CN112187719B - 被攻击服务器的信息获取方法、装置和电子设备 - Google Patents
被攻击服务器的信息获取方法、装置和电子设备 Download PDFInfo
- Publication number
- CN112187719B CN112187719B CN202010896043.8A CN202010896043A CN112187719B CN 112187719 B CN112187719 B CN 112187719B CN 202010896043 A CN202010896043 A CN 202010896043A CN 112187719 B CN112187719 B CN 112187719B
- Authority
- CN
- China
- Prior art keywords
- data group
- log data
- target
- log
- initiating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种被攻击服务器的信息获取方法、装置和电子设备,用于解决现有技术中无法高效并及时地获取被攻击服务器的信息的问题。该方法包括:获取第一日志数据组、第二日志数据组和第三日志数据组;将第一日志数据组、第二日志数据组和第三日志数据组三者进行关联,得到攻击事件数据组;根据攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取被攻击服务器的信息;其中,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,资源管理服务器中存储有多个服务器的信息和多个用户的信息,攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
Description
技术领域
本申请属于互联网技术领域,具体涉及一种被攻击服务器的信息获取方法、装置和电子设备。
背景技术
随着计算机技术的飞速发展,为了维护网站的安全,通常会在网站中设置蜜罐,引诱意图攻击网站的攻击者攻击蜜罐,从而获取攻击者的信息。
然而,现有技术中,蜜罐服务器的蜜罐报警服务日志,鉴权授权与计费(Authentication Authorization Accounting,AAA)服务器的认证日志、与虚拟专用网络(Virtual Private Network,VPN)服务器的用户日志都存储在各自的服务器中。为了能够获取攻击者的用户信息,需要人工跨服务器获取这些日志,并特地编写脚本对获取到的日志进行分析。
上述这种方法,无法及时获取攻击者的信息和被攻击服务器的信息,并且需要花费大量的人力,效率较低,导致网站的安全性下降。
发明内容
本申请实施例的目的是提供一种被攻击服务器的信息获取方法、装置和电子设备,能够解决现有技术中无法高效并及时地获取被攻击服务器的信息的问题。
为了解决上述技术问题,本申请是这样实现的:
第一方面,本申请实施例提供了一种被攻击服务器的信息获取方法,该方法包括:
获取第一日志数据组、第二日志数据组和第三日志数据组;
将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
第二方面,本申请实施例提供了一种被攻击服务器的信息获取装置,该装置包括:
第一获取单元,用于获取第一日志数据组、第二日志数据组和第三日志数据组;
关联单元,用于将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
第二获取单元,用于根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
第三方面,提出了一种电子设备,该电子设备包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
获取第一日志数据组、第二日志数据组和第三日志数据组;
将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
第四方面,提出了一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
获取第一日志数据组、第二日志数据组和第三日志数据组;
将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户地址、攻击者用户名,所述攻击事件数据组包括攻击者的信息、发起攻击的时间和被攻击服务器的地址。
在本申请实施例中,获取第一日志数据组、第二日志数据组和第三日志数据组;将第一日志数据组、第二日志数据组和第三日志数据组三者进行关联,得到攻击事件数据组;根据攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取被攻击服务器的信息;其中,第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,资源管理服务器中存储有多个服务器的信息和多个用户的信息,攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
这样,能够将相互匹配的第一日志数据组、第二日志数据组和第三日志数据组相互关联,得到攻击事件数据组,从而高效且及时地从资源管理服务器中获取被攻击服务器的信息,使得发起攻击的设备和被攻击服务器的管理员能够及时得到提醒,并采取有效的措施,大大提高了获取被攻击服务器的信息的效率,及时阻止攻击事件的持续发生。
附图说明
图1为本申请实施例提供的一种被攻击服务器的信息获取方法的实现流程示意图;
图2为本申请实施例提供的被攻击服务器的信息获取方法的一种物理架构图;
图3为本申请实施例提供的被攻击服务器的信息获取方法在一种实际应用中的具体流程示意图;
图4为本申请实施例提供的一种被攻击服务器的信息获取装置的结构示意图;
图5为本申请实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,说明书以及权利要求中“和/或”表示所连接对象的至少其中之一,字符“/”,一般表示前后关联对象是一种“或”的关系。
需要说明的是,本申请实施例提供的被攻击服务器的信息获取方法,执行主体可以为被攻击服务器的信息获取装置,或者该被攻击服务器的信息获取装置中的用于执行加载被攻击服务器的信息获取方法的控制模块。本申请实施例中以被攻击服务器的信息获取装置执行加载被攻击服务器的信息获取方法为例,说明本申请实施例提供的被攻击服务器的信息获取装置。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的进程容器地址的更新方法进行详细地说明。
步骤101,获取第一日志数据组、第二日志数据组和第三日志数据组;
其中,第一日志数据组为来自蜜罐服务器(Open Canary)的蜜罐服务日志的数据组,第二日志数据组为来自鉴权授权与计费(Authentication AuthorizationAccounting,AAA)服务器的认证日志的数据组,第三日志数据组为来自虚拟专用网络(Virtual Private Network,VPN)服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据。
应理解,意欲发起攻击的攻击者通过VPN服务器登录到某公司或某组织的内部网络,并经过AAA服务器的认证,被分配了互联网协议(Internet Protocol,IP)地址之后,可针对该内部网络发起攻击行为。由于VPN服务器中的日志与蜜罐服务器中的日志没有关联、且与AAA服务器也没有直接的数据关联分析功能,这些服务器只是单纯地将所有日志保存在各自的服务器中。因此,无法获取攻击者的信息和被攻击服务器的信息。
在现有技术中,由于,蜜罐服务器不具备日志输出功能,只能将日志存储在蜜罐服务器中,因此,若要进行个服务器之间的日志关联与统计工作,需要耗费大量的人力,且数据的管理成本较高。在攻击者发起攻击之后,无法轻松获取攻击者的信息,也无法及时获取被攻击服务器的信息。
例如,在一种现有技术中,通过传统的Linux系统下的镜像备份工具rsync来进行日志的集中,从而将蜜罐服务器中的日志集中收集到同一台服务器中,然后再对来自蜜罐服务器的日志进行处理,实现对来自蜜罐服务器的日志的集中分析。
又例如,在另一种现有技术中,通过在蜜罐服务器中设置数据收集软件或通道,从而将蜜罐服务器中的日志集中收集到同一台服务器中,但是这种方式需要花费运维成本来维护蜜罐服务器中的数据收集软件或通道。
然而,上述两种现有技术的日志收集与管理的效率都不高,且需要花费大量人力或物力,而且需要另外安装软件才能完成日志的处理。日志收集流程越复杂,出错的概率越大,无法实现高效的日志手机和日志分析效果。
本申请实施例提供的方法,可以通过日志管理服务器收集蜜罐服务器、AAA服务器和VPN服务器的日志,并通过关联分析服务器集中分析收集到的第一日志数据组、第二日志数据组和第三日志数据组,快速定位攻击者的身份、被攻击的目标和攻击范围,从而及时发现威胁事件,定位攻击者和被攻击者,阻止威胁事件的继续发生造成的安全危害。
具体地,如图2所示,为本申请实施例提供的被攻击服务器的信息获取方法的一种物理架构图。在本申请实施例提供的方法中,日志管理服务器可以是部署有如Graylog等日志管理工具的服务器,能够从多个蜜罐服务器、多个AAA服务器和VPN服务器中获取日志;多个日志采集数据库可以存储获取到的第一日志数据组、第二日志数据组和第三日志数据组,如ES(Elastic Search)数据库;关联分析服务器可以是任何能够实现关联分析得到攻击者的信息和被攻击服务器的信息。
另外,多个资源管理服务器可以是存储有公司、企业或组织的成员信息和服务器信息的服务器,如与配置管理数据库(Configuration Management Database,CMDB)连接的服务器;分析结果数据库可以用于存储关联分析得到的结果,如一个或多个关系型数据库(My Structure Quest Language,MySQL);结果展示服务器可用于以图示或表格形式展示关联分析的结果。
可选地,由于日志通常是以文件的形式分别存储在蜜罐服务器、AAA服务器和VPN服务器中的,因此,为了便于获取各日志中的关键数据,可将各日志拆分为多条日志数据。
具体地,在获取第一日志数据组、第二日志数据组和第三日志数据组之前,本申请实施例提供的方法还包括:
蜜罐服务器、鉴权授权与计费服务器和虚拟专用网络服务器分别将蜜罐服务日志、认证日志和用户日志发送给日志管理服务器;
日志管理服务器根据日志采集数据库中的多个字段名,分别将蜜罐服务日志、认证日志和用户日志拆分为第一日志数据组、第二日志数据组和第三日志数据组,一个日志数据组中的一条日志数据对应于一个字段名;
日志管理服务器将第一日志数据组、第二日志数据组和第三日志数据组发送给日志采集数据库。
例如,可根据字段名“发起攻击的时间”,将第一日志数据组拆分获得字样为“2020-8-24 15:00”的日期和时间;可根据字段名“攻击者用户名”,将第二日志数据组或第三日志数据组拆分获得字样为“User001”的用户名。
具体地,日志管理服务器在拆分日志时,可根据预先设定的多个字段名,如运维人员等用户预设的字段名或日志采集数据库中已生成的字段名等,将各日志分别拆分为多条日志数据。
可选地,日志管理服务器可创建Syslog网络监听,从而接收蜜罐服务器、AAA服务器、VPN服务器发送的蜜罐服务日志、认证日志和用户日志。若蜜罐服务日志或认证日志的数量较为庞大,则可设置部署有如Kafka消息队列等功能的缓存设备。
具体地,在本申请实施例提供的方法中,蜜罐服务器将蜜罐服务日志发送给日志管理服务器,包括:
蜜罐服务器将蜜罐服务日志发送给缓存设备;
日志管理服务器从缓存设备获取蜜罐服务日志。
具体地,可将蜜罐服务日志拆分为如下的多条日志数据,以构成第一日志数据组:
【索引名】【蜜罐服务器身份标识号(Identity document,ID)】【发起攻击的时间】【攻击设备IP】【被攻击服务器IP】【发起攻击使用数据】【攻击类型】等。
其中,索引名是指日志采集数据库中的表索引名,攻击类型是根据蜜罐服务器模拟的服务类型确定的,攻击设备IP是指攻击者地址,发起攻击使用数据是指攻击者在发起攻击时所使用的数据,例如,攻击者在发起攻击时使用了昵称“User”,那么发起攻击使用数据就包括昵称“User”。
具体地,可将认证日志拆分为如下的多条日志数据,以构成第二日志数据组:
【索引名】【AAA服务器ID】【发起访问的时间】【发起访问的用户地址】【发起访问的用户名】等。
具体地,可将用户日志拆分为如下的多条日志数据,以构成第三日志数据组:
【索引名】【发起访问的时间】【发起访问的用户地址】【发起访问的用户名】【被访问的服务器IP】等。
步骤102,将第一日志数据组、第二日志数据组和第三日志数据组三者进行关联,得到攻击事件数据组;
其中,资源管理服务器中存储有多个服务器的信息和多个用户的信息,例如,一个企业中所维护或运行的所有服务器的信息、以及企业中所有员工的信息,攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
可选地,为了能够分别根据第一日志数据组、第二日志数据组和第三日志数据组,关联分析获取被攻击服务器的信息和攻击者的信息,可根据目标第一日志数据组中的数据,逐步查找目标第二日志数据组和目标第三日志数据组。
具体地,在本申请实施例提供的方法中,将第一日志数据组、第二日志数据组和第三日志数据组三者进行关联,得到攻击事件数据组,包括:
从日志采集数据库的多个第一日志数据组中选取任一第一日志数据组作为目标第一日志数据组,根据目标第一日志数据组,从日志采集数据库的多个第二日志数据组中,查找匹配的目标第二日志数据组;
根据目标第二日志数据组,从日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组;
将目标第一日志数据组、目标第二日志数据组和至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组。
应理解,由于第一日志数据组是来自蜜罐服务器的,而第二日志数据组和第三日志数据组分别来自于AAA服务器和VPN服务器,因此,第一日志数据组是中的数据是攻击事件所产生的数据,而第二日志数据组和第三日志数据组既可能是攻击者发起攻击时产生的数据,也可能是普通用户发起访问时产生的数据。
所以,可先从第一日志数据组中获取能够用于筛选出针对攻击事件的日志数据组,从而能够从多个第二日志数据组和多个第三日志数据组中分别获取到针对攻击事件的日志数据组。
可选地,在本申请实施例提供的方法中,根据目标第一日志数据组,从日志采集数据库中的多个第二日志数据组中,查找匹配的目标第二日志数据组,包括:
根据目标第一日志数据组,从日志采集数据库的多个第二日志数据组中,查找发起访问的用户地址与目标第一日志数据组中的攻击者地址相匹配、且发起访问的时间与目标第一日志数据组中的发起攻击的时间之间时间差的绝对值小于等于第一预设时间差阈值的目标第二目标日志数据组;
其中,第一日志数据组包括攻击者地址和发起攻击的时间,第二日志数据组包括发起访问的时间、发起访问的用户地址和发起访问的用户名。
应理解,由于攻击者需先通过AAA服务器的认证,再向蜜罐服务器发起攻击,这之间的先后顺序导致攻击者通过AAA服务器认证的时间和向蜜罐服务器发起攻击的时间存在时间差,因此,在查找目标第二日志数据组时,可设定第一预设阈值,如1s等,来避免时间要求过分严格导致无法查找到正确的目标第二日志数据组。
具体地,可从多个第二日志数据组中,查找【发起访问的时间】和目标第一日志数据组中的【发起攻击的时间】的时间差小于等于第一预设时间差阈值、且【发起访问的用户地址】和目标第一日志数据组中的【攻击设备IP】相同的第二日志数据组,作为与目标第一日志数据组相匹配的目标第二日志数据组。
可选地,在本申请实施例提供的方法中,一个攻击者在发起攻击时,不仅会攻击蜜罐服务器,还会攻击蜜罐服务器以外的其他服务器,因此,为了能够获取所有被该攻击者攻击的服务器的信息,可查找该攻击者的所有访问记录。
具体地,根据目标第二日志数据组,从日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组,包括:
根据目标第二日志数据组,从日志采集数据库的多个第三日志数据组中,查找发起访问的用户名与目标第二日志数据组中的发起访问的用户名相匹配、且发起访问的时间与目标第二日志数据组中的发起访问的时间之间时间差的绝对值小于等于第二预设时间差阈值的至少一个目标第三日志数据组;
其中,第三日志数据组包括发起访问的时间、发起访问的用户名和发起访问的用户地址。
应理解,由于攻击者通过AAA服务器认证的时间,与攻击者访问服务器的时间可能存在时间差,因此,在查找至少一个目标第三日志数据组时,可设定第二预设时间差阈值,如1s等,来避免时间要求过分严格导致无法查找到正确的至少一个目标第二日志数据组。
具体地,可从多个第三日志数据组中,查找【发起访问的时间】和目标第二日志数据组中的【发起访问的时间】的时间差小于等于第二预设阈值、且【发起访问的用户名】和目标第二日志数据组中的【发起访问的用户名】相同的第三日志数据组,作为与目标第二日志数据组相匹配的目标第三日志数据组。
应理解,根据第一日志数据组匹配第二日志数据组和第三日志数据组,是为了从日志数据采集库中查找出攻击者攻击或访问服务器的数据,因此,根据目标第一日志数据组匹配得到的第二日志数据组、以及根据第二日志数据组匹配的到的第三日志数据组,就是目标第一日志数据组中的攻击者发起攻击所产生的数据。
可选地,为了能够便于以攻击者为单位地存储或查看攻击事件数据组,可将目标第一日志数据组、目标第二日志数据组和目标第三日志数据组关联。
具体地,在本申请实施例提供的方法中,将目标第一日志数据组、目标第二日志数据组和至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组,包括:
将目标第一日志数据组中的发起攻击的时间和攻击者地址,分别作为目标攻击事件数据组中的发起攻击的时间和攻击者地址,将目标第二日志数据组中的发起访问的用户名作为目标攻击事件数据组中的攻击者用户名,并将至少一个目标第三日志数据组中的至少一个发起访问的用户地址作为目标攻击事件数据组中的被攻击服务器的地址。
这样,关联得到的目标攻击事件数据组,是关于目标第一日志数据组中的攻击者在一个访问中,所发起的所有攻击事件产生的数据,便于查找出该攻击者攻击的所有服务器的地址。
步骤103,根据攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取被攻击服务器的信息。
可选地,为了能够提醒被攻击服务器的管理员,及时针对攻击事件做出响应,可从存储有各服务器信息的资源管理服务器中获取被攻击服务器的信息。
具体地,可根据攻击事件数据组中的攻击者用户名,从资源管理服务器中获取攻击者的信息,攻击者的信息包括攻击者的所属部门和所在职位;
根据攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取被攻击服务器的信息,被攻击服务器的信息包括被攻击服务器的管理员信息。
此外,还可从资源管理服务器中获取攻击者的信息,一方面既能够及时迫使攻击者下线;另一方面又能够对被病毒或爬虫利用的攻击者发起提醒。
可选地,上述获取和关联目标第一日志数据组、目标第二日志数据组和目标第三日志数据组的步骤可由图2中的关联分析服务器实现,关联后得到的攻击事件数据组可以如下所示:
【发起攻击的时间】【攻击设备IP】【攻击者用户名】【被攻击服务器IP】【攻击类型】【发起攻击使用数据】【被攻击服务器的管理员信息】
其中,攻击事件数据组中的各数据均可从第一日志数据组、第二日志数据组、第三日志数据组和资源管理服务器中获得。
可选地,可将攻击事件数据组存储在分析结果数据库中,或将攻击事件数据组和相对应的攻击者的信息和被攻击服务器的信息相互关联并存储在分析结果数据库中,以便于运维人员的查看和采取措施。
具体地,在根据攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取被攻击服务器的信息之后,本申请实施例提供的方法还包括:
根据被攻击服务器的信息,向被攻击服务器的管理员发送警报,被攻击服务器的信息包括被攻击服务器的地址和被攻击服务器的管理员信息;
将攻击事件数据组存储到分析结果数据库中,使得结果展示服务器向用户展示来自分析结果数据库的攻击事件数据组。
此外,结果展示服务器可从分析结果数据库中获取攻击事件数据组或攻击事件数据组、攻击者的信息和被攻击服务器的信息的组合,并以图像、表格或文档形式展示给运维人员等用户。
具体地,如图3所示,为本申请实施例提供的被攻击服务器的信息获取方法在一种实际应用中的具体流程示意图。下面结合图3中的一种实施例进行说明,具体包括:
步骤301,蜜罐服务器将蜜罐服务日志发送给日志管理服务器;
步骤302,AAA服务器将认证日志发送给日志管理服务器;
步骤303,VPN服务器将用户日志发送给日志管理服务器;
