一种基于日志的自动化安全检查方法、存储介质及系统与流程

1.本发明涉及网络安全领域，尤其涉及一种基于日志的自动化安全检查方法、存储介质及系统。


背景技术：

2.在这个互联网飞速发展的时代，互联网无时无刻都在围绕着人们，起到了至关重要的作用。而在互联网给人们带来很多便利时，互联网也给我们带来了很多缺陷。
3.很多应用系统都是对公网暴露的，这里当然掺杂着很多恶意攻击行为，通过现有的安全检查系统无法提前发现恶意攻击，无法实时播报故障信息。


技术实现要素：

4.本发明所要解决的技术问题是针对现有技术的不足，提供一种基于日志的自动化安全检查方法、存储介质及系统。
5.本发明解决上述技术问题的技术方案如下：
6.一种基于日志的自动化安全检查方法，包括：
7.获取系统交互的日志数据；
8.设置分析指标，根据分析指标对所述日志数据进行攻击分析，获得分析结果；
9.选择预设前端模板显示根据所述分析结果生成的可视化数据；
10.将显示有所述可视化数据的预设前端模板向外发送。
11.本发明的有益效果是：本方案通过根据分析指标对所述日志数据进行攻击分析，获得分析结果，选择预设前端模板显示根据所述分析结果生成的可视化数据，将显示有所述可视化数据的预设前端模板向外发送。本方案通过自动化手段，分析nginx日志，设置不同的监控频率进行巡检，然后通过邮件播放方式，第一时间发送安全巡检报告，提前干预恶意攻击，极大的提高了巡检效率，以及提升安全保障质量。
12.进一步地，还包括：
13.根据攻击方式构建所述预设前端模板。
14.采用上述进一步方案的有益效果是：本方案通过不同角度分析构建前端模块，实现更准确直观的攻击分析。
15.进一步地，所述预设前端模块包括折线图前端模板和表格前端模板；
16.所述根据攻击方式构建所述预设前端模板具体包括：
17.根据攻击频率构建折线图前端模板；
18.根据被攻击的ip或被攻击的功能构建表格前端模板。
19.采用上述进一步方案的有益效果是：本方案通过按分钟统计攻击次数，从趋势图中，可以大概哪个时间区间，攻击频率大，提前做好预防准备；
20.通过分析攻击次数靠前的ip，以及采用何种攻击手段，并且了解发起ip的位置信息提前做好预防准备，指导安全运营工作开展。
21.进一步地，所述日志数据包括：来源ip、请求时间、请求头、请求url、请求报文、来源ip、响应报文、响应时长和响应头。
22.进一步地，所述分析指标包括：时间维度和来源ip维度。
23.本发明解决上述技术问题的另一种技术方案如下：
24.一种基于日志的自动化安全检查系统，包括：数据获取模块、分析模块、可视化处理模块和发送模块；
25.所述数据获取模块用于获取系统交互的日志数据；
26.所述分析模块用于设置分析指标，根据分析指标对所述日志数据进行攻击分析，获得分析结果；
27.所述可视化处理模块用于选择预设前端模板显示根据所述分析结果生成的可视化数据；
28.所述发送模块用于将显示有所述可视化数据的预设前端模板向外发送。
29.本发明的有益效果是：本方案通过根据分析指标对所述日志数据进行攻击分析，获得分析结果，选择预设前端模板显示根据所述分析结果生成的可视化数据，将显示有所述可视化数据的预设前端模板向外发送。本方案通过自动化手段，分析nginx日志，设置不同的监控频率进行巡检，然后通过邮件播放方式，第一时间发送安全巡检报告，提前干预恶意攻击，极大的提高了巡检效率，以及提升安全保障质量。
30.进一步地，还包括：模板构建模块，用于根据攻击方式构建所述预设前端模板。
31.采用上述进一步方案的有益效果是：本方案通过不同角度分析构建前端模块，实现更准确直观的攻击分析。
32.进一步地，所述模板构建模块具体用于根据攻击频率构建折线图前端模板；
33.根据被攻击的ip或被攻击的功能构建表格前端模板；
34.所述预设前端模块包括折线图前端模板和表格前端模板。
35.采用上述进一步方案的有益效果是：本方案通过按分钟统计攻击次数，从趋势图中，可以大概哪个时间区间，攻击频率大，提前做好预防准备；
36.通过分析攻击次数靠前的ip，以及采用何种攻击手段，并且了解发起ip的位置信息提前做好预防准备，指导安全运营工作开展。
37.本发明解决上述技术问题的另一种技术方案如下：
38.一种存储介质，所述存储介质中存储有指令，当计算机读取所述指令时，使所述计算机执行如上述任一方案所述的一种基于日志的自动化安全检查方法。
39.本发明解决上述技术问题的另一种技术方案如下：
40.一种安全检查系统，包括：
41.存储器，用于存储计算机程序；
42.处理器，用于执行所述计算机程序，实现如上述任一方案所述的一种基于日志的自动化安全检查方法。
43.本发明附加的方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明实践了解到。
附图说明
44.图1为本发明的实施例提供的一种基于日志的自动化安全检查方法的流程示意图；
45.图2为本发明的实施例提供的一种基于日志的自动化安全检查系统的结构框图；
46.图3为本发明的其他实施例提供的攻击频率分析示意图；
47.图4为本发明的其他实施例提供的攻击ip分析示意图；
48.图5为本发明的其他实施例提供的最易遭攻击的功能的示意图。
具体实施方式
49.以下结合附图对本发明的原理和特征进行描述，所举实施例只用于解释本发明，并非用于限定本发明的范围。
50.如图1所示，为本发明实施例提供的一种基于日志的自动化安全检查方法，包括：
51.s1，获取系统交互的日志数据；
52.需要说明的是，在某一实施例中，获取nginx日志(access.log、error_log)原始数据；nginx日志原始数据可以包括：来源ip、请求时间、请求头、请求url、请求报文、来源ip、响应报文、响应时长、响应头。
53.s2，设置分析指标，根据分析指标对日志数据进行攻击分析，获得分析结果；
54.需要说明的是，在某一实施例中，分析内容可以包括：分析请求url、请求头、请求报文、来源ip；
55.攻击分析可以包括：
56.一、是否存在恶意访问行为，请求中是否存在特殊字符：
57.delete|update|truncate|declare|exec|cost|concat|.*script.*|globals|_request|proc|self|environ|％3c|％3e|％3d|》|《|mosconfig_*。
58.二、是否存在爬虫行为，请求中是否存在特殊字符：
59.go-ahead-got-it|getweb！|go！zilla|download demon|indylibrary|libwww-perl|nmap scripting。
60.三、是否存在机器访问行为，请求中是否存在特殊字符：
61.yisouspider|apachebench|webbench|jmeter|joedog|havij|getright|turnitinbot|grabnet|masscan|mail2000|github|wget|curl|java。
62.其中，分析指标可以包括：1.按时间维度：可按分/小时/天分析攻击请求数量；2.按来源ip维度：攻击ip的攻击总次数，攻击手段、攻击ip区域信息。
63.s3，选择预设前端模板显示根据分析结果生成的可视化数据；
64.s4，将显示有可视化数据的预设前端模板向外发送。需要说明的是，在某一实施例中，通过利用python生成可视化的html页面，并且html页面支持邮件展示，自动化实现图表，并能够自动化通过邮件发送出来。
65.在某一实施例中，系统环境可以是：windows或者linux或者mac；开发语言可以是：python3；安装包可以是：bottle，即生成运营报告的模块。
66.本方案通过根据分析指标对日志数据进行攻击分析，获得分析结果，选择预设前端模板显示根据分析结果生成的可视化数据，将显示有可视化数据的预设前端模板向外发
送。本方案通过自动化手段，分析nginx日志，设置不同的监控频率进行巡检，然后通过邮件播放方式，第一时间发送安全巡检报告，提前干预恶意攻击，极大的提高了巡检效率，以及提升安全保障质量。
67.优选地，在上述任意实施例中，还包括：
68.根据攻击方式构建预设前端模板。
69.需要说明的是，在某一实施例中，定制前端html模版，模版内容可以包括：1.如图3所示，根据攻击频率分析设计成折线图，主要为了体现各时间的攻击频率，按分钟统计攻击次数，从趋势图中，可以大概哪个时间区间，攻击频率大，大家可以提前做好预防准备。2.如图4所示和如图5所示，根据攻击ip分析top20和最易遭攻击的功能top20，设计成表格，主要为了方便查看明细数据；分析攻击次数top20的ip，以及采用何种攻击手段，并且了解发起ip的位置信息；我们大量的资产暴露在公网环境，不知道哪些业务功能被攻击，通过统计拦截次数top20的url，从而了解攻击者都喜欢攻击那个功能。
70.本方案通过不同角度分析构建前端模块，实现更准确直观的攻击分析。
71.优选地，在上述任意实施例中，预设前端模块包括折线图前端模板和表格前端模板；
72.根据攻击方式构建预设前端模板具体包括：
73.根据攻击频率构建折线图前端模板；
74.根据被攻击的ip或被攻击的功能构建表格前端模板。
75.采用上述进一步方案的有益效果是：本方案通过按分钟统计攻击次数，从趋势图中，可以大概哪个时间区间，攻击频率大，提前做好预防准备；
76.通过分析攻击次数靠前的ip，以及采用何种攻击手段，并且了解发起ip的位置信息提前做好预防准备，指导安全运营工作开展。
77.优选地，在上述任意实施例中，日志数据包括：来源ip、请求时间、请求头、请求url、请求报文、来源ip、响应报文、响应时长和响应头。
78.优选地，在上述任意实施例中，分析指标包括：时间维度和来源ip维度。
79.在某一实施例中，如图2所示，一种基于日志的自动化安全检查系统，包括：数据获取模块1101、分析模块1102、可视化处理模块1103和发送模块1104；
80.数据获取模块1101用于获取系统交互的日志数据；
81.分析模块1102用于设置分析指标，根据分析指标对日志数据进行攻击分析，获得分析结果；
82.可视化处理模块1103用于选择预设前端模板显示根据分析结果生成的可视化数据；
83.发送模块1104用于将显示有可视化数据的预设前端模板向外发送。
84.本方案通过根据分析指标对日志数据进行攻击分析，获得分析结果，选择预设前端模板显示根据分析结果生成的可视化数据，将显示有可视化数据的预设前端模板向外发送。本方案通自动化手段，分析nginx日志，设置不同的监控频率进行巡检，然后通过邮件播放方式，第一时间发送安全巡检报告，提前干预恶意攻击，极大的提高了巡检效率，以及提升安全保障质量。
85.优选地，在上述任意实施例中，还包括：模板构建模块，用于根据攻击方式构建预
设前端模板。
86.本方案通过不同角度分析构建前端模块，实现更准确直观的攻击分析。
87.优选地，在上述任意实施例中，模板构建模块具体用于根据攻击频率构建折线图前端模板；
88.根据被攻击的ip或被攻击的功能构建表格前端模板；
89.预设前端模块包括折线图前端模板和表格前端模板。
90.本方案通过按分钟统计攻击次数，从趋势图中，可以大概哪个时间区间，攻击频率大，提前做好预防准备；
91.通过分析攻击次数靠前的ip，以及采用何种攻击手段，并且了解发起ip的位置信息提前做好预防准备，指导安全运营工作开展。
92.可以理解，在一些实施例中，可以包含如上述各实施例中的部分或全部可选实施方式。
93.需要说明的是，上述各实施例是与在先方法实施例对应的产品实施例，对于产品实施例中各可选实施方式的说明可以参考上述各方法实施例中的对应说明，在此不再赘述。
94.在某一实施例中，一种存储介质，存储介质中存储有指令，当计算机读取指令时，使计算机执行如上述任一实施例的一种基于日志的自动化安全检查方法。
95.在某一实施例中，一种安全检查系统，包括：
96.存储器，用于存储计算机程序；
97.处理器，用于执行计算机程序，实现如上述任一实施例的一种基于日志的自动化安全检查方法。
98.读者应理解，在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
99.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。
100.作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
101.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
102.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
103.以上，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。