CN111447199A - 服务器的风险分析方法、服务器的风险分析装置及介质 - Google Patents
服务器的风险分析方法、服务器的风险分析装置及介质 Download PDFInfo
- Publication number
- CN111447199A CN111447199A CN202010212128.XA CN202010212128A CN111447199A CN 111447199 A CN111447199 A CN 111447199A CN 202010212128 A CN202010212128 A CN 202010212128A CN 111447199 A CN111447199 A CN 111447199A
- Authority
- CN
- China
- Prior art keywords
- port
- server
- risk
- information
- service data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012502 risk assessment Methods 0.000 title claims abstract description 76
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000002159 abnormal effect Effects 0.000 claims abstract description 42
- 230000005856 abnormality Effects 0.000 claims description 17
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000007405 data analysis Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000004888 barrier function Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000012216 screening Methods 0.000 description 3
- 230000008439 repair process Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种服务器的风险分析方法,包括以下步骤:记录传输的业务数据;获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个;根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。本发明还公开了一种服务器的风险分析装置以及计算机可读存储介质。本发明对服务器地址进行风险分析,从而提高了服务器的安全性。
Description
技术领域
本发明涉及计算机安全技术领域,尤其涉及一种服务器的风险分析方法、服务器的风险分析装置以及计算机可读存储介质。
背景技术
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
目前,基于防火墙的功能,一般认为客户端通过防火墙对服务器上的服务器地址进行访问是安全的,从而忽略了某些恶意客户端对服务器进行表面的合法访问时,会使得服务器上的服务器地址增加暴露的风险。这样,当信息过度泄露时,就会令资产服务器容易受到攻击、勒索。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种服务器的风险分析方法、服务器的风险分析装置以及计算机可读存储介质,对服务器地址进行风险分析,从而提高了服务器的安全性。
为实现上述目的,本发明提供一种服务器的风险分析方法,所述服务器的风险分析方法包括以下步骤:
记录传输的业务数据;
获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个;
根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。
可选地,所述记录传输的业务数据的步骤包括:
记录通过防火墙传输的业务数据。
可选地,所述所述记录传输的业务数据的步骤之前,还包括:
获取处于预设网段范围的服务器IP地址;
其中,基于获取到的服务器IP地址,执行所述记录通过防火墙传输的业务数据的步骤。
可选地,所述根据所述端口信息对所述业务数据对应的服务器地址进行风险评估的步骤包括:
在所述端口信息满足预设条件时,则所述业务数据对应的服务器地址不存在风险;
在所述端口信息不满足预设条件时,则所述业务数据对应的服务器地址存在风险;
其中,所述预设条件包括至少一个:
端口最新访问时间至今的时长小于预设时长;
所述端口信息中未存在所述端口异常信息。
可选地,所述端口异常信息包括以下至少一个:
所述端口信息中存在未使用的端口;
所述端口信息中存在高危端口的访问权限;
所述端口信息包括了所有端口的访问权限。
可选地,所述在所述端口信息不满足预设条件时,则判定所述业务数据对应的服务器资产服务器地址的风险信息为存在风险的步骤之后,还包括:
在所述端口信息中存在所述端口异常信息时,根据所述端口异常信息对所述服务器地址进行风险评级;
在所述端口信息中不存在所述端口异常信息时,根据所述端口最新访问时间对所述服务器地址进行风险评级。
可选地,所述根据所述端口异常信息对所述服务器地址进行风险评级的步骤包括:
在所述端口异常信息为所述端口信息中存在未使用的端口时,所述服务器地址的风险等级为低风险等级;
在所述端口异常信息为所述端口信息中存在高危端口的访问权限时,所述服务器地址的风险等级为中风险等级;
在所述端口异常信息为所述端口信息包括了所有端口的访问权限时,所述服务器地址的风险等级为高风险等级。
可选地,所述业务数据为服务器通过所述防火墙与客户端进行传输的业务数据,所述客户端与所述服务器处于面向连接状态。
可选地,所述记录传输的业务数据的步骤之后,还包括:
将数据属性相同的业务数据划分至同一项资产表中,所述数据属性包括服务器地址、传输层协议、客户端地址和所开放的端口中的至少一个;
从所有资产表中获取所述服务器地址相同的业务数据,作为对所述服务器地址进行风险评估的业务数据。
为实现上述目的,本发明还提供一种服务器的风险分析装置,所述服务器的风险分析装置包括:
所述服务器的风险分析装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的服务器的风险分析程序,所述服务器的风险分析程序被所述处理器执行时实现如上述服务器的风险分析方法的步骤。
为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有服务器的风险分析程序,所述服务器的风险分析程序被处理器执行时实现如上述服务器的风险分析方法的步骤。
为实现上述目的,本发明还提供一种服务器的风险分析装置,其特征在于,所述服务器的风险分析装置包括:
记录模块,用于记录传输的业务数据;
获取模块,用于获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个;
分析模块,用于根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。
本发明提供的服务器的风险分析方法、服务器的风险分析装置以及计算机可读存储介质,记录传输的业务数据;获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个;根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。这样,对服务器地址进行风险分析,从而提高了服务器的安全性。
附图说明
图1为本发明实施例方案涉及的实施例终端的硬件运行环境示意图;
图2为本发明服务器的风险分析方法第一实施例的流程示意图;
图3为本发明服务器的风险分析方法第二实施例的流程示意图;
图4为本发明服务器的风险分析方法第三实施例的流程示意图;
图5为本发明服务器的风险分析方法第四实施例的流程示意图;
图6为本发明实施例方案涉及的服务器的风险分析装置的功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明提供一种服务器的风险分析方法,对服务器地址进行风险分析,从而提高了服务器的安全性。
如图1所示,图1是本发明实施例方案涉及的实施例终端的硬件运行环境示意图;
本发明实施例终端可以是服务器的风险分析装置,服务器的风险分析装置可以具体为防火墙设备(或者装载在防火墙中的设备),也可以是服务器(或者装载在服务器中的设备)。
如图1所示,该终端可以包括:处理器1001,例如CPU中央处理器(centralprocessing unit),存储器1002,通信总线1003。其中,通信总线1003用于实现该终端中各组成部件之间的连接通信。存储器1002可以是高速RAM随机存储器(random-accessmemory),也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1002可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的终端的结构并不构成对本发明实施例终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1002中可以包括服务器的风险分析程序。
在图1所示的终端中,处理器1001可以用于调用存储器1002中存储的服务器的风险分析程序,并执行以下操作:
记录传输的业务数据;
获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个;
根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。
进一步地,处理器1001可以调用存储器1002中存储的服务器的风险分析程序,还执行以下操作:
记录通过防火墙传输的业务数据。
进一步地,处理器1001可以调用存储器1002中存储的服务器的风险分析程序,还执行以下操作:
获取处于预设网段范围的服务器IP地址;
其中,基于获取到的服务器IP地址,执行所述记录通过防火墙传输的业务数据的步骤。
进一步地,处理器1001可以调用存储器1002中存储的服务器的风险分析程序,还执行以下操作:
在所述端口信息满足预设条件时,则所述业务数据对应的服务器地址不存在风险;
在所述端口信息不满足预设条件时,则所述业务数据对应的服务器地址存在风险;
其中,所述预设条件包括以下至少一个:
端口最新访问时间至今的时长小于预设时长;
所述端口信息中未存在所述端口异常信息。
进一步地,处理器1001可以调用存储器1002中存储的服务器的风险分析程序,还执行以下操作:
所述端口信息中存在未使用的端口;
所述端口信息中存在高危端口的访问权限;
所述端口信息包括了所有端口的访问权限。
进一步地,处理器1001可以调用存储器1002中存储的服务器的风险分析程序,还执行以下操作:
在所述端口信息中存在所述端口异常信息时,根据所述端口异常信息对所述服务器地址进行风险评级;
在所述端口信息中不存在所述端口异常信息时,根据所述端口最新访问时间对所述服务器地址进行风险评级,其中,所述端口最新访问时间至今的时长越长,所述服务器地址的风险等级越高。
进一步地,处理器1001可以调用存储器1002中存储的服务器的风险分析程序,还执行以下操作:
在所述端口异常信息为所述端口信息中存在未使用的端口时,所述服务器地址的风险等级为低风险等级;
在所述端口异常信息为所述端口信息中存在高危端口的访问权限时,所述服务器地址的风险等级为中风险等级;
在所述端口异常信息为所述端口信息包括了所有端口的访问权限时,所述服务器地址的风险等级为高风险等级。
进一步地,处理器1001可以调用存储器1002中存储的服务器的风险分析程序,还执行以下操作:
所述业务数据为服务器通过所述防火墙与客户端进行传输的业务数据,所述客户端与所述服务器处于面向连接状态。
进一步地,处理器1001可以调用存储器1002中存储的服务器的风险分析程序,还执行以下操作:
将数据属性相同的业务数据划分至同一项资产表中,所述数据属性包括服务器地址、传输层协议和所开放的端口中的至少一个;
从所有资产表中获取所述服务器地址相同的业务数据,作为对所述服务器地址进行风险评估的业务数据。
参照图2,在一实施例中,所述服务器的风险分析方法包括:
步骤S10、记录传输的业务数据。
本实施例中,实施例终端可以是服务器的风险分析装置,服务器的风险分析装置可以具体为防火墙设备(或者装载在防火墙中的设备),也可以是服务器(或者装载在服务器中的设备)。
可选地,服务器可以是DAP(Data Analysis Platform)数据分析平台,一个高性能、高稳定性和可扩展的数据计算与服务的平台;可选地,防火墙可以是通过有机结合各类用于安全管理与筛选的软件和硬件设备,于服务器内、外网之间构建的一道相对隔绝的保护屏障的设备。
可选地,业务数据表征为各个客户端与服务器之间,通过服务器的防火墙进行交互传输的数据。
可选地,服务器分配有多个IP(Internet Protocol)地址,每个IP地址至少提供有一个端口服务(虚拟端口)。
客户端与服务器进行交互时,所能传输的业务数据的具体内容,取决于服务器当前向客户端提供的服务器IP地址所开放的端口提供的服务。例如,端口:21,提供有FTP(File Transfer Protocol,文件传输协议)服务,在服务器存在开放端口21的IP地址时,则客户端基于该IP地址访问服务器时,可以在服务器上传、下载文件。
可选地,终端可以是只记录处于预设网段范围的服务器IP地址所对应的业务数据,以在内核层面上首先过滤掉非必要的业务数据。
其中,终端基于处于预设网段范围的服务器IP地址,执行所述记录通过防火墙传输的业务数据的步骤(即步骤S10)。
步骤S20、获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个。
可选地,端口信息包括业务数据对应的服务器IP地址,其所开放的端口中,各个端口的最新访问时间,最新访问时间表征为某一客户端对该端口最近一次访问的时间,或者,基于该端口最近一次有业务流量流通防火墙的时间。
可选地,端口信息还可以包括端口异常信息。
其中,若在业务数据对应的服务器IP地址中,开放了所有的端口的访问权限,则记录业务数据对应的端口信息中存在端口异常信息,且该端口异常信息记录为端口信息包括了所有端口的访问权限。例如,业务对应的服务端口为any,表示所有端口的访问权限均开放,则为端口异常。
其中,若在业务数据对应的服务器IP地址中,开放了高危端口(如RDP(RemoteDesktop Protocol)端口、SMB(Server Message Block)端口等)的访问权限,则记录业务数据对应的端口信息中存在端口异常信息,且该端口异常信息记录为端口信息中存在高危端口的访问权限。
其中,若在业务数据对应的服务器IP地址中,存在开放了而未使用的端口,则记录业务数据对应的端口信息中存在端口异常信息,且该端口异常信息记录为端口信息中存在未使用的端口。例如,业务开放端口过大且没有在使用,则为端口异常。
可选地,端口异常信息包括以下至少一个:端口信息中存在未使用的端口;端口信息中存在高危端口的访问权限;端口信息包括了所有端口的访问权限。
可选地,端口信息还可以包括终端最近一次对端口进行扫描的时间、终端第一次对端口进行扫描的时间、存储区域等。
可选地,终端获取到业务数据后,则获取针对业务数据开放的端口的端口信息,并将端口信息与业务数据对应的服务器IP地址关联保存。
步骤S30、根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。
可选地,终端在对服务器IP地址进行风险评估时,可以先判断服务器IP地址关联的端口信息是否满足预设条件。其中,当终端检测到服务器IP地址的端口信息满足预设条件时,则判定该服务器IP地址不存在风险;当终端检测到服务器IP地址的端口信息不满足预设条件时,则判定该服务器IP地址存在风险。
其中,预设条件包括以下至少一个:端口最新访问时间至今的时长小于预设时长,以及端口信息中未存在端口异常信息。需要说明的是,预设时长可以是由工程师事先根据实际情况需要设置,可选为7天、8天等。
可选地,当终端检测到服务器IP地址关联的端口信息不存在端口异常信息,以及端口信息中所有端口对应的端口最新访问时间至今的时长,均小于预设时长,则终端判定该服务器IP地址不存在风险。
例如,检测到某服务器IP地址,其端口7天内有活跃(有访问),且不存在端口异常信息,则判定该服务器IP地址不存在风险。
可选地,当终端检测到服务器IP地址关联的端口信息存在端口异常信息,和/或,终端检测到端口信息中,存在至少一个端口对应的端口最新访问时间至今的时长,大于或者小于预设时长,则终端判定该服务器IP地址存在风险。
可选地,当终端检测到服务器IP地址存在风险时,还可以生成提示信息,并将提示信息输出至服务器管理员的关联终端,提醒管理员进行风险漏洞的修复,例如关闭存在风险的服务器IP地址的一些端口。
这样,通过对可以流通防火墙的业务数据,其对应的服务器IP地址进行风险分析,从而提高了服务器的安全性。
在第二实施例中,如图3所示,在上述图2所示的实施例基础上,所述获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个的步骤之后,还包括:
步骤S31、在所述端口信息不满足预设条件时,则所述业务数据对应的服务器地址存在风险。
步骤S41、在所述端口信息中存在所述端口异常信息时,根据所述端口异常信息对所述服务器地址进行风险评级。
步骤S42、在所述端口信息中不存在所述端口异常信息时,根据所述端口最新访问时间对所述服务器地址进行风险评级。
本实施例中,当终端检测到服务器IP地址关联的端口信息中,存在端口最新访问时间至今的时长大于或等于预设时长的端口,和/或,检测到端口信息中存在端口异常信息,则终端判定该服务器IP地址存在风险。
进一步地,终端可对存在风险的服务器IP地址进行风险评级。
可选地,当终端检测到服务器IP地址存在端口异常信息时,可以根据端口异常信息对服务器IP地址进行风险评级。
其中,当服务器IP地址的端口异常信息为端口信息中存在未使用的端口,或者存在在预设时长内(如7天)未曾访问的端口时,则终端判定服务器IP地址的风险等级为低风险等级;当服务器IP地址的端口异常信息为所述端口信息中存在高危端口的访问权限时,则终端判定服务器IP地址的风险等级为中风险等级;当服务器IP地址的端口异常信息为所述端口信息包括了所有端口的访问权限时,则终端判定服务器IP地址的风险等级为高风险等级。
进一步地,若服务器IP地址存在多个端口异常信息时,则根据风险等级最高的端口异常信息,对服务器IP地址进行风险评级。例如,当服务器IP地址的端口异常信息包括端口信息中存在未使用的端口,以及端口信息中存在高危端口的访问权限,则终端判定服务器IP地址的风险等级为中风险等级。
可选地,当终端检测到服务器IP地址存在端口异常信息时,还可以判定该服务器IP地址的风险类型为端口风险。
可选地,当终端检测到服务器IP地址不存在所述端口异常信息时,则根据端口最新访问时间对服务器IP地址进行风险评级,其中,端口最新访问时间至今的时长越长,服务器地址的风险等级越高。
可选地,设置第一时长和第二时长,其中,第一时长大于预设时长,第二时长大于第一时长。
可选地,当终端检测到端口最新访问时间至今的时长,处于第一时长和预设时长之间时(即小于第一时长,且大于或等于预设时长),则终端判定服务器IP地址的风险等级为低风险等级;当终端检测到端口最新访问时间至今的时长,处于第二时长和第一时长之间时(即小于第二时长,且大于或等于第一时长),则终端判定服务器IP地址的风险等级为中风险等级;当终端检测到端口最新访问时间至今的时长,大于或等于第二时长时,则终端判定服务器IP地址的风险等级为高风险等级。
可选地,第一时长可选为30天,第二时长可选为90天。
可选地,当终端根据端口最新访问时间对服务器IP地址进行风险评级时,还可以判定该服务器IP地址的风险类型为离线风险。
可选地,终端在识别服务器IP地址的风险类型时,还可以先主动探测最新访问时间至今的时长大于或等于预设时长的端口,是否已经离线。若是,则识别其风险类型为离线风险,例如,超过7天以上没有流量经过防火墙,且主动探测已离线(离线风险);若否,则识别其风险类型为不活跃风险,例如,超过7天以上没有流量经过防火墙,但是主动探测却在线(不活跃风险)。
这样,实现对存在风险的服务器IP地址进行风险评级,从而使得风险程度越高的服务器IP地址能更引起服务器管理员的重视,并能及时排除服务器风险,从而提高服务器的安全性。
在第三实施例中,如图4所示,在上述图2至图3的实施例基础上,所述记录传输的业务数据的步骤包括:
步骤S11、记录通过防火墙传输的业务数据,所述业务数据为服务器通过所述防火墙与客户端进行传输的业务数据,所述客户端与所述服务器处于面向连接状态。
本实施例中,终端在记录通过防火墙进行传输的业务数据时,还可以是只记录与服务器处于面向连接状态的客户端,其与服务器通过防火墙进行传输的业务数据。
需要说明的是,面向连接状态为TCP三次握手完成后的状态。
可选地,只有TCP连接需要判断链接状态,通过分析数据包的三次握手情况,设置当前连接的状态。
在三次握手完成之前,当服务器接收到客户端发送的握手请求syn信号时(第一次握手),则定义当前状态为new_syn状态,并向客户端发送响应信号(第二次握手)。其中,当服务器在握手期间接收到客户端发送的fin信号时,则定义当前状态为new_fin状态;当服务器子啊握手期间接收到客户端发送的reset信号,则定义当前状态为new_rst状态。
之后,当服务器接收到ack信号(第三次握手),则三次握手完成,并定义当前状态为est_ack状态。其中,当服务器握手完成后与客户端正常传输数据,则定义当前状态为est_psh状态;当服务器或客户端任一方主动关闭连接时,定义当前状态为est_fin状态;当服务器接收到客户端发送的reset信号时,定义当前状态为est_rst状态。
上述状态中,只有est_ack状态和est_psh状态属于面向连接状态,只需记录面向连接状态下的客户端与服务器之间的业务数据即可。
需要说明的是,业务访问是基于连接的,记录连接状态,可以用于服务器资产识别的过滤,因为只需要处理已经建立的连接。
在第四实施例中,如图5所示,在上述图2至图4的实施例基础上,所述记录传输的业务数据的步骤之后,还包括:
步骤S50、将数据属性相同的业务数据划分至同一项资产表中;
步骤S51、从所有资产表中获取所述服务器地址相同的业务数据,作为对所述服务器地址进行风险评估的业务数据。
本实施例中,述数据属性包括服务器地址、传输层协议、客户端地址和所开放的端口中的至少一个。
在终端获取到多个服务器IP地址对应的业务数据后,可以先进行业务资产的识别,将数据属性(也可以将数据属性称为键值)相同的业务数据划分至同一项资产表中,其中,数据属性(键值)包括服务器IP地址、传输层协议(网络第四层协议)、客户端地址和所开放的端口中的至少一个。
需要说明的是,客户端地址为与服务器IP地址获取进行该业务数据传输的客户端的IP地址。
可选地,终端记录的是原始的流量日志,需要聚合成以业务资产为键值(服务器IP+端口+传输层协议)的资产表。资产表主要记录业务的应用层协议(即网络第七层协议,取自应用识别引擎结果)、来自区域、最近一次访问时间等。
可选的,终端每隔5分钟统计一次原始的流量日志,并将相同键值(数据属性)的数据聚合为一条资产表数据,聚合结果写入一个数据库分区。
可选地,不仅是分析流量,终端还会在设置的时间段内对服务器网段进行扫描,主要扫描端口状态,端口服务信息。
进一步地,终端在得到多个资产表后,则从所有资产表中获取服务器IP地址相同的业务数据,作为对该服务器IP地址进行风险评估的业务数据。
可选地,终端根据识别出来的资产(业务数据),搭配dap的聚合器算子。可以分析出当前服务器IP地址存在的风险。
其中,聚合器算子的作用是,把每个业务IP的端口进行聚合分析,因为资产表的数据是不连续的,需要遍历数据,然后按不同的服务器IP进行临时存储,然后再按服务器IP进行风险分析。
可选地,聚合器算子分析风险的工作流程,可以是基于MapReduce框架。
需要说明的是,MapReduce是一种编程模型,用于大规模数据集(大于1TB)的并行运算。概念"Map(映射)"和"Reduce(归约)",是它们的主要思想,都是从函数式编程语言里借来的,还有从矢量编程语言里借来的特性。它极大地方便了编程人员在不会分布式并行编程的情况下,将自己的程序运行在分布式系统上。当前的软件实现是指定一个Map(映射)函数,用来把一组键值对映射成一组新的键值对,指定并发的Reduce(归约)函数,用来保证所有映射的键值对中的每一个共享相同的键组。
此外,本发明还提出一种服务器的风险分析装置,所述服务器的风险分析装置包括存储器、处理器及存储在存储器上并可在处理器上运行的服务器的风险分析程序,所述处理器执行所述服务器的风险分析程序时实现如以上实施例所述的服务器的风险分析方法的步骤。
此外,本发明还提出一种计算机可读存储介质,所述计算机可读存储介质包括服务器的风险分析程序,所述服务器的风险分析程序被处理器执行时实现如以上实施例所述的服务器的风险分析方法的步骤。
本发明还提出一种服务器的风险分析装置。
参照图5所示,为本发明服务器的风险分析装置的功能模块示意图。
在该实施例中,该服务器的风险分析装置包括:
识别模块10,用于记录传输的业务数据。
可选地,服务器的风险分析装置可以具体为防火墙设备(或者装载在防火墙中的设备),也可以是服务器(或者装载在服务器中的设备)。
可选地,服务器可以是DAP(Data Analysis Platform)数据分析平台,一个高性能、高稳定性和可扩展的数据计算与服务的平台;可选地,防火墙可以是通过有机结合各类用于安全管理与筛选的软件和硬件设备,于服务器内、外网之间构建的一道相对隔绝的保护屏障的设备。
可选地,业务数据表征为各个客户端与服务器之间,通过服务器的防火墙进行交互传输的数据。
可选地,服务器分配有多个IP(Internet Protocol)地址,每个IP地址至少提供有一个端口服务(虚拟端口)。
客户端与服务器进行交互时,所能传输的业务数据的具体内容,取决于服务器当前向客户端提供的服务器IP地址所开放的端口提供的服务。例如,端口:21,提供有FTP(File Transfer Protocol,文件传输协议)服务,在服务器存在开放端口21的IP地址时,则客户端基于该IP地址访问服务器时,可以在服务器上传、下载文件。
可选地,终端可以是只记录处于预设网段范围的服务器IP地址所对应的业务数据,以在内核层面上首先过滤掉非必要的业务数据。
获取模块20,用于获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个。
可选地,端口信息包括业务数据对应的服务器IP地址,其所开放的端口中,各个端口的最新访问时间,最新访问时间表征为某一客户端对该端口最近一次访问的时间,或者,基于该端口最近一次有业务流量流通防火墙的时间。
可选地,端口信息还可以包括端口异常信息。
其中,若在业务数据对应的服务器IP地址中,开放了所有的端口,则记录业务数据对应的端口信息中存在端口异常信息,且该端口异常信息记录为端口信息包括了所有端口的访问权限。例如,业务对应的服务端口为any,则为端口异常。
其中,若在业务数据对应的服务器IP地址中,开放了高危端口(如RDP(RemoteDesktop Protocol)端口、SMB(Server Message Block)端口等),则记录业务数据对应的端口信息中存在端口异常信息,且该端口异常信息记录为端口信息中存在高危端口的访问权限。
其中,若在业务数据对应的服务器IP地址中,存在开放了而未使用的端口,则记录业务数据对应的端口信息中存在端口异常信息,且该端口异常信息记录为端口信息中存在未使用的端口。例如,业务开放端口过大且没有在使用,则为端口异常。
可选地,端口异常信息包括以下至少一个:端口信息中存在未使用的端口;端口信息中存在高危端口的访问权限;端口信息包括了所有端口的访问权限。
可选地,端口信息还可以包括终端最近一次对端口进行扫描的时间、终端第一次对端口进行扫描的时间、存储区域等。
可选地,终端获取到业务数据后,则获取针对业务数据开放的端口的端口信息,并将端口信息与业务数据对应的服务器IP地址关联保存。
分析模块30,用于根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。
可选地,终端在对服务器IP地址进行风险评估时,可以先判断服务器IP地址关联的端口信息是否满足预设条件。其中,当终端检测到服务器IP地址的端口信息满足预设条件时,则判定该服务器IP地址不存在风险;当终端检测到服务器IP地址的端口信息不满足预设条件时,则判定该服务器IP地址存在风险。
其中,预设条件包括:端口最新访问时间至今的时长小于预设时长,以及端口信息中未存在端口异常信息。需要说明的是,预设时长可以是由工程师事先根据实际情况需要设置,可选为7天、8天等。
可选地,当终端检测到服务器IP地址关联的端口信息不存在端口异常信息,以及端口信息中所有端口对应的端口最新访问时间至今的时长,均小于预设时长,则终端判定该服务器IP地址不存在风险。
例如,检测到某服务器IP地址,其端口7天内有活跃(有访问),且不存在端口异常信息,则判定该服务器IP地址不存在风险。
可选地,当终端检测到服务器IP地址关联的端口信息存在端口异常信息,和/或,终端检测到端口信息中,存在至少一个端口对应的端口最新访问时间至今的时长,大于或者小于预设时长,则终端判定该服务器IP地址存在风险。
可选地,当终端检测到服务器IP地址存在风险时,还可以生成提示信息,并将提示信息输出至服务器管理员的关联终端,提醒管理员进行风险漏洞的修复,例如关闭存在风险的服务器IP地址的一些端口。
这样,通过对可以流通防火墙的业务数据,其对应的服务器IP地址进行风险分析,从而提高了服务器的安全性。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是可选实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是电视机,手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的可选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (11)
1.一种服务器的风险分析方法,其特征在于,所述服务器的风险分析方法包括以下步骤:
记录传输的业务数据;
获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个;
根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。
2.如权利要求1所述的服务器的风险分析方法,其特征在于,所述记录传输的业务数据的步骤之前,还包括:
获取处于预设网段范围的服务器地址;
其中,基于获取到的服务器地址,执行所述记录通过防火墙传输的业务数据的步骤。
3.如权利要求1所述的服务器的风险分析方法,其特征在于,所述根据所述端口信息对所述业务数据对应的服务器地址进行风险评估的步骤包括:
在所述端口信息满足预设条件时,则所述业务数据对应的服务器地址不存在风险;
在所述端口信息不满足预设条件时,则所述业务数据对应的服务器地址存在风险;
其中,所述预设条件包括以下至少一个:
端口最新访问时间至今的时长小于预设时长;
所述端口信息中未存在所述端口异常信息。
4.如权利要求3所述的服务器的风险分析方法,其特征在于,所述端口异常信息包括以下至少一个:
所述端口信息中存在未使用的端口;
所述端口信息中存在高危端口的访问权限;
所述端口信息包括了所有端口的访问权限。
5.如权利要求3或4所述的服务器的风险分析方法,其特征在于,所述在所述端口信息不满足预设条件时,则判定所述业务数据对应的服务器资产服务器地址的风险信息为存在风险的步骤之后,还包括:
在所述端口信息中存在所述端口异常信息时,根据所述端口异常信息对所述服务器地址进行风险评级;
在所述端口信息中不存在所述端口异常信息时,根据所述端口最新访问时间对所述服务器地址进行风险评级。
6.如权利要求5所述的服务器的风险分析方法,其特征在于,所述根据所述端口异常信息对所述服务器地址进行风险评级的步骤包括:
在所述端口异常信息为所述端口信息中存在未使用的端口时,或者存在在预设时长内未曾访问的端口时,所述服务器地址的风险等级为低风险等级;
在所述端口异常信息为所述端口信息中存在高危端口的访问权限时,所述服务器地址的风险等级为中风险等级;
在所述端口异常信息为所述端口信息包括了所有端口的访问权限时,所述服务器地址的风险等级为高风险等级。
7.如权利要求1所述的服务器的风险分析方法,其特征在于,所述业务数据为服务器通过防火墙与客户端进行传输的面向连接状态的业务数据。
8.如权利要求1、2或7所述的服务器的风险分析方法,其特征在于,所述记录传输的业务数据的步骤之后,还包括:
将数据属性相同的业务数据划分至同一项资产表中,所述数据属性包括服务器地址、传输层协议、客户端地址和所开放的端口中的至少一个;
从所有资产表中获取所述服务器地址相同的业务数据,作为对所述服务器地址进行风险评估的业务数据。
9.一种服务器的风险分析装置,其特征在于,所述服务器的风险分析装置包括:
记录模块,用于记录传输的业务数据;
获取模块,用于获取针对所述业务数据开放的端口的端口信息,所述端口信息包括端口最新访问时间和端口异常信息中的至少一个;
分析模块,用于根据所述端口信息对所述业务数据对应的服务器地址进行风险评估。
