基于云的网站日志安全分析方法、装置及系统的制作方法

基于云的网站日志安全分析方法、装置及系统的制作方法
【技术领域】
[0001]本发明涉及互联网技术领域，尤其涉及一种基于云的网站日志安全分析方法、装置及系统。
【背景技术】
[0002]网站日志(也叫服务器日志)是记录网站服务器接收的访问请求以及运行时发生错误等各种原始信息的文件。网站管理员通过网站日志可以查看访问者的IPdnternetProtocol，网间协议)地址、访问时间、操作系统类型、浏览器类型、具体访问对象(页面)和访问成功与否等信息。
[0003]因此，通过网站日志可以分析出访问者对网站服务器的攻击情况。现有技术中的网站日志分析工具，可以针对指定路径下的网站日志进行分析，并作出分析报告。然而有些攻击过于隐蔽，使用网站日志分析工具也无法将其检测出来。例如，对于访问者一分钟向网站服务器发送1000个ping测试包而言，网站日志分析工具可以分析出这是个流量攻击，而对于访问者一分钟向网站服务器发送100个ping测试包，却持续发送了两天而言，网站日志分析工具却分析不出这也是个流量攻击。在这种情况下，网站管理员无法获知这些没有测出来的攻击源的信息，从而无法对这些攻击源的后续攻击实现防御操作，进而使得网站服务器的安全问题无法得到保障。

【发明内容】

[0004]有鉴于此，本发明提供一种基于云的网站日志安全分析方法、装置及系统，能够分析出网站日志中隐蔽的攻击日志。
[0005]第一方面，本发明提供了一种基于云的网站日志安全分析方法，所述方法包括:
[0006]实时获取网站服务器侧记录的最新的网站日志；
[0007]将所述最新的网站日志与强规则进行匹配；
[0008]若所述最新的网站日志与所述强规则匹配成功，则确定所述最新的网站日志为明显攻击日志；
[0009]将在特定时间段内获取的网站日志与异常模型进行匹配；
[0010]若所述在特定时间段内获取的网站日志中存在与所述异常模型匹配成功的网站日志，则确定所述与所述异常模型匹配成功的网站日志为隐蔽攻击日志；
[0011]若检测到所述明显攻击日志和/或所述隐蔽攻击日志，则向云平台上报所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息，以便所述云平台对各个网站服务器的攻击信息进行统计与分析。
[0012]第二方面，本发明提供了一种基于云的网站日志安全分析装置，所述装置包括:
[0013]获取单元，用于实时获取网站服务器侧记录的最新的网站日志；
[0014]匹配单元，用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配；
[0015]确定单元，用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时，确定所述最新的网站日志为明显攻击日志；
[0016]所述匹配单元，还用于将所述获取单元在特定时间段内获取的网站日志与异常模型进行匹配；
[0017]所述确定单元，还用于当所述匹配单元的匹配结果为所述在特定时间段内获取的网站日志中存在与所述异常模型匹配成功的网站日志时，确定所述与所述异常模型匹配成功的网站日志为隐蔽攻击日志；
[0018]上报单元，用于当检测到所述明显攻击日志和/或所述隐蔽攻击日志时，向云平台上报所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息，以便所述云平台对各个网站服务器的攻击信息进行统计与分析。
[0019]第三方面，本发明提供了一种基于云的网站日志安全分析系统，所述系统包括网关和云平台，其中所述网关包括第二方面所述的装置；
[0020]所述云平台，用于接收所述网关上报的明显攻击日志和/或隐蔽攻击日志的攻击信息，并对所述攻击信息进行统计与分析。
[0021]借由上述技术方案，本发明提供的基于云的网站日志安全分析方法、装置及系统，能够通过将实时获取的最新的网站日志与强规则进行匹配，并确定匹配成功的最新的网站日志为明显攻击日志；将在特定时间段内获取的网站日志与异常模型进行匹配，并确定匹配成功的网站日志为隐蔽攻击日志；最后将确定的明显攻击日志和/或隐蔽攻击日志上报云平台，以便云平台对其进行统计与分析。与现有技术中无法检测出隐蔽攻击日志相比，本发明不仅针对单条网站日志进行强规则的检测，还针对多条网站日志进行异常模型的检测，从而能够将网站日志中存在的明显攻击日志和隐蔽攻击日志都检测出来，进而使得网站管理员能够及时对攻击源采取防御操作，以保证网站服务器的安全。
[0022]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
【附图说明】
[0023]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0024]图1示出了本发明实施例提供的一种基于云的网站日志安全分析方法的流程图；
[0025]图2示出了本发明实施例提供的一种基于云的网站日志安全分析装置的组成框图；
[0026]图3示出了本发明实施例提供的另一种基于云的网站日志安全分析装置的组成框图；
[0027]图4示出了本发明实施例提供的一种基于云的网站日志安全分析系统的组成框图。
【具体实施方式】
[0028]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0029]本发明实施例提供了一种基于云的网站日志安全分析方法，如图1所示，该方法包括:
[0030]101、实时获取网站服务器侧记录的最新的网站日志。
[0031]当外部访问网站服务器时，网站服务器侧会记录关于访问者的访问信息(如访问者的IP(Internet Protocol，网间协议)地址、访问请求的内容和访问时间等)以及网站服务器响应信息(如回复信息)的网站日志。随着访问者对网站服务器的的不断访问，网站服务器侧记录的网站日志也在不断更新。网关可以实时从网站服务器侧获取最新的网站日志，以便实时对网站日志进行安全性分析。其中，最新的网站日志为在网站服务器侧产生的一条最新的日志。
[0032]102、将最新的网站日志与强规则进行匹配。
[0033]其中，强规则为硬性规定某条网站日志为攻击日志的规则。网站服务器侧每产生一条新的网站日志，网关就获取该网站日志，并对其进行强规则的检测，以确定最新的网站日志是否为攻击日志，从而实现对网站服务器的实时安全性监控。
[0034]具体的，强规则可以包括攻击特征、攻击条件等。例如，某条网站日志中记录访问者向网站服务器发送了一个网站管理权限请求，但是由于外部访问者仅有访问网站服务器的权限，而没有管理网站服务器的权限，所以可以将请求网站管理权限的特征归为攻击特征，即由强规则确定其为攻击日志。
[0035]103、若最新的网站日志与强规则匹配成功，则确定最新的网站日志为明显攻击日
[0036]由于强规则为硬性规定某条网站日志为攻击日志的规则(例如正则表达式)，所以当网关将最新的网站日志与强规则进行匹配，并且匹配结果为成功时，可以确定该最新的网站日志为明显攻击日志。相应的，若匹配结果为不成功，则网关可以确定该最新的网站日志不是明显攻击日志。
[0037]示例性的，一条网站日志的内容包括访问者向网站服务器发送窃取数据请求，强规则中包括窃取数据，则该网站日志与强规则匹配成功，所以该网站日志为明显攻击日志。此外，另一条网站日志的内容包括访问者向网站服务器发送打开网站首页请求，强规则中没有相关内容，则该网站日志与强规则匹配不成功，所以该网站日志不是明显攻击日志。
[0038]104、将在特定时间段内获取的网站日志与异常模型进行匹配。
[0039]在实际应用中，黑客们常常向网站服务器发送一些访问请求，其中对于每一条访问请求来说都是正常的访问，但是这些访问请求整体却对网站服务器造成了攻击。例如，一访问者每隔Is向网站服务器发送5000个打开网站首页的请求，其中对于每一个请求都是打开网站首页的正常请求，而每隔Is让网站服务器响应5000次请求，却使得网站服务器因响应频率过高而发生崩溃现象。因此，仅针对单条网