一种服务器异常检测方法及系统技术方案

本申请公开了一种服务器异常检测方法及系统，该方法包括：提取目标服务器的当前行为的统计特征，得到待检验统计特征；计算待检验统计特征与基准统计特征之间的相异度；其中，基准统计特征为预先对目标服务器的正常行为进行统计特征提取处理后得到的特征；判断相异度是否大于预设阈值，得到相应的判断结果；利用判断结果确定当前目标服务器是否处于异常状态。本申请实现了在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态的目的，从而有利于人们能够及时地采取相应的应对措施来减少服务器的损失。

Server anomaly detection method and system

The invention discloses a server anomaly detection method and system, the method includes: statistical feature extraction the current behavior of the target server, to obtain the test statistic characteristics; statistical characteristics to be calculated between the statistical characteristics and benchmark dissimilarity; the characteristics of the benchmark statistical characteristics are statistical feature extraction processing for the target in advance the server's normal behavior; judgment dissimilarity is greater than a preset threshold value, obtained the corresponding results; use judgment results to determine whether the target server is in an abnormal state. This application can timely detect the current server in an abnormal state in unknown hacker intrusion is server, which is helpful for people to take corresponding measures to reduce the loss of the server.

【技术实现步骤摘要】

本专利技术涉及服务器
，特别涉及一种服务器异常检测方法及系统。
技术介绍
防火墙作为服务器的第一道防线，能够起到对入侵行为进行拦截的作用。传统的防火墙技术是一种基于规则匹配的防火墙技术，能够对由现有已知的入侵行为引起的服务器异常事件进行有效检测，从而可以使得人们能够及时地知晓当前服务器的工作状态是否正常。随着攻防技术的不断发展，许多新兴的黑客技术涌现出来。然而，目前人们普遍还是利用传统的基于规则匹配的防火墙技术来对服务器进行异常检测和防御。当未知的黑客技术正在入侵服务器时，基于规则匹配的防火墙技术并无法检测出服务器正在处于被这种黑客技术攻陷的异常状态，从而严重影响了服务器的安全状况。综上所述可以看出，如何在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态是目前亟待解决的问题。
技术实现思路
有鉴于此，本专利技术的目的在于提供一种服务器异常检测方法及系统，能够在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态。其具体方案如下：一种服务器异常检测方法，包括：提取目标服务器的当前行为的统计特征，得到待检验统计特征；计算所述待检验统计特征与基准本文档来自技高网...

【技术保护点】
一种服务器异常检测方法，其特征在于，包括：提取目标服务器的当前行为的统计特征，得到待检验统计特征；计算所述待检验统计特征与基准统计特征之间的相异度；其中，所述基准统计特征为预先对所述目标服务器的正常行为进行统计特征提取处理后得到的特征；判断所述相异度是否大于预设阈值，得到相应的判断结果；利用所述判断结果确定当前所述目标服务器是否处于异常状态。

【技术特征摘要】
1.一种服务器异常检测方法，其特征在于，包括：提取目标服务器的当前行为的统计特征，得到待检验统计特征；计算所述待检验统计特征与基准统计特征之间的相异度；其中，所述基准统计特征为预先对所述目标服务器的正常行为进行统计特征提取处理后得到的特征；判断所述相异度是否大于预设阈值，得到相应的判断结果；利用所述判断结果确定当前所述目标服务器是否处于异常状态。2.根据权利要求1所述的服务器异常检测方法，其特征在于，所述提取目标服务器的当前行为的统计特征，得到待检验统计特征的过程，包括：对所述目标服务器在当前外连场景下的行为进行统计特征的提取，得到所述待检验统计特征；其中，所述外连场景包括端口扫描场景和/或IP扫描场景和/或数据收集场景和/或数据外发场景和/或Dos攻击场景。3.根据权利要求2所述的服务器异常检测方法，其特征在于，所述对所述目标服务器在当前外连场景下的行为进行统计特征的提取，得到所述待检验统计特征的过程，包括：获取与所述目标服务器的当前运行过程对应的日志流数据；利用所述日志流数据，对当前所述目标服务器进行实例化处理，得到相应的服务器实例化对象；从所述服务器实例化对象中分别提取出与所述外连场景中的每种场景一一对应的统计特征，得到所述待检验统计特征。4.根据权利要求1所述的服务器异常检测方法，其特征在于，所述计算所述待检验统计特征与基准统计特征之间的相异度的过程，包括：计算所述待检验统计特征与所述基准统计特征之间的欧氏距离，得到第一欧式距离；利用所述第一欧式距离确定所述相异度。5.根据权利要求4所述的服务器异常检测方法，其特征在于，所述计算所述待检验统计特征与所述基准统计特征之间的欧氏距离，得到第一欧式距离的过程，包括：分别计算所述待检验统计特征与N个基准统计特征之间的欧式距离，得到相应的N个欧式距离；其中，N为正整数；对所述N个欧式距离进行求平均处理，得到所述第一欧氏距离；其中，所述N个基准统计特征为预先对所述目标服务器在N次不同的正常运行过程中的行为进行统计特征提取处理后得到的特征。6.根据权利要求1所述的服务器异常检测方法，其特征在于，所述预设阈值的确定过程，包括：分别计算K个基准统计特征中每两个基准统计特征之间的欧式距离，得到相应的个欧氏距离；其中，K为不小于2的整数；对所述个欧氏距离进行求平均处理，得到第二欧式距离；利用所述第二欧式距离确定所述预设阈值；其中，所述K个基准统计特征为预先对所述目标服务器在K次不同的正常运行过程中的行为进行统计特征提取处理后得到的特征。7.根据权利要求1所述的服务器异常检测方法，其特征在于，还包括：利用基于防火墙规则匹配的防御技术，对所述目标服务器展开安全保护。8.根据权利要求1所述的服务器异常检测方法，其特征在于，还包括：若利用所述判断结果确定出当前所述目标服务器处于正常状态，则利用所述待检验统计特征对所述基准统计特征进行更新处理。9.根据权利要求1至8任一项所述的服务器异常检测方法，其特征在于，所述利用所述...

【专利技术属性】
技术研发人员：郭开，刘伯仲，邓永，
申请(专利权)人：深信服科技股份有限公司，
类型：发明
国别省市：广东;44