(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115913789A(43)申请公布日2023.04.04(21)申请号202310140457.1(22)申请日2023.02.21(71)申请人北京微步在线科技有限公司地址100082北京市海淀区苏州街49-3号3层301室(72)发明人艾占魁刘斐然薛锋赵林林童兆丰(74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙)11463专利代理师周宇(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书10页附图4页(54)发明名称一种网络攻击的识别方法及装置(57)摘要本申请实施例提供一种网络攻击的识别方法及装置，涉及网络安全技术领域。网络攻击的识别方法，包括：获取当前主机待检测的请求流量数据；根据预设IP地址库对所述请求流量数据进行过滤，获得过滤后的请求流量数据；对过滤后的请求流量数据进行解析，获得待检测数据结构；根据流量特征和预设判定规则对所述待检测数据结构进行检测识别，获得可疑行为数据和敏感行为数据；根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析，获得网络攻击识别结果。该网络攻击的识别方法可以进行全流量的检测，实现提高网络攻击检测准确性的技术效果。CN115913789ACN115913789A权利要求书1/2页1.一种网络攻击的识别方法，其特征在于，包括：获取当前主机待检测的请求流量数据；根据预设IP地址库对所述请求流量数据进行过滤，获得过滤后的请求流量数据；对过滤后的请求流量数据进行解析，获得待检测数据结构；根据流量特征和预设判定规则对所述待检测数据结构进行检测识别，获得可疑行为数据和敏感行为数据；根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析，获得网络攻击识别结果。2.根据权利要求1所述的网络攻击的识别方法，其特征在于，所述对过滤后的请求流量数据进行解析，获得待检测数据结构的步骤，包括：对过滤后的请求流量数据进行解析，获得待检测协议信息，所述待检测协议信息包括http、ftp、smtp、smb、pop3、tcp、udp中的一种或多种；根据所述待检测协议信息进行提取，获得待检测字段信息，所述待检测字段信息包括源ip、目的ip、源端口、目的端口、请求头、返回头、请求体、返回体中的一种或多种；根据所述待检测字段信息进行整理，获得待检测数据结构。3.根据权利要求1所述的网络攻击的识别方法，其特征在于，在所述根据流量特征和预设判定规则对所述待检测数据结构进行检测识别，获得可疑行为数据和敏感行为数据的步骤之后，所述方法还包括：对所述可疑行为数据和敏感行为数据进行危害等级判定，获得可疑行为危害等级和敏感行为危害等级，其中，危害等级包括高危害等级、中危害等级、低危害等级；对所述可疑行为数据和敏感行为数据进行准确可信度打分，获得可疑行为可信度分值和敏感行为可信度分值。4.根据权利要求3所述的网络攻击的识别方法，其特征在于，所述预设判定规则包括识别内容、识别条件和识别结果信息，所述识别结果信息包括危害等级信息、可信度范围信息、相关危害性信息。5.根据权利要求3所述的网络攻击的识别方法，其特征在于，所述根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析，获得网络攻击识别结果的步骤，包括：根据预设历史行为数据库对所述可疑行为危害等级和所述敏感行为危害等级生成危害等级计算分值；根据预设历史行为数据库对所述可疑行为可信度分值和所述敏感行为可信度分值生成可信度计算分值；根据预设历史行为数据库对可疑行为数据和所述敏感行为数据的相关危害性进行统计，获得相关危害性计算分值；根据所述危害等级计算分值、所述可信度计算分值、所述相关危害性计算分值进行加权求和，获得网络攻击识别分值；在所述网络攻击识别分值大于预设阈值时，判定当前主机遭受网络攻击并生成网络攻击识别结果。6.根据权利要求1所述的网络攻击的识别方法，其特征在于，所述预设IP地址库包括企2CN115913789A权利要求书2/2页业内部IP地址，所述过滤后的请求流量数据为非企业内部IP地址发出的请求数据。7.一种网络攻击的识别装置，其特征在于，包括：获取模块，用于获取当前主机待检测的请求流量数据；过滤模块，用于根据预设IP地址库对所述请求流量数据进行过滤，获得过滤后的请求流量数据；解析模块，用于对过滤后的请求流量数据进行解析，获得待检测数据结构；检测模块，用于根据流量特征和预设判定规则对所述待检测数据结构进行检测识别，获得可疑行为数据和敏感行为数据；评判模块，用于根据预设历史行为数据库对可疑行为数据和所述敏感行为数据进行评判分析，获得网络攻击识别结果。8.根据权利要求7所述的网络攻击的识别装置，其特征在于，所述解析模块包括：协议单元，用于对过滤后的请求流