[发明专利]一种服务器的APT攻击检测方法、装置、系统及存储介质

说明书

本发明公开了一种服务器的APT攻击检测方法，其特征在于，包括：获取与服务器IP对应的流量信息；从流量信息中识别出APT攻击流量信息；依据APT攻击流量信息判断服务器是否受到APT攻击，若是，则发出APT攻击提示信息。通过获取与服务器IP对应的流量信息，并从中识别出APT攻击流量信息，然后根据该APT攻击流量信息进一步判断出对应的服务器是否受到APT攻击，并且在确定出服务器受到APT攻击时，发出APT攻击提示信息；本发明在使用过程中能够实现对服务器APT攻击情况的检测，并及时进行APT攻击提示，以便及时对服务器采取防御措施，提高信息安全性。

技术领域

本发明涉及信息安全技术领域，特别是涉及一种服务器的APT攻击检测方法、装置、系统及计算机可读存储介质。

背景技术

APT攻击技术手段是各国情报组织、网络战部队发展的重要能力，也是当前黑产集团获利的重要工具。随着未来各国斗争的日益加剧和我国互联网经济的繁荣，我国各类信息系统将成为APT攻击的重要目标，对于一个服务器来说，良好的日常运行情况是十分重要的。越来越多的机构开始关注服务器的日常运行情况。

然而，由于目前各服务器维护者无法识别服务器是否正在遭受APT攻击，就无法针对攻击作出防御措施，会导致正常的服务器运行受到影响，甚至用户的信息遭到窃取。

因此，如何提供一种服务器的APT攻击检测方法、装置、系统及计算机可读存储介质成为本领域技术人员需要解决的问题。

发明内容

本发明实施例的目的是提供一种服务器的APT攻击检测方法、装置、系统及计算机可读存储介质，在使用过程中能够实现对服务器APT攻击情况的检测，并及时进行APT攻击提示，以便及时对服务器采取防御措施，提高信息安全性。

为解决上述技术问题，本发明实施例提供了一种服务器的APT攻击检测方法，包括：

获取与服务器IP对应的流量信息；

从所述流量信息中识别出APT攻击流量信息；

依据所述APT攻击流量信息判断服务器是否受到APT攻击，若是，则发出APT攻击提示信息。

可选的，所述获取与服务器IP对应的的流量信息的过程为：

通过APT探针获取与服务器IP对应的最近n个时间段的流量信息；

则，所述从所述流量信息中识别出APT攻击流量信息的过程为：

从每个所述时间段的流量信息中识别出APT攻击流量信息。

可选的，所述依据所述APT攻击流量信息判断服务器是否受到APT攻击的过程为：

根据每个所述时间段的APT攻击流量信息，计算服务器的APT攻击评分；

判断所述APT攻击评分是否大于预设阈值，若是，则所述服务器受到APT攻击，若否，则所述服务器未受到APT攻击。

可选的，所述根据每个所述时间段的APT攻击流量信息，计算所述服务器的APT攻击评分的过程为：

根据每个所述时间段的APT攻击流量信息，计算出与每个所述时间段各自对应的APT攻击流量大小；

依据每个所述APT攻击流量大小及预设计算关系式，计算出所述服务器的APT攻击评分；其中：

所述预设计算关系式为：

其中，f(n)表示服务器的APT攻击评分，n表示时间段总数量，X_i表示第n-i+1个时间段的APT攻击流量大小，n个时间段的APT攻击流量大小的平均值。

可选的，所述发出APT攻击提示信息的过程为：