【技术实现步骤摘要】
本专利技术涉及数据处理领域,具体涉及一种服务器异常访问的处理方法及装置。
技术介绍
1、随着信息化技术的不断发展,数据中心作为一种新型基础设施,被广泛应用于各行各业,数据中心的安全防护工作也越来越关注。常见的计算机病毒、应用非法请求访问、数据泄密等信息安全问题,通常会采取安装计算机病毒扫描软件,配置网络防火墙、对敏感数据加密等防护手段。这些手段可以抵御外部的恶意行为入侵,但是从数据中心内部的安全机制来说,内部的恶意访问行为缺少有效的审计手段,比如:服务器间横向访问,暴力破解,未授权访问,各种误操作、违规操作等行为。
2、服务器异常访问可能会导致数据泄露、系统崩溃等严重后果。因此,识别服务器异常访问非常重要。常用服务器异常访问的检测方法是:人工登录服务器查看日志,或者登录日志、操作日志统一收集,然后人工进行查看是否有过异常访问;这种处理方式不但容易漏看,同时无法做到时效性,当你看到有异常访问的时候,往往已经是过去时,服务器可能早已被人攻陷,而且大大耗费人力精力。
3、有鉴于此,亟需对现有的服务器异常处理方式进行改进,来提升服务器的运维效率。
技术实现思路
1、针对现有技术中存在的缺陷,本专利技术提供一种服务器异常访问的处理方法及装置,以增加数据中心安全防护手段,减少运维服务器人工成本,增加运维效率。
2、为达到以上目的,本专利技术采用如下技术方案:
3、一种服务器异常访问的处理方法,包含如下步骤:
4、获取服务器访问命令,基
5、将所述服务器日志推送至日志转存系统中进行存储;
6、通过flink框架访问所述日志转存系统来获取所述服务器日志;
7、将所述服务器日志基于时间窗口划分为日志片段合集;
8、提取所述日志片段的属性特征,基于所述属性特征计算所述日志片段的异常预期值;
9、将所述异常预期值大于异常阈值的日志片段输入已训练的日志分类模型,通过所述日志分类模型对所述日志片段进行分类;
10、基于所述分类的结果对所述服务器日志进行异常访问检测;
11、基于所述检测的结果对所述服务器访问命令进行处理。
12、优选地,还为所述服务器日志添加标签,所述标签包括所述服务器的ip地址和主机名。
13、优选地,所述基于日志格式匹配规则对所述服务器日志进行分类包括:
14、基于正则表达式对所述服务器日志进行匹配,将所述服务器日志分为登录日志和操作日志。
15、优选地,所述基于所述分类的结果并对所述服务器日志进行异常访问检测包括:
16、当所述服务器日志为登录日志时,通过所述flink框架的cep库从所述登录日志中提取登录事件;
17、基于所述登录事件的频次和/或来源进行异常访问检测。
18、优选地,所述基于所述分类的结果并对所述服务器日志进行异常访问检测包括:
19、当所述服务器日志为操作日志时,从所述操作日志中提取操作事件;
20、基于命令规则库对所述操作事件进行异常访问检测,所述命令规则库包括高危命令规则库和敏感文件访问规则库。
21、优选地,所述基于命令规则库对所述操作事件进行异常访问检测包括:
22、获取shell命令库;
23、基于所述shell命令库确定所述操作事件的类别,所述操作事件的类别包括文件操作和非文件操作;
24、当所述操作事件的类别为文件操作时,基于所述敏感文件访问规则库对所述操作事件进行异常访问检测;
25、当所述操作事件的类别为非文件操作时,基于所述高危命令规则库对所述操作事件进行异常访问检测。
26、优选地,当所述操作事件的类别为非文件操作时,基于k-core图算法确定所述操作事件是否为高危操作事件;
27、当所述操作事件为高危操作事件时,对所述高危命令规则库进行更新。
28、优选地,所述对所述服务器访问命令进行处理包括:对所述服务器访问命令进行放行或拦截告警。
29、优选地,所述基于所述检测的结果对所述服务器访问请求进行处理之后,所述方法还包括:将所述服务器日志归档存储,并进行可视化展示。
30、本专利技术还包括一种服务器异常访问的处理装置,基于上述的服务器异常访问处理方法,其特征在于,包括:
31、日志生成模块,用于获取服务器访问命令,基于所述服务器访问命令生成服务器日志;
32、日志推送模块,用于将所述服务器日志推送至日志转存系统中进行存储;
33、日志获取模块,用于通过flink框架访问所述日志转存系统来获取所述服务器日志;
34、日志分段模块,用于将所述服务器日志基于时间窗口划分为日志片段合集;
35、预期值计算模块,用于提取所述日志片段的属性特征,基于所述属性特征计算所述日志片段的异常预期值;
36、日志分类模块,用于将所述异常预期值大于异常阈值的日志片段输入已训练的日志分类模型,通过所述日志分类模型对所述日志片段进行分类;
37、异常检测模块,用于基于所述分类的结果对所述服务器日志进行异常访问检测;
38、命令处理模块,用于基于所述检测的结果对所述服务器访问命令进行处理。
39、与现有技术相比,本专利技术的优点在于:
40、首先,本处理方法基于时间窗口对服务器日志进行分段,然后计算每个分段的异常预期值,基于异常预期值对日志进行筛选,有效提升了日志的处理效率和准确率;其次,基于日志分类模型对服务器日志进行了分类,针对不同类别的服务器日志采取不同的处理策略,使得异常访问的处理更准确;第三,在完成对访问命令的处理后,将服务器日志进行归档存储,并进行可视化展示,做到了审计日志可追溯,增强了数据中心内部安全防护手段,减少了运维服务器人工成本,提升了运维效率。
本文档来自技高网...【技术保护点】
1.一种服务器异常访问的处理方法,其特征在于,包含如下步骤:
2.根据权利要求1所述的处理方法,其特征在于,在将所述服务器日志推送至日志转存系统中进行存储之前,所述方法还包括:
3.根据权利要求1所述的处理方法,其特征在于,所述通过所述日志分类模型对所述日志片段进行分类包括:
4.根据权利要求3所述的处理方法,其特征在于,所述基于所述分类的结果并对所述服务器日志进行异常访问检测包括:
5.根据权利要求3所述的处理方法,其特征在于,所述基于所述分类的结果并对所述服务器日志进行异常访问检测包括:
6.根据权利要求5所述的处理方法,其特征在于,所述基于命令规则库对所述操作事件进行异常访问检测包括:
7.根据权利要求6所述的处理方法,其特征在于:
8.根据权利要求1所述的处理方法,其特征在于,所述对所述服务器访问命令进行处理包括:
9.根据权利要求1所述的处理方法,其特征在于,所述基于所述检测的结果对所述服务器访问请求进行处理之后,所述方法还包括:
10.一种服务器异常访问的处理装
...【技术特征摘要】
1.一种服务器异常访问的处理方法,其特征在于,包含如下步骤:
2.根据权利要求1所述的处理方法,其特征在于,在将所述服务器日志推送至日志转存系统中进行存储之前,所述方法还包括:
3.根据权利要求1所述的处理方法,其特征在于,所述通过所述日志分类模型对所述日志片段进行分类包括:
4.根据权利要求3所述的处理方法,其特征在于,所述基于所述分类的结果并对所述服务器日志进行异常访问检测包括:
5.根据权利要求3所述的处理方法,其特征在于,所述基于所述分类的结果并对所述服务器日志进行异常访问检...
【专利技术属性】
技术研发人员:口拴军,王宗力,张睿甫,鞠高明,
申请(专利权)人:江苏金融租赁股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。