步骤304,日志管理服务器分别拆分蜜罐服务日志、认证日志和用户日志,得到第一日志数据组、第二日志数据组和第三日志数据组;
步骤305,日志管理服务器将第一日志数据组、第二日志数据组和第三日志数据组存储至日志采集数据库中;
步骤306,关联分析服务器从日志采集数据库中获取目标第一日志数据组;
步骤307,关联分析服务器根据目标第一日志数据组,从日志采集数据库中获取目标第二日志数据组;
步骤308,关联分析服务器根据目标第二日志数据组,从日志采集数据库中获取目标第三日志数据组;
步骤309,关联分析服务器将目标第一日志数据组、目标第二日志数据组和目标第三日志数据组三者进行关联,得到攻击事件数据组;
步骤310,关联分析服务器将攻击事件数据组、攻击者的信息和被攻击服务器的信息三者关联存储在分析结果数据库中;
步骤311,结果展示服务器获取并向用户展示从分析结果数据库中获取到的相互关联的攻击者的信息和被攻击服务器的信息。
在本申请实施例中,获取第一日志数据组、第二日志数据组和第三日志数据组;将第一日志数据组、第二日志数据组和第三日志数据组三者进行关联,得到攻击事件数据组;根据攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取被攻击服务器的信息;其中,第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,资源管理服务器中存储有多个服务器的信息和多个用户的信息,攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
这样,能够将相互匹配的第一日志数据组、第二日志数据组和第三日志数据组相互关联,得到攻击事件数据组,从而高效且及时地从资源管理服务器中被攻击服务器的信息,使得发起攻击的设备和被攻击服务器的管理员能够及时得到提醒,并采取有效的措施,大大提高了获取被攻击服务器的信息的效率,及时阻止攻击事件的持续发生。
本申请实施例还提供一种被攻击服务器的信息获取装置400,如图4所示,包括第一获取单元401、关联单元402和第二获取单元403,其中:
所述第一获取单元401,用于获取第一日志数据组、第二日志数据组和第三日志数据组;
所述关联单元402,用于将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
所述第二获取单元403,用于根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
可选地,在一种实施方式中,所述装置还包括:
第一发送单元404,用于所述蜜罐服务器、所述鉴权授权与计费服务器和所述虚拟专用网络服务器分别将所述蜜罐服务日志、所述认证日志和所述用户日志发送给日志管理服务器;
拆分单元405,用于所述日志管理服务器根据日志采集数据库中的多个字段名,分别将所述蜜罐服务日志、所述认证日志和所述用户日志拆分为所述第一日志数据组、所述第二日志数据组和所述第三日志数据组,一个日志数据组中的一条日志数据对应于一个字段名;
第二发送单元406,用于所述日志管理服务器将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组发送给所述日志采集数据库。
可选地,在一种实施方式中,所述第一发送单元404,用于:
所述蜜罐服务器将所述蜜罐服务日志发送给缓存设备;
所述日志管理服务器从所述缓存设备获取所述蜜罐服务日志。
可选地,在一种实施方式中,所述关联单元402,用于:
从日志采集数据库的多个第一日志数据组中选取任一第一日志数据组作为目标第一日志数据组,根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找匹配的目标第二日志数据组;
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组;
将所述目标第一日志数据组、所述目标第二日志数据组和所述至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组。
可选地,在一种实施方式中,所述关联单元402,用于:
根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找发起访问的用户地址与所述目标第一日志数据组中的攻击者地址相匹配、且发起访问的时间与所述目标第一日志数据组中的发起攻击的时间之间时间差的绝对值小于等于第一预设时间差阈值的目标第二目标日志数据组;
其中,所述第一日志数据组包括攻击者地址和发起攻击的时间,所述第二日志数据组包括发起访问的时间、发起访问的用户地址和发起访问的用户名。
可选地,在一种实施方式中,所述关联单元402,用于:
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找发起访问的用户名与所述目标第二日志数据组中的发起访问的用户名相匹配、且发起访问的时间与所述目标第二日志数据组中的发起访问的时间之间时间差的绝对值小于等于第二预设时间差阈值的至少一个目标第三日志数据组;
其中,所述第三日志数据组包括发起访问的时间、发起访问的用户名和发起访问的用户地址。
可选地,在一种实施方式中,所述关联单元402,用于:
将所述目标第一日志数据组中的发起攻击的时间和攻击者地址,分别作为所述目标攻击事件数据组中的发起攻击的时间和攻击者地址,将所述目标第二日志数据组中的发起访问的用户名作为所述目标攻击事件数据组中的攻击者用户名,并将所述至少一个目标第三日志数据组中的至少一个发起访问的用户地址作为所述目标攻击事件数据组中的被攻击服务器的地址。
被攻击服务器的信息获取装置400能够实现图1~图3的方法实施例的方法,具体可参考图1~图3所示实施例的被攻击服务器的信息获取方法,不再赘述。
在本申请实施例中,获取第一日志数据组、第二日志数据组和第三日志数据组;将第一日志数据组、第二日志数据组和第三日志数据组三者进行关联,得到攻击事件数据组;根据攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取被攻击服务器的信息;其中,第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,资源管理服务器中存储有多个服务器的信息和多个用户的信息,攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
这样,能够将相互匹配的第一日志数据组、第二日志数据组和第三日志数据组相互关联,得到攻击事件数据组,从而高效且及时地从资源管理服务器中获取被攻击服务器的信息,使得发起攻击的设备和被攻击服务器的管理员能够及时得到提醒,并采取有效的措施,大大提高了获取被攻击服务器的信息的效率,及时阻止攻击事件的持续发生。
图5是本说明书的一个实施例提供的电子设备的结构示意图。请参考图5,在硬件层面,该电子设备包括处理器,可选地还包括内部总线、网络接口、存储器。其中,存储器可能包含内存,例如高速随机存取存储器(Random-Access Memory,RAM),也可能还包括非易失性存储器(non-volatile memory),例如至少1个磁盘存储器等。当然,该电子设备还可能包括其他业务所需要的硬件。
