CN107204991A - 一种服务器异常检测方法及系统 - Google Patents
一种服务器异常检测方法及系统 Download PDFInfo
- Publication number
- CN107204991A CN107204991A CN201710546502.8A CN201710546502A CN107204991A CN 107204991 A CN107204991 A CN 107204991A CN 201710546502 A CN201710546502 A CN 201710546502A CN 107204991 A CN107204991 A CN 107204991A
- Authority
- CN
- China
- Prior art keywords
- server
- statistical nature
- destination server
- tested
- feature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种服务器异常检测方法及系统,该方法包括:提取目标服务器的当前行为的统计特征,得到待检验统计特征;计算待检验统计特征与基准统计特征之间的相异度;其中,基准统计特征为预先对目标服务器的正常行为进行统计特征提取处理后得到的特征;判断相异度是否大于预设阈值,得到相应的判断结果;利用判断结果确定当前目标服务器是否处于异常状态。本申请实现了在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态的目的,从而有利于人们能够及时地采取相应的应对措施来减少服务器的损失。
Description
技术领域
本发明涉及服务器技术领域,特别涉及一种服务器异常检测方法及系统。
背景技术
防火墙作为服务器的第一道防线,能够起到对入侵行为进行拦截的作用。传统的防火墙技术是一种基于规则匹配的防火墙技术,能够对由现有已知的入侵行为引起的服务器异常事件进行有效检测,从而可以使得人们能够及时地知晓当前服务器的工作状态是否正常。
随着攻防技术的不断发展,许多新兴的黑客技术涌现出来。然而,目前人们普遍还是利用传统的基于规则匹配的防火墙技术来对服务器进行异常检测和防御。当未知的黑客技术正在入侵服务器时,基于规则匹配的防火墙技术并无法检测出服务器正在处于被这种黑客技术攻陷的异常状态,从而严重影响了服务器的安全状况。
综上所述可以看出,如何在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态是目前亟待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种服务器异常检测方法及系统,能够在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态。其具体方案如下:
一种服务器异常检测方法,包括:
提取目标服务器的当前行为的统计特征,得到待检验统计特征;
计算所述待检验统计特征与基准统计特征之间的相异度;其中,所述基准统计特征为预先对所述目标服务器的正常行为进行统计特征提取处理后得到的特征;
判断所述相异度是否大于预设阈值,得到相应的判断结果;
利用所述判断结果确定当前所述目标服务器是否处于异常状态。
可选的,所述提取目标服务器的当前行为的统计特征,得到待检验统计特征的过程,包括:
对所述目标服务器在当前外连场景下的行为进行统计特征的提取,得到所述待检验统计特征;
其中,所述外连场景包括端口扫描场景和/或IP扫描场景和/或数据收集场景和/或数据外发场景和/或Dos攻击场景。
可选的,所述对所述目标服务器在当前外连场景下的行为进行统计特征的提取,得到所述待检验统计特征的过程,包括:
获取与所述目标服务器的当前运行过程对应的日志流数据;
利用所述日志流数据,对当前所述目标服务器进行实例化处理,得到相应的服务器实例化对象;
从所述服务器实例化对象中分别提取出与所述外连场景中的每种场景一一对应的统计特征,得到所述待检验统计特征。
可选的,所述计算所述待检验统计特征与基准统计特征之间的相异度的过程,包括:
计算所述待检验统计特征与所述基准统计特征之间的欧氏距离,得到第一欧式距离;
利用所述第一欧式距离确定所述相异度。
可选的,所述计算所述待检验统计特征与所述基准统计特征之间的欧氏距离,得到第一欧式距离的过程,包括:
分别计算所述待检验统计特征与N个基准统计特征之间的欧式距离,得到相应的N个欧式距离;其中,N为正整数;
对所述N个欧式距离进行求平均处理,得到所述第一欧氏距离;
其中,所述N个基准统计特征为预先对所述目标服务器在N次不同的正常运行过程中的行为进行统计特征提取处理后得到的特征。
可选的,所述预设阈值的确定过程,包括:
分别计算K个基准统计特征中每两个基准统计特征之间的欧式距离,得到相应的个欧氏距离;其中,K为不小于2的整数;
对所述个欧氏距离进行求平均处理,得到第二欧式距离;
利用所述第二欧式距离确定所述预设阈值;
其中,所述K个基准统计特征为预先对所述目标服务器在K次不同的正常运行过程中的行为进行统计特征提取处理后得到的特征。
可选的,所述服务器异常检测方法,还包括:
利用基于防火墙规则匹配的防御技术,对所述目标服务器展开安全保护。
可选的,所述服务器异常检测方法,还包括:
若利用所述判断结果确定出当前所述目标服务器处于正常状态,则利用所述待检验统计特征对所述基准统计特征进行更新处理。
可选的,所述利用所述判断结果确定当前所述目标服务器是否处于异常状态的过程,包括:
若所述判断结果为所述相异度大于所述预设阈值,则判定当前所述目标服务器处于异常状态;
若所述判断结果为所述相异度小于或等于所述预设阈值,则判定当前所述目标服务器处于正常状态。
可选的,所述利用所述判断结果确定当前所述目标服务器是否处于异常状态的过程,包括:
若所述判断结果为所述相异度大于所述预设阈值,则对预设的白名单进行查询,以确定所述白名单记录的服务器中是否包含所述目标服务器,若是,则判定当前所述目标服务器处于正常状态,若否,则判定当前所述目标服务器处于异常状态;
若所述判断结果为所述相异度小于或等于所述预设阈值,则判定当前所述目标服务器处于正常状态。
本发明还相应公开了一种服务器异常检测系统,包括:
特征提取模块,用于提取目标服务器的当前行为的统计特征,得到待检验统计特征;
相异度计算模块,用于计算所述待检验统计特征与基准统计特征之间的相异度;其中,所述基准统计特征为预先对所述目标服务器的正常行为进行统计特征提取处理后得到的特征;
相异度判断模块,用于判断所述相异度是否大于预设阈值,得到相应的判断结果;
状态确定模块,用于利用所述判断结果确定当前所述目标服务器是否处于异常状态。
可选的,所述特征提取模块,具体用于对所述目标服务器在当前外连场景下的行为进行统计特征的提取,得到所述待检验统计特征;
其中,所述外连场景包括端口扫描场景和/或IP扫描场景和/或数据收集场景和/或数据外发场景和/或Dos攻击场景。
可选的,所述相异度计算模块,包括:
距离计算单元,用于计算所述待检验统计特征与所述基准统计特征之间的欧氏距离,得到第一欧式距离;
相异度确定单元,用于利用所述第一欧式距离确定所述相异度。
可选的,所述服务器异常检测系统,还包括:
事前防御模块,用于利用基于防火墙规则匹配的防御技术,对所述目标服务器展开安全保护。
可选的,所述状态确定模块,包括:
第一判定单元,用于当所述判断结果为所述相异度大于所述预设阈值,则判定当前所述目标服务器处于异常状态;
第二判定单元,用于当所述判断结果为所述相异度小于或等于所述预设阈值,则判定当前所述目标服务器处于正常状态。
可选的,所述状态确定模块,包括:
第三判定单元,用于当所述判断结果为所述相异度大于所述预设阈值,则对预设的白名单进行查询,以确定所述白名单记录的服务器中是否包含所述目标服务器,若是,则判定当前所述目标服务器处于正常状态,若否,则判定当前所述目标服务器处于异常状态;
第四判定单元,用于当所述判断结果为所述相异度小于或等于所述预设阈值,则判定当前所述目标服务器处于正常状态。
本发明中,服务器异常检测方法,包括:提取目标服务器的当前行为的统计特征,得到待检验统计特征;计算待检验统计特征与基准统计特征之间的相异度;其中,基准统计特征为预先对目标服务器的正常行为进行统计特征提取处理后得到的特征;判断相异度是否大于预设阈值,得到相应的判断结果;利用判断结果确定当前目标服务器是否处于异常状态。
可见,本发明预先针对目标服务器的正常行为进行统计特征的提取处理,以得到基准统计特征;为了确定当前服务器是否处于异常状态,本发明会对目标服务器的当前行为的统计特征进行提取,从而得到待检验统计特征,接着计算待检验统计特征与基准统计特征之间的相异度,然后便可利用该相异度与预设阈值之间的比较结果来确定出当前目标服务器所处的状态。由于服务器不论是在受到已知的还是未知的黑客攻击时,其自身行为所呈现出来的统计特征与正常状态下的行为统计特征存在明显的差异,本发明正是基于上述两者之间的差异性,来实现在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态的目的,从而有利于人们能够及时地采取相应的应对措施来减少服务器的损失。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例公开的一种服务器异常检测方法流程图;
图2为本发明实施例公开的一种具体的服务器异常检测方法流程图;
图3为本发明实施例公开的一种具体的服务器异常检测方法流程图;
图4为本发明实施例公开的一种服务器异常检测系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例公开了一种服务器异常检测方法,参见图1所示,该方法包括:
步骤S11:提取目标服务器的当前行为的统计特征,得到待检验统计特征。
本实施例中,上述统计特征是统计学的基本概念之一。统计特征具体可以包括数量特征和属性特征。其中,数量特征可以直接用数值来表示,可以包括但不限于服务器访问指定目的IP的次数和服务器每天外发的数据量大小。属性特征不能直接用数值来表示,可以包括但不限于服务器是否访问了可疑ip和服务器是否打开了高危端口。
步骤S12:计算待检验统计特征与基准统计特征之间的相异度;其中,基准统计特征为预先对目标服务器的正常行为进行统计特征提取处理后得到的特征。
本实施例在提取出上述待检验统计特征之后,将会计算待检验统计特征与基准统计特征之间的相异度。其中,上述基准统计特征是指预先对目标服务器的正常行为进行统计特征提取处理之后得到的统计特征,也即,上述基准统计特征是用来表征目标服务器的正常行为的。同理,如果目标服务器的当前行为是一种异常行为,则意味着上述待检验统计特征是一种表征目标服务器的异常行为的特征。
可以理解的是,当上述计算出来的相异度越大,则表明上述待检验统计特征与基准统计特征之间的差别较大,也即意味着目标服务器当前处于异常状态的可能性较高,同理,若上述相异度较小,则表明上述待检验统计特征与基准统计特征之间的差别较小,也即意味着目标服务器当前处于正常状态的可能性较高。
步骤S13:判断相异度是否大于预设阈值,得到相应的判断结果。
步骤S14:利用判断结果确定当前目标服务器是否处于异常状态。
可见,本发明实施例预先针对目标服务器的正常行为进行统计特征的提取处理,以得到基准统计特征;为了确定当前服务器是否处于异常状态,本发明会对目标服务器的当前行为的统计特征进行提取,从而得到待检验统计特征,接着计算待检验统计特征与基准统计特征之间的相异度,然后便可利用该相异度与预设阈值之间的比较结果来确定出当前目标服务器所处的状态。由于服务器不论是在受到已知的还是未知的黑客攻击时,其自身行为所呈现出来的统计特征与正常状态下的行为统计特征存在明显的差异,本发明实施例正是基于上述两者之间的差异性,来实现在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态的目的,从而有利于人们能够及时地采取相应的应对措施来减少服务器的损失。
本发明实施例公开了一种具体的服务器异常检测方法,参见图2所示,该方法包括:
步骤S21:对目标服务器在当前外连场景下的行为进行统计特征的提取,得到待检验统计特征。
其中,上述外连场景具体可以包括但不限于端口扫描场景和/或IP扫描场景和/或数据收集场景和/或数据外发场景和/或Dos攻击场景(Dos,即Denial of Service)。
需要说明的是,在使用本实施例中的检测方法来对服务器进行异常检测之前,可以先利用基于防火墙规则匹配的防御技术,对目标服务器展开安全保护,也即相当于将基于防火墙规则匹配的防御技术作为第一道防线,这道防线能够对由已知类型的入侵行为所引起的服务器异常事件进行有效检测,当这道防线被未知的入侵行为突破后,便可使用本实施例中公开的基于统计特征的检测方法来对服务器进行异常检测。
进一步的,上述步骤S21中,对目标服务器在当前外连场景下的行为进行统计特征的提取,得到待检验统计特征的过程,具体可以包括下面步骤S211至S213:
步骤S211:获取与目标服务器的当前运行过程对应的日志流数据;
步骤S212:利用日志流数据,对当前目标服务器进行实例化处理,得到相应的服务器实例化对象;
步骤S213:从服务器实例化对象中分别提取出与外连场景中的每种场景一一对应的统计特征,得到待检验统计特征。
例如,当上述外连场景包括端口扫描场景、IP扫描场景、数据收集场景、数据外发场景和Dos攻击场景,则经过上述步骤S213处理之后所得到的待检验统计特征中便相应地包含端口扫描特征、IP扫描特征、数据收集特征、数据外发特征和Dos攻击特征。上述基于分场景的统计特征提取过程,能够使得最终得到的特征向量的维度更低,从而免去了或简化了降维的计算量,由此有利于提升运算速度。
步骤S22:计算待检验统计特征与基准统计特征之间的欧氏距离,得到第一欧式距离,然后利用第一欧式距离确定待检验统计特征与基准统计特征之间的相异度。
可以理解的是,上述步骤S22中,待检验统计特征所对应的外连场景与基准统计特征所对应的外连场景是相一致的。例如,若上述待检验统计特征具体是Dos攻击场景下的待检验统计特征,则上述基准统计特征也需要是Dos攻击场景下的基准统计特征。同理,若上述待检验统计特征具体是IP扫描场景以及Dos攻击场景下的待检验统计特征,则上述基准统计特征也需要是IP扫描场景以及Dos攻击场景下的基准统计特征。
另外需要说明的是,上述确定相异度的过程具体可以是基于任一种外连场景下的待检验统计特征与基准统计特征来完成的,也可以是基于任意几种外连场景下的待检验统计特征与基准统计特征来完成的。如果是基于任一种外连场景下的待检验统计特征与基准统计特征来计算出上述相异度,则后续便可更为准确的确定出服务器的异常类型。
本实施例中,第一欧式距离的数值越大,表明待检验统计特征与基准统计特征之间的差异便越大,由此可知,本实施例中第一欧式距离与最终确定下来的相异度之间呈正相关关系。
进一步的,上述步骤S22中,计算待检验统计特征与基准统计特征之间的欧氏距离,得到第一欧式距离的过程,具体可以包括下面步骤S221至S222:
步骤S221:分别计算待检验统计特征与N个基准统计特征之间的欧式距离,得到相应的N个欧式距离;其中,N为正整数;
步骤S222:对N个欧式距离进行求平均处理,得到第一欧氏距离;
其中,上述N个基准统计特征为预先对目标服务器在N次不同的正常运行过程中的行为进行统计特征提取处理后得到的特征。例如,从N个运行周期的每个周期里均挑选出1次正常运行过程,从而确定出N次正常运行过程,然后分别对上述N次正常运行过程的行为进行统计特征提取处理,从而得到上述N个基准统计特征。其中,上述N个运行周期可以是N天,当然也可以是N个月或N小时等。
另外,需要指出的是,由于在不同的外连场景下的统计特征的取值范围之间相差较大,所以,在计算待检验统计特征与基准统计特征之间的相异度之前,还需要先对待检验统计特征与基准统计特征进行归一化处理。其中,本实施例具体可以利用离差标准化方法来对待检验统计特征与基准统计特征进行归一化处理,以将原始的数值映射到0和1之间。
本实施例中,具体可以通过以下公式来确定上述相异度:
且,
式中,Score表示待检验统计特征与上述N个基准统计特征之间的相异度,T[i]表示上述N个基准统计特征中的第i个基准统计特征,X表示待检验统计特征,m表示任一统计特征的维度。
步骤S23:判断上述相异度是否大于预设阈值,得到相应的判断结果。
需要进一步指出的是,上述预设阈值的确定过程,具体可以包括下面步骤S01至S03:
步骤S01:分别计算K个基准统计特征中每两个基准统计特征之间的欧式距离,得到相应的个欧氏距离;其中,K为不小于2的整数;
步骤S02:对个欧氏距离进行求平均处理,得到第二欧式距离;
步骤S03:利用第二欧式距离确定预设阈值;
其中,上述K个基准统计特征为预先对目标服务器在K次不同的正常运行过程中的行为进行统计特征提取处理后得到的特征。
可以理解的是,本实施例中,上述第二欧式距离与上述预设阈值之间呈正相关关系。
步骤S24:若判断结果为相异度大于预设阈值,则判定当前目标服务器处于异常状态。
步骤S25:若判断结果为相异度小于或等于预设阈值,则判定当前目标服务器处于正常状态。
另外,在判定出当前目标服务器处于正常状态的情况下,本实施例还可以进一步利用待检验统计特征对基准统计特征进行更新处理。
本发明实施例公开了一种具体的服务器异常检测方法,参见图3所示,该方法包括:
步骤S31:对目标服务器在当前外连场景下的行为进行统计特征的提取,得到待检验统计特征。
其中,上述外连场景具体可以包括但不限于端口扫描场景和/或IP扫描场景和/或数据收集场景和/或数据外发场景和/或Dos攻击场景。
步骤S32:计算待检验统计特征与基准统计特征之间的欧氏距离,得到第一欧式距离,然后利用第一欧式距离确定待检验统计特征与基准统计特征之间的相异度。
步骤S33:判断上述相异度是否大于预设阈值,得到相应的判断结果。
关于上述步骤S31至S33的更加具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
步骤S34:若判断结果为相异度大于预设阈值,则对预设的白名单进行查询,以确定白名单记录的服务器中是否包含目标服务器,若是,则判定当前目标服务器处于正常状态,若否,则判定当前目标服务器处于异常状态。
步骤S35:若判断结果为相异度小于或等于预设阈值,则判定当前目标服务器处于正常状态。
另外,在判定出当前目标服务器处于正常状态的情况下,本实施例还可以进一步利用待检验统计特征对基准统计特征进行更新处理。
相应的,本发明实施例公开了一种服务器异常检测系统,参见图4所示,该系统包括:
特征提取模块11,用于提取目标服务器的当前行为的统计特征,得到待检验统计特征;
相异度计算模块12,用于计算待检验统计特征与基准统计特征之间的相异度;其中,基准统计特征为预先对目标服务器的正常行为进行统计特征提取处理后得到的特征;
相异度判断模块13,用于判断相异度是否大于预设阈值,得到相应的判断结果;
状态确定模块14,用于利用判断结果确定当前目标服务器是否处于异常状态。
可见,本发明实施例预先针对目标服务器的正常行为进行统计特征的提取处理,以得到基准统计特征;为了确定当前服务器是否处于异常状态,本发明会对目标服务器的当前行为的统计特征进行提取,从而得到待检验统计特征,接着计算待检验统计特征与基准统计特征之间的相异度,然后便可利用该相异度与预设阈值之间的比较结果来确定出当前目标服务器所处的状态。由于服务器不论是在受到已知的还是未知的黑客攻击时,其自身行为所呈现出来的统计特征与正常状态下的行为统计特征存在明显的差异,本发明实施例正是基于上述两者之间的差异性,来实现在未知的黑客技术正在入侵服务器的情况下及时地检测出当前服务器处于异常状态的目的,从而有利于人们能够及时地采取相应的应对措施来减少服务器的损失。
其中,上述特征提取模块,具体用于对目标服务器在当前外连场景下的行为进行统计特征的提取,得到待检验统计特征;
其中,外连场景包括端口扫描场景和/或IP扫描场景和/或数据收集场景和/或数据外发场景和/或Dos攻击场景。
本实施例中的服务器异常检测系统,还可以进一步包括:
事前防御模块,用于利用基于防火墙规则匹配的防御技术,对目标服务器展开安全保护。
也即,在基于统计特征来对服务器进行异常检测之前,可以先利用基于防火墙规则匹配的防御技术,对目标服务器展开安全保护,也即相当于将基于防火墙规则匹配的防御技术作为第一道防线,这道防线能够对由已知类型的入侵行为所引起的服务器异常事件进行有效检测,当这道防线被未知的入侵行为突破后,便可基于统计特征来对服务器进行异常检测。
另外,上述相异度计算模块,具体可以包括距离计算单元和相异度确定单元;其中,
距离计算单元,用于计算待检验统计特征与基准统计特征之间的欧氏距离,得到第一欧式距离;
相异度确定单元,用于利用第一欧式距离确定相异度。
本实施例中,第一欧式距离的数值越大,表明待检验统计特征与基准统计特征之间的差异便越大,由此可知,本实施例中第一欧式距离与最终确定下来的相异度之间呈正相关关系。
在一种具体实施方式中,上述状态确定模块,具体可以包括第一判定单元和第二判定单元;其中,
第一判定单元,用于当判断结果为相异度大于预设阈值,则判定当前目标服务器处于异常状态;
第二判定单元,用于当判断结果为相异度小于或等于预设阈值,则判定当前目标服务器处于正常状态。
在另一种具体实施方式中,上述状态确定模块,具体可以包括第三判定单元和第四判定单元;其中,
第三判定单元,用于当判断结果为相异度大于预设阈值,则对预设的白名单进行查询,以确定白名单记录的服务器中是否包含目标服务器,若是,则判定当前目标服务器处于正常状态,若否,则判定当前目标服务器处于异常状态;
第四判定单元,用于当判断结果为相异度小于或等于预设阈值,则判定当前目标服务器处于正常状态。
关于上述服务器异常检测系统中的各个模块和单元更加具体的工作过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种服务器异常检测方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.一种服务器异常检测方法,其特征在于,包括:
提取目标服务器的当前行为的统计特征,得到待检验统计特征;
计算所述待检验统计特征与基准统计特征之间的相异度;其中,所述基准统计特征为预先对所述目标服务器的正常行为进行统计特征提取处理后得到的特征;
判断所述相异度是否大于预设阈值,得到相应的判断结果;
利用所述判断结果确定当前所述目标服务器是否处于异常状态。
2.根据权利要求1所述的服务器异常检测方法,其特征在于,所述提取目标服务器的当前行为的统计特征,得到待检验统计特征的过程,包括:
对所述目标服务器在当前外连场景下的行为进行统计特征的提取,得到所述待检验统计特征;
其中,所述外连场景包括端口扫描场景和/或IP扫描场景和/或数据收集场景和/或数据外发场景和/或Dos攻击场景。
3.根据权利要求2所述的服务器异常检测方法,其特征在于,所述对所述目标服务器在当前外连场景下的行为进行统计特征的提取,得到所述待检验统计特征的过程,包括:
获取与所述目标服务器的当前运行过程对应的日志流数据;
利用所述日志流数据,对当前所述目标服务器进行实例化处理,得到相应的服务器实例化对象;
从所述服务器实例化对象中分别提取出与所述外连场景中的每种场景一一对应的统计特征,得到所述待检验统计特征。
4.根据权利要求1所述的服务器异常检测方法,其特征在于,所述计算所述待检验统计特征与基准统计特征之间的相异度的过程,包括:
计算所述待检验统计特征与所述基准统计特征之间的欧氏距离,得到第一欧式距离;
利用所述第一欧式距离确定所述相异度。
5.根据权利要求4所述的服务器异常检测方法,其特征在于,所述计算所述待检验统计特征与所述基准统计特征之间的欧氏距离,得到第一欧式距离的过程,包括:
分别计算所述待检验统计特征与N个基准统计特征之间的欧式距离,得到相应的N个欧式距离;其中,N为正整数;
对所述N个欧式距离进行求平均处理,得到所述第一欧氏距离;
其中,所述N个基准统计特征为预先对所述目标服务器在N次不同的正常运行过程中的行为进行统计特征提取处理后得到的特征。
6.根据权利要求1所述的服务器异常检测方法,其特征在于,所述预设阈值的确定过程,包括:
分别计算K个基准统计特征中每两个基准统计特征之间的欧式距离,得到相应的个欧氏距离;其中,K为不小于2的整数;
对所述个欧氏距离进行求平均处理,得到第二欧式距离;
利用所述第二欧式距离确定所述预设阈值;
其中,所述K个基准统计特征为预先对所述目标服务器在K次不同的正常运行过程中的行为进行统计特征提取处理后得到的特征。
7.根据权利要求1所述的服务器异常检测方法,其特征在于,还包括:
利用基于防火墙规则匹配的防御技术,对所述目标服务器展开安全保护。
8.根据权利要求1所述的服务器异常检测方法,其特征在于,还包括:
若利用所述判断结果确定出当前所述目标服务器处于正常状态,则利用所述待检验统计特征对所述基准统计特征进行更新处理。
9.根据权利要求1至8任一项所述的服务器异常检测方法,其特征在于,所述利用所述判断结果确定当前所述目标服务器是否处于异常状态的过程,包括:
若所述判断结果为所述相异度大于所述预设阈值,则判定当前所述目标服务器处于异常状态;
若所述判断结果为所述相异度小于或等于所述预设阈值,则判定当前所述目标服务器处于正常状态。
10.根据权利要求1至8任一项所述的服务器异常检测方法,其特征在于,所述利用所述判断结果确定当前所述目标服务器是否处于异常状态的过程,包括:
若所述判断结果为所述相异度大于所述预设阈值,则对预设的白名单进行查询,以确定所述白名单记录的服务器中是否包含所述目标服务器,若是,则判定当前所述目标服务器处于正常状态,若否,则判定当前所述目标服务器处于异常状态;
若所述判断结果为所述相异度小于或等于所述预设阈值,则判定当前所述目标服务器处于正常状态。
11.一种服务器异常检测系统,其特征在于,包括:
特征提取模块,用于提取目标服务器的当前行为的统计特征,得到待检验统计特征;
相异度计算模块,用于计算所述待检验统计特征与基准统计特征之间的相异度;其中,所述基准统计特征为预先对所述目标服务器的正常行为进行统计特征提取处理后得到的特征;
相异度判断模块,用于判断所述相异度是否大于预设阈值,得到相应的判断结果;
状态确定模块,用于利用所述判断结果确定当前所述目标服务器是否处于异常状态。
12.根据权利要求11所述的服务器异常检测系统,其特征在于,
所述特征提取模块,具体用于对所述目标服务器在当前外连场景下的行为进行统计特征的提取,得到所述待检验统计特征;
其中,所述外连场景包括端口扫描场景和/或IP扫描场景和/或数据收集场景和/或数据外发场景和/或Dos攻击场景。
13.根据权利要求11所述的服务器异常检测系统,其特征在于,所述相异度计算模块,包括:
距离计算单元,用于计算所述待检验统计特征与所述基准统计特征之间的欧氏距离,得到第一欧式距离;
相异度确定单元,用于利用所述第一欧式距离确定所述相异度。
14.根据权利要求11所述的服务器异常检测系统,其特征在于,还包括:
事前防御模块,用于利用基于防火墙规则匹配的防御技术,对所述目标服务器展开安全保护。
15.根据权利要求11至14任一项所述的服务器异常检测系统,其特征在于,所述状态确定模块,包括:
第一判定单元,用于当所述判断结果为所述相异度大于所述预设阈值,则判定当前所述目标服务器处于异常状态;
第二判定单元,用于当所述判断结果为所述相异度小于或等于所述预设阈值,则判定当前所述目标服务器处于正常状态。
16.根据权利要求11至14任一项所述的服务器异常检测系统,其特征在于,所述状态确定模块,包括:
第三判定单元,用于当所述判断结果为所述相异度大于所述预设阈值,则对预设的白名单进行查询,以确定所述白名单记录的服务器中是否包含所述目标服务器,若是,则判定当前所述目标服务器处于正常状态,若否,则判定当前所述目标服务器处于异常状态;
第四判定单元,用于当所述判断结果为所述相异度小于或等于所述预设阈值,则判定当前所述目标服务器处于正常状态。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710546502.8A CN107204991A (zh) | 2017-07-06 | 2017-07-06 | 一种服务器异常检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710546502.8A CN107204991A (zh) | 2017-07-06 | 2017-07-06 | 一种服务器异常检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107204991A true CN107204991A (zh) | 2017-09-26 |
Family
ID=59910489
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710546502.8A Pending CN107204991A (zh) | 2017-07-06 | 2017-07-06 | 一种服务器异常检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107204991A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683670A (zh) * | 2018-05-21 | 2018-10-19 | 中国科学院计算机网络信息中心 | 基于网站应用系统访问的恶意流量识别方法及系统 |
| CN109284199A (zh) * | 2018-09-04 | 2019-01-29 | 深圳市宝德计算机系统有限公司 | 服务器异常处理方法、设备、以及处理器 |
| CN110266728A (zh) * | 2019-07-17 | 2019-09-20 | 杨鲲 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
| WO2019205300A1 (zh) * | 2018-04-26 | 2019-10-31 | 平安科技(深圳)有限公司 | Poc攻击检测方法、装置、计算机设备和存储介质 |
| CN111159702A (zh) * | 2019-12-12 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种进程名单生成方法和装置 |
| CN112100453A (zh) * | 2019-06-18 | 2020-12-18 | 深信服科技股份有限公司 | 一种字符串分布统计方法、系统、设备及计算机存储介质 |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB201220957D0 (en) * | 2012-11-21 | 2013-01-02 | Traffic Observation Via Man Ltd | Intrusion prevention and detection in a wireless network |
| CN103095711A (zh) * | 2013-01-18 | 2013-05-08 | 重庆邮电大学 | 一种针对网站的应用层DDoS攻击检测方法和防御系统 |
| CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
| CN103401849A (zh) * | 2013-07-18 | 2013-11-20 | 盘石软件(上海)有限公司 | 一种网站日志异常会话分析方法 |
| CN103412803A (zh) * | 2013-08-15 | 2013-11-27 | 华为技术有限公司 | 数据恢复的方法及装置 |
| CN103716313A (zh) * | 2013-12-24 | 2014-04-09 | 中国科学院信息工程研究所 | 一种用户隐私信息保护方法及系统 |
| CN104067561A (zh) * | 2012-01-24 | 2014-09-24 | 国际商业机器公司 | 通过使用web流量信息动态扫描web应用 |
| CN105323241A (zh) * | 2015-09-08 | 2016-02-10 | 中国民航大学 | 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法 |
| CN105653835A (zh) * | 2014-11-14 | 2016-06-08 | 北京宇航系统工程研究所 | 一种基于聚类分析的异常检测方法 |
| CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
| CN106415507A (zh) * | 2014-06-06 | 2017-02-15 | 日本电信电话株式会社 | 日志分析装置、攻击检测装置、攻击检测方法以及程序 |
| CN106506556A (zh) * | 2016-12-29 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量异常检测方法及装置 |
| CN106778259A (zh) * | 2016-12-28 | 2017-05-31 | 北京明朝万达科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法及系统 |
-
2017
- 2017-07-06 CN CN201710546502.8A patent/CN107204991A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104067561A (zh) * | 2012-01-24 | 2014-09-24 | 国际商业机器公司 | 通过使用web流量信息动态扫描web应用 |
| GB201220957D0 (en) * | 2012-11-21 | 2013-01-02 | Traffic Observation Via Man Ltd | Intrusion prevention and detection in a wireless network |
| CN103095711A (zh) * | 2013-01-18 | 2013-05-08 | 重庆邮电大学 | 一种针对网站的应用层DDoS攻击检测方法和防御系统 |
| CN103401849A (zh) * | 2013-07-18 | 2013-11-20 | 盘石软件(上海)有限公司 | 一种网站日志异常会话分析方法 |
| CN103368979A (zh) * | 2013-08-08 | 2013-10-23 | 电子科技大学 | 一种基于改进K-means算法的网络安全性验证装置 |
| CN103412803A (zh) * | 2013-08-15 | 2013-11-27 | 华为技术有限公司 | 数据恢复的方法及装置 |
| CN103716313A (zh) * | 2013-12-24 | 2014-04-09 | 中国科学院信息工程研究所 | 一种用户隐私信息保护方法及系统 |
| CN106415507A (zh) * | 2014-06-06 | 2017-02-15 | 日本电信电话株式会社 | 日志分析装置、攻击检测装置、攻击检测方法以及程序 |
| CN105653835A (zh) * | 2014-11-14 | 2016-06-08 | 北京宇航系统工程研究所 | 一种基于聚类分析的异常检测方法 |
| CN105323241A (zh) * | 2015-09-08 | 2016-02-10 | 中国民航大学 | 云计算中基于可用带宽欧氏距离的LDoS攻击检测方法 |
| CN106209893A (zh) * | 2016-07-27 | 2016-12-07 | 中国人民解放军信息工程大学 | 基于业务过程模型挖掘的内部威胁检测系统及其检测方法 |
| CN106778259A (zh) * | 2016-12-28 | 2017-05-31 | 北京明朝万达科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法及系统 |
| CN106506556A (zh) * | 2016-12-29 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络流量异常检测方法及装置 |
Non-Patent Citations (4)
| Title |
|---|
| 夏春艳: "《数据挖掘技术与应用》", 31 August 2014 * |
| 郭晓明: "《科技广场》", 30 June 2017 * |
| 陈明: "《互联网应用》", 31 January 2016 * |
| 陈燕、李桃迎: "《数据挖掘与聚类分析》", 30 November 2012 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019205300A1 (zh) * | 2018-04-26 | 2019-10-31 | 平安科技(深圳)有限公司 | Poc攻击检测方法、装置、计算机设备和存储介质 |
| CN108683670A (zh) * | 2018-05-21 | 2018-10-19 | 中国科学院计算机网络信息中心 | 基于网站应用系统访问的恶意流量识别方法及系统 |
| CN108683670B (zh) * | 2018-05-21 | 2021-08-03 | 中国科学院计算机网络信息中心 | 基于网站应用系统访问的恶意流量识别方法及系统 |
| CN109284199A (zh) * | 2018-09-04 | 2019-01-29 | 深圳市宝德计算机系统有限公司 | 服务器异常处理方法、设备、以及处理器 |
| CN112100453A (zh) * | 2019-06-18 | 2020-12-18 | 深信服科技股份有限公司 | 一种字符串分布统计方法、系统、设备及计算机存储介质 |
| CN112100453B (zh) * | 2019-06-18 | 2024-05-28 | 深信服科技股份有限公司 | 一种字符串分布统计方法、系统、设备及计算机存储介质 |
| CN110266728A (zh) * | 2019-07-17 | 2019-09-20 | 杨鲲 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
| CN110266728B (zh) * | 2019-07-17 | 2022-03-08 | 杨鲲 | 基于mqtt消息队列的安全防御及异常检测方法、装置及系统 |
| CN111159702A (zh) * | 2019-12-12 | 2020-05-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种进程名单生成方法和装置 |
| CN111159702B (zh) * | 2019-12-12 | 2022-02-18 | 绿盟科技集团股份有限公司 | 一种进程名单生成方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107204991A (zh) | 一种服务器异常检测方法及系统 | |
| CN106506556B (zh) | 一种网络流量异常检测方法及装置 | |
| CN110149345A (zh) | 一种基于报文序列预测的车载网络入侵检测方法 | |
| CN110445770A (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| CN104937886B (zh) | 日志分析装置、信息处理方法 | |
| CN106899435B (zh) | 一种面向无线入侵检测系统的复杂攻击识别方法 | |
| CN108289088A (zh) | 基于业务模型的异常流量检测系统及方法 | |
| CN106357622B (zh) | 基于软件定义网络的网络异常流量检测防御系统 | |
| CN104901971B (zh) | 对网络行为进行安全分析的方法和装置 | |
| CN112788008B (zh) | 一种基于大数据的网络安全动态防御系统及方法 | |
| CN106372662A (zh) | 安全帽佩戴的检测方法和装置、摄像头、服务器 | |
| KR101375813B1 (ko) | 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법 | |
| CN107770174A (zh) | 一种面向sdn网络的入侵防御系统和方法 | |
| CN109344617A (zh) | 一种物联网资产安全画像方法与系统 | |
| CN103140859B (zh) | 对计算机系统中的安全性的监控 | |
| CN113434866B (zh) | 仪表功能安全和信息安全策略的统一风险量化评估方法 | |
| CN110417772A (zh) | 攻击行为的分析方法及装置、存储介质、电子装置 | |
| CN109347807A (zh) | 一种基于信任度的差异化入侵防御方法 | |
| CN109951419A (zh) | 一种基于攻击链攻击规则挖掘的apt入侵检测方法 | |
| CN106470188A (zh) | 安全威胁的检测方法、装置以及安全网关 | |
| CN109889512A (zh) | 一种充电桩can报文的异常检测方法及装置 | |
| CN106790062A (zh) | 一种基于反向dns查询属性聚合的异常检测方法及系统 | |
| CN107623691A (zh) | 一种基于反向传播神经网络算法的DDoS攻击检测系统及方法 | |
| CN112671801B (zh) | 一种网络安全检测方法和系统 | |
| Sen et al. | Towards an approach to contextual detection of multi-stage cyber attacks in smart grids |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170926 |