CN110958274A - 服务器安全状态的检测方法、装置、电子设备及存储介质 - Google Patents
服务器安全状态的检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN110958274A CN110958274A CN201911421811.8A CN201911421811A CN110958274A CN 110958274 A CN110958274 A CN 110958274A CN 201911421811 A CN201911421811 A CN 201911421811A CN 110958274 A CN110958274 A CN 110958274A
- Authority
- CN
- China
- Prior art keywords
- score
- information
- uplink
- determining
- port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种服务器安全状态的检测方法,所述检测方法包括确定目标服务器的网络访问行为信息;其中,所述网络访问行为信息包括外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间;根据所述网络访问行为信息计算所述目标服务器的威胁发生概率;根据所述威胁发生概率确定所述目标服务器的安全状态。本申请能够提高服务器安全状态的检测准确度。本申请还公开了一种服务器安全状态的检测装置、一种电子设备及一种存储介质,具有以上有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种服务器安全状态的检测方法、装置、一种电子设备及一种存储介质。
背景技术
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证,提高网络安全能够避免信息泄露并实现业务正常运行。
相关技术中完全依靠人工肉眼的方式挖掘服务器的中存在的威胁,对于服务器的安全状态进行粗略评价,这种方式完全依靠工程师的经验,存在评估误差。
因此,如何提高服务器安全状态的检测准确度是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种服务器安全状态的检测方法、装置、一种电子设备及一种存储介质,能够提高服务器安全状态的检测准确度。
为解决上述技术问题,本申请提供一种服务器安全状态的检测方法,该服务器安全状态的检测方法包括:
确定目标服务器的网络访问行为信息;其中,所述网络访问行为信息包括外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间;
根据所述网络访问行为信息计算所述目标服务器的威胁发生概率;
根据所述威胁发生概率确定所述目标服务器的安全状态。
可选的,根据所述网络访问行为信息计算所述目标服务器的威胁发生概率包括:
根据所述外网连接区域所在的区域范围确定第一评分;
根据所述上下行流量信息计算上下行流量比例,确定所述上下行流量比例对应的第二评分;
根据所述端口开放信息确定所述目标服务器开放的端口种类,根据所述端口种类与预设端口种类的匹配程度确定第三评分;
判断所述最近活跃时间是否为预设时间得到判断结果,根据所述判断结果确定第四评分;
根据所述第一评分、所述第二评分、所述第三评分和/或所述第四评分确定所述威胁发生概率。
可选的,根据所述第一评分、所述第二评分、所述第三评分和/或所述第四评分确定所述威胁发生概率包括:
将所述第一评分、所述第二评分、所述第三评分和/或所述第四评分的和作为综合评分,根据所述综合评分确定所述威胁发生概率;或者,
根据外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间的对威胁影响的程度为外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间分配对应的权值;将所述第一评分、所述第二评分、所述第三评分和/或所述第四评分分别与相应权值进行加权求和得到加权值,根据所述加权值确定所述威胁发生概率。
可选的,所述第一评分、所述第二评分、所述第三评分和所述第四评分均大于0,所述综合评分与所述威胁发生概率正相关;
相应的,根据所述上下行流量信息计算上下行流量比例,确定所述上下行流量比例对应的第二评分包括:
根据所述上下行流量信息确定上行流量和下行流量,并将所述上行流量与所述下行流量的比值设置为所述上下行流量比例;
若所述上下行流量比例大于或等于1,将第一预设值作为所述第二评分;
若所述上下行流量比例小于1,将第二预设值作为所述第二评分;
其中,所述第一预设值大于所述第二预设值。
可选的,所述第一评分、所述第二评分、所述第三评分和所述第四评分均大于0,所述综合评分与所述威胁发生概率正相关;
相应的,根据所述端口开放信息确定所述目标服务器开放的端口种类,根据所述端口种类与预设端口种类的匹配程度确定第三评分包括:
根据所述端口开放信息确定所述目标服务器开放的端口种类;
确定所述目标服务器开放的端口种类为所述预设端口种类的数量占所有所述目标服务器开放的端口种类的端口比例;
根据所述端口比例确定所述第三评分;其中,所述端口比例与所述第三评分正相关。
可选的,所述第一评分、所述第二评分、所述第三评分和所述第四评分均大于0,所述综合评分与所述威胁发生概率正相关;
相应的,判断所述最近活跃时间是否为预设时间得到判断结果,根据所述判断结果确定第四评分包括:
判断所述最近活跃时间是否为预设时间;
若是,则将第三预设值作为所述第四评分;
若否,则将第四预设值作为所述第四评分;
其中,所述预设时间为系统更新时间和/或软件更新时间,第三预设值小于所述第四预设值。
可选的,还包括:
在人机交互界面按照所述威胁发生概率从大到小的顺序依次显示对应的目标服务器。
可选的,还包括:
在所述人机交互界面显示所述目标服务器的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间;
其中,所述应用流量分配信息包括应用名称和应用使用流量的对应关系,所述端口流量分配信息端口名称和端口流量的对应关系。
可选的,还包括:
接收可视化显示指令;
若所述可视化显示指令包括地域视角显示指令,以所述外网连接区域作为键值对所述人机交互界面中显示的信息执行聚合操作,得到每一种外网连接区域对应的源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间;
若所述可视化显示指令包括服务器视角显示指令,以所述目标服务器作为键值对所述人机交互界面中显示的信息执行聚合操作,得到每一目标服务器对应的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间。
可选的,还包括:
若接收到信息筛选指令,在所述人机交互界面上显示所述信息筛选指令对应的信息;其中,所述信息筛选指令包括外网连接区域筛选指令和/或上下行流量筛选指令;
若接收到信息排序指令,在所述人机交互界面上按照所述信息排序指令对应的排序方式显示对应的信息;其中,所述信息排序指令包括总流量大小排序指令、最近活跃时间排序指令和/或源IP数排序指令。
本申请还提供了一种服务器安全状态的检测装置,该服务器安全状态的检测装置包括:
评价信息确定模块,用于确定目标服务器的网络访问行为信息;其中,所述网络访问行为信息包括外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间;
威胁概率计算模块,用于根据所述网络访问行为信息计算所述目标服务器的威胁发生概率;
安全状态确定模块,用于根据所述威胁发生概率确定所述目标服务器的安全状态。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述服务器安全状态的检测方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述服务器安全状态的检测方法执行的步骤。
本申请提供了一种服务器安全状态的检测方法,包括确定目标服务器的网络访问行为信息;其中,所述网络访问行为信息包括外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间;根据所述网络访问行为信息计算所述目标服务器的威胁发生概率;根据所述威胁发生概率确定所述目标服务器的安全状态。
本申请首先确定目标服务器的外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间,由于当目标服务器不存在安全威胁时上述网络访问行为信息往往为常规值,当目标服务器存在安全威胁时网络访问行为信息会发生变化,因此结合上述网络访问行为可以计算目标服务器的威胁发生概率。在得到威胁发生概率的基础上可以确定目标服务器的安全状态。本申请的实施方式中基于具体的网络行为信息确定目标服务器的安全状态,不依赖运维人员的经验,因此能够提高服务器安全状态的检测准确度。本申请同时还提供了一种服务器安全状态的检测装置、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种服务器安全状态的检测方法的流程图;
图2为本申请实施例所提供的一种威胁发生概率的检测方法的流程图;
图3为本申请实施例所提供的一种服务器网络访问行为信息显示界面的示意图;
图4为本申请实施例所提供的一种服务器安全状态的检测装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种服务器安全状态的检测方法的流程图。
具体步骤可以包括:
S101:确定目标服务器的网络访问行为信息;
其中,本实施例可以应用于目标服务器、与多个服务器连接的监控设备,也可以应用于与其他服务器连接的服务器。本步骤不限定目标服务器的数量,网络访问行为信息可以为目标服务器在任意数量个时间段内的网络访问行为。具体的,本步骤中所提到的网络访问行为信息可以包括外网连接区域、上下行流量信息、端口开放信息和最近活跃时间中的任一项或任几项的组合。外网连接区域指目标服务器外联互联网时进行通信的其他设备所在的区域,作为一种可行的实施方式,外网连接区域可以为地理地区,也可以为IP地址。例如当服务器A与上海的客户端B传输信息时,服务器A的外网连接区域为上海。上下行流量信息指一段时间内目标服务器上行流量与下行流量。端口开放信息指目标服务器开放的端口。最近活跃时间为目标服务器最近一次与外网连接区域进行信息交互的时间。具体的,上述提到的上下行流量信息、端口开放信息和最近活跃时间为目标服服务器访问外网连接区域的过程中产生或同级的信息。
作为一种可行的实施方式,本实施例可以向获取目标服务器的南北向流量,根据南北向流量确定目标服务器的网络访问行为信息,具体的本实施例可以利用流量探针获取南北向流量。南北向流量为客户端和服务器之间的流量。
作为另一种可行的实施方式,在S101之前还可以存在通过自动或手动或其他方式识别出网络中的目标服务器的操作,进而确定目标服务器的网络访问行为信息。比如,可以通过流量中与该目标服务器对应的标识信息识别目标服务器。
S102:根据网络访问行为信息计算目标服务器的威胁发生概率;
其中,在得到了目标设备的网络访问行为信息之后,本步骤可以根据网络访问行为中的各项信息进行相应的计算进而确定目标服务器的威胁发生概率。具体的,本实施例可以分别计算外网连接区域、上下行流量信息、端口开放信息和最近活跃时间对于威胁发生的贡献程度,进而综合确定威胁发生概率。本实施例中的目标服务器可以为内网服务器,内网服务器除了系统更新或软件更新外,通常较少主动外连,因此一旦有大量的主动外连,便可一定程度上作为进一步挖掘未知威胁的重要线索,如果同时还有上行流量大幅度大于下行流量等其他行为特征,则确定性会更加明确。
可以理解的是,不同的外网连接区域可以存在其对应的对于威胁发生的贡献程度。例如在通常的企业内网中,除了系统或软件版本更新和相关信息获取之外,服务器是很少主动外连互联网的。对于部分业务服务的地域范围较为明确、主要聚焦在国内的客户,除了系统和软件的更新,通常来说服务器不会主动外连到境外网络。可以判定外网连接区域在境外时存在安全威胁的概率大于外网连接区域在境内时存在威胁的概率。进一步的,服务器在系统或软件更新时或获取更新信息时,通常是下行流量大小大幅度高于上行流量大小,当目标服务器的上行流量大于下行流量时存在威胁的概率大于上行流量小于下行流量时存在安全威胁的概率。在大部分企业内网中,服务器的应用和端口使用情况相对明确,比如web服务器一般只开放80、8080、443等http类的端口,当目标服务器开放了非常用端口时可以判定目标服务器存在一定的安全威胁。进一步的,本实施例中的网络访问行为信息还可以包括应用开放信息,当目标服务器启动了了非常用应用时可以判定目标服务器存在一定的安全威胁。
S103:根据所述威胁发生概率确定所述目标服务器的安全状态。
其中,本步骤建立在已经确定了威胁发生概率的基础上,本实施例可以预先设置每一种安全状态与威胁发生概率区间的对应关系,可以基于该对应关系确定威胁发生概率所在区间对应的目标服务器安全状态。
本实施例首先确定目标服务器的外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间,由于当目标服务器不存在安全威胁时上述网络访问行为信息往往为常规值,当目标服务器存在安全威胁时网络访问行为信息会发生变化,因此结合上述网络访问行为可以计算目标服务器的威胁发生概率。在得到威胁发生概率的基础上可以确定目标服务器的安全状态。本实施例的实施方式中基于具体的网络行为信息确定目标服务器的安全状态,不依赖运维人员的经验,因此能够提高服务器安全状态的检测准确度,也能够提升未知威胁的检测效率。
请参见图2,图2为本申请实施例所提供的一种威胁发生概率的检测方法的流程图,本实施例是对图1对应实施例中S102的进一步介绍,可以将本实施例与图1对应的实施例相结合得到进一步的实施方式,本实施例可以包括以下步骤:
S201:根据所述外网连接区域所在的区域范围确定第一评分。
其中,本实施例可以为每一区域范围设置对应的第一评分。
S202:根据所述上下行流量信息计算上下行流量比例,确定所述上下行流量比例对应的第二评分;
其中,本实施例可以根据上下行流量比例是否大于1确定第二评分,也可以根据上下行流量比例具体的数值确定第二评分。
S203:根据所述端口开放信息确定所述目标服务器开放的端口种类,根据所述端口种类与预设端口种类的匹配程度确定第三评分。
其中,本实施例可以根据预设端口种类占目标服务器开放的端口种类的比例确定第三评分。
S204:判断所述最近活跃时间是否为预设时间得到判断结果,根据所述判断结果确定第四评分;
S205:根据所述第一评分、所述第二评分、所述第三评分和/或所述第四评分确定所述威胁发生概率。
其中,本实施例中S201、S202、S203、S204的执行先后顺序可以进行调整。作为一种可行的实施方式,本实施例可以将所述第一评分、所述第二评分、所述第三评分和所述第四评分中任一项评分或任几项评分的和作为综合评分,进而根据所述综合评分确定所述威胁发生概率。作为另一种可行的实施方式,本实施例可以根据外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间的对威胁影响的程度为外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间分配对应的权值;将所述第一评分、所述第二评分、所述第三评分和所述第四评分中任一项评分或任几项评分分别与相应权值进行加权求和得到加权值,根据所述加权值确定所述威胁发生概率。
进一步的,上述实施例中所提到的第一评分、第二评分、第三评分和第四评分均大于0,所述综合评分与所述威胁发生概率正相关。
相应的,S202中确定第二评分的过程可以包括以下步骤:根据所述上下行流量信息确定上行流量和下行流量,并将所述上行流量与所述下行流量的比值设置为所述上下行流量比例;若所述上下行流量比例大于或等于1,将第一预设值作为所述第二评分;若所述上下行流量比例小于1,将第二预设值作为所述第二评分;其中,所述第一预设值大于所述第二预设值。
相应的,S203中确定第三评分的过程可以包括以下步骤:根据所述端口开放信息确定所述目标服务器开放的端口种类;确定所述目标服务器开放的端口种类为所述预设端口种类的数量占所有所述目标服务器开放的端口种类的端口比例;根据所述端口比例确定所述第三评分;其中,所述端口比例与所述第三评分正相关。
相应的,S204中确定第四评分的步骤可以包括以下步骤;判断所述最近活跃时间是否为预设时间;若是,则将第三预设值作为所述第四评分;若否,则将第四预设值作为所述第四评分;其中,所述预设时间为系统更新时间和/或软件更新时间,第三预设值小于所述第四预设值。
作为对于图1对应实施例的进一步介绍,在得到多个目标服务器的威胁发生概率之后,还可以在人机交互界面按照所述威胁发生概率从大到小的顺序依次显示对应的目标服务器。具体的,本实施例还可以在所述人机交互界面显示所述目标服务器的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间;其中,所述应用流量分配信息包括应用名称和应用使用流量的对应关系,所述端口流量分配信息端口名称和端口流量的对应关系。本实施例将上述信息进行加权可视,以便工作人员高效地挖掘出相关的未知威胁,并进行快速的响应处置,提升企业的网络安全本实施例可以基于地域视角和服务器视角两个维度在人机交互界面显示相关信息,地域视角的作用在于让用户直观、快速地看到服务器外连了哪些国家或地区,从最易于理解的角度切入,让客户快速做出下一步的决策。在人机交互界面中还可以存在了诸如快速过滤“境内/境外”、“上行大于下行”的筛选工具,以及对流量大小、活跃时间、源IP数灵活排序的工具,以进一步辅助分析师能够更加高效的完成未知威胁的挖掘工作。通过上述方法能够将外连地区、总流量大小、上下行流量大小及占比、应用和端口及相应的流量大小、最近活跃时间进行可视化展示。通过对上述服务器外连行为内容的必要可视,来辅助分析师更高效地发现潜在的未知威胁。
作为一种可行的实施方式,在将所有的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间:显示至人机交互界面之后,还可以通过可视化显示指令来自定义人机交互界面中显示的内容。例如若所述可视化显示指令包括地域视角显示指令,以所述外网连接区域作为键值对所述人机交互界面中显示的信息执行聚合操作,得到每一种外网连接区域对应的源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间。例如若所述可视化显示指令包括服务器视角显示指令,以所述目标服务器作为键值对所述人机交互界面中显示的信息执行聚合操作,得到每一目标服务器对应的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间。具体的,以所述外网连接区域作为键值对所述人机交互界面中显示的信息执行聚合操作指,将同一外网连接区域对应的源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间进行聚合。以所述目标服务器作为键值对所述人机交互界面中显示的信息执行聚合操作指,将同一外网连接区域对应的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间进行聚合。
作为一种可行的实施方式,在将所有的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间:显示至人机交互界面之后,还可以通过信息筛选指令或信息排序指令来筛选需要显示的内容。例如,若接收到信息筛选指令,在所述人机交互界面上显示所述信息筛选指令对应的信息;其中,所述信息筛选指令包括外网连接区域筛选指令和/或上下行流量筛选指令。例如,若接收到信息排序指令,在所述人机交互界面上按照所述信息排序指令对应的排序方式显示对应的信息;其中,所述信息排序指令包括总流量大小排序指令、最近活跃时间排序指令和/或源IP数排序指令。
请参见图3,图3为本申请实施例所提供的一种服务器网络访问行为信息显示界面的示意图,在地域视角下可以查看访问每一外网连接区域中所有服务器的源IP数、总流量、上下行流量、使用频率前10名的应用名称及其使用的流量、使用频率前10名的协议端口名称及其使用的流量以及最近活跃时间。当然在服务器视角下可以查询每一服务器访问的所有外网连接区域及其使用的流量,源IP数、总流量、上下行流量、使用频率前10名的应用名称及其使用的流量、使用频率前10名的协议端口名称及其使用的流量以及最近活跃时间。
下面通过在实际应用中的实施例说明图1对应实施例中S102中确定威胁发生概率实施方式。
若网络访问行为信息包括以下五种情况:
情况1:外网连接区域为国内,上行流量小于下行流量,仅开放了部分常见端口,最近活跃时间符合系统或软件更新设定时间。
情况2:外网连接区域为国外,上行流量小于下行流量,仅开放了部分常见端口,最近活跃时间符合系统或软件更新设定时间。
情况3:外网连接区域为国外,上行流量大于下行流量,仅开放了部分常见端口,最近活跃时间符合系统或软件更新设定时间。
情况4:外网连接区域为国外,上行流量大于下行流量,开放了非常见端口,最近活跃时间符合系统或软件更新设定时间。
情况5:外网连接区域为国外,上行流量大于下行流量,开放了非常见端口,最近活跃时间不符合系统或软件更新设定时间。
以上五种情况按照威胁发生概率从低到高的顺序分别为:情况1、情况2、情况3、情况4、情况5。
请参见图4,图4为本申请实施例所提供的一种服务器安全状态的检测装置的结构示意图;
该装置可以包括:
评价信息确定模块100,用于确定目标服务器的网络访问行为信息;其中,所述网络访问行为信息包括外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间;
威胁概率计算模块200,用于根据所述网络访问行为信息计算所述目标服务器的威胁发生概率;
安全状态确定模块300,用于根据所述威胁发生概率确定所述目标服务器的安全状态。
本实施例首先确定目标服务器的外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间,由于当目标服务器不存在安全威胁时上述网络访问行为信息往往为常规值,当目标服务器存在安全威胁时网络访问行为信息会发生变化,因此结合上述网络访问行为可以计算目标服务器的威胁发生概率。在得到威胁发生概率的基础上可以确定目标服务器的安全状态。本实施例的实施方式中基于具体的网络行为信息确定目标服务器的安全状态,不依赖运维人员的经验,因此能够提高服务器安全状态的检测准确度。
可选的,威胁概率计算模块200包括:
第一评分确定单元,用于根据所述外网连接区域所在的区域范围确定第一评分;
第二评分确定单元,用于根据所述上下行流量信息计算上下行流量比例,确定所述上下行流量比例对应的第二评分;
第三评分确定单元,用于根据所述端口开放信息确定所述目标服务器开放的端口种类,根据所述端口种类与预设端口种类的匹配程度确定第三评分;
第四评分确定单元,用于判断所述最近活跃时间是否为预设时间得到判断结果,根据所述判断结果确定第四评分;
概率确定单元,用于根据所述第一评分、所述第二评分、所述第三评分和/或所述第四评分确定所述威胁发生概率。
进一步的,概率确定单元包括:
第一计算子单元,用于将所述第一评分、所述第二评分、所述第三评分和/或所述第四评分的和作为综合评分,根据所述综合评分确定所述威胁发生概率;或者,
第二计算子单元,用于根据外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间的对威胁影响的程度为外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间分配对应的权值;将所述第一评分、所述第二评分、所述第三评分和/或所述第四评分分别与相应权值进行加权求和得到加权值,根据所述加权值确定所述威胁发生概率。
进一步的,所述第一评分、所述第二评分、所述第三评分和所述第四评分均大于0,所述综合评分与所述威胁发生概率正相关;
进一步的,第二评分确定单元,用于根据所述上下行流量信息确定上行流量和下行流量,并将所述上行流量与所述下行流量的比值设置为所述上下行流量比例;若所述上下行流量比例大于或等于1,将第一预设值作为所述第二评分;若所述上下行流量比例小于1,将第二预设值作为所述第二评分;其中,所述第一预设值大于所述第二预设值。
进一步的,第三评分单元用于根据所述端口开放信息确定所述目标服务器开放的端口种类;用于确定所述目标服务器开放的端口种类为所述预设端口种类的数量占所有所述目标服务器开放的端口种类的端口比例;用于根据所述端口比例确定所述第三评分;其中,所述端口比例与所述第三评分正相关。
进一步的,第四评分单元用于判断所述最近活跃时间是否为预设时间;若是,则将第三预设值作为所述第四评分;若否,则将第四预设值作为所述第四评分;其中,所述预设时间为系统更新时间和/或软件更新时间,第三预设值小于所述第四预设值。
进一步的,还包括:
威胁概率显示模块,用于在人机交互界面按照所述威胁发生概率从大到小的顺序依次显示对应的目标服务器。
进一步的,还包括:
信息显示模块,用于在所述人机交互界面显示所述目标服务器的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间;其中,所述应用流量分配信息包括应用名称和应用使用流量的对应关系,所述端口流量分配信息端口名称和端口流量的对应关系。
进一步的,还包括:
指令接收模块,用于接收可视化显示指令;
地域视角显示单元,用于若所述可视化显示指令包括地域视角显示指令,以所述外网连接区域作为键值对所述人机交互界面中显示的信息执行聚合操作,得到每一种外网连接区域对应的源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间;
服务器视角显示单元,用于若所述可视化显示指令包括服务器视角显示指令,以所述目标服务器作为键值对所述人机交互界面中显示的信息执行聚合操作,得到每一目标服务器对应的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间。
进一步的,还包括:
信息筛选模块,用于若接收到信息筛选指令,在所述人机交互界面上显示所述信息筛选指令对应的信息;其中,所述信息筛选指令包括外网连接区域筛选指令和/或上下行流量筛选指令;
信息排序模块,用于若接收到信息排序指令,在所述人机交互界面上按照所述信息排序指令对应的排序方式显示对应的信息;其中,所述信息排序指令包括总流量大小排序指令、最近活跃时间排序指令和/或源IP数排序指令。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (13)
1.一种服务器安全状态的检测方法,其特征在于,包括:
确定目标服务器的网络访问行为信息;其中,所述网络访问行为信息包括外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间;
根据所述网络访问行为信息计算所述目标服务器的威胁发生概率;
根据所述威胁发生概率确定所述目标服务器的安全状态。
2.根据权利要求1所述检测方法,其特征在于,根据所述网络访问行为信息计算所述目标服务器的威胁发生概率包括:
根据所述外网连接区域所在的区域范围确定第一评分;
根据所述上下行流量信息计算上下行流量比例,确定所述上下行流量比例对应的第二评分;
根据所述端口开放信息确定所述目标服务器开放的端口种类,根据所述端口种类与预设端口种类的匹配程度确定第三评分;
判断所述最近活跃时间是否为预设时间得到判断结果,根据所述判断结果确定第四评分;
根据所述第一评分、所述第二评分、所述第三评分和/或所述第四评分确定所述威胁发生概率。
3.根据权利要求2所述检测方法,其特征在于,根据所述第一评分、所述第二评分、所述第三评分和/或所述第四评分确定所述威胁发生概率包括:
将所述第一评分、所述第二评分、所述第三评分和/或所述第四评分的和作为综合评分,根据所述综合评分确定所述威胁发生概率;或者,
根据外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间的对威胁影响的程度为外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间分配对应的权值;将所述第一评分、所述第二评分、所述第三评分和/或所述第四评分分别与相应权值进行加权求和得到加权值,根据所述加权值确定所述威胁发生概率。
4.根据权利要求2所述检测方法,其特征在于,所述第一评分、所述第二评分、所述第三评分和所述第四评分均大于0,所述综合评分与所述威胁发生概率正相关;
相应的,根据所述上下行流量信息计算上下行流量比例,确定所述上下行流量比例对应的第二评分包括:
根据所述上下行流量信息确定上行流量和下行流量,并将所述上行流量与所述下行流量的比值设置为所述上下行流量比例;
若所述上下行流量比例大于或等于1,将第一预设值作为所述第二评分;
若所述上下行流量比例小于1,将第二预设值作为所述第二评分;
其中,所述第一预设值大于所述第二预设值。
5.根据权利要求2所述检测方法,其特征在于,所述第一评分、所述第二评分、所述第三评分和所述第四评分均大于0,所述综合评分与所述威胁发生概率正相关;
相应的,根据所述端口开放信息确定所述目标服务器开放的端口种类,根据所述端口种类与预设端口种类的匹配程度确定第三评分包括:
根据所述端口开放信息确定所述目标服务器开放的端口种类;
确定所述目标服务器开放的端口种类为所述预设端口种类的数量占所有所述目标服务器开放的端口种类的端口比例;
根据所述端口比例确定所述第三评分;其中,所述端口比例与所述第三评分正相关。
6.根据权利要求2所述检测方法,其特征在于,所述第一评分、所述第二评分、所述第三评分和所述第四评分均大于0,所述综合评分与所述威胁发生概率正相关;
相应的,判断所述最近活跃时间是否为预设时间得到判断结果,根据所述判断结果确定第四评分包括:
判断所述最近活跃时间是否为预设时间;
若是,则将第三预设值作为所述第四评分;
若否,则将第四预设值作为所述第四评分;
其中,所述预设时间为系统更新时间和/或软件更新时间,第三预设值小于所述第四预设值。
7.根据权利要求1至6任一项所述检测方法,其特征在于,还包括:
在人机交互界面按照所述威胁发生概率从大到小的顺序依次显示对应的目标服务器。
8.根据权利要求7所述检测方法,其特征在于,还包括:
在所述人机交互界面显示所述目标服务器的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间;
其中,所述应用流量分配信息包括应用名称和应用使用流量的对应关系,所述端口流量分配信息端口名称和端口流量的对应关系。
9.根据权利要求8所述检测方法,其特征在于,还包括:
接收可视化显示指令;
若所述可视化显示指令包括地域视角显示指令,以所述外网连接区域作为键值对所述人机交互界面中显示的信息执行聚合操作,得到每一种外网连接区域对应的源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间;
若所述可视化显示指令包括服务器视角显示指令,以所述目标服务器作为键值对所述人机交互界面中显示的信息执行聚合操作,得到每一目标服务器对应的外网连接区域、源IP数、总流量大小、上下行流量、应用流量分配信息、端口流量分配信息和最近活跃时间。
10.根据权利要求8所述检测方法,其特征在于,还包括:
若接收到信息筛选指令,在所述人机交互界面上显示所述信息筛选指令对应的信息;其中,所述信息筛选指令包括外网连接区域筛选指令和/或上下行流量筛选指令;
若接收到信息排序指令,在所述人机交互界面上按照所述信息排序指令对应的排序方式显示对应的信息;其中,所述信息排序指令包括总流量大小排序指令、最近活跃时间排序指令和/或源IP数排序指令。
11.一种服务器安全状态的检测装置,其特征在于,包括:
评价信息确定模块,用于确定目标服务器的网络访问行为信息;其中,所述网络访问行为信息包括外网连接区域、上下行流量信息、端口开放信息和/或最近活跃时间;
威胁概率计算模块,用于根据所述网络访问行为信息计算所述目标服务器的威胁发生概率;
安全状态确定模块,用于根据所述威胁发生概率确定所述目标服务器的安全状态。
12.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至10任一项所述服务器安全状态的检测方法的步骤。
13.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至10任一项所述服务器安全状态的检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421811.8A CN110958274A (zh) | 2019-12-31 | 2019-12-31 | 服务器安全状态的检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911421811.8A CN110958274A (zh) | 2019-12-31 | 2019-12-31 | 服务器安全状态的检测方法、装置、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110958274A true CN110958274A (zh) | 2020-04-03 |
Family
ID=69985359
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911421811.8A Pending CN110958274A (zh) | 2019-12-31 | 2019-12-31 | 服务器安全状态的检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110958274A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
| US20150347750A1 (en) * | 2014-05-30 | 2015-12-03 | Intuit Inc. | Method and apparatus for a scoring service for security threat management |
| CN107689956A (zh) * | 2017-08-31 | 2018-02-13 | 北京奇安信科技有限公司 | 一种异常事件的威胁评估方法及装置 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN109525558A (zh) * | 2018-10-22 | 2019-03-26 | 深信服科技股份有限公司 | 数据泄露检测方法、系统、装置及存储介质 |
| CN110035062A (zh) * | 2019-03-07 | 2019-07-19 | 亚信科技(成都)有限公司 | 一种网络验伤方法及设备 |
-
2019
- 2019-12-31 CN CN201911421811.8A patent/CN110958274A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150347750A1 (en) * | 2014-05-30 | 2015-12-03 | Intuit Inc. | Method and apparatus for a scoring service for security threat management |
| CN104506507A (zh) * | 2014-12-15 | 2015-04-08 | 蓝盾信息安全技术股份有限公司 | 一种sdn网络的蜜网安全防护系统及方法 |
| CN107689956A (zh) * | 2017-08-31 | 2018-02-13 | 北京奇安信科技有限公司 | 一种异常事件的威胁评估方法及装置 |
| CN107995162A (zh) * | 2017-10-27 | 2018-05-04 | 深信服科技股份有限公司 | 网络安全感知系统、方法及可读存储介质 |
| CN109525558A (zh) * | 2018-10-22 | 2019-03-26 | 深信服科技股份有限公司 | 数据泄露检测方法、系统、装置及存储介质 |
| CN110035062A (zh) * | 2019-03-07 | 2019-07-19 | 亚信科技(成都)有限公司 | 一种网络验伤方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10878102B2 (en) | Risk scores for entities | |
| CN108632227B (zh) | 一种恶意域名检测处理方法及装置 | |
| CN110417721B (zh) | 安全风险评估方法、装置、设备及计算机可读存储介质 | |
| CN108200030A (zh) | 恶意流量的检测方法、系统、装置及计算机可读存储介质 | |
| CN102694696B (zh) | Dns服务器异常检测的方法及装置 | |
| CN103685575A (zh) | 一种基于云架构的网站安全监控方法 | |
| CN104967629A (zh) | 网络攻击检测方法及装置 | |
| CN105516130A (zh) | 一种数据处理方法和装置 | |
| US20160057164A1 (en) | Device for quantifying vulnerability of system and method therefor | |
| US10180867B2 (en) | System and method for bruteforce intrusion detection | |
| CN111600897B (zh) | 一种网络安全事件等级评估方法、设备及其相关设备 | |
| CN105072214A (zh) | 基于域名特征的c&c域名识别方法 | |
| CN108809928B (zh) | 一种网络资产风险画像方法及装置 | |
| CN111030972A (zh) | 一种资产信息管理及可视化展示的方法、装置及存储设备 | |
| US20130318609A1 (en) | Method and apparatus for quantifying threat situations to recognize network threat in advance | |
| CN106790041B (zh) | 一种网际协议ip信誉库生成方法及装置 | |
| CN110110528A (zh) | 信息系统的安全风险评估方法、装置及设备 | |
| CN111786974A (zh) | 一种网络安全评估方法、装置、计算机设备和存储介质 | |
| CN105262730A (zh) | 基于企业域名安全的监控方法及装置 | |
| CN109005181B (zh) | 一种dns放大攻击的检测方法、系统及相关组件 | |
| CN117478433B (zh) | 一种网络与信息安全动态预警系统 | |
| CN114154166A (zh) | 异常数据识别方法、装置、设备和存储介质 | |
| CN104104666B (zh) | 一种探测云端服务异常的方法和装置 | |
| CN117424743A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| CN110958274A (zh) | 服务器安全状态的检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200403 |