一种服务器告警的处理方法、系统及装置与流程

1.本发明涉及网络信息安全领域，特别是涉及一种服务器告警的处理方法、系统及装置。


背景技术：

2.在黑客能够利用病毒程序使服务器去访问恶意域名，当服务器访问恶意域名时，恶意域名会获取服务器的地址，然后向服务器传输恶意代码以盗取服务器内的信息，造成用户的信息泄露和财产损失，大数据安全分析系统在检测到有服务器访问恶意域名时会生成安全告警信息。为了判断安全告警信息的威胁性，现有技术通常是工作人员根据安全告警信息中的告警开始时间、告警持续时间和影响范围等因素判断该安全告警信息的威胁性，进而工作人员再根据威胁性选择处理该安全告警信息的方法。当出现大量安全告警信息时，工作人员不能及时处理所有的安全告警信息，且处理告警信息的效率较低，可能会导致黑客成功盗取服务器内的信息。此外，由于工作人员在长时间处理安全告警信息后会产生疲劳，可能会导致对安全告警信息的遗漏。


技术实现要素：

3.本发明的目的是提供一种服务器告警的处理方法、系统及装置，能够不需要工作人员处理安全告警信息，提高了处理告警信息的效率，不会出现遗漏的现象。
4.为解决上述技术问题，本发明提供了一种服务器告警的处理方法，应用于处理器，包括：
5.获取服务器访问恶意域名时产生的第一告警信息；
6.判断所述服务器中是否存在与所述第一告警信息对应的第一病毒程序；
7.若所述服务器中存在所述第一病毒程序，则判断所述第一病毒程序是否存在威胁；
8.若所述第一病毒程序存在威胁，则清除所述第一病毒程序。
9.优选的，判断所述服务器中是否存在与所述第一告警信息对应的第一病毒程序，包括：
10.获取所述第一告警信息中的五元组；
11.判断是否获取到所述服务器中的与所述五元组对应的进程名称；
12.若是，则判定所述服务器中存在与所述第一告警信息对应的所述第一病毒程序。
13.优选的，判断所述第一病毒程序是否存在威胁，包括：
14.确定所述第一病毒程序的第一标识值；
15.判断所述第一标识值是否存在于预设标识值库；
16.若是，则判定所述第一病毒程序存在威胁。
17.优选的，若所述服务器中不存在所述第一病毒程序，还包括：
18.获取所述服务器中的n个指定程序的第二标识值，n为不小于2的整数；
19.判断n个所述第二标识值中是否存在第二标识值存在于所述预设标识值库；
20.若n个所述第二标识值中存在第二标识值存在于所述预设标识值库，则清除存在于所述预设标识值库中的所述第二标识值对应的第二病毒程序。
21.优选的，若n个所述第二标识值都不存在于所述预设标识值库，还包括：
22.获取所述服务器在第一预设时间段内的日志信息；
23.判断所述日志信息中是否存在所述服务器进行内网横向攻击时产生的第二告警信息；
24.若所述日志信息中存在所述第二告警信息，则将所述服务器脱机。
25.优选的，若所述日志信息中不存在所述第二告警信息，还包括：
26.在接收到用户发送的告警无误判指令时阻断所述服务器对所述恶意域名的访问。
27.优选的，若所述第一病毒程序不存在威胁，还包括：
28.获取所述服务器在第二预设时间段内访问所述恶意域名的次数；
29.判断所述次数是否大于预设次数；
30.若是，则进入获取所述服务器中的n个指定程序的第二标识值的步骤；
31.若否，则判定所述第一告警信息为误判。
32.优选的，清除所述第一病毒程序，包括：
33.结束所述第一病毒程序的任务；
34.获取所述第一病毒程序的备份文件；
35.删除所述第一病毒程序。
36.本发明还提供了一种服务器告警的处理系统，包括：
37.第一告警信息获取单元，用于获取服务器访问恶意域名时产生的第一告警信息；
38.第一病毒程序判断单元，用于判断所述服务器中是否存在与所述第一告警信息对应的第一病毒程序；若所述服务器中存在所述第一病毒程序，则触发威胁判断单元；
39.所述威胁判断单元用于判断所述第一病毒程序是否存在威胁；若所述第一病毒程序存在威胁，则触发第一病毒程序清除单元；
40.所述第一病毒程序清除单元用于清除所述第一病毒程序。
41.本发明还提供了一种服务器告警的处理装置，包括：
42.存储器，用于存储计算机程序；
43.处理器，用于执行所述计算机程序时实现如上述服务器告警的处理方法的步骤。
44.本发明提供了一种服务器告警的处理方法、系统及装置，通过获取服务器访问恶意域名时的第一告警信息，通过第一告警信息判断服务器中是否存在与第一告警信息对应的第一病毒程序，当判定服务器中存在第一病毒程序时，判断第一病毒程序是否存在威胁，若判定第一病毒程序有威胁则清除第一病毒程序，能够不需要工作人员处理安全告警信息，提高了处理告警信息的效率，不会出现遗漏的现象。
