网络数据分析方法及服务器技术

本申请提供了网络服务器监控方法及系统、网络数据分析方法及服务器，其中，网络数据分析方法包括：获取初始网络流量日志；基于所述初始网络流量日志中的发送方网络地址、接收方网络地址、请求类型和发送请求时间，将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中；从所述攻击记录表和扫描记录表中，获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。采用本申请实施例，可以在记录蜜罐服务器的网络响应数据的前提下，实现对攻击者的IP地址的准确定位，从而保证网络数据传输和保存的安全性。

【技术实现步骤摘要】
网络数据分析方法及服务器
本申请涉及互联网数据处理
，特别涉及一种网络数据的存储方法及网络服务器，一种网络服务器的监控方法及监控监控系统，以及，一种网络数据分析方法及分析服务器。
技术介绍
目前，随着用户使用网络进行购物等越来越多的网上交易，也有越来越多的用户经常受到黑客等的攻击。如果攻击者伪造成被攻击者向服务器发送了大量的数据处理请求，服务器就会误认为是被攻击者(即可能的受害者)在发起数据处理，因此就会将网络响应数据发送给被攻击者，这样就会造成被攻击者拒绝服务的后果。
技术实现思路
专利技术人在研究过程中发现，现有技术中，由于攻击者使用了将攻击者的IP(InternetProtocol，网际协议)地址伪造成被攻击者的IP地址进行攻击的方式，因此在终端侧的网络设备上获取的攻击数据，均为伪造源的数据包，很难定位到真正的攻击者的IP地址。基于此，本申请提供了一种网络数据的存储方法，一种网络服务器的监控方法，以及，一种网络数据分析方法，用以在记录服务器的网络响应数据的前提下，实现对攻击者的IP地址的准确定位，从而保证网络数据传输和保存的安全性。本申请还提供了一种网络服务器，一种监控系统，以及，一种分析服务器，用以保证上述方法在实际中的实现及应用。本申请公开了一种网络数据分析方法，该方法包括：获取初始网络流量日志；其中，所述初始网络流量日志包括：发送方网络地址、接收方网络地址、请求类型和发送请求时间；参考所述初始网络流量日志的发送方网络地址、接收方网络地址、请求类型和发送请求时间，将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中；其中，所述攻击记录表用于保存攻击类型的网络流量日志，所述扫描记录表用于保存扫描类型的网络流量日志；从所述攻击记录表和扫描记录表中，获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。本申请还公开了一种网络数据分析服务器，包括：获取初始网络流量日志模块，用于获取初始网络流量日志；其中，所述初始网络流量日志包括：发送方网络地址、接收方网络地址、请求类型和发送请求时间；划分初始网络流量日志模块，用于基于所述初始网络流量日志中的发送方网络地址、接收方网络地址、请求类型和发送请求时间，将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中；其中，所述攻击记录表用于保存攻击类型的网络流量日志，所述扫描记录表用于保存扫描类型的网络流量日志；获取攻击告警数据模块，用于从所述攻击记录表和扫描记录表中，获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。与现有技术相比，本申请包括以下优点：在本申请实施例中，部署在不同地区的网络服务器可以通过安装和配置指定的网络服务程序，来模拟真实的网络服务器并暴露在互联网上，一旦攻击者通过扫描发现其中的网络服务器，便会加入其攻击程序中并尝试通过网络服务器发起攻击，而本实施例中的网络服务器可以保存每次发出网络响应数据的网络流量日志，从而可以对每一次攻击者发送的数据处理请求及其响应过程都进行记录，为后续分析服务器对这些网络流量日志进行分析从而得到攻击者IP地址和被攻击者IP地址等攻击告警数据提供了可能性，保证了网络数据传输的安全性。进一步的，监控系统对其中部署的各个独立的网络服务器进行监控，可以获得各个网络服务器的性能参数，从而保证各个网络服务器的正常运行，进而在性能参数出现异常的情况下，还可以对网络服务器进行相应的调整，保证各个网络服务器在出现异常的情况下，还可以进行修复，使得网络服务器可以正常进行后续网络数据的存储。进一步的，分析服务器通过对网络服务器保存的网络流量日志进行分析，从而对攻击者及其攻击过程进行准确地的监控，确定出每一次攻击背后的攻击者的IP地址，还可以对被攻击者IP地址的资产所属方进行及时预警，保证了网络数据处理的安全性。当然，实施本申请的任一产品并不一定需要同时达到以上所述的所有优点。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1是本申请的网络数据的存储方法的流程图；图2是本申请在实际应用中的场景架构图；图3是本申请的网络服务器监控方法实施例的流程图；图4是本申请的网络数据分析方法实施例的流程图；图5是本申请的网络服务器实施例的结构框图；图6是本申请的监控系统实施例的结构框图；图7是本申请的分析服务器实施例的结构框图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。定义：DDoS(DistributedDenialofService，分布式拒绝服务)，很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击，攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DoS攻击，从而成倍地提高拒绝服务攻击的威力。反射型DDoS攻击，反射型DDoS攻击也叫AmplificationAttack，是指利用基于无连接UDP(UserDatagramProtocol，用户数据包协议)设计的网络服务“缺陷”以及源IP地址不做真实性检查的特点，攻击者将源地址伪造成被攻击者IP地址，发送大量的请求报文给服务器，服务器会将响应的数据发送给伪造的被攻击者IP地址，当响应的数据包足够多时便会造成被攻击者拒绝服务的后果。服务器响应字节的大小和攻击者伪造请求的数据包字节大小的比率被称作BAF(放大因子，BandwidthAmplificationFactor)，放大因子越大，反射攻击的效果越明显。目前常见的被用来发起反射型DDoS攻击的网络服务有：DNS、SNMP、NTP、SSDP等。网络服务器，是布置在互联网中进行数据处理的一类服务器的总称。在本申请实施例中，网络服务器可以是蜜罐(HoneyPot)服务器，蜜罐服务器在计算机领域主要指通过模拟真实的计算机环境，来检测以及发现真实的入侵事件，并记录有价值的攻击者资源的一种计算机系统。扫描器，是一种利用特定的网络协议特征，对互联网上开放的主机端口进行探测并确认其服务状态的工具。反射攻击特征，可以用来确定出攻击者发起攻击时的数据处理请求所对应的网络流量日志。为了准确的确定出反射攻击对应的网络流量日志，可以分别从时间、请求类型和服务器地址三个方面进行考虑，相应的，所述反射攻击特征可以包括：攻击时间特征、攻击类型特征和攻击地址特征。TCP(TransmissionControlProtocol，传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议，由IETF(InternetEngineeringTaskForce，互联网工程任务组)的RFC793定义。在简化的计算机网络OSI(OpenSystemInterconnect，开放式系统互联)模型中，它完成第四层传输层所指定的功能，UDP是同一层内另一个重要的传输协议。DNS(DomainNa本文档来自技高网...

【技术保护点】
一种网络数据分析方法，其特征在于，该方法包括：获取初始网络流量日志；其中，所述初始网络流量日志包括：发送方网络地址、接收方网络地址、请求类型和发送请求时间；基于所述初始网络流量日志的发送方网络地址、接收方网络地址、请求类型和发送请求时间，将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中；其中，所述攻击记录表用于保存属于攻击类型的网络流量日志，所述扫描记录表用于保存属于扫描类型的网络流量日志；从所述攻击记录表和扫描记录表中，获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。

【技术特征摘要】
1.一种网络数据分析方法，其特征在于，该方法包括：获取初始网络流量日志；其中，所述初始网络流量日志包括：发送方网络地址、接收方网络地址、请求类型和发送请求时间；基于所述初始网络流量日志的发送方网络地址、接收方网络地址、请求类型和发送请求时间，将所述初始网络流量日志分别划分在攻击记录表和扫描记录表中；其中，所述攻击记录表用于保存属于攻击类型的网络流量日志，所述扫描记录表用于保存属于扫描类型的网络流量日志；从所述攻击记录表和扫描记录表中，获取攻击者网络地址和被攻击者网络地址作为攻击告警数据。2.根据权利要求1所述的方法，其特征在于，所述基于所述初始网络流量日志的发送方网络地址、接收方网络地址、请求类型和发送请求时间，将各条所述初始网络流量日志分别划分在攻击记录表和扫描记录表中，包括：获取发送请求时间的时间差在预设时间阈值内，且所述发送方网络地址不同且接收方网络地址相同的待分析网络流量日志；判断所述待分析网络流量日志的条数是否大于预设条数阈值，如果是，则将大于预设条数阈值的待分析网络流量日志确定为攻击日志，并将所述攻击日志保存至所述攻击记录表；如果否，则将不大于预设的条数阈值的待分析网络流量日志确定为扫描日志，并将所述扫描日志保存至所述扫描记录表。3.根据权利要求1所述的方法，其特征在于，所述从所述攻击记录表和扫描记录表中，获取攻击者网络地址和被攻击者网络地址作为攻击告警数据，包括：从所述攻击记录表和扫描记录表中，提取符合预设攻击特征的攻击日志和扫描日志；对所述攻击日志和扫描日志进行分析，得到攻击者网络地址和被攻击者网络地址作为攻击告警数据。4.根据权利要求3所述的方法，其特征在于，从所述攻击记录表和扫描记录表中，提取符合预设的反射攻击特征的目标网络流量日志，包括：从所述攻击记录表和扫描记录表中，提取出符合预设的攻击时间特征、攻击类型特征和攻击地址特征的目标网络流量日志。5.根据权利要求4所述的方法，其特征在于，所述从所述攻击记录表和扫描记录表中，提取出符合预设的攻击时间特征、攻击类型特征和攻击地址特征的目标网络流量日志，包括：判断所述攻击日志和扫描日志中的发送请求时间是否符合预设的攻击时间阈值；如果是，则判断所述攻击日志和所述扫描日志的请求类型是否相同；如果是，则判断所述攻击日志和所述扫描日志中的发送方网络地址是否相同；如果是，则将对应的扫描日志和攻击日志确定为目标网络流量日志。6.根据权利要求3所述的方法，其特征在于，所述攻击告警数据还包括：发送请求时间和请求类型，则所述对所述攻击日志和扫描日志进行分析，得到攻击者网络地址和被攻击者网络地址作为攻击告警数据，包括：获取所述扫描日志中的接收方网络地址作为攻击者网络地址，以及，所述攻击日志中的接收方网络地址作为被攻击者网络地址；将所述攻击者网络地址、被攻击者网络地址、发送请求时间和请求类型组合为攻击告警数据。7.根据权利要求1所述的方法，其特征在于，还包括：将所述攻击告警数据发送至前端显示界面以便展示。8.根据权利要求1所述的方法，其特征在于，还包括：针对同一个被攻击者网络地址，判断是否有超过预设攻击个数的网络服务器向所述被攻击者网络地址发起数据处理请求，如果是，则将攻击告警数据发送至所述被攻击者网络地址以便告警。9.一种网络数据分析服务器，其特征在于，包括：获取初始网络流量日志模块，用于获取初始网络流量日志；其中，所述初始...

【专利技术属性】
技术研发人员：王海东，李然，宋加生，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY