网站日志安全分析方法、装置及网关的制作方法
网站日志安全分析方法、装置及网关的制作方法
【技术领域】
[0001]本发明涉及互联网技术领域,特别是涉及一种网站日志安全分析方法、装置及网关。
【背景技术】
[0002]网站日志(也叫服务器日志)是记录网站服务器接收的访问请求以及运行时发生错误等各种原始信息的文件。网站管理员通过网站日志可以查看访问者的IPdnternetProtocol,网间协议)地址、访问时间、操作系统类型、浏览器类型、具体访问对象(页面)和访问成功与否等信息。因此,通过网站日志可以分析出访问者对网站服务器的攻击情况。
[0003]现有技术中的网站日志分析工具,可以针对指定路径下的网站日志进行分析,并作出分析报告。然而,通过网站日志分析工具虽然可以分析出攻击特征较明显的攻击日志,并能够确定攻击源,但是该攻击源对网站服务器进行的隐蔽攻击却无法分析出来。在这种情况下,网站管理员无法获知这些没有测出来的隐蔽攻击,从而无法对攻击源的后续攻击实现防御操作,进而使得网站服务器的安全问题无法得到保障。
【发明内容】
[0004]有鉴于此,本发明提供一种网站日志安全分析方法、装置及网关,能够从网站日志中检测出隐蔽攻击日志。
[0005]第一方面,本发明提供了一种网站日志安全分析方法,所述方法包括:
[0006]实时获取网站服务器侧记录的最新的网站日志;
[0007]将所述最新的网站日志与强规则进行匹配;
[0008]若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击日志;
[0009]根据所述明显攻击日志确定攻击源;
[0010]在历史网站日志中查找对应所述攻击源的目标网站日志,并将所述目标网站日志与异常模型进行匹配;
[0011 ] 若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0012]第二方面,本发明提供了一种网站日志安全分析装置,所述装置包括:
[0013]获取单元,用于实时获取网站服务器侧记录的最新的网站日志;
[0014]匹配单元,用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配;
[0015]确定单元,用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时,确定所述最新的网站日志为明显攻击日志;
[0016]所述确定单元,还用于根据所述明显攻击日志确定攻击源;
[0017]查找单元,用于在历史网站日志中查找对应所述确定单元确定的所述攻击源的目标网站日志;
[0018]所述匹配单元,还用于将所述查找单元查找到的所述目标网站日志与异常模型进行匹配;
[0019]所述确定单元,还用于当所述匹配单元的匹配结果为所述目标网站日志与所述异常模型匹配成功时,确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0020]第三方面,本发明提供了一种网站日志安全分析网关,所述网关包括如第二方面所述的装置。
[0021]借由上述技术方案,本发明提供的网站日志安全分析方法、装置及网关,能够实时将最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志,并找到对应的攻击源,然后将历史网站日志中对应攻击源的目标网站日志与异常模型进行匹配,若匹配成功,则确定目标网站日志为隐蔽攻击日志。与现有技术中无法检测出隐蔽攻击相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再通过异常模型对对应攻击源的历史网站日志进行检测,从而能够将攻击源所做的明显攻击和隐蔽攻击都检测出来,进而使得网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0022]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0023]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0024]图1示出了本发明实施例提供的一种网站日志安全分析方法的流程图;
[0025]图2示出了本发明实施例提供的一种网站日志安全分析装置的组成框图;
[0026]图3示出了本发明实施例提供的另一种网站日志安全分析装置的组成框图。
【具体实施方式】
[0027]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0028]本发明实施例提供了一种网站日志安全分析方法,如图1所示,该方法包括:
[0029]101、实时获取网站服务器侧记录的最新的网站日志。
[0030]当外部访问网站服务器时,网站服务器侧会记录关于访问者的访问信息(如访问者的IPdnternet Protocol,网间协议)地址、访问时间、访问者所使用的浏览器类型等)以及网站服务器响应信息(如回复信息)的网站日志。随着访问者对网站服务器的的不断访问,网站服务器侧记录的网站日志也在不断更新。网关可以实时从网站服务器侧获取最新的网站日志,以便实时对网站日志进行安全性分析。其中,最新的网站日志为在网站服务器侧产生的一条最新的日志。
[0031]102、将最新的网站日志与强规则进行匹配。
[0032]其中,强规则为硬性规定某条网站日志为攻击日志的规则。网站服务器侧每产生一条新的网站日志,网关就获取该网站日志,并对其进行强规则的检测,以确定最新的网站日志是否为攻击日志,从而实现对网站服务器的实时安全性监控。
[0033]具体的,强规则可以包括攻击特征、攻击条件等。例如,某条网站日志中记录访问者向网站服务器发送了一个网站管理权限请求,但是由于外部访问者仅有访问网站服务器的权限,而没有管理网站服务器的权限,所以可以将请求网站管理权限的特征归为攻击特征,即由强规则确定其为攻击日志。
[0034]103、若最新的网站日志与强规则匹配成功,则确定最新的网站日志为明显攻击日
[0035]由于强规则为硬性规定某条网站日志为攻击日志的规则,所以当网关将最新的网站日志与强规则进行匹配,并且匹配结果为成功时,可以确定该最新的网站日志为明显攻击日志。相应的,若匹配结果为不成功,则网关可以确定该最新的网站日志不是明显攻击日
)■'、O
[0036]示例性的,一条网站日志的内容包括访问者向网站服务器发送窃取数据请求,强规则中包括窃取数据,则该网站日志与强规则匹配成功,所以该网站日志为明显攻击日志。此外,另一条网站日志的内容包括访问者向网站服务器发送进入网站下一页的请求,强规则中没有相关内容,则该网站日志与强规则匹配不成功,所以该网站日志不是明显攻击日
)■'、O
[0037]104、根据明显攻击日志确定攻击源。
[0038]由于网站日志中存储有访问者的IP地址、访问时间、操作系统类型、浏览器类型和具体访问对象(页面)等信息,所以网关在确定明显攻击日志后,可以根据明显攻击日志中的各种信息确定攻击源。具体的,可以确定明显攻击日志中的IP地址为攻击源,也可以确定与操作系统类型、浏览器类型等均对应的IP地址为攻击源。
[0039]示例性的,明显攻击日志中存储有访问者的IP地址(如198.161.1.1)、操作系统类型(如Wind0ws7系统)、浏览器类型(如IE浏览器第10版)、网站登录账号(如aaabbbccc)和密码(123456)等等,则网关可以直接确定198.161.1.1为攻击源,也可以将满足操作系统类型为Wind0ws7系统、浏览器类型为IE浏览器第10版、网站登录账户为aaabbbccc和密码为123456的网站日志对应的IP地址确定为攻击源。
[0040]105、在历史网站日志中查找对应攻击源的目标网站日志,并将目标网站日志与异常模型进行匹配。
[0041]在实际应用中,黑客们常常向网站服务器发送一些访问请求,其中对于每一条访问请求来说都是正常的访问,但是这些访问请求整体却对网站服务器造成了攻击。例如,一访问者每隔Is向网站服务器发送1000个进入网站下一页的请求,其中对于每一个请求都是进入网站下一页的正常请求,而每隔Is让网站服务器响应1000次请求,却使得网站服务器因响应频率过高而发生崩溃现象。因此,仅针对单条网站日志进行强规则的一对一匹配是不能确保可以将攻击源对网站服务器所做的所有攻击都检测出来的,需要在时间轴上纵向分析对应该攻击源的多条网站日志的关系与差别才可以将较隐蔽的攻击日志检测出来。
[0042]具 体的,历史网站日志为在最新的网站日志(即明显攻击日志)之前获取的网站日志。当确定攻击源之后,网关在历史网站日志中查找对应该攻击源的目标网站日志,并将目标网站日志与异常模型进行匹配,从而进一步确定攻击源是否对网站服务器进行过隐蔽攻击。
[0043]其中,异常模型的具体检测方式为:网关会分析每个目标网站日志所反映的行为信息与所有目标网站日志所反映的常态化行为信息之间的差别,若差别大于预设门限值,则确定对应的目标网站日志与异常模型匹配成功,若差别小于等于预设门限值,则确定对应的目标网站日志与异常模型匹配不成功。
[0044]示例性的,网关在历史网站日志中查找到10个目标网站日志,其中目标网站日志I中记录的网站服务器响应包的大小为10kb,目标网站日志2中记录的网站服务器响应包的大小为10.9kb,目标网站日志3中记录的网站服务器响应包的大小为10.5kb,目标网站日志4中记录的网站服务器响应包的大小为9.Skb,目标网站日志5中记录的网站服务器响应包的大小为1Mb,目标网站日志6中记录的网站服务器响应包的大小为12kb,目标网站日志7中记录的网站服务器响应包的大小为11.9kb,目标网站日志8中记录的网站服务器响应包的大小为14kb,目标网站日志9中记录的网站服务器响应包的大小为19.1kb,目标网站日志10中记录的网站服务器响应包的大小为17.6kb。由此可知,10个目标网站日志所反映的常态化行为信息为网站服务器响应包的大小一般在Ilkb左右,将每一个网站日志中的网站服务器响应包的大小与Ilkb进行比较,可知除了 IMb远大于Ilkb以外,其他均在Ilkb左右。若预设门限值为lOOkb,则lMb(1024kb)与Ilkb相差1013kb,因此对应IMb的目标网站日志5为与异常模型匹配成功的网站日志。
[0045]106、若目标网站日志与异常模型匹配成功,则确定对应攻击源的目标网站日志为隐蔽攻击日志。
[0046]在通过将目标网站日志与异常模型进行匹配之后,若得知匹配结果为成功,则网关可以确定对应攻击源的目标网站日志为隐蔽攻击日志;若得知匹配结果为不成功,则网关可以确定对应攻击源的目标网站日志不是隐蔽攻击日志。
[0047]例如,在步骤105的示例中,目标网站日志5与异常模型匹配成功,所以目标网站日志5为隐蔽攻击日志,而目标网站日志I至4、目标网站日志6至10与异常模型匹配不成功,所以目标网站日志I至4、目标网站日志6至10不是隐蔽攻击日志。
[0048]本发明实施例提供的网站日志安全分析方法,能够实时将最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志,并找到对应的攻击源,然后将历史网站日志中对应攻击源的目标网站日志与异常模型进行匹配,若匹配成功,则确定目标网站日志为隐蔽攻击日志。与现有技术中无法检测出隐蔽攻击相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再通过异常模型对对应攻击源的历史网站日志进行检测,从而能够将攻击源所做的明显攻击和隐蔽攻击都检测出来,进而使得网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0049]进一步的,上述步骤104中提及网关可以根据明显攻击日志确定攻击源,其具体实现方法为:网关需要在明显攻击日志中查找预设标识,并将对应预设标识的IP地址确定为攻击源。
[0050]具体的,预设标识可以为IP地址、UA(User Agent,用户代理)或者Cookie。其中,UA中通常包含浏览器类型、浏览器渲染引擎、操作系统类型等,Cookie中通常包含用户的账号和密码、访问网站的记录(如在什么时间访问了哪一页的哪一项内容等)等。
[0051]通常情况下,访问者会使用固定的IP地址访问网站服务器,因此预设标识可以为IP地址,由此网关可以确定IP地址为攻击源。然而,黑客们为了避免其所做的攻击被发现,往往使用不同的IP地址来对网站服务器进行攻击操作,因此直接将明显攻击日志中的IP地址确定为攻击源,往往只能找到多个IP地址对应的多个攻击源所做的攻击,却难以发现将这些IP地址对应的网站日志结合起来所隐藏的攻击。例如,黑客用第一个IP地址在10:00-10:02向网站服务器发送了 500个打开网站首页请求,用第二个IP地址在10:02-10:04向网站服务器发送了 500个打开网站首页请求,用第三个IP地址在10:04-10:06向网站服务器发送了 500个打开网站首页请求,用第四个IP地址在10:06-10:08向网站服务器发送了 500个打开网站首页请求,从一个IP地址分析得出均为正常请求,但是将所有IP地址连接起来分析却是个流量攻击。因此,为了进一步确定攻击源,可以采用如下方案:
[0052]在明显攻击日志中查找Cookie和/或UA,将对应Cookie和/或UA的IP地址确定为攻击源。
[0053]在实际应用中,Cookie包括账号、密码以及首次访问网站的访问记录等,而这些内容一般情况下是不会变的,所以预设标识可以为Cookie。网关在明显攻击日志中找到Cookie后,可以在历史网站日志中将Cookie内容与明显攻击日志的Cookie内容相同的Cookie所对应的IP地址确定为攻击源。
[0054]与Cookie相类似的,由于访问者使用同一台电脑来访问网站时,所使用的浏览器类型、操作系统、搜索引擎一般是不会变的,所以预设标识也可以为UA。网关在明显攻击日志中找到UA后,可以在历史网站日志中将UA内容与明显攻击日志的UA内容相同的UA所对应的IP地址确定为攻击源。
[0055]此外,在实际应用中,由于Cookie或者UA存在改变的可能,所以仅以Cookie或者UA作为确定攻击源的标识是有遗漏的,但是Cookie和UA同时改变一般是不存在的,因此,为了避免对应攻击源的网站日志查找遗漏,可以将Cookie和UA同时作为预设标识,由该预设标识对应的IP地址确定为攻击源。也就是说,凡是与明显攻击日志的Cookie相同的网站日志,或者与明显攻击日志的UA相同的网站日志,均为目标网站日志。
[0056]示例性的,在确定最新的网站日志为明显攻击日志后,可以从明显攻击日志中查找到对应的Cookie和UA’则在历史网站日志中分别查找与该Cookie或者该UA相同的网站日志,并对这些网站日志进行异常模型的检测。其中,查找到的网站日志有50个仅与明显攻击日志的Cookie相同的网站日志、20个仅与明显攻击日志的UA相同的网站日志以及15个与明显攻击日志的Cookie、UA均相同的网站日志。此时,网关对这85个网站日志进行安全性检测,以确定其中是否存在隐蔽攻击日志。
[0057]进一步的,由于在实际应用中,黑客们所写的恶意攻击代码中往往添加有周期性(或者其他时间规律)执行恶意攻击的代码,所以通过分析历史网站日志可以预测出未来某具体时间网站服务器将会受到某种攻击,若将该预测信息上报网站服务器,则网站管理员可以提前做好预防工作,从而可以使网站服务器的安全得到保障。
[0058]具体的,当网关检测到明显攻击日志和/或隐蔽攻击日志时,可以对对应明显攻击日志和/或隐蔽攻击日志的攻击信息进行统计与分析;根据分析结果可以预测攻击源未来将对网站服务器进行攻击的攻击行为信息,并向网站服务器上报攻击行为信息。
[0059]其中,攻击信息包括攻击源的IP地址、攻击类型、攻击时间、IP地址的归属地、攻击特征等等,当网关检测到攻击日志(显攻击日志和/或隐蔽攻击日志)后,可以对攻击日志的攻击信息中的攻击时间、攻击类型和攻击特征进行分析,查找相同攻击类型或者相同攻击特征在攻击时间上的规律,从而根据该规律预测未来该攻击源将对网站服务器进行攻击的攻击行为信息,并将其上报网站服务器。其中,攻击行为信息包括攻击时间、攻击类型和攻击源。当网站管理员获知在未来某一时刻或者某时间段内网站服务器将会受到攻击源对其的某种攻击时,网站管理员可以提前做好防御工作而使网站服务器免受攻击。
[0060]示例性的,一攻击源(IP地址为198.161.1.33)总是对网站服务器进行数据窃取攻击,即分别在2015年I月I日13:00、2015年2月I日13:00、2015年3月I日13:00、2015年4月I日13:00、2015年5月I日13:00对网站服务器进行了数据窃取攻击,通过分析可知IP地址为198.161.1.33的攻击源总是在每个月的I号下午I点对网站服务器进行数据窃取攻击。因此,可以预测该攻击源可能会在2015年6月I日13:00对网站服务器进行数据窃取攻击,从而将这个攻击行为信息告知网站服务器,进而网站管理员可以针对该攻击提前做防御工作,以使网站服务器的安全得到保障。
[0061]进一步的,为了提高检测攻击的效率,网关可以在预测出攻击行为信息后,基于该攻击行为信息对异常模型进行优化,以使异常模型的检测具有针对性,从而提高检测的效率。
[0062]具体的,网关对异常模型的优化可以包括确定启动异常模型的时间、确定需要检测的网站日志以及确定需要检测的攻击类型等。例如,网关预测的攻击行为信息为在20 15年6月I日14点50分41秒网站服务器将受到IP地址为198.161.1.21的一次流量攻击,则网关可以在2015年6月I日14点50分41秒或者在包含该时间点的一段时间内启动异常模型,并针对198.161.1.21的网站日志进行流量攻击的检测。
[0063]进一步的,为了使得网站管理员能够对攻击源的后续攻击实现防御操作,从而使得网站服务器的安全问题得到保障。在网关检测到攻击日志后,可以向网站服务器发送攻击日志的攻击信息,以便网站管理员针对攻击信息对攻击源做相应的处理,例如,对攻击源进行封境。
[0064]具体的,若网关检测到明显攻击日志和隐蔽攻击日志,则向网站服务器发送明显攻击日志和隐蔽攻击日志的攻击信息;若网关只检测到明显攻击日志或隐蔽攻击日志,则向网站服务器发送明显攻击日志或隐蔽攻击日志的攻击信息;若网关未检测到任何攻击日志,则无需向网站服务器发送任何信息。
[0065]需要说明的是,上述各个实施例中提及的异常模型的原始参数均可以为网站管理员根据预设专属配置分析策略设置的。其中,预设专属配置分析策略可以以选择项目、填写参数等形式供网站管理员选择和填写。例如,网站管理员可以选择查找流量攻击选项,之后填写对应的流量攻击阈值。
[0066]进一步的,依据上述方法实施例,本发明的另一个实施例还提供了一种网站日志安全分析装置,如图2所示,该装置包括:获取单元21、匹配单元22、确定单元23和查找单元24。其中,
[0067]获取单元21,用于实时获取网站服务器侧记录的最新的网站日志;
[0068]匹配单元22,用于将获取单元21获取的最新的网站日志与强规则进行匹配;
[0069]确定单元23,用于当匹配单元22的匹配结果为最新的网站日志与强规则匹配成功时,确定最新的网站日志为明显攻击日志;
[0070]确定单元23,还用于根据明显攻击日志确定攻击源;
[0071]查找单元24,用于在历史网站日志中查找对应确定单元23确定的攻击源的目标网站日志;
[0072]匹配单元22,还用于将查找单元24查找到的目标网站日志与异常模型进行匹配;
[0073]确定单元23,还用于当匹配单元22的匹配结果为目标网站日志与异常模型匹配成功时,确定对应攻击源的目标网站日志为隐蔽攻击日志。
[0074]进一步的,如图3所示,确定单元23,包括:
[0075]查找模块231,用于在明显攻击日志中查找预设标识;
[0076]确定模块232,用于将对应查找模块231查找的预设标识的网间协议IP地址确定为攻击源。
[0077]具体的,查找模块231,用于在明显攻击日志中查找Cookie和/或用户代理UA。
[0078]进一步的,如图3所示,该装置还包括:
[0079]分析单元25,用于当检测到明显攻击日志和/或隐蔽攻击日志时,对对应明显攻击日志和/或隐蔽攻击日志的攻击信息进行统计与分析;
[0080]预测单元26,用于根据分析单元25的分析结果预测攻击源未来将对网站服务器进行攻击的攻击行为信息,并向网站服务器上报攻击行为信息。
[0081]进一步的,如图3所示,该装置还包括:
[0082]优化单元27,用于基于预测单元26预测的攻击行为信息对异常模型进行优化。
[0083]进一步的,如图3所示,该装置还包括:
[0084]发送单元28,用于当检测到明显攻击日志和/或隐蔽攻击日志时,向网站服务器发送明显攻击日志和/或隐蔽攻击日志的攻击信息。
[0085]进一步的,匹配单元22匹配的异常模型为根据预设专属配置分析策略设置的。
[0086]本发明实施例提供的网站日志安全分析装置,能够实时将最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志,并找到对应的攻击源,然后将历史网站日志中对应攻击源的目标网站日志与异常模型进行匹配,若匹配成功,则确定目标网站日志为隐蔽攻击日志。与现有技术中无法检测出隐蔽攻击相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再通过异常模型对对应攻击源的历史网站日志进行检测,从而能够将攻击源所做的明显攻击和隐蔽攻击都检测出来,进而使得网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0087]进一步的,依据上述装置实施例,本发明的另一个实施例还提供了一种网站日志安全分析网关,该网关包括如图2或3所示的装置。
[0088]本发明实施例提供的网站日志安全分析网关,能够实时将最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志,并找到对应的攻击源,然后将历史网站日志中对应攻击源的目标网站日志与异常模型进行匹配,若匹配成功,则确定目标网站日志为隐蔽攻击日志。与现有技术中无法检测出隐蔽攻击相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再通过异常模型对对应攻击源的历史网站日志进行检测,从而能够将攻击源所做的明显攻击和隐蔽攻击都检测出来,进而使得网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0089]本发明的实施例公开了:
[0090]Al、一种网站日志安全分析方法,所述方法包括:
[0091]实时获取网站服务器侧记录的最新的网站日志;
[0092]将所述最新的网站日志与强规则进行匹配;
[0093]若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击日志;
[0094]根据所述明显攻击日志确定攻击源;
[0095]在历史网站日志中查找对应所述攻击源的目标网站日志,并将所述目标网站日志与异常模型进行匹配;
[0096]若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0097]A2、根据Al所述的方法,所述根据所述明显攻击日志确定攻击源,包括:
[0098]在所述明显攻击日志中查找预设标识;
[0099]将对应所述预设标识的网间协议IP地址确定为所述攻击源。
[0100]A3、根据A2所述的方法,所述在所述明显攻击日志中查找预设标识,包括:
[0101]在所述明显攻击日志中查找Cookie和/或用户代理UA。
[0102]A4、根据Al所述的方法,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法还包括:
[0103]对对应所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息进行统计与分析;
[0104]根据分析结果预测所述攻击源未来将对所述网站服务器进行攻击的攻击行为信息,并向所述网站服务器上报所述攻击行为信息。
[0105]A5、根据A4所述的方法,所述方法还包括:
[0106]基于所述攻击行为信息对所述异常模型进行优化。
[0107]A6、根据Al所述的方法,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法还包括:
[0108]向所述网站服务器发送所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息。
[0109]A7、根据Al至A6中任一项所述方法,所述异常模型为根据预设专属配置分析策略设置的。
[0110]B8、一种网站日志安全分析装置,所述装置包括:
[0111]获取单元,用于实时获取网站服务器侧记录的最新的网站日志;
[0112]匹配单元,用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配;
[0113]确定单元,用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时,确定所述最新的网站日志为明显攻击日志;
[0114]所述确定单元,还用于根据所述明显攻击日志确定攻击源;
[0115]查找单元,用于在历史网站日志中查找对应所述确定单元确定的所述攻击源的目标网站日志;
[0116]所述匹配单元,还用于将所述查找单元查找到的所述目标网站日志与异常模型进行匹配;
[0117]所述确定单元,还用于当所述匹配单元的匹配结果为所述目标网站日志与所述异常模型匹配成功时,确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0118]B9、根据B8所述的装置,所述确定单元,包括:
[0119]查找模块,用于在所述明显攻击日志中查找预设标识;
[0120]确定模块,用于将对应所述查找模块查找的所述预设标识的网间协议IP地址确定为所述攻击源。
[0121]B10、根据B9所述的装置,所述查找模块,用于在所述明显攻击日志中查找Cookie和/或用户代理UA。
[0122]BI 1、根据B8所述的装置,所述装置还包括:
[0123]分析单元,用于当检测到所述明显攻击日志和/或所述隐蔽攻击日志时,对对应所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息进行统计与分析;
[0124]预测单元,用于根据所述 分析单元的分析结果预测所述攻击源未来将对所述网站服务器进行攻击的攻击行为信息,并向所述网站服务器上报所述攻击行为信息。
[0125]B12、根据Bll所述的装置,所述装置还包括:
[0126]优化单元,用于基于所述预测单元预测的所述攻击行为信息对所述异常模型进行优化。
[0127]B13、根据B8所述的装置,所述装置还包括:
[0128]发送单元,用于当检测到所述明显攻击日志和/或所述隐蔽攻击日志时,向所述网站服务器发送所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息。
[0129]B14、根据B8至B13中任一项所述的装置,所述匹配单元匹配的所述异常模型为根据预设专属配置分析策略设置的。
[0130]C15、一种网站日志安全分析网关,所述网关包括如B8至B14中任一项所述的装置。
[0131]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0132]可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
[0133]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0134]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0135]在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
[0136]类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】,其中每个权利要求本身都作为本发明的单独实施例。
[0137]本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0138]此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0139]本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的随身电子防丢设备的状态检测方法、设备、服务器及系统设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)O这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
[0140]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
【主权项】
1.一种网站日志安全分析方法,其特征在于,所述方法包括: 实时获取网站服务器侧记录的最新的网站日志; 将所述最新的网站日志与强规则进行匹配; 若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击曰志; 根据所述明显攻击日志确定攻击源; 在历史网站日志中查找对应所述攻击源的目标网站日志,并将所述目标网站日志与异常模型进行匹配; 若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。2.根据权利要求1所述的方法,其特征在于,所述根据所述明显攻击日志确定攻击源,包括: 在所述明显攻击日志中查找预设标识; 将对应所述预设标识的网间协议IP地址确定为所述攻击源。3.根据权利要求2所述的方法,其特征在于,所述在所述明显攻击日志中查找预设标识,包括: 在所述明显攻击日志中查找Cookie和/或用户代理UA。4.根据权利要求1所述的方法,其特征在于,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法还包括: 对对应所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息进行统计与分析; 根据分析结果预测所述攻击源未来将对所述网站服务器进行攻击的攻击行为信息,并向所述网站服务器上报所述攻击行为信息。5.根据权利要求4所述的方法,其特征在于,所述方法还包括: 基于所述攻击行为信息对所述异常模型进行优化。6.根据权利要求1所述的方法,其特征在于,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法还包括: 向所述网站服务器发送所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息。7.根据权利要求1至6中任一项所述方法,其特征在于,所述异常模型为根据预设专属配置分析策略设置的。8.—种网站日志安全分析装置,其特征在于,所述装置包括: 获取单元,用于实时获取网站服务器侧记录的最新的网站日志; 匹配单元,用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配; 确定单元,用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时,确定所述最新的网站日志为明显攻击日志; 所述确定单元,还用于根据所述明显攻击日志确定攻击源; 查找单元,用于在历史网站日志中查找对应所述确定单元确定的所述攻击源的目标网站日志; 所述匹配单元,还用于将所述查找单元查找到的所述目标网站日志与异常模型进行匹配; 所述确定单元,还用于当所述匹配单元的匹配结果为所述目标网站日志与所述异常模型匹配成功时,确定对应所述攻击源的目标网站日志为隐蔽攻击日志。9.根据权利要求8所述的装置,其特征在于,所述确定单元,包括: 查找模块,用于在所述明显攻击日志中查找预设标识; 确定模块,用于将对应所述查找模块查找的所述预设标识的网间协议IP地址确定为所述攻击源。10.一种网站日志安全分析网关,其特征在于,所述网关包括如权利要求8至9中任一项所述的装置。
【专利摘要】本发明公开了一种网站日志安全分析方法、装置及网关,涉及互联网技术领域,能够从网站日志中检测出隐蔽攻击日志。本发明的方法包括:实时获取网站服务器侧记录的最新的网站日志;将所述最新的网站日志与强规则进行匹配;若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击日志;根据所述明显攻击日志确定攻击源;在历史网站日志中查找对应所述攻击源的目标网站日志,并将所述目标网站日志与异常模型进行匹配;若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。本发明适用于网关对网站日志分析的场景中。
【IPC分类】H04L29/06, H04L12/66
【公开号】CN104901975
【申请号】CN201510375393
【发明人】王鹏, 董方, 何鑫鑫
【申请人】北京奇虎科技有限公司
【公开日】2015年9月9日
【申请日】2015年6月30日
【技术领域】
[0001]本发明涉及互联网技术领域,特别是涉及一种网站日志安全分析方法、装置及网关。
【背景技术】
[0002]网站日志(也叫服务器日志)是记录网站服务器接收的访问请求以及运行时发生错误等各种原始信息的文件。网站管理员通过网站日志可以查看访问者的IPdnternetProtocol,网间协议)地址、访问时间、操作系统类型、浏览器类型、具体访问对象(页面)和访问成功与否等信息。因此,通过网站日志可以分析出访问者对网站服务器的攻击情况。
[0003]现有技术中的网站日志分析工具,可以针对指定路径下的网站日志进行分析,并作出分析报告。然而,通过网站日志分析工具虽然可以分析出攻击特征较明显的攻击日志,并能够确定攻击源,但是该攻击源对网站服务器进行的隐蔽攻击却无法分析出来。在这种情况下,网站管理员无法获知这些没有测出来的隐蔽攻击,从而无法对攻击源的后续攻击实现防御操作,进而使得网站服务器的安全问题无法得到保障。
【发明内容】
[0004]有鉴于此,本发明提供一种网站日志安全分析方法、装置及网关,能够从网站日志中检测出隐蔽攻击日志。
[0005]第一方面,本发明提供了一种网站日志安全分析方法,所述方法包括:
[0006]实时获取网站服务器侧记录的最新的网站日志;
[0007]将所述最新的网站日志与强规则进行匹配;
[0008]若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击日志;
[0009]根据所述明显攻击日志确定攻击源;
[0010]在历史网站日志中查找对应所述攻击源的目标网站日志,并将所述目标网站日志与异常模型进行匹配;
[0011 ] 若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0012]第二方面,本发明提供了一种网站日志安全分析装置,所述装置包括:
[0013]获取单元,用于实时获取网站服务器侧记录的最新的网站日志;
[0014]匹配单元,用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配;
[0015]确定单元,用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时,确定所述最新的网站日志为明显攻击日志;
[0016]所述确定单元,还用于根据所述明显攻击日志确定攻击源;
[0017]查找单元,用于在历史网站日志中查找对应所述确定单元确定的所述攻击源的目标网站日志;
[0018]所述匹配单元,还用于将所述查找单元查找到的所述目标网站日志与异常模型进行匹配;
[0019]所述确定单元,还用于当所述匹配单元的匹配结果为所述目标网站日志与所述异常模型匹配成功时,确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0020]第三方面,本发明提供了一种网站日志安全分析网关,所述网关包括如第二方面所述的装置。
[0021]借由上述技术方案,本发明提供的网站日志安全分析方法、装置及网关,能够实时将最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志,并找到对应的攻击源,然后将历史网站日志中对应攻击源的目标网站日志与异常模型进行匹配,若匹配成功,则确定目标网站日志为隐蔽攻击日志。与现有技术中无法检测出隐蔽攻击相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再通过异常模型对对应攻击源的历史网站日志进行检测,从而能够将攻击源所做的明显攻击和隐蔽攻击都检测出来,进而使得网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0022]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【附图说明】
[0023]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0024]图1示出了本发明实施例提供的一种网站日志安全分析方法的流程图;
[0025]图2示出了本发明实施例提供的一种网站日志安全分析装置的组成框图;
[0026]图3示出了本发明实施例提供的另一种网站日志安全分析装置的组成框图。
【具体实施方式】
[0027]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0028]本发明实施例提供了一种网站日志安全分析方法,如图1所示,该方法包括:
[0029]101、实时获取网站服务器侧记录的最新的网站日志。
[0030]当外部访问网站服务器时,网站服务器侧会记录关于访问者的访问信息(如访问者的IPdnternet Protocol,网间协议)地址、访问时间、访问者所使用的浏览器类型等)以及网站服务器响应信息(如回复信息)的网站日志。随着访问者对网站服务器的的不断访问,网站服务器侧记录的网站日志也在不断更新。网关可以实时从网站服务器侧获取最新的网站日志,以便实时对网站日志进行安全性分析。其中,最新的网站日志为在网站服务器侧产生的一条最新的日志。
[0031]102、将最新的网站日志与强规则进行匹配。
[0032]其中,强规则为硬性规定某条网站日志为攻击日志的规则。网站服务器侧每产生一条新的网站日志,网关就获取该网站日志,并对其进行强规则的检测,以确定最新的网站日志是否为攻击日志,从而实现对网站服务器的实时安全性监控。
[0033]具体的,强规则可以包括攻击特征、攻击条件等。例如,某条网站日志中记录访问者向网站服务器发送了一个网站管理权限请求,但是由于外部访问者仅有访问网站服务器的权限,而没有管理网站服务器的权限,所以可以将请求网站管理权限的特征归为攻击特征,即由强规则确定其为攻击日志。
[0034]103、若最新的网站日志与强规则匹配成功,则确定最新的网站日志为明显攻击日
[0035]由于强规则为硬性规定某条网站日志为攻击日志的规则,所以当网关将最新的网站日志与强规则进行匹配,并且匹配结果为成功时,可以确定该最新的网站日志为明显攻击日志。相应的,若匹配结果为不成功,则网关可以确定该最新的网站日志不是明显攻击日
)■'、O
[0036]示例性的,一条网站日志的内容包括访问者向网站服务器发送窃取数据请求,强规则中包括窃取数据,则该网站日志与强规则匹配成功,所以该网站日志为明显攻击日志。此外,另一条网站日志的内容包括访问者向网站服务器发送进入网站下一页的请求,强规则中没有相关内容,则该网站日志与强规则匹配不成功,所以该网站日志不是明显攻击日
)■'、O
[0037]104、根据明显攻击日志确定攻击源。
[0038]由于网站日志中存储有访问者的IP地址、访问时间、操作系统类型、浏览器类型和具体访问对象(页面)等信息,所以网关在确定明显攻击日志后,可以根据明显攻击日志中的各种信息确定攻击源。具体的,可以确定明显攻击日志中的IP地址为攻击源,也可以确定与操作系统类型、浏览器类型等均对应的IP地址为攻击源。
[0039]示例性的,明显攻击日志中存储有访问者的IP地址(如198.161.1.1)、操作系统类型(如Wind0ws7系统)、浏览器类型(如IE浏览器第10版)、网站登录账号(如aaabbbccc)和密码(123456)等等,则网关可以直接确定198.161.1.1为攻击源,也可以将满足操作系统类型为Wind0ws7系统、浏览器类型为IE浏览器第10版、网站登录账户为aaabbbccc和密码为123456的网站日志对应的IP地址确定为攻击源。
[0040]105、在历史网站日志中查找对应攻击源的目标网站日志,并将目标网站日志与异常模型进行匹配。
[0041]在实际应用中,黑客们常常向网站服务器发送一些访问请求,其中对于每一条访问请求来说都是正常的访问,但是这些访问请求整体却对网站服务器造成了攻击。例如,一访问者每隔Is向网站服务器发送1000个进入网站下一页的请求,其中对于每一个请求都是进入网站下一页的正常请求,而每隔Is让网站服务器响应1000次请求,却使得网站服务器因响应频率过高而发生崩溃现象。因此,仅针对单条网站日志进行强规则的一对一匹配是不能确保可以将攻击源对网站服务器所做的所有攻击都检测出来的,需要在时间轴上纵向分析对应该攻击源的多条网站日志的关系与差别才可以将较隐蔽的攻击日志检测出来。
[0042]具 体的,历史网站日志为在最新的网站日志(即明显攻击日志)之前获取的网站日志。当确定攻击源之后,网关在历史网站日志中查找对应该攻击源的目标网站日志,并将目标网站日志与异常模型进行匹配,从而进一步确定攻击源是否对网站服务器进行过隐蔽攻击。
[0043]其中,异常模型的具体检测方式为:网关会分析每个目标网站日志所反映的行为信息与所有目标网站日志所反映的常态化行为信息之间的差别,若差别大于预设门限值,则确定对应的目标网站日志与异常模型匹配成功,若差别小于等于预设门限值,则确定对应的目标网站日志与异常模型匹配不成功。
[0044]示例性的,网关在历史网站日志中查找到10个目标网站日志,其中目标网站日志I中记录的网站服务器响应包的大小为10kb,目标网站日志2中记录的网站服务器响应包的大小为10.9kb,目标网站日志3中记录的网站服务器响应包的大小为10.5kb,目标网站日志4中记录的网站服务器响应包的大小为9.Skb,目标网站日志5中记录的网站服务器响应包的大小为1Mb,目标网站日志6中记录的网站服务器响应包的大小为12kb,目标网站日志7中记录的网站服务器响应包的大小为11.9kb,目标网站日志8中记录的网站服务器响应包的大小为14kb,目标网站日志9中记录的网站服务器响应包的大小为19.1kb,目标网站日志10中记录的网站服务器响应包的大小为17.6kb。由此可知,10个目标网站日志所反映的常态化行为信息为网站服务器响应包的大小一般在Ilkb左右,将每一个网站日志中的网站服务器响应包的大小与Ilkb进行比较,可知除了 IMb远大于Ilkb以外,其他均在Ilkb左右。若预设门限值为lOOkb,则lMb(1024kb)与Ilkb相差1013kb,因此对应IMb的目标网站日志5为与异常模型匹配成功的网站日志。
[0045]106、若目标网站日志与异常模型匹配成功,则确定对应攻击源的目标网站日志为隐蔽攻击日志。
[0046]在通过将目标网站日志与异常模型进行匹配之后,若得知匹配结果为成功,则网关可以确定对应攻击源的目标网站日志为隐蔽攻击日志;若得知匹配结果为不成功,则网关可以确定对应攻击源的目标网站日志不是隐蔽攻击日志。
[0047]例如,在步骤105的示例中,目标网站日志5与异常模型匹配成功,所以目标网站日志5为隐蔽攻击日志,而目标网站日志I至4、目标网站日志6至10与异常模型匹配不成功,所以目标网站日志I至4、目标网站日志6至10不是隐蔽攻击日志。
[0048]本发明实施例提供的网站日志安全分析方法,能够实时将最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志,并找到对应的攻击源,然后将历史网站日志中对应攻击源的目标网站日志与异常模型进行匹配,若匹配成功,则确定目标网站日志为隐蔽攻击日志。与现有技术中无法检测出隐蔽攻击相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再通过异常模型对对应攻击源的历史网站日志进行检测,从而能够将攻击源所做的明显攻击和隐蔽攻击都检测出来,进而使得网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0049]进一步的,上述步骤104中提及网关可以根据明显攻击日志确定攻击源,其具体实现方法为:网关需要在明显攻击日志中查找预设标识,并将对应预设标识的IP地址确定为攻击源。
[0050]具体的,预设标识可以为IP地址、UA(User Agent,用户代理)或者Cookie。其中,UA中通常包含浏览器类型、浏览器渲染引擎、操作系统类型等,Cookie中通常包含用户的账号和密码、访问网站的记录(如在什么时间访问了哪一页的哪一项内容等)等。
[0051]通常情况下,访问者会使用固定的IP地址访问网站服务器,因此预设标识可以为IP地址,由此网关可以确定IP地址为攻击源。然而,黑客们为了避免其所做的攻击被发现,往往使用不同的IP地址来对网站服务器进行攻击操作,因此直接将明显攻击日志中的IP地址确定为攻击源,往往只能找到多个IP地址对应的多个攻击源所做的攻击,却难以发现将这些IP地址对应的网站日志结合起来所隐藏的攻击。例如,黑客用第一个IP地址在10:00-10:02向网站服务器发送了 500个打开网站首页请求,用第二个IP地址在10:02-10:04向网站服务器发送了 500个打开网站首页请求,用第三个IP地址在10:04-10:06向网站服务器发送了 500个打开网站首页请求,用第四个IP地址在10:06-10:08向网站服务器发送了 500个打开网站首页请求,从一个IP地址分析得出均为正常请求,但是将所有IP地址连接起来分析却是个流量攻击。因此,为了进一步确定攻击源,可以采用如下方案:
[0052]在明显攻击日志中查找Cookie和/或UA,将对应Cookie和/或UA的IP地址确定为攻击源。
[0053]在实际应用中,Cookie包括账号、密码以及首次访问网站的访问记录等,而这些内容一般情况下是不会变的,所以预设标识可以为Cookie。网关在明显攻击日志中找到Cookie后,可以在历史网站日志中将Cookie内容与明显攻击日志的Cookie内容相同的Cookie所对应的IP地址确定为攻击源。
[0054]与Cookie相类似的,由于访问者使用同一台电脑来访问网站时,所使用的浏览器类型、操作系统、搜索引擎一般是不会变的,所以预设标识也可以为UA。网关在明显攻击日志中找到UA后,可以在历史网站日志中将UA内容与明显攻击日志的UA内容相同的UA所对应的IP地址确定为攻击源。
[0055]此外,在实际应用中,由于Cookie或者UA存在改变的可能,所以仅以Cookie或者UA作为确定攻击源的标识是有遗漏的,但是Cookie和UA同时改变一般是不存在的,因此,为了避免对应攻击源的网站日志查找遗漏,可以将Cookie和UA同时作为预设标识,由该预设标识对应的IP地址确定为攻击源。也就是说,凡是与明显攻击日志的Cookie相同的网站日志,或者与明显攻击日志的UA相同的网站日志,均为目标网站日志。
[0056]示例性的,在确定最新的网站日志为明显攻击日志后,可以从明显攻击日志中查找到对应的Cookie和UA’则在历史网站日志中分别查找与该Cookie或者该UA相同的网站日志,并对这些网站日志进行异常模型的检测。其中,查找到的网站日志有50个仅与明显攻击日志的Cookie相同的网站日志、20个仅与明显攻击日志的UA相同的网站日志以及15个与明显攻击日志的Cookie、UA均相同的网站日志。此时,网关对这85个网站日志进行安全性检测,以确定其中是否存在隐蔽攻击日志。
[0057]进一步的,由于在实际应用中,黑客们所写的恶意攻击代码中往往添加有周期性(或者其他时间规律)执行恶意攻击的代码,所以通过分析历史网站日志可以预测出未来某具体时间网站服务器将会受到某种攻击,若将该预测信息上报网站服务器,则网站管理员可以提前做好预防工作,从而可以使网站服务器的安全得到保障。
[0058]具体的,当网关检测到明显攻击日志和/或隐蔽攻击日志时,可以对对应明显攻击日志和/或隐蔽攻击日志的攻击信息进行统计与分析;根据分析结果可以预测攻击源未来将对网站服务器进行攻击的攻击行为信息,并向网站服务器上报攻击行为信息。
[0059]其中,攻击信息包括攻击源的IP地址、攻击类型、攻击时间、IP地址的归属地、攻击特征等等,当网关检测到攻击日志(显攻击日志和/或隐蔽攻击日志)后,可以对攻击日志的攻击信息中的攻击时间、攻击类型和攻击特征进行分析,查找相同攻击类型或者相同攻击特征在攻击时间上的规律,从而根据该规律预测未来该攻击源将对网站服务器进行攻击的攻击行为信息,并将其上报网站服务器。其中,攻击行为信息包括攻击时间、攻击类型和攻击源。当网站管理员获知在未来某一时刻或者某时间段内网站服务器将会受到攻击源对其的某种攻击时,网站管理员可以提前做好防御工作而使网站服务器免受攻击。
[0060]示例性的,一攻击源(IP地址为198.161.1.33)总是对网站服务器进行数据窃取攻击,即分别在2015年I月I日13:00、2015年2月I日13:00、2015年3月I日13:00、2015年4月I日13:00、2015年5月I日13:00对网站服务器进行了数据窃取攻击,通过分析可知IP地址为198.161.1.33的攻击源总是在每个月的I号下午I点对网站服务器进行数据窃取攻击。因此,可以预测该攻击源可能会在2015年6月I日13:00对网站服务器进行数据窃取攻击,从而将这个攻击行为信息告知网站服务器,进而网站管理员可以针对该攻击提前做防御工作,以使网站服务器的安全得到保障。
[0061]进一步的,为了提高检测攻击的效率,网关可以在预测出攻击行为信息后,基于该攻击行为信息对异常模型进行优化,以使异常模型的检测具有针对性,从而提高检测的效率。
[0062]具体的,网关对异常模型的优化可以包括确定启动异常模型的时间、确定需要检测的网站日志以及确定需要检测的攻击类型等。例如,网关预测的攻击行为信息为在20 15年6月I日14点50分41秒网站服务器将受到IP地址为198.161.1.21的一次流量攻击,则网关可以在2015年6月I日14点50分41秒或者在包含该时间点的一段时间内启动异常模型,并针对198.161.1.21的网站日志进行流量攻击的检测。
[0063]进一步的,为了使得网站管理员能够对攻击源的后续攻击实现防御操作,从而使得网站服务器的安全问题得到保障。在网关检测到攻击日志后,可以向网站服务器发送攻击日志的攻击信息,以便网站管理员针对攻击信息对攻击源做相应的处理,例如,对攻击源进行封境。
[0064]具体的,若网关检测到明显攻击日志和隐蔽攻击日志,则向网站服务器发送明显攻击日志和隐蔽攻击日志的攻击信息;若网关只检测到明显攻击日志或隐蔽攻击日志,则向网站服务器发送明显攻击日志或隐蔽攻击日志的攻击信息;若网关未检测到任何攻击日志,则无需向网站服务器发送任何信息。
[0065]需要说明的是,上述各个实施例中提及的异常模型的原始参数均可以为网站管理员根据预设专属配置分析策略设置的。其中,预设专属配置分析策略可以以选择项目、填写参数等形式供网站管理员选择和填写。例如,网站管理员可以选择查找流量攻击选项,之后填写对应的流量攻击阈值。
[0066]进一步的,依据上述方法实施例,本发明的另一个实施例还提供了一种网站日志安全分析装置,如图2所示,该装置包括:获取单元21、匹配单元22、确定单元23和查找单元24。其中,
[0067]获取单元21,用于实时获取网站服务器侧记录的最新的网站日志;
[0068]匹配单元22,用于将获取单元21获取的最新的网站日志与强规则进行匹配;
[0069]确定单元23,用于当匹配单元22的匹配结果为最新的网站日志与强规则匹配成功时,确定最新的网站日志为明显攻击日志;
[0070]确定单元23,还用于根据明显攻击日志确定攻击源;
[0071]查找单元24,用于在历史网站日志中查找对应确定单元23确定的攻击源的目标网站日志;
[0072]匹配单元22,还用于将查找单元24查找到的目标网站日志与异常模型进行匹配;
[0073]确定单元23,还用于当匹配单元22的匹配结果为目标网站日志与异常模型匹配成功时,确定对应攻击源的目标网站日志为隐蔽攻击日志。
[0074]进一步的,如图3所示,确定单元23,包括:
[0075]查找模块231,用于在明显攻击日志中查找预设标识;
[0076]确定模块232,用于将对应查找模块231查找的预设标识的网间协议IP地址确定为攻击源。
[0077]具体的,查找模块231,用于在明显攻击日志中查找Cookie和/或用户代理UA。
[0078]进一步的,如图3所示,该装置还包括:
[0079]分析单元25,用于当检测到明显攻击日志和/或隐蔽攻击日志时,对对应明显攻击日志和/或隐蔽攻击日志的攻击信息进行统计与分析;
[0080]预测单元26,用于根据分析单元25的分析结果预测攻击源未来将对网站服务器进行攻击的攻击行为信息,并向网站服务器上报攻击行为信息。
[0081]进一步的,如图3所示,该装置还包括:
[0082]优化单元27,用于基于预测单元26预测的攻击行为信息对异常模型进行优化。
[0083]进一步的,如图3所示,该装置还包括:
[0084]发送单元28,用于当检测到明显攻击日志和/或隐蔽攻击日志时,向网站服务器发送明显攻击日志和/或隐蔽攻击日志的攻击信息。
[0085]进一步的,匹配单元22匹配的异常模型为根据预设专属配置分析策略设置的。
[0086]本发明实施例提供的网站日志安全分析装置,能够实时将最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志,并找到对应的攻击源,然后将历史网站日志中对应攻击源的目标网站日志与异常模型进行匹配,若匹配成功,则确定目标网站日志为隐蔽攻击日志。与现有技术中无法检测出隐蔽攻击相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再通过异常模型对对应攻击源的历史网站日志进行检测,从而能够将攻击源所做的明显攻击和隐蔽攻击都检测出来,进而使得网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0087]进一步的,依据上述装置实施例,本发明的另一个实施例还提供了一种网站日志安全分析网关,该网关包括如图2或3所示的装置。
[0088]本发明实施例提供的网站日志安全分析网关,能够实时将最新的网站日志与强规则进行匹配,将匹配成功的最新的网站日志确定为明显攻击日志,并找到对应的攻击源,然后将历史网站日志中对应攻击源的目标网站日志与异常模型进行匹配,若匹配成功,则确定目标网站日志为隐蔽攻击日志。与现有技术中无法检测出隐蔽攻击相比,本发明先通过强规则的检测找到明显攻击日志以及对应的攻击源,再通过异常模型对对应攻击源的历史网站日志进行检测,从而能够将攻击源所做的明显攻击和隐蔽攻击都检测出来,进而使得网站管理员能够及时对攻击源采取防御操作,以保证网站服务器的安全。
[0089]本发明的实施例公开了:
[0090]Al、一种网站日志安全分析方法,所述方法包括:
[0091]实时获取网站服务器侧记录的最新的网站日志;
[0092]将所述最新的网站日志与强规则进行匹配;
[0093]若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击日志;
[0094]根据所述明显攻击日志确定攻击源;
[0095]在历史网站日志中查找对应所述攻击源的目标网站日志,并将所述目标网站日志与异常模型进行匹配;
[0096]若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0097]A2、根据Al所述的方法,所述根据所述明显攻击日志确定攻击源,包括:
[0098]在所述明显攻击日志中查找预设标识;
[0099]将对应所述预设标识的网间协议IP地址确定为所述攻击源。
[0100]A3、根据A2所述的方法,所述在所述明显攻击日志中查找预设标识,包括:
[0101]在所述明显攻击日志中查找Cookie和/或用户代理UA。
[0102]A4、根据Al所述的方法,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法还包括:
[0103]对对应所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息进行统计与分析;
[0104]根据分析结果预测所述攻击源未来将对所述网站服务器进行攻击的攻击行为信息,并向所述网站服务器上报所述攻击行为信息。
[0105]A5、根据A4所述的方法,所述方法还包括:
[0106]基于所述攻击行为信息对所述异常模型进行优化。
[0107]A6、根据Al所述的方法,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法还包括:
[0108]向所述网站服务器发送所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息。
[0109]A7、根据Al至A6中任一项所述方法,所述异常模型为根据预设专属配置分析策略设置的。
[0110]B8、一种网站日志安全分析装置,所述装置包括:
[0111]获取单元,用于实时获取网站服务器侧记录的最新的网站日志;
[0112]匹配单元,用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配;
[0113]确定单元,用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时,确定所述最新的网站日志为明显攻击日志;
[0114]所述确定单元,还用于根据所述明显攻击日志确定攻击源;
[0115]查找单元,用于在历史网站日志中查找对应所述确定单元确定的所述攻击源的目标网站日志;
[0116]所述匹配单元,还用于将所述查找单元查找到的所述目标网站日志与异常模型进行匹配;
[0117]所述确定单元,还用于当所述匹配单元的匹配结果为所述目标网站日志与所述异常模型匹配成功时,确定对应所述攻击源的目标网站日志为隐蔽攻击日志。
[0118]B9、根据B8所述的装置,所述确定单元,包括:
[0119]查找模块,用于在所述明显攻击日志中查找预设标识;
[0120]确定模块,用于将对应所述查找模块查找的所述预设标识的网间协议IP地址确定为所述攻击源。
[0121]B10、根据B9所述的装置,所述查找模块,用于在所述明显攻击日志中查找Cookie和/或用户代理UA。
[0122]BI 1、根据B8所述的装置,所述装置还包括:
[0123]分析单元,用于当检测到所述明显攻击日志和/或所述隐蔽攻击日志时,对对应所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息进行统计与分析;
[0124]预测单元,用于根据所述 分析单元的分析结果预测所述攻击源未来将对所述网站服务器进行攻击的攻击行为信息,并向所述网站服务器上报所述攻击行为信息。
[0125]B12、根据Bll所述的装置,所述装置还包括:
[0126]优化单元,用于基于所述预测单元预测的所述攻击行为信息对所述异常模型进行优化。
[0127]B13、根据B8所述的装置,所述装置还包括:
[0128]发送单元,用于当检测到所述明显攻击日志和/或所述隐蔽攻击日志时,向所述网站服务器发送所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息。
[0129]B14、根据B8至B13中任一项所述的装置,所述匹配单元匹配的所述异常模型为根据预设专属配置分析策略设置的。
[0130]C15、一种网站日志安全分析网关,所述网关包括如B8至B14中任一项所述的装置。
[0131]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0132]可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
[0133]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0134]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0135]在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
[0136]类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】,其中每个权利要求本身都作为本发明的单独实施例。
[0137]本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0138]此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0139]本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的随身电子防丢设备的状态检测方法、设备、服务器及系统设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)O这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
[0140]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
【主权项】
1.一种网站日志安全分析方法,其特征在于,所述方法包括: 实时获取网站服务器侧记录的最新的网站日志; 将所述最新的网站日志与强规则进行匹配; 若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击曰志; 根据所述明显攻击日志确定攻击源; 在历史网站日志中查找对应所述攻击源的目标网站日志,并将所述目标网站日志与异常模型进行匹配; 若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。2.根据权利要求1所述的方法,其特征在于,所述根据所述明显攻击日志确定攻击源,包括: 在所述明显攻击日志中查找预设标识; 将对应所述预设标识的网间协议IP地址确定为所述攻击源。3.根据权利要求2所述的方法,其特征在于,所述在所述明显攻击日志中查找预设标识,包括: 在所述明显攻击日志中查找Cookie和/或用户代理UA。4.根据权利要求1所述的方法,其特征在于,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法还包括: 对对应所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息进行统计与分析; 根据分析结果预测所述攻击源未来将对所述网站服务器进行攻击的攻击行为信息,并向所述网站服务器上报所述攻击行为信息。5.根据权利要求4所述的方法,其特征在于,所述方法还包括: 基于所述攻击行为信息对所述异常模型进行优化。6.根据权利要求1所述的方法,其特征在于,若检测到所述明显攻击日志和/或所述隐蔽攻击日志,则所述方法还包括: 向所述网站服务器发送所述明显攻击日志和/或所述隐蔽攻击日志的攻击信息。7.根据权利要求1至6中任一项所述方法,其特征在于,所述异常模型为根据预设专属配置分析策略设置的。8.—种网站日志安全分析装置,其特征在于,所述装置包括: 获取单元,用于实时获取网站服务器侧记录的最新的网站日志; 匹配单元,用于将所述获取单元获取的所述最新的网站日志与强规则进行匹配; 确定单元,用于当所述匹配单元的匹配结果为所述最新的网站日志与所述强规则匹配成功时,确定所述最新的网站日志为明显攻击日志; 所述确定单元,还用于根据所述明显攻击日志确定攻击源; 查找单元,用于在历史网站日志中查找对应所述确定单元确定的所述攻击源的目标网站日志; 所述匹配单元,还用于将所述查找单元查找到的所述目标网站日志与异常模型进行匹配; 所述确定单元,还用于当所述匹配单元的匹配结果为所述目标网站日志与所述异常模型匹配成功时,确定对应所述攻击源的目标网站日志为隐蔽攻击日志。9.根据权利要求8所述的装置,其特征在于,所述确定单元,包括: 查找模块,用于在所述明显攻击日志中查找预设标识; 确定模块,用于将对应所述查找模块查找的所述预设标识的网间协议IP地址确定为所述攻击源。10.一种网站日志安全分析网关,其特征在于,所述网关包括如权利要求8至9中任一项所述的装置。
【专利摘要】本发明公开了一种网站日志安全分析方法、装置及网关,涉及互联网技术领域,能够从网站日志中检测出隐蔽攻击日志。本发明的方法包括:实时获取网站服务器侧记录的最新的网站日志;将所述最新的网站日志与强规则进行匹配;若所述最新的网站日志与所述强规则匹配成功,则确定所述最新的网站日志为明显攻击日志;根据所述明显攻击日志确定攻击源;在历史网站日志中查找对应所述攻击源的目标网站日志,并将所述目标网站日志与异常模型进行匹配;若所述目标网站日志与所述异常模型匹配成功,则确定对应所述攻击源的目标网站日志为隐蔽攻击日志。本发明适用于网关对网站日志分析的场景中。
【IPC分类】H04L29/06, H04L12/66
【公开号】CN104901975
【申请号】CN201510375393
【发明人】王鹏, 董方, 何鑫鑫
【申请人】北京奇虎科技有限公司
【公开日】2015年9月9日
【申请日】2015年6月30日
最新回复(0)