本發(fā)明涉及通信安全領(lǐng)域，尤其涉及一種取證的方法及服務(wù)器以及防火墻。

背景技術(shù)：

隨著internet的迅猛發(fā)展，企業(yè)及個人用戶在線交易量日漸上升，網(wǎng)絡(luò)運營已成為社會新時尚。但internet在方便信息交流的同時也為病毒提供了一個感染和快速傳播的"安全途徑"，病毒從網(wǎng)絡(luò)一端到達(dá)另一端并在計算機未加任何防護(hù)措施的情況下運行它，從而導(dǎo)致網(wǎng)絡(luò)癱瘓，系統(tǒng)崩潰，給信息社會的安全和發(fā)展構(gòu)成嚴(yán)重威脅，造成巨大損失。要解決這一難題，滿足用戶對網(wǎng)絡(luò)安全的要求，就需要一個有安全保障且高效運行的網(wǎng)絡(luò)安全解決方案。

目前，面對用戶反饋的安全事件，主要的取證方法還是安全專家介入，對用戶大量的安全日志進(jìn)行分析，找出可疑的事件，推測出可能的入侵過程。

這種安全取證方法，安全專家一般需要2天左右的工作量來專門分析一個用戶的網(wǎng)絡(luò)與對應(yīng)的安全事件，導(dǎo)致處理效率低下，如若出現(xiàn)大量用戶的安全事件，則無法高效的響應(yīng)所有用戶。

技術(shù)實現(xiàn)要素：

本發(fā)明實施例提供了一種取證的方法及服務(wù)器以及防火墻，用于根據(jù)安全日志關(guān)聯(lián)的方法，自動讀取客戶端ip及與客戶端ip相關(guān)的安全日志，利用安全日志確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)聯(lián)的第一安全日志，再利用入侵規(guī)則匹配的方法來提取與入侵規(guī)則相對應(yīng)的第一ip及第一安全日志，從而達(dá)到自動取證的目的。

本發(fā)明第一方面提供了一種取證的方法，包括：

獲取客戶端ip；

獲取與客戶端ip相關(guān)的安全日志；

確定安全日志中與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)的第一安全日志；

獲取入侵規(guī)則，將入侵規(guī)則與第一安全日志相匹配；

若匹配成功，則提取出與入侵規(guī)則對應(yīng)的第一ip，及第一安全日志。

進(jìn)一步的，第一ip包括：

以客戶端ip為源ip的目的ip，和/或以客戶端ip為目的ip的源ip。

進(jìn)一步的，在若匹配成功，則提取出第一ip，及第一安全日志之后，方法還包括：

判斷第一ip是否為客戶端的內(nèi)網(wǎng)ip；

若是，則重新獲取與第一ip相關(guān)的第二安全日志；

確定第二安全日志中與第一ip有關(guān)聯(lián)的第二ip及與第二ip相關(guān)的第三安全日志；

獲取入侵規(guī)則，將入侵規(guī)則與第三安全日志相匹配；

若匹配成功，則提取出與入侵規(guī)則對應(yīng)的第二ip，及第三安全日志；

若否，結(jié)束流程。

進(jìn)一步的，獲取與客戶端相關(guān)的安全日志，包括：

掃描服務(wù)器記錄的安全日志，提取與客戶端相關(guān)的安全日志；

或，

掃描客戶端記錄的安全日志，提取出與客戶端相關(guān)的安全日志。

進(jìn)一步的，獲取入侵規(guī)則，包括：

掃描本地安全事件庫，從安全事件庫中獲取與安全事件相關(guān)的所有入侵規(guī)則。

或，

向云服務(wù)器發(fā)送獲取入侵規(guī)則請求，接收由云服務(wù)器發(fā)送的入侵規(guī)則。

進(jìn)一步的，在獲取客戶端ip之前，方法還包括：

判斷客戶端是否發(fā)生安全事件；

若是，則獲取客戶端ip。

本發(fā)明第二方面提供了一種服務(wù)器，包括：

第一獲取單元，用于獲取客戶端ip；

第二獲取單元，用于獲取與客戶端ip相關(guān)的安全日志；

第一確定單元，用于確定安全日志中與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)的第一安全日志；

第一匹配單元，用于獲取入侵規(guī)則，將入侵規(guī)則與第一安全日志相匹配；

第一提取單元，用于在匹配成功時，提取出第一ip，及第一安全日志。

進(jìn)一步的，第一ip包括：

以客戶端ip為源ip的目的ip，和/或以客戶端ip為目的ip的源ip。

進(jìn)一步的，服務(wù)器還包括：

第一判斷單元，用于判斷第一ip是否為客戶端的內(nèi)網(wǎng)ip；

第三獲取單元，用于在第一ip為內(nèi)網(wǎng)ip時，重新獲取與第一ip相關(guān)的第二安全日志；

第二確定單元，用于確定第二安全日志中與第一ip有關(guān)聯(lián)的第二ip及與第二ip相關(guān)的第三安全日志；

第二匹配單元，用于獲取入侵規(guī)則，將入侵規(guī)則與第三安全日志相匹配；

第二提取單元，用于在匹配成功時，提取出第二ip，及第三安全日志；

結(jié)束單元，用于在提取到與客戶端ip有關(guān)聯(lián)的ip為外網(wǎng)ip時，結(jié)束流程。

進(jìn)一步的，第二獲取單元，包括：

第一獲取模塊，用于掃描服務(wù)器記錄的安全日志，提取與客戶端相關(guān)的安全日志；

或，

第二獲取模塊，用于掃描客戶端記錄的安全日志，提取出與客戶端相關(guān)的安全日志。

進(jìn)一步的，獲取入侵規(guī)則，包括：

掃描本地安全事件庫，從安全事件庫中獲取與安全事件相關(guān)的所有入侵規(guī)則。

或，

向云服務(wù)器發(fā)送獲取入侵規(guī)則請求，接收由云服務(wù)器發(fā)送的入侵規(guī)則。

進(jìn)一步的，服務(wù)器還包括：

第二判斷單元，用于判斷客戶端是否發(fā)生安全事件；

觸發(fā)單元，用于在客戶端發(fā)生安全事件時，觸發(fā)第一獲取單元。

本發(fā)明第三方面提供了一種防火墻，包括本發(fā)明第二方面的服務(wù)器。

從以上技術(shù)方案可以看出，本發(fā)明根據(jù)安全日志關(guān)聯(lián)的方法，自動讀取客戶端ip及與客戶端ip相關(guān)的安全日志，利用安全日志確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)聯(lián)的第一安全日志，再利用入侵規(guī)則匹配的方法來提取與入侵規(guī)則相對應(yīng)的第一ip及第一安全日志，從而達(dá)到自動取證的目的。

因為本發(fā)明可以通過服務(wù)器自動讀取安全日志，并利用入侵規(guī)則自動比對第一ip及與第一ip相關(guān)的第一安全日志，不再通過人工比對的方法，從而提高了取證的準(zhǔn)確性及取證的效率。

附圖說明

圖1為本發(fā)明實施例中的一種取證的方法的一個實施例示意圖；

圖2為本發(fā)明實施例中的一種取證的方法的另一個實施例示意圖；

圖3為本發(fā)明實施例中的一種服務(wù)器的一個實施例示意圖；

圖4為本發(fā)明實施例中的一種服務(wù)器的另一個實施例示意圖。

具體實施方式

本發(fā)明實施例提供了一種取證的方法及服務(wù)器以及防火墻，用于根據(jù)安全日志關(guān)聯(lián)的方法，自動讀取客戶端ip及與客戶端ip相關(guān)的安全日志，利用安全日志確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)聯(lián)的第一安全日志，再利用入侵規(guī)則匹配的方法來提取與入侵規(guī)則相對應(yīng)的第一ip及第一安全日志，從而達(dá)到自動取證的目的。

因為本發(fā)明可以通過服務(wù)器自動讀取安全日志，并利用入侵規(guī)則自動比對第一ip及與第一ip相關(guān)的第一安全日志，不再通過人工比對的方法，從而提高了取證的準(zhǔn)確性及取證的效率。

隨著我國的網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，網(wǎng)絡(luò)已廣泛應(yīng)用到人們的日常生活和工作，個人聯(lián)網(wǎng)計算機的數(shù)量急劇增多。計算機安全問題也應(yīng)運而生，計算機病毒不斷增多，非法入侵網(wǎng)絡(luò)、竊取私人資料、網(wǎng)絡(luò)系統(tǒng)癱瘓等案件也不斷增多，軟、硬件和用戶數(shù)據(jù)的安全問題日趨嚴(yán)重。