处理器、网络接口和存储器可以通过内部总线相互连接,该内部总线可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(PeripheralComponent Interconnect,外设部件互连标准)总线或EISA(Extended Industry StandardArchitecture,扩展工业标准结构)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
存储器,用于存放程序。具体地,程序可以包括程序代码,所述程序代码包括计算机操作指令。存储器可以包括内存和非易失性存储器,并向处理器提供指令和数据。
处理器从非易失性存储器中读取对应的计算机程序到内存中然后运行,在逻辑层面上形成被攻击服务器的信息获取装置。处理器,执行存储器所存放的程序,并具体用于执行以下操作:
获取第一日志数据组、第二日志数据组和第三日志数据组;
将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
在本申请实施例中,获取第一日志数据组、第二日志数据组和第三日志数据组;将第一日志数据组、第二日志数据组和第三日志数据组三者进行关联,得到攻击事件数据组;根据攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取被攻击服务器的信息;其中,第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,资源管理服务器中存储有多个服务器的信息和多个用户的信息,攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址。
这样,能够将相互匹配的第一日志数据组、第二日志数据组和第三日志数据组相互关联,得到攻击事件数据组,从而高效且及时地从资源管理服务器中获取被攻击服务器的信息,使得发起攻击的设备和被攻击服务器的管理员能够及时得到提醒,并采取有效的措施,大大提高了获取被攻击服务器的信息的效率,及时阻止攻击事件的持续发生。
上述如本说明书图1~图3所示实施例揭示的被攻击服务器的信息获取方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器,包括中央处理器(Central ProcessingUnit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本说明书一个或多个实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本说明书一个或多个实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器,处理器读取存储器中的信息,结合其硬件完成上述方法的步骤。
该电子设备还可执行图1~图3的被攻击服务器的信息获取方法,本说明书在此不再赘述。
当然,除了软件实现方式之外,本说明书的电子设备并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
总之,以上所述仅为本说明书的较佳实施例而已,并非用于限定本说明书的保护范围。凡在本说明书一个或多个实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例的保护范围之内。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
Claims (6)
1.一种被攻击服务器的信息获取方法,其特征在于,所述方法包括:
获取第一日志数据组、第二日志数据组和第三日志数据组;
将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址;
所述将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组,包括:
从日志采集数据库的多个第一日志数据组中选取任一第一日志数据组作为目标第一日志数据组,根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找匹配的目标第二日志数据组;
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组;
将所述目标第一日志数据组、所述目标第二日志数据组和所述至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组;
所述根据目标第一日志数据组,从日志采集数据库中的多个第二日志数据组中,查找匹配的目标第二日志数据组,包括:
根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找发起访问的用户地址与所述目标第一日志数据组中的攻击者地址相匹配、且发起访问的时间与所述目标第一日志数据组中发起攻击的时间之间时间差的绝对值小于等于第一预设时间差阈值的目标第二目标日志数据组;
其中,所述第一日志数据组包括攻击者地址和发起攻击的时间,所述第二日志数据组包括发起访问的时间、发起访问的用户地址和发起访问的用户名;
所述根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组,包括:
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找发起访问的用户名与所述目标第二日志数据组中的发起访问的用户名相匹配、且发起访问的时间与所述目标第二日志数据组中的发起访问的时间之间时间差的绝对值小于等于第二预设时间差阈值的至少一个目标第三日志数据组;
其中,所述第三日志数据组包括发起访问的时间、发起访问的用户名和发起访问的用户地址;
所述将所述目标第一日志数据组、所述目标第二日志数据组和所述至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组,包括:
将所述目标第一日志数据组中的发起攻击的时间和攻击者地址,分别作为所述目标攻击事件数据组中的发起攻击的时间和攻击者地址,将所述目标第二日志数据组中的发起访问的用户名作为所述目标攻击事件数据组中的攻击者用户名,并将所述至少一个目标第三日志数据组中的至少一个发起访问的用户地址作为所述目标攻击事件数据组中的被攻击服务器的地址。
2.如权利要求1所述的方法,其特征在于,在所述获取第一日志数据组、第二日志数据组和第三日志数据组之前,所述方法还包括:
所述蜜罐服务器、所述鉴权授权与计费服务器和所述虚拟专用网络服务器分别将所述蜜罐服务日志、所述认证日志和所述用户日志发送给日志管理服务器;
所述日志管理服务器根据日志采集数据库中的多个字段名,分别将所述蜜罐服务日志、所述认证日志和所述用户日志拆分为所述第一日志数据组、所述第二日志数据组和所述第三日志数据组,一个日志数据组中的一条日志数据对应于一个字段名;
