型中�,流量攻擊閾值為1000/s�,需要檢測的網(wǎng)站日志中的訪問頻率為950/s���,而檢測出流量攻擊的其他網(wǎng)站異常模型的流量攻擊閾值為900/s�����。當(dāng)僅根據(jù)檢測結(jié)果修改本網(wǎng)站的異常模型的參數(shù)時�,需要將1000/s改為950/s,然而當(dāng)未來的網(wǎng)站日志中存在訪問頻率為930/s時����,本網(wǎng)站還需要將其再次修改為930/s。因此,為了減少對本網(wǎng)站異常模型的修改次數(shù)�,網(wǎng)關(guān)可以直接將本網(wǎng)站異常模型的參數(shù)直接修改為能夠檢測出隱蔽攻擊日志的異常模型的參數(shù)��。
[0068]具體的��,網(wǎng)關(guān)需要接收云平臺發(fā)送的檢測結(jié)果以及對應(yīng)網(wǎng)站的異常模型���,并根據(jù)檢測出隱蔽攻擊日志的異常模型的參數(shù)�,對本網(wǎng)站的異常模型的參數(shù)進(jìn)行修改�。
[0069]進(jìn)一步的���,在實際應(yīng)用中����,各種類型網(wǎng)站的訪問量��、遭受攻擊的攻擊類型往往存在一定的差異�。例如,購物網(wǎng)站的訪問量一般遠(yuǎn)大于個人網(wǎng)站的訪問量,因此購物網(wǎng)站的異常模型中流量攻擊閾值一般遠(yuǎn)大于個人網(wǎng)站的異常模型中流量攻擊閾值�����。在這種情況下,在異常模型的優(yōu)化過程中����,會出現(xiàn)將購物網(wǎng)站異常模型的參數(shù)修改為個人網(wǎng)站異常模型的參數(shù)的現(xiàn)象����,網(wǎng)關(guān)可能會在購物網(wǎng)站的網(wǎng)站日志中持續(xù)檢測出流量攻擊日志����,會給網(wǎng)站管理員造成誤導(dǎo)���。因此���,為了進(jìn)一步完善異常模型優(yōu)化的策略���,本發(fā)明實施例還提供了以下方案:
[0070]網(wǎng)關(guān)接收云平臺發(fā)送的經(jīng)同類異常模型檢測的檢測結(jié)果�����,以及對應(yīng)的同類異常模型,同類異常模型為與本網(wǎng)站同類的其他網(wǎng)站所對應(yīng)的異常模型�����。
[0071]具體的�,由于同類別的網(wǎng)站具有相似的網(wǎng)站特征(如訪問量)���,所以受到的攻擊也往往是相似的�����。因此,云平臺根據(jù)相似度對各個網(wǎng)站進(jìn)行了分類(如分為商業(yè)網(wǎng)站�、個人網(wǎng)站和政府網(wǎng)站等)��,在需要其他網(wǎng)站的異常模型對本網(wǎng)站的網(wǎng)站日志進(jìn)行檢測時��,可以僅通過同類異常模型對其進(jìn)行檢測�����,以提高檢測的準(zhǔn)確率�����。
[0072]需要說明的是,各個網(wǎng)站異常模型的原始參數(shù)均可以為網(wǎng)站管理員根據(jù)預(yù)設(shè)專屬配置分析策略設(shè)置的�。其中�����,預(yù)設(shè)專屬配置分析策略可以以選擇項目、填寫參數(shù)等形式供網(wǎng)站管理員選擇和填寫���。例如���,網(wǎng)站管理員可以選擇查找流量攻擊選項����,之后填寫對應(yīng)的流量攻擊閾值。
[0073]進(jìn)一步的��,為了使得網(wǎng)站管理員能夠?qū)粼吹暮罄m(xù)攻擊實現(xiàn)防御操作���,從而使得網(wǎng)站服務(wù)器的安全問題得到保障���,在網(wǎng)關(guān)檢測到明顯攻擊日志和/或隱蔽攻擊日志后�����,可以向網(wǎng)站服務(wù)器發(fā)送明顯攻擊日志和/或隱蔽攻擊日志的攻擊信息,以便網(wǎng)站管理員針對攻擊信息對攻擊源做相應(yīng)的處理�,例如�,對攻擊源進(jìn)行封境。
[0074]進(jìn)一步的���,依據(jù)上述方法實施例�,本發(fā)明的另一個實施例提供了一種基于云的網(wǎng)站日志安全分析裝置�����,如圖2所示�,該裝置包括:獲取單元21、匹配單元22����、確定單元23和上報單元24��。其中�����,
