CN107231365A - 一种取证的方法及服务器以及防火墙 - Google Patents
一种取证的方法及服务器以及防火墙 Download PDFInfo
- Publication number
- CN107231365A CN107231365A CN201710443495.9A CN201710443495A CN107231365A CN 107231365 A CN107231365 A CN 107231365A CN 201710443495 A CN201710443495 A CN 201710443495A CN 107231365 A CN107231365 A CN 107231365A
- Authority
- CN
- China
- Prior art keywords
- client
- security log
- security
- server
- intrusion rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
本发明实施例公开了一种取证的方法及服务器以及防火墙,用于提高取证的准确性及取证效率。本发明实施例方法包括:获取客户端IP;获取与客户端IP相关的安全日志;确定安全日志中与客户端IP有关联的第一IP及与第一IP相关的第一安全日志;获取入侵规则,将入侵规则与第一安全日志相匹配;若匹配成功,则提取出与入侵规则对应的第一IP,及第一安全日志。本发明还提供了一种服务器及防火墙,用于提高取证的准确性及取证效率。
Description
技术领域
本发明涉及通信安全领域,尤其涉及一种取证的方法及服务器以及防火墙。
背景技术
随着Internet的迅猛发展,企业及个人用户在线交易量日渐上升,网络运营已成为社会新时尚。但Internet在方便信息交流的同时也为病毒提供了一个感染和快速传播的"安全途径",病毒从网络一端到达另一端并在计算机未加任何防护措施的情况下运行它,从而导致网络瘫痪,系统崩溃,给信息社会的安全和发展构成严重威胁,造成巨大损失。要解决这一难题,满足用户对网络安全的要求,就需要一个有安全保障且高效运行的网络安全解决方案。
目前,面对用户反馈的安全事件,主要的取证方法还是安全专家介入,对用户大量的安全日志进行分析,找出可疑的事件,推测出可能的入侵过程。
这种安全取证方法,安全专家一般需要2天左右的工作量来专门分析一个用户的网络与对应的安全事件,导致处理效率低下,如若出现大量用户的安全事件,则无法高效的响应所有用户。
发明内容
本发明实施例提供了一种取证的方法及服务器以及防火墙,用于根据安全日志关联的方法,自动读取客户端IP及与客户端IP相关的安全日志,利用安全日志确定与客户端IP有关联的第一IP及与第一IP相关联的第一安全日志,再利用入侵规则匹配的方法来提取与入侵规则相对应的第一IP及第一安全日志,从而达到自动取证的目的。
本发明第一方面提供了一种取证的方法,包括:
获取客户端IP;
获取与客户端IP相关的安全日志;
确定安全日志中与客户端IP有关联的第一IP及与第一IP相关的第一安全日志;
获取入侵规则,将入侵规则与第一安全日志相匹配;
若匹配成功,则提取出与入侵规则对应的第一IP,及第一安全日志。
进一步的,第一IP包括:
以客户端IP为源IP的目的IP,和/或以客户端IP为目的IP的源IP。
进一步的,在若匹配成功,则提取出第一IP,及第一安全日志之后,方法还包括:
判断第一IP是否为客户端的内网IP;
若是,则重新获取与第一IP相关的第二安全日志;
确定第二安全日志中与第一IP有关联的第二IP及与第二IP相关的第三安全日志;
获取入侵规则,将入侵规则与第三安全日志相匹配;
若匹配成功,则提取出与入侵规则对应的第二IP,及第三安全日志;
若否,结束流程。
进一步的,获取与客户端相关的安全日志,包括:
扫描服务器记录的安全日志,提取与客户端相关的安全日志;
或,
扫描客户端记录的安全日志,提取出与客户端相关的安全日志。
进一步的,获取入侵规则,包括:
扫描本地安全事件库,从安全事件库中获取与安全事件相关的所有入侵规则。
或,
向云服务器发送获取入侵规则请求,接收由云服务器发送的入侵规则。
进一步的,在获取客户端IP之前,方法还包括:
判断客户端是否发生安全事件;
若是,则获取客户端IP。
本发明第二方面提供了一种服务器,包括:
第一获取单元,用于获取客户端IP;
第二获取单元,用于获取与客户端IP相关的安全日志;
第一确定单元,用于确定安全日志中与客户端IP有关联的第一IP及与第一IP相关的第一安全日志;
第一匹配单元,用于获取入侵规则,将入侵规则与第一安全日志相匹配;
第一提取单元,用于在匹配成功时,提取出第一IP,及第一安全日志。
进一步的,第一IP包括:
以客户端IP为源IP的目的IP,和/或以客户端IP为目的IP的源IP。
进一步的,服务器还包括:
第一判断单元,用于判断第一IP是否为客户端的内网IP;
第三获取单元,用于在第一IP为内网IP时,重新获取与第一IP相关的第二安全日志;
第二确定单元,用于确定第二安全日志中与第一IP有关联的第二IP及与第二IP相关的第三安全日志;
第二匹配单元,用于获取入侵规则,将入侵规则与第三安全日志相匹配;
第二提取单元,用于在匹配成功时,提取出第二IP,及第三安全日志;
结束单元,用于在提取到与客户端IP有关联的IP为外网IP时,结束流程。
进一步的,第二获取单元,包括:
第一获取模块,用于扫描服务器记录的安全日志,提取与客户端相关的安全日志;
或,
第二获取模块,用于扫描客户端记录的安全日志,提取出与客户端相关的安全日志。
进一步的,获取入侵规则,包括:
扫描本地安全事件库,从安全事件库中获取与安全事件相关的所有入侵规则。
或,
向云服务器发送获取入侵规则请求,接收由云服务器发送的入侵规则。
进一步的,服务器还包括:
第二判断单元,用于判断客户端是否发生安全事件;
触发单元,用于在客户端发生安全事件时,触发第一获取单元。
本发明第三方面提供了一种防火墙,包括本发明第二方面的服务器。
从以上技术方案可以看出,本发明根据安全日志关联的方法,自动读取客户端IP及与客户端IP相关的安全日志,利用安全日志确定与客户端IP有关联的第一IP及与第一IP相关联的第一安全日志,再利用入侵规则匹配的方法来提取与入侵规则相对应的第一IP及第一安全日志,从而达到自动取证的目的。
因为本发明可以通过服务器自动读取安全日志,并利用入侵规则自动比对第一IP及与第一IP相关的第一安全日志,不再通过人工比对的方法,从而提高了取证的准确性及取证的效率。
附图说明
图1为本发明实施例中的一种取证的方法的一个实施例示意图;
图2为本发明实施例中的一种取证的方法的另一个实施例示意图;
图3为本发明实施例中的一种服务器的一个实施例示意图;
图4为本发明实施例中的一种服务器的另一个实施例示意图。
具体实施方式
本发明实施例提供了一种取证的方法及服务器以及防火墙,用于根据安全日志关联的方法,自动读取客户端IP及与客户端IP相关的安全日志,利用安全日志确定与客户端IP有关联的第一IP及与第一IP相关联的第一安全日志,再利用入侵规则匹配的方法来提取与入侵规则相对应的第一IP及第一安全日志,从而达到自动取证的目的。
因为本发明可以通过服务器自动读取安全日志,并利用入侵规则自动比对第一IP及与第一IP相关的第一安全日志,不再通过人工比对的方法,从而提高了取证的准确性及取证的效率。
随着我国的网络技术迅猛发展,网络已广泛应用到人们的日常生活和工作,个人联网计算机的数量急剧增多。计算机安全问题也应运而生,计算机病毒不断增多,非法入侵网络、窃取私人资料、网络系统瘫痪等案件也不断增多,软、硬件和用户数据的安全问题日趋严重。
计算机网络特别是Internet的普及,给病毒的传播提供了便捷的途径。计算机病毒可以附着在正常文件中,当你从网上下载一个被感染的程序或文件,并在你的计算机上未加任何防护措施的情况下运行它,病毒就传染过来了。通过Internet传播病毒的方式很多,包括FTP文件下载、访问恶意WWW网站、P2P文件下载、即时通讯等等。人们使用Internet的频率是如此之高,使得Internet已是计算机病毒的第一传播途径。
在计算机被网络病毒侵染后,怎么快速诊断出网络病毒,完成网络安全事件的取证,并对病毒进行查杀,成为网络时代人们的迫切需求。
为便于理解,下面来具体描述本发明实施例中的一种安全取证的方法,请参阅图1,本发明实施例中一种取证的方法,包括:
101、获取客户端IP;
实际生活中,个人PC端用户与企业PC端用户,用了保证PC端的信息安全,都会在PC端上安装杀毒软件或程序,但由于对PC端的安全设置要求不同,个人PC端一般是在自己的PC端安装防火墙及杀毒程序,而企业用户则会在公共服务器上安装防火墙及杀毒程序。
对于个人PC端用户或企业PC端用户,一般会设置服务器的杀毒程序主动地,定时(每2天)或不定时的对PC端进行查杀及清理,或者,服务器不会主动对PC端进行查杀,而是在客户端出现安全事件时,主动上报指令给服务器,服务器在接收到指令后对客户端进行查杀。
本实施例中,服务器对于取证的方式,既可以是采取预防性的安全检测,在检测到安全事件时,对安全事件进行取证,也可以是服务器接收到客户端上报的安全事件指令时,对客户端的安全事件进行取证。其中,服务器对客户端的安全检测可以是通过预设的安全检测程序进行,也可以直接采用本实施例中的取证方法进行检测,若取证成功,则说明客户端存在安全事件。
本实施例中,服务器在对客户端进行安全取证前,要先获取客户端IP,而本实施例中对于获取客户端IP的方式,既可以主动地获取,也可以被动的接收,又或可以在对客户端是否发生安全事件进行判断之后,主动获取客户端IP,此处对于获取客户端IP的方式,不做具体限制。
102、获取与客户端IP相关的安全日志;
网络的安全日志记录是计算机系统一项非常重要的功能,应用程序、操作系统、网络设备和其他系统组件都可以通过本地或远程的日志服务记录器记录有关它们的事件信息,事件日志是检测系统状态的重要信息来源,对于本地计算机与其他计算机通信的所有信息,都会在本地计算机的安全日志中进行记录,例如:一个计算机名称为AC的计算机,在2016年3月12日07:55分对本地计算机进行了失败访问,本地计算机就会在本地日志或远程日志服务器中,对于该条失败访问进行记录,包括:AC计算机访问的时间戳、AC计算机的基本的IP特征、本地计算机被访问的TCP或UDP源和目标端口、AC计算机执行的动作,及本地计算机所执行的动作,包括:接收、丢弃或拒绝连接等。因此,网络安全日志被作为网络安全分析的一项重要工具。
本实施例中,服务器在获取客户端的IP后,可以根据用户的类型(个人或企业),通过本地安全日志或远程日志服务器来获取与客户端IP相关的安全日志。在此,对于服务器获取与客户端IP相关的安全日志的方式不作具体限制。
103、确定安全日志中与客户端IP有关联的第一IP及与第一IP相关的第一安全日志;
服务器获取了客户端的IP及与客户端IP相关的安全日志后,可以对安全日志进行分析,确定与客户端IP有关联的第一IP及与第一IP有关联的第一安全日志,此处第一IP代表与客户端IP有关联的一个IP,此处第一安全日志为与客户端IP相关的安全日志中,同时与第一IP有关联的安全日志,即同时记录了客户端IP与第一IP之间关系的安全日志。
可以理解的是,有客户端IP有关联的IP可能不止一个,也可能为多个,所以此处的第一IP及第一安全日志也有可能为一个或多个,此处对于第一IP及第一安全日志的个数不作具体限制。
104、获取入侵规则,将入侵规则与第一安全日志相匹配;
服务器获取第一IP及第一安全日志后,同时获取入侵规则,此处的入侵规则为安全专家根据黑客的每一种入侵场景,分析被侵客户端IP的安全日志,从而找出可能匹配到的安全日志类型、安全日志发生的时序关系,从而整理出的不同入侵规则。
服务器获取到客户端IP、第一IP、第一安全日志及入侵规则后,将入侵规则中定义的对象、时序、动作与第一安全日志中记录的客户端IP与第一IP之间的时序动作相匹配,例如:入侵规则被定义为:IP1对IP2进行扫描,随后IP1对IP2发动漏洞探测,随后IP1对IP2发动SQL注入,那么服务器就将客户端IP与第一IP之间发生的时序动作,与入侵规则进行匹配,检测客户端IP与第一IP之间,是否发生了一方对另一方的扫描、漏洞探测及SQL注入,此处可以是客户端IP对第一IP进行了扫描、漏洞探测及SQL注入,也可以是第一IP对客户端IP进行了扫描、漏洞探测及SQL注入。
其中服务器可以通过不同的方式获取入侵规则的方式,具体在下面的实施例中详细描述。
105、若匹配成功,则提取出与入侵规则对应的第一IP,及第一安全日志。
若入侵规则与第一安全日志匹配成功,则说明客户端IP与第一IP之间发生了安全事件,其中可能是客户端IP入侵了第一IP,也可能是第一IP入侵了客户端IP,也可能是客户端IP与第一IP之间发生了相互入侵。
匹配成功后,则提取出与入侵规则对应的第一IP,及第一安全日志,从而完成自动取证的过程。
本实施例中,服务器根据安全日志关联的方法,自动读取客户端IP及与客户端IP相关的安全日志,利用安全日志确定与客户端IP有关联的第一IP及与第一IP相关联的第一安全日志,再利用入侵规则匹配的方法来提取与入侵规则相对应的第一IP及第一安全日志,从而达到自动取证的目的。
因为本发明可以通过服务器自动读取安全日志,并利用入侵规则自动比对第一IP及与第一IP相关的第一安全日志,不再通过人工比对的方法,从而提高了取证的准确性及取证的效率。
为方便理解,下面详细描述本发明实施例中的一种取证的方法,请参阅图2,本发明实施例中一种取证的方法的另一个实施例,包括:
201、判断客户端是否发生安全事件,若是,则执行步骤202,若否,则执行步骤210;
为了提高用户体验,本实施例中的服务器在安全取证前,先对客户端的状态进行判断,即采用预设的安全检测程序对客户端进行扫描检测,判断客户端是否发生了安全事件,若是,则执行步骤202,若否,则执行步骤210。
202、获取客户端IP;
若客户端没有通过服务器的安全检测程序,说明客户端可能发生了安全事件,需要对客户端状态进行进一步的分析,即对客户端是否发生安全事件进行取证分析。
服务器在取证分析前,需要先获取客户端的IP,为了通信安全,客户端可以设置一定的鉴权程序,用于对服务器的身份进行认证,若服务器通过客户端的安全认证,则允许服务器获取客户端的IP,否则拒绝服务器的访问。
具体的,对于企业用户,体现为服务器在访问客户端时,需要发送一个预设的口令,或预设的密码;对于个人用户,在服务器需要获取客户端IP时,则需要经过管理员的许可或授权。
203、获取与客户端IP相关的安全日志;
安全日志作为记录客户端状态的一个重要信息,已被作为网络安全分析的一项重要工具。
服务器获取客户端的IP地址后,根据客户端的IP地址,可以获取与客户端IP相关的安全日志,其中,安全日志既可以是存储在客户端的本地安全日志,也可以是存储在服务器上的安全日志,或者是存储在远程日志服务器上的远程安全日志,根据客户端安全日志的存储位置,服务器可以通过不同的方式去获取。
204、确定安全日志中与客户端IP有关联的第一IP及与第一IP相关的第一安全日志;
服务器确定了客户端IP,及与客户端IP相关的安全日志后,为了分析确定可能导致客户端发生安全事件的原因,需要确定与客户端通信的IP,以做进一步的核查分析。
服务器从安全日志中确定与客户端IP有关联的第一IP及与第一IP有关联的第一安全日志,其中,第一IP为与客户端IP有关联的一个IP,第一安全日志为与客户端IP相关的安全日志中,同时与第一IP有关联的安全日志,即同时记录了客户端IP与第一IP之间关系的安全日志。
可以理解的是,与客户端IP有关联的IP不止一个,也可能为多个,第一IP为与客户端有关联的一个IP,且第一IP既可以为以客户端IP为目的IP的源IP,也可以为以客户端IP为源IP的目的IP,所以此处的第一IP及第一安全日志也有可能为一个或多个,且第一IP与客户端IP互为源IP和目的IP,此处对于第一IP及第一安全日志的个数不作具体限制。
205、获取入侵规则,将所述入侵规则与第一安全日志相匹配;
服务器获取第一IP及第一安全日志后,同时获取入侵规则,此处的入侵规则为安全专家根据黑客的每一种入侵场景,分析被侵客户端IP的安全日志,从而找出可能匹配到的安全日志类型、安全日志发生的时序关系,从而整理出的不同入侵规则。
服务器获取到客户端IP、第一IP、第一安全日志及入侵规则后,将入侵规则中定义的对象、时序、动作与第一安全日志中记录的客户端IP与第一IP之间的时序动作相匹配,例如:入侵规则被定义为:IP1对IP2进行扫描,随后IP1对IP2发动漏洞探测,随后IP1对IP2发动SQL注入,那么服务器就将客户端IP与第一IP之间发生的时序动作,与入侵规则进行匹配,检测客户端IP与第一IP之间,是否发生了一方对另一方的扫描、漏洞探测及SOL注入,此处可以是客户端IP对第一IP进行了扫描、漏洞探测及SQL注入,也可以是第一IP对客户端IP进行了扫描、漏洞探测及SQL注入。
若在第一安全日志与入侵规则的匹配中,检测到是第一IP对客户端IP进行了扫描、漏洞探测及SQL注入,则第一IP即为客户端IP的源IP,客户端IP为第一IP的目的IP,此过程即为查找入侵溯源的过程,即确定恶意入侵客户端IP的过程。
若在第一安全日志与入侵规则的匹配中,检测到是客户端IP对第一IP进行了扫描、漏洞探测及SQL注入,则客户端IP为第一IP的源IP,第一IP为客户端IP的目的IP,此过程即为安全事件追踪的过程,即确定客户端IP入侵第一IP的过程。
若根据入侵规则匹配到的是客户端IP对第一IP发生了入侵规则中定义的动作,还可能是客户端IP与第一IP互为源IP及目的IP,则按照规则中定义的去解释该过程,例如:入侵规则为IP1向IP2发送请求,该请求中携带SQL注入信息,随后IP2向IP1发送请求响应,该请求响应中也携带了SQL注入信息,如果该入侵规则与第一安全日志中记录的客户端IP与第一IP之间的时序动作匹配成功,则说明客户端IP与第一IP互为源IP及目的IP,且客户端IP与第一IP之间可能发生了相互入侵的情况。
其中服务器可以通过不同的方式获取入侵规则,服务器既可以在本地端存储入侵规则,也可以通过发送访问请求,向云服务器发送获取入侵规则的请求,若云服务器接收到服务器发送的访问请求,并在认证通过后,向服务器发送入侵规则。
206、若匹配成功,则提取出与入侵规则对应的第一IP,及第一安全日志。
若入侵规则与第一安全日志匹配成功,则说明客户端IP与第一IP之间发生了安全事件,其中可能是客户端IP感染了第一IP,也可能是第一IP感染了客户端IP,也可能是客户端IP与第一IP之间发生了相互感染。
匹配成功后,则提取出与入侵规则对应的第一IP,及第一安全日志。
207、判断第一IP是否为客户端的内网IP;
服务器提取到第一IP之后,需要对第一IP进行判断,确定第一IP是否为客户端IP的内网IP,因为对于企业客户,一般会建立通信内网,而在内网通信过程中,一般不会内网IP之间相互入侵,多数情况是外网IP入侵内网IP。
208,若是,重复执行步骤203至206;
若服务器判断得到第一IP为内网IP,则重新获取第一IP的第二安全日志,确定第一IP的第二安全日志中与第一IP有关联的第二IP及与第二IP相关的第三安全日志;获取入侵规则,将入侵规则与第三安全日志相匹配,若匹配成功,则提取出与入侵规则相对应的第二IP及第三安全日志,即重复执行步骤203至206的动作,但把客户端IP切换为第一IP,直至提取出与客户端IP相关的IP为外网IP为止。
