(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115051873A(43)申请公布日2022.09.13(21)申请号202210892150.2(22)申请日2022.07.27(71)申请人深信服科技股份有限公司地址518071广东省深圳市南山区学苑大道1001号南山智园A1栋一层(72)发明人杨荣海徐铭桂(74)专利代理机构北京汇鑫君达知识产权代理有限公司11769专利代理师黄启法(51)Int.Cl.H04L9/40(2022.01)权利要求书3页说明书8页附图2页(54)发明名称网络攻击结果检测方法、装置和计算可读存储介质(57)摘要本申请涉及一种网络攻击结果检测方法、装置和计算可读存储介质。该方法包括：确定目标流量是否为攻击流量；若确定目标流量为攻击流量，则提取攻击流量中的攻击命令；模拟攻击命令在真实网络环境的执行，得到攻击命令的模拟执行数据；将攻击命令的模拟执行数据与预设结果相比，确定目标流量在真实网络环境中是否成功实施攻击。本申请提供的方案能够精准确定目标流量在真实网络环境中是否成功实施攻击。CN115051873ACN115051873A权利要求书1/3页1.一种网络攻击结果检测方法，其特征在于，所述方法包括：确定目标流量是否为攻击流量；若确定所述目标流量为攻击流量，则提取所述攻击流量中的攻击命令；模拟所述攻击命令在真实网络环境的执行，得到所述攻击命令的模拟执行数据；将所述攻击命令的模拟执行数据与预设结果相比，确定所述目标流量在所述真实网络环境中是否成功实施攻击。2.根据权利要求1所述的网络攻击结果检测方法，其特征在于，所述确定目标流量是否为攻击流量，包括：对所述目标流量进行解码，得到所述目标流量中的净载荷；基于语法和/或语义引擎对所述净载荷进行检测，识别定所述目标流量是否为攻击流量。3.根据权利要求2所述的网络攻击结果检测方法，其特征在于，所述基于语法和/或语义引擎对所述净载荷进行检测，识别所述目标流量是否为攻击流量，包括：提取所述净载荷的关键信息；基于所述语法和语义引擎对所述净载荷的关键信息进行词法分析和语法分析，得到抽象语法树；根据预设模型对所述抽象语法树的代码逻辑进行判断检测，识别所述目标流量是否为攻击流量。4.根据权利要求2所述的网络攻击结果检测方法，其特征在于，所述基于语法和/或语义引擎对所述净载荷进行检测，识别所述目标流量是否为攻击流量，包括：对所述净载荷进行分词并转换成标准表达形式，得到语句集合；将所述语句集合中每个词转化为向量，得到词向量矩阵；将所述词向量矩阵输入预先训练的深度学习模型，识别所述目标流量是否为攻击流量，所述预先训练的深度学习模型时基于语法和语义引擎对深度学习模型进行训练后得到的模型。5.根据权利要求1所述的网络攻击结果检测方法，其特征在于，所述若确定所述目标流量为攻击流量，则提取所述攻击流量中的攻击命令，包括：若确定所述目标流量为攻击流量，则将所述攻击流量中的冗余信息删除；通过语法和语义分析，将所述删除冗余信息后的攻击流量与预设敏感函数库中的敏感函数匹配；若匹配到所述敏感函数，则提取所述删除冗余信息后的攻击流量中的攻击命令。6.根据权利要求1所述的网络攻击结果检测方法，其特征在于，所述模拟所述攻击命令在真实网络环境的执行，得到所述攻击命令的模拟执行结果，包括：配置仿真网络环境，所述仿真网络环境为对所述真实网络环境的仿真；将所述攻击命令输入所述仿真网络环境模拟所述攻击命令在所述真实环境的执行，所述攻击命令在所述仿真网络环境的执行数据作为所述攻击命令的模拟执行数据。7.根据权利要求6所述的网络攻击结果检测方法，其特征在于，所述攻击命令的模拟执行数据包括所述攻击命令在所述仿真网络环境执行后实施的网络行为，所述将所述攻击命令的模拟执行数据与预设结果相比，确定所述目标流量在所述真实网络环境中是否成功实2CN115051873A权利要求书2/3页施攻击，包括：将所述攻击命令在所述仿真网络环境执行后实施的网络行为与预设网络行为相比，所述预设网络行为包括通过所述安全审计得到的网络行为；若所述攻击命令在所述仿真网络环境执行后实施的网络行为与所述预设网络行为的相似度超过预设相似度阈值，则确定所述目标流量在所述真实网络环境中成功实施攻击。8.根据权利要求6所述的网络攻击结果检测方法，其特征在于，所述攻击命令的模拟执行数据包括所述攻击命令在所述仿真网络环境执行后的回显信息，所述将所述攻击命令的模拟执行数据与预设结果相比，确定所述目标流量在所述真实网络环境中是否成功实施攻击，包括：将所述攻击命令在所述仿真网络环境执行后的回显信息与预设响应包相比，所述预设响应包为通过所述安全审计得到的攻击请求包对应的响应包；若所述攻击命令在所述仿真网络环境执行后的回显信息与所述预设响应包的相似度超过预