本發明公開了一種異常訪問檢測方法，包括：判斷獲取的待檢測網絡審計數據中訪問指定內網服務器的訪問對象是否為指定內網服務器對應的合法訪問對象；若不是合法訪問對象，則根據訪問行為概率分布模型確定訪問對象對應的訪問行為數據所屬概率區間的概率值；當概率值小于概率閾值時，則訪問對象的訪問行為為異常訪問；該方法能夠識別小概率事件，從而全面、有效的保護內網服務器的安全；本發明公開了一種異常訪問檢測裝置、設備及計算機可讀存儲介質，具有上述有益效果。

技術領域

本發明涉及通訊技術領域，特別涉及一種異常訪問檢測方法、裝置、設備及計算機可讀存儲介質。

背景技術

在一個企業的內網中，內網服務器是一種核心資產。其中，內網服務器包括郵件服務器、辦公服務器、文件服務器、數據庫服務器等。內網服務器涉及到企業正常的業務運行和數據流轉。因此，內網服務器的安全是內網安全的關鍵環節。

雖然目前保護內網服務器安全的手段多種多樣，但目前的方案大部分都不能解決一些小概率的重要異常事件。例如，用戶的賬號被盜或成為內鬼，去訪問一般情況下不會訪問的資產；用戶搜集多種資產數據，造成數據泄露等。因此，如何全面、有效的保護內網服務器的安全，是本領域技術人員需要解決的技術問題。

發明內容

本發明的目的是提供一種異常訪問檢測方法、裝置、設備及計算機可讀存儲介質，通過對訪問對象進行身份和訪問行為的雙重檢測能夠識別小概率事件，從而全面、有效的保護內網服務器的安全。

為解決上述技術問題，本發明提供一種異常訪問檢測方法，所述方法包括：

判斷獲取的待檢測網絡審計數據中訪問指定內網服務器的訪問對象是否為所述指定內網服務器對應的合法訪問對象；

若不是所述合法訪問對象，則根據訪問行為概率分布模型確定所述訪問對象對應的訪問行為數據所屬概率區間的概率值；

當所述概率值小于概率閾值時，則所述訪問對象的訪問行為為異常訪問。

可選的，判斷獲取的待檢測網絡審計數據中訪問指定內網服務器的訪問對象是否為所述指定內網服務器對應的合法訪問對象，包括：

從獲取的待檢測網絡審計數據中篩選出所述指定內網服務器對應的訪問數據；

從所述訪問數據中篩選出滿足預設有效訪問狀態的訪問數據作為有效訪問數據；

判斷所述有效訪問數據的訪問對象是否為所述指定內網服務器對應的合法訪問對象。

可選的，判斷所述有效訪問數據的訪問對象是否為所述指定內網服務器對應的合法訪問對象，包括：

判斷所述有效訪問數據的訪問對象的IP是否為所述指定內網服務器對應的合法網段內。

可選的，所述方法還包括：

根據用戶對所述異常訪問的反饋結果更新所述訪問行為概率分布模型。

可選的，當所述訪問對象不是所述合法訪問對象，還包括：

確定所述訪問對象的訪問行為數據對應的訪問向量；

計算所述訪問向量與所述指定內網服務器對應的標準訪問向量的相似度；

當所述相似度小于相似度閾值時，執行所述根據訪問行為概率分布模型確定所述訪問對象對應的訪問行為數據所屬概率區間的概率值的步驟。

可選的，計算所述訪問向量與所述指定內網服務器對應的標準訪問向量的相似度，包括：

利用余弦相似度算法或Jaccard相似系數計算所述訪問向量與所述指定內網服務器對應的標準訪問向量的相似度。

本發明還提供一種異常訪問檢測裝置，所述裝置包括：