所述日志管理服务器将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组发送给所述日志采集数据库。
3.如权利要求2所述的方法,其特征在于,所述蜜罐服务器将所述蜜罐服务日志发送给所述日志管理服务器,包括:
所述蜜罐服务器将所述蜜罐服务日志发送给缓存设备;
所述日志管理服务器从所述缓存设备获取所述蜜罐服务日志。
4.一种被攻击服务器的信息获取装置,其特征在于,所述装置包括:
第一获取单元,用于获取第一日志数据组、第二日志数据组和第三日志数据组;
关联单元,用于将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
第二获取单元,用于根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址;
所述关联单元,用于:
从日志采集数据库的多个第一日志数据组中选取任一第一日志数据组作为目标第一日志数据组,根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找匹配的目标第二日志数据组;
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组;
将所述目标第一日志数据组、所述目标第二日志数据组和所述至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组;
根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找发起访问的用户地址与所述目标第一日志数据组中的攻击者地址相匹配、且发起访问的时间与所述目标第一日志数据组中的发起攻击的时间之间时间差的绝对值小于等于第一预设时间差阈值的目标第二目标日志数据组;
其中,所述第一日志数据组包括攻击者地址和发起攻击的时间,所述第二日志数据组包括发起访问的时间、发起访问的用户地址和发起访问的用户名;
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找发起访问的用户名与所述目标第二日志数据组中的发起访问的用户名相匹配、且发起访问的时间与所述目标第二日志数据组中的发起访问的时间之间时间差的绝对值小于等于第二预设时间差阈值的至少一个目标第三日志数据组;
其中,所述第三日志数据组包括发起访问的时间、发起访问的用户名和发起访问的用户地址;
将所述目标第一日志数据组中的发起攻击的时间和攻击者地址,分别作为所述目标攻击事件数据组中的发起攻击的时间和攻击者地址,将所述目标第二日志数据组中的发起访问的用户名作为所述目标攻击事件数据组中的攻击者用户名,并将所述至少一个目标第三日志数据组中的至少一个发起访问的用户地址作为所述目标攻击事件数据组中的被攻击服务器的地址。
5.一种电子设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器执行以下操作:
获取第一日志数据组、第二日志数据组和第三日志数据组;
将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址;
所述将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组,包括:
从日志采集数据库的多个第一日志数据组中选取任一第一日志数据组作为目标第一日志数据组,根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找匹配的目标第二日志数据组;
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组;
将所述目标第一日志数据组、所述目标第二日志数据组和所述至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组;
所述根据目标第一日志数据组,从日志采集数据库中的多个第二日志数据组中,查找匹配的目标第二日志数据组,包括:
根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找发起访问的用户地址与所述目标第一日志数据组中的攻击者地址相匹配、且发起访问的时间与所述目标第一日志数据组中发起攻击的时间之间时间差的绝对值小于等于第一预设时间差阈值的目标第二目标日志数据组;
其中,所述第一日志数据组包括攻击者地址和发起攻击的时间,所述第二日志数据组包括发起访问的时间、发起访问的用户地址和发起访问的用户名;
所述根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组,包括:
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找发起访问的用户名与所述目标第二日志数据组中的发起访问的用户名相匹配、且发起访问的时间与所述目标第二日志数据组中的发起访问的时间之间时间差的绝对值小于等于第二预设时间差阈值的至少一个目标第三日志数据组;
其中,所述第三日志数据组包括发起访问的时间、发起访问的用户名和发起访问的用户地址;
所述将所述目标第一日志数据组、所述目标第二日志数据组和所述至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组,包括:
将所述目标第一日志数据组中的发起攻击的时间和攻击者地址,分别作为所述目标攻击事件数据组中的发起攻击的时间和攻击者地址,将所述目标第二日志数据组中的发起访问的用户名作为所述目标攻击事件数据组中的攻击者用户名,并将所述至少一个目标第三日志数据组中的至少一个发起访问的用户地址作为所述目标攻击事件数据组中的被攻击服务器的地址。
6.一种计算机可读存储介质,所述计算机可读存储介质存储一个或多个程序,所述一个或多个程序当被包括多个应用程序的电子设备执行时,使得所述电子设备执行以下操作:
获取第一日志数据组、第二日志数据组和第三日志数据组;
将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组;
根据所述攻击事件数据组中的被攻击服务器的地址,从资源管理服务器中获取所述被攻击服务器的信息;
其中,所述第一日志数据组为来自蜜罐服务器的蜜罐服务日志的数据组,所述第二日志数据组为来自鉴权授权与计费服务器的认证日志的数据组,所述第三日志数据组为来自虚拟专用网络服务器的用户日志的数据组,每个日志数据组包括一个用户进行一次网络访问产生的多条日志数据,所述资源管理服务器中存储有多个服务器的信息和多个用户的信息,所述攻击事件数据组包括攻击者地址、攻击者用户名、发起攻击的时间和被攻击服务器的地址;
所述将所述第一日志数据组、所述第二日志数据组和所述第三日志数据组三者进行关联,得到攻击事件数据组,包括:
从日志采集数据库的多个第一日志数据组中选取任一第一日志数据组作为目标第一日志数据组,根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找匹配的目标第二日志数据组;
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组;
将所述目标第一日志数据组、所述目标第二日志数据组和所述至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组;
所述根据目标第一日志数据组,从日志采集数据库中的多个第二日志数据组中,查找匹配的目标第二日志数据组,包括:
根据所述目标第一日志数据组,从所述日志采集数据库的多个第二日志数据组中,查找发起访问的用户地址与所述目标第一日志数据组中的攻击者地址相匹配、且发起访问的时间与所述目标第一日志数据组中发起攻击的时间之间时间差的绝对值小于等于第一预设时间差阈值的目标第二目标日志数据组;
其中,所述第一日志数据组包括攻击者地址和发起攻击的时间,所述第二日志数据组包括发起访问的时间、发起访问的用户地址和发起访问的用户名;
所述根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找匹配的至少一个目标第三日志数据组,包括:
根据所述目标第二日志数据组,从所述日志采集数据库的多个第三日志数据组中,查找发起访问的用户名与所述目标第二日志数据组中的发起访问的用户名相匹配、且发起访问的时间与所述目标第二日志数据组中的发起访问的时间之间时间差的绝对值小于等于第二预设时间差阈值的至少一个目标第三日志数据组;
其中,所述第三日志数据组包括发起访问的时间、发起访问的用户名和发起访问的用户地址;
所述将所述目标第一日志数据组、所述目标第二日志数据组和所述至少一个目标第三日志数据组三者进行关联,得到目标攻击事件数据组,包括:
将所述目标第一日志数据组中的发起攻击的时间和攻击者地址,分别作为所述目标攻击事件数据组中的发起攻击的时间和攻击者地址,将所述目标第二日志数据组中的发起访问的用户名作为所述目标攻击事件数据组中的攻击者用户名,并将所述至少一个目标第三日志数据组中的至少一个发起访问的用户地址作为所述目标攻击事件数据组中的被攻击服务器的地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010896043.8A CN112187719B (zh) | 2020-08-31 | 2020-08-31 | 被攻击服务器的信息获取方法、装置和电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010896043.8A CN112187719B (zh) | 2020-08-31 | 2020-08-31 | 被攻击服务器的信息获取方法、装置和电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112187719A CN112187719A (zh) | 2021-01-05 |
CN112187719B true CN112187719B (zh) | 2023-04-14 |
Family
ID=73924822
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010896043.8A Active CN112187719B (zh) | 2020-08-31 | 2020-08-31 | 被攻击服务器的信息获取方法、装置和电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112187719B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113572776A (zh) * | 2021-07-27 | 2021-10-29 | 北京卫达信息技术有限公司 | 非法侵入检测装置及方法 |
CN114244617A (zh) * | 2021-12-22 | 2022-03-25 | 深信服科技股份有限公司 | 防范非法攻击行为的方法、装置和计算可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104836815A (zh) * | 2015-06-01 | 2015-08-12 | 广东电网有限责任公司信息中心 | 一种基于日志分析功能的安全事件回溯方法及系统 |
CN104937605A (zh) * | 2013-01-21 | 2015-09-23 | 三菱电机株式会社 | 攻击分析系统、协作装置、攻击分析协作方法和程序 |
CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
CN107769958A (zh) * | 2017-09-01 | 2018-03-06 | 杭州安恒信息技术有限公司 | 基于日志的服务器网络安全事件自动化分析方法及系统 |
CN108076006A (zh) * | 2016-11-09 | 2018-05-25 | 华为技术有限公司 | 一种查找被攻击主机的方法及日志管理服务器 |
CN109040071A (zh) * | 2018-08-06 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种web后门攻击事件的确认方法 |
CN109600387A (zh) * | 2018-12-29 | 2019-04-09 | 360企业安全技术(珠海)有限公司 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10397246B2 (en) * | 2010-07-21 | 2019-08-27 | Radware, Ltd. | System and methods for malware detection using log based crowdsourcing analysis |
WO2014053313A1 (en) * | 2012-10-04 | 2014-04-10 | Alcatel Lucent | Data logs management in a multi-client architecture |
JP6201614B2 (ja) * | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
-
2020
- 2020-08-31 CN CN202010896043.8A patent/CN112187719B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104937605A (zh) * | 2013-01-21 | 2015-09-23 | 三菱电机株式会社 | 攻击分析系统、协作装置、攻击分析协作方法和程序 |
CN104836815A (zh) * | 2015-06-01 | 2015-08-12 | 广东电网有限责任公司信息中心 | 一种基于日志分析功能的安全事件回溯方法及系统 |
CN108076006A (zh) * | 2016-11-09 | 2018-05-25 | 华为技术有限公司 | 一种查找被攻击主机的方法及日志管理服务器 |
CN107769958A (zh) * | 2017-09-01 | 2018-03-06 | 杭州安恒信息技术有限公司 | 基于日志的服务器网络安全事件自动化分析方法及系统 |
CN107454103A (zh) * | 2017-09-07 | 2017-12-08 | 杭州安恒信息技术有限公司 | 基于时间线的网络安全事件过程分析方法及系统 |
CN109040071A (zh) * | 2018-08-06 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种web后门攻击事件的确认方法 |
CN109600387A (zh) * | 2018-12-29 | 2019-04-09 | 360企业安全技术(珠海)有限公司 | 攻击事件的追溯方法及装置、存储介质、计算机设备 |
Non-Patent Citations (4)
Title |
---|
Automatic SNORT IDS rule generation based on honeypot log;Albert Sagala;《2015 7th International Conference on Information Technology and Electrical Engineering (ICITEE)》;20160218;全文 * |
Web服务器攻击日志分析研究;邓诗琪等;《信息网络安全》;20160610(第06期);全文 * |
基于攻击特征的自动证据筛选技术;伏晓等;《计算机研究与发展》;20110615(第06期);全文 * |
基于蜜罐日志的关联规则挖掘研究;金涛等;《信息安全与通信保密》;20110410(第04期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112187719A (zh) | 2021-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10530796B2 (en) | Graph database analysis for network anomaly detection systems | |
US10079842B1 (en) | Transparent volume based intrusion detection | |
van Baar et al. | Digital forensics as a service: A game changer | |
US10834105B2 (en) | Method and apparatus for identifying malicious website, and computer storage medium | |
CN111415158B (zh) | 一种基于区块链的风控方法和系统 | |
US10097569B2 (en) | System and method for tracking malware route and behavior for defending against cyberattacks | |
CN112187719B (zh) | 被攻击服务器的信息获取方法、装置和电子设备 | |
CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
EP3557437B1 (en) | Systems and methods for search template generation | |
CN111770106A (zh) | 数据威胁分析的方法、装置、系统、电子装置和存储介质 | |
WO2018121266A1 (zh) | 一种应用程序获取方法和装置以及一种终端设备 | |
US20200233977A1 (en) | Classification and management of personally identifiable data | |
WO2017107679A1 (zh) | 一种历史信息展示方法及装置 | |
CN111158926B (zh) | 业务请求分析方法、装置及设备 | |
US11991201B2 (en) | Likelihood assessment for security incident alerts | |
CN110830500A (zh) | 网络攻击追踪方法、装置、电子设备及可读存储介质 | |
US10114951B2 (en) | Virus signature matching method and apparatus | |
CN112199483A (zh) | 信息录入辅助方法、装置、电子设备及存储介质 | |
CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
Pieterse et al. | Playing hide-and-seek: Detecting the manipulation of Android timestamps | |
CN111241547A (zh) | 一种越权漏洞的检测方法、装置及系统 | |
CN106649343B (zh) | 一种网络数据信息处理方法及设备 | |
CN115328734A (zh) | 跨服务的日志处理方法、装置及服务器 | |
CN111461728B (zh) | 一种风险识别方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230315 Address after: Room 501-502, 5/F, Sina Headquarters Scientific Research Building, Block N-1 and N-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Applicant after: Sina Technology (China) Co.,Ltd. Address before: 100193 7th floor, scientific research building, Sina headquarters, plot n-1, n-2, Zhongguancun Software Park, Dongbei Wangxi Road, Haidian District, Beijing, 100193 Applicant before: Sina.com Technology (China) Co.,Ltd. |
|
TA01 | Transfer of patent application right | ||
GR01 | Patent grant | ||
GR01 | Patent grant |