209、若否,结束流程。
若服务器判断第一IP为外网IP,则说明是该外网IP入侵了客户端IP,则提取出该第一IP及记录客户端IP与第一IP之间时序动作的第一安全日志,即完成安全取证的过程。
210、执行其他流程;
本实施例中,若客户端没有发生安全事件,则服务器执行其他流程,进一步的,服务器还可以继续定时或不定时的对客户端进行安全事件检测,以对客户端的安全状态进行监测。
本实施例中,服务器根据安全日志关联的方法,自动读取客户端IP及与客户端IP相关的安全日志,利用安全日志确定与客户端IP有关联的第一IP及与第一IP相关联的第一安全日志,再利用入侵规则匹配的方法来提取与入侵规则相对应的第一IP及第一安全日志,从而达到自动取证的目的。
因为本发明可以通过服务器自动读取安全日志,并利用入侵规则自动比对第一IP及与第一IP相关的第一安全日志,不再通过人工比对的方法,从而提高了取证的准确性及取证的效率。
上面描述了本发明实施例中一种取证的方法,下面来描述本发明实施例中的一种服务器,请参阅图3,本发明实施例中的一种服务器的一个实施例包括:
第一获取单元301,用于获取客户端IP;
第二获取单元302,用于获取与所述客户端IP相关的安全日志;
第一确定单元303,用于确定所述安全日志中与所述客户端IP有关联的第一IP及与所述第一IP相关的第一安全日志;
第一匹配单元304,用于获取入侵规则,将所述入侵规则与所述第一安全日志相匹配;
第一提取单元305,用于在匹配成功时,提取出所述第一IP,及所述第一安全日志。
需要说明的是,本实施例中各单元的作用与图1所述实施例中服务器的作用类似,具体此处不再赘述。
本实施例中,服务器根据安全日志关联的方法,通过第一获取单元301和第二获取单元302自动读取客户端IP及与客户端IP相关的安全日志,通过第一确定单元303利用安全日志确定与客户端IP有关联的第一IP及与第一IP相关联的第一安全日志,再通过第一匹配单元304利用入侵规则匹配的方法来提取与入侵规则相对应的第一IP及第一安全日志,从而达到自动取证的目的。
因为本发明可以通过服务器自动读取安全日志,并利用入侵规则自动比对第一IP及与第一IP相关的第一安全日志,不再通过人工比对的方法,从而提高了取证的准确性及取证的效率。
为方便理解,下面来详细描述本发明实施例中一种服务器,请参阅图4,本发明实施例中一种服务器的另一个实施例包括:
第一获取单元401,用于获取客户端IP;
第二获取单元402,用于获取与所述客户端IP相关的安全日志;
第一确定单元403,用于确定所述安全日志中与所述客户端IP有关联的第一IP及与所述第一IP相关的第一安全日志;
第一匹配单元404,用于获取入侵规则,将所述入侵规则与所述第一安全日志相匹配;
第一提取单元405,用于在匹配成功时,提取出所述第一IP,及所述第一安全日志。
可选的的,在第一提取单元405提取到第一IP之后,服务器还包括:
第一判断单元406,用于判断所述第一IP是否为所述客户端的内网IP;
第三获取单元407,用于在所述第一IP为内网IP时,重新获取与所述第一IP相关的第二安全日志;
第二确定单元408,用于确定所述第二安全日志中与所述第一IP有关联的第二IP及与所述第二IP相关的第三安全日志;
第二匹配单元409,用于获取入侵规则,将所述入侵规则与所述第三安全日志相匹配;
第二提取单元410,用于在匹配成功时,提取出所述第二IP,及所述第三安全日志;
结束单元411,用于在提取到与所述客户端IP有关联的IP为外网IP时,结束流程。
可选的,在第一获取单元401获取客户端IP之前,服务器还包括:
第二判断单元412,用于判断所述客户端是否发生安全事件;
触发单元413,用于在所述客户端发生安全事件时,触发第一获取单元;
切换单元414,用于在所述客户端没有发生安全事件时,执行其他流程。
其中,本实施例中的第二获取单元402,包括:
第一获取模块4021,用于扫描服务器记录的安全日志,提取与所述客户端相关的安全日志;
或,
第二获取模块4022,用于扫描客户端记录的安全日志,提取出与所述客户端相关的安全日志。
需要说明的是,本实施例中各单元及各模块的作用与图2所述的服务器的作用类似,具体此处不再赘述。
本实施例中,服务器根据安全日志关联的方法,通过第一获取单元401和第二获取单元402自动读取客户端IP及与客户端IP相关的安全日志,通过第一确定单元403利用安全日志确定与客户端IP有关联的第一IP及与第一IP相关联的第一安全日志,再通过第一匹配单元404利用入侵规则匹配的方法来提取与入侵规则相对应的第一IP及第一安全日志,从而达到自动取证的目的。
因为本发明可以通过服务器自动读取安全日志,并利用入侵规则自动比对第一IP及与第一IP相关的第一安全日志,不再通过人工比对的方法,从而提高了取证的准确性及取证的效率。
本发明还提供了一种防火墙,该防火墙可以包括服务器,其中服务器可以与防火墙中的其他模块联动,以相互配合使用。
可以理解的是,本发明实施例中,服务器还可以从硬件角度出发进行描述,本发明实施例的服务器包括:处理器、存储器以及存储在存储器中并可在处理器上运行的计算机程序,处理器执行计算机程序时实现上述各个方法实施例中基于服务器操作的步骤,或者,处理器执行计算机程序时实现上述实施例中服务器的各模块的功能,相同部分可参照前文,此处不再赘述。
示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器中,并由处理器执行,以完成本发明。一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在服务器中的执行过程,具体可参照服务器的各模块的说明,此处不再赘述。
其中,服务器可包括但不仅限于处理器、存储器,本领域技术人员可以理解,该说明仅仅是服务器的示例,并不构成对服务器的限定,可以包括比该说明更多或更少的部件,或者组合某些部件,或者不同的部件,例如服务器还可以包括输入输出设备、网络接入设备、总线等。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,处理器是服务器的控制中心,利用各种接口和线路连接整个服务器的各个部分。
存储器可用于存储计算机程序和/或模块,处理器通过运行或执行存储在存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现服务器的各种功能。存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据手机的使用所创建的数据(比如补丁库)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (13)
1.一种取证的方法,应用于服务器,其特征在于,包括:
获取客户端IP;
获取与所述客户端IP相关的安全日志;
确定所述安全日志中与所述客户端IP有关联的第一IP及与所述第一IP相关的第一安全日志;
获取入侵规则,将所述入侵规则与所述第一安全日志相匹配;
若匹配成功,则提取出与所述入侵规则对应的所述第一IP,及所述第一安全日志。
2.根据权利要求1所述的方法,其特征在于,所述第一IP包括:
以所述客户端IP为源IP的目的IP,和/或以所述客户端IP为目的IP的源IP。
3.根据权利要求2所述的方法,其特征在于,在若匹配成功,则提取出所述第一IP,及所述第一安全日志之后,所述方法还包括:
判断所述第一IP是否为所述客户端的内网IP;
若所述第一IP为所述客户端的内网IP,则重新获取与所述第一IP相关的第二安全日志;
确定所述第二安全日志中与所述第一IP有关联的第二IP及与所述第二IP相关的第三安全日志;
获取入侵规则,将所述入侵规则与所述第三安全日志相匹配;
若匹配成功,则提取出与所述入侵规则对应的所述第二IP,及所述第三安全日志;
若所述第一IP为所述客户端的外网IP,结束流程。
4.根据权利要求1所述的方法,其特征在于,所述获取与所述客户端IP相关的安全日志,包括:
扫描服务器记录的安全日志,提取出与所述客户端IP相关的安全日志;
或,
扫描客户端记录的安全日志,提取出与所述客户端IP相关的安全日志。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述获取入侵规则,包括:
扫描本地安全事件库,从所述安全事件库中获取与安全事件相关的所有入侵规则;
或,
向云服务器发送获取入侵规则请求,接收由云服务器发送的入侵规则。
6.根据权利要求5所述的方法,其特征在于,在所述获取客户端IP之前,所述方法还包括:
判断客户端是否发生安全事件;
若是,则获取所述客户端IP。
7.一种服务器,其特征在于,包括:
第一获取单元,用于获取客户端IP;
第二获取单元,用于获取与所述客户端IP相关的安全日志;
第一确定单元,用于确定所述安全日志中与所述客户端IP有关联的第一IP及与所述第一IP相关的第一安全日志;
第一匹配单元,用于获取入侵规则,将所述入侵规则与所述第一安全日志相匹配;
第一提取单元,用于在匹配成功时,提取出所述第一IP,及所述第一安全日志。
8.根据权利要求7所述的服务器,其特征在于,所述第一IP包括:
以所述客户端IP为源IP的目的IP,和/或以所述客户端IP为目的IP的源IP。
9.根据权利要求8所述的服务器,其特征在于,所述服务器还包括:
第一判断单元,用于判断所述第一IP是否为所述客户端的内网IP;
第三获取单元,用于在所述第一IP为内网IP时,重新获取与所述第一IP相关的第二安全日志;
第二确定单元,用于确定所述第二安全日志中与所述第一IP有关联的第二IP及与所述第二IP相关的第三安全日志;
第二匹配单元,用于获取入侵规则,将所述入侵规则与所述第三安全日志相匹配;
第二提取单元,用于在匹配成功时,提取出所述第二IP,及所述第三安全日志;
结束单元,用于在提取到与所述客户端IP有关联的IP为外网IP时,结束流程。
10.根据权利要求7所述的服务器,其特征在于,所述第二获取单元,包括:
第一获取模块,用于扫描服务器记录的安全日志,提取出与所述客户端相关的安全日志;
或,
第二获取模块,用于扫描客户端记录的安全日志,提取出与所述客户端相关的安全日志。
11.根据权利要求7至11中任一项所述的服务器,其特征在于,所述获取入侵规则,包括:
扫描本地安全事件库,从所述安全事件库中获取与安全事件相关的所有入侵规则;
或,
向云服务器发送获取入侵规则请求,接收由云服务器发送的入侵规则。
12.根据权利要求11所述的服务器,其特征在于,所述服务器还包括:
第二判断单元,用于判断所述客户端是否发生安全事件;
触发单元,用于在所述客户端发生安全事件时,触发第一获取单元。
13.一种防火墙,其特征在于,包括如权利要求7至12中任一项所述的服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710443495.9A CN107231365B (zh) | 2017-06-13 | 2017-06-13 | 一种取证的方法及服务器以及防火墙 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710443495.9A CN107231365B (zh) | 2017-06-13 | 2017-06-13 | 一种取证的方法及服务器以及防火墙 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107231365A true CN107231365A (zh) | 2017-10-03 |
| CN107231365B CN107231365B (zh) | 2020-08-04 |
Family
ID=59934888
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710443495.9A Active CN107231365B (zh) | 2017-06-13 | 2017-06-13 | 一种取证的方法及服务器以及防火墙 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107231365B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110376957A (zh) * | 2019-07-04 | 2019-10-25 | 哈尔滨工业大学(威海) | 一种基于安全规约自动构建的plc安全事件取证方法 |
| CN115801305A (zh) * | 2022-09-08 | 2023-03-14 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582817A (zh) * | 2009-06-29 | 2009-11-18 | 华中科技大学 | 网络交互行为模式提取及相似性分析方法 |
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
-
2017
- 2017-06-13 CN CN201710443495.9A patent/CN107231365B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101582817A (zh) * | 2009-06-29 | 2009-11-18 | 华中科技大学 | 网络交互行为模式提取及相似性分析方法 |
| CN103595732A (zh) * | 2013-11-29 | 2014-02-19 | 北京奇虎科技有限公司 | 一种网络攻击取证的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 张毅凡: "分布式拒绝服务的可视分析", 《网络与信息安全学报》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110376957A (zh) * | 2019-07-04 | 2019-10-25 | 哈尔滨工业大学(威海) | 一种基于安全规约自动构建的plc安全事件取证方法 |
| CN115801305A (zh) * | 2022-09-08 | 2023-03-14 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
