基于数据分析的服务器入侵识别方法、装置和云安全系统制造方法及图纸

本申请公开了一种基于数据分析的服务器入侵识别方法和装置以及云安全系统，其中，所述方法包括：从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据；在当前服务器的访问数据中查找所述攻击源数据；若存在由所述攻击源数据访问所述当前服务器产生的访问数据，则确定所述当前服务器被入侵。通过本申请提供的基于数据分析的服务器入侵识别方案，能够对云环境下的一台或多台服务器记录的安全数据进行有效的挖掘和利用，识别范围可以扩大到云环境下的多台服务器。

【技术实现步骤摘要】

本申请涉及计算机
，具体涉及一种基于数据分析的服务器入侵识别方法、一种基于数据分析的服务器入侵识别装置以及一种云安全系统。
技术介绍
在云计算日愈普及的今天，云服务器的用户越来越关注云服务器的安全，云服务器的安全已经成为云计算服务的核心竞争力之一。由于受到云服务器用户的安全意识与安全能力的欠缺、云服务器上应用多样性、web漏洞、系统漏洞、0day漏洞、弱口令、服务器的不正确的配置等因素的影响，大量的云服务器被攻击源入侵，沦为肉鸡，用户的业务及数据安全受到严重的威胁。在此背景下，云服务器安全面临非常严峻的挑战，服务器入侵检测非常重要。服务器入侵识别是指在攻击源突破防御系统入侵服务器成功后，能及时的识别出服务器被入侵的事件，并通知用户处理，从而有助于减少用户的损失，控制云计算环境中的肉鸡威胁，净化云计算网络环境。因此与服务器安全防御手段相比，服务器的入侵识别也很重要。传统的入侵识别方法包括病毒木马扫描、web后门扫描、服务器日志分析等方法。例如，收集服务器web目录里面的文件，然后在云端进行webshell查杀；收集暴力破解事件，然后进行拦截等。但这种方案的分析与检测的数据都由单台服务器产生，识别范围仅仅停留在单台服务器内。
技术实现思路
鉴于上述问题，提出了本申请以便提供一种克服上述问题或者至少部分地解决上述问题的基于数据分析的服务器入侵识别方法和相应的基于数据分析的服务器入侵识别装置。依据本申请的一个方面，提供了一种基于数据分析的服务器入侵识别方法，包括：从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据；在当前服务器的访问数据中查找所述攻击源数据；若存在由所述攻击源数据访问所述当前服务器产生的访问数据，则确定所述当前服务器被入侵。可选地，收集一台或多台服务器记录的安全事件。可选地，当所述安全事件包括web攻击事件时，所述收集一台或多台服务器记录的安全事件包括：访问所述服务器的web应用防护系统获取针对所述服务器的web攻击事件，和/或，提取所述服务器的网络流量的镜像数据，将所述镜像数据与预设的检测规则进行规则匹配得到针对所述服务器的web攻击事件。可选地，当所述安全事件包括服务器暴力破解事件时，所述收集一台或多台服务器记录的安全事件包括：采集所述服务器的登录日志，通过分析所述登录日志中包括的登录成功事件和登录失败事件得到针对所述服务器的服务器暴力破解事件。可选地，，当所述安全事件包括拒绝服务攻击事件时，所述收集一台或多台服务器记录的安全事件包括：访问所述服务器的分布式拒绝服务攻击系统获取针对所述服务器的拒绝服务攻击事件。可选地，所述在当前服务器的访问数据中查找所述攻击源数据包括：从所述当前服务器的访问数据中解析登录所述当前服务器的登录源数据，并在所述攻击源数据查找解析的登录源数据；若查找到所述登录源数据，则确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。可选地，所述访问数据具备标识所述攻击源数据对所述服务器恶意程度的恶意系数，在确定存在由所述攻击源数据访问所述当前服务器产生的访问数据之后，所述方法还包括：确定查找到的所述攻击源数据的恶意系数大于预设阀值。可选地，所述方法还包括：统计所述安全事件中所述攻击源数据的攻击次数和攻击频率，并根据所述攻击次数和所述攻击频率计算所述攻击源数据的恶意系数。可选地，在所述确定所述当前服务器被入侵之前，所述方法还包括：确定查找到的所述攻击源数据在本次访问之前未登录过所述当前服务器；和/或，确定查找到的所述攻击源数据并非常用登录源数据。可选地，所述方法还包括：生成通知所述当前服务器被入侵的提示信息；将所述提示信息展示在所述当前服务器上，和/或，将所述提示信息下发到访问所述当前服务器的客户端。可选地，所述方法还包括：若接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息，则降低所述攻击源数据的恶意系数；和/或，若未接收到用户针对所述当前服务器被入侵的提示信息反馈的误报信息，则增加所述攻击源数据的恶意系数。可选地，所述方法还包括：若不存在由所述攻击源数据访问所述当前服务器产生的访问数据，则确定所述当前服务器未被入侵，并提取所述访问数据对应的登录源数据添加至所述当前服务器的常用登录源数据。可选地，所述从一台或多台服务器记录的安全事件中解析入侵服务器的攻击源数据包括：从所述安全事件中解析入侵所述服务器的攻击源IP地址。可选地，所述方法还包括：通过预置接口接收外部导入的攻击源数据。可选地，所述安全事件包括web攻击事件、服务器暴力破解事件和拒绝服务攻击事件中至少一种。根据本申请的另一方面，提供了一种基于数据分析的服务器入侵识别装置，包括：攻击源数据获取模块，用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据；数据查找模块，用于在当前服务器的访问数据中查找所述攻击源数据，并确定存在由所述攻击源数据访问所述当前服务器产生的访问数据；入侵确定模块，用于确定所述当前服务器被入侵。可选地，所述装置还包括：安全事件收集模块，用于收集一台或多台服务器记录的安全事件。可选地，所述访问数据具备标识所述攻击源数据对所述服务器恶意程度的恶意系数，所述装置还包括：恶意系数判断模块，用于在确定存在由所述攻击源数据访问所述当前服务器产生的访问数据之后，确定查找到的所述攻击源数据的恶意系数大于预设阀值。可选地，所述装置还包括：历史登录确定模块，用于在确定所述当前服务器被入侵之前，确定查找到的所述攻击源数据在本次访问之前未登录过所述当前服务器；和/或，常用登录确定模块，用于在确定所述当前服务器被入侵之前，确定查找到的所述攻击源数据并非常用登录源数据。根据本申请的再一方面，提供了一种云安全系统，包括当前服务器和攻击源数据库；所述攻击源数据库，用于从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据；所述当前服务器包括：数据查找模块，用于在所述当前服务器的访问数据中查找所述攻击源数据；入侵判断模块，用于若存在由所述攻击源数据访问所述当前服务器产生的访问数据，则确定所述当前服务器被入侵。依据本申请实施例，从云计算环境下的一台或多台服务器记录的海量安全事件中解析攻击服务器的攻击源数据，在当前服务器的访问数据中查找所述攻击源数据，当存在由攻击源数据对应的访问数据时，识别当前服务器被入侵，从而对云环境下的一台或多台服务器记录的安全数据进行了充分有效的挖掘和利用，识别范围可以扩大到云环境下的多台服务器。上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。附图说明通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本申请的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：图1示出了根据本申请一个实施例的基于数据分析的服务器入侵识别方法的流程图；图2示出了根据本申请另一个实施例的基于数据分析的服务器入侵识别方法的流程图；图3示出了本申请实施例的一个示例中收本文档来自技高网...

【技术保护点】
一种基于数据分析的服务器入侵识别方法，其特征在于，包括：从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据；在当前服务器的访问数据中查找所述攻击源数据；若存在由所述攻击源数据访问所述当前服务器产生的访问数据，则确定所述当前服务器被入侵。

【技术特征摘要】
1.一种基于数据分析的服务器入侵识别方法，其特征在于，包括：从一台或多台服务器记录的安全事件中解析入侵所述服务器的攻击源数据；在当前服务器的访问数据中查找所述攻击源数据；若存在由所述攻击源数据访问所述当前服务器产生的访问数据，则确定所述当前服务器被入侵。2.如权利要求1所述的方法，其特征在于，还包括：收集一台或多台服务器记录的安全事件。3.如权利要求2所述的方法，其特征在于，当所述安全事件包括web攻击事件时，所述收集一台或多台服务器记录的安全事件包括：访问所述服务器的web应用防护系统获取针对所述服务器的web攻击事件，和/或，提取所述服务器的网络流量的镜像数据，将所述镜像数据与预设的检测规则进行规则匹配得到针对所述服务器的web攻击事件。4.如权利要求2所述的方法，其特征在于，当所述安全事件包括服务器暴力破解事件时，所述收集一台或多台服务器记录的安全事件包括：采集所述服务器的登录日志，通过分析所述登录日志中包括的登录成功事件和登录失败事件得到针对所述服务器的服务器暴力破解事件。5.如权利要求2所述的方法，其特征在于，当所述安全事件包括拒绝服务攻击事件时，所述收集一台或多台服务器记录的安全事件包括：访问所述服务器的分布式拒绝服务攻击系统获取针对所述服务器的拒绝服务攻击事件。6.如权利要求1所述的方法，其特征在于，所述在当前服务器的访问数据中查找所述攻击源数据包括：从所述当前服务器的访问数据中解析登录所述当前服务器的登录源数据，并在所述攻击源数据查找解析的登录源数据；若查找到所述登录源数据，则确定存在由所述攻击源数据访问所述当前服务器产生的访问数据。7.如权利要求1所述的方法，其特征在于，所述访问数据具备标识所
\t述攻击源数据对所述服务器恶意程度的恶意系数，在确定存在由所述攻击源数据访问所述当前服务器产生的访问数据之后，所述方法还包括：确定查找到的所述攻击源数据的恶意系数大于预设阀值。8.如权利要求7所述的方法，其特征在于，所述方法还包括：统计所述安全事件中所述攻击源数据的攻击次数和攻击频率，并根据所述攻击次数和所述攻击频率计算所述攻击源数据的恶意系数。9.如权利要求1所述的方法，其特征在于，在所述确定所述当前服务器被入侵之前，所述方法还包括：确定查找到的所述攻击源数据在本次访问之前未登录过所述当前服务器；和/或，确定查找到的所述攻击源数据并非常用登录源数据。10.如权利要求7所述的方法，其特征在于，所述方法还包括：生成通知所述当前服务器被入侵的提示信息；将所述提示信息展示在所述当前服务器上，和/或，将所述提示信息下发到访问所述当前服务...

【专利技术属性】
技术研发人员：周来，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛;KY