[发明专利]服务器攻击访问识别方法及系统、计算机设备、存储介质

说明书

本发明涉及一种服务器攻击访问识别方法及系统、计算机设备、存储介质，所述方法包括：获取第三方终端与暴露于互联网中的服务器的访问时间间隔；根据所述访问时间间隔计算网络访问行为的连接时间频谱，根据所述连接时间频谱判定所述第三方终端的网络访问行为是正常网络访问行为或异常网络访问行为；若是异常网络访问行为，则获取每次访问的上行和下行的数据包量，每次访问的上行和下行的数据包量建立访问参数数据集，根据所述参数数据集进行聚类分析，并根据聚类分析结果识别所述异常网络访问行为是否为攻击风险；若是正常网络访问行为，则结束当前服务器攻击访问识别。本发明能够解决目前对暴露于互联网络中的服务器进行攻击访问识别无法兼顾时效性和准确性的技术问题。

技术领域

本发明涉及网络安全技术领域，具体涉及一种服务器攻击访问识别方法及系统、计算机设备、存储介质。

背景技术

在电力网络中，通常会有比较明显的边界。防火墙/UTM通常会作为边界防护设备，连通内网和外网(广域网)，同时也保护内网中的主机和服务器，阻止外部到内部的非法访问和攻击。但由于业务需要，不可避免的会存在部分主机或者服务器直接暴露于互联网，存在着较大的安全风险。

随着网络技术的不断发展，对于主机或者服务器的攻击手段也在不断加强，具体体现在对于有价值的信息，攻击者会结合各种网络漏洞进行攻击，持续瞄准目标以达到攻击目的。同时攻击手段和工具也处于不断变化中，传统的防范工具反应滞后，很难对其进行防范。

为解决滞后问题，目前，现有的主要防范方式主要有以下两种：沙箱检测识别和基于规则的异常检测识别。沙箱检测识别的主要原理为：将实时网络流量先引入旁路沙箱模型，审计各种进程的网络流量，通过代码检查器扫描是否存在恶意代码。基于规则的异常检测识别主要原理为：通过对网络中的正常行为模式设定安全方位规则，进而识别异常。沙箱检测识别由于对代码进行识别，但过程中，需要对数据包进行分解重组获取代码，并对代码进行检测识别，在面对大流量访问时，很难快速及时准确的给出检测识别结果，影响正常访问。而基于规矩的异常检测识别则取决于规则的复杂程度，简单的规则会使得异常访问能够通过规则检测识别，而过于复杂的规则又会严重影响检测识别的时效性。

发明内容

本发明的目的在于提出一种服务器攻击访问识别方法及系统、计算机设备、计算机可读存储介质，以解决目前对暴露于互联网络中的服务器进行攻击访问识别无法兼顾时效性和准确性的技术问题。

为实现上述目的，根据第一方面，本发明实施例提出一种服务器攻击访问识别方法，包括：

获取第三方终端与暴露于互联网中的服务器的访问时间间隔；

根据所述访问时间间隔计算网络访问行为的连接时间频谱，根据所述连接时间频谱判定所述第三方终端的网络访问行为是正常网络访问行为或异常网络访问行为；

若是异常网络访问行为，则获取每次访问的上行和下行的数据包量，每次访问的上行和下行的数据包量建立访问参数数据集，根据所述参数数据集进行聚类分析，并根据聚类分析结果识别所述异常网络访问行为是否为攻击风险；若是正常网络访问行为，则结束当前服务器攻击访问识别。

优选地，所述获取暴露于互联网中的服务器的访问时间间隔，包括：

获取与暴露于互联网中的服务器建立连接的地址，并判定该地址为白名单地址或非白名单地址；若为非白名单地址，则采集非白名单地址的第三方终端与所述暴露于互联网中的服务器的访问时间间隔。

优选地，所述根据所述参数数据集进行聚类分析，包括：

根据所有与所述暴露于互联网中的服务器建立连接的参数建立网络访问行为聚类分析图；

根据所述参数数据集在所述聚类分析图中设定对应点，得到聚类分析结果。

优选地，所述根据聚类分析结果识别所述异常网络访问行为是否为攻击风险，包括：