| CN115801305B (zh) * | 2022-09-08 | 2023-11-07 | 武汉思普崚技术有限公司 | 一种网络攻击的检测识别方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107231365B (zh) | 2020-08-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11736499B2 (en) | Systems and methods for detecting injection exploits | |
| Lohachab et al. | Critical analysis of DDoS—An emerging security threat over IoT networks | |
| US9848016B2 (en) | Identifying malicious devices within a computer network | |
| KR101689298B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN103634306B (zh) | 网络数据的安全检测方法和安全检测服务器 | |
| CN108259514B (zh) | 漏洞检测方法、装置、计算机设备和存储介质 | |
| CN107566420B (zh) | 一种被恶意代码感染的主机的定位方法及设备 | |
| CN113497786B (zh) | 一种取证溯源方法、装置以及存储介质 | |
| CN107770125A (zh) | 一种网络安全应急响应方法及应急响应平台 | |
| CN107332804B (zh) | 网页漏洞的检测方法及装置 | |
| US11374946B2 (en) | Inline malware detection | |
| CN106982188B (zh) | 恶意传播源的检测方法及装置 | |
| Kurniawan et al. | Detection and analysis cerber ransomware based on network forensics behavior | |
| Keong Ng et al. | VoterChoice: A ransomware detection honeypot with multiple voting framework | |
| Haltaş et al. | An automated bot detection system through honeypots for large-scale | |
| CN113411314A (zh) | 引诱攻击者访问蜜罐系统的方法、装置和电子装置 | |
| Fallah et al. | Android malware detection using network traffic based on sequential deep learning models | |
| Ilker et al. | Cyber fraud: Detection and analysis of the crypto-ransomware | |
| Casolare et al. | On the resilience of shallow machine learning classification in image-based malware detection | |
| CN107231365A (zh) | 一种取证的方法及服务器以及防火墙 | |
| Almousa et al. | Identification of ransomware families by analyzing network traffic using machine learning techniques | |
| Al-Bayati et al. | Adaptive behavioral profiling for identity verification in cloud computing: a model and preliminary analysis | |
| Johnson et al. | Sms botnet detection for android devices through intent capture and modeling | |
| Chen et al. | Detecting mobile application malicious behaviors based on data flow of source code | |
| WO2021015941A1 (en) | Inline malware detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |