[发明专利]一种服务器的APT攻击检测方法、装置、系统及存储介质

权利要求书

1.一种服务器的APT攻击检测方法，其特征在于，包括：

获取与服务器IP对应的流量信息；

从所述流量信息中识别出APT攻击流量信息；

依据所述APT攻击流量信息判断服务器是否受到APT攻击，若是，则发出APT攻击提示信息。

2.根据权利要求1所述的服务器的APT攻击检测方法，其特征在于，所述获取与服务器IP对应的的流量信息的过程为：

通过APT探针获取与服务器IP对应的最近n个时间段的流量信息；

则，所述从所述流量信息中识别出APT攻击流量信息的过程为：

从每个所述时间段的流量信息中识别出APT攻击流量信息。

3.根据权利要求2所述的服务器的APT攻击检测方法，其特征在于，所述依据所述APT攻击流量信息判断服务器是否受到APT攻击的过程为：

根据每个所述时间段的APT攻击流量信息，计算服务器的APT攻击评分；

判断所述APT攻击评分是否大于预设阈值，若是，则所述服务器受到APT攻击，若否，则所述服务器未受到APT攻击。

4.根据权利要求3所述的服务器的APT攻击检测方法，其特征在于，所述根据每个所述时间段的APT攻击流量信息，计算所述服务器的APT攻击评分的过程为：

根据每个所述时间段的APT攻击流量信息，计算出与每个所述时间段各自对应的APT攻击流量大小；

依据每个所述APT攻击流量大小及预设计算关系式，计算出所述服务器的APT攻击评分；其中：

所述预设计算关系式为：

其中，f(n)表示服务器的APT攻击评分，n表示时间段总数量，X_i表示第n-i+1个时间段的APT攻击流量大小，n个时间段的APT攻击流量大小的平均值。

5.根据权利要求1-4任意一项所述的服务器的APT攻击检测方法，其特征在于，所述发出APT攻击提示信息的过程为：

获取预先存储的、与所述服务器IP对应的推送地址；

将APT攻击提示信息发送至所述推送地址。

6.一种服务器的APT攻击检测装置，其特征在于，包括：

获取模块，用于获取与服务器IP对应的流量信息；

识别模块，用于从所述流量信息中识别出APT攻击流量信息；

判断模块，用于依据所述APT攻击流量信息判断服务器是否受到APT攻击，若是，触发发送模块；

所述发送模块，用于发出APT攻击提示信息。

7.根据权利要求6所述的服务器的APT攻击检测装置，其特征在于，所述获取模块，具体用于通过APT探针获取与服务器IP对应的最近n个时间段的流量信息；

则，所述识别模块，具体用于从每个所述时间段的流量信息中识别出APT攻击流量信息。

8.根据权利要求6所述的服务器的APT攻击检测装置，其特征在于，所述判断模块，包括：

计算单元，用于根据每个所述时间段的APT攻击流量信息，计算服务器的APT攻击评分；

判断单元，用于判断所述APT攻击评分是否大于预设阈值，若是，则所述服务器受到APT攻击，触发所述发送模块；若否，则所述服务器未受到APT攻击，结束。

9.一种服务器的APT攻击检测系统，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于执行所述计算机程序时实现如权利要求1至5任一项所述服务器的APT攻击检测方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5任一项所述服务器的APT攻击检测方法的步骤。