一種取證的方法及伺服器以及防火牆與流程

2023-05-01 13:06:01

本發明涉及通信安全領域，尤其涉及一種取證的方法及伺服器以及防火牆。

背景技術：

隨著internet的迅猛發展，企業及個人用戶在線交易量日漸上升，網絡運營已成為社會新時尚。但internet在方便信息交流的同時也為病毒提供了一個感染和快速傳播的"安全途徑"，病毒從網絡一端到達另一端並在計算機未加任何防護措施的情況下運行它，從而導致網絡癱瘓，系統崩潰，給信息社會的安全和發展構成嚴重威脅，造成巨大損失。要解決這一難題，滿足用戶對網絡安全的要求，就需要一個有安全保障且高效運行的網絡安全解決方案。

目前，面對用戶反饋的安全事件，主要的取證方法還是安全專家介入，對用戶大量的安全日誌進行分析，找出可疑的事件，推測出可能的入侵過程。

這種安全取證方法，安全專家一般需要2天左右的工作量來專門分析一個用戶的網絡與對應的安全事件，導致處理效率低下，如若出現大量用戶的安全事件，則無法高效的響應所有用戶。

技術實現要素：

本發明實施例提供了一種取證的方法及伺服器以及防火牆，用於根據安全日誌關聯的方法，自動讀取客戶端ip及與客戶端ip相關的安全日誌，利用安全日誌確定與客戶端ip有關聯的第一ip及與第一ip相關聯的第一安全日誌，再利用入侵規則匹配的方法來提取與入侵規則相對應的第一ip及第一安全日誌，從而達到自動取證的目的。

