本申請提供一種異常訪問行為的檢測方法，包括記錄終端的訪問行為的訪問關系集；將所述訪問關系集的訪問行為特征輸入訪問檢測模型；所述訪問檢測模型為通過對所述終端的歷史訪問數據中的訪問行為特征訓練得到的模型；根據所述訪問檢測模型的輸出結果確定所述訪問關系集中的訪問行為是否為異常訪問行為。本申請能夠大幅度提高終端的安全隱患，提高終端的安全性能。本申請還提供一種異常訪問行為的檢測系統、計算機可讀存儲介質和終端，具有上述有益效果。

技術領域

本申請涉及網絡安全領域，特別涉及一種異常訪問行為的檢測方法、檢測系統、計算機可讀存儲介質和終端。

背景技術

目前惡意攻擊者往往在真實滲透測試、入侵的過程中，往往需要首先獲取到內網里面的某一臺終端并以此為跳板作為滲透內網的一個跳板機。由于內網往往部署了較多的安全設備，敏感的行為容易被安全設備發現，有經驗的惡意攻擊者往往會使用一些隱蔽的手法進行內網的橫向攻擊，使用一些非常規的攻擊手法、免殺工具甚至是未公布的0day進行攻擊達到竊取敏感信息、獲取更高權限、安裝后門木馬或者進行內網漫游等操作。目前行業普遍使用入侵檢測設備進行內網安全檢測，但是內網檢出普遍基于傳統的安全檢測規則，對于0day、免殺工具等未知威脅存在被繞過的可能。其次，傳統安全檢測只能檢測一些網絡攻擊行為，往往惡意攻擊者在進行內網滲透時候較多的利用一些正常業務流量竊取數據或者偽造成正常的訪問方法，導致安全設備無法正常檢出。

因此，如何提高終端異常訪問行為的檢測能力是本領域技術人員亟需解決的技術問題。

發明內容

本申請的目的是提供一種異常訪問行為的檢測方法、檢測系統、計算機可讀存儲介質和終端，能夠有效降低客戶側流量監測的誤報。

為解決上述技術問題，本申請提供一種異常訪問行為的檢測方法，具體技術方案如下：

記錄終端的訪問行為的訪問關系集；

將所述訪問關系集的訪問行為特征輸入訪問檢測模型；所述訪問檢測模型為通過對所述終端的歷史訪問數據中的訪問行為特征訓練得到的模型；

根據所述訪問檢測模型的輸出結果確定所述訪問關系集中的訪問行為是否為異常訪問行為。

其中，所述記錄終端的訪問行為的訪問關系集包括：

在所述終端受到攻擊時，和/或，所述終端的安全等級變化時，記錄終端的訪問行為的訪問關系集。

獲取預設時間范圍內的歷史訪問數據中各訪問行為的訪問行為特征；所述訪問行為特征包括訪問時間、訪問網絡特征和訪問頻率中的一種或任意幾種的組合，所述訪問網絡特征包括目的IP、目的端口、通信協議、上行流量和下行流量中一項或任意幾項的組合；

對所述訪問行為特征聚類訓練得到所述訪問檢測模型。

可選的，所述訪問檢測模型中預先學習有正常訪問特征集合及異常訪問特征集合；

所述根據所述訪問檢測模型的輸出結果確定所述訪問關系集中的訪問行為是否為異常訪問行為包括：

計算所述訪問關系集中的訪問行為特征與所述正常訪問特征集合之間的第一距離；

計算所述訪問關系集中的訪問行為特征與所述異常訪問特征集合之間的第二距離；

若所述第一距離大于所述第二距離，則所述訪問關系集中的訪問行為為異常訪問行為。

可選的，所述訪問檢測模型包括黑流量檢測模型和白流量檢測模型，將所述訪問關系集的訪問行為特征輸入訪問檢測模型包括：

將所述訪問關系集的訪問行為特征輸入所述黑流量檢測模型，得到所述黑流量檢測結果；

若所述黑流量檢測結果正常，將所述訪問關系集的訪問行為特征輸入所述白流量檢測模型。