(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111525523.4 (22)申请日 2021.12.14 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 黄晨静子 　范渊　刘博　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 代理人 谷达 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 一种服务器的APT攻击检测方法、 装置、 系统 及存储介质 (57)摘要 本发明公开了一种服务器的APT攻击检测方 法， 其特征在于， 包括： 获取与服务器IP 对应的流 量信息； 从流量信息中识别出AP T攻击流量信息； 依据APT攻击流量信息判断服务器是否受到APT 攻击， 若是， 则发出APT攻击提示信息。 通过获取 与服务器IP对应的流量信息， 并从中识别出APT 攻击流量信息， 然后根据该APT攻击流量信息进 一步判断出对应的服务器是否受到APT攻击， 并 且在确定 出服务器受到APT 攻击时， 发出APT 攻击 提示信息； 本发 明在使用过程中能够实现对服务 器APT攻击情况的检测， 并及时进行APT攻击提 示， 以便及时对服务器采取防御措施， 提高信息 安全性。 权利要求书2页 说明书6页 附图1页 CN 114363010 A 2022.04.15 CN 114363010 A 1.一种服 务器的APT攻击检测方法， 其特 征在于， 包括： 获取与服 务器IP对应的流 量信息； 从所述流量信息中识别出APT攻击流 量信息； 依据所述APT攻击流量信息判断服务器是否受到APT攻击， 若是， 则发出APT攻击提示信 息。 2.根据权利要求1所述的服务器的APT攻击检测方法， 其特征在于， 所述获取与服务器 IP对应的 的流量信息的过程 为： 通过APT探针获取与服 务器IP对应的最近n个时间段的流 量信息； 则， 所述从所述 流量信息中识别出APT攻击流 量信息的过程 为： 从每个所述时间段的流 量信息中识别出APT攻击流 量信息。 3.根据权利 要求2所述的服务器的APT攻击检测方法， 其特征在于， 所述依据所述APT攻 击流量信息判断服 务器是否受到APT攻击的过程 为： 根据每个所述时间段的APT攻击流 量信息， 计算 服务器的APT攻击 评分； 判断所述APT攻击评分是否大于预设阈值， 若是， 则所述服务器受到APT攻击， 若否， 则 所述服务器未受到APT攻击 。 4.根据权利要求3所述的服务器的APT攻击检测方法， 其特征在于， 所述根据每个所述 时间段的APT攻击流 量信息， 计算所述 服务器的APT攻击 评分的过程 为： 根据每个所述时间段的APT攻击流量信息， 计算出与每个所述时间段各自对应的APT攻 击流量大小； 依据每个所述APT攻击流量大小及预设计算关系式， 计算出所述服务器的APT攻击评 分； 其中： 所述预设计算关系式为： 其中， f(n)表示服务器的APT攻击评分， n表示时间段总数量， Xi 表示第n‑i+1个时间段的APT攻击流 量大小， n个时间段的APT攻击流 量大小的平均值。 5.根据权利要求1 ‑4任意一项所述的服务器的APT攻击检测方法， 其特征在于， 所述发 出APT攻击提 示信息的过程 为： 获取预先存储的、 与所述 服务器IP对应的推送地址； 将APT攻击提 示信息发送至所述推送地址 。 6.一种服 务器的APT攻击检测装置， 其特 征在于， 包括： 获取模块， 用于获取与服 务器IP对应的流 量信息； 识别模块， 用于从所述 流量信息中识别出APT攻击流 量信息； 判断模块， 用于依据所述APT攻击流量信息判断服务器是否受到APT攻击， 若是， 触发发 送模块； 所述发送模块， 用于发出APT攻击提 示信息。 7.根据权利要求6所述的服务器的APT攻击检测装置， 其特征在于， 所述获取模块， 具体 用于通过APT探针获取与服 务器IP对应的最近n个时间段的流 量信息； 则， 所述识别模块， 具体用于从每个所述时间段的流量信息中识别出APT攻击流量信权　利　要　求　书 1/2 页 2 CN 114363010 A 2息。 8.根据权利要求6所述的服务器的APT攻击检测装置， 其特征在于， 所述判断模块， 包 括： 计算单元， 用于根据每 个所述时间段的APT攻击流 量信息， 计算 服务器的APT攻击 评分； 判断单元， 用于判断所述APT攻击评分是否大于预设阈值， 若是， 则所述服务器受到APT 攻击， 触发所述发送模块； 若否， 则所述 服务器未受到APT攻击， 结束。 9.一种服 务器的APT攻击检测系统， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至5任一项所述服务器的APT攻 击检测方法的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求1至5任一项所述服务器的APT攻击 检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 114363010 A 3