CN107515820B - 服务器监测方法及装置、检测服务器 - Google Patents
服务器监测方法及装置、检测服务器 Download PDFInfo
- Publication number
- CN107515820B CN107515820B CN201610440351.3A CN201610440351A CN107515820B CN 107515820 B CN107515820 B CN 107515820B CN 201610440351 A CN201610440351 A CN 201610440351A CN 107515820 B CN107515820 B CN 107515820B
- Authority
- CN
- China
- Prior art keywords
- application
- port
- server
- abnormal
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种服务器监测方法,用于查找应用服务器上存在漏洞的应用,具体地,首先获取客户端对应用服务器各个端口的访问次数,该端口非提供登录服务的应用所对应的端口,若某端口的访问次数满足预设条件,则将该端口对应的应用确定为存在漏洞的应用。另外,本申请还提供了一种服务器监测装置及检测服务器,用以保证所述方法在实际中的应用及实现。
Description
技术领域
本申请涉及服务器异常检测技术领域,更具体地,涉及服务器监测方法、服务器监测装置及检测服务器。
背景技术
应用服务器上可以设置多个应用,不同的应用使用不同的端口提供不同的服务。若应用服务器上的某个应用存在漏洞,黑客等恶意程序可以通过攻击该存在漏洞的应用,来登录该应用服务器,并破坏该应用服务器上的数据,如窃取、修改应用服务器上的数据等。
因此,需要一种技术方案,来检测应用服务器上存在漏洞的应用。
发明内容
有鉴于此,本申请提供了一种服务器监测方法,用于检测应用服务器上存在漏洞的应用。另外,本申请还提供了一种服务器监测装置及检测服务器,用以保证所述方法在实际中的应用及实现。
为实现所述目的,本申请提供的技术方案如下:
本申请的第一方面提供了一种服务器监测方法,用于对应用服务器进行监测,所述应用服务器上不同的应用对应不同的端口,该方法包括:
获取客户端对所述应用服务器的端口的访问次数;其中,所述端口非提供登录服务的应用对应的端口;
若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用。
本申请的第二方面提供了一种服务器监测装置,用于对应用服务器进行监测,所述应用服务器上不同的应用对应不同的端口,该装置包括:
访问次数获取单元,用于获取客户端对所述应用服务器的端口的访问次数;其中,所述端口非提供登录服务的应用对应的端口;
漏洞应用确定单元,用于若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用。
本申请的第三方面提供了一种检测服务器,包括:处理器和存储器,其中,所述处理器通过运行存储在所述存储器内的软件程序、调用存储在所述存储器内的数据,至少执行如下步骤:
获取客户端对所述应用服务器的端口的访问次数;其中,所述端口非提供登录服务的应用对应的端口;
若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用。
由以上技术方案可知,本申请提供了一种服务器监测方法,用于查找应用服务器上存在漏洞的应用,具体地,首先获取客户端对应用服务器各个端口的访问次数,该端口非提供登录服务的应用所对应的端口,若某端口的访问次数满足预设条件,则将该端口对应的应用确定为存在漏洞的应用。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请提供的服务器监测的一个应用场景示意图;
图2为本申请提供的服务器监测方法实施例1的流程图;
图3为本申请提供的服务器监测方法实施例2的流程图;
图4为本申请提供的服务器监测系统的架构图;
图5为本申请提供的服务器监测方法实施例3的流程图;
图6为本申请提供的服务器监测装置实施例1的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在实际应用中,应用服务器上可以设置多个应用,不同的应用使用不同的端口提供不同的服务。若应用服务器上的某个应用存在漏洞,黑客等恶意程序可以通过攻击该存在漏洞应用,来登录该应用服务器,并破坏该应用服务器,如窃取、修改应用服务器上的数据等。因此,若应用服务器上出现了异常登录事件,原因之一可能是黑客等恶意程序在攻击存在漏洞的应用。
对此,本申请提供了一种服务器监测方法,如图1所示,可以在应用服务器出现异常事件后,根据异常客户端对应用服务器的端口的访问次数,来确定应用服务器上存在漏洞的应用。
参见图2,其示出了服务器监测方法实施例1的流程。如图2所示,本实施例可以具体包括步骤S201~步骤S204。
步骤S201:若应用服务器出现异常事件,则标记异常客户端。
具体地,可以使用现有的异常捕获工具对应用服务器进行监测,以发现应用服务器上出现的异常事件。一旦应用服务器上出现了异常事件,便标记该异常事件中的客户端为异常客户端。
具体地,异常捕获工具可以捕获到异常登录记录,该异常登录记录中包含客户端标识与服务端标识的对应关系。该异常访问记录中的服务器标识所标识的服务器即出现异常的应用服务器,该异常登录记录中的客户端标识所标识的客户端即异常客户端。可选地,客户端标识及服务器标识均可以是使用各自的网络地址。
步骤S202:确定异常客户端在本次异常事件中访问最多的端口。
为了便于描述,可以将该确定出的该端口称为目标端口。目标端口非提供登录服务的应用对应的端口。
可以知道的是,应用服务器上部署有多个应用,且不同的应用对应应用服务器上不同的端口。应用与端口的对应关系可以保存在预先设置的映射表中。映射表的一个具体示例如下表1所示,当然,在实际应用中,映射表所包含的应用及端口可以是其他,本申请并不做具体限定。
表1
应用 | 端口 |
MYSQL数据库 | 3306 |
MSSQL数据库 | 1433 |
SSH服务 | 22 |
RDP服务 | 3389 |
Redis关系数据库服务 | 6379 |
PostgreSQL数据库服务 | 5432 |
FTP文件传输服务 | 21 |
在一起异常事件中,异常客户端可能会扫描多个应用的端口,以试图查找该多个应用中是否存在漏洞的应用。若在端口扫描过程中,发现某应用存在漏洞,异常客户端便可以对该存在漏洞的应用进行攻击,以获得用于合法登录应用服务器的数据。其中,该数据可以是用来验证登录身份合法性的数据,如登录密码。为了便于描述,可以将合法登录应用服务器的数据成为登录数据。
为了帮助理解上述攻击行为,以下使用房间进行打比方说明。
将应用服务器比作一个房间,进入该房间的唯一路径是门,因此,可以将门钥匙比作合法登录该应用服务器的数据。盗窃者如果想进入房间盗窃,则需要想方设法得到门钥匙。
通常地,房间不仅设置有门,还设置有窗户、烟囱等设施。假设,破坏这些设施后,便可以得到打开门的钥匙,那么盗窃者便会敲敲窗户、爬爬烟囱,以试图找到存在漏洞的设施。若发现某个窗户存在裂痕,盗窃者便打碎该窗户,以获得门钥匙,从而进入房间实施盗窃。
以上举例中,存在裂痕的窗户即存在漏洞的应用,盗窃者打碎窗户的行为即异常客户端对存在漏洞的应用的攻击行为。攻击行为的目的,是为了获得合法登录应用服务器的数据。当然,盗窃者也可以事先通过其他途径获得门钥匙,这样,其不需要攻击其他设施,便可以直接打开门进入房间。
异常客户端在一起异常事件中,可能访问了多个端口,在确定了某端口对应的应用存在漏洞后,攻击该应用以获得登录数据。可以理解的是,异常客户端攻击某应用,必然需要多次访问该应用的端口。
因此,步骤S201确定异常客户端后,步骤S202在异常客户端访问的多个端口中,确定被访问次数最多的目标端口。
需要说明的是,异常客户端访问的多个端口中,可能包含提供登录服务的应用所对应的端口,例如但不限定于上述表1中的端口22及端口3389。但是,异常客户端对登录服务端口的访问,是为了登录,不属于本申请定义的攻击行为。本申请定义的攻击行为即,通过攻击存在漏洞的应用来获得合法登录应用服务器的数据的行为。
因此,本步骤确定目标端口时,并未将提供登录服务的应用所对应的端口作为可确定的目标端口,这样,是为了准确查找到被攻击的存在漏洞的应用。
步骤S203:获取异常客户端对该端口的访问情况。若访问情况符合预设条件,则执行步骤S204。
具体地,异常客户端对目标端口的访问情况可以是但不限定于,对目标端口的访问频率、对目标端口的访问次数、对目标端口的访问次数与对其他端口的访问次数的比值等。
当然,针对不同形式的访问情况,预先设置相对应的标准情况,为了便于描述,可以将该预设的标准情况称为预设条件。例如,访问情况为访问频率,则预设条件可以是访问频率阈值;访问情况为访问次数,则预设条件可以是访问次数阈值;访问情况为对目标端口的访问次数与对其他端口的访问次数的比值,则预设条件可以是比值阈值。
预设条件,用来判断某次异常事件中,被访问的目标端口是否真正被异常客户端攻击。在以上几种示例中,若访问情况超过预设条件的阈值,即表示访问情况符合预设条件,也则表示目标端口被异常客户端攻击,从而执行步骤S204。
步骤S204:确定该端口对应的应用为存在漏洞的应用。
异常客户端通过攻击存在漏洞的应用,来获得用于请求登录应用服务器的数据。
具体地,可以在预先设置的映射表中,查找目标端口所对应的应用,若查找到,则确定该应用为存在漏洞的应用。当然。若未查找到,也可以将该目标端口输出,以提供给分析人员进行人工分析。并且,进一步地,若分析出该端口所对应的应用后,可以将两者的对应关系保存至映射表中,以实现在后续异常原因检测中,使用该对应关系,确定出存在漏洞的应用。
目标端口对应的应用存在漏洞,导致其被异常客户端攻击,定位到该目标端口对应的应用后,还可以进一步对该应用的漏洞进行修补,以避免该应用再次遭受攻击,从而提高应用服务器的安全性。
由以上的技术方案可知,本申请提供了一种服务器监测方法,用于在应用服务器出现异常登录事件后,检测出应用服务器上存在漏洞的应用,该方法在应用服务器出现异常事件后,标记异常事件中的异常客户端,并确定在本次异常事件中,应用服务器上被异常客户端访问最多的端口,若异常客户端对该端口的访问情况符合预设条件,则确定该端口所对应的应用为存在漏洞的应用。
需要说明的是,以上服务器监测方法实施例1,是在服务器出现异常事件的情况下,才查找服务器上存在漏洞的应用。当然,对服务器的监测可以并非局限于出现异常事件时,可以实时或者根据需求对服务器进行监测。
具体地,在需要进行监测时,获取客户端对应用服务器的各个端口的访问次数,当然,该端口并非提供登录服务器的应用所对应的端口,若某端口的访问次数符合预设条件,则便可以确定该端口所对应的应用为存在漏洞的应用。
在具体实现中,判断端口的访问次数是否满足预设条件可以包括以下两种实现方式。
第一种实现方式,判断端口的访问次数与应用服务器的总访问次数的比值是否超过预设比值阈值。第二种实现方式,判断端口的访问次数是否超过预设次数阈值。
不论使用何种判断方式,若判断结果为是,便可以将满足条件的端口所对应的应用为存在漏洞的应用。
参见图3,其示出了本申请提供的服务器监测方法实施例2的流程。本实施例可以对上述步骤S203获得的异常客户端对目标端口的访问情况进行判断,并在访问情况不符合预设条件的情况下,确定出服务器的异常原因。
如图3所示,本实施例中的步骤S301~步骤S303、步骤S305分别与上述步骤S201~步骤S203、步骤S204相同,有关此些步骤的说明可以参见上述实施例1,此处并不赘述,以下仅对步骤S304及步骤S306进行说明。
步骤S304:判断访问情况是否符合预设条件,若符合,则执行步骤S305,若不符合,则执行步骤S306。
在一个具体示例中,异常客户端对目标端口的访问情况可以是访问数值,预设条件可以是预设的阈值,因此,可以将两者进行比对。若访问数值达到预设的阈值,则表示访问情况符合预设条件。反之,访问情况不符合预设条件。
步骤S306:确定异常客户端使用预先获得的登录数据登录应用服务器。其中,登录数据非通过攻击目标端口对应的应用获得的。
在实际应用中,异常客户端可能已经通过其他方式,事先获得了合法登录应用服务器的数据,例如,在上述打比方的示例中,盗窃者可能在盗窃前捡到了门钥匙。这样,异常客户端可以不攻击存在漏洞的应用,便可以直接登录应用服务器。
由上述的技术方案可知,在本实施例中,若步骤S304判断结果为异常客户端对目标端口的访问情况不符合预设条件,则确定异常客户端已经获得了合法登录应用服务器的数据,并使用该数据登录了应用服务器。
在实际应用中,以上应用服务器可以是服务器集群中的任意一应用服务器,应用服务器上设置有多个应用,以提供各种不同类型的服务。
参见图4所示的服务器监测系统,以上服务器监测方法可以应用在检测服务器上,该检测服务器分别与服务器集群中的各应用服务器相连,在某应用服务器出现异常事件后,该检测服务器用来在该应用服务器中的各个应用中,查找存在漏洞的应用(即导致异常登录的应用)。
参见图5,其示出了本申请提供的服务器监测方法实施例3的流程。如图5所示,本实施例可以具体包括步骤S501~步骤S509。
步骤S501:接收异常捕获工具发送的异常登录记录及网络流量监测设备发送的传输层网络数据。
具体地,如图4所示,服务器集群中的各应用服务器可以与网络流量监测设备相连,该网络流量监测设备可以是但不限定于交换机、路由器等。网络流量监测设备可以在异常捕获工具监测到异常时,将发生异常时和/或发生异常前预设时间段内的传输层网络数据上传至检测服务器。传输层网络数据中包含若干条访问记录,访问记录中包含有具有对应关系的客户端标识、被访问服务器标识、被访问端口标识。
具体地,传输层是OSI(Open System Interconnection,开放系统互联)网络模型中的第四层,提供主机的应用进程之间端到端的通信服务。在传输层,客户端与服务器之间的通信数据是通过报文传输的,报文中包含有多个字段,其中,源IP(Internet Protocol,网络协议)地址、目的IP地址及被访问端口为本实施例需要的字段。
一个报文可以看作一条访问记录,访问记录中的客户端标识可以具体为上述源IP地址,被访问服务器标识可以具体为上述目的IP地址,被访问端口标识可以是上述目的端口的标识。也就是说,网络流量监测设备可以将多条包含源IP地址、目的IP地址及被访问端口的访问记录上传至检测服务器。
另外,服务器集群中的应用服务器上可以安装有异常捕获工具,需要说明的是,该异常捕获工具为现有的异常监测工具。异常捕获工具可以对应用服务器进行监测,如图4所示,若有异常客户端登录应用服务器,其可以捕获到异常登录记录,并将该异常登录记录上传至检测服务器。
异常登录记录中包含有具有对应关系的客户端标识及服务器标识。可选地,客户端标识及服务器标识均为网络地址,即IP地址。对应关系表现为客户端标识为源IP地址,服务器标识为目的IP地址,也就是说,该源IP地址标识的客户端访问了该目的IP地址标识的服务器。
步骤S502:确定服务器标识所标识的应用服务器出现异常登录事件,且确定客户端标识所标识的客户端为异常客户端。
检测服务器接收到异常登录记录后,提取异常登录记录中包含的服务器标识如的目的IP地址。根据该服务器标识,便可以确定出服务器集群中的哪台应用服务器出现异常。
并且,异常登录记录中还包含有客户端标识如源IP地址,将该客户端标识所标识的客户端确定为异常客户端。
步骤S503:在传输层网络数据中,查找客户端标识与异常客户端的标识相同、且被访问服务器标识与应用服务器的标识相同的目标访问记录。
传输层网络数据是任意多个客户端访问服务器集群中的任意多个应用服务器的数据,为了检测出现异常的应用服务器的原因,需要在传输层网络数据中,提取异常客户端访问出现异常的应用服务器的数据。
具体地,如上说述,异常捕获工具上传的异常登录记录中包含有两个字段,分别为源IP地址及目的IP地址;网络流量监测设备上传的传输层网络数据中包含有多条访问记录。每条访问记录中包含三个字段,可以分别为源IP地址、目的IP地址及被访问端口。
则将异常登录记录中的两个字段分别与各条访问记录中的前两个字段比对,从而,在多条访问记录中,查找前两个字段与异常登录记录中的两个字段均相同的访问记录,为了便于描述,将查找到的访问记录称为目标访问记录。
步骤S504:判断目标访问记录的被访问端口标识中是否包含有非提供登录服务的端口的标识,若包含,则执行步骤S505,若未包含,则执行步骤S509。
参见上述服务器监测方法实施例1中步骤S202的说明,不同的端口提供不同的服务。
若异常客户端除了访问提供登录服务的端口外,并未访问其他端口,则表示该异常客户端并未攻击存在漏洞的应用获得登录应用服务器的数据,而是直接使用预先获得的数据登录的应用服务器。比如,若盗窃者直接打开门进入了房间盗窃,而并未对窗户等设施进行攻击,则可以确定盗窃者事先获得了门钥匙。
若异常客户端除了访问提供登录服务的端口外,还访问了其他的端口,则执行步骤S505及其后续步骤,以在多个访问的端口中定位被攻击的端口。
步骤S505:将目标访问记录中出现次数最多的、且非提供登录服务的被访问端口确定为目标端口。
上述步骤S503确定出若干条目标访问记录,该些目标访问记录是异常客户端访问出现异常的应用服务器的记录。
需要说明的是,若干条目标访问记录的客户端标识、及被访问服务器标识都相同,即分别是异常客户端的IP地址、及出现异常的应用服务器的IP地址,但是,该若干条目标访问记录中的被访问端口可能非同一个,因此,统计出现次数最多的被访问端口,该被访问端口即步骤S505中的目标端口。
例如,步骤S503确定出的目标访问记录有5条,该5条目标访问记录中的被访问端口分别为3306、1433、3389、3306及3306,统计出被访问端口3306为出现次数最多,则确定被访问端口3306为目标端口。
步骤S506:将目标端口的个数与目标访问记录中所有被访问端口个数的比值,确定为异常客户端对目标端口的访问情况。
步骤S507:判断访问情况是否符合预设条件,若是,执行步骤S508,若否,则执行步骤S509。
在一个具体示例中,异常客户端对目标端口的访问情况可以是,对目标端口的访问次数与对所有被访问端口的比值。因此,统计目标端口的个数及所有被访问端口的总个数,并计算两者的比值。例如,目标端口3306的个数为3,所有被访问端口的个数为5,则比值为3/5,该比值可以认为是异常客户端对该目标端口的访问情况。
在该具体示例中,与访问情况相对应,预先设置有比值阈值(即预设条件),例如5%。将计算出的比值与比值阈值进行比较,若比值达到比值阈值,则说明访问情况符合预设条件,进而执行步骤S508,若比值未达到比值阈值,则说明未符合预设条件,进而执行步骤S509。
当然,如上述服务器监测方法实施例1中的说明,异常客户端对目标端口的访问情况还可以是其他形式,并非局限于此。
使用预设条件对访问情况进行判断的原因是,异常客户端对访问端口的攻击行为中访问量会较大,若异常客户端对某个被访问端口的访问量过小,则此时的访问并非攻击行为。
例如,异常客户端对某个被访问端口的访问量过小,一种可能是异常客户端在攻击前进行的端口扫描,端口扫描仅仅是为了查找应用服务器开放有哪些端口,并未是在对该端口进行攻击,如盗窃者没有门钥匙的情况下,尝试着敲敲窗户,但并非是在打碎窗户。另外,访问量过小的其他可能还可以是但不限定于异常客户端在访问某个应用。
因此,为了防止将该种访问误判断为攻击行为,需要使用预设条件对访问情况进行判断。
步骤S508:确定目标端口对应的应用为存在漏洞的应用。
可以在预先设置的映射表中,查找该目标端口所对应的应用,进而将将查找到的应用,确定为存在漏洞的应用,并可以对该应用的漏洞进行修补。若在映射表中未查找到目标端口所对应的应用,还可以直接输出该目标端口的标识。
步骤S509:确定异常客户端使用预先获得的登录数据登录应用服务器;其中,请求数据非通过攻击目标端口对应的应用获得的。
由以上的技术方案可知,本实施例提供的服务器监测方法,可以使用异常登录记录及传输层网络数据,确定出异常客户端访问最多的被访问端口及对该被访问端口的访问情况,在访问情况符合预设条件的情况下,将该被访问端口对应的应用确定为存在漏洞的应用。
以下对本申请提供的服务器监测装置及检测服务器进行介绍,需要说明的是,下文有关服务器监测装置及检测服务器的说明可以参见上文提供的服务器监测方法,以下并不赘述。
如图6所示,本申请提供了一种服务器监测装置实施例1。该服务器监测装置包括:访问次数获取单元601、漏洞应用确定单元602。
访问次数获取单元601,用于获取客户端对所述应用服务器的端口的访问次数;其中,所述端口非提供登录服务的应用对应的端口;
漏洞应用确定单元602,用于若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用。
在执行若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用的步骤时,漏洞应用确定单元602具体用于:
若某端口的访问次数与所述应用服务器的总访问次数的比值超过预设比值阈值,则将所述端口对应的应用确定为存在漏洞的应用;
或者,
若某端口的访问次数超过预设次数阈值,则将所述端口对应的应用确定为存在漏洞的应用。
在执行获取客户端对所述应用服务器的端口的访问次数的步骤时,访问次数获取单元601具体用于:
若应用服务器出现异常事件,则标记访问所述应用服务器的异常客户端;
获取所述异常客户端对所述应用服务器的端口的访问次数。
其中,在执行若应用服务器出现异常事件,则标记访问所述应用服务器的异常客户端的步骤时,访问次数获取单元601具体用于:
接收异常捕获工具发送的异常登录记录;其中,所述异常登录记录中包含具有对应关系的客户端标识与服务器标识;
确定所述服务器标识所标识的应用服务器出现异常登录事件,并标记所述客户端标识所标识的客户端为异常客户端。
其中,在执行若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用的方面,漏洞应用确定单元602具体用于:
确定所述异常客户端在所述应用服务器上访问次数最多的端口为目标端口;
若所述异常客户端对所述目标端口的访问次数满足预设条件,则将所述目标端口所对应的应用确定为存在漏洞的应用。
本申请还提供了一种检测服务器,具体包括:处理器和存储器。其中,处理器通过运行存储在所述存储器内的软件程序、调用存储在所述存储器内的数据,至少执行如下步骤:
获取客户端对所述应用服务器的端口的访问次数;其中,所述端口非提供登录服务的应用对应的端口;
若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括上述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (13)
1.一种服务器监测方法,其特征在于,用于对应用服务器进行监测,所述应用服务器上不同的应用对应不同的端口,该方法包括:
获取客户端对所述应用服务器的端口的访问次数;其中,所述端口属于非提供登录服务的应用对应的端口;所述获取客户端对所述应用服务器的端口的访问次数,包括:若应用服务器出现异常事件,则标记访问所述应用服务器的异常客户端;获取所述异常客户端对所述应用服务器的端口的访问次数;
若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用。
2.根据权利要求1所述的服务器监测方法,其特征在于,所述若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用,包括:
若某端口的访问次数与所述应用服务器的总访问次数的比值超过预设比值阈值,则将所述端口对应的应用确定为存在漏洞的应用。
3.根据权利要求1所述的服务器监测方法,其特征在于,所述若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用,包括:
若某端口的访问次数超过预设次数阈值,则将所述端口对应的应用确定为存在漏洞的应用。
4.根据权利要求1所述的服务器监测方法,其特征在于,所述若应用服务器出现异常事件,则标记访问所述应用服务器的异常客户端,包括:
接收异常捕获工具发送的异常登录记录;其中,所述异常登录记录中包含具有对应关系的客户端标识与服务器标识;
确定所述服务器标识所标识的应用服务器出现异常登录事件,并标记所述客户端标识所标识的客户端为异常客户端。
5.根据权利要求1所述的服务器监测方法,其特征在于,所述若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用,包括:
确定所述异常客户端在所述应用服务器上访问次数最多的端口为目标端口;
若所述异常客户端对所述目标端口的访问次数满足预设条件,则将所述目标端口所对应的应用确定为存在漏洞的应用。
6.根据权利要求1~5任意一项所述的服务器监测方法,其特征在于,所述对所述应用服务器的端口的访问次数是从传输层网络数据中获取到的。
7.一种服务器监测装置,其特征在于,用于对应用服务器进行监测,所述应用服务器上不同的应用对应不同的端口,该装置包括:
访问次数获取单元,用于获取客户端对所述应用服务器的端口的访问次数;其中,所述端口属于非提供登录服务的应用对应的端口;在所述获取客户端对所述应用服务器的端口的访问次数的方面,所述访问次数获取单元用于:若应用服务器出现异常事件,则标记访问所述应用服务器的异常客户端;获取所述异常客户端对所述应用服务器的端口的访问次数;
漏洞应用确定单元,用于若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用。
8.根据权利要求7所述的服务器监测装置,其特征在于,在所述若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用的方面,所述漏洞应用确定单元用于:
若某端口的访问次数与所述应用服务器的总访问次数的比值超过预设比值阈值,则将所述端口对应的应用确定为存在漏洞的应用。
9.根据权利要求7所述的服务器监测装置,其特征在于,在所述若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用的方面,所述漏洞应用确定单元用于:
若某端口的访问次数超过预设次数阈值,则将所述端口对应的应用确定为存在漏洞的应用。
10.根据权利要求7所述的服务器监测装置,其特征在于,在所述若应用服务器出现异常事件,则标记访问所述应用服务器的异常客户端的方面,所述访问次数获取单元用于:
接收异常捕获工具发送的异常登录记录;其中,所述异常登录记录中包含具有对应关系的客户端标识与服务器标识;
确定所述服务器标识所标识的应用服务器出现异常登录事件,并标记所述客户端标识所标识的客户端为异常客户端。
11.根据权利要求7所述的服务器监测装置,其特征在于,在所述若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用的方面,所述漏洞应用确定单元用于:
确定所述异常客户端在所述应用服务器上访问次数最多的端口为目标端口;
若所述异常客户端对所述目标端口的访问次数满足预设条件,则将所述目标端口所对应的应用确定为存在漏洞的应用。
12.根据权利要求7~11任意一项所述的服务器监测装置,其特征在于,所述访问次数获取单元是从传输层网络数据中,获取到对所述应用服务器的端口的访问次数的。
13.一种检测服务器,其特征在于,包括:处理器和存储器,其中,所述处理器通过运行存储在所述存储器内的软件程序、调用存储在所述存储器内的数据,至少执行如下步骤:
获取客户端对应用服务器的端口的访问次数;其中,所述端口属于非提供登录服务的应用对应的端口;所述获取客户端对所述应用服务器的端口的访问次数,包括:若应用服务器出现异常事件,则标记访问所述应用服务器的异常客户端;获取所述异常客户端对所述应用服务器的端口的访问次数;
若某端口的访问次数满足预设条件,则将所述端口所对应的应用确定为存在漏洞的应用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610440351.3A CN107515820B (zh) | 2016-06-17 | 2016-06-17 | 服务器监测方法及装置、检测服务器 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610440351.3A CN107515820B (zh) | 2016-06-17 | 2016-06-17 | 服务器监测方法及装置、检测服务器 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107515820A CN107515820A (zh) | 2017-12-26 |
CN107515820B true CN107515820B (zh) | 2021-02-05 |
Family
ID=60719986
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610440351.3A Active CN107515820B (zh) | 2016-06-17 | 2016-06-17 | 服务器监测方法及装置、检测服务器 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107515820B (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109067738B (zh) * | 2018-07-27 | 2021-06-29 | 平安科技(深圳)有限公司 | 一种端口的漏洞检测方法、终端及计算机可读介质 |
CN110191004B (zh) * | 2019-06-18 | 2022-05-27 | 北京搜狐新媒体信息技术有限公司 | 一种端口检测方法及系统 |
CN111177513B (zh) * | 2019-12-31 | 2023-10-31 | 北京百度网讯科技有限公司 | 异常访问地址的确定方法、装置、电子设备及存储介质 |
CN111447199A (zh) * | 2020-03-23 | 2020-07-24 | 深信服科技股份有限公司 | 服务器的风险分析方法、服务器的风险分析装置及介质 |
CN112541181A (zh) * | 2020-12-22 | 2021-03-23 | 建信金融科技有限责任公司 | 一种检测服务器安全性的方法和装置 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102916940A (zh) * | 2012-09-19 | 2013-02-06 | 浪潮(北京)电子信息产业有限公司 | 一种实现云数据中心网络安全的方法及系统 |
CN103685294A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
CN104378255A (zh) * | 2014-10-29 | 2015-02-25 | 深信服网络科技(深圳)有限公司 | web恶意用户的检测方法及装置 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN104836702A (zh) * | 2015-05-06 | 2015-08-12 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
CN105528546A (zh) * | 2015-12-25 | 2016-04-27 | 北京金山安全软件有限公司 | 一种挖掘漏洞的方法、装置及电子设备 |
CN105590063A (zh) * | 2015-12-25 | 2016-05-18 | 北京金山安全软件有限公司 | 一种挖掘漏洞的方法、装置及电子设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023710B (zh) * | 2011-09-21 | 2016-06-08 | 阿里巴巴集团控股有限公司 | 一种安全测试系统和方法 |
CN102932206B (zh) * | 2012-11-19 | 2016-09-28 | 北京奇虎科技有限公司 | 监测网站访问信息的方法和系统 |
CN102932207B (zh) * | 2012-11-19 | 2015-12-23 | 北京奇虎科技有限公司 | 监测网站访问信息的方法及服务器 |
WO2014196954A1 (en) * | 2013-06-03 | 2014-12-11 | Empire Technology Development, Llc | Health monitoring using snapshot backups through test vectors |
US9413764B2 (en) * | 2013-09-30 | 2016-08-09 | Juniper Networks, Inc. | Fuzzing server responses to malicious client devices |
-
2016
- 2016-06-17 CN CN201610440351.3A patent/CN107515820B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102916940A (zh) * | 2012-09-19 | 2013-02-06 | 浪潮(北京)电子信息产业有限公司 | 一种实现云数据中心网络安全的方法及系统 |
