服务器监测方法及装置、检测服务器制造方法及图纸

本申请提供了一种服务器监测方法，用于查找应用服务器上存在漏洞的应用，具体地，首先获取客户端对应用服务器各个端口的访问次数，该端口非提供登录服务的应用所对应的端口，若某端口的访问次数满足预设条件，则将该端口对应的应用确定为存在漏洞的应用。另外，本申请还提供了一种服务器监测装置及检测服务器，用以保证所述方法在实际中的应用及实现。

Server monitoring methods and devices, detection servers

The invention provides a method for monitoring server, application, to find loopholes in the application server in detail, first get the client access to each application server port number, the corresponding application of the port service port provides non login, if a port access number satisfying the preset conditions, the application of the corresponding port the application of the existence of loopholes. In addition, the application also provides a server monitoring device and a detection server to ensure the application and implementation of the methods described in practice.

【技术实现步骤摘要】
服务器监测方法及装置、检测服务器
本申请涉及服务器异常检测
，更具体地，涉及服务器监测方法、服务器监测装置及检测服务器。
技术介绍
应用服务器上可以设置多个应用，不同的应用使用不同的端口提供不同的服务。若应用服务器上的某个应用存在漏洞，黑客等恶意程序可以通过攻击该存在漏洞的应用，来登录该应用服务器，并破坏该应用服务器上的数据，如窃取、修改应用服务器上的数据等。因此，需要一种技术方案，来检测应用服务器上存在漏洞的应用。
技术实现思路
有鉴于此，本申请提供了一种服务器监测方法，用于检测应用服务器上存在漏洞的应用。另外，本申请还提供了一种服务器监测装置及检测服务器，用以保证所述方法在实际中的应用及实现。为实现所述目的，本申请提供的技术方案如下：本申请的第一方面提供了一种服务器监测方法，用于对应用服务器进行监测，所述应用服务器上不同的应用对应不同的端口，该方法包括：获取客户端对所述应用服务器的端口的访问次数；其中，所述端口非提供登录服务的应用对应的端口；若某端口的访问次数满足预设条件，则将所述端口所对应的应用确定为存在漏洞的应用。本申请的第二方面提供了一种服务器监测装置，用于对应用服务器进行监测，所述应用服务器上不同的应用对应不同的端口，该装置包括：访问次数获取单元，用于获取客户端对所述应用服务器的端口的访问次数；其中，所述端口非提供登录服务的应用对应的端口；漏洞应用确定单元，用于若某端口的访问次数满足预设条件，则将所述端口所对应的应用确定为存在漏洞的应用。本申请的第三方面提供了一种检测服务器，包括：处理器和存储器，其中，所述处理器通过运行存储在所述存储器内的软件程序、调用存储在所述存储器内的数据，至少执行如下步骤：获取客户端对所述应用服务器的端口的访问次数；其中，所述端口非提供登录服务的应用对应的端口；若某端口的访问次数满足预设条件，则将所述端口所对应的应用确定为存在漏洞的应用。由以上技术方案可知，本申请提供了一种服务器监测方法，用于查找应用服务器上存在漏洞的应用，具体地，首先获取客户端对应用服务器各个端口的访问次数，该端口非提供登录服务的应用所对应的端口，若某端口的访问次数满足预设条件，则将该端口对应的应用确定为存在漏洞的应用。附图说明为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请提供的服务器监测的一个应用场景示意图；图2为本申请提供的服务器监测方法实施例1的流程图；图3为本申请提供的服务器监测方法实施例2的流程图；图4为本申请提供的服务器监测系统的架构图；图5为本申请提供的服务器监测方法实施例3的流程图；图6为本申请提供的服务器监测装置实施例1的结构示意图。具体实施方式下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。在实际应用中，应用服务器上可以设置多个应用，不同的应用使用不同的端口提供不同的服务。若应用服务器上的某个应用存在漏洞，黑客等恶意程序可以通过攻击该存在漏洞应用，来登录该应用服务器，并破坏该应用服务器，如窃取、修改应用服务器上的数据等。因此，若应用服务器上出现了异常登录事件，原因之一可能是黑客等恶意程序在攻击存在漏洞的应用。对此，本申请提供了一种服务器监测方法，如图1所示，可以在应用服务器出现异常事件后，根据异常客户端对应用服务器的端口的访问次数，来确定应用服务器上存在漏洞的应用。参见图2，其示出了服务器监测方法实施例1的流程。如图2所示，本实施例可以具体包括步骤S201～步骤S204。步骤S201：若应用服务器出现异常事件，则标记异常客户端。具体地，可以使用现有的异常捕获工具对应用服务器进行监测，以发现应用服务器上出现的异常事件。一旦应用服务器上出现了异常事件，便标记该异常事件中的客户端为异常客户端。具体地，异常捕获工具可以捕获到异常登录记录，该异常登录记录中包含客户端标识与服务端标识的对应关系。该异常访问记录中的服务器标识所标识的服务器即出现异常的应用服务器，该异常登录记录中的客户端标识所标识的客户端即异常客户端。可选地，客户端标识及服务器标识均可以是使用各自的网络地址。步骤S202：确定异常客户端在本次异常事件中访问最多的端口。为了便于描述，可以将该确定出的该端口称为目标端口。目标端口非提供登录服务的应用对应的端口。可以知道的是，应用服务器上部署有多个应用，且不同的应用对应应用服务器上不同的端口。应用与端口的对应关系可以保存在预先设置的映射表中。映射表的一个具体示例如下表1所示，当然，在实际应用中，映射表所包含的应用及端口可以是其他，本申请并不做具体限定。表1应用端口MYSQL数据库3306MSSQL数据库1433SSH服务22RDP服务3389Redis关系数据库服务6379PostgreSQL数据库服务5432FTP文件传输服务21在一起异常事件中，异常客户端可能会扫描多个应用的端口，以试图查找该多个应用中是否存在漏洞的应用。若在端口扫描过程中，发现某应用存在漏洞，异常客户端便可以对该存在漏洞的应用进行攻击，以获得用于合法登录应用服务器的数据。其中，该数据可以是用来验证登录身份合法性的数据，如登录密码。为了便于描述，可以将合法登录应用服务器的数据成为登录数据。为了帮助理解上述攻击行为，以下使用房间进行打比方说明。将应用服务器比作一个房间，进入该房间的唯一路径是门，因此，可以将门钥匙比作合法登录该应用服务器的数据。盗窃者如果想进入房间盗窃，则需要想方设法得到门钥匙。通常地，房间不仅设置有门，还设置有窗户、烟囱等设施。假设，破坏这些设施后，便可以得到打开门的钥匙，那么盗窃者便会敲敲窗户、爬爬烟囱，以试图找到存在漏洞的设施。若发现某个窗户存在裂痕，盗窃者便打碎该窗户，以获得门钥匙，从而进入房间实施盗窃。以上举例中，存在裂痕的窗户即存在漏洞的应用，盗窃者打碎窗户的行为即异常客户端对存在漏洞的应用的攻击行为。攻击行为的目的，是为了获得合法登录应用服务器的数据。当然，盗窃者也可以事先通过其他途径获得门钥匙，这样，其不需要攻击其他设施，便可以直接打开门进入房间。异常客户端在一起异常事件中，可能访问了多个端口，在确定了某端口对应的应用存在漏洞后，攻击该应用以获得登录数据。可以理解的是，异常客户端攻击某应用，必然需要多次访问该应用的端口。因此，步骤S201确定异常客户端后，步骤S202在异常客户端访问的多个端口中，确定被访问次数最多的目标端口。需要说明的是，异常客户端访问的多个端口中，可能包含提供登录服务的应用所对应的端口，例如但不限定于上述表1中的端口22及端口3389。但是，异常客户端对登录服务端口的访问，是为了登录，不属于本申请定义的攻击行为。本申请定义的攻击行为即，通过攻击存在漏洞的应用来获得合法登录应用服务器的数据的行为。因此，本步骤确定目标端口时，并本文档来自技高网...

【技术保护点】
一种服务器监测方法，其特征在于，用于对应用服务器进行监测，所述应用服务器上不同的应用对应不同的端口，该方法包括：获取客户端对所述应用服务器的端口的访问次数；其中，所述端口非提供登录服务的应用对应的端口；若某端口的访问次数满足预设条件，则将所述端口所对应的应用确定为存在漏洞的应用。

【技术特征摘要】
1.一种服务器监测方法，其特征在于，用于对应用服务器进行监测，所述应用服务器上不同的应用对应不同的端口，该方法包括：获取客户端对所述应用服务器的端口的访问次数；其中，所述端口非提供登录服务的应用对应的端口；若某端口的访问次数满足预设条件，则将所述端口所对应的应用确定为存在漏洞的应用。2.根据权利要求1所述的服务器监测方法，其特征在于，所述若某端口的访问次数满足预设条件，则将所述端口所对应的应用确定为存在漏洞的应用，包括：若某端口的访问次数与所述应用服务器的总访问次数的比值超过预设比值阈值，则将所述端口对应的应用确定为存在漏洞的应用。3.根据权利要求1所述的服务器监测方法，其特征在于，所述若某端口的访问次数满足预设条件，则将所述端口所对应的应用确定为存在漏洞的应用，包括：若某端口的访问次数超过预设次数阈值，则将所述端口对应的应用确定为存在漏洞的应用。4.根据权利要求1所述的服务器监测方法，其特征在于，所述获取客户端对所述应用服务器的端口的访问次数，包括：若应用服务器出现异常事件，则标记访问所述应用服务器的异常客户端；获取所述异常客户端对所述应用服务器的端口的访问次数。5.根据权利要求4所述的服务器监测方法，其特征在于，所述若应用服务器出现异常事件，则标记访问所述应用服务器的异常客户端，包括：接收异常捕获工具发送的异常登录记录；其中，所述异常登录记录中包含具有对应关系的客户端标识与服务器标识；确定所述服务器标识所标识的应用服务器出现异常登录事件，并标记所述客户端标识所标识的客户端为异常客户端。6.根据权利要求4所述的服务器监测方法，其特征在于，所述若某端口的访问次数满足预设条件，则将所述端口所对应的应用确定为存在漏洞的应用，包括：确定所述异常客户端在所述应用服务器上访问次数最多的端口为目标端口；若所述异常客户端对所述目标端口的访问次数满足预设条件，则将所述目标端口所对应的应用确定为存在漏洞的应用。7.根据权利要求1～6任意一项所述的服务器监测方法，其特征在于，所述对所述应用服务器的端口的访问次数是从传输层网络数据中获取到的。8.一种服务器监测装置，其特征在于，用于对应用服务器进行监测，所述应用服务器上不同的应用对应不同的端口，该装置包括：访问次数获取单元，用于获取客户端对所述应用服务器的端口的访问次数；其中，所述端口非提供登录服务的应用对应的端口；漏洞应用确定单元，用于若某端口的访问次数满足...

【专利技术属性】
技术研发人员：郭家龙，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY