攻击结果判定方法、装置、电子设备及存储介质与流程

1.本技术涉及网络安全领域，尤其涉及一种攻击结果判定方法、装置、电子设备及存储介质。


背景技术：

2.攻击行为(aggressive behavior)，在计算机上指通过利用已有漏洞或者高权限进行恶意操作，达到破坏或者获取服务器权限的行为。相关技术中，需要由技术人员对海量的攻击行为的攻击结果进行判定，存在效率不高的问题。


技术实现要素：

3.有鉴于此，本技术实施例提供一种攻击结果判定方法、装置、电子设备及存储介质，以至少解决相关技术在攻击结果判定时，存在的效率不高的问题。
4.本技术实施例的技术方案是这样实现的：
5.本技术实施例提供了一种攻击结果判定方法，所述方法包括：
6.在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征；
7.在所述第一安全事件的响应数据包中存在对应的第一特征的情况下，确定所述第一安全事件的攻击结果为攻击失败；其中，
8.所述第一特征库包括至少一个第一特征；每个第一特征表征在对应漏洞类型的安全事件攻击失败时对应的响应数据包的特征。
9.其中，上述方案中，在所述在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征之前，所述方法还包括：
10.确定至少两种响应数据包的共同特征；每种响应数据包基于一种漏洞类型的安全事件生成；
11.将所述共同特征确定为至少两种漏洞类型的第一特征；所述至少两种漏洞类型包括所述至少两种响应数据包对应的漏洞类型。
12.上述方案中，所述方法还包括：
13.在第二特征库中确定第一安全事件的漏洞类型对应的第二特征；
14.所述确定所述第一安全事件的攻击结果为攻击失败，包括：
15.在所述第一安全事件的响应数据包中不存在对应的第二特征的情况下，确定所述第一安全事件的攻击结果为攻击失败；其中，
16.所述第二特征库包括至少一个第二特征；每个第二特征表征在对应漏洞类型的安全事件攻击成功时对应的响应数据包的特征。
17.上述方案中，所述方法还包括：
18.在所述第一安全事件的响应数据包中存在对应的第二特征的情况下，确定所述第一安全事件的攻击结果为攻击成功。
19.上述方案中，在所述在第一特征库中确定与第一安全事件的漏洞类型对应的第一
特征之前，所述方法还包括：
20.通过钩子劫持所述第一安全事件；
21.在确定所述第一安全事件的攻击结果之后，所述方法还包括：
22.释放所述第一安全事件的钩子。
23.上述方案中，所述方法还包括：
24.基于对应的漏洞类型和攻击结果，确定所述第一安全事件的风险等级。
25.上述方案中，所述方法还包括：
26.在设定页面显示所述第一安全事件的攻击结果。
27.本技术实施例还提供了一种攻击结果判定装置，包括：
28.第一处理单元，用于在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征；
29.第二处理单元，用于在所述第一安全事件的响应数据包中存在对应的第一特征的情况下，确定所述第一安全事件的攻击结果为攻击失败；其中，
30.所述第一特征库包括至少一个第一特征；每个第一特征表征在对应漏洞类型的安全事件攻击失败时对应的响应数据包的特征。
31.本技术实施例还提供了一种电子设备，包括：处理器和用于存储能够在处理器上运行的计算机程序的存储器，
32.其中，所述处理器用于运行所述计算机程序时，执行上述攻击结果判定方法的步骤。
33.本技术实施例还提供了一种存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述攻击结果判定方法的步骤。
34.在本技术实施例中，在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征，在第一安全事件的响应数据包中存在对应的第一特征的情况下，确定第一安全事件的攻击结果为攻击失败；其中，第一特征库包括至少一个第一特征；每个第一特征表征在对应漏洞类型的安全事件攻击失败时对应的响应数据包的特征。上述方案中，通过判断响应数据包中是否存在利用对应类型漏洞的攻击失败时的特征，在响应数据包中存在攻击失败的特征的情况下，判定对应的安全事件的攻击结果为攻击失败，这样，能够快速过滤海量的攻击失败的安全事件，提升了攻击结果判定的效率。
附图说明
35.图1为本技术实施例提供的攻击结果判定方法实现流程示意图；
36.图2为本技术实施例提供的显示页面示意图；
37.图3为本技术应用实施例提供的攻击结果判定方法的实现流程示意图；
38.图4为本技术应用实施例提供的攻击失败检测引擎的示意图；
39.图5为本技术实施例提供的一种攻击结果判定装置的结构示意图；
40.图6为本技术实施例提供的一种电子设备的结构示意图。
具体实施方式
41.攻击行为，在计算机上指通过利用已有漏洞或者高权限进行恶意操作，达到破坏
或者获取服务器权限的行为。
42.网络中存在大量的恶意服务器，这些服务器对互联网上的电子设备持续地进行漏洞扫描，以发起攻击。目前，大量的安全产品都专注于提升对攻击行为的检测上，而在进行安全监控或者事件处理的时候，需要由技术人员人工对海量攻击行为的攻击结果进行判定，存在成本较高、效率不高的问题。
43.基于此，在本技术的各种实施例中，在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征，在第一安全事件的响应数据包中存在对应的第一特征的情况下，确定第一安全事件的攻击结果为攻击失败；其中，第一特征库包括至少一个第一特征；每个第一特征表征在对应漏洞类型的安全事件攻击失败时对应的响应数据包的特征。上述方案中，通过判断响应数据包中是否存在利用对应类型漏洞的攻击失败时的特征，在响应数据包中存在攻击失败的特征的情况下，判定对应的安全事件的攻击结果为攻击失败，这样，能够快速过滤海量的攻击失败的安全事件，提升了攻击结果判定的效率。
44.为了使本技术的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本技术进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本技术，并不用于限定本技术。
45.图1为本技术实施例提供的攻击结果判定方法的实现流程示意图，其中，流程的执行主体为电子设备，包括但不限于手机、平板等移动终端设备。如图1所示，该方法包括：
46.步骤101：在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征。
47.其中，所述第一特征库包括至少一个第一特征；每个第一特征表征在对应漏洞类型的安全事件攻击失败时对应的响应数据包的特征。
48.根据第一安全事件的漏洞类型，在设定的第一特征库中确定出对应的第一特征。其中，每个第一特征是指利用对应漏洞类型的漏洞攻击失败的安全事件的响应数据包中的共同特征，换句话说，对于利用同一漏洞类型的漏洞攻击失败的安全事件，采集到的响应数据包都具有相同的第一特征。一种漏洞类型的安全事件可以对应一个第一特征，也可以对应两个或以上的第一特征。这些漏洞类型对应的第一特征存储于第一特征库中。
49.这里，确定第一安全事件所利用漏洞的漏洞类型的方式，可以是第一安全事件携带有设定标签，通过设定标签的字段值。
50.步骤102：在所述第一安全事件的响应数据包中存在对应的第一特征的情况下，确定所述第一安全事件的攻击结果为攻击失败。
51.由于安全事件利用进行攻击的漏洞类型的不同，在响应数据包中会返回不同的内容，通过匹配响应数据包中是否存在对应的第一特征，可以判定第一安全事件的攻击结果是否为攻击失败。在第一安全事件的响应数据包中存在对应的第一特征的情况下，确定攻击结果为攻击失败。
52.这里，通过第一特征与响应数据包的匹配结果，确定第一安全事件的攻击结果是否为攻击失败。其中，第一特征可以为关键字和/或正则表达式规则。具体的关键字可以根据需要设定，而正则表达式则是对字符串和特殊字符操作的一种逻辑公式，通过字符的组合组成一个特征字符串。
53.网络中存在大量的恶意服务器，这些服务器对互联网上的电子设备持续地进行漏洞扫描，以发起攻击。在这些恶意服务器发起的攻击行为中，绝大多数都是失败的。在本申
请实施例中，通过判断响应数据包中是否存在利用对应类型漏洞的攻击失败时的特征，在响应数据包中存在攻击失败的特征的情况下，判定对应的安全事件的攻击结果为攻击失败，这样，在海量的待判定攻击结果的安全事件中确定出攻击失败的安全事件，能够快速过滤海量的攻击失败的安全事件，提升了攻击结果判定的效率。
54.在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征之前，需要建立存储有第一特征的第一特征库。考虑到漏洞的利用频率、适用范围、危害等，可以将各种漏洞类型划分成至少两大类。这里，可以将不同漏洞类型划分为两大类：高可用漏洞和通用型漏洞。高可用漏洞指的是利用频率高、适用范围广和/或危害大的漏洞，而通用型漏洞指的是除高可用漏洞以外的其它类型的漏洞。
55.对于高可用漏洞，通过对具体利用的漏洞进行分析，提取出每种漏洞类型利用失败时响应数据包的特征，根据每种漏洞类型在利用失败时的特征进行响应数据包的匹配，判断攻击结果是否为攻击失败，例如weblogic的t3协议的反序列化漏洞。
56.对于通用型漏洞，在一实施例中，在所述在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征之前，所述方法还包括：
57.确定至少两种响应数据包的共同特征；每种响应数据包基于一种漏洞类型的安全事件生成；
58.将所述共同特征确定为至少两种漏洞类型的第一特征；所述至少两种漏洞类型包括所述至少两种响应数据包对应的漏洞类型。
59.基于至少两种漏洞类型中的每种漏洞类型的安全事件在攻击失败时的响应数据包，确定这至少两种响应数据包的共同特征，将确定出的共同特征作为判断与这至少两种漏洞类型的安全事件是否攻击失败的匹配特征，也就是第一特征。并且，确定出的共同特征还可以作为与这两种漏洞类型存在关联的漏洞类型的第一特征。这里，可以通过对关联的多种漏洞类型中的至少两种漏洞类型提取共同特征，用于多种漏洞类型的安全事件的攻击失败判定。
60.例如，sql注入利用大多都是在动态页面请求中，对html等静态页面的sql注入攻击就可以作为响应数据包的匹配特征，用于判定是否攻击失败。
61.前文提及，第一特征用于攻击失败判定条件，能够快速过滤海量的攻击失败的安全事件。在理想情况下，为了提高攻击失败的安全事件的检出率，应当使攻击失败的判定条件覆盖更多漏洞类型。在本实施例中，无须为存在关联关系的每种漏洞类型分别提取攻击失败的特征，降低了生成第一特征库所需的工作量。同时，通过提取的共同特征确定的第一特征，能够普遍适用于更多漏洞类型的安全事件，例如，对于当前未知的漏洞类型，无法通过特征提取确定第一特征，这样，提高了第一特征作为各类漏洞的安全事件的攻击失败判定条件的普适性。
62.需要说明的是，漏洞类型划分的标准不是绝对的，可以结合应用场景确定划分标准，例如，在需要关注组件类漏洞类型(如struts、tomcat等)的场景下，可以将利用组件类型的漏洞对应设置为高可用漏洞。通过设定划分标准对漏洞类型进行划分，为划分的两大类漏洞类型分别采取对应的确定对应的第一特征。这样，在降低生成第一特征库所需的工作量的同时，对利用特定漏洞类型的安全事件实现攻击失败的精准判定。
63.在本技术各实施例中，通过攻击失败的第一特征与响应数据包的匹配结果，确定
第一安全事件的攻击结果是否为攻击失败。在一实施例中，所述方法还包括：
64.在第二特征库中确定第一安全事件的漏洞类型对应的第二特征；
65.所述确定所述第一安全事件的攻击结果为攻击失败，包括：
66.在所述第一安全事件的响应数据包中不存在对应的第二特征的情况下，确定所述第一安全事件的攻击结果为攻击失败；其中，
67.所述第二特征库包括至少一个第二特征；每个第二特征表征在对应漏洞类型的安全事件攻击成功时对应的响应数据包的特征。
68.根据第一安全事件的漏洞类型，在设定的第二特征库中确定出对应的第二特征。在第一安全事件的响应数据包中存在对应的第一特征，且第一安全事件的响应数据包中不存在对应的第二特征的情况下，确定攻击结果为攻击失败。
69.需要说明的是，对于一个安全事件，攻击结果可以包括攻击成功、攻击失败和待定三种情况。通过匹配响应数据包中是否存在对应的第二特征，可以判定第一安全事件的攻击结果是否为攻击成功。响应数据包中不存在对应的第二特征，第一安全事件的攻击结果不是攻击成功，此时的攻击结果可以是攻击失败或不能判定，而响应数据包中存在对应的第一特征，能够确定攻击结果为攻击失败。
70.其中，每个第二特征是指利用对应漏洞类型的漏洞攻击成功的安全事件的响应数据包中的共同特征，换句话说，对于利用同一漏洞类型的漏洞攻击成功的所有安全事件，采集到的响应数据包具有相同的第二特征。第二特征可以采用高可用漏洞类型的第一特征的提取方式确定，也就是说，通过对具体利用的漏洞进行分析，提取出每种漏洞类型利用成功时响应数据包的特征，根据每种漏洞类型在利用成功时的特征进行响应数据包的匹配，判断攻击结果是否为攻击成功。第二特征可以为关键字或正则表达式规则。具体的关键字可以根据需要设定，而正则表达式则是对字符串和特殊字符操作的一种逻辑公式，通过字符的组合组成一个特征字符串。并且，一种漏洞类型的安全事件可以对应一个第二特征，也可以对应两个或以上的第二特征。
71.这里，对响应数据包中是否存在第一特征和是否存在第二特征的匹配，可以是同时进行，也可以是先后进行。
72.这样，通过分别对响应数据包的攻击成功的特征和攻击失败的特征进行匹配，能够提高攻击结果判定的精确度。
73.在一实施例中，所述方法还包括：
74.在所述第一安全事件的响应数据包中存在对应的第二特征的情况下，确定所述第一安全事件的攻击结果为攻击成功。
75.前文提及，通过匹配响应数据包中是否存在对应的第二特征，可以判定第一安全事件的攻击结果是否为攻击成功。在响应数据包中存在对应的第二特征的情况下，确定攻击结果为攻击成功。
76.这里，将设定攻击成功的优先级设置为高于攻击失败的优先级，也就是说，在匹配到攻击成功的第二特征和攻击失败的第一特征时，确定安全事件的攻击结果为攻击成功。在本实施例中，在响应数据包中存在对应的第二特征的情况下，无论响应数据包中是否存在对应的第一特征，都确定安全事件的攻击结果为攻击成功。这样，通过对响应数据包的攻击成功的特征和攻击失败的特征匹配的结合，提高了攻击结果判定的精确度。
77.在一实施例中，在所述在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征之前，所述方法还包括：
78.通过钩子劫持所述第一安全事件；
79.在确定所述第一安全事件的攻击结果之后，所述方法还包括：
80.释放所述第一安全事件的钩子。
81.在第一安全事件落地为对应的安全日志之前，通过钩子劫持第一安全事件，并在确定第一安全事件的攻击结果之后，修改第一安全事件对应的判定结果，释放第一安全事件的钩子，第一安全事件落地为对应的安全日志。通过钩子技术劫持第一安全事件，便于后续步骤对安全事件进行结果修改，这样，能够在生成第一安全事件对应的安全日志之前，确定第一安全事件的攻击结果。
82.在一实施例中，所述方法还包括：
83.基于对应的漏洞类型和攻击结果，确定所述第一安全事件的风险等级。
84.在确定出第一安全事件的攻击结果之后，根据第一安全事件对应的漏洞类型和攻击结果，确定第一安全事件的风险分数和权重参数，从而确定风险等级。
85.其中，在设定攻击结果的权重参数时，可以为每种漏洞类型的安全事件设定对应的权重参数，也可以为所有漏洞类型的安全事件设定相同的权重参数。这里，在设定权重参数时，攻击结果为攻击成功的权重参数不小于攻击结果为攻击失败的权重参数。在每种漏洞类型的安全事件对应设定一个权重参数的方案中，基于第一安全事件对应的漏洞类型确定风险分数，并基于对应的漏洞类型和攻击结果确定权重参数，根据风险分数和权重参数的计算结果与设定阈值的比较，确定风险等级。每种漏洞类型对应的风险分数可以预先设定。通常，风险分数越大，得到的计算结果越大，则风险等级越高，说明对应的第一安全事件的危害更大。优选地，可以根据风险等级输出告警信息。
86.例如，存在外网服务器对内网服务器攻击的安全事件，且攻击结果为攻击失败，通过攻击结果对应的权重参数，攻击失败的计算结果比攻击成功的计算结果小，确定出的风险等级较小。
87.这样，基于第一安全事件对应的漏洞类型和攻击结果，确定第一安全事件的风险等级，能够实现安全事件自动风险分析，从而提升了安全事件的处理效率。
88.在一实施例中，所述方法还包括：
89.在设定页面显示所述第一安全事件的攻击结果。
90.这里，在设定页面展示第一安全事件和对应的安全日志，并通过设定字段表征第一安全事件的攻击结果。如图2示出的显示页面示意图，对于攻击结果为失败的安全事件，使用“失败”标签进行标注，对于攻击结果为成功的安全事件，使用“成功”标签进行标注，且可以通过筛选不同的攻击结果的安全事件。并且，安全事件的风险等级、安全等级也可以通过设定页面显示。
91.在设定页面显示安全事件相关的攻击结果等信息，使用户能够直观地获取海量安全事件的相关信息，能够提高用户处理安全事件的效率，同时改善了用户的操作体验。
92.下面结合应用实施例对本技术再作进一步详细的描述。
93.图3示出了本技术应用实施例提供的攻击结果判定方法的实现流程示意图，攻击结果判定方法，包括：
94.步骤301：攻击事件。
95.对攻击引擎生成的安全事件，在安全事件落地为安全日志之前，下一个钩子hook，通过钩子劫持安全事件，便于后续步骤对安全事件进行结果修改。
96.这里，可以通过hook技术来劫持对象，从而控制这个对象与其他对象的交互。
97.步骤302：类型区分。
98.根据安全事件的标签的标签值，确定安全事件所利用漏洞的漏洞类型，根据漏洞类型区分安全事件类型，然后将安全事件送入到攻击失败检测引擎中。
99.例如，sql注入、跨站脚本攻击等。
100.步骤303：攻击失败检测。
101.这里，通过设置的攻击失败检测引擎进行攻击失败检测。
102.如图4示出的攻击失败检测引擎的示意图，考虑到漏洞的利用频率、适用范围、危害等，可以将漏洞类型分为通用型漏洞检测(如sql注入、xss漏洞)和高可用漏洞检测(如struts、tomcat等组件漏洞)。
103.针对通用型漏洞，通过匹配这一类型的漏洞利用失败时的共同特征，如sql注入利用大多都是在动态页面请求中，因此html这一类静态页面的sql注入攻击就可以判定为攻击失败。
104.针对高可用漏洞，通过对具体的漏洞利用进行分析，提取出利用每种漏洞类型的安全事件的攻击成功和/或攻击失败的特征，根据这些特征分别判断攻击行为是否为攻击成功、攻击失败，如weblogic的t3协议的反序列化漏洞。由于不同漏洞利用成功时，会在响应数据包中返回不同的内容，因此可以通过匹配响应数据包中是否有这些特征字符串判定攻击失败。
