[发明专利]识别攻击的方法、装置和服务器

说明书

本发明提供了一种识别攻击的方法、装置和服务器，包括：从目标服务器的日志数据中提取指定数据；通过预设的情报库搜索与指定数据相匹配的历史攻击记录；如果搜索到与指定数据相匹配的历史攻击记录，根据搜索到的历史攻击记录确定目标服务器是否被攻击；如果搜索不到与指定数据相匹配的历史攻击记录，通过预设的攻击匹配规则确定目标服务器是否被攻击。该方式中，通过搜索包含有历史攻击记录的情报库，可以较为全面的识别各类攻击手段，再结合匹配攻击匹配规则的方式，进一步降低了攻击识别的漏报率，提高了各类攻击手段的识别覆盖率，进而提高了攻击识别效果，保障了网站运行的安全性。

技术领域

本发明涉及互联网技术领域，尤其是涉及一种识别攻击的方法、装置和服务器。

背景技术

由于安全意识不足或安全防护能力不足等原因，网站经常遭受到黑客的攻击，导致网站损失惨重；比如网站的服务器可能会带宽耗尽、网站被挂上非法页面或非法链接、被篡改数据、负载剧增等；网站的服务器还可能会被种植脚本木马、被远程控制、勒索、挖矿等。常见的黑客的攻击手段主要包括SQL注入攻击、XSS跨站脚本攻击、代码执行攻击、XXE漏洞攻击、文件上传攻击、文件包含攻击、目录扫描攻击、CC攻击、挖矿病毒攻击等。

相关技术中，为了应对上述各种攻击手段，通常会分析网站服务器的运行日志，具体可以通过过滤静态资源文件，以及判断来源IP访问网页页面的次数是否超过阈值来识别网站服务器是否受到攻击；但是该方式仅能识别一部分攻击手段，如CC攻击等，对于其他类型的攻击手段，识别效果较差，导致攻击识别的漏报率较高，网站安全性较低。

发明内容

本发明的目的在于提供一种识别攻击的方法、装置和服务器，以降低攻击识别的漏报率，提高各类攻击手段的识别覆盖率，进而提高攻击识别效果，保障网站运行的安全性。

第一方面，本发明提供的一种识别攻击的方法，该方法包括：从目标服务器的日志数据中提取指定数据；通过预设的情报库搜索与指定数据相匹配的历史攻击记录；如果搜索到与指定数据相匹配的历史攻击记录，根据搜索到的历史攻击记录确定目标服务器是否被攻击；如果搜索不到与指定数据相匹配的历史攻击记录，通过预设的攻击匹配规则确定目标服务器是否被攻击。

进一步的，指定数据包括目标服务器接收到的访问请求的地址信息；情报库中记录有历史攻击记录；历史攻击记录包括产生过攻击行为的地址信息；通过预设的情报库搜索与指定数据相匹配的历史攻击记录的步骤，包括：从情报库中，搜索包含有指定数据中的地址信息的历史攻击记录；如果搜索到包含有指定数据中的地址信息的历史攻击记录，确定搜索到与指定数据相匹配的历史攻击记录。

进一步的，根据搜索到的历史攻击记录确定目标服务器是否被攻击的步骤，包括：获取搜索到的历史攻击记录的状态信息；状态信息用于指示：历史攻击记录有效，或者历史攻击记录无效；如果历史攻击记录有效，确定目标服务器被攻击。

进一步的，上述方法还包括：如果历史攻击记录无效，通过预设的攻击匹配规则确定目标服务器是否被攻击。

进一步的，攻击匹配规则包括：多种攻击类型、以及每种攻击类型对应的攻击检测规则；通过预设的攻击匹配规则确定目标服务器是否被攻击的步骤，包括：将目标服务器的日志数据逐一与每种攻击类型对应的攻击检测规则相匹配，如果存在与日志数据匹配成功的攻击检测规则，确定目标服务器被攻击。

进一步的，攻击匹配规则还包括：每种攻击类型对应的攻击等级和攻击行为；其中，攻击等级包括多级；攻击行为包括攻击或扫描；上述方法还包括：如果存在与日志数据匹配成功的攻击检测规则，获取与日志数据匹配成功的攻击检测规则对应的攻击类型；将获取到的攻击类型确定为目标服务器被攻击的攻击类型；将获取到的攻击类型对应的攻击等级和攻击行为，确定为目标服务器被攻击的攻击等级和攻击行为。