10.一种服务器的风险分析装置,其特征在于,所述服务器的风险分析装置包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的服务器的风险分析程序,所述服务器的风险分析程序被所述处理器执行时实现如权利要求1至8中任一项所述的服务器的风险分析方法的步骤。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有服务器的风险分析程序,所述服务器的风险分析程序被处理器执行时实现如权利要求1至8中任一项所述的服务器的风险分析方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010212128.XA CN111447199A (zh) | 2020-03-23 | 2020-03-23 | 服务器的风险分析方法、服务器的风险分析装置及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010212128.XA CN111447199A (zh) | 2020-03-23 | 2020-03-23 | 服务器的风险分析方法、服务器的风险分析装置及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111447199A true CN111447199A (zh) | 2020-07-24 |
Family
ID=71654364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010212128.XA Pending CN111447199A (zh) | 2020-03-23 | 2020-03-23 | 服务器的风险分析方法、服务器的风险分析装置及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111447199A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929216A (zh) * | 2021-02-05 | 2021-06-08 | 深信服科技股份有限公司 | 一种资产管理方法、装置、设备及可读存储介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195828A (zh) * | 2010-03-16 | 2011-09-21 | 华为技术有限公司 | 服务器端口状态的探测方法和探测器 |
| CN102684936A (zh) * | 2011-03-11 | 2012-09-19 | 北京千橡网景科技发展有限公司 | 用于监测服务器的运行状态的方法、设备和系统 |
| CN107465690A (zh) * | 2017-09-12 | 2017-12-12 | 国网湖南省电力公司 | 一种基于流量分析的被动式异常端口实时检测方法及系统 |
| CN107483274A (zh) * | 2017-09-25 | 2017-12-15 | 北京全域医疗技术有限公司 | 服务项目运行状态监控方法及装置 |
| CN107515820A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN109639630A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种终端端口管控系统及管控方法 |
| CN109670314A (zh) * | 2018-09-13 | 2019-04-23 | 平安普惠企业管理有限公司 | 服务器风险评估方法、装置、设备及计算机可读存储介质 |
| US20190173845A1 (en) * | 2016-07-21 | 2019-06-06 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
| CN110191004A (zh) * | 2019-06-18 | 2019-08-30 | 北京搜狐新媒体信息技术有限公司 | 一种端口检测方法及系统 |
| CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
-
2020
- 2020-03-23 CN CN202010212128.XA patent/CN111447199A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195828A (zh) * | 2010-03-16 | 2011-09-21 | 华为技术有限公司 | 服务器端口状态的探测方法和探测器 |
| CN102684936A (zh) * | 2011-03-11 | 2012-09-19 | 北京千橡网景科技发展有限公司 | 用于监测服务器的运行状态的方法、设备和系统 |
| CN107515820A (zh) * | 2016-06-17 | 2017-12-26 | 阿里巴巴集团控股有限公司 | 服务器监测方法及装置、检测服务器 |
| US20190173845A1 (en) * | 2016-07-21 | 2019-06-06 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
| CN107465690A (zh) * | 2017-09-12 | 2017-12-12 | 国网湖南省电力公司 | 一种基于流量分析的被动式异常端口实时检测方法及系统 |
| CN107483274A (zh) * | 2017-09-25 | 2017-12-15 | 北京全域医疗技术有限公司 | 服务项目运行状态监控方法及装置 |
| CN108200068A (zh) * | 2018-01-08 | 2018-06-22 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN109670314A (zh) * | 2018-09-13 | 2019-04-23 | 平安普惠企业管理有限公司 | 服务器风险评估方法、装置、设备及计算机可读存储介质 |
