与异常模型进行匹配;
[0110]若所述在特定时间段内获取的网站日志中存在与所述异常模型匹配成功的网站日志,则确定所述与所述异常模型匹配成功的网站日志为隐蔽攻击日志;
[0111]若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则向云平台上报所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息,以便所述云平台对各个网站服务器的攻击信息进行统计与分析。
[0112]A2、根据Al所述的方法,所述将在特定时间段内获取的网站日志与异常模型进行匹配,包括:
[0113]将所述在特定时间段内获取的网站日志与历史网站日志进行比较,分析所述在特定时间段内获取的网站日志所反映的行为信息与所述历史网站日志所反映的常态化行为十目息之间的差别;
[0114]若所述差别大于预设门限值,则确定所述在特定时间段内获取的网站日志中存在与所述异常模型匹配成功的网站日志。
[0115]A3、根据A2所述的方法,所述方法还包括:
[0116]将检测到的所述明显攻击日志和/或所述隐蔽攻击日志从历史网站日志中删除。
[0117]A4、根据A2所述的方法,所述将在特定时间段内获取的网站日志与异常模型进行匹配,包括:
[0118]将在预设时间间隔内获取的网站日志与所述异常模型进行匹配。
[0119]A5、根据A2所述的方法,所述方法还包括:
[0120]若确定所述最新的网站日志为明显攻击日志,则触发所述异常模型,将获取的网站日志与所述异常模型进行匹配;
[0121]若获取的网站日志中存在与所述异常模型匹配成功的网站日志,则确定所述与所述异常模型匹配成功的网站日志为所述隐蔽攻击日志。
[0122]A6、根据A5所述的方法,所述将获取的网站日志与所述异常模型进行匹配,包括:
[0123]将当前确定的明显攻击日志与上一次确定的明显攻击日志之间的网站日志与所述异常模型进行匹配。
[0124]A7、根据A2所述的方法,若所述在特定时间段内获取的网站日志中不存在与所述异常模型匹配成功的网站日志,则所述方法还包括:
[0125]向所述云平台发送获取的所有网站日志,以便所述云平台根据其他网站的异常模型对所述所有网站日志进行检测;
[0126]接收所述云平台发送的检测结果,并根据所述检测结果对本网站的异常模型的参数进行修改。
[0127]AS、根据A7所述的方法,所述接收所述云平台发送的检测结果,包括:
[0128]接收所述云平台发送的检测结果以及对应网站的异常模型;
[0129]所述根据所述检测结果对本网站的异常模型的参数进行修改,包括:
[0130]根据检测出隐蔽攻击日志的异常模型的参数,对本网站的异常模型的参数进行修改。
[0131]A9、根据AS所述的方法,所述接收所述云平台发送的检测结果以及对应网站的异常模型,包括:
[0132]接收所述云平台发送的经同类异常模型检测的检测结果,以及对应的同类异常模型,所述同类异常模型为与本网站同类的其他网站所对应的异常模型。
[0133]A10、根据Al至A9中任一项所述的方法,所述异常模型的参数为根据预设专属配置分析策略设置的。
[0134]All、根据Al至A9中任一项所述的方法,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法进一步包括:
[0135]向所述网站服务器发送所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息。
[0136]B12、一种基于云的网站日志安全分析装置,所述装置包括:
[0137]获取单元,用于实时获取网站服务器侧记录的最新的网站日志;
[0138]匹配单元,用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配;
[0139]确定单元,用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时,确定所述最新的网站日志为明显攻击日志;
[0140]所述匹配单元,还用于将所述获取单元在特定时间段内获取的网站日志与异常模型进行匹配;
[0141]所述确定单元,还用于当所述匹配单元的匹配结果为所述在特定时间段内获取的网站日志中存在与所述异常模型匹配成功的网站日志时,确定所述与所述异常模型匹配成功的网站日志为隐蔽攻击日志;
[0142]上报单元,用于当检测到所述明显攻击日志和/或所述隐蔽攻击日志时,向云平台上报所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息,以便所述云平台对各个网站服务器的攻击信息进行统计与分析。
[0143]B13、根据B12所述的装置,所述匹配单元,包括:
[0144]比较模块,用于将所述在特定时间段内获取的网站日志与历史网站日志进行比较,分析所述在特定时间段内获取的网站日志所反映的行为信息与所述历史网站日志所反映的常态化行为信息之间的差别;
[0145]确定模块,用于当所述比较模块的比较结果为所述差别大于预设门限值时,确定所述在特定时间段内获取的网站日志中存在与所述异常模型匹配成功的网站日志。
[0146]B14、根据B13所述的装置,所述装置还包括:
[0147]删除单元,用于将检测到的所述明显攻击日志和/或所述隐蔽攻击日志从历史网站日志中删除。
[0148]B15、根据B13所述的装置,所述匹配单元,还用于将在预设时间间隔内获取的网站日志与所述异常模型进行匹配。
[0149]B16、根据B13所述的装置,所述匹配单元,还用于当所述确定单元确定所述最新的网站日志为明显攻击日志时,触发所述异常模型,将获取的网站日志与所述异常模型进行匹配;
[0150]所述确定单元,还用于当所述匹配单元的匹配结果为获取的网站日志中存在与所述异常模型匹配成功的网站日志时,确定所述与所述异常模型匹配成功的网站日志为所述隐蔽攻击日志。
[0151]B17、根据B16所述的装置,所述匹配单元,还用于将当前确定的明显攻击日志与上一次确定的明显攻击日志之间的网站日志与所述异常模型进行匹配。
[0152]B18、根据B13所述的装置,所述装置还包括:
[0153]第一发送单元,用于当所述匹配单元的匹配结果为所述在特定时间段内获取的网站日志中不存在与所述异常模型匹配成功的网站日志时,向所述云平台发送获取的所有网站日志,以便所述云平台根据其他网站的异常模型对所述所有网站日志进行检测;
[0154]接收单元,用于接收所述云平台发送的检测结果;
[0155]修改单元,用于根据所述接收单元接收的所述检测结果对本网站的异常模型的参数进行修改。
[0156]B19、根据B18所述的装置,所述接收单元,用于接收所述云平台发送的检测结果以及对应网站的异常模型;
[0157]所述修改单元,用于根据检测出隐蔽攻击日志的异常模型的参数,对本网站的异常模型的参数进行修改。
[0158]B20、根据B19所述的装置,所述接收单元,用于接收所述云平台发送的经同类异常模型检测的检测结果,以及对应的同类异常模型,所述同类异常模型为与本网站同类的其他网站所对应的异常模型。
[0159]B21、根据B12至B20中任一项所述的装置,所述匹配单元匹配的所述异常模型的参数为根据预设专属配置分析策略设置的。
[0160]B22、根据B12至B20中任一项所述的装置,所述装置还包括:
[0161]第二发送单元,用于当检测到所述明显攻击日志和/或所述隐蔽攻击日志时,向所述网站服务器发送所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息。
[0162]C23、一种基于云的网站日志安全分析系统,所述系统包括网关和云平台,其中所述网关包括如B12至B22中任一项所述的装置;
[0163]所述云平台,用于接收所述网关上报的明显攻击日志和/或隐蔽攻击日志的攻击信息,并对所述攻击信息进行统计与分析。
[0164]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0165]可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
[0166]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0167]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各