(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115022034A(43)申请公布日2022.09.06(21)申请号202210617207.8(22)申请日2022.06.01(71)申请人北京天融信网络安全技术有限公司地址100000北京市海淀区上地东路1号院3号楼四层申请人北京天融信科技有限公司北京天融信软件有限公司(72)发明人龙炫宇于琛(74)专利代理机构北京开阳星知识产权代理有限公司11710专利代理师祝乐芳(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书10页附图3页(54)发明名称攻击报文识别方法、装置、设备和介质(57)摘要本公开涉及网络安全技术领域，提供了一种攻击报文识别方法、装置、设备和介质，包括：获取待识别报文对应的第一特征；在第一攻击规则库确定存在第一特征时，确定待识别报文为初始攻击报文，并记录初始攻击报文对应的五元组信息，其中，第一攻击规则库是根据历史攻击行为的内容确定的；基于初始攻击报文，在第二攻击规则库中确定存在初始攻击报文对应的第二特征时，确定初始攻击报文为目标攻击报文。采用该方式能够提高对攻击报文识别的准确性。CN115022034ACN115022034A权利要求书1/2页1.一种攻击报文识别方法，其特征在于，所述方法包括：获取待识别报文对应的第一特征，其中，所述第一特征是根据待识别报文的内容确定的；在第一攻击规则库确定存在所述第一特征时，确定所述待识别报文为初始攻击报文，并记录所述初始攻击报文对应的五元组信息，其中，所述第一攻击规则库是根据历史攻击行为的内容确定的；基于所述初始攻击报文，在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时，确定所述初始攻击报文为目标攻击报文，其中，所述第二攻击规则库是根据所述历史攻击行为的第一属性信息确定的，所述第一属性信息包括所述历史攻击行为的五元组信息以及应用层协议，所述第二特征是根据所述初始攻击报文的第二属性信息确定的，所述第二属性信息包括所述初始攻击报文的五元组信息以及应用层协议。2.根据权利要求1所述的方法，其特征在于，所述获取待识别报文对应的属性信息以及第一特征之前，所述方法还包括：获取所述待识别报文；基于所述待识别报文，确定所述待识别报文对应的应用层协议。3.根据权利要求2所述的方法，其特征在于，所述基于所述待识别报文，获取所述待识别报文对应的应用层协议，包括：根据所述待识别报文对应的端口号，确定所述待识别报文对应的应用层协议；或根据所述待识别报文对应的功能码，确定所述待识别报文对应的应用层协议。4.根据权利要求1所述的方法，其特征在于，所述第一攻击规则库是根据历史攻击行为确定的，包括：根据每个所述历史攻击行为的内容，确定对应的预设字段；基于多个所述预设字段，确定所述第一攻击规则库。5.根据权利要求1所述的方法，其特征在于，所述在第一攻击规则库确定存在所述第一特征时，确定所述待识别报文为初始攻击报文，包括：将所述第一特征对应的第一字段与所述第一攻击规则库中的每个所述历史攻击报文的预设字段进行匹配；当所述第一字段与至少两个所述预设字段中的任意预设字段匹配一致时，确定所述待识别报文为初始攻击报文。6.根据权利要求1所述的方法，其特征在于，所述基于所述初始攻击报文，在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时，确定所述初始攻击报文为目标攻击报文，包括：将所述初始攻击报文的第二属性信息与所述第二攻击规则库中的每个所述历史攻击报文的第一属性信息进行匹配；当所述第二属性信息与至少两个所述第一属性信息中的任意第一属性信息匹配一致时，确定所述初始攻击报文为目标攻击报文。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：在确定所述初始攻击报文为目标攻击报文时，将所述目标攻击报文丢弃。8.一种攻击报文识别装置，其特征在于，包括：2CN115022034A权利要求书2/2页第一特征获取模块，用于获取待识别报文对应的第一特征，其中，所述第一特征是根据待识别报文的内容确定的；初始攻击报文确定模块，用于在第一攻击规则库确定存在所述第一特征时，确定所述待识别报文为初始攻击报文，并记录所述初始攻击报文对应的五元组信息，其中，所述第一攻击规则库是根据历史攻击行为的内容确定的；目标攻击报文确定模块，用于基于所述初始攻击报文，在第二攻击规则库中确定存在所述初始攻击报文对应的第二特征时，确定所述初始攻击报文为目标攻击报文，其中，所述第二攻击规则库是根据所述历史攻击行为的第一属性信息确定的，所述第一属性信息包括所述历史攻击行为的五元组信息以及应用层协议，所述第二特征是根据所述初始攻击报文的第二属性信息确定的，所述第二属性信息包括所述初始攻击报文的五元组信息以及应用层协议。9.一种电子设备，其特征在于，包括：