計算機網(wǎng)絡(luò)特別是internet的普及，給病毒的傳播提供了便捷的途徑。計算機病毒可以附著在正常文件中，當(dāng)你從網(wǎng)上下載一個被感染的程序或文件，并在你的計算機上未加任何防護(hù)措施的情況下運行它，病毒就傳染過來了。通過internet傳播病毒的方式很多，包括ftp文件下載、訪問惡意www網(wǎng)站、p2p文件下載、即時通訊等等。人們使用internet的頻率是如此之高，使得internet已是計算機病毒的第一傳播途徑。

在計算機被網(wǎng)絡(luò)病毒侵染后，怎么快速診斷出網(wǎng)絡(luò)病毒，完成網(wǎng)絡(luò)安全事件的取證，并對病毒進(jìn)行查殺，成為網(wǎng)絡(luò)時代人們的迫切需求。

為便于理解，下面來具體描述本發(fā)明實施例中的一種安全取證的方法，請參閱圖1，本發(fā)明實施例中一種取證的方法，包括：

101、獲取客戶端ip；

實際生活中，個人pc端用戶與企業(yè)pc端用戶，用了保證pc端的信息安全，都會在pc端上安裝殺毒軟件或程序，但由于對pc端的安全設(shè)置要求不同，個人pc端一般是在自己的pc端安裝防火墻及殺毒程序，而企業(yè)用戶則會在公共服務(wù)器上安裝防火墻及殺毒程序。

對于個人pc端用戶或企業(yè)pc端用戶，一般會設(shè)置服務(wù)器的殺毒程序主動地，定時(每2天)或不定時的對pc端進(jìn)行查殺及清理，或者，服務(wù)器不會主動對pc端進(jìn)行查殺，而是在客戶端出現(xiàn)安全事件時，主動上報指令給服務(wù)器，服務(wù)器在接收到指令后對客戶端進(jìn)行查殺。

本實施例中，服務(wù)器對于取證的方式，既可以是采取預(yù)防性的安全檢測，在檢測到安全事件時，對安全事件進(jìn)行取證，也可以是服務(wù)器接收到客戶端上報的安全事件指令時，對客戶端的安全事件進(jìn)行取證。其中，服務(wù)器對客戶端的安全檢測可以是通過預(yù)設(shè)的安全檢測程序進(jìn)行，也可以直接采用本實施例中的取證方法進(jìn)行檢測，若取證成功，則說明客戶端存在安全事件。

本實施例中，服務(wù)器在對客戶端進(jìn)行安全取證前，要先獲取客戶端ip，而本實施例中對于獲取客戶端ip的方式，既可以主動地獲取，也可以被動的接收，又或可以在對客戶端是否發(fā)生安全事件進(jìn)行判斷之后，主動獲取客戶端ip，此處對于獲取客戶端ip的方式，不做具體限制。

102、獲取與客戶端ip相關(guān)的安全日志；

網(wǎng)絡(luò)的安全日志記錄是計算機系統(tǒng)一項非常重要的功能，應(yīng)用程序、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備和其他系統(tǒng)組件都可以通過本地或遠(yuǎn)程的日志服務(wù)記錄器記錄有關(guān)它們的事件信息，事件日志是檢測系統(tǒng)狀態(tài)的重要信息來源，對于本地計算機與其他計算機通信的所有信息，都會在本地計算機的安全日志中進(jìn)行記錄，例如：一個計算機名稱為ac的計算機，在2016年3月12日07:55分對本地計算機進(jìn)行了失敗訪問，本地計算機就會在本地日志或遠(yuǎn)程日志服務(wù)器中，對于該條失敗訪問進(jìn)行記錄，包括：ac計算機訪問的時間戳、ac計算機的基本的ip特征、本地計算機被訪問的tcp或udp源和目標(biāo)端口、ac計算機執(zhí)行的動作，及本地計算機所執(zhí)行的動作，包括：接收、丟棄或拒絕連接等。因此，網(wǎng)絡(luò)安全日志被作為網(wǎng)絡(luò)安全分析的一項重要工具。

本實施例中，服務(wù)器在獲取客戶端的ip后，可以根據(jù)用戶的類型(個人或企業(yè))，通過本地安全日志或遠(yuǎn)程日志服務(wù)器來獲取與客戶端ip相關(guān)的安全日志。在此，對于服務(wù)器獲取與客戶端ip相關(guān)的安全日志的方式不作具體限制。

103、確定安全日志中與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)的第一安全日志；

服務(wù)器獲取了客戶端的ip及與客戶端ip相關(guān)的安全日志后，可以對安全日志進(jìn)行分析，確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip有關(guān)聯(lián)的第一安全日志，此處第一ip代表與客戶端ip有關(guān)聯(lián)的一個ip，此處第一安全日志為與客戶端ip相關(guān)的安全日志中，同時與第一ip有關(guān)聯(lián)的安全日志，即同時記錄了客戶端ip與第一ip之間關(guān)系的安全日志。

可以理解的是，有客戶端ip有關(guān)聯(lián)的ip可能不止一個，也可能為多個，所以此處的第一ip及第一安全日志也有可能為一個或多個，此處對于第一ip及第一安全日志的個數(shù)不作具體限制。

104、獲取入侵規(guī)則，將入侵規(guī)則與第一安全日志相匹配；

服務(wù)器獲取第一ip及第一安全日志后，同時獲取入侵規(guī)則，此處的入侵規(guī)則為安全專家根據(jù)黑客的每一種入侵場景，分析被侵客戶端ip的安全日志，從而找出可能匹配到的安全日志類型、安全日志發(fā)生的時序關(guān)系，從而整理出的不同入侵規(guī)則。

服務(wù)器獲取到客戶端ip、第一ip、第一安全日志及入侵規(guī)則后，將入侵規(guī)則中定義的對象、時序、動作與第一安全日志中記錄的客戶端ip與第一ip之間的時序動作相匹配，例如：入侵規(guī)則被定義為：ip1對ip2進(jìn)行掃描，隨后ip1對ip2發(fā)動漏洞探測，隨后ip1對ip2發(fā)動sql注入，那么服務(wù)器就將客戶端ip與第一ip之間發(fā)生的時序動作，與入侵規(guī)則進(jìn)行匹配，檢測客戶端ip與第一ip之間，是否發(fā)生了一方對另一方的掃描、漏洞探測及sql注入，此處可以是客戶端ip對第一ip進(jìn)行了掃描、漏洞探測及sql注入，也可以是第一ip對客戶端ip進(jìn)行了掃描、漏洞探測及sql注入。

其中服務(wù)器可以通過不同的方式獲取入侵規(guī)則的方式，具體在下面的實施例中詳細(xì)描述。

105、若匹配成功，則提取出與入侵規(guī)則對應(yīng)的第一ip，及第一安全日志。

若入侵規(guī)則與第一安全日志匹配成功，則說明客戶端ip與第一ip之間發(fā)生了安全事件，其中可能是客戶端ip入侵了第一ip，也可能是第一ip入侵了客戶端ip，也可能是客戶端ip與第一ip之間發(fā)生了相互入侵。

匹配成功后，則提取出與入侵規(guī)則對應(yīng)的第一ip，及第一安全日志，從而完成自動取證的過程。

本實施例中，服務(wù)器根據(jù)安全日志關(guān)聯(lián)的方法，自動讀取客戶端ip及與客戶端ip相關(guān)的安全日志，利用安全日志確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)聯(lián)的第一安全日志，再利用入侵規(guī)則匹配的方法來提取與入侵規(guī)則相對應(yīng)的第一ip及第一安全日志，從而達(dá)到自動取證的目的。

因為本發(fā)明可以通過服務(wù)器自動讀取安全日志，并利用入侵規(guī)則自動比對第一ip及與第一ip相關(guān)的第一安全日志，不再通過人工比對的方法，從而提高了取證的準(zhǔn)確性及取證的效率。

為方便理解，下面詳細(xì)描述本發(fā)明實施例中的一種取證的方法，請參閱圖2，本發(fā)明實施例中一種取證的方法的另一個實施例，包括：

201、判斷客戶端是否發(fā)生安全事件，若是，則執(zhí)行步驟202，若否，則執(zhí)行步驟210；

為了提高用戶體驗，本實施例中的服務(wù)器在安全取證前，先對客戶端的狀態(tài)進(jìn)行判斷，即采用預(yù)設(shè)的安全檢測程序?qū)蛻舳诉M(jìn)行掃描檢測，判斷客戶端是否發(fā)生了安全事件，若是，則執(zhí)行步驟202，若否，則執(zhí)行步驟210。

202、獲取客戶端ip；

若客戶端沒有通過服務(wù)器的安全檢測程序，說明客戶端可能發(fā)生了安全事件，需要對客戶端狀態(tài)進(jìn)行進(jìn)一步的分析，即對客戶端是否發(fā)生安全事件進(jìn)行取證分析。

服務(wù)器在取證分析前，需要先獲取客戶端的ip，為了通信安全，客戶端可以設(shè)置一定的鑒權(quán)程序，用于對服務(wù)器的身份進(jìn)行認(rèn)證，若服務(wù)器通過客戶端的安全認(rèn)證，則允許服務(wù)器獲取客戶端的ip，否則拒絕服務(wù)器的訪問。

具體的，對于企業(yè)用戶，體現(xiàn)為服務(wù)器在訪問客戶端時，需要發(fā)送一個預(yù)設(shè)的口令，或預(yù)設(shè)的密碼；對于個人用戶，在服務(wù)器需要獲取客戶端ip時，則需要經(jīng)過管理員的許可或授權(quán)。

203、獲取與客戶端ip相關(guān)的安全日志；

安全日志作為記錄客戶端狀態(tài)的一個重要信息，已被作為網(wǎng)絡(luò)安全分析的一項重要工具。

服務(wù)器獲取客戶端的ip地址后，根據(jù)客戶端的ip地址，可以獲取與客戶端ip相關(guān)的安全日志，其中，安全日志既可以是存儲在客戶端的本地安全日志，也可以是存儲在服務(wù)器上的安全日志，或者是存儲在遠(yuǎn)程日志服務(wù)器上的遠(yuǎn)程安全日志，根據(jù)客戶端安全日志的存儲位置，服務(wù)器可以通過不同的方式去獲取。

204、確定安全日志中與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)的第一安全日志；

服務(wù)器確定了客戶端ip，及與客戶端ip相關(guān)的安全日志后，為了分析確定可能導(dǎo)致客戶端發(fā)生安全事件的原因，需要確定與客戶端通信的ip，以做進(jìn)一步的核查分析。

服務(wù)器從安全日志中確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip有關(guān)聯(lián)的第一安全日志，其中，第一ip為與客戶端ip有關(guān)聯(lián)的一個ip，第一安全日志為與客戶端ip相關(guān)的安全日志中，同時與第一ip有關(guān)聯(lián)的安全日志，即同時記錄了客戶端ip與第一ip之間關(guān)系的安全日志。

可以理解的是，與客戶端ip有關(guān)聯(lián)的ip不止一個，也可能為多個，第一ip為與客戶端有關(guān)聯(lián)的一個ip，且第一ip既可以為以客戶端ip為目的ip的源ip，也可以為以客戶端ip為源ip的目的ip，所以此處的第一ip及第一安全日志也有可能為一個或多個，且第一ip與客戶端ip互為源ip和目的ip，此處對于第一ip及第一安全日志的個數(shù)不作具體限制。

205、獲取入侵規(guī)則，將所述入侵規(guī)則與第一安全日志相匹配；

服務(wù)器獲取第一ip及第一安全日志后，同時獲取入侵規(guī)則，此處的入侵規(guī)則為安全專家根據(jù)黑客的每一種入侵場景，分析被侵客戶端ip的安全日志，從而找出可能匹配到的安全日志類型、安全日志發(fā)生的時序關(guān)系，從而整理出的不同入侵規(guī)則。

服務(wù)器獲取到客戶端ip、第一ip、第一安全日志及入侵規(guī)則后，將入侵規(guī)則中定義的對象、時序、動作與第一安全日志中記錄的客戶端ip與第一ip之間的時序動作相匹配，例如：入侵規(guī)則被定義為：ip1對ip2進(jìn)行掃描，隨后ip1對ip2發(fā)動漏洞探測，隨后ip1對ip2發(fā)動sql注入，那么服務(wù)器就將客戶端ip與第一ip之間發(fā)生的時序動作，與入侵規(guī)則進(jìn)行匹配，檢測客戶端ip與第一ip之間，是否發(fā)生了一方對另一方的掃描、漏洞探測及sol注入，此處可以是客戶端ip對第一ip進(jìn)行了掃描、漏洞探測及sql注入，也可以是第一ip對客戶端ip進(jìn)行了掃描、漏洞探測及sql注入。

若在第一安全日志與入侵規(guī)則的匹配中，檢測到是第一ip對客戶端ip進(jìn)行了掃描、漏洞探測及sql注入，則第一ip即為客戶端ip的源ip，客戶端ip為第一ip的目的ip，此過程即為查找入侵溯源的過程，即確定惡意入侵客戶端ip的過程。

若在第一安全日志與入侵規(guī)則的匹配中，檢測到是客戶端ip對第一ip進(jìn)行了掃描、漏洞探測及sql注入，則客戶端ip為第一ip的源ip，第一ip為客戶端ip的目的ip，此過程即為安全事件追蹤的過程，即確定客戶端ip入侵第一ip的過程。