| CN109639630A (zh) * | 2018-10-30 | 2019-04-16 | 国网陕西省电力公司信息通信公司 | 一种终端端口管控系统及管控方法 |
| CN110191004A (zh) * | 2019-06-18 | 2019-08-30 | 北京搜狐新媒体信息技术有限公司 | 一种端口检测方法及系统 |
| CN110602046A (zh) * | 2019-08-13 | 2019-12-20 | 上海陆家嘴国际金融资产交易市场股份有限公司 | 数据监控处理方法、装置、计算机设备和存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 蒋梦丹等: "基于业务逻辑思想的异常检测研究", 《成都信息工程大学学报》 * |
| 蒋梦丹等: "基于业务逻辑思想的异常检测研究", 《成都信息工程大学学报》, no. 02, 15 April 2019 (2019-04-15) * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112929216A (zh) * | 2021-02-05 | 2021-06-08 | 深信服科技股份有限公司 | 一种资产管理方法、装置、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180219894A1 (en) | User and entity behavioral analysis using an advanced cyber decision platform | |
| US9438616B2 (en) | Network asset information management | |
| US9602527B2 (en) | Security threat detection | |
| US20150347751A1 (en) | System and method for monitoring data in a client environment | |
| US11330016B2 (en) | Generating collection rules based on security rules | |
| US11968178B2 (en) | Reduction and acceleration of a deterministic finite automaton | |
| US11757849B2 (en) | Detecting and mitigating forged authentication object attacks in multi-cloud environments | |
| US11431792B2 (en) | Determining contextual information for alerts | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| US11374946B2 (en) | Inline malware detection | |
| CN112165445B (zh) | 用于检测网络攻击的方法、装置、存储介质及计算机设备 | |
| US20210019412A1 (en) | Generating models for performing inline malware detection | |
| US20230388278A1 (en) | Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation | |
| CN111865996A (zh) | 数据检测方法、装置和电子设备 | |
| CN111447199A (zh) | 服务器的风险分析方法、服务器的风险分析装置及介质 | |
| CN114826727A (zh) | 流量数据采集方法、装置、计算机设备、存储介质 | |
| Montanari et al. | Confidentiality of event data in policy-based monitoring | |
| US20220237303A1 (en) | Attack graph processing device, method, and program | |
| WO2019113492A1 (en) | Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform | |
| CN114143048B (zh) | 一种安全资源管理的方法、装置及存储介质 | |
| CN113194075B (zh) | 访问请求的处理方法、装置、设备及存储介质 | |
| US12003534B2 (en) | Detecting and mitigating forged authentication attacks within a domain | |
| CN114598507B (zh) | 攻击者画像生成方法、装置、终端设备及存储介质 | |
| US20230412564A1 (en) | Fast policy matching with runtime signature update | |
| US20240080338A1 (en) | Detecting and mitigating forged authentication attacks within a domain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200724 |