CN103685294A (zh) * | 2013-12-20 | 2014-03-26 | 北京奇虎科技有限公司 | 拒绝服务攻击的攻击源的识别方法和装置 |
CN104378255A (zh) * | 2014-10-29 | 2015-02-25 | 深信服网络科技(深圳)有限公司 | web恶意用户的检测方法及装置 |
CN104468632A (zh) * | 2014-12-31 | 2015-03-25 | 北京奇虎科技有限公司 | 防御漏洞攻击的方法、设备及系统 |
CN104836702A (zh) * | 2015-05-06 | 2015-08-12 | 华中科技大学 | 一种大流量环境下主机网络异常行为检测及分类方法 |
CN105528546A (zh) * | 2015-12-25 | 2016-04-27 | 北京金山安全软件有限公司 | 一种挖掘漏洞的方法、装置及电子设备 |
CN105590063A (zh) * | 2015-12-25 | 2016-05-18 | 北京金山安全软件有限公司 | 一种挖掘漏洞的方法、装置及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN107515820A (zh) | 2017-12-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107515820B (zh) | 服务器监测方法及装置、检测服务器 | |
US11178165B2 (en) | Method for protecting IoT devices from intrusions by performing statistical analysis | |
CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
US8392963B2 (en) | Techniques for tracking actual users in web application security systems | |
US9628508B2 (en) | Discovery of suspect IP addresses | |
CN107809433B (zh) | 资产管理方法及装置 | |
Jacob et al. | {PUBCRAWL}: Protecting users and businesses from {CRAWLers} | |
CN105939326B (zh) | 处理报文的方法及装置 | |
CN111245787A (zh) | 一种失陷设备识别与设备失陷度评估的方法、装置 | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
US20150341389A1 (en) | Log analyzing device, information processing method, and program | |
Boyer et al. | Ideal based cyber security technical metrics for control systems | |
CN104811449A (zh) | 检测撞库攻击方法及系统 | |
US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
CN107493256B (zh) | 安全事件防御方法及装置 | |
CN104135474B (zh) | 基于主机出入度的网络异常行为检测方法 | |
CN107733699B (zh) | 互联网资产安全管理方法、系统、设备及可读存储介质 | |
CN104378255B (zh) | web恶意用户的检测方法及装置 | |
KR101951730B1 (ko) | 지능형 지속위협 환경에서의 통합 보안 시스템 | |
CN108259473A (zh) | Web服务器扫描防护方法 | |
CN112910839B (zh) | 一种dns攻击的防御方法和装置 | |
CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
KR20200109875A (ko) | 유해 ip 판단 방법 | |
Asha et al. | Analysis on botnet detection techniques | |
Yamada et al. | Using abnormal TTL values to detect malicious IP packets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |