[发明专利]一种服务器入侵处理方法及相关装置

权利要求书

1.一种服务器入侵处理方法，其特征在于，所述方法包括：

基于对第一服务器的监控得到的数据，确定如下至少一项存在异常：日志、用户名及密码、文件、端口和进程，所述第一服务器为被监控的服务器集群中的一个服务器；

在确定一个或多个目标项存在异常的情况下，基于预定义的多个目标项与多个计数值的一一对应关系，将所述一个或多个目标项中每个目标项所对应的计数值累加至所述第一服务器对应的计数值上，所述预定义的多个目标项包括所述日志、所述用户名及密码、所述文件、所述端口和所述进程；

在所述第一服务器对应的计数值落入预定义的计数范围时，基于预定义的多个风险级别与多个计数范围的一一对应关系，确定所述第一服务器被入侵的风险级别；

基于预定义的所述多个风险级别与多种修复方式的一一对应关系，确定所述第一服务器被入侵的风险级别所对应的修复方式。

2.如权利要求1所述的方法，其特征在于，所述一个或多个目标项包括所述日志，所述方法还包括：

在确定所述日志的文件的大小大于第一预设门限的情况下，确定所述日志存在异常；

向所述第一服务器的防火墙下发封禁指令，所述封禁指令包括入侵所述第一服务器的互联网协议IP地址，所述IP地址是基于所述日志确定的，所述封禁指令用于指示所述防火墙开启对所述IP地址的自动封禁。

3.如权利要求1所述的方法，其特征在于，所述一个或多个目标项包括所述用户名及密码，所述方法还包括：

在确定存在新增的超级用户的情况下，确定所述用户名及密码存在异常；

删除所述新增的超级用户的信息。

4.如权利要求1所述的方法，其特征在于，所述一个或多个目标项包括所述用户名及密码，所述方法还包括：

在确定存在用户的用户名和/或密码被修改的情况下，确定所述用户名及密码存在异常；

重置所述用户的用户名和密码。

5.如权利要求1所述的方法，其特征在于，所述一个或多个目标项包括所述文件，所述方法还包括：

在确定存在木马文件的情况下，确定所述文件存在异常；

删除所述木马文件。

6.如权利要求1所述的方法，其特征在于，所述一个或多个目标项包括所述文件，所述方法还包括：

在确定存在被异常删除和/或被异常篡改的文件的情况下，确定所述文件存在异常；

恢复所述被异常删除和/或被异常篡改的文件。

7.如权利要求1所述的方法，其特征在于，所述一个或多个目标项包括所述端口，所述方法还包括：

在确定存在新增的开放的预设端口的情况下，确定所述端口存在异常；

关闭所述新增的开放的预设端口。

8.如权利要求1所述的方法，其特征在于，所述一个或多个目标项包括所述进程，所述方法还包括：

在确定存在非法进程的情况下，确定所述进程存在异常，所述非法进程为被系统后门所加载的，且占用中央处理器CPU超过第二预设门限或使用内存超过第三预设门限的进程；

结束所述非法进程。

9.如权利要求1至8中任一项所述的方法，其特征在于，所述在确定所述一个或多个目标项存在异常的情况下，所述方法还包括：

基于抓取到的所述第一服务器上的网络包确定所述第一服务器存在渗透第二服务器的异常流量，所述第二服务器为所述被监控的服务器集群中除所述第一服务器以外的一个或多个服务器；

中断所述异常流量。