105.其中，攻击失败表征攻击行为没有达到预期目的，例如，未能破坏或获取到服务器权限。
106.步骤304：修改事件结果。
107.攻击失败检测引擎根据检测出的攻击结果，对判定为攻击失败的安全事件，修改安全事件判定结果为攻击失败，然后释放步骤301的hook，安全事件落地为安全日志进行保存。
108.步骤305：攻击结果展示。
109.根据安全事件落地生成的安全日志，在平台页面上进行展示，对于攻击结果为失败的攻击事件，使用“失败”标签对其进行标注，且事件的风险及威胁等级也根据攻击结果进行调整及展示，如存在外网服务器对内网服务器攻击的安全事件，可以根据“失败”标签对应降低安全事件的风险及威胁等级。
110.网络中存在大量的恶意服务器，这些服务器对互联网上的电子设备持续地进行漏洞扫描，以发起攻击。目前，大量的安全产品都专注于提升对攻击行为的检测上，而在进行安全监控或者事件处理的时候，需要由技术人员人工对海量攻击行为的攻击结果进行判定，存在成本较高、效率不高的问题。
111.同时，通过人工判定海量安全事件的攻击结果，也可能漏检其中的攻击成功的安全事件，换句话说，使攻击成功的安全事件被掩盖在海量的安全事件中，导致攻击成功的安全事件的漏报率提高。
112.在本应用实施例中，提出了一种攻击失败判定系统，确定安全事件的攻击结果是否为攻击失败，通过对攻击失败结果标注，并在平台页面上通过设定的攻击失败的标签来进行展示对应的安全事件，以在海量的安全事件中过滤海量的攻击失败的安全事件，实现不同攻击结果的安全事件的区分，这样，能够降低安全事件处理及监控的工作量，提高处理安全事件的效率。并且通过过滤海量的攻击失败的安全事件，通过自动确定攻击结果，无须人工对海量攻击行为的攻击结果进行判定，从而降低了攻击成功的安全事件的漏报率，且使不具备安全能力的人员也能根据失败标签完成安全事件处理，降低了使用门槛。
113.通过“失败”标签标记安全事件的攻击结果为攻击失败，使攻击结果可以作为判断的筛选条件或者数据来源，为实现攻击行为分析等功能提供数据来源。
114.需要说明的是，攻击失败与攻击成功的区别如下：
115.从危害等级来看，攻击失败代表这一次攻击行为是无效的，危害程度是远低于攻击成功的；
116.从方案设计来看，攻击失败作为一种过滤筛选条件，准确度需要达到很高的程度，一旦出现误报就容易导致攻击事件被忽略；
117.从检测逻辑的优先级来看，为了避免检出攻击成功与攻击失败，导致攻击结果被反复修改，定义攻击失败的优先级低于攻击成功；而在风险分数及权重参数的计算上，攻击失败的权重参数也会低于攻击成功的权重参数；
118.在平台页面上进行展示，也可以通过攻击成功的标签的颜色高亮，攻击失败的标签的颜色为灰色或者黑色来进行展示；
119.从数量来看，攻击失败的安全事件数量远高于攻击成功的安全事件，因此，过滤海量的攻击失败的安全事件，提升了攻击结果判定的效率。
120.对检测攻击失败与检测攻击成功的要求上有一些区别，攻击失败需要覆盖更全面的数据，而攻击成功为了检测的准确度，需要更为精确的特征，例如为每种漏洞类型的安全事件提取攻击成功的特征，具体到漏洞类型或者利用手法，而失败可以会通过通用型漏洞的特征来进行检测。
121.为实现本技术实施例的方法，本技术实施例还提供了一种攻击结果判定装置，如图5所示，该装置包括：
122.第一处理单元501，用于在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征；
123.第二处理单元502，用于在所述第一安全事件的响应数据包中存在对应的第一特征的情况下，确定所述第一安全事件的攻击结果为攻击失败；其中，
124.所述第一特征库包括至少一个第一特征；每个第一特征表征在对应漏洞类型的安全事件攻击失败时对应的响应数据包的特征。
125.其中，在一个实施例中，所述装置还包括：
126.第三处理单元，用于在第一处理单元501在所述在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征之前，确定至少两种响应数据包的共同特征；每种响应数据包基于一种漏洞类型的安全事件生成；将所述共同特征确定为至少两种漏洞类型的第一特征；所述至少两种漏洞类型包括所述至少两种响应数据包对应的漏洞类型。
127.在一个实施例中，所述装置还包括：
128.第四处理单元，用于在第二特征库中确定第一安全事件的漏洞类型对应的第二特征；
129.所述第二处理单元502，用于：
130.在所述第一安全事件的响应数据包中不存在对应的第二特征的情况下，确定所述第一安全事件的攻击结果为攻击失败；其中，
131.所述第二特征库包括至少一个第二特征；每个第二特征表征在对应漏洞类型的安全事件攻击成功时对应的响应数据包的特征。
132.在一个实施例中，所述装置还包括：
133.第五处理单元，用于在所述第一安全事件的响应数据包中存在对应的第二特征的情况下，确定所述第一安全事件的攻击结果为攻击成功。
134.在一个实施例中，所述装置还包括：
135.第六处理单元，用于在所述第一处理单元501在第一特征库中确定与第一安全事件的漏洞类型对应的第一特征之前，通过钩子劫持所述第一安全事件；还用于在所述第二处理单元502确定所述第一安全事件的攻击结果之后，释放所述第一安全事件的钩子。
136.在一个实施例中，所述装置还包括：
137.第七处理单元，用于基于对应的漏洞类型和攻击结果，确定所述第一安全事件的风险等级。
138.在一个实施例中，所述装置还包括：
139.显示单元，用于在设定页面显示所述第一安全事件的攻击结果。
140.实际应用时，所述第一处理单元501、第二处理单元502、所述第三处理单元、所述第四处理单元、所述第五处理单元、所述第六处理单元、所述第七处理单元、所述显示单元可由基于攻击结果判定装置中的处理器，比如中央处理器(cpu，central processing unit)、数字信号处理器(dsp，digital signal processor)、微控制单元(mcu，microcontroller unit)或可编程门阵列(fpga，field－programmable gate array)等实现。
141.需要说明的是：上述实施例提供的攻击结果判定装置在进行攻击结果判定时，仅以上述各程序模块的划分进行举例说明，实际应用中，可以根据需要而将上述处理分配由不同的程序模块完成，即将装置的内部结构划分成不同的程序模块，以完成以上描述的全部或者部分处理。另外，上述实施例提供的攻击结果判定装置与攻击结果判定方法实施例属于同一构思，其具体实现过程详见方法实施例，这里不再赘述。
142.基于上述程序模块的硬件实现，且为了实现本技术实施例攻击结果判定方法，本技术实施例还提供了一种电子设备。图6为本技术实施例电子设备的硬件组成结构示意图，如图6所示，电子设备包括：
143.通信接口1，能够与其它设备比如网络设备等进行信息交互；
144.处理器2，与通信接口1连接，以实现与其它设备进行信息交互，用于运行计算机程序时，执行上述一个或多个技术方案提供的方法。而所述计算机程序存储在存储器3上。
145.当然，实际应用时，电子设备中的各个组件通过总线系统4耦合在一起。可理解，总线系统4用于实现这些组件之间的连接通信。总线系统4除包括数据总线之外，还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见，在图6中将各种总线都标为总线
系统4。
146.本发明实施例中的存储器3用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括：用于在电子设备上操作的任何计算机程序。
147.可以理解，存储器3可以是易失性存储器或非易失性存储器，也可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(rom，read only memory)、可编程只读存储器(prom，programmable read-only memory)、可擦除可编程只读存储器(eprom，erasable programmable read-only memory)、电可擦除可编程只读存储器(eeprom，electrically erasable programmable read-only memory)、磁性随机存取存储器(fram，ferromagnetic random access memory)、快闪存储器(flash memory)、磁表面存储器、光盘、或只读光盘(cd-rom，compact disc read-only memory)；磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(ram，random access memory)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的ram可用，例如静态随机存取存储器(sram，static random access memory)、同步静态随机存取存储器(ssram，synchronous static random access memory)、动态随机存取存储器(dram，dynamic random access memory)、同步动态随机存取存储器(sdram，synchronous dynamic random access memory)、双倍数据速率同步动态随机存取存储器(ddrsdram，double data rate synchronous dynamic random access memory)、增强型同步动态随机存取存储器(esdram，enhanced synchronous dynamic random access memory)、同步连接动态随机存取存储器(sldram，synclink dynamic random access memory)、直接内存总线随机存取存储器(drram，direct rambus random access memory)。本发明实施例描述的存储器2旨在包括但不限于这些和任意其它适合类型的存储器。
148.上述本发明实施例揭示的方法可以应用于处理器2中，或者由处理器2实现。处理器2可能是一种集成电路芯片，具有信号的处理能力。在实现过程中，上述方法的各步骤可以通过处理器2中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器2可以是通用处理器、dsp，或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器2可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤，可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中，该存储介质位于存储器3，处理器2读取存储器3中的程序，结合其硬件完成前述方法的步骤。
149.处理器2执行所述程序时实现本发明实施例的各个方法中的相应流程，为了简洁，在此不再赘述。
150.在示例性实施例中，本发明实施例还提供了一种存储介质，即计算机存储介质，具体为计算机可读存储介质，例如包括存储计算机程序的存储器3，上述计算机程序可由处理器2执行，以完成前述方法所述步骤。计算机可读存储介质可以是fram、rom、prom、eprom、eeprom、flash memory、磁表面存储器、光盘、或cd-rom等存储器。
151.在本技术所提供的几个实施例中，应该理解到，所揭露的装置、电子设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可
以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
152.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元，即可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
153.另外，在本技术各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
154.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
155.或者，本技术上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。
156.需要说明的是，本技术实施例所记载的技术方案之间，在不冲突的情况下，可以任意组合。除非另有说明和限定，术语“连接”应做广义理解，例如，可以是电连接，也可以是两个元件内部的连通，可以是直接相连，也可以通过中间媒介间接相连，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。
157.另外，在本技术实例中，“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解“第一\第二\第三”区分的对象在适当情况下可以互换，以使这里描述的本技术的实施例可以除了在这里图示或描述的那些以外的顺序实施。
158.本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中术语“至少一个”表示多个中的任意一个或多个中的至少两个的任意组合，例如，包括a、b、c中的至少一个，可以表示包括从a、b和c构成的集合中选择的任意一个或多个元素。
159.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以所述权利要求的保护范围为准。
160.在具体实施方式中所描述的各个实施例中的各个具体技术特征，在不矛盾的情况下，可以进行各种组合，例如通过不同的具体技术特征的组合可以形成不同的实施方式，为了避免不必要的重复，本技术中各个具体技术特征的各种可能的组合方式不再另行说明。