(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN114363059A(43)申请公布日2022.04.15(21)申请号202111679333.8(22)申请日2021.12.31(71)申请人深信服科技股份有限公司地址518055广东省深圳市南山区学苑大道1001号南山智园A1栋一层(72)发明人陶磊李元治(74)专利代理机构深圳市深佳知识产权代理事务所(普通合伙)44285代理人林志鹏(51)Int.Cl.H04L9/40(2022.01)H04L67/02(2022.01)权利要求书2页说明书10页附图2页(54)发明名称一种攻击识别方法、装置及相关设备(57)摘要本申请公开了一种攻击识别方法，包括：根据设备运行信息确定目标设备的IP信息；针对所述目标设备构造探测包，根据所述IP信息向所述目标设备发送所述探测包；接收所述目标设备针对所述探测包发送的响应包，根据所述响应包的内容确定所述目标设备是否存在攻击行为。应用本申请所提供的技术方案，实现了对攻击组织的主动检测和识别，进一步提高了网络设备的安全性。本申请还公开了一种攻击识别装置、系统及计算机可读存储介质，均具上述有益效果。CN114363059ACN114363059A权利要求书1/2页1.一种攻击识别方法，其特征在于，包括：根据设备运行信息确定目标设备的IP信息；针对所述目标设备构造探测包，根据所述IP信息向所述目标设备发送所述探测包；接收所述目标设备针对所述探测包发送的响应包，根据所述响应包的内容确定所述目标设备是否存在攻击行为。2.根据权利要求1所述的攻击识别方法，其特征在于，所述针对所述目标设备构造探测包，根据所述IP信息向所述目标设备发送所述探测包，包括：构造登录密码，并根据所述IP信息向所述目标设备发送包括所述登录密码的探测包；相应地，所述根据所述响应包的内容确定所述目标设备是否存在攻击行为，包括：在所述响应包的内容包括密码识别结果的情况下，确定所述目标设备存在攻击行为。3.根据权利要求1所述的攻击识别方法，其特征在于，所述针对所述目标设备构造探测包，根据所述IP信息向所述目标设备发送所述探测包之前，还包括：获取所述IP信息对应的网络端口；从所述网络端口中探测获得指纹特征；当所述指纹特征命中指纹库的情况下，确定所述目标设备存在攻击行为；当所述指纹特征未命中所述指纹库的情况下，执行所述针对所述目标设备构造探测包，根据所述IP信息向所述目标设备发送所述探测包的步骤及其后续所有步骤。4.根据权利要求3所述的攻击识别方法，其特征在于，当所述指纹特征未命中所述指纹库的情况下，确定所述目标设备存在攻击行为之后，所述方法还包括：当所述网络端口采用的数据协议为TLS协议的情况下，将所述指纹特征添加至所述指纹库。5.根据权利要求1所述的攻击识别方法，其特征在于，所述针对所述目标设备构造探测包，根据所述IP信息向所述目标设备发送所述探测包，包括：构造预设类型的文件数据的下载请求信息，根据所述IP信息向所述目标设备发送包括所述下载请求信息的探测包；相应地，所述根据所述响应包的内容确定所述目标设备是否存在攻击行为，包括：当所述响应包的内容包括下载得到的预设类型的文件数据的情况下，确定所述目标设备存在攻击行为。6.根据权利要求5所述的攻击识别方法，其特征在于，还包括：当所述响应包的内容不包括下载得到的预设类型的文件数据的情况下，访问所述预设类型的文件数据对应的各URL；当所述URL的响应信息中包括有预设回复信息和/或乱码的情况下，确定所述目标设备存在攻击行为。7.根据权利要求1所述的攻击识别方法，其特征在于，所述根据设备运行信息确定目标设备的IP信息，包括：对所述设备运行信息进行特征提取，获得目标特征；其中，所述目标特征包括终端行为特征和/或通信流量特征；当所述目标特征命中异常特征库的情况下，从所述目标特征对应的设备运行信息中解析得到所述目标设备的IP信息。2CN114363059A权利要求书2/2页8.一种攻击识别装置，其特征在于，包括：IP信息获取模块，用于根据设备运行信息确定目标设备的IP信息；探测包发送模块，用于针对所述目标设备构造探测包，根据所述IP信息向所述目标设备发送所述探测包；攻击行为识别模块，用于接收所述目标设备针对所述探测包发送的响应包，根据所述响应包的内容确定所述目标设备是否存在攻击行为。9.一种攻击识别系统，其特征在于，包括：存储器，用于存储计算机程序；处理器，用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击识别方法的步骤。10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的攻击识别方法的步骤。3CN114363059A说明书