[0075]獲取單元21�,用于實時獲取網(wǎng)站服務(wù)器側(cè)記錄的最新的網(wǎng)站日志�;
[0076]匹配單元22�����,用于將獲取單元21獲取的最新的網(wǎng)站日志與強規(guī)則進(jìn)行匹配����;
[0077]確定單元23,用于當(dāng)匹配單元22的匹配結(jié)果為最新的網(wǎng)站日志與強規(guī)則匹配成功時���,確定最新的網(wǎng)站日志為明顯攻擊日志����;
[0078]匹配單元22,還用于將獲取單元21在特定時間段內(nèi)獲取的網(wǎng)站日志與異常模型進(jìn)行匹配��;
[0079]確定單元23����,還用于當(dāng)匹配單元22的匹配結(jié)果為在特定時間段內(nèi)獲取的網(wǎng)站日志中存在與異常模型匹配成功的網(wǎng)站日志時��,確定與異常模型匹配成功的網(wǎng)站日志為隱蔽攻擊日志��;
[0080]上報單元24����,用于當(dāng)檢測到明顯攻擊日志和/或隱蔽攻擊日志時��,向云平臺上報明顯攻擊日志和/或隱蔽攻擊日志的攻擊信息���,以便云平臺對各個網(wǎng)站服務(wù)器的攻擊信息進(jìn)行統(tǒng)計與分析����。
[0081]進(jìn)一步的,如圖3所示�����,匹配單元22�����,包括:
[0082]比較模塊221,用于將在特定時間段內(nèi)獲取的網(wǎng)站日志與歷史網(wǎng)站日志進(jìn)行比較���,分析在特定時間段內(nèi)獲取的網(wǎng)站日志所反映的行為信息與歷史網(wǎng)站日志所反映的常態(tài)化行為?目息之間的差別�����;
[0083]確定模塊222�����,用于當(dāng)比較模塊221的比較結(jié)果為差別大于預(yù)設(shè)門限值時,確定在特定時間段內(nèi)獲取的網(wǎng)站日志中存在與異常模型匹配成功的網(wǎng)站日志。
[0084]進(jìn)一步的�����,如圖3所示����,該裝置還包括:
[0085]刪除單元25�����,用于將檢測到的明顯攻擊日志和/或隱蔽攻擊日志從歷史網(wǎng)站日志中刪除����。
[0086]進(jìn)一步的���,匹配單元22,還用于將在預(yù)設(shè)時間間隔內(nèi)獲取的網(wǎng)站日志與異常模型進(jìn)行匹配�。
[0087]進(jìn)一步的,匹配單元22���,還用于當(dāng)確定單元23確定最新的網(wǎng)站日志為明顯攻擊日志時�����,觸發(fā)異常模型�����,將獲取的網(wǎng)站日志與異常模型進(jìn)行匹配�;
[0088]確定單元23,還用于當(dāng)匹配單元22的匹配結(jié)果為獲取的網(wǎng)站日志中存在與異常模型匹配成功的網(wǎng)站日志時�,確定與異常模型匹配成功的網(wǎng)站日志為隱蔽攻擊日志。
[0089]進(jìn)一步的�,匹配單元22,還用于將當(dāng)前確定的明顯攻擊日志與上一次確定的明顯攻擊日志之間的網(wǎng)站日志與異常模型進(jìn)行匹配��。
[0090]進(jìn)一步的���,如圖3所示���,該裝置還包括:
[0091]第一發(fā)送單元26,用于當(dāng)匹配單元22的匹配結(jié)果為在特定時間段內(nèi)獲取的網(wǎng)站日志中不存在與異常模型匹配成功的網(wǎng)站日志時��,向云平臺發(fā)送獲取的所有網(wǎng)站日志���,以便云平臺根據(jù)其他網(wǎng)站的異常模型對所有網(wǎng)站日志進(jìn)行檢測�����;
[0092]接收單元27�,用于接收云平臺發(fā)送的檢測結(jié)果�;
[0093]修改單元28,用于根據(jù)接收單元27接收的檢測結(jié)果對本網(wǎng)站的異常模型的參數(shù)進(jìn)行修改�。
[0094]進(jìn)一步的,接收單元27,用于接收云平臺發(fā)送的檢測結(jié)果以及對應(yīng)網(wǎng)站的異常模型����;
[0095]修改單元28,用于根據(jù)檢測出隱蔽攻擊日志的異常模型的參數(shù)����,對本網(wǎng)站的異常模型的參數(shù)進(jìn)行修改。
[0096]進(jìn)一步的�����,接收單元27��,用于接收云平臺發(fā)送的經(jīng)同類異常模型檢測的檢測結(jié)果���,以及對應(yīng)的同類異常模型���,同類異常模型為與本網(wǎng)站同類的其他網(wǎng)站所對應(yīng)的異常模型。
[0097]進(jìn)一步的���,匹配單元22匹配的異常模型的參數(shù)為根據(jù)預(yù)設(shè)專屬配置分析策略設(shè)置的���。
[0098]進(jìn)一步的�,如圖3所示���,該裝置還包括:
[0099]第二發(fā)送單元29����,用于當(dāng)檢測到明顯攻擊日志和/或隱蔽攻擊日志時�����,向網(wǎng)站服務(wù)器發(fā)送明顯攻擊日志和/或隱蔽攻擊日志的攻擊信息�。
[0100]本發(fā)明實施例提供的基于云的網(wǎng)站日志安全分析裝置,能夠通過將實時獲取的最新的網(wǎng)站日志與強規(guī)則進(jìn)行匹配�����,并確定匹配成功的最新的網(wǎng)站日志為明顯攻擊日志��;將在特定時間段內(nèi)獲取的網(wǎng)站日志與異常模型進(jìn)行匹配�,并確定匹配成功的網(wǎng)站日志為隱蔽攻擊日志;最后將確定的明顯攻擊日志和/或隱蔽攻擊日志上報云平臺��,以便云平臺對其進(jìn)行統(tǒng)計與分析。與現(xiàn)有技術(shù)中無法檢測出隱蔽攻擊日志相比���,本發(fā)明不僅針對單條網(wǎng)站日志進(jìn)行強規(guī)則的檢測,還針對多條網(wǎng)站日志進(jìn)行異常模型的檢測����,從而能夠?qū)⒕W(wǎng)站日志中存在的明顯攻擊日志和隱蔽攻擊日志都檢測出來,進(jìn)而使得網(wǎng)站管理員能夠及時對攻擊源采取防御操作�,以保證網(wǎng)站服務(wù)器的安全。
[0101]進(jìn)一步的�,依據(jù)上述裝置實施例,本發(fā)明的另一個實施例提供了一種基于云的網(wǎng)站日志安全分析系統(tǒng)�,如圖4所示,該系統(tǒng)包括網(wǎng)關(guān)31和云平臺32�,其中網(wǎng)關(guān)31包括如圖2至3中任一項所示的裝置;
[0102]云平臺32�����,用于接收網(wǎng)關(guān)31上報的明顯攻擊日志和/或隱蔽攻擊日志的攻擊信息��,并對攻擊信息進(jìn)行統(tǒng)計與分析�。
[0103]本發(fā)明實施例提供的基于云的網(wǎng)站日志安全分析系統(tǒng),能夠通過將實時獲取的最新的網(wǎng)站日志與強規(guī)則進(jìn)行匹配��,并確定匹配成功的最新的網(wǎng)站日志為明顯攻擊日志;將在特定時間段內(nèi)獲取的網(wǎng)站日志與異常模型進(jìn)行匹配����,并確定匹配成功的網(wǎng)站日志為隱蔽攻擊日志;最后將確定的明顯攻擊日志和/或隱蔽攻擊日志上報云平臺����,以便云平臺對其進(jìn)行統(tǒng)計與分析。與現(xiàn)有技術(shù)中無法檢測出隱蔽攻擊日志相比��,本發(fā)明不僅針對單條網(wǎng)站日志進(jìn)行強規(guī)則的檢測�,還針對多條網(wǎng)站日志進(jìn)行異常模型的檢測,從而能夠?qū)⒕W(wǎng)站日志中存在的明顯攻擊日志和隱蔽攻擊日志都檢測出來����,進(jìn)而使得網(wǎng)站管理員能夠及時對攻擊源采取防御操作,以保證網(wǎng)站服務(wù)器的安全�。
[0104]本發(fā)明的實施例公開了:
[0105]Al、一種基于云的網(wǎng)站日志安全分析方法�����,所述方法包括:
[0106]實時獲取網(wǎng)站服務(wù)器側(cè)記錄的最新的網(wǎng)站日志�����;
[0107]將所述最新的網(wǎng)站日志與強規(guī)則進(jìn)行匹配;
[0108]若所述最新的網(wǎng)站日志與所述強規(guī)則匹配成功����,則確定所述最新的網(wǎng)站日志為明顯攻擊日志;
[0109]將在特定時間段內(nèi)獲取的網(wǎng)站日志