本發明涉及一種服務器攻擊訪問識別方法及系統、計算機設備、存儲介質，所述方法包括：獲取第三方終端與暴露于互聯網中的服務器的訪問時間間隔；根據所述訪問時間間隔計算網絡訪問行為的連接時間頻譜，根據所述連接時間頻譜判定所述第三方終端的網絡訪問行為是正常網絡訪問行為或異常網絡訪問行為；若是異常網絡訪問行為，則獲取每次訪問的上行和下行的數據包量，每次訪問的上行和下行的數據包量建立訪問參數數據集，根據所述參數數據集進行聚類分析，并根據聚類分析結果識別所述異常網絡訪問行為是否為攻擊風險；若是正常網絡訪問行為，則結束當前服務器攻擊訪問識別。本發明能夠解決目前對暴露于互聯網絡中的服務器進行攻擊訪問識別無法兼顧時效性和準確性的技術問題。

技術領域

本發明涉及網絡安全技術領域，具體涉及一種服務器攻擊訪問識別方法及系統、計算機設備、存儲介質。

背景技術

在電力網絡中，通常會有比較明顯的邊界。防火墻/UTM通常會作為邊界防護設備，連通內網和外網(廣域網)，同時也保護內網中的主機和服務器，阻止外部到內部的非法訪問和攻擊。但由于業務需要，不可避免的會存在部分主機或者服務器直接暴露于互聯網，存在著較大的安全風險。

隨著網絡技術的不斷發展，對于主機或者服務器的攻擊手段也在不斷加強，具體體現在對于有價值的信息，攻擊者會結合各種網絡漏洞進行攻擊，持續瞄準目標以達到攻擊目的。同時攻擊手段和工具也處于不斷變化中，傳統的防范工具反應滯后，很難對其進行防范。

為解決滯后問題，目前，現有的主要防范方式主要有以下兩種：沙箱檢測識別和基于規則的異常檢測識別。沙箱檢測識別的主要原理為：將實時網絡流量先引入旁路沙箱模型，審計各種進程的網絡流量，通過代碼檢查器掃描是否存在惡意代碼?；谝巹t的異常檢測識別主要原理為：通過對網絡中的正常行為模式設定安全方位規則，進而識別異常。沙箱檢測識別由于對代碼進行識別，但過程中，需要對數據包進行分解重組獲取代碼，并對代碼進行檢測識別，在面對大流量訪問時，很難快速及時準確的給出檢測識別結果，影響正常訪問。而基于規矩的異常檢測識別則取決于規則的復雜程度，簡單的規則會使得異常訪問能夠通過規則檢測識別，而過于復雜的規則又會嚴重影響檢測識別的時效性。

發明內容

本發明的目的在于提出一種服務器攻擊訪問識別方法及系統、計算機設備、計算機可讀存儲介質，以解決目前對暴露于互聯網絡中的服務器進行攻擊訪問識別無法兼顧時效性和準確性的技術問題。

為實現上述目的，根據第一方面，本發明實施例提出一種服務器攻擊訪問識別方法，包括：

獲取第三方終端與暴露于互聯網中的服務器的訪問時間間隔；

根據所述訪問時間間隔計算網絡訪問行為的連接時間頻譜，根據所述連接時間頻譜判定所述第三方終端的網絡訪問行為是正常網絡訪問行為或異常網絡訪問行為；

若是異常網絡訪問行為，則獲取每次訪問的上行和下行的數據包量，每次訪問的上行和下行的數據包量建立訪問參數數據集，根據所述參數數據集進行聚類分析，并根據聚類分析結果識別所述異常網絡訪問行為是否為攻擊風險；若是正常網絡訪問行為，則結束當前服務器攻擊訪問識別。

優選地，所述獲取暴露于互聯網中的服務器的訪問時間間隔，包括：

獲取與暴露于互聯網中的服務器建立連接的地址，并判定該地址為白名單地址或非白名單地址；若為非白名單地址，則采集非白名單地址的第三方終端與所述暴露于互聯網中的服務器的訪問時間間隔。

優選地，所述根據所述參數數據集進行聚類分析，包括：

根據所有與所述暴露于互聯網中的服務器建立連接的參數建立網絡訪問行為聚類分析圖；

根據所述參數數據集在所述聚類分析圖中設定對應點，得到聚類分析結果。

優選地，所述根據聚類分析結果識別所述異常網絡訪問行為是否為攻擊風險，包括：