基于云的網站日志安全分析方法、裝置和系統的制作方法

基于云的網站日志安全分析方法、裝置和系統的制作方法
【技術領域】
[0001]本發明涉及互聯網技術領域，特別是涉及一種基于云的網站日志安全分析方法、裝置和系統。
【背景技術】
[0002]網站日志(也叫服務器日志)是記錄網站服務器接收的訪問請求以及運行時發生錯誤等各種原始信息的文件。網站管理員通過網站日志可以查看訪問者的IPdnternetProtocol，網間協議)地址、訪問時間、操作系統類型、瀏覽器類型、具體訪問對象(頁面)和訪問成功與否等信息。因此，通過網站日志可以分析出訪問者對網站服務器的攻擊情況。
[0003]現有技術中的網站日志分析工具，可以針對指定路徑下的網站日志進行分析，并作出分析報告。然而，通過網站日志分析工具雖然可以分析出攻擊特征較明顯的攻擊日志，并能夠確定攻擊源，但是該攻擊源對網站服務器進行的隱蔽攻擊卻無法分析出來。在這種情況下，網站管理員無法獲知這些沒有測出來的隱蔽攻擊，從而無法對攻擊源的后續攻擊實現防御操作，進而使得網站服務器的安全問題無法得到保障。

【發明內容】

[0004]有鑒于此，本發明提供一種基于云的網站日志安全分析方法、裝置和系統，能夠檢測出網站日志中存在的隱蔽攻擊日志。
[0005]第一方面，本發明提供了一種基于云的網站日志安全分析方法，所述方法包括:
[0006]云平臺實時獲取當前網站服務器側記錄的最新的網站日志；
[0007]將所述最新的網站日志與強規則進行匹配；
[0008]若所述最新的網站日志與所述強規則匹配成功，則確定所述最新的網站日志為明顯攻擊日志；
[0009]根據所述明顯攻擊日志確定攻擊源；
[0010]查找所述攻擊源訪問所有網站服務器所產生的目標網站日志，并將所述目標網站日志與異常模型進行匹配；
[0011 ] 若所述目標網站日志與所述異常模型匹配成功，則確定對應所述攻擊源的目標網站日志為隱蔽攻擊日志。
[0012]第二方面，本發明提供了一種基于云的網站日志安全分析裝置，所述裝置包括:
[0013]獲取單元，用于云平臺實時獲取當前網站服務器側記錄的最新的網站日志；
[0014]匹配單元，用于將所述獲取單元獲取的所述最新的網站日志與強規則進行匹配；
[0015]確定單元，用于當所述匹配單元的匹配結果為所述最新的網站日志與所述強規則匹配成功時，確定所述最新的網站日志為明顯攻擊日志；
[0016]所述確定單元，還用于根據所述明顯攻擊日志確定攻擊源；
[0017]查找單元，用于查找所述確定單元確定的所述攻擊源訪問所有網站服務器所產生的目標網站日志；
[0018]所述匹配單元，用于將所述查找單元查找的所述目標網站日志與異常模型進行匹配；
[0019]所述確定單元，還用于當所述匹配單元的匹配結果為所述目標網站日志與所述異常模型匹配成功時，確定對應所述攻擊源的目標網站日志為隱蔽攻擊日志。
[0020]第三方面，本發明提供了一種基于云的網站日志安全分析系統，所述系統包括云平臺和網站服務器，其中所述云平臺包括如第二方面所述的裝置；
[0021]所述網站服務器，用于實時向所述云平臺上報本地記錄的最新的網站日志。
[0022]借由上述技術方案，本發明提供的基于云的網站日志安全分析方法、裝置和系統，能夠通過云平臺將實時獲取的最新的網站日志與強規則進行匹配，將匹配成功的最新的網站日志確定為明顯攻擊日志并找到攻擊源，然后在所有網站服務器所產生的歷史網站日志中查找對應攻擊源的目標網站日志，并將其與異常模型進行匹配，確定匹配成功的目標網站日志為隱蔽攻擊日志。與無法檢測出隱蔽攻擊的現有技術相比，本發明先通過強規則的檢測找到明顯攻擊日志以及對應的攻擊源，再對所有網站服務器產生的網站日志中對應攻擊源的目標網站日志進行異常模型的檢測，從而能夠將攻擊源對各個網站服務器所做的明顯攻擊和隱蔽攻擊都檢測出來，進而使得各個網站的網站管理員能夠及時對攻擊源采取防御操作，以保證網站服務器的安全。
[0023]上述說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，并且為了讓本發明的上述和其它目的、特征和優點能夠更明顯易懂，以下特舉本發明的【具體實施方式】。
【附圖說明】
[0024]通過閱讀下文優選實施方式的詳細描述，各種其他的優點和益處對于本領域普通技術人員將變得清楚明了。附圖僅用于示出優選實施方式的目的，而并不認為是對本發明的限制。而且在整個附圖中，用相同的參考符號表示相同的部件。在附圖中:
[0025]圖1示出了本發明實施例提供的一種基于云的網站日志安全分析方法的流程圖；
[0026]圖2示出了本發明實施例提供的一種基于云的網站日志安全分析裝置的組成框圖；
[0027]圖3示出了本發明實施例提供的另一種基于云的網站日志安全分析裝置的組成框圖；
[0028]圖4示出了本發明實施例提供的一種基于云的網站日志安全分析系統的組成框圖。
【具體實施方式】
[0029]下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例，然而應當理解，可以以各種形式實現本公開而不應被這里闡述的實施例所限制。相反，提供這些實施例是為了能夠更透徹地理解本公開，并且能夠將本公開的范圍完整的傳達給本領域的技術人員。
[0030]本發明實施例提供了一種基于云的網站日志安全分析方法，如圖1所示，該方法包括:
[0031]101、云平臺實時獲取當前網站服務器側記錄的最新的網站日志。
[0032]當外部訪問網站服務器時，網站服務器側會記錄關于訪問者的訪問信息(如訪問者的IPdnternet Protocol，網間協議)地址、訪問時間、訪問者所使用的瀏覽器類型等)以及網站服務器響應信息(如回復信息)的網站日志。隨著訪問者對網站服務器的的不斷訪問，網站服務器側記錄的網站日志也在不斷更新。云平臺可以實時獲取各個網站服務器側記錄的最新的網站日志，并對獲取的網站日志進行安全性分析。
[0033]本步驟中的當前網站服務器是指對應當前最新的網站日志的網站服務器。若當前只有一個網站服務器產生了新的網站日志，則當前網站服務器就是該網站服務器；若當前有至少兩個網站服務器產生了新的網站日志，則當前網站服務器是該至少兩個網站服務器。
[0034]102、將最新的網站日志與強規則進行匹配。
[0035]其中，強規則為硬性規定某條網站日志為攻擊日志的規則。當前網站服務器側每產生一條新的網站日志，云平臺就獲取該網站日志，并對其進行強規則的檢測，以確定最新的網站日志是否為攻擊日志，從而實現對當前網站服務器的實時安全性監控。
[0036]具體的，強規則可以包括攻擊特征、攻擊條件等。例如，某條網站日志中記錄訪問者向網站服務器發送了一個數據竊取請求，但是由于外部訪問者沒有獲取網站服務器側私密數據的權限，所以可以將請求竊取數據的特征歸為攻擊特征，強規則檢測到該攻擊特征，便會確定該網站日志與強規則匹配成功。
[0037]在步驟101中提到當前時刻可以有至少兩個網站服務器產生新的網站日志，所以最新的網站日志是與當前時刻產生新網站日志的網站服務器的數量相同的。因此，若當前網站服務器的數量為至少兩個，則云平臺需要對至少兩條最新的網站日志同時進行強規則的檢測，以實現實時對各個網站服務器所產生的最新的網站日志進行安全性檢測。
[0038]103、若最新的網站日志與強規則匹配成功，則確定最新的網站日志為明顯攻擊日
[0039]由于強規則為硬性規定某條網站日志為攻擊日志的規則，所以當云平臺將最新的網站日志與強規則進行匹配，并且匹配結果為成功時，可以確定該最新的網站日志為明顯攻擊日志。相應的，若匹配結果為不成功，則云平臺可以確定該最新的網站日志不是明顯攻擊曰志。
[0040]示例性的，一條網站日志的內容包括訪問者向網站服務器發送網站管理權限請求，強規則中包括網站管理權限，則該網站日志與強規則匹配成功，所以該網站日志為明顯攻擊日志。此外，另一條網站日志的內容包括訪問者向網站服務器發送放大圖片請求，強規則中沒有相關內容，則該網站日志與強規則匹配不成功，所以該網站日志不是明顯攻擊日
)■'、O
[0041 ] 104、根據明顯攻擊日志確定攻擊源。
[0042]由于網站日志中存儲有訪問者的IP地址、訪問時間、操作系統類型、瀏覽器類型和具體訪問對象(頁面)等信息，所以云平臺在確定明顯攻擊日志后，可以根據明顯攻擊日志中的各種信息確定攻擊源。具體的，可以確定明顯攻擊日志中的IP地址為攻擊源，也可以確定與操作系統類型、瀏覽器類型等均對應的IP地址為攻擊源。
[0043]示例性的，明顯攻擊日志中存儲有訪問者的IP地址(如198.161.2.21)、瀏覽器類型(如IE瀏覽器第10版)、網站登錄賬號(如mmmmnnn)和密碼(999888)等等，則云平臺可以直接確定198.161.2.21為攻擊源，也可以將滿足瀏覽器類型為IE瀏覽器第10版、網站登錄賬號為mmmmnnn和密碼為999888的網站日志所對應的IP地址確定為攻擊源。
[0044]需要說明的是，在步驟102中提及最