[发明专利]一种转移网络攻击面的方法、服务器和系统

说明书

本发明公开了一种转移网络攻击面的方法、服务器和系统，收集各个网络节点上的数据片段副本，提取可被利用的攻击向量，将数据片段副本与历史大数据合并，分析数据片段是否存在异常，多个异常数据片段之间是否存在逻辑关联，由此确定和标注异常点，得到潜在的攻击轨迹和网络节点的安全漏洞，当发现单个网络节点被攻击后，随机修改该网络节点的地址和端口，避免该网络节点被持续攻击，以及保护该网络节点相近的其他网络节点也不被攻击，从而实现在大量网络节点中追踪攻击面的同时，帮助管理员将攻击转移，保证网络节点的正常使用。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种转移网络攻击面的方法、服务器和系统。

背景技术

当前网络通信面临越来越隐蔽的安全问题，很多攻击来自于隐蔽的、碎片化的形式，单个网络节点的漏洞点和攻击链路会构成多个攻击面，现有的防范网络攻击的方法会失效。尤其现在的网络通常具有大量网络节点，攻击者将片段可以分散在各个不同的网络节点上，从而逃避被发现。

同时，单个网络节点发现被攻击后，如何避免该网络节点被持续攻击，以及如何保护该网络节点相近的其他网络节点也不被攻击。这些成为急需解决的技术问题。

发明内容

本发明的目的在于提供一种转移网络攻击面的方法、服务器和系统，收集各个网络节点上的数据片段副本，提取可被利用的攻击向量，将数据片段与历史大数据合并，分析数据片段是否存在异常，多个异常数据片段之间是否存在逻辑关联，由此确定异常点，得到潜在的攻击轨迹和网络节点的安全漏洞，当发现单个网络节点被攻击后，避免该网络节点被持续攻击，以及保护该网络节点相近的其他网络节点也不被攻击。

第一方面，本申请提供一种转移网络攻击面的方法，所述方法包括：

网络侧服务器收集各个网络节点的数据片段副本，从中提取出可被利用的攻击向量；

将接收到的数据片段与服务器本地的历史数据片段合并；所述合并包括按照所属网络节点、所属发送终端、数据类型、对应访问行为中至少一种标准进行合并；

所述服务器使用分析模型对所述合并的数据片段进行分析，寻找其中可能存在的异常数据片段，将若干个异常数据片段所属的网络节点或终端标注为异常点，以及分析若干个异常数据片段之间是否存在逻辑关联；

所述服务器检查所述可被利用的攻击向量，判断是否存在安全漏洞；如果存在安全漏洞，评估该安全漏洞可能带来的威胁，调用对应策略对所述可被利用的攻击向量所属的网络节点下发持续监控指令，根据该网络节点的负载状态、资源利用状态、所处环境、用户访问记录中的一个或多个参数，评估该网络节点的安全状态是否可信；如果不存在安全漏洞，下发安全通知给对应的网络节点；

针对被标注为异常点并且持续被评估为不可信的网络节点，所述服务器实时重点分析该网络节点的数据流，解析该数据流，如果发现该网络节点被攻击者攻击，则随机修改该网络节点的地址和端口，将随机修改的指令下发到该网络节点；如果解析该网络节点未发现攻击，则将该网络节点列入重点关注列表；

以及，分析与所述被标注为异常点并且持续被评估为不可信的网络节点类似的其他网络节点，判断该其他网络节点是否也会遭遇攻击；所述类似是指拥有相同的资源、相同类型的应用程序、相同的动作指令、相同类型的用户或业务；如果该其他网络节点也被攻击者攻击，则也随机修改该其他网络节点的地址和端口；

所述服务器将所述异常点、所述逻辑关联、所述安全漏洞、所述持续监控指令和所述转移的结果传递给显示处理装置；

所述服务器根据所述逻辑关联、所述异常数据片段训练所述分析模型；