附图说明
45.为了更清楚地说明本发明实施例中的技术方案，下面将对现有技术和实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的部分实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获
得其他的附图。
46.图1为本发明提供的一种服务器告警的处理方法的流程图；
47.图2为本发明提供的一种服务器告警的处理系统的结构示意图；
48.图3为本发明提供的一种服务器告警的处理装置的结构示意图。
具体实施方式
49.本发明的核心是提供一种服务器告警的处理方法、系统及装置，能够不需要工作人员处理安全告警信息，提高了处理告警信息的效率，不会出现遗漏的现象。
50.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
51.请参照图1，图1为本发明提供的一种服务器告警的处理方法的流程图，应用于处理器，该方法包括：
52.s11：获取服务器访问恶意域名时产生的第一告警信息；
53.s12：判断服务器中是否存在与第一告警信息对应的第一病毒程序；
54.s13：若服务器中存在第一病毒程序，则判断第一病毒程序是否存在威胁；
55.s14：若第一病毒程序存在威胁，则清除第一病毒程序。
56.考虑到工作人员处理第一告警信息的效率低，无法及时处理所有的第一告警信息，本实施例中，首先获取服务器在访问恶意域名时产生的第一告警信息，判断服务器中是否存在于第一告警信息对应的第一病毒程序，当判定为存在第一病毒程序时，再判断该第一病毒程序是否存在威胁，当判定为存在威胁时，清除该第一病毒程序。
57.具体的，服务器在访问域名时会生成一条信息，首先获取这一条信息，将这条信息与已知的恶意域名信息作对比，若这条信息和已知的恶意域名信息相同，则判定服务器有访问恶意域名的行为，将该条信息作为第一告警信息。基于该第一告警信息，判断服务器内是否存在该第一告警信息对应的程序，由于第一告警信息对应的程序是唯一的，所以当服务器内存在第一告警信息对应的程序时，说明该程序是使服务器访问恶意域名的第一病毒程序，最后判断第一病毒程序是否存在威胁，将第一病毒程序与已知的第一病毒程序做对比，若该第一病毒程序和已知的第一病毒程序相同，则该第一病毒程序有威胁，则清除第一病毒程序，完成对第一病毒程序的处理。
58.此外，在本实施例中，可以直接获取服务器在访问域名时生成的一条信息，也可以获取存放这一条信息的信息库中的信息，本技术对此不作限定。
59.综上所述，通过获取服务器访问恶意域名时的第一告警信息，通过第一告警信息判断服务器中是否存在与第一告警信息对应的第一病毒程序，当判定服务器中存在第一病毒程序时，判断第一病毒程序是否存在威胁，若判定第一病毒程序有威胁则清除第一病毒程序，能够不需要工作人员处理安全告警信息，提高了处理告警信息的效率，不会出现遗漏的现象。
60.在上述实施例的基础上：
61.作为一种优选的实施例，判断服务器中是否存在与第一告警信息对应的第一病毒
程序，包括：
62.获取第一告警信息中的五元组；
63.判断是否获取到服务器中的与五元组对应的进程名称；
64.若是，则判定服务器中存在与第一告警信息对应的第一病毒程序。
65.为了能够简单直接地判断出服务器内是否存在与第一告警信息对应的第一病毒程序，本实施例中，首先获取第一告警信息中的五元组，根据五元组来判断服务器内是否存在该第一告警信息对应的进程名称，当判定服务期内存在和第一告警信息对应的进程名称时，判定有第一病毒程序存在。
66.具体的，首先获取第一告警信息中的五元组，由于五元组能够体现出两个终端之间的连接关系，且该连接关系是唯一的，当服务器访问恶意域名时，五元组也是唯一的，能够简单直接地体现出第一告警信息对应的病毒程序的信息，五元组中包括源ip地址、源端口、目的ip地址、目的端口和传输层协议，例如，第一告警信息中的五元组为192.168.1.1、8832、255.255.1.1、80和tcp，指的是服务器内进程的ip地址为192.168.1.1，通过8832端口与ip地址为255.255.1.1的其他终端的80端口使用tcp协议连接。然后可以但不限于通过五元组联动杀毒软件执行netstat
–
ano命令，首先获取服务器中所有端口的使用情况，然后获取所有端口中被占用的端口的信息，通过被占用的端口的信息和五元组对比来获取五元组对应的进程名称，获取五元组的过程需要服务器和恶意域名之间一直保持着长连接，因为当服务器和恶意域名之间的关系是短连接时，由于服务器和恶意域名之间数据交互完毕后会断开连接，不存在连接关系，会存在获取不到五元组的情况，所以在获取第一告警信息对应的第一病毒程序之前，需要先判断是否能够获取到五元组对应的进程名称，只有在获取到对应的进程名称时才会进行判定服务器中存在与第一告警信息对应的第一病毒程序。
67.此外，五元组联动的杀毒软件，可以是aigent，也可以是其他能够实现杀毒软件功能的软件，本技术在此不作限定。
68.综上所述，通过获取第一告警信息中的五元组，判断是否能够获取到五元组对应的进程名称来获取第一告警信息对应的第一病毒程序，能够简单直接地找到第一病毒程序。
69.作为一种优选的实施例，判断第一病毒程序是否存在威胁，包括：
70.确定第一病毒程序的第一标识值；
71.判断第一标识值是否存在于预设标识值库；
72.若是，则判定第一病毒程序存在威胁。
73.为了避免将无害程序判定成第一病毒程序而误删除无害程序，在本实施例中，在清除第一病毒程序之前，需要先确定第一病毒程序的第一标识值，判断第一标识值是否存在于预设标识值库，若存在则判定第一病毒程序存在威胁。
74.具体的，由于每一个程序对应的第一标识值都是唯一的，不存在多个程序对应同一个第一标识值的情况，所以当确定第一病毒程序的第一标识值后，只有在判定第一标识值存在于预设标识值库时，才会判定第一病毒程序存在威胁，不会将其他无害程序判定为存在威胁，例如，本实施例中可以但不限于是联动杀毒软件执行certutil
–
hashfile filename指令来通过md5信息摘要算法确定第一病毒程序中的md5值，然后将第一病毒程序的md5值与预设标识值库中的md5值进行对比以判断第一病毒程序的md5值是否存在于预设
标识值库中，由于每一个程序的md5值都是唯一的，当出现将无害程序判定成第一病毒程序的情况时，由于无害程序的md5值不存在于预设标识值库中，所以不会判定无害程序存在威胁。
75.作为一种优选的实施例，若服务器中不存在第一病毒程序，还包括：
76.获取服务器中的n个指定程序的第二标识值，n为不小于2的整数；
77.判断n个第二标识值中是否存在第二标识值存在于预设标识值库；
78.若n个第二标识值中存在第二标识值存在于预设标识值库，则清除存在于预设标识值库中的第二标识值对应的第二病毒程序。
79.考虑到部分第一病毒程序会使用短连接使恶意域名与服务器进行连接，为了能找出使用短连接的第一病毒程序，本实施例中，在不能获取到第一告警信息中五元组对应的进程名称时，会获取服务器中n个指定程序的第二标识值，然后一一判断这些第二标识值中是否有一个或一个以上的第二标识值存在于预设标识值库中，当存在一个或一个以上的第二标识值存在于预设标识值库中时，则将该第二标识值对应的程序当作第二病毒程序，最后清除第二病毒程序，例如，在本技术中可以但不限于获取服务器中n个指定程序的md5值，通过n个指定程序的md5值一一与预设标识值库进行对比来判断是否有一个或一个以上的程序的md5值存在于预设标识值库，若是，则将存在于预设标识值库的md5值对应的程序判定为第二病毒程序，最后清除该第二病毒程序。
80.此外，本实施例中，n个指定程序可以是服务器中的所有程序，也可以是指定路径下的所有程序或其他用户指定程序，本技术在此不作限定。
81.综上所述，通过获取服务器中n个指定程序的第二标识值来判断服务器中是否存在第二病毒程序，能够清除使用短连接使恶意域名和服务器进行连接的第二病毒程序。
82.作为一种优选的实施例，若n个第二标识值都不存在于预设标识值库，还包括：
83.获取服务器在第一预设时间段内的日志信息；
84.判断日志信息中是否存在服务器进行内网横向攻击时产生的第二告警信息；
85.若日志信息中存在第二告警信息，则将服务器脱机。
86.考虑到部分第一病毒程序会使服务器对其他服务器进行内网横向攻击，为了能快速阻断内网横向攻击行为，本实施例中，当服务器中n个指定程序的第二标识值都不存在于预设标识值库时，会获取服务器在第一预设时间段内的日志信息，若日志信息中存在服务器进行内网横向攻击时产生的第二告警信息，则说明服务器内存在能够使服务器进行内网横向攻击的第一病毒程序，此时则将服务器脱机，断开服务器与其他服务器之间的连接。
87.此外，第一预设时间段可以是以获取到第一告警信息的时间点为时间终止点的一段预设长度的时间段，也可以是用户指定的一段任意时间节点的预设长度的时间段，本技术在此不作限定。
88.综上所述，当判定日志信息中存在第二告警信息时，会直接将服务器脱机，免去了先进行查找和删除病毒耗费的时间，能够快速地阻断内网横向攻击行为，避免了内网横向攻击影响的扩大。
89.作为一种优选的实施例，若日志信息中不存在第二告警信息，还包括：
90.在接收到用户发送的告警无误判指令时阻断服务器对恶意域名的访问。
91.考虑到部分第一病毒程序的反侦察技术高，查找到此类第一病毒程序需要花费大
量时间，为了避免查找第一病毒程序的时间过久而导致黑客成功盗取服务器内的信息，本实施例中，在接收到用户发送的告警无误判指令时，阻断服务器对恶意域名的访问，避免了查找到该第一病毒程序而花费大量时间导致黑客成功盗取服务器内的信息的情况。
92.作为一种优选的实施例，若第一病毒程序不存在威胁，还包括：
93.获取服务器在第二预设时间段内访问恶意域名的次数；
94.判断次数是否大于预设次数；
95.若是，则进入获取服务器中的n个指定程序的第二标识值的步骤；
96.若否，则判定第一告警信息为误判。
97.为了进一步判断服务器中是否存在能够引起服务器访问恶意域名的程序，本实施例中，当第一病毒程序不存在威胁时，会获取服务器在第二预设时间段内访问恶意域名的次数，若在第二预设时间段内访问恶意域名的次数大于预设次数时，说明服务器在第二预设时间段内访问了多次恶意域名，存在刻意访问该恶意域名的行为，并非误操作访问恶意域名，此时进入获取服务器中的n个指定程序的第二标识值的步骤，以便判断服务器中是否有引起服务器访问恶意域名的程序，若次数小于预设次数时，说明服务器可能是因为用户误操作而访问的恶意域名，不存在能够引起服务器访问恶意域名的程序，此时判定第一告警信息为误判。
98.此外，第一预设时间段可以是以获取到第一告警信息的时间点为时间终止点的一段预设长度的时间段，也可以是用户指定的一段任意时间节点的预设长度的时间段，本技术在此不作限定。
99.作为一种优选的实施例，清除第一病毒程序，包括：
100.结束第一病毒程序的任务；
101.获取第一病毒程序的备份文件；
102.删除第一病毒程序。
103.为了在未来遇到同样的第一病毒程序时能够快速识别和处理，在本实施例中，首先结束病毒程序的任务，然后获取第一病毒程序的备份文件，最后再删除第一病毒程序。
104.具体的，由于无法对运行中的第一病毒程序进行操作，所以首先需要将运行中的第一病毒程序关闭，将第一病毒程序的任务结束，然后将第一病毒程序的信息备份，例如，可以但不限于是备份第一病毒程序的md5值然后保存到预设标识值库中，以便下次再遇到该第一病毒程序时能够快速识别和处理，最后再删除第一病毒程序，完成对第一病毒程序的处理。
105.请参照图2，图2为本发明提供的一种服务器告警的处理系统的结构示意图；包括：
106.第一告警信息获取单元11，用于获取服务器访问恶意域名时产生的第一告警信息；
107.第一病毒程序判断单元12，用于判断服务器中是否存在与第一告警信息对应的第一病毒程序；若服务器中存在第一病毒程序，则触发威胁判断单元13；
108.威胁判断单元13用于判断第一病毒程序是否存在威胁；若第一病毒程序存在威胁，则触发第一病毒程序清除单元14；
109.第一病毒程序清除单元14用于清除第一病毒程序。
110.对于本发明提供的一种服务器告警的处理系统的相关介绍请参照上述服务器告
警的处理方法的实施例，本技术在此不再赘述。
111.请参照图3，图3为本发明提供的一种服务器告警的处理装置的结构示意图，包括：
112.存储器21，用于存储计算机程序；
113.处理器22，用于执行计算机程序时实现如上述服务器告警的处理方法的步骤。
114.对于本发明提供的一种服务器告警的处理装置的相关介绍请参照上述服务器告警的处理方法的实施例，本技术在此不再赘述。
115.还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
116.对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其他实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。