若根據(jù)入侵規(guī)則匹配到的是客戶端ip對第一ip發(fā)生了入侵規(guī)則中定義的動作，還可能是客戶端ip與第一ip互為源ip及目的ip，則按照規(guī)則中定義的去解釋該過程，例如：入侵規(guī)則為ip1向ip2發(fā)送請求，該請求中攜帶sql注入信息，隨后ip2向ip1發(fā)送請求響應(yīng)，該請求響應(yīng)中也攜帶了sql注入信息，如果該入侵規(guī)則與第一安全日志中記錄的客戶端ip與第一ip之間的時序動作匹配成功，則說明客戶端ip與第一ip互為源ip及目的ip，且客戶端ip與第一ip之間可能發(fā)生了相互入侵的情況。

其中服務(wù)器可以通過不同的方式獲取入侵規(guī)則，服務(wù)器既可以在本地端存儲入侵規(guī)則，也可以通過發(fā)送訪問請求，向云服務(wù)器發(fā)送獲取入侵規(guī)則的請求，若云服務(wù)器接收到服務(wù)器發(fā)送的訪問請求，并在認(rèn)證通過后，向服務(wù)器發(fā)送入侵規(guī)則。

206、若匹配成功，則提取出與入侵規(guī)則對應(yīng)的第一ip，及第一安全日志。

若入侵規(guī)則與第一安全日志匹配成功，則說明客戶端ip與第一ip之間發(fā)生了安全事件，其中可能是客戶端ip感染了第一ip，也可能是第一ip感染了客戶端ip，也可能是客戶端ip與第一ip之間發(fā)生了相互感染。

匹配成功后，則提取出與入侵規(guī)則對應(yīng)的第一ip，及第一安全日志。

207、判斷第一ip是否為客戶端的內(nèi)網(wǎng)ip；

服務(wù)器提取到第一ip之后，需要對第一ip進(jìn)行判斷，確定第一ip是否為客戶端ip的內(nèi)網(wǎng)ip，因為對于企業(yè)客戶，一般會建立通信內(nèi)網(wǎng)，而在內(nèi)網(wǎng)通信過程中，一般不會內(nèi)網(wǎng)ip之間相互入侵，多數(shù)情況是外網(wǎng)ip入侵內(nèi)網(wǎng)ip。

208，若是，重復(fù)執(zhí)行步驟203至206；

若服務(wù)器判斷得到第一ip為內(nèi)網(wǎng)ip，則重新獲取第一ip的第二安全日志，確定第一ip的第二安全日志中與第一ip有關(guān)聯(lián)的第二ip及與第二ip相關(guān)的第三安全日志；獲取入侵規(guī)則，將入侵規(guī)則與第三安全日志相匹配，若匹配成功，則提取出與入侵規(guī)則相對應(yīng)的第二ip及第三安全日志，即重復(fù)執(zhí)行步驟203至206的動作，但把客戶端ip切換為第一ip，直至提取出與客戶端ip相關(guān)的ip為外網(wǎng)ip為止。

209、若否，結(jié)束流程。

若服務(wù)器判斷第一ip為外網(wǎng)ip，則說明是該外網(wǎng)ip入侵了客戶端ip，則提取出該第一ip及記錄客戶端ip與第一ip之間時序動作的第一安全日志，即完成安全取證的過程。

210、執(zhí)行其他流程；

本實施例中，若客戶端沒有發(fā)生安全事件，則服務(wù)器執(zhí)行其他流程，進(jìn)一步的，服務(wù)器還可以繼續(xù)定時或不定時的對客戶端進(jìn)行安全事件檢測，以對客戶端的安全狀態(tài)進(jìn)行監(jiān)測。

本實施例中，服務(wù)器根據(jù)安全日志關(guān)聯(lián)的方法，自動讀取客戶端ip及與客戶端ip相關(guān)的安全日志，利用安全日志確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)聯(lián)的第一安全日志，再利用入侵規(guī)則匹配的方法來提取與入侵規(guī)則相對應(yīng)的第一ip及第一安全日志，從而達(dá)到自動取證的目的。

因為本發(fā)明可以通過服務(wù)器自動讀取安全日志，并利用入侵規(guī)則自動比對第一ip及與第一ip相關(guān)的第一安全日志，不再通過人工比對的方法，從而提高了取證的準(zhǔn)確性及取證的效率。

上面描述了本發(fā)明實施例中一種取證的方法，下面來描述本發(fā)明實施例中的一種服務(wù)器，請參閱圖3，本發(fā)明實施例中的一種服務(wù)器的一個實施例包括：

第一獲取單元301，用于獲取客戶端ip；

第二獲取單元302，用于獲取與所述客戶端ip相關(guān)的安全日志；

第一確定單元303，用于確定所述安全日志中與所述客戶端ip有關(guān)聯(lián)的第一ip及與所述第一ip相關(guān)的第一安全日志；

第一匹配單元304，用于獲取入侵規(guī)則，將所述入侵規(guī)則與所述第一安全日志相匹配；

第一提取單元305，用于在匹配成功時，提取出所述第一ip，及所述第一安全日志。

需要說明的是，本實施例中各單元的作用與圖1所述實施例中服務(wù)器的作用類似，具體此處不再贅述。

本實施例中，服務(wù)器根據(jù)安全日志關(guān)聯(lián)的方法，通過第一獲取單元301和第二獲取單元302自動讀取客戶端ip及與客戶端ip相關(guān)的安全日志，通過第一確定單元303利用安全日志確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)聯(lián)的第一安全日志，再通過第一匹配單元304利用入侵規(guī)則匹配的方法來提取與入侵規(guī)則相對應(yīng)的第一ip及第一安全日志，從而達(dá)到自動取證的目的。

因為本發(fā)明可以通過服務(wù)器自動讀取安全日志，并利用入侵規(guī)則自動比對第一ip及與第一ip相關(guān)的第一安全日志，不再通過人工比對的方法，從而提高了取證的準(zhǔn)確性及取證的效率。

為方便理解，下面來詳細(xì)描述本發(fā)明實施例中一種服務(wù)器，請參閱圖4，本發(fā)明實施例中一種服務(wù)器的另一個實施例包括：

第一獲取單元401，用于獲取客戶端ip；

第二獲取單元402，用于獲取與所述客戶端ip相關(guān)的安全日志；

第一確定單元403，用于確定所述安全日志中與所述客戶端ip有關(guān)聯(lián)的第一ip及與所述第一ip相關(guān)的第一安全日志；

第一匹配單元404，用于獲取入侵規(guī)則，將所述入侵規(guī)則與所述第一安全日志相匹配；

第一提取單元405，用于在匹配成功時，提取出所述第一ip，及所述第一安全日志。

可選的的，在第一提取單元405提取到第一ip之后，服務(wù)器還包括：

第一判斷單元406，用于判斷所述第一ip是否為所述客戶端的內(nèi)網(wǎng)ip；

第三獲取單元407，用于在所述第一ip為內(nèi)網(wǎng)ip時，重新獲取與所述第一ip相關(guān)的第二安全日志；

第二確定單元408，用于確定所述第二安全日志中與所述第一ip有關(guān)聯(lián)的第二ip及與所述第二ip相關(guān)的第三安全日志；

第二匹配單元409，用于獲取入侵規(guī)則，將所述入侵規(guī)則與所述第三安全日志相匹配；

第二提取單元410，用于在匹配成功時，提取出所述第二ip，及所述第三安全日志；

結(jié)束單元411，用于在提取到與所述客戶端ip有關(guān)聯(lián)的ip為外網(wǎng)ip時，結(jié)束流程。

可選的，在第一獲取單元401獲取客戶端ip之前，服務(wù)器還包括：

第二判斷單元412，用于判斷所述客戶端是否發(fā)生安全事件；

觸發(fā)單元413，用于在所述客戶端發(fā)生安全事件時，觸發(fā)第一獲取單元；

切換單元414，用于在所述客戶端沒有發(fā)生安全事件時，執(zhí)行其他流程。

其中，本實施例中的第二獲取單元402，包括：

第一獲取模塊4021，用于掃描服務(wù)器記錄的安全日志，提取與所述客戶端相關(guān)的安全日志；

或，

第二獲取模塊4022，用于掃描客戶端記錄的安全日志，提取出與所述客戶端相關(guān)的安全日志。

需要說明的是，本實施例中各單元及各模塊的作用與圖2所述的服務(wù)器的作用類似，具體此處不再贅述。

本實施例中，服務(wù)器根據(jù)安全日志關(guān)聯(lián)的方法，通過第一獲取單元401和第二獲取單元402自動讀取客戶端ip及與客戶端ip相關(guān)的安全日志，通過第一確定單元403利用安全日志確定與客戶端ip有關(guān)聯(lián)的第一ip及與第一ip相關(guān)聯(lián)的第一安全日志，再通過第一匹配單元404利用入侵規(guī)則匹配的方法來提取與入侵規(guī)則相對應(yīng)的第一ip及第一安全日志，從而達(dá)到自動取證的目的。

因為本發(fā)明可以通過服務(wù)器自動讀取安全日志，并利用入侵規(guī)則自動比對第一ip及與第一ip相關(guān)的第一安全日志，不再通過人工比對的方法，從而提高了取證的準(zhǔn)確性及取證的效率。

本發(fā)明還提供了一種防火墻，該防火墻可以包括服務(wù)器，其中服務(wù)器可以與防火墻中的其他模塊聯(lián)動，以相互配合使用。

可以理解的是，本發(fā)明實施例中，服務(wù)器還可以從硬件角度出發(fā)進(jìn)行描述，本發(fā)明實施例的服務(wù)器包括：處理器、存儲器以及存儲在存儲器中并可在處理器上運行的計算機程序，處理器執(zhí)行計算機程序時實現(xiàn)上述各個方法實施例中基于服務(wù)器操作的步驟，或者，處理器執(zhí)行計算機程序時實現(xiàn)上述實施例中服務(wù)器的各模塊的功能，相同部分可參照前文，此處不再贅述。

示例性的，計算機程序可以被分割成一個或多個模塊/單元，一個或者多個模塊/單元被存儲在存儲器中，并由處理器執(zhí)行，以完成本發(fā)明。一個或多個模塊/單元可以是能夠完成特定功能的一系列計算機程序指令段，該指令段用于描述計算機程序在服務(wù)器中的執(zhí)行過程，具體可參照服務(wù)器的各模塊的說明，此處不再贅述。

其中，服務(wù)器可包括但不僅限于處理器、存儲器，本領(lǐng)域技術(shù)人員可以理解，該說明僅僅是服務(wù)器的示例，并不構(gòu)成對服務(wù)器的限定，可以包括比該說明更多或更少的部件，或者組合某些部件，或者不同的部件，例如服務(wù)器還可以包括輸入輸出設(shè)備、網(wǎng)絡(luò)接入設(shè)備、總線等。

所稱處理器可以是中央處理單元(centralprocessingunit，cpu)，還可以是其他通用處理器、數(shù)字信號處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現(xiàn)成可編程門陣列(field-programmablegatearray，fpga)或者其他可編程邏輯器件、分立門或者晶體管邏輯器件、分立硬件組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規(guī)的處理器等，處理器是服務(wù)器的控制中心，利用各種接口和線路連接整個服務(wù)器的各個部分。

存儲器可用于存儲計算機程序和/或模塊，處理器通過運行或執(zhí)行存儲在存儲器內(nèi)的計算機程序和/或模塊，以及調(diào)用存儲在存儲器內(nèi)的數(shù)據(jù)，實現(xiàn)服務(wù)器的各種功能。存儲器可主要包括存儲程序區(qū)和存儲數(shù)據(jù)區(qū)，其中，存儲程序區(qū)可存儲操作系統(tǒng)、至少一個功能所需的應(yīng)用程序等；存儲數(shù)據(jù)區(qū)可存儲根據(jù)手機的使用所創(chuàng)建的數(shù)據(jù)(比如補丁庫)等。此外，存儲器可以包括高速隨機存取存儲器，還可以包括非易失性存儲器，例如硬盤、內(nèi)存、插接式硬盤，智能存儲卡(smartmediacard,smc)，安全數(shù)字(securedigital,sd)卡，閃存卡(flashcard)、至少一個磁盤存儲器件、閃存器件、或其他易失性固態(tài)存儲器件。

所屬領(lǐng)域的技術(shù)人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統(tǒng)，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應(yīng)過程，在此不再贅述。

在本申請所提供的幾個實施例中，應(yīng)該理解到，所揭露的系統(tǒng)，裝置和方法，可以通過其它的方式實現(xiàn)。例如，以上所描述的裝置實施例僅僅是示意性的，例如，單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結(jié)合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質(zhì)中?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、移動硬盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上，以上實施例僅用以說明本發(fā)明的技術(shù)方案，而非對其限制；盡管參照前述實施例對本發(fā)明進(jìn)行了詳細(xì)的說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解：其依然可以對前述各實施例所記載的技術(shù)方案進(jìn)行修改，或者對其中部分技術(shù)特征進(jìn)行等同替換；而這些修改或者替換，并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。