(19)国家知识产权局(12)发明专利申请(10)申请公布号CN116032649A(43)申请公布日2023.04.28(21)申请号202310092975.0(22)申请日2023.01.17(71)申请人杭州迪普科技股份有限公司地址310051浙江省杭州市滨江区通和路68号中财大厦6楼(72)发明人陈代月孙昊翔陈露姹(74)专利代理机构北京博思佳知识产权代理有限公司11415专利代理师董晓盈(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书12页附图4页(54)发明名称攻击检测方法、装置、设备及可读存储介质(57)摘要本申请提供一种攻击检测方法、装置、设备及可读存储介质，所述方法包括：获取网络中预设类型的数据包，并确定所述数据包对应的数据流；将所述数据包中满足设定要求的待测数据包按照序列号顺序存储到所述数据流的缓存区中；响应于所述缓存区中的数据包序列满足设定序列号要求，将所述数据包序列中的待测数据包序列的有效载荷与特征字典树的特征节点进行匹配，所述特征字典树是根据攻击行为对应的特征字符串和AC自动机算法构建的；在所述有效载荷和所述特征节点匹配成功的情况下，确定所述有效载荷对应的数据包为攻击数据包。应用本申请提供的技术方案，减小了攻击检测的系统开销，提高了检测效率。CN116032649ACN116032649A权利要求书1/2页1.一种攻击检测方法，其特征在于，所述方法包括：获取网络中预设类型的数据包，并确定所述数据包对应的数据流；将所述数据包中满足设定要求的待测数据包按照序列号顺序存储到所述数据流的缓存区中；响应于所述缓存区中的数据包序列满足设定序列号要求，将所述数据包序列中的待测数据包序列的有效载荷与特征字典树的特征节点进行匹配，所述特征字典树是根据攻击行为对应的特征字符串和AC自动机算法构建的；在所述有效载荷和所述特征节点匹配成功的情况下，确定所述有效载荷对应的数据包为攻击数据包。2.根据权利要求1所述的方法，其特征在于，所述预设类型包括传输控制协议TCP类型。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述数据包对应的数据流没有对应的缓存区的情况下，为所述数据流并分配缓存区，所述数据流关联的最近匹配成功的特征节点包括特征字典树的根节点。4.根据权利要求1所述的方法，其特征在于，所述将所述数据包中满足设定要求的待测数据包按照序列号顺序存储到所述数据流的缓存区中，包括：根据所述数据包的序列号和数据长度，将所述数据包与所述数据包对应的数据流的缓存区中的数据包序列进行比较；响应于所述数据包的序列号至确认号之间的序号不存在于所述数据包序列对应的序列号序列中，确定所述数据包满足设定要求，所述确认号包括所述数据包的序列号与所述数据长度之和。5.根据权利要求1所述的方法，其特征在于，所述设定序列号要求包括每两个相邻的数据包中一个数据包的序列号、数据长度之和等于另外一个数据包的序列号。6.根据权利要求1所述的方法，其特征在于，所述响应于所述缓存区中的数据包序列满足设定序列号要求，将所述数据包序列中的待测数据包序列的有效载荷与特征字典树的特征节点进行匹配，包括：获取所述数据流关联的最近匹配成功的特征节点；根据所述待测数据包序列的序列号顺序，从所述最近匹配成功的特征节点开始，将待测数据包序列的有效载荷与特征字典树的特征节点进行匹配；在所述待测数据包序列与所述特征字典树匹配结束后，确定所述待测数据包序列与特征字典树的最后一次匹配成功的特征节点，并将所述数据流关联的最近匹配成功的特征节点更新为所述最后一次匹配成功的特征节点。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：响应于所述缓存区中的数据包序列不满足设定序列号要求、且缓存区的数据包序列超出内存限制，删除所述缓存区中的数据包。8.一种攻击检测装置，其特征在于，所述装置包括：数据包获取模块，用于获取网络中预设类型的数据包，并确定所述数据包对应的数据流；数据包缓存模块，用于将所述数据包中满足设定要求的待测数据包按照序列号顺序存储到所述数据流的缓存区中；2CN116032649A权利要求书2/2页匹配模块，用于响应于所述缓存区中的数据包序列满足设定序列号要求，将所述数据包序列中的待测数据包序列的有效载荷与特征字典树的特征节点进行匹配，所述特征字典树是根据攻击行为对应的特征字符串和AC自动机算法构建的；结果确定模块，用于在所述有效载荷和所述特征节点匹配成功的情况下，确定所述有效载荷对应的数据包为攻击数据包。9.一种电子设备，其特征在于，包括：处理器、存储器；所述存储器，用于存储计算机程序；所述处理器，用于通过调用所述计算机程序，执行如权利要求1‑7中任一项所述的攻击检测方法。10.一种可读存储介质，其上存储有计算机程序，其特征在于，所述程