基于云的网站日志安全分析方法、装置和系统的制作方法
【技术领域】
[0001]本发明涉及互联网技术领域,特别是涉及一种基于云的网站日志安全分析方法、装置和系统。
【背景技术】
[0002]网站日志(也叫服务器日志)是记录网站服务器接收的访问请求以及运行时发生错误等各种原始信息的文件。网站管理员通过网站日志可以查看访问者的IPdnternetProtocol,网间协议)地址、访问时间、操作系统类型、浏览器类型、具体访问对象(页面)和访问成功与否等信息。因此,通过网站日志可以分析出访问者对网站服务器的攻击情况。
[0003]现有技术中的网站日志分析工具,可以针对指定路径下的网站日志进行分析,并作出分析报告。然而,通过网站日志分析工具虽然可以分析出攻击特征较明显的攻击日志,并能够确定攻击源,但是该攻击源对网站服务器进行的隐蔽攻击却无法分析出来。在这种情况下,网站管理员无法获知这些没有测出来的隐蔽攻击,从而无法对攻击源的后续攻击实现防御操作,进而使得网站服务器的安全问题无法得到保障。
【发明内容】
[0004]有鉴于此,本发明提供一种基于云的网站日志安全分析方法、装置和系统,能够检测出网站日志中存在的隐蔽攻击日志。
[0005]第一方面,本发明提供了一种基于云的网站日志安全分析方法,所述方法包括:
[0006]云平台实时获取当前网站服务器侧记录的最新的网站日志;
[0007]将所述最新的网站日志与强规则进行匹配;
[0008]若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击日志;
[0009]根据所述明显攻击日志确定攻击源;
[0010]查找所述攻击源访问所有网站服务器所产生的目标网站日志,并将所述目标网站日志与异常模型进行匹配;
[0011 ] 若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0012]第二方面,本发明提供了一种基于云的网站日志安全分析装置,所述装置包括:
[0013]获取单元,用于云平台实时获取当前网站服务器侧记录的最新的网站日志;
[0014]匹配单元,用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配;
[0015]确定单元,用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时,确定所述最新的网站日志为明显攻击日志;
[0016]所述确定单元,还用于根据所述明显攻击日志确定攻击源;
[0017]查找单元,用于查找所述确定单元确定的所述攻击源访问所有网站服务器所产生的目标网站日志;
[0018]所述匹配单元,用于将所述查找单元查找的所述目标网站日志与异常模型进行匹配;
[0019]所述确定单元,还用于当所述匹配单元的匹配结果为所述目标网站日志与所述异常模型匹配成功时,确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0020]第三方面,本发明提供了一种基于云的网站日志安全分析系统,所述系统包括云平台和网站服务器,其中所述云平台包括如第二方面所述的装置;
[0021]所述网站服务器,用于实时向所述云平台上报本地记录的最新的网站日志。
[0022]借由上述技术方案,本发明提供的基于云的网站日志安全分析方法、装置和系统,能够通过云平台将实时获取的最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志并找到攻击源,然后在所有网站服务器所产生的历史网站日志中查找对应攻击源的目标网站日志,并将其与异常模型进行匹配,确定匹配成功的目标网站日志为隐蔽攻击日志。与无法检测出隐蔽攻击的现有技术相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再对所有网站服务器产生的网站日志中对应攻击源的目标网站日志进行异常模型的检测,从而能够将攻击源对各个网站服务器所做的明显攻击和隐蔽攻击都检测出来,进而使得各个网站的网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0023]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0024]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0025]图1示出了本发明实施例提供的一种基于云的网站日志安全分析方法的流程图;
[0026]图2示出了本发明实施例提供的一种基于云的网站日志安全分析装置的组成框图;
[0027]图3示出了本发明实施例提供的另一种基于云的网站日志安全分析装置的组成框图;
[0028]图4示出了本发明实施例提供的一种基于云的网站日志安全分析系统的组成框图。
【具体实施方式】
[0029]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0030]本发明实施例提供了一种基于云的网站日志安全分析方法,如图1所示,该方法包括:
[0031]101、云平台实时获取当前网站服务器侧记录的最新的网站日志。
[0032]当外部访问网站服务器时,网站服务器侧会记录关于访问者的访问信息(如访问者的IPdnternet Protocol,网间协议)地址、访问时间、访问者所使用的浏览器类型等)以及网站服务器响应信息(如回复信息)的网站日志。随着访问者对网站服务器的的不断访问,网站服务器侧记录的网站日志也在不断更新。云平台可以实时获取各个网站服务器侧记录的最新的网站日志,并对获取的网站日志进行安全性分析。
[0033]本步骤中的当前网站服务器是指对应当前最新的网站日志的网站服务器。若当前只有一个网站服务器产生了新的网站日志,则当前网站服务器就是该网站服务器;若当前有至少两个网站服务器产生了新的网站日志,则当前网站服务器是该至少两个网站服务器。
[0034]102、将最新的网站日志与强规则进行匹配。
[0035]其中,强规则为硬性规定某条网站日志为攻击日志的规则。当前网站服务器侧每产生一条新的网站日志,云平台就获取该网站日志,并对其进行强规则的检测,以确定最新的网站日志是否为攻击日志,从而实现对当前网站服务器的实时安全性监控。
[0036]具体的,强规则可以包括攻击特征、攻击条件等。例如,某条网站日志中记录访问者向网站服务器发送了一个数据窃取请求,但是由于外部访问者没有获取网站服务器侧私密数据的权限,所以可以将请求窃取数据的特征归为攻击特征,强规则检测到该攻击特征,便会确定该网站日志与强规则匹配成功。
[0037]在步骤101中提到当前时刻可以有至少两个网站服务器产生新的网站日志,所以最新的网站日志是与当前时刻产生新网站日志的网站服务器的数量相同的。因此,若当前网站服务器的数量为至少两个,则云平台需要对至少两条最新的网站日志同时进行强规则的检测,以实现实时对各个网站服务器所产生的最新的网站日志进行安全性检测。
[0038]103、若最新的网站日志与强规则匹配成功,则确定最新的网站日志为明显攻击日
[0039]由于强规则为硬性规定某条网站日志为攻击日志的规则,所以当云平台将最新的网站日志与强规则进行匹配,并且匹配结果为成功时,可以确定该最新的网站日志为明显攻击日志。相应的,若匹配结果为不成功,则云平台可以确定该最新的网站日志不是明显攻击曰志。
[0040]示例性的,一条网站日志的内容包括访问者向网站服务器发送网站管理权限请求,强规则中包括网站管理权限,则该网站日志与强规则匹配成功,所以该网站日志为明显攻击日志。此外,另一条网站日志的内容包括访问者向网站服务器发送放大图片请求,强规则中没有相关内容,则该网站日志与强规则匹配不成功,所以该网站日志不是明显攻击日
)■'、O
[0041 ] 104、根据明显攻击日志确定攻击源。
[0042]由于网站日志中存储有访问者的IP地址、访问时间、操作系统类型、浏览器类型和具体访问对象(页面)等信息,所以云平台在确定明显攻击日志后,可以根据明显攻击日志中的各种信息确定攻击源。具体的,可以确定明显攻击日志中的IP地址为攻击源,也可以确定与操作系统类型、浏览器类型等均对应的IP地址为攻击源。
[0043]示例性的,明显攻击日志中存储有访问者的IP地址(如198.161.2.21)、浏览器类型(如IE浏览器第10版)、网站登录账号(如mmmmnnn)和密码(999888)等等,则云平台可以直接确定198.161.2.21为攻击源,也可以将满足浏览器类型为IE浏览器第10版、网站登录账号为mmmmnnn和密码为999888的网站日志所对应的IP地址确定为攻击源。
[0044]需要说明的是,在步骤102中提及最