[发明专利]服务器攻击访问识别方法及系统、计算机设备、存储介质

权利要求书

1.一种服务器攻击访问识别方法，其特征在于，包括：

获取第三方终端与暴露于互联网中的服务器的访问时间间隔；

根据所述访问时间间隔计算网络访问行为的连接时间频谱，根据所述连接时间频谱判定所述第三方终端的网络访问行为是正常网络访问行为或异常网络访问行为；

若是异常网络访问行为，则获取每次访问的上行和下行的数据包量，每次访问的上行和下行的数据包量建立访问参数数据集，根据所述参数数据集进行聚类分析，并根据聚类分析结果识别所述异常网络访问行为是否为攻击风险；若是正常网络访问行为，则结束当前服务器攻击访问识别；

其中，所述根据所述参数数据集进行聚类分析，包括：根据所有与所述暴露于互联网中的服务器建立连接的参数建立网络访问行为聚类分析图；根据所述参数数据集在所述聚类分析图中设定对应点，得到聚类分析结果；

其中，所述根据聚类分析结果识别所述异常网络访问行为是否为攻击风险，包括：根据所述参数数据集在所述聚类分析图中设定对应点与异常网络行为簇的距离判断是否为攻击风险；在所述对应点与所述异常网络行为簇的距离超出预设阈值时，判断所述对应点为离群点；获取所述离群点在当前时间节点之前预设次数会话的会话时长，以及与所述会话时长对应的小包数量；将所述会话时长输入和小包数量进行预处理得到预处理信息，利用预先训练好的异常行为判断神经网络模型对所述预处理信息进行识别确定所述异常网络访问行为是否为攻击风险；

其中，所述将所述会话时长输入和小包数量进行预处理得到预处理信息，包括：将所述会话时长输入和小包数量通过傅里叶变换转化为相应的频谱图像。

2.根据权利要求1所述的服务器攻击访问识别方法，其特征在于，所述获取第三方终端与暴露于互联网中的服务器的访问时间间隔，包括：

获取与暴露于互联网中的服务器建立连接的地址，并判定该地址为白名单地址或非白名单地址；若为非白名单地址，则采集非白名单地址的第三方终端与所述暴露于互联网中的服务器的访问时间间隔。

3.一种服务器攻击访问识别系统，用于实施权利要求1或2所述的服务器攻击访问识别方法，其特征在于，包括：

访问间隔获取单元，用于获取第三方终端与暴露于互联网中的服务器的访问时间间隔；

访问行为判定单元，用于根据所述访问时间间隔计算网络访问行为的连接时间频谱，根据所述连接时间频谱判定所述第三方终端的网络访问行为是正常网络访问行为或异常网络访问行为；

攻击风险识别单元，用于若是异常网络访问行为，则获取每次访问的上行和下行的数据包量，每次访问的上行和下行的数据包量建立访问参数数据集，根据所述参数数据集进行聚类分析，并根据聚类分析结果识别所述异常网络访问行为是否为攻击风险；若是正常网络访问行为，则结束当前服务器攻击访问识别；

其中，所述根据所述参数数据集进行聚类分析，包括：根据所有与所述暴露于互联网中的服务器建立连接的参数建立网络访问行为聚类分析图；根据所述参数数据集在所述聚类分析图中设定对应点，得到聚类分析结果；

其中，所述根据聚类分析结果识别所述异常网络访问行为是否为攻击风险，包括：根据所述参数数据集在所述聚类分析图中设定对应点与异常网络行为簇的距离判断是否为攻击风险；在所述对应点与所述异常网络行为簇的距离超出预设阈值时，判断所述对应点为离群点；获取所述离群点在当前时间节点之前预设次数会话的会话时长，以及与所述会话时长对应的小包数量；将所述会话时长输入和小包数量进行预处理得到预处理信息，利用预先训练好的异常行为判断神经网络模型对所述预处理信息进行识别确定所述异常网络访问行为是否为攻击风险；

其中，所述将所述会话时长输入和小包数量进行预处理得到预处理信息，包括：将所述会话时长输入和小包数量通过傅里叶变换转化为相应的频谱图像。

4.一种计算机设备，包括：根据权利要求3所述的服务器攻击访问识别系统；或者，存储器和处理器，所述存储器中存储有计算机可读指令，所述计算机可读指令被所述处理器执行时，使得所述处理器执行根据权利要求1或2所述服务器攻击访问识别方法的步骤。

5.一种计算机可读存储介质，其上存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现根据权利要求1或2所述服务器攻击访问识别方法。