CN108076006A - 一种查找被攻击主机的方法及日志管理服务器 - Google Patents
一种查找被攻击主机的方法及日志管理服务器 Download PDFInfo
- Publication number
- CN108076006A CN108076006A CN201610989051.0A CN201610989051A CN108076006A CN 108076006 A CN108076006 A CN 108076006A CN 201610989051 A CN201610989051 A CN 201610989051A CN 108076006 A CN108076006 A CN 108076006A
- Authority
- CN
- China
- Prior art keywords
- address
- daily record
- malicious
- url
- addresses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种查找被攻击主机的方法及日志管理服务器,涉及通信领域,解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。具体方案为:日志管理服务器接收来自于查询设备的查询请求,并根据接收到的查询请求中包括的第一IP地址和目标事件类型,以及预先存储的所有日志数据,确定目标IP地址,该目标IP地址为被管理主机集合中被攻击的主机使用的IP地址,并向查询设备发送确定出的目标IP地址,以便查询设备接收并显示来自于日志管理服务器的目标IP地址。本发明实施例用于查找被攻击的主机的过程。
Description
技术领域
本发明实施例涉及通信领域,尤其涉及一种查找被攻击主机的方法及日志管理服务器。
背景技术
高级持续性威胁(Advanced Persistent Threat,APT)是一种攻击者对特定被攻击对象进行长期持续性网络攻击的攻击形式。APT攻击的高级性体现在攻击者在发动APT攻击之前需要精确地收集被攻击对象的业务流程信息。在收集业务流程信息的过程中,攻击者会主动分析被攻击对象所使用的应用程序的漏洞,利用这些漏洞实施攻击,以达到窃取被攻击对象的核心资料等非法目的,威胁着作为被攻击对象的企业的数据安全。
为了保护企业的数据安全,在APT场景下,企业网络的管理人员可以通过分析企业网络中所有主机的日志数据,发现被攻击的主机,以便对被攻击的主机采取保护措施,从而避免数据被窃取。
现有技术中至少存在如下问题:查找被攻击的主机要依赖于网络管理人员的个人经验。存在着耗费时间长,准确率低的问题。
发明内容
本发明实施例提供一种查找被攻击主机的方法及日志管理服务器,解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。
为达到上述目的,本发明实施例采用如下技术方案:
第一方面,提供一种查找被攻击主机的方法,包括:
日志管理服务器接收来自于查询设备的查询请求,该查询请求中携带第一IP地址和用于指示URL异常的事件的目标事件类型,且第一IP地址为被管理主机集合中的第一主机的IP地址。日志管理服务器在接收到查询请求之后,根据第一IP地址、目标事件类型和预先存储的所有日志数据,确定被管理主机集合中被攻击的主机使用的IP地址,即目标IP地址,并向查询设备发送目标IP地址。
其中,日志数据以条目的方式保存,每条日志数据包含该条日志数据对应的会话的源IP地址、会话访问的URL,源IP地址是被管理主机集合中的一个主机的IP地址。
本发明实施例提供的查找被攻击主机的方法,在日志管理服务器接收到来自于查询设备的查询请求时,通过根据接收到的查询请求和预先存储的日志数据确定出被攻击的主机使用的IP地址,并向查询设备发送被攻击的主机使用的IP地址。使得在网络管理人员需要查找被攻击的主机时,仅需在查询设备上输入主机的IP地址和目标事件类型,便可以直接查看到被攻击的主机使用的IP地址,进而确定被攻击的主机。解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。
结合第一方面,在第一方面的一种可能的实现方式中,日志管理服务器根据第一IP地址、目标事件类型和预先存储的所有日志数据,确定目标IP地址,具体的可以包括:日志管理服务器从预先存储的所有日志数据中获取至少一条包含的源IP地址为第一IP地址的日志数据,以获得第一日志数据集合。并获取第一日志数据集合中每条日志数据包含的URL,以获得第一URL集合。日志管理服务器还获取第一URL集合中符合目标事件类型的URL,作为恶意URL。此时,日志管理服务器从预先存储的所有日志数据中获取至少一条包含的源IP地址为第二IP地址的日志数据,并在确定至少一条包含的源IP地址为第二IP地址的日志数据中的一条日志数据包括恶意URL时,确定该第二IP地址为目标IP地址。其中,第二IP地址为被管理主机集合中的第二主机的IP地址。
结合第一方面和上述第一方面可能的实现方式,在第一方面的另一种可能的实现方式中,日志管理服务器获取第一URL集合中符合目标事件类型的URL,作为恶意URL,具体的可以包括:日志管理服务器获取第一URL集合中每个URL的域名,并合并第一URL集合具有相同域名的URL,获得第三URL集合,第三URL集合包含合并处理后的URL。且日志管理服务器从第三URL集合中删除不符合目标事件类型的URL,删除后剩余的URL为恶意URL。不符合目标事件类型的URL为包含正常域名的URL。
其中,日志管理服务器从第三URL集合中删除不符合目标事件类型的URL,第三URL集合中删除后剩余的URL为恶意URL,具体的可以包括:日志管理服务器获取第三URL集合中每个URL的域名,并获取每个域名的信誉指示符,该信誉指示符包括正常标识和非正常标识。日志管理服务器从第三URL集合中删除域名的信誉指示符为正常的部分URL,删除后剩余的URL为恶意URL。
结合第一方面和上述第一方面可能的实现方式,在第一方面的另一种可能的实现方式中,为了能够进一步缩短网络管理人员在查找被攻击主机时的耗费时间,且为了进一步提高准确率,在日志管理服务器获取第一URL集合中符合目标事件类型的URL,作为恶意URL之后,本发明实施例提供的查找被攻击主机的方法,还可以包括:日志管理服务器查找用以提供恶意URL所标识的页面的IP地址,作为恶意IP地址。每条日志数据还包含该条日志数据对应的会话的目的IP地址。日志管理服务器在确定至少一条包含的源IP地址为第二IP地址的日志数据中的一条日志数据包括恶意URL时,确定第二IP地址为目标IP地址,具体的可以包括:日志管理服务器获取至少一条包含的源IP地址为第二IP地址的日志数据中每条日志数据的目的IP地址,以获得目的IP地址集合。并在确定目的IP地址集合中包括恶意IP地址时,确定第二IP地址为目标IP地址。
其中,日志管理服务器在确定至少一条包含的源IP地址为第二IP地址的日志数据中的一条日志数据包括恶意URL时,确定第二IP地址为目标IP地址,具体的可以包括:日志管理服务器获取至少一条包含的源IP地址为第二IP地址的日志数据中每条日志数据包含的URL,以获得第二URL集合。并在确定第二URL集合中包括恶意URL时,确定第二IP地址为目标IP地址。
结合第一方面和上述第一方面可能的实现方式,在第一方面的另一种可能的实现方式中,本发明实施例提供的查找被攻击主机的方法,还可以包括:日志管理服务器向查询设备发送恶意IP地址。
结合第一方面和上述第一方面可能的实现方式,在第一方面的另一种可能的实现方式中,如果恶意IP地址的数量为至少两个,为了使网络管理人员能够直观查看到恶意IP地址的恶意程度,并优先防御恶意程度较高的恶意IP地址,在日志管理服务器向查询设备发送恶意IP地址之前,还可以包括:针对每个恶意IP地址,日志管理服务器从所有日志数据中筛选出包含恶意IP地址的至少一条日志数据,根据筛选出的日志数据中包含的源IP地址,确定与该恶意IP地址进行通信的IP地址的数量。并按照与每个恶意IP地址进行通信的IP地址的数量的多少顺序,对至少两个恶意IP地址进行排序,从而得到排序后的至少两个恶意IP地址。此时,相应的,日志管理服务器向查询设备发送恶意IP地址,具体的可以包括:日志管理服务器向查询设备发送排序后的至少两个恶意IP地址。
结合第一方面和上述第一方面可能的实现方式,在第一方面的另一种可能的实现方式中,每条日志数据还包含:该条日志数据对应的会话的访问时间。且至少两个恶意IP地址包括第一恶意IP地址和第二恶意IP地址。如果与第一恶意IP地址进行通信的IP地址的数量和与第二恶意IP地址进行通信的IP地址的数量相同,在日志管理服务器向查询设备发送排序后的至少两个恶意IP地址之前,还可以包括:日志管理服务器从所有日志数据中筛选出包含第一恶意IP地址的至少一条日志数据,并从筛选出的日志数据中得到第一恶意IP地址与源IP地址最先通信的时间,且从所有日志数据中筛选出包含第二恶意IP地址的至少一条日志数据,并从筛选出的日志数据中得到第二恶意IP地址与源IP地址最先通信的时间。日志管理服务器按照与源IP地址最先通信的时间的先后顺序,对第一恶意IP地址和第二恶意IP地址进行排序,将排序结果作为待发送的排序后的至少两个恶意IP地址。
结合第一方面和上述第一方面可能的实现方式,在第一方面的另一种可能的实现方式中,如果目标IP地址的数量为至少两个,为了使网络管理人员能够优先对被先攻击的主机采取保护措施,在日志管理服务器向查询设备发送目标IP地址之前,还可以包括:日志管理服务器从所有日志数据中,获取同时包含目标IP地址和恶意IP地址的日志数据,以获得第二日志数据集合。日志管理服务器根据第二日志数据集合,确定与每个目标IP地址通信的恶意IP地址的数量,并按照与每个目标IP地址通信的恶意IP地址的数量的多少顺序,对至少两个目标IP地址进行排序。此时,相应的,日志管理服务器向查询设备发送目标IP地址,具体的可以包括:日志管理服务器向查询设备发送排序后的至少两个目标IP地址。
结合第一方面和上述第一方面可能的实现方式,在第一方面的另一种可能的实现方式中,至少两个目标IP地址包括:第一目标IP地址和第二目标IP地址。当与每个目标IP地址通信的恶意IP地址的数量相同时,在日志管理服务器向查询设备发送排序后的至少两个目标IP地址之前,还可以包括:日志管理服务器从第二日志数据集合中筛选出包含第一目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到第一目标IP地址与恶意IP地址最先通信的时间,且日志管理服务器从第二日志数据集合中筛选出包含第二目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到第二目标IP地址与恶意IP地址最先通信的时间。此时,日志管理服务器按照与恶意IP地址最先通信的时间的先后顺序,对第一目标IP地址和第二目标IP地址进行排序,将排序结果作为待发送的排序后的至少两个目标IP地址。
第二方面,提供一种查找被攻击主机的方法,包括:
日志管理服务器接收来自于查询设备的包括有恶意IP地址的查询请求,该恶意IP地址为发动网络攻击的攻击者使用的IP地址。且日志管理服务器根据恶意IP地址和预先存储的所有日志数据,确定被管理主机集合中被攻击的主机使用的IP地址,即目标IP地址,并向查询设备发送确定出的目标IP地址。
其中,日志数据以条目的方式保存,每条日志数据包含该条日志数据对应的会话的源IP地址,源IP地址是被管理主机集合中的一个主机的IP地址。
本发明实施例提供的查找被攻击主机的方法,在日志管理服务器接收到来自于查询设备的查询请求时,通过根据接收到的查询请求和预先存储的日志数据确定出被攻击的主机使用的IP地址,并向查询设备发送被攻击的主机使用的IP地址。使得在网络管理人员需要查找被攻击的主机时,仅需在查询设备上输入恶意IP地址,便可以直接查看到被攻击的主机使用的IP地址,进而确定被攻击的主机。解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。
第三方面,提供一种日志管理服务器,该日志管理服务器具有实现上述方法设计中日志管理服务器行为的功能。所述功能可以通过硬件实现,也可以通过硬件执行相应的软件实现。所述硬件或软件包括一个或多个与上述功能相对应的模块。
在一种可能的实现方式中,所述日志管理服务器包括至少一个处理器,存储器、通信接口、通信总线。至少一个处理器与存储器、通信接口通过通信总线连接,存储器用于存储计算机执行指令,当日志管理服务器运行时,处理器执行存储器存储的计算机执行指令,以使日志管理服务器执行第一方面或第一方面的可能的实现方式中任一所述的查找被攻击主机的方法。
在另一种可能的实现方式中,所述日志管理服务器包括至少一个处理器,存储器、通信接口、通信总线。至少一个处理器与存储器、通信接口通过通信总线连接,存储器用于存储计算机执行指令,当日志管理服务器运行时,处理器执行存储器存储的计算机执行指令,以使日志管理服务器执行第二方面或第二方面的可能的实现方式中任一所述的查找被攻击主机的方法。
第四方面,提供一种计算机存储介质,用于存储上述日志管理服务器所用的计算机软件指令,该计算机软件指令包含用于执行上述查找被攻击主机的方法所设计的程序。
附图说明
图1为一种应用于APT场景的网络架构示意图;
图2为本发明实施例提供的一种应用本发明实施例的***架构的简化示意图;
图3为本发明实施例提供的一种日志管理服务器的组成示意图;
图4为本发明实施例提供的一种查找被攻击主机的方法的流程图;
图5为本发明实施例提供的另一种查找被攻击主机的方法的流程图;
图6为本发明实施例提供的另一种查找被攻击主机的方法的流程图;
图7为本发明实施例提供的一种查询设备的显示示意图;
图8为本发明实施例提供的另一种查询设备的显示示意图;
图9为本发明实施例提供的另一种查询设备的显示示意图;
图10为本发明实施例提供的另一种查询设备的显示示意图;
图11为本发明实施例提供的另一种查询设备的显示示意图;
图12为本发明实施例提供的另一种查找被攻击主机的方法的流程图;
图13为本发明实施例提供的另一种查询设备的显示示意图;
图14为本发明实施例提供的另一种查询设备的显示示意图;
图15为本发明实施例提供的另一种日志管理服务器的组成示意图。
具体实施方式
图1为一种应用于APT场景的网络架构示意图。该网络架构包括:位于企业网络中的多个主机、部署在核心网层的路由器、流探针设备以及网络安全智能***(NetworkSecurity Intelligence System,CIS)包括的日志管理服务器。其中,流探针设备与位于企业网络出口处的主机连接,还与CIS包括的日志管理服务器连接。企业网络中包括的多个主机可以通过部署在核心网层的路由器访问互联网。
通过在企业网络的出口处部署流探针设备,可以实现对企业网络的流量监控,还可以获取到用户通过企业网络中的每个主机访问互联网时产生的日志数据。并且,流探针设备还可以将获取到的网络流量和日志数据传输至CIS包括的日志管理服务器。日志管理服务器在接收到网络流量和日志数据之后,可以将网络流量和日志数据进行存储,以方便网络管理人员查询所需的数据。
在图1所示的场景下,当网络管理人员需要查找被攻击的主机时,日志管理服务器仅能为网络管理人员返回与主机的IP地址、或者某种事件类型相关联的日志数据。网络管理人员需要基于个人经验查找被攻击的主机,这会大量消耗网络管理人员的时间,且查找结果的准确率较低。为了解决网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题,本发明实施例提供一种查找被攻击主机的方法,其基本原理是:日志管理服务器接收来自于查询设备的查询请求,并根据接收到的查询请求中包括的第一IP地址和目标事件类型,以及预先存储的所有日志数据,确定目标IP地址,该目标IP地址为被管理主机集合中被攻击的主机使用的IP地址,并向查询设备发送确定出的目标IP地址,以便查询设备接收并显示来自于日志管理服务器的目标IP地址。使得在网络管理人员需要查找被攻击的主机时,仅需在查询设备上输入主机的IP地址和目标事件类型,便可以直接查看到被攻击的主机使用的IP地址,进而确定被攻击的主机。解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。
下面将结合附图对本发明实施例的实施方式进行详细描述。
图2示出的是可以应用本发明实施例的***架构的简化示意图。如图2所示,该***架构可以包括:至少一个日志管理服务器11和查询设备12。
其中,至少一个日志管理服务器11中存储有:用户通过企业网络中包括的每个主机访问互联网时产生的网络流量,该网络流量可以分为域名***(Domain Name System,DNS)流量和非域名***流量,其中,非域名***流量为网络流量中除DNS流量以外的所有流量。其中,企业网络中包括的所有主机组成被管理主机集合。至少一个日志管理服务器11中还存储有:用户通过每个主机访问互联网时产生的日志数据。这些日志数据以分布式的方式存储在多个日志管理服务器11~16中。多个日志管理服务器11~16中存储的日志数据可以从流探针设备、交换机、路由器等网络设备处获得。
需要说明的是,在本发明实施例中,日志数据以条目的方式保存,每条日志数据包含该条日志数据对应的会话的源IP地址和目的IP地址、会话访问的URL、会话的访问时间等等。源IP地址为被管理主机集合中的一个主机的IP地址。
在具体实现中,作为一种实施例,例如图2所示的***架构中包括五个日志管理服务器,分别为:日志管理服务器11、日志管理服务器13、日志管理服务器14、日志管理服务器15和日志管理服务器16。日志数据可以以分布式的方式存储在日志管理服务器11、日志管理服务器13、日志管理服务器14、日志管理服务器15和日志管理服务器16中。
查询设备12用于为网络管理人员提供查询界面以及显示日志管理服务器返回的数据。
在具体的实现中,该查询设备12可以是手机、平板电脑、笔记本电脑、超级移动个人计算机(Ultra-mobile Personal Computer,UMPC)、上网本、个人数字助理(PersonalDigital Assistant,PDA)等等。
图3为本发明实施例提供的一种日志管理服务器的组成示意图,如图3所示,日志管理服务器可以包括至少一个处理器21,存储器22、通信接口23、通信总线24。
下面结合图3对日志管理服务器的各个构成部件进行具体的介绍:
处理器21是日志管理服务器的控制中心,可以是一个处理器,也可以是多个处理元件的统称。例如,处理器21是一个中央处理器(central processing unit,CPU),也可以是特定集成电路(Application Specific Integrated Circuit,ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路,例如:一个或多个微处理器(digital signalprocessor,DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,FPGA)。
其中,处理器21可以通过运行或执行存储在存储器22内的软件程序,以及调用存储在存储器22内的数据,执行日志管理服务器的各种功能。
在具体的实现中,作为一种实施例,处理器21可以包括一个或多个CPU,例如图3中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,日志管理服务器可以包括多个处理器,例如图3中所示的处理器21和处理器25。这些处理器中的每一个可以是一个单核处理器(single-CPU),也可以是一个多核处理器(multi-CPU)。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。
存储器22可以是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(random access memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-Only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器22可以是独立存在,通过通信总线24与处理器21相连接。存储器22也可以和处理器21集成在一起。
其中,所述存储器22用于存储执行本发明方案的软件程序,并由处理器21来控制执行。
通信接口23,使用任何收发器一类的装置,用于与其他设备或通信网络通信,如以太网,无线接入网(radio access network,RAN),无线局域网(Wireless Local AreaNetworks,WLAN)等。通信接口23可以包括接收单元实现接收功能,以及发送单元实现发送功能。
通信总线24,可以是工业标准体系结构(Industry Standard Architecture,ISA)总线、外部设备互连(Peripheral Component,PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
图3中示出的设备结构并不构成对日志管理服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
图4为本发明实施例提供的一种查找被攻击主机的方法的流程图,如图4所示,该方法可以包括:
301、查询设备获取网络管理人员输入的第一IP地址和目标事件类型。
其中,第一IP地址为被管理主机集合中的第一主机的IP地址,目标事件类型用于指示URL异常的事件。
由于企业网络中的主机遭受来自于企业网络之外的攻击时,主机访问互联网产生的网络流量会突然升高。因此,日志管理服务器可以根据获取的企业网络中的主机访问互联网产生的网络流量,判断企业网络中的主机是否被攻击。在以防火墙或入侵检测***为例的网络安全设备确定出企业网络中的主机被攻击时,可以向网络管理人员发送警告指示,以提示网络管理人员存在恶意攻击。在网络管理人员获知存在恶意攻击时,为了能够确定被攻击的主机,可以在查询设备的显示界面中输入第一IP地址和目标事件类型,此时查询设备便可以获取网络管理人员输入的第一IP地址和目标事件类型。
302、查询设备向日志管理服务器发送查询请求。
其中,在查询设备获取到网络管理人员输入的第一IP地址和目标事件类型之后,查询设备可以向日志管理服务器发送携带有第一IP地址和目标事件类型携带的查询请求。
303、日志管理服务器接收来自于查询设备的查询请求。
304、日志管理服务器根据第一IP地址、目标事件类型和预先存储的所有日志数据,确定目标IP地址。
其中,在日志管理服务器接收到来自于查询设备的查询请求之后,日志管理服务器可以根据查询请求中包括的第一IP地址和目标事件类型,以及预先存储的所有日志数据,确定出被管理主机集合中被攻击的主机使用的IP地址,即目标IP地址。
305、日志管理服务器向查询设备发送目标IP地址。
306、查询设备接收来自于日志管理服务器的目标IP地址。
307、查询设备显示目标IP地址。
其中,在查询设备接收到来自于日志管理服务器的目标IP地址之后,查询设备可以显示目标IP地址。这样,网络管理人员可以根据显示出的目标IP地址,确定出被攻击的主机,并对被攻击的主机采取保护措施,从而防止企业的数据被泄露。
本发明实施例提供的查找被攻击主机的方法,在日志管理服务器接收到来自于查询设备的查询请求时,通过根据接收到的查询请求和预先存储的日志数据确定出被攻击的主机使用的IP地址,并向查询设备发送被攻击的主机使用的IP地址。使得在网络管理人员需要查找被攻击的主机时,仅需在查询设备上输入主机的IP地址和目标事件类型,便可以直接查看到被攻击的主机使用的IP地址,进而确定被攻击的主机。解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。
图5为本发明实施例提供的另一种查找被攻击主机的方法的流程图,如图5所示,该方法可以包括:
401、查询设备获取网络管理人员输入的恶意IP地址。
其中,恶意IP地址为发动网络攻击的攻击者使用的IP地址。在网络管理人员已知发动网络攻击的攻击者使用的IP地址的情况下,当网络管理人员获知存在恶意攻击时,可以直接在查询设备的显示界面中输入恶意IP地址。
402、查询设备向日志管理服务器发送查询请求,该查询请求中携带恶意IP地址。
403、日志管理服务器接收来自于查询设备的查询请求。
404、日志管理服务器根据恶意IP地址和预先存储的所有日志数据,确定目标IP地址。
其中,在日志管理服务器接收到来自于查询设备的查询请求之后,日志管理服务器可以根据查询请求中包括的恶意IP地址以及预先存储的所有日志数据,确定出被管理主机集合中被攻击的主机使用的IP地址,即确定出目标IP地址。
405、日志管理服务器向查询设备发送目标IP地址。
406、查询设备接收来自于日志管理服务器的目标IP地址。
407、查询设备显示目标IP地址。
本发明实施例提供的查找被攻击主机的方法,在日志管理服务器接收到来自于查询设备的查询请求时,通过根据接收到的查询请求和预先存储的日志数据确定出被攻击的主机使用的IP地址,并向查询设备发送被攻击的主机使用的IP地址。使得在网络管理人员需要查找被攻击的主机时,仅需在查询设备上输入恶意IP地址,便可以直接查看到被攻击的主机使用的IP地址,进而确定被攻击的主机。解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。
图6为本发明实施例提供的另一种查找被攻击主机的方法的流程图,如图6所示,该方法可以包括:
501、查询设备获取网络管理人员输入的第一IP地址和目标事件类型。
其中,在查询设备获取到网络管理人员输入的第一IP地址和目标事件类型之后,查询设备可以在查询设备的字符输入区域中,显示获取到的第一IP地址和目标事件类型。
示例性的,假设查询设备获取到的网络管理人员输入的第一IP地址为192.168.102.55,且目标事件类型为事件类型(event type):URL。如图7所示,在字符输入区域中,便可以显示192.168.102.55和(and)事件类型(event type):URL。
502、查询设备向日志管理服务器发送查询请求。
503、日志管理服务器接收来自于查询设备的查询请求。
其中,在日志管理服务器接收到来自于查询设备的查询请求之后,日志管理服务器可以根据第一IP地址、目标事件类型和预先存储的所有日志数据,确定出被管理主机集合中被攻击的主机使用的IP地址,即目标IP地址,具体的可以执行以下步骤504-步骤510:
504、日志管理服务器从预先存储的所有日志数据中获取第一日志数据集合。
其中,第一日志数据集合中包括至少一条包含的源IP地址为第一IP地址的日志数据。日志管理服务器可以从预先存储的所有日志数据中筛选出所有源IP地址为第一IP地址的日志数据,以获得第一日志数据集合。
505、日志管理服务器获取第一URL集合。
其中,第一URL集合中包括第一日志数据集合中每条日志数据包含的URL。在日志管理服务器获取到第一日志数据集合之后,可以获取第一日志数据集合中每条日志数据包含的URL,以获得第一URL集合。
示例性的,假设日志管理服务器获得到的第一URL集合中包括五个URL,分别为:
http://1234.com/cn/ijvsdadld.net,
http://qllyx.com/cn/solutions/industries/public-safety,
http://ABC.com/cn/lyxtwcadic,
http://xyz.com/cn/hqdhwkppjd,
http://qllyx.com/cn/solutions/industries/education。
在日志管理服务器获取到第一URL集合之后,可以获取该第一URL集合中符合目标事件类型的URL,作为恶意URL。具体的,可以执行以下步骤506和步骤507。
506、日志管理服务器获取第一URL集合中每个URL的域名,并合并第一URL集合中具有相同域名的URL,获得第三URL集合。
其中,第三URL集合包含合并处理后的URL。
示例性的,按照步骤505中的例子,假设获得的第一URL集合中第一个URL的域名为1234.com,第二个URL的域名为qllyx.com,第三个URL的域名为ABC.com,第四个URL的域名为xyz.com,第五个URL的域名为qllyx.com。可以得到的是,第二个URL和第五个URL具有相同的域名。此时,日志管理服务器可以将第二个URL和第五个URL进行合并。假设,合并后的URL为http://qllyx.com/cn/solutions/industries/。这样,日志管理服务器得到的第三URL集合中包含四个URL,分别为:
http://1234.com/cn/ijvsdadld.net,
http://ABC.com/cn/lyxtwcadic,
http://xyz.com/cn/hqdhwkppjd,
http://qllyx.com/cn/solutions/industries/。
507、日志管理服务器从第三URL集合中删除不符合目标事件类型的URL,第三URL集合中删除后剩余的URL为恶意URL。
其中,不符合目标事件类型的URL为包含正常域名的URL。域名可以被分为正常域名和异常域名。一个域名是正常域名还是异常域名可以通过该域名对应的信誉来确定。信誉可以通过一个数值来表示,也可以通过一个指示符来表示。日志管理服务器可以通过与信誉服务器之间的交互,来获取用以表示域名信誉的数值或指示符。
当通过数值来表示信誉时,可以根据预先设置的规则来判别正常域名和异常域名。例如,一个域名的信誉值为1到100之间的自然数,当表示域名信誉的数值大于60时,确认域名为正常域名,当表示域名信誉的数值不大于60时,确认域名为异常域名。
当通过指示符来表示信誉时,日志管理服务器可以先获取第三URL集合中每个URL的域名,并获取每个域名的信誉指示符。信誉指示符可以包括正常标识和非正常标识。然后,日志管理服务器从第三URL集合中删除部分URL,部分URL的域名的信誉指示符为正常,第三URL集合中删除后剩余的URL为恶意URL。
示例性的,按照步骤506中的例子,假设获得的第三URL集合中第四个URL的域名为qllyx.com,信誉指示符为正常标识。因此,日志管理服务器可以删除第三URL集合中的第四个URL。这样,第三URL集合中删除后剩余的第一个URL、第二个URL以及第三个URL均为恶意URL。
当然,在日志管理服务器已知哪些URL的域名的信誉指示符为非正常标识的情况下,也可以直接从第三URL集合中筛选出域名的信誉指示符为非正常的URL,以得到恶意URL。
508、日志管理服务器查找用以提供恶意URL所标识的页面的IP地址,作为恶意IP地址。
日志管理服务器可以通过多种途径获得用以提供恶意URL所标识的页面的IP地址。
其中,在日志管理服务器中预先存储有恶意URL和恶意IP地址的对应关系的情况下,在日志管理服务器获得恶意URL之后,可以通过查找预先存储的恶意URL和恶意IP地址的对应关系,得到用以提供恶意URL所标识的页面的IP地址,即恶意IP地址。
若日志管理服务器中未存储有恶意URL和恶意IP地址的对应关系,日志管理服务器则可以通过威胁情报平台查找用以提供恶意URL所标识的页面的IP地址,该威胁情报平台中存储有恶意URL和恶意IP地址的对应关系。
示例性的,按照步骤507中的例子,假设日志管理服务器查找到用以提供第一个URL所标识的页面的IP地址为55.66.99.66,查找到用以提供第二个URL和第三个URL所标识的页面的IP地址均为55.66.99.58。那么,日志管理服务器获得的恶意IP地址为55.66.99.66和55.66.99.58。
日志服务器还可以从携带有恶意URL的网络报文中得到用以提供恶意URL所标识的页面的IP地址。网络报文中携带有目的地址和源地址,如果携带有恶意URL的网络报文的目的IP地址为被管理主机集合中任意一个主机的IP地址,则源IP地址为恶意IP地址。
509、日志管理服务器从预先存储的所有日志数据中获取至少一条包含的源IP地址为第二IP地址的日志数据。
其中,第二IP地址为被管理主机集合中的第二主机的IP地址。
510、日志管理服务器在确定至少一条包含的源IP地址为第二IP地址的日志数据中的一条日志数据包括恶意URL时,确定第二IP地址为目标IP地址。
其中,目标IP地址为被管理主机集合中被攻击的主机使用的IP地址。
在本发明实施例中,步骤510具体的可以有两种实现方式。
方式一,步骤510具体的可以包括以下步骤510A和510B:
510A、日志管理服务器获取第二URL集合。
其中,第二URL集合中包括至少一条包含的源IP地址为第二IP地址的日志数据中每条日志数据包含的URL。在日志管理服务器获取到至少一条包含的源IP地址为第二IP地址的日志数据之后,可以获取至少一条包含的源IP地址为第二IP地址的日志数据中每条日志数据包含的URL,以获得第二URL集合。
510B、日志管理服务器在确定第二URL集合中包括恶意URL时,确定第二IP地址为目标IP地址。
其中,在日志管理服务器获取到第二URL集合之后,可以判断第二URL集合中是否包括恶意URL,若确定第二URL集合中包括恶意URL,则可以确定该第二IP地址为目标IP地址。
方式二,步骤510具体的可以包括以下步骤510A’和步骤510B’:
510A’、日志管理服务器获取目的IP地址集合。
其中,目的IP地址集合中包括至少一条包含的源IP地址为第二IP地址的日志数据中每条日志数据的目的IP地址。在日志管理服务器获取到至少一条包含的源IP地址为第二IP地址的日志数据之后,可以获取至少一条包含的源IP地址为第二IP地址的日志数据中每条日志数据的目的IP地址,以获得目的IP地址集合。
510B’、日志管理服务器在确定目的IP地址集合中包括恶意IP地址时,确定第二IP地址为目标IP地址。
其中,在日志管理服务器获取到目的IP地址集合之后,可以判断目的IP地址集合中是否包括恶意IP地址,若确定目的IP地址集合中包括有恶意IP地址,则可以确定该第二IP地址为目标IP地址。
示例性的,假设日志管理服务器确定出被管理主机集合中被攻击的主机使用的IP地址分别为:192.168.102.45、192.168.102.85、192.168.102.95和192.168.102.10。
511、日志管理服务器向查询设备发送恶意IP地址。
其中,在日志管理服务器获取到恶意IP地址之后,可以向查询设备发送获取到的恶意IP地址。
进一步的,如果恶意IP地址的数量为至少两个,则日志管理服务器可以先对至少两个恶意IP地址进行排序。然后,向查询设备发送排序后的至少两个恶意IP地址。
其中,日志管理服务器可以通过以下操作实现对至少两个恶意IP地址的排序。具体的:针对每个恶意IP地址,日志管理服务器可以从所有日志数据中筛选出包含该恶意IP地址的至少一条日志数据,并根据筛选出的日志数据中包含的源IP地址,确定与该恶意IP地址进行通信的IP地址的数量。然后日志管理服务器按照与每个恶意IP地址进行通信的IP地址的数量的多少顺序,对至少两个恶意IP地址进行排序,从而得到排序后的至少两个恶意IP地址。
针对至少两个恶意IP地址中,存在与某两个恶意IP地址进行通信的IP地址的数量相同的情况,可以采用以下操作对这两个恶意IP地址进行排序。具体的:假设至少两个恶意IP地址包括第一恶意IP地址和第二恶意IP地址,且与第一恶意IP地址进行通信的IP地址的数量,和与第二恶意IP地址进行通信的IP地址的数量相同。此时,日志管理服务器可以先从所有日志数据中筛选出包含第一恶意IP地址的至少一条日志数据,并从筛选出的日志数据中得到第一恶意IP地址与源IP地址最先通信的时间。然后日志管理服务器再从所有日志数据中筛选出包含第二恶意IP地址的至少一条日志数据,并从筛选出的日志数据中得到第二恶意IP地址与源IP地址最先通信的时间。最后日志管理服务器按照与源IP地址最先通信的时间的先后顺序,对第一恶意IP地址和第二恶意IP地址进行排序,并将排序结果作为待发送的排序后的至少两个恶意IP地址。
示例性的,按照步骤508中的例子,假设日志管理服务器确定出与恶意IP地址55.66.99.66进行通信的IP地址的数量为三个,分别为:192.168.102.45、192.168.102.85和192.168.102.95。假设确定出与恶意IP地址55.66.99.58进行通信的IP地址的数量为两个,分别为:192.168.102.10和192.168.102.85。那么日志管理服务器得到的排序后的恶意IP地址为55.66.99.66、55.66.99.58。
512、日志管理服务器向查询设备发送目标IP地址。
其中,在日志管理服务器确定出目标IP地址之后,可以向查询设备发送确定出的目标IP地址。
进一步的,如果目标IP地址的数量为至少两个,则日志管理服务器可以先对至少两个目标IP地址进行排序。然后,向查询设备发送排序后的至少两个目标IP地址。
其中,日志管理服务器可以通过以下操作实现对至少两个目标IP地址的排序。具体的:日志管理服务器可以从所有日志数据中,获取至少一条同时包含目标IP地址和恶意IP地址的日志数据,以获得第二日志数据集合,并基于第二日志数据集合,确定与每个目标IP地址通信的恶意IP地址的数量。然后日志管理服务器按照与每个目标IP地址通信的恶意IP地址的数量的多少顺序,对至少两个目标IP地址进行排序,从而得到排序后的至少两个目标IP地址。
针对至少两个目标IP地址中,存在与某两个目标IP地址通信的恶意IP地址的数量相同的情况,可以采用以下操作对这两个目标IP地址进行排序。具体的:假设至少两个目标IP地址包括第一目标IP地址和第二目标IP地址,且与第一目标IP地址通信的恶意IP地址的数量,和与第二目标IP地址进行通信的恶意IP地址的数据相同。此时,日志管理服务器可以先从第二日志数据集合中筛选出包含第一目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到第一目标IP地址与恶意IP地址最先通信的时间。然后日志管理服务器可以再从第二日志数据集合中筛选出包含第二目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到第二目标IP地址与恶意IP地址最先通信的时间。最后日志管理服务器按照与恶意IP地址最先通信的时间的先后顺序,对第一目标IP地址和第二目标IP地址进行排序,并将排序结果作为待发送的排序后的至少两个目标IP地址。
示例性的,按照步骤510中的例子,假设日志管理服务器确定出与192.168.102.85通信的恶意IP地址的数量为两个,分别为:55.66.99.66、55.66.99.58。与192.168.102.45和192.168.102.95通信的恶意IP地址的数量均为一个,具体的为55.66.99.66。且假设确定出192.168.102.45与恶意IP地址55.66.99.66最先通信的时间为6月9日下午四点整,192.168.102.95与恶意IP地址55.66.99.66最先通信的时间为6月8日下午六点整。那么日志管理服务器得到的排序后的目标IP地址为:192.168.102.85、192.168.102.95、192.168.102.45。
513、查询设备接收来自于日志管理服务器的恶意IP地址。
514、查询设备接收来自于日志管理服务器的目标IP地址。
515、查询设备显示恶意IP地址,并显示目标IP地址。
可选的,在查询设备接收到来自于日志管理服务器的恶意IP地址和目标IP地址之后,查询设备可以先显示恶意IP地址,然后在检测到网络管理人员对显示出的恶意IP地址的触发操作后,再显示与该恶意IP地址对应的目标IP地址。其中,与恶意IP地址对应的目标IP地址为:攻击者使用该恶意IP地址攻击的主机使用的IP地址。这样,可以方便网络管理人员获知攻击者使用哪个恶意IP地址攻击了哪些主机。
进一步的,如果恶意IP地址的数量为至少两个,则查询设备可以接收并显示排序后的至少两个恶意IP地址。并且,如果目标IP地址的数量为至少两个,则查询设备可以接收并显示排序后的至少两个目标IP地址。可选的,查询设备可以在检测到网络管理人员对恶意IP地址的触发操作后,显示与该恶意IP地址对应的、排序后的目标IP地址。
示例性的,按照步骤511中的例子,假设排序后的恶意IP地址为:55.66.99.66、55.66.99.58。因此,如图8所示,查询设备可以在第一结果展示区域中显示出55.66.99.66、55.66.99.58。
并且,进一步的,为了能够使得网络管理人员更加直观的看到恶意IP地址的恶意程度,查询设备还可以在第一结果展示区域中显示级别图标。该级别图标用于指示恶意IP地址的恶意程度。并且,查询设备还可以在第一结果展示区域中显示触发图标,该触发图标用于展示排序后的目标IP地址。
其中,可以用不同形状的级别图标来指示恶意IP地址的恶意程度。当然,也可以用相同形状但不同颜色的级别图标来指示恶意IP地址的恶意程度。以用不同形状的级别图标指示排序后的恶意IP地址为例,则显示结果参见图9所示。这样,网络管理人员便可以根据显示的级别图标确定出恶意IP地址的恶意程度,从而优先防御恶意级别较高的恶意IP地址。
示例性的,按照步骤512中的例子,与55.66.99.66对应的、排序后的目标IP地址为:192.168.102.85、192.168.102.95、192.168.102.45。那么,若网络管理人员需查询55.66.99.66攻击的主机时,网络管理人员可以点击图9所示中所示的55.66.99.66,或者,与55.66.99.66对应的级别图标,或者,与55.66.99.66对应的触发图标。此时,查询设备在检测到网络管理人员的触发操作后,可以在第二结果展示区域中,显示排序后的目标IP地址:192.168.102.85、192.168.102.95、192.168.102.45。且第二结果展示区域可以覆盖在第一结果展示区域上,如图10所示。或者,第二结果展示区域可以不覆盖第一结果展示区域,如图11所示。
本发明实施例提供的查找被攻击主机的方法,在日志管理服务器接收到来自于查询设备的查询请求时,通过根据接收到的查询请求和预先存储的日志数据确定出被攻击的主机使用的IP地址,并向查询设备发送被攻击的主机使用的IP地址。使得在网络管理人员需要查找被攻击的主机时,仅需在查询设备上输入主机的IP地址和目标事件类型,便可以直接查看到被攻击的主机使用的IP地址,进而确定被攻击的主机。解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。
并且,通过日志管理服务器确定攻击者攻击主机时使用的IP地址,使得在查找被攻击主机时的耗费时间进一步缩短,准确率进一步提高。日志管理服务器通过对恶意IP地址进行排序,对目标IP地址进行排序,并向查询设备发送排序后的恶意IP地址和排序后的目标IP地址,以使得网络管理人员可以直接获知主机被攻击的先后顺序,从而优先处理被先攻击的主机。
图12为本发明实施例提供的另一种查找被攻击主机的方法的流程图,如图12所示,该方法可以包括:
601、查询设备获取网络管理人员输入的恶意IP地址。
其中,恶意IP地址为发动网络攻击的攻击者使用的IP地址。在查询设备获取到网络管理人员输入的恶意IP地址之后,查询设备可以在查询设备的字符输入区域中,显示获取到的恶意IP地址。
示例性的,假设查询设备获取到的网络管理人员输入的恶意IP地址为55.66.99.66。如图13所示,在字符输入区域中,便可以显示55.66.99.66。
602、查询设备向日志管理服务器发送查询请求。
603、日志管理服务器接收来自于查询设备的查询请求。
其中,在日志管理服务器接收到来自于查询设备的查询请求之后,日志管理服务器可以根据恶意IP地址和预先存储的所有日志数据,确定出被管理主机集合中被攻击的主机使用的IP地址,即目标IP地址,具体的可以执行以下步骤604-步骤606:
604、日志管理服务器从预先存储的所有日志数据中获取日志数据集合。
其中,日志数据集合中包括:至少一条包含的源IP地址为被管理主机集合中的一个主机的IP地址的日志数据。日志管理服务器可以从预先存储的所有日志数据中,筛选出所有源IP地址为被管理主机集合中的一个主机的IP地址的日志数据,以获得日志数据集合。
605、日志管理服务器获取目的IP地址集合。
其中,目的IP地址集合中包括日志数据集合中的每条日志数据的目的IP地址。在日志管理服务器从预先存储的所有日志数据中获取到日志数据集合之后,日志管理服务器可以获取日志数据集合中每条日志数据包含的目的IP地址,以获得目的IP地址集合。
606、日志管理服务器在确定目的IP地址集合中包括恶意IP地址时,确定IP地址为目标IP地址。
其中,在日志管理服务器获取到目的IP地址集合之后,可以判断目的IP地址集合中是否包括网络管理人员输入的恶意IP地址,若确定目的IP地址集合中包括有网络管理人员输入的恶意IP地址,则可以确定该主机的IP地址为目标IP地址。
示例性的,假设确定出被管理主机集合中被攻击的主机使用的IP地址分别为:192.168.102.10、192.168.102.85。
607、日志管理服务器向查询设备发送目标IP地址。
进一步的,如果目标IP地址的数量为至少两个,则日志管理服务器可以先对至少两个目标IP地址进行排序。然后,向查询设备发送排序后的至少两个目标IP地址。
其中,日志管理服务器可以通过以下操作实现对至少两个目标IP地址的排序。具体的:针对每个目标IP地址,日志管理服务器可以从所有日志数据中筛选出包含该目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到该目标IP地址与恶意IP地址最先通信的时间。最后日志管理服务器按照与恶意IP地址最先通信的时间的先后顺序,对至少两个目标IP地址进行排序,从而得到排序后的至少两个目标IP地址。
示例性的,按照步骤606中的例子,假设日志管理服务器确定出192.168.102.10与恶意IP地址55.66.99.66最先通信的时间为5月19日下午三点整。且假设确定出192.168.102.85与恶意IP地址55.66.99.66最先通信的时间为5月18日上午十点十分。那么日志管理服务器得到的排序后的目标IP地址为:192.168.102.85、192.168.102.10。
608、查询设备接收来自于日志管理服务器的目标IP地址。
609、查询设备显示目标IP地址。
其中,在查询设备接收到来自于日志管理服务器的目标IP地址之后,查询设备可以在查询设备的第二结果展示区域中,显示目标IP地址。
进一步的,如果目标IP地址的数量为至少两个,相应的,查询设备可以显示排序后的至少两个目标IP地址。
示例性的,按照步骤607中的例子,排序后的目标IP地址为:192.168.102.85、192.168.102.10。因此,如图14所示,查询设备可以在第二结果展示区域中显示出192.168.102.85、192.168.102.10。这样,网络管理人员可以根据显示出的排序后的目标IP地址,直接查看到攻击者攻击主机的先后顺序,从而优先处理被先攻击的主机。
需要说明的是,本发明实施例中步骤601-步骤609的具体描述与本发明另一实施例中步骤501-步骤515中相应步骤的具体描述类似,对于本发明实施例中步骤601-步骤609的具体描述可以参考另一实施例中步骤501-步骤515中相应步骤的具体描述,本发明实施例在此不再一一赘述。
本发明实施例提供的查找被攻击主机的方法,在日志管理服务器接收到来自于查询设备的查询请求时,通过根据接收到的查询请求和预先存储的日志数据确定出被攻击的主机使用的IP地址,并向查询设备发送被攻击的主机使用的IP地址。使得在网络管理人员需要查找被攻击的主机时,仅需在查询设备上输入恶意IP地址,便可以直接查看到被攻击的主机使用的IP地址,进而确定被攻击的主机。解决了网络管理人员在查找被攻击的主机的过程中,耗费时间长,准确率低的问题。
并且,日志管理服务器通过对目标IP地址进行排序,并向查询设备发送排序后的目标IP地址,以使得网络管理人员可以直接查看到主机被攻击的先后顺序,从而优先处理被先攻击的主机。
上述主要从各个网元之间交互的角度对本发明实施例提供的方案进行了介绍。可以理解的是,各个网元,例如日志管理服务器为了实现上述功能,其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到,结合本文中所公开的实施例描述的各示例的算法步骤,本发明能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
本发明实施例可以根据上述方法示例对日志管理服务器进行功能模块的划分,例如,可以对应各个功能划分各个功能模块,也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
图15示出了上述和实施例中涉及的日志管理服务器的一种可能的组成示意图,如图15所示,该日志管理服务器可以包括:接收单元71、处理单元72、发送单元73。
其中,接收单元71,用于支持日志管理服务器执行图4所示的查找被攻击主机的方法中的步骤303,图5所示的查找被攻击主机的方法中的步骤403,图6所示的查找被攻击主机的方法中的步骤503,图12所示的查找被攻击主机的方法中的步骤603。
处理单元72,用于支持日志管理服务器执行图4所示的查找被攻击主机的方法中的步骤304,图5所示的查找被攻击主机的方法中的步骤404,图6所示的查找被攻击主机的方法中的步骤504、步骤505、步骤506、步骤507、步骤508、步骤509、步骤510,图12所示的查找被攻击主机的方法中的步骤604、步骤605、步骤606。
发送单元73,用于支持日志管理服务器执行图4所示的查找被攻击主机的方法中的步骤305,图5所示的查找被攻击主机的方法中的步骤405,图6所示的查找被攻击主机的方法中的步骤511、步骤512,图12所示的查找被攻击主机的方法中的步骤607。
需要说明的是,上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述,在此不再赘述。
其中,附图15所示的各个功能模块可以由软件实现,也可以由硬件实现。在硬件实现的条件下,图3中的处理器21可以实现上述处理单元72的功能。图3中的通信接口23可以实现上述接收单元71和发送单元73的功能。在软件实现的条件下,附图15中的各功能模块由存储在附图3中存储器22中的程序代码实现。
本发明实施例提供的日志管理服务器,用于执行上述查找被攻击主机的方法,因此可以达到与上述查找被攻击主机的方法相同的效果。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个装置,或一些特征可以忽略,或不执行。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (18)
1.一种查找被攻击主机的方法,其特征在于,所述方法包括:
日志管理服务器接收来自于查询设备的查询请求,所述查询请求中携带第一互联网协议IP地址和目标事件类型,所述第一IP地址为被管理主机集合中的第一主机的IP地址,所述目标事件类型用于指示统一资源定位符URL异常的事件;
所述日志管理服务器根据所述第一IP地址、所述目标事件类型和预先存储的所有日志数据,确定目标IP地址,所述日志数据以条目的方式保存,每条日志数据包含该条日志数据对应的会话的源IP地址、所述会话访问的URL,其中所述源IP地址是所述被管理主机集合中的一个主机的IP地址,所述目标IP地址为所述被管理主机集合中被攻击的主机使用的IP地址;
所述日志管理服务器向所述查询设备发送所述目标IP地址。
2.根据权利要求1所述的方法,其特征在于,所述日志管理服务器根据所述第一IP地址、所述目标事件类型和预先存储的所有日志数据,确定目标IP地址,包括:
所述日志管理服务器从预先存储的所有日志数据中获取第一日志数据集合,所述第一日志数据集合中包括:至少一条包含的源IP地址为所述第一IP地址的日志数据;
所述日志管理服务器获取第一URL集合,所述第一URL集合中包括:所述第一日志数据集合中每条日志数据包含的URL;
所述日志管理服务器获取所述第一URL集合中符合所述目标事件类型的URL,作为恶意URL;
所述日志管理服务器从预先存储的所有日志数据中获取至少一条包含的源IP地址为第二IP地址的日志数据,所述第二IP地址为所述被管理主机集合中的第二主机的IP地址;
所述日志管理服务器在确定所述至少一条包含的源IP地址为第二IP地址的日志数据中的一条日志数据包括所述恶意URL时,确定所述第二IP地址为所述目标IP地址。
3.根据权利要求2所述的方法,其特征在于,所述日志管理服务器获取所述第一URL集合中符合所述目标事件类型的URL,作为恶意URL,包括:
所述日志管理服务器获取所述第一URL集合中每个URL的域名,并合并所述第一URL集合具有相同域名的URL,获得第三URL集合,所述第三URL集合包含合并处理后的URL;
所述日志管理服务器从所述第三URL集合中删除不符合所述目标事件类型的URL,所述不符合所述目标事件类型的URL为包含正常域名的URL;
所述第三URL集合中删除后剩余的URL为所述恶意URL。
4.根据权利要求2或3所述的方法,其特征在于,在所述日志管理服务器获取所述第一URL集合中符合所述目标事件类型的URL,作为恶意URL之后,还包括:
所述日志管理服务器查找用以提供所述恶意URL所标识的页面的IP地址,作为恶意IP地址;
每条所述日志数据还包含:该条日志数据对应的会话的目的IP地址,所述日志管理服务器在确定所述至少一条包含的源IP地址为第二IP地址的日志数据中的一条日志数据包括所述恶意URL时,确定所述第二IP地址为所述目标IP地址,包括:
所述日志管理服务器获取目的IP地址集合,所述目的IP地址集合中包括:所述至少一条包含的源IP地址为第二IP地址的日志数据中每条日志数据的目的IP地址;
所述日志管理服务器在确定所述目的IP地址集合中包括所述恶意IP地址时,确定所述第二IP地址为所述目标IP地址。
5.根据权利要求4所述的方法,其特征在于,还包括:
所述日志管理服务器向所述查询设备发送所述恶意IP地址。
6.根据权利要求5所述的方法,其特征在于,如果所述恶意IP地址的数量为至少两个,在所述日志管理服务器向所述查询设备发送所述恶意IP地址之前,还包括:
针对每个所述恶意IP地址,所述日志管理服务器从所述所有日志数据中筛选出包含所述恶意IP地址的至少一条日志数据,根据筛选出的日志数据中包含的源IP地址,确定与所述恶意IP地址进行通信的IP地址的数量;
所述日志管理服务器按照与每个所述恶意IP地址进行通信的IP地址的数量的多少顺序,对所述至少两个所述恶意IP地址进行排序,得到排序后的至少两个恶意IP地址;
所述日志管理服务器向所述查询设备发送所述恶意IP地址,包括:
所述日志管理服务器向所述查询设备发送排序后的至少两个恶意IP地址。
7.根据权利要求6所述的方法,其特征在于,每条所述日志数据还包含:该条日志数据对应的会话的访问时间,至少两个所述恶意IP地址包括第一恶意IP地址和第二恶意IP地址,如果与所述第一恶意IP地址进行通信的IP地址的数量和与所述第二恶意IP地址进行通信的IP地址的数量相同,在所述日志管理服务器向所述查询设备发送排序后的至少两个恶意IP地址之前,还包括:
所述日志管理服务器从所述所有日志数据中筛选出包含所述第一恶意IP地址的至少一条日志数据,并从筛选出的日志数据中得到所述第一恶意IP地址与源IP地址最先通信的时间;
所述日志管理服务器从所述所有日志数据中筛选出包含所述第二恶意IP地址的至少一条日志数据,并从筛选出的日志数据中得到所述第二恶意IP地址与源IP地址最先通信的时间;
所述日志管理服务器按照与源IP地址最先通信的时间的先后顺序,对所述第一恶意IP地址和所述第二恶意IP地址进行排序,将排序结果作为待发送的排序后的至少两个恶意IP地址。
8.根据权利要求4-7中任一所述的方法,其特征在于,如果所述目标IP地址的数量为至少两个,在所述日志管理服务器向所述查询设备发送所述目标IP地址之前,还包括:
所述日志管理服务器从所述所有日志数据中,获取第二日志数据集合,所述第二日志数据集合中的每条日志数据同时包含所述目标IP地址和所述恶意IP地址;
所述日志管理服务器根据所述第二日志数据集合,确定与每个目标IP地址通信的所述恶意IP地址的数量;
所述日志管理服务器按照与每个目标IP地址通信的所述恶意IP地址的数量的多少顺序,对至少两个所述目标IP地址进行排序;
所述日志管理服务器向所述查询设备发送所述目标IP地址,包括:
所述日志管理服务器向所述查询设备发送排序后的至少两个所述目标IP地址。
9.根据权利要求8所述的方法,其特征在于,至少两个所述目标IP地址包括:第一目标IP地址和第二目标IP地址,当与每个目标IP地址通信的所述恶意IP地址的数量相同时,在所述日志管理服务器向所述查询设备发送排序后的至少两个所述目标IP地址之前,还包括:
所述日志管理服务器从所述第二日志数据集合中筛选出包含所述第一目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到所述第一目标IP地址与所述恶意IP地址最先通信的时间;
所述日志管理服务器从所述第二日志数据集合中筛选出包含所述第二目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到所述第二目标IP地址与所述恶意IP地址最先通信的时间;
所述日志管理服务器按照与所述恶意IP地址最先通信的时间的先后顺序,对所述第一目标IP地址和所述第二目标IP地址进行排序,将排序结果作为待发送的排序后的至少两个目标IP地址。
10.一种日志管理服务器,其特征在于,包括:
接收单元,用于接收来自于查询设备的查询请求,所述查询请求中携带第一互联网协议IP地址和目标事件类型,所述第一IP地址为被管理主机集合中的第一主机的IP地址,所述目标事件类型用于指示统一资源定位符URL异常的事件;
处理单元,用于根据所述接收单元接收到的所述第一IP地址和所述目标事件类型,以及预先存储的所有日志数据,确定目标IP地址,所述日志数据以条目的方式保存,每条日志数据包含该条日志数据对应的会话的源IP地址、所述会话访问的URL,其中所述源IP地址是所述被管理主机集合中的一个主机的IP地址,所述目标IP地址为所述被管理主机集合中被攻击的主机使用的IP地址;
发送单元,用于向所述查询设备发送所述处理单元得到的所述目标IP地址。
11.根据权利要求10所述的日志管理服务器,其特征在于,所述处理单元,具体用于:
从预先存储的所有日志数据中获取第一日志数据集合,所述第一日志数据集合中包括:至少一条包含的源IP地址为所述第一IP地址的日志数据;
获取第一URL集合,所述第一URL集合中包括:所述第一日志数据集合中每条日志数据包含的URL;
获取所述第一URL集合中符合所述目标事件类型的URL,作为恶意URL;
从预先存储的所有日志数据中获取至少一条包含的源IP地址为第二IP地址的日志数据,所述第二IP地址为所述被管理主机集合中的第二主机的IP地址;
在确定所述至少一条包含的源IP地址为第二IP地址的日志数据中的一条日志数据包括所述恶意URL时,确定所述第二IP地址为所述目标IP地址。
12.根据权利要求11所述的日志管理服务器,其特征在于,所述处理单元,具体用于:
获取所述第一URL集合中每个URL的域名,并合并所述第一URL集合具有相同域名的URL,获得第三URL集合,所述第三URL集合包含合并处理后的URL;
从所述第三URL集合中删除不符合所述目标事件类型的URL,所述不符合所述目标事件类型的URL为包含正常域名的URL;
所述第三URL集合中删除后剩余的URL为所述恶意URL。
13.根据权利要求11或12所述的日志管理服务器,其特征在于,
所述处理单元,还用于查找用以提供所述恶意URL所标识的页面的IP地址,作为恶意IP地址;
每条所述日志数据还包含:该条日志数据对应的会话的目的IP地址,所述处理单元,具体用于获取目的IP地址集合,所述目的IP地址集合中包括:所述至少一条包含的源IP地址为第二IP地址的日志数据中每条日志数据的目的IP地址;在确定所述目的IP地址集合中包括所述恶意IP地址时,确定所述第二IP地址为所述目标IP地址。
14.根据权利要求13所述的日志管理服务器,其特征在于,
所述发送单元,还用于向所述查询设备发送所述处理单元得到的所述恶意IP地址。
15.根据权利要求14所述的日志管理服务器,其特征在于,如果所述恶意IP地址的数量为至少两个,
所述处理单元,还用于针对每个所述恶意IP地址,从所述所有日志数据中筛选出包含所述恶意IP地址的至少一条日志数据,根据筛选出的日志数据中包含的源IP地址,确定与所述恶意IP地址进行通信的IP地址的数量;按照与每个所述恶意IP地址进行通信的IP地址的数量的多少顺序,对所述至少两个所述恶意IP地址进行排序,得到排序后的至少两个恶意IP地址;
所述发送单元,具体用于向所述查询设备发送所述处理单元得到的排序后的至少两个恶意IP地址。
16.根据权利要求15所述的日志管理服务器,其特征在于,每条所述日志数据还包含:该条日志数据对应的会话的访问时间,至少两个所述恶意IP地址包括第一恶意IP地址和第二恶意IP地址,如果与所述第一恶意IP地址进行通信的IP地址的数量和与所述第二恶意IP地址进行通信的IP地址的数量相同,
所述处理单元,还用于从所述所有日志数据中筛选出包含所述第一恶意IP地址的至少一条日志数据,并从筛选出的日志数据中得到所述第一恶意IP地址与源IP地址最先通信的时间;从所述所有日志数据中筛选出包含所述第二恶意IP地址的至少一条日志数据,并从筛选出的日志数据中得到所述第二恶意IP地址与源IP地址最先通信的时间;按照与源IP地址最先通信的时间的先后顺序,对所述第一恶意IP地址和所述第二恶意IP地址进行排序,将排序结果作为待发送的排序后的至少两个恶意IP地址。
17.根据权利要求13-16中任一所述的日志管理服务器,其特征在于,如果所述目标IP地址的数量为至少两个,
所述处理单元,还用于从所述所有日志数据中,获取第二日志数据集合,所述第二日志数据集合中的每条日志数据同时包含所述目标IP地址和所述恶意IP地址;根据所述第二日志数据集合,确定与每个目标IP地址通信的所述恶意IP地址的数量;按照与每个目标IP地址通信的所述恶意IP地址的数量的多少顺序,对至少两个所述目标IP地址进行排序;
所述发送单元,具体用于向所述查询设备发送所述处理单元得到的排序后的至少两个所述目标IP地址。
18.根据权利要求17所述的日志管理服务器,其特征在于,至少两个所述目标IP地址包括:第一目标IP地址和第二目标IP地址,当与每个目标IP地址通信的所述恶意IP地址的数量相同时,
所述处理单元,还用于从所述第二日志数据集合中筛选出包含所述第一目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到所述第一目标IP地址与所述恶意IP地址最先通信的时间;从所述第二日志数据集合中筛选出包含所述第二目标IP地址的至少一条日志数据,并从筛选出的日志数据中得到所述第二目标IP地址与所述恶意IP地址最先通信的时间;按照与所述恶意IP地址最先通信的时间的先后顺序,对所述第一目标IP地址和所述第二目标IP地址进行排序,将排序结果作为待发送的排序后的至少两个目标IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610989051.0A CN108076006B (zh) | 2016-11-09 | 2016-11-09 | 一种查找被攻击主机的方法及日志管理服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610989051.0A CN108076006B (zh) | 2016-11-09 | 2016-11-09 | 一种查找被攻击主机的方法及日志管理服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108076006A true CN108076006A (zh) | 2018-05-25 |
| CN108076006B CN108076006B (zh) | 2020-06-16 |
Family
ID=62154450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610989051.0A Active CN108076006B (zh) | 2016-11-09 | 2016-11-09 | 一种查找被攻击主机的方法及日志管理服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108076006B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194605A (zh) * | 2018-07-02 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和*** |
| CN109831415A (zh) * | 2018-12-27 | 2019-05-31 | 北京奇艺世纪科技有限公司 | 一种对象处理方法、装置、***及计算机可读存储介质 |
| CN112187719A (zh) * | 2020-08-31 | 2021-01-05 | 新浪网技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
| CN112685072A (zh) * | 2020-12-31 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 通信地址知识库的生成方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916385A (zh) * | 2014-03-13 | 2014-07-09 | 南京理工大学 | 一种基于智能算法的waf安全监测*** |
| CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测***和方法 |
| KR101623068B1 (ko) * | 2015-01-28 | 2016-05-20 | 한국인터넷진흥원 | 네트워크 트래픽 수집 및 분석 시스템 |
| CN105681298A (zh) * | 2016-01-13 | 2016-06-15 | 成都安信共创检测技术有限公司 | 公共信息平台中的数据安全异常监测方法及*** |
| CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
-
2016
- 2016-11-09 CN CN201610989051.0A patent/CN108076006B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103916385A (zh) * | 2014-03-13 | 2014-07-09 | 南京理工大学 | 一种基于智能算法的waf安全监测*** |
| CN103916406A (zh) * | 2014-04-25 | 2014-07-09 | 上海交通大学 | 一种基于dns日志分析的apt攻击检测***和方法 |
| KR101623068B1 (ko) * | 2015-01-28 | 2016-05-20 | 한국인터넷진흥원 | 네트워크 트래픽 수집 및 분석 시스템 |
| CN105681298A (zh) * | 2016-01-13 | 2016-06-15 | 成都安信共创检测技术有限公司 | 公共信息平台中的数据安全异常监测方法及*** |
| CN105915532A (zh) * | 2016-05-23 | 2016-08-31 | 北京网康科技有限公司 | 一种失陷主机的识别方法及装置 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194605A (zh) * | 2018-07-02 | 2019-01-11 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和*** |
| CN109194605B (zh) * | 2018-07-02 | 2020-08-25 | 中国科学院信息工程研究所 | 一种基于开源信息的可疑威胁指标主动验证方法和*** |
| CN109831415A (zh) * | 2018-12-27 | 2019-05-31 | 北京奇艺世纪科技有限公司 | 一种对象处理方法、装置、***及计算机可读存储介质 |
| CN112187719A (zh) * | 2020-08-31 | 2021-01-05 | 新浪网技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
| CN112187719B (zh) * | 2020-08-31 | 2023-04-14 | 新浪技术(中国)有限公司 | 被攻击服务器的信息获取方法、装置和电子设备 |
| CN112685072A (zh) * | 2020-12-31 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 通信地址知识库的生成方法、装置、设备及存储介质 |
| CN112685072B (zh) * | 2020-12-31 | 2023-08-01 | 恒安嘉新(北京)科技股份公司 | 通信地址知识库的生成方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108076006B (zh) | 2020-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11171980B2 (en) | Contagion risk detection, analysis and protection | |
| US10038708B2 (en) | Geo-mapping system security events | |
| US11245716B2 (en) | Composing and applying security monitoring rules to a target environment | |
| US11838117B2 (en) | Systems and methods for detecting and mitigating cyber security threats | |
| CN110140125A (zh) | 安全性与合规性环境中的威胁情报管理 | |
| CN110366845A (zh) | 基于云中内容、活动、和元数据的安全性和合规性警报 | |
| CN104040550B (zh) | 集成安全策略和事件管理 | |
| US20190354680A1 (en) | Identifying malicious executing code of an enclave | |
| CN108076006A (zh) | 一种查找被攻击主机的方法及日志管理服务器 | |
| JP7320866B2 (ja) | マルチドメインからデータを収集する方法、装置及びコンピュータプログラム | |
| US11943240B2 (en) | Cloud data attack detection based on network vulnerability signatures in traced resource network paths | |
| JP7522130B2 (ja) | Siemルール・ソーティングおよび条件付き実行のためのシステムおよび方法 | |
| CN109074454A (zh) | 基于赝象对恶意软件自动分组 | |
| US20120331125A1 (en) | Resource Use Management System | |
| CN109274639A (zh) | 开放平台异常数据访问的识别方法和装置 | |
| WO2015094372A1 (en) | Intelligent firewall access rules | |
| US11824894B2 (en) | Defense of targeted database attacks through dynamic honeypot database response generation | |
| US20180309782A1 (en) | Method and Apparatus for Determining a Threat Using Distributed Trust Across a Network | |
| Hermawan et al. | Cyber physical system based smart healthcare system with federated deep learning architectures with data analytics | |
| US11228619B2 (en) | Security threat management framework | |
| Li et al. | PhotoSafer: content-based and context-aware private photo protection for smartphones | |
| Albanese et al. | Moving target defense quantification | |
| CN114268481A (zh) | 内网终端违规外联信息处理方法、装置、设备和介质 | |
| Kalmar et al. | Legal and regulative aspects of IoT cloud systems | |
| CN107302536A (zh) | 云计算平台的安全管理方法、装置、介质及存储控制器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |