎng)站服務(wù)器側(cè)每產(chǎn)生一條新的網(wǎng)站日志，網(wǎng)關(guān)就獲取該網(wǎng)站日志，并對(duì)其進(jìn)行強(qiáng)規(guī)則的檢測(cè)，以確定最新的網(wǎng)站日志是否為攻擊日志，從而實(shí)現(xiàn)對(duì)網(wǎng)站服務(wù)器的實(shí)時(shí)安全性監(jiān)控。
[0034]具體的，強(qiáng)規(guī)則可以包括攻擊特征、攻擊條件等。例如，某條網(wǎng)站日志中記錄訪問者向網(wǎng)站服務(wù)器發(fā)送了一個(gè)網(wǎng)站管理權(quán)限請(qǐng)求，但是由于外部訪問者僅有訪問網(wǎng)站服務(wù)器的權(quán)限，而沒有管理網(wǎng)站服務(wù)器的權(quán)限，所以可以將請(qǐng)求網(wǎng)站管理權(quán)限的特征歸為攻擊特征，即由強(qiáng)規(guī)則確定其為攻擊日志。
[0035]103、若最新的網(wǎng)站日志與強(qiáng)規(guī)則匹配成功，則確定最新的網(wǎng)站日志為明顯攻擊日
[0036]由于強(qiáng)規(guī)則為硬性規(guī)定某條網(wǎng)站日志為攻擊日志的規(guī)則(例如正則表達(dá)式)，所以當(dāng)網(wǎng)關(guān)將最新的網(wǎng)站日志與強(qiáng)規(guī)則進(jìn)行匹配，并且匹配結(jié)果為成功時(shí)，可以確定該最新的網(wǎng)站日志為明顯攻擊日志。相應(yīng)的，若匹配結(jié)果為不成功，則網(wǎng)關(guān)可以確定該最新的網(wǎng)站日志不是明顯攻擊日志。
[0037]示例性的，一條網(wǎng)站日志的內(nèi)容包括訪問者向網(wǎng)站服務(wù)器發(fā)送竊取數(shù)據(jù)請(qǐng)求，強(qiáng)規(guī)則中包括竊取數(shù)據(jù)，則該網(wǎng)站日志與強(qiáng)規(guī)則匹配成功，所以該網(wǎng)站日志為明顯攻擊日志。此外，另一條網(wǎng)站日志的內(nèi)容包括訪問者向網(wǎng)站服務(wù)器發(fā)送打開網(wǎng)站首頁(yè)請(qǐng)求，強(qiáng)規(guī)則中沒有相關(guān)內(nèi)容，則該網(wǎng)站日志與強(qiáng)規(guī)則匹配不成功，所以該網(wǎng)站日志不是明顯攻擊日志。
[0038]104、將在特定時(shí)間段內(nèi)獲取的網(wǎng)站日志與異常模型進(jìn)行匹配。
[0039]在實(shí)際應(yīng)用中，黑客們常常向網(wǎng)站服務(wù)器發(fā)送一些訪問請(qǐng)求，其中對(duì)于每一條訪問請(qǐng)求來說都是正常的訪問，但是這些訪問請(qǐng)求整體卻對(duì)網(wǎng)站服務(wù)器造成了攻擊。例如，一訪問者每隔Is向網(wǎng)站服務(wù)器發(fā)送5000個(gè)打開網(wǎng)站首頁(yè)的請(qǐng)求，其中對(duì)于每一個(gè)請(qǐng)求都是打開網(wǎng)站首頁(yè)的正常請(qǐng)求，而每隔Is讓網(wǎng)站服務(wù)器響應(yīng)5000次請(qǐng)求，卻使得網(wǎng)站服務(wù)器因響應(yīng)頻率過高而發(fā)生崩潰現(xiàn)象。因此，僅針對(duì)單條網(wǎng)