【技术实现步骤摘要】
服务器攻击访问识别方法及系统、计算机设备、存储介质
本专利技术涉及网络安全
,具体涉及一种服务器攻击访问识别方法及系统、计算机设备、存储介质。
技术介绍
在电力网络中,通常会有比较明显的边界。防火墙/UTM通常会作为边界防护设备,连通内网和外网(广域网),同时也保护内网中的主机和服务器,阻止外部到内部的非法访问和攻击。但由于业务需要,不可避免的会存在部分主机或者服务器直接暴露于互联网,存在着较大的安全风险。随着网络技术的不断发展,对于主机或者服务器的攻击手段也在不断加强,具体体现在对于有价值的信息,攻击者会结合各种网络漏洞进行攻击,持续瞄准目标以达到攻击目的。同时攻击手段和工具也处于不断变化中,传统的防范工具反应滞后,很难对其进行防范。为解决滞后问题,目前,现有的主要防范方式主要有以下两种:沙箱检测识别和基于规则的异常检测识别。沙箱检测识别的主要原理为:将实时网络流量先引入旁路沙箱模型,审计各种进程的网络流量,通过代码检查器扫描是否存在恶意代码。基于规则的异常检测识别主要原理为:通过对网络中的正常行为模...
【技术保护点】
1.一种服务器攻击访问识别方法,其特征在于,包括:/n获取第三方终端与暴露于互联网中的服务器的访问时间间隔;/n根据所述访问时间间隔计算网络访问行为的连接时间频谱,根据所述连接时间频谱判定所述第三方终端的网络访问行为是正常网络访问行为或异常网络访问行为;/n若是异常网络访问行为,则获取每次访问的上行和下行的数据包量,每次访问的上行和下行的数据包量建立访问参数数据集,根据所述参数数据集进行聚类分析,并根据聚类分析结果识别所述异常网络访问行为是否为攻击风险;若是正常网络访问行为,则结束当前服务器攻击访问识别。/n
【技术特征摘要】
1.一种服务器攻击访问识别方法,其特征在于,包括:
获取第三方终端与暴露于互联网中的服务器的访问时间间隔;
根据所述访问时间间隔计算网络访问行为的连接时间频谱,根据所述连接时间频谱判定所述第三方终端的网络访问行为是正常网络访问行为或异常网络访问行为;
若是异常网络访问行为,则获取每次访问的上行和下行的数据包量,每次访问的上行和下行的数据包量建立访问参数数据集,根据所述参数数据集进行聚类分析,并根据聚类分析结果识别所述异常网络访问行为是否为攻击风险;若是正常网络访问行为,则结束当前服务器攻击访问识别。
2.根据权利要求1所述的服务器攻击访问识别方法,其特征在于,所述获取暴露于互联网中的服务器的访问时间间隔,包括:
获取与暴露于互联网中的服务器建立连接的地址,并判定该地址为白名单地址或非白名单地址;若为非白名单地址,则采集非白名单地址的第三方终端与所述暴露于互联网中的服务器的访问时间间隔。
3.根据权利要求1所述的服务器攻击访问识别方法,其特征在于,所述根据所述参数数据集进行聚类分析,包括:
根据所有与所述暴露于互联网中的服务器建立连接的参数建立网络访问行为聚类分析图;
根据所述参数数据集在所述聚类分析图中设定对应点,得到聚类分析结果。
4.根据权利要求3所述的服务器攻击访问识别方法,其特征在于,所述根据聚类分析结果识别所述异常网络访问行为是否为攻击风险,包括:
根据所述参数数据集在所述聚类分析图中设定对应点与所述异常网络行为簇的距离判断是否为攻击风险。
5.根据权利要求4所述的服务器攻击访问识别方法,其特征在于,所述根据聚类分析结果识别所述异常网络访问行为是否为攻击风险,包括:
在所述对应点与所述异常网络行为簇的距离超出预设阈值时,判断所述对应点...
【专利技术属性】
技术研发人员:丘惠军,陈昊,连耿雄,孙强强,
申请(专利权)人:深圳供电局有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。