本發明第一方面提供了一種取證的方法，包括：

獲取客戶端ip；

獲取與客戶端ip相關的安全日誌；

確定安全日誌中與客戶端ip有關聯的第一ip及與第一ip相關的第一安全日誌；

獲取入侵規則，將入侵規則與第一安全日誌相匹配；

若匹配成功，則提取出與入侵規則對應的第一ip，及第一安全日誌。

進一步的，第一ip包括：

以客戶端ip為源ip的目的ip，和/或以客戶端ip為目的ip的源ip。

進一步的，在若匹配成功，則提取出第一ip，及第一安全日誌之後，方法還包括：

判斷第一ip是否為客戶端的內網ip；

若是，則重新獲取與第一ip相關的第二安全日誌；

確定第二安全日誌中與第一ip有關聯的第二ip及與第二ip相關的第三安全日誌；

獲取入侵規則，將入侵規則與第三安全日誌相匹配；

若匹配成功，則提取出與入侵規則對應的第二ip，及第三安全日誌；

若否，結束流程。

進一步的，獲取與客戶端相關的安全日誌，包括：

掃描伺服器記錄的安全日誌，提取與客戶端相關的安全日誌；

或，

掃描客戶端記錄的安全日誌，提取出與客戶端相關的安全日誌。

進一步的，獲取入侵規則，包括：

掃描本地安全事件庫，從安全事件庫中獲取與安全事件相關的所有入侵規則。

或，

向雲伺服器發送獲取入侵規則請求，接收由雲伺服器發送的入侵規則。

進一步的，在獲取客戶端ip之前，方法還包括：

判斷客戶端是否發生安全事件；

若是，則獲取客戶端ip。

本發明第二方面提供了一種伺服器，包括：

第一獲取單元，用於獲取客戶端ip；

第二獲取單元，用於獲取與客戶端ip相關的安全日誌；

第一確定單元，用於確定安全日誌中與客戶端ip有關聯的第一ip及與第一ip相關的第一安全日誌；

第一匹配單元，用於獲取入侵規則，將入侵規則與第一安全日誌相匹配；

第一提取單元，用於在匹配成功時，提取出第一ip，及第一安全日誌。

進一步的，第一ip包括：

以客戶端ip為源ip的目的ip，和/或以客戶端ip為目的ip的源ip。

進一步的，伺服器還包括：

第一判斷單元，用於判斷第一ip是否為客戶端的內網ip；

第三獲取單元，用於在第一ip為內網ip時，重新獲取與第一ip相關的第二安全日誌；

第二確定單元，用於確定第二安全日誌中與第一ip有關聯的第二ip及與第二ip相關的第三安全日誌；

第二匹配單元，用於獲取入侵規則，將入侵規則與第三安全日誌相匹配；

第二提取單元，用於在匹配成功時，提取出第二ip，及第三安全日誌；

結束單元，用於在提取到與客戶端ip有關聯的ip為外網ip時，結束流程。

進一步的，第二獲取單元，包括：

第一獲取模塊，用於掃描伺服器記錄的安全日誌，提取與客戶端相關的安全日誌；

或，

第二獲取模塊，用於掃描客戶端記錄的安全日誌，提取出與客戶端相關的安全日誌。

進一步的，獲取入侵規則，包括：

掃描本地安全事件庫，從安全事件庫中獲取與安全事件相關的所有入侵規則。

或，

向雲伺服器發送獲取入侵規則請求，接收由雲伺服器發送的入侵規則。

進一步的，伺服器還包括：

第二判斷單元，用於判斷客戶端是否發生安全事件；

觸發單元，用於在客戶端發生安全事件時，觸發第一獲取單元。

本發明第三方面提供了一種防火牆，包括本發明第二方面的伺服器。

從以上技術方案可以看出，本發明根據安全日誌關聯的方法，自動讀取客戶端ip及與客戶端ip相關的安全日誌，利用安全日誌確定與客戶端ip有關聯的第一ip及與第一ip相關聯的第一安全日誌，再利用入侵規則匹配的方法來提取與入侵規則相對應的第一ip及第一安全日誌，從而達到自動取證的目的。

因為本發明可以通過伺服器自動讀取安全日誌，並利用入侵規則自動比對第一ip及與第一ip相關的第一安全日誌，不再通過人工比對的方法，從而提高了取證的準確性及取證的效率。

附圖說明

圖1為本發明實施例中的一種取證的方法的一個實施例示意圖；

圖2為本發明實施例中的一種取證的方法的另一個實施例示意圖；

圖3為本發明實施例中的一種伺服器的一個實施例示意圖；

圖4為本發明實施例中的一種伺服器的另一個實施例示意圖。

具體實施方式

本發明實施例提供了一種取證的方法及伺服器以及防火牆，用於根據安全日誌關聯的方法，自動讀取客戶端ip及與客戶端ip相關的安全日誌，利用安全日誌確定與客戶端ip有關聯的第一ip及與第一ip相關聯的第一安全日誌，再利用入侵規則匹配的方法來提取與入侵規則相對應的第一ip及第一安全日誌，從而達到自動取證的目的。

因為本發明可以通過伺服器自動讀取安全日誌，並利用入侵規則自動比對第一ip及與第一ip相關的第一安全日誌，不再通過人工比對的方法，從而提高了取證的準確性及取證的效率。

隨著我國的網絡技術迅猛發展，網絡已廣泛應用到人們的日常生活和工作，個人聯網計算機的數量急劇增多。計算機安全問題也應運而生，計算機病毒不斷增多，非法入侵網絡、竊取私人資料、網絡系統癱瘓等案件也不斷增多，軟、硬體和用戶數據的安全問題日趨嚴重。

計算機網絡特別是internet的普及，給病毒的傳播提供了便捷的途徑。計算機病毒可以附著在正常文件中，當你從網上下載一個被感染的程序或文件，並在你的計算機上未加任何防護措施的情況下運行它，病毒就傳染過來了。通過internet傳播病毒的方式很多，包括ftp文件下載、訪問惡意www網站、p2p文件下載、即時通訊等等。人們使用internet的頻率是如此之高，使得internet已是計算機病毒的第一傳播途徑。

在計算機被網絡病毒侵染後，怎麼快速診斷出網絡病毒，完成網絡安全事件的取證，並對病毒進行查殺，成為網絡時代人們的迫切需求。

為便於理解，下面來具體描述本發明實施例中的一種安全取證的方法，請參閱圖1，本發明實施例中一種取證的方法，包括：

101、獲取客戶端ip；

實際生活中，個人pc端用戶與企業pc端用戶，用了保證pc端的信息安全，都會在pc端上安裝殺毒軟體或程序，但由於對pc端的安全設置要求不同，個人pc端一般是在自己的pc端安裝防火牆及殺毒程序，而企業用戶則會在公共伺服器上安裝防火牆及殺毒程序。

對於個人pc端用戶或企業pc端用戶，一般會設置伺服器的殺毒程序主動地，定時(每2天)或不定時的對pc端進行查殺及清理，或者，伺服器不會主動對pc端進行查殺，而是在客戶端出現安全事件時，主動上報指令給伺服器，伺服器在接收到指令後對客戶端進行查殺。

本實施例中，伺服器對於取證的方式，既可以是採取預防性的安全檢測，在檢測到安全事件時，對安全事件進行取證，也可以是伺服器接收到客戶端上報的安全事件指令時，對客戶端的安全事件進行取證。其中，伺服器對客戶端的安全檢測可以是通過預設的安全檢測程序進行，也可以直接採用本實施例中的取證方法進行檢測，若取證成功，則說明客戶端存在安全事件。

本實施例中，伺服器在對客戶端進行安全取證前，要先獲取客戶端ip，而本實施例中對於獲取客戶端ip的方式，既可以主動地獲取，也可以被動的接收，又或可以在對客戶端是否發生安全事件進行判斷之後，主動獲取客戶端ip，此處對於獲取客戶端ip的方式，不做具體限制。

102、獲取與客戶端ip相關的安全日誌；

網絡的安全日誌記錄是計算機系統一項非常重要的功能，應用程式、作業系統、網絡設備和其他系統組件都可以通過本地或遠程的日誌服務記錄器記錄有關它們的事件信息，事件日誌是檢測系統狀態的重要信息來源，對於本地計算機與其他計算機通信的所有信息，都會在本地計算機的安全日誌中進行記錄，例如：一個計算機名稱為ac的計算機，在2016年3月12日07:55分對本地計算機進行了失敗訪問，本地計算機就會在本地日誌或遠程日誌伺服器中，對於該條失敗訪問進行記錄，包括：ac計算機訪問的時間戳、ac計算機的基本的ip特徵、本地計算機被訪問的tcp或udp源和目標埠、ac計算機執行的動作，及本地計算機所執行的動作，包括：接收、丟棄或拒絕連接等。因此，網絡安全日誌被作為網絡安全分析的一項重要工具。

本實施例中，伺服器在獲取客戶端的ip後，可以根據用戶的類型(個人或企業)，通過本地安全日誌或遠程日誌伺服器來獲取與客戶端ip相關的安全日誌。在此，對於伺服器獲取與客戶端ip相關的安全日誌的方式不作具體限制。

103、確定安全日誌中與客戶端ip有關聯的第一ip及與第一ip相關的第一安全日誌；

伺服器獲取了客戶端的ip及與客戶端ip相關的安全日誌後，可以對安全日誌進行分析，確定與客戶端ip有關聯的第一ip及與第一ip有關聯的第一安全日誌，此處第一ip代表與客戶端ip有關聯的一個ip，此處第一安全日誌為與客戶端ip相關的安全日誌中，同時與第一ip有關聯的安全日誌，即同時記錄了客戶端ip與第一ip之間關係的安全日誌。

可以理解的是，有客戶端ip有關聯的ip可能不止一個，也可能為多個，所以此處的第一ip及第一安全日誌也有可能為一個或多個，此處對於第一ip及第一安全日誌的個數不作具體限制。

104、獲取入侵規則，將入侵規則與第一安全日誌相匹配；

伺服器獲取第一ip及第一安全日誌後，同時獲取入侵規則，此處的入侵規則為安全專家根據黑客的每一種入侵場景，分析被侵客戶端ip的安全日誌，從而找出可能匹配到的安全日誌類型、安全日誌發生的時序關係，從而整理出的不同入侵規則。

伺服器獲取到客戶端ip、第一ip、第一安全日誌及入侵規則後，將入侵規則中定義的對象、時序、動作與第一安全日誌中記錄的客戶端ip與第一ip之間的時序動作相匹配，例如：入侵規則被定義為：ip1對ip2進行掃描，隨後ip1對ip2發動漏洞探測，隨後ip1對ip2發動sql注入，那麼伺服器就將客戶端ip與第一ip之間發生的時序動作，與入侵規則進行匹配，檢測客戶端ip與第一ip之間，是否發生了一方對另一方的掃描、漏洞探測及sql注入，此處可以是客戶端ip對第一ip進行了掃描、漏洞探測及sql注入，也可以是第一ip對客戶端ip進行了掃描、漏洞探測及sql注入。

其中伺服器可以通過不同的方式獲取入侵規則的方式，具體在下面的實施例中詳細描述。

105、若匹配成功，則提取出與入侵規則對應的第一ip，及第一安全日誌。

若入侵規則與第一安全日誌匹配成功，則說明客戶端ip與第一ip之間發生了安全事件，其中可能是客戶端ip入侵了第一ip，也可能是第一ip入侵了客戶端ip，也可能是客戶端ip與第一ip之間發生了相互入侵。

匹配成功後，則提取出與入侵規則對應的第一ip，及第一安全日誌，從而完成自動取證的過程。

本實施例中，伺服器根據安全日誌關聯的方法，自動讀取客戶端ip及與客戶端ip相關的安全日誌，利用安全日誌確定與客戶端ip有關聯的第一ip及與第一ip相關聯的第一安全日誌，再利用入侵規則匹配的方法來提取與入侵規則相對應的第一ip及第一安全日誌，從而達到自動取證的目的。

因為本發明可以通過伺服器自動讀取安全日誌，並利用入侵規則自動比對第一ip及與第一ip相關的第一安全日誌，不再通過人工比對的方法，從而提高了取證的準確性及取證的效率。

為方便理解，下面詳細描述本發明實施例中的一種取證的方法，請參閱圖2，本發明實施例中一種取證的方法的另一個實施例，包括：

201、判斷客戶端是否發生安全事件，若是，則執行步驟202，若否，則執行步驟210；

為了提高用戶體驗，本實施例中的伺服器在安全取證前，先對客戶端的狀態進行判斷，即採用預設的安全檢測程序對客戶端進行掃描檢測，判斷客戶端是否發生了安全事件，若是，則執行步驟202，若否，則執行步驟210。

202、獲取客戶端ip；

若客戶端沒有通過伺服器的安全檢測程序，說明客戶端可能發生了安全事件，需要對客戶端狀態進行進一步的分析，即對客戶端是否發生安全事件進行取證分析。

伺服器在取證分析前，需要先獲取客戶端的ip，為了通信安全，客戶端可以設置一定的鑑權程序，用於對伺服器的身份進行認證，若伺服器通過客戶端的安全認證，則允許伺服器獲取客戶端的ip，否則拒絕伺服器的訪問。

具體的，對於企業用戶，體現為伺服器在訪問客戶端時，需要發送一個預設的口令，或預設的密碼；對於個人用戶，在伺服器需要獲取客戶端ip時，則需要經過管理員的許可或授權。

203、獲取與客戶端ip相關的安全日誌；

安全日誌作為記錄客戶端狀態的一個重要信息，已被作為網絡安全分析的一項重要工具。

伺服器獲取客戶端的ip地址後，根據客戶端的ip地址，可以獲取與客戶端ip相關的安全日誌，其中，安全日誌既可以是存儲在客戶端的本地安全日誌，也可以是存儲在伺服器上的安全日誌，或者是存儲在遠程日誌伺服器上的遠程安全日誌，根據客戶端安全日誌的存儲位置，伺服器可以通過不同的方式去獲取。

204、確定安全日誌中與客戶端ip有關聯的第一ip及與第一ip相關的第一安全日誌；

伺服器確定了客戶端ip，及與客戶端ip相關的安全日誌後，為了分析確定可能導致客戶端發生安全事件的原因，需要確定與客戶端通信的ip，以做進一步的核查分析。

伺服器從安全日誌中確定與客戶端ip有關聯的第一ip及與第一ip有關聯的第一安全日誌，其中，第一ip為與客戶端ip有關聯的一個ip，第一安全日誌為與客戶端ip相關的安全日誌中，同時與第一ip有關聯的安全日誌，即同時記錄了客戶端ip與第一ip之間關係的安全日誌。

可以理解的是，與客戶端ip有關聯的ip不止一個，也可能為多個，第一ip為與客戶端有關聯的一個ip，且第一ip既可以為以客戶端ip為目的ip的源ip，也可以為以客戶端ip為源ip的目的ip，所以此處的第一ip及第一安全日誌也有可能為一個或多個，且第一ip與客戶端ip互為源ip和目的ip，此處對於第一ip及第一安全日誌的個數不作具體限制。

205、獲取入侵規則，將所述入侵規則與第一安全日誌相匹配；

伺服器獲取第一ip及第一安全日誌後，同時獲取入侵規則，此處的入侵規則為安全專家根據黑客的每一種入侵場景，分析被侵客戶端ip的安全日誌，從而找出可能匹配到的安全日誌類型、安全日誌發生的時序關係，從而整理出的不同入侵規則。

伺服器獲取到客戶端ip、第一ip、第一安全日誌及入侵規則後，將入侵規則中定義的對象、時序、動作與第一安全日誌中記錄的客戶端ip與第一ip之間的時序動作相匹配，例如：入侵規則被定義為：ip1對ip2進行掃描，隨後ip1對ip2發動漏洞探測，隨後ip1對ip2發動sql注入，那麼伺服器就將客戶端ip與第一ip之間發生的時序動作，與入侵規則進行匹配，檢測客戶端ip與第一ip之間，是否發生了一方對另一方的掃描、漏洞探測及sol注入，此處可以是客戶端ip對第一ip進行了掃描、漏洞探測及sql注入，也可以是第一ip對客戶端ip進行了掃描、漏洞探測及sql注入。

若在第一安全日誌與入侵規則的匹配中，檢測到是第一ip對客戶端ip進行了掃描、漏洞探測及sql注入，則第一ip即為客戶端ip的源ip，客戶端ip為第一ip的目的ip，此過程即為查找入侵溯源的過程，即確定惡意入侵客戶端ip的過程。

若在第一安全日誌與入侵規則的匹配中，檢測到是客戶端ip對第一ip進行了掃描、漏洞探測及sql注入，則客戶端ip為第一ip的源ip，第一ip為客戶端ip的目的ip，此過程即為安全事件追蹤的過程，即確定客戶端ip入侵第一ip的過程。

若根據入侵規則匹配到的是客戶端ip對第一ip發生了入侵規則中定義的動作，還可能是客戶端ip與第一ip互為源ip及目的ip，則按照規則中定義的去解釋該過程，例如：入侵規則為ip1向ip2發送請求，該請求中攜帶sql注入信息，隨後ip2向ip1發送請求響應，該請求響應中也攜帶了sql注入信息，如果該入侵規則與第一安全日誌中記錄的客戶端ip與第一ip之間的時序動作匹配成功，則說明客戶端ip與第一ip互為源ip及目的ip，且客戶端ip與第一ip之間可能發生了相互入侵的情況。

其中伺服器可以通過不同的方式獲取入侵規則，伺服器既可以在本地端存儲入侵規則，也可以通過發送訪問請求，向雲伺服器發送獲取入侵規則的請求，若雲伺服器接收到伺服器發送的訪問請求，並在認證通過後，向伺服器發送入侵規則。

206、若匹配成功，則提取出與入侵規則對應的第一ip，及第一安全日誌。

若入侵規則與第一安全日誌匹配成功，則說明客戶端ip與第一ip之間發生了安全事件，其中可能是客戶端ip感染了第一ip，也可能是第一ip感染了客戶端ip，也可能是客戶端ip與第一ip之間發生了相互感染。

匹配成功後，則提取出與入侵規則對應的第一ip，及第一安全日誌。

207、判斷第一ip是否為客戶端的內網ip；

伺服器提取到第一ip之後，需要對第一ip進行判斷，確定第一ip是否為客戶端ip的內網ip，因為對於企業客戶，一般會建立通信內網，而在內網通信過程中，一般不會內網ip之間相互入侵，多數情況是外網ip入侵內網ip。

208，若是，重複執行步驟203至206；

若伺服器判斷得到第一ip為內網ip，則重新獲取第一ip的第二安全日誌，確定第一ip的第二安全日誌中與第一ip有關聯的第二ip及與第二ip相關的第三安全日誌；獲取入侵規則，將入侵規則與第三安全日誌相匹配，若匹配成功，則提取出與入侵規則相對應的第二ip及第三安全日誌，即重複執行步驟203至206的動作，但把客戶端ip切換為第一ip，直至提取出與客戶端ip相關的ip為外網ip為止。

209、若否，結束流程。

若伺服器判斷第一ip為外網ip，則說明是該外網ip入侵了客戶端ip，則提取出該第一ip及記錄客戶端ip與第一ip之間時序動作的第一安全日誌，即完成安全取證的過程。

210、執行其他流程；

本實施例中，若客戶端沒有發生安全事件，則伺服器執行其他流程，進一步的，伺服器還可以繼續定時或不定時的對客戶端進行安全事件檢測，以對客戶端的安全狀態進行監測。

本實施例中，伺服器根據安全日誌關聯的方法，自動讀取客戶端ip及與客戶端ip相關的安全日誌，利用安全日誌確定與客戶端ip有關聯的第一ip及與第一ip相關聯的第一安全日誌，再利用入侵規則匹配的方法來提取與入侵規則相對應的第一ip及第一安全日誌，從而達到自動取證的目的。

因為本發明可以通過伺服器自動讀取安全日誌，並利用入侵規則自動比對第一ip及與第一ip相關的第一安全日誌，不再通過人工比對的方法，從而提高了取證的準確性及取證的效率。

上面描述了本發明實施例中一種取證的方法，下面來描述本發明實施例中的一種伺服器，請參閱圖3，本發明實施例中的一種伺服器的一個實施例包括：

第一獲取單元301，用於獲取客戶端ip；

第二獲取單元302，用於獲取與所述客戶端ip相關的安全日誌；

第一確定單元303，用於確定所述安全日誌中與所述客戶端ip有關聯的第一ip及與所述第一ip相關的第一安全日誌；

第一匹配單元304，用於獲取入侵規則，將所述入侵規則與所述第一安全日誌相匹配；

第一提取單元305，用於在匹配成功時，提取出所述第一ip，及所述第一安全日誌。

需要說明的是，本實施例中各單元的作用與圖1所述實施例中伺服器的作用類似，具體此處不再贅述。

本實施例中，伺服器根據安全日誌關聯的方法，通過第一獲取單元301和第二獲取單元302自動讀取客戶端ip及與客戶端ip相關的安全日誌，通過第一確定單元303利用安全日誌確定與客戶端ip有關聯的第一ip及與第一ip相關聯的第一安全日誌，再通過第一匹配單元304利用入侵規則匹配的方法來提取與入侵規則相對應的第一ip及第一安全日誌，從而達到自動取證的目的。

因為本發明可以通過伺服器自動讀取安全日誌，並利用入侵規則自動比對第一ip及與第一ip相關的第一安全日誌，不再通過人工比對的方法，從而提高了取證的準確性及取證的效率。

為方便理解，下面來詳細描述本發明實施例中一種伺服器，請參閱圖4，本發明實施例中一種伺服器的另一個實施例包括：

第一獲取單元401，用於獲取客戶端ip；

第二獲取單元402，用於獲取與所述客戶端ip相關的安全日誌；

第一確定單元403，用於確定所述安全日誌中與所述客戶端ip有關聯的第一ip及與所述第一ip相關的第一安全日誌；

第一匹配單元404，用於獲取入侵規則，將所述入侵規則與所述第一安全日誌相匹配；

第一提取單元405，用於在匹配成功時，提取出所述第一ip，及所述第一安全日誌。

可選的的，在第一提取單元405提取到第一ip之後，伺服器還包括：

第一判斷單元406，用於判斷所述第一ip是否為所述客戶端的內網ip；

第三獲取單元407，用於在所述第一ip為內網ip時，重新獲取與所述第一ip相關的第二安全日誌；

第二確定單元408，用於確定所述第二安全日誌中與所述第一ip有關聯的第二ip及與所述第二ip相關的第三安全日誌；

第二匹配單元409，用於獲取入侵規則，將所述入侵規則與所述第三安全日誌相匹配；

第二提取單元410，用於在匹配成功時，提取出所述第二ip，及所述第三安全日誌；

結束單元411，用於在提取到與所述客戶端ip有關聯的ip為外網ip時，結束流程。

可選的，在第一獲取單元401獲取客戶端ip之前，伺服器還包括：

第二判斷單元412，用於判斷所述客戶端是否發生安全事件；

觸發單元413，用於在所述客戶端發生安全事件時，觸發第一獲取單元；

切換單元414，用於在所述客戶端沒有發生安全事件時，執行其他流程。

其中，本實施例中的第二獲取單元402，包括：

第一獲取模塊4021，用於掃描伺服器記錄的安全日誌，提取與所述客戶端相關的安全日誌；

或，

第二獲取模塊4022，用於掃描客戶端記錄的安全日誌，提取出與所述客戶端相關的安全日誌。

需要說明的是，本實施例中各單元及各模塊的作用與圖2所述的伺服器的作用類似，具體此處不再贅述。

本實施例中，伺服器根據安全日誌關聯的方法，通過第一獲取單元401和第二獲取單元402自動讀取客戶端ip及與客戶端ip相關的安全日誌，通過第一確定單元403利用安全日誌確定與客戶端ip有關聯的第一ip及與第一ip相關聯的第一安全日誌，再通過第一匹配單元404利用入侵規則匹配的方法來提取與入侵規則相對應的第一ip及第一安全日誌，從而達到自動取證的目的。

因為本發明可以通過伺服器自動讀取安全日誌，並利用入侵規則自動比對第一ip及與第一ip相關的第一安全日誌，不再通過人工比對的方法，從而提高了取證的準確性及取證的效率。

本發明還提供了一種防火牆，該防火牆可以包括伺服器，其中伺服器可以與防火牆中的其他模塊聯動，以相互配合使用。

可以理解的是，本發明實施例中，伺服器還可以從硬體角度出發進行描述，本發明實施例的伺服器包括：處理器、存儲器以及存儲在存儲器中並可在處理器上運行的電腦程式，處理器執行電腦程式時實現上述各個方法實施例中基於伺服器操作的步驟，或者，處理器執行電腦程式時實現上述實施例中伺服器的各模塊的功能，相同部分可參照前文，此處不再贅述。

示例性的，電腦程式可以被分割成一個或多個模塊/單元，一個或者多個模塊/單元被存儲在存儲器中，並由處理器執行，以完成本發明。一個或多個模塊/單元可以是能夠完成特定功能的一系列電腦程式指令段，該指令段用於描述電腦程式在伺服器中的執行過程，具體可參照伺服器的各模塊的說明，此處不再贅述。

其中，伺服器可包括但不僅限於處理器、存儲器，本領域技術人員可以理解，該說明僅僅是伺服器的示例，並不構成對伺服器的限定，可以包括比該說明更多或更少的部件，或者組合某些部件，或者不同的部件，例如伺服器還可以包括輸入輸出設備、網絡接入設備、總線等。

所稱處理器可以是中央處理單元(centralprocessingunit，cpu)，還可以是其他通用處理器、數位訊號處理器(digitalsignalprocessor，dsp)、專用集成電路(applicationspecificintegratedcircuit，asic)、現成可編程門陣列(field-programmablegatearray，fpga)或者其他可編程邏輯器件、分立門或者電晶體邏輯器件、分立硬體組件等。通用處理器可以是微處理器或者該處理器也可以是任何常規的處理器等，處理器是伺服器的控制中心，利用各種接口和線路連接整個伺服器的各個部分。

存儲器可用於存儲電腦程式和/或模塊，處理器通過運行或執行存儲在存儲器內的電腦程式和/或模塊，以及調用存儲在存儲器內的數據，實現伺服器的各種功能。存儲器可主要包括存儲程序區和存儲數據區，其中，存儲程序區可存儲作業系統、至少一個功能所需的應用程式等；存儲數據區可存儲根據手機的使用所創建的數據(比如補丁庫)等。此外，存儲器可以包括高速隨機存取存儲器，還可以包括非易失性存儲器，例如硬碟、內存、插接式硬碟，智能存儲卡(smartmediacard,smc)，安全數字(securedigital,sd)卡，快閃記憶體卡(flashcard)、至少一個磁碟存儲器件、快閃記憶體器件、或其他易失性固態存儲器件。

所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述描述的系統，裝置和單元的具體工作過程，可以參考前述方法實施例中的對應過程，在此不再贅述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的系統，裝置和方法，可以通過其它的方式實現。例如，以上所描述的裝置實施例僅僅是示意性的，例如，單元的劃分，僅僅為一種邏輯功能劃分，實際實現時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統，或一些特徵可以忽略，或不執行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，裝置或單元的間接耦合或通信連接，可以是電性，機械或其它的形式。

作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位於一個地方，或者也可以分布到多個網絡單元上。可以根據實際的需要選擇其中的部分或者全部單元來實現本實施例方案的目的。

另外，在本發明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以採用硬體的形式實現，也可以採用軟體功能單元的形式實現。

集成的單元如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時，可以存儲在一個計算機可讀取存儲介質中。基於這樣的理解，本發明的技術方案本質上或者說對現有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟體產品的形式體現出來，該計算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備(可以是個人計算機，伺服器，或者網絡設備等)執行本發明各個實施例方法的全部或部分步驟。而前述的存儲介質包括：u盤、移動硬碟、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、磁碟或者光碟等各種可以存儲程序代碼的介質。

以上，以上實施例僅用以說明本發明的技術方案，而非對其限制；儘管參照前述實施例對本發明進行了詳細的說明，本領域的普通技術人員應當理解：其依然可以對前述各實施例所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換；而這些修改或者替換，並不使相應技術方案的本質脫離本發明各實施例技術方案的精神和範圍。