(19)中华人民共和国国家知识产权局
(12)发明专利说明书 | ||
(10)申请公布号 CN 113965419 A (43)申请公布日 2022.01.21 | ||
(21)申请号 CN202111576039.4
(22)申请日 2021.12.22
(71)申请人 北京微步在线科技有限公司
地址 100082 北京市海淀区苏州街49-3号3层301室
(72)发明人 赵林林 童兆丰 薛锋
(74)专利代理机构 11463 北京超凡宏宇专利代理事务所(特殊普通合伙)
代理人 杨奇松
(51)Int.CI
H04L9/40(20220101)
权利要求说明书 说明书 幅图 |
(54)发明名称
一种通过反连判定攻击成功的方法及装置 | |
(57)摘要
本申请实施例提供一种通过反连判定攻击成功的方法及装置,包括:先获取待检测的攻击流量,并提取攻击流量中的攻击载荷以及攻击流量对应的被攻击主机地址;然后提取攻击载荷中的疑似反连地址;再根据被攻击主机地址和预设判定条件,判断是否检测到疑似反连地址对应的连接请求;如果是,则确定被攻击主机地址被攻击成功,能够解决网络攻击成功的判别问题,避免产生大量威胁告警,从而有利于提高安全防护效率。 | |
法律状态
法律状态公告日 | 法律状态信息 | 法律状态 |
2022-02-15 | 实质审查的生效 | 实质审查的生效 |
2022-01-21 | 公开 | 公开 |
2022-07-08 | 授权 | 发明专利权授予 |
权 利 要 求 说 明 书
1.一种通过反连判定攻击成功的方法,其特征在于,包括:
获取待检测的攻击流量,并提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址;
提取所述攻击载荷中的疑似反连地址;
根据所述被攻击主机地址和预设判定条件,判断是否检测到所述疑似反连地址对应的连接请求;
如果是,则确定所述被攻击主机地址被攻击成功,以及将所述连接请求与所述攻击流量进行关联,并将所述攻击流量标记为攻击成功。
2.根据权利要求1所述的通过反连判定攻击成功的方法,其特征在于,所述提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址,包括:
获取待检测的攻击流量,并提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址;
提取所述攻击载荷中的疑似反连地址;
根据所述被攻击主机地址和预设判定条件,判断是否检测到所述疑似反连地址对应的连接请求;
如果是,则确定所述被攻击主机地址被攻击成功,以及将所述连接请求与所述攻击流量进行关联,并将所述攻击流量标记为攻击成功。
2.根据权利要求1所述的通过反连判定攻击成功的方法,其特征在于,所述提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址,包括:
根据预设特征检测算法从所述攻击流量中识别被攻击主机地址,并提取所述攻击流量中的攻击载荷。
3.根据权利要求1所述的通过反连判定攻击成功的方法,其特征在于,所述提取所述攻击载荷中的疑似反连地址,包括:
根据预设反连识别算法,从所述攻击载荷中识别疑似反连地址,其中,所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。
正则匹配法律条文4.根据权利要求1所述的通过反连判定攻击成功的方法,其特征在于,所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件,其中,所述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址,所述第二条件为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。
3.根据权利要求1所述的通过反连判定攻击成功的方法,其特征在于,所述提取所述攻击载荷中的疑似反连地址,包括:
根据预设反连识别算法,从所述攻击载荷中识别疑似反连地址,其中,所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。
正则匹配法律条文4.根据权利要求1所述的通过反连判定攻击成功的方法,其特征在于,所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件,其中,所述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址,所述第二条件为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。
5.根据权利要求1所述的通过反连判定攻击成功的方法,其特征在于,在所述将所述攻击流量标记为攻击成功之后,所述方法还包括:
确定所述攻击流量对应的网络威胁事件;
调整所述网络威胁事件的威胁级别;
输出所述网络威胁事件攻击成功以及所述威胁级别的攻击成功展示信息。
6.一种通过反连判定攻击成功的装置,其特征在于,所述通过反连判定攻击成功的装置包括:
获取单元,用于获取待检测的攻击流量;
被攻击地址提取单元,用于提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址;
地址提取单元,用于提取所述攻击载荷中的疑似反连地址;
攻击成功判定单元,用于根据所述被攻击主机地址和预设判定条件,判断是否检测到所述疑似反连地址对应的连接请求;
确定单元,用于当判断出检测到所述疑似反连地址对应的所述连接请求时,则确定所述被攻击主机地址被攻击成功,以及将所述连接请求与所述攻击流量进行关联,并将所述攻击流量标记为攻击成功。
7.根据权利要求6所述的通过反连判定攻击成功的装置,其特征在于,所述被攻击地址提取单元,具体用于根据预设特征检测算法从所述攻击流量中识别被攻击主机地址,并提取所述攻击流量中的攻击载荷。
8.根据权利要求6所述的通过反连判定攻击成功的装置,其特征在于,所述地址提取单元,具体用于根据预设反连识别算法,从所述攻击载荷中识别疑似反连地址,其中,所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至5中任一项所述的通过反连判定攻击成功的方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至5任一项所述的通过反连判定攻击成功的方法。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论