一种判定网络攻击结果未遂的方法和相关装置与流程

本申请涉及网络安全技术领域，尤其涉及一种判定网络攻击结果未遂的方法和相关装置。

背景技术：

网络攻击指的是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。在最近几年里，网络攻击技术和攻击工具有了新的发展趋势，使借助internet运行业务的机构面临着前所未有的风险。为了更好地应对网络攻击，首先需要对网络攻击进行识别，即对网络访问进行判定，以确定某种网络访问行为是否为网络攻击。

然而，目前只是实现了网络攻击判定，却缺少一种有效的方法，可以判定网络攻击结果未遂。

技术实现要素：

本申请实施例提供了一种判定网络攻击结果未遂的方法，使得能够判定出网络攻击结果未遂的情况。

有鉴于此，本申请第一方面提供了一种判定网络攻击结果未遂的方法，包括：

获取网络攻击过程中的响应数据包；

分析所述响应数据包中的应用协议；

若所述应用协议属于预置的标准协议，则根据所述响应数据包中的响应数据提取第一特征向量；

获取所述第一特征向量与预置的参考特征向量的相似度，所述参考特征向量为在网络安全的情况下提取与所述响应数据包同类的数据包对应的特征向量；

若所述相似度大于预置的阈值，则判定所述网络攻击结果未遂。

优选地，

在分析所述响应数据包中的应用协议之后，在若所述应用协议属于预置的标准协议，则根据所述响应数据包中的响应数据提取第一特征向量之前，还包括：

若所述应用协议属于预置的认证协议，则判断对所述应用协议认证过程中是否存在预置的未遂特征，所述未遂特征为对所述认证协议认证失败的特征；

若存在，则判定所述网络攻击结果未遂；

若不存在，则判定所述应用协议是否属于预置的标准协议。

优选地，

获取网络攻击过程中的响应数据包具体包括：

获取网络攻击过程中的多个数据包；

解开每个数据包得到基本信息和响应数据，其中所述基本信息包括应用协议和用于标记所述数据包是否为响应数据包的标志；

根据所述标志从所述多个数据包中选出响应数据包。

优选地，

在解开每个数据包得到基本信息和响应数据之后，在根据所述标志从所述多个数据包中选出响应数据包之前，还包括：

过滤掉基本信息不符合预设条件的数据包。

优选地，

所述预设条件为基本信息中的源ip地址不属于预设源ip地址。

优选地，

所述预设条件为基本信息中的端口不属于预设端口。

优选地，

获取网络攻击过程中的多个数据包具体包括：

从网卡直接获取网络攻击过程中的多个数据包。

本申请第二方面提供一种判定网络攻击结果未遂的装置，包括：

第一获取单元，用于获取网络攻击过程中的响应数据包；

分析单元，用于分析所述响应数据包中的应用协议；

提取单元，用于当所述应用协议属于预置的标准协议时，根据所述响应数据包中的响应数据提取第一特征向量；

第二获取单元，用于获取所述第一特征向量与预置的参考特征向量的相似度，所述参考特征向量为在网络安全的情况下提取与所述响应数据包同类的数据包对应的特征向量；

判定单元，用于当所述相似度大于预置的阈值时，判定所述网络攻击结果未遂。

本申请第三方面提供一种判定网络攻击结果未遂的设备，所述设备包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令，执行如上述第一方面所述的判定网络攻击结果未遂的方法的步骤。

本申请第四方面提供一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行上述第一方面所述的判定网络攻击结果未遂的方法的步骤。

从以上技术方案可以看出，本申请实施例具有以下优点：

本申请实施例中，提供了一种判定网络攻击结果未遂的方法，包括：获取网络攻击过程中的响应数据包；分析响应数据包中的应用协议；若应用协议属于预置的标准协议，则根据响应数据包中的响应数据提取第一特征向量；获取第一特征向量与预置的参考特征向量的相似度，参考特征向量为在网络安全的情况下提取与响应数据包同类的数据包对应的特征向量；若相似度大于预置的阈值，则判定网络攻击结果未遂；

本申请实施例通过上述方法可以实现对应用协议是标准协议的所有网络攻击进行结果判断；并且，本申请实施例的方法不需要进行特征比对，因为如果通过特征比对的方法对网络攻击结果未遂进行判定，那么判定结果的准确性完全取决于预置特征的种类和数量，对于未预置的特征，甚至不能对网络攻击结果未遂进行判定，因此本申请实施例通过计算第一特征向量与参考特征向量的相似度，可以更有效地判定网络结果未遂，并且一定程度上可以对一些未知或变形的网络攻击进行判定。

附图说明

图1为本申请实施例中一种判定网络攻击结果未遂的方法的第一实施例的方法流程图；

图2为本申请实施例中一种判定网络攻击结果未遂的方法的第二实施例的方法流程图；

图3为本申请实施例中判定网络攻击结果未遂的装置的一个结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

请参阅图1，本申请实施例中一种判定网络攻击结果未遂的方法的第一实施例的方法流程图。

本申请实施例提供了一种判定网络攻击结果未遂的方法的第一实施例，包括：

步骤101，获取网络攻击过程中的响应数据包。

需要说明的是，在网络攻击过程中，存在请求数据包和响应数据包，而本身实施例是对网络攻击结果的判定，所以选择响应数据包进行检测。

步骤102，分析响应数据包中的应用协议。

可以理解的是，应用协议是解开响应数据包得到的，每个响应数据包均带有一个应用协议。

步骤103，若应用协议属于预置的标准协议，则根据响应数据包中的响应数据提取第一特征向量。

需要说明的是，标准协议包括但不限于聊天协议和上网协议。

另外，第一特征向量的提取方法是比较现有的技术手段，所以在此不再赘述；但第一特征向量不唯一，第一特征向量与选用的响应数据包中的数据相关。

步骤104，获取第一特征向量与预置的参考特征向量的相似度，参考特征向量为在网络安全的情况下提取与响应数据包同类的数据包对应的特征向量。

需要说明的是，相似度可以用第一特征向量与参考特征向量之间的欧式距离表示。

可以理解的是，需要预先在网络安全的情况下，提取与响应数据包同类的数据包对应的特征向量作为参考特征向量，其中，同类的数据包是指与响应数据包相比，仅仅是数据包的来源和目的不同，其他均相同，例如要保证目的ip和目的端口相同，如果一次网络攻击过程中涉及多次交互，那么还需要保证数据包序号相同。

步骤105，若相似度大于预置的阈值，则判定网络攻击结果未遂。

需要说明的是，本申请实施例是对应用协议属于标准协议的响应数据包进行处理，以判断其网络攻击结果，如果响应数据包的应用协议为访问用户自定义的协议，便不对响应数据包进行处理。

在本申请实施例中，可以实现对应用协议是标准协议的所有网络攻击进行结果判断；并且，本申请实施例的方法不需要进行特征比对，因为如果通过特征比对的方法对网络攻击结果未遂进行判定，那么判定结果的准确性完全取决于预置特征的种类和数量，对于未预置的特征，甚至不能对网络攻击结果未遂进行判定，因此本申请实施例通过计算第一特征向量与参考特征向量的相似度，可以更有效地判定网络结果未遂，并且一定程度上可以对一些未知或变形的网络攻击进行判定。

请参阅图2，本申请实施例中一种判定网络攻击结果未遂的方法的第二实施例的方法流程图。

本申请实施例提供了一种判定网络攻击结果未遂的方法的第二实施例，包括：

步骤201，获取网络攻击过程中的多个数据包。

可以理解的是，网络攻击过程中存在请求数据包，还存在响应数据包，网络攻击过程中还存在多次交互的情况，所以网络攻击过程中存在多个数据包。

需要说明的是，为了提高数据包的抓取能力，可以从网卡直接获取网络攻击过程中的多个数据包，而不需经过系统内核的处理。

步骤202，解开每个数据包得到基本信息和响应数据，其中基本信息包括应用协议和用于标记数据包是否为响应数据包的标志。

举例说明，一般可用“ipaportany＝>ipbport80”这个标志表示数据包为对http协议的请求数据包，用“ipbport80＝>ipaportany”这个标志表示数据包为http协议的响应数据包。

另外，基本信息除了包括应用协议外，还包括源ip、源端口、目的ip和目的端口。

步骤203，过滤掉基本信息不符合预设条件的数据包。

可以理解的是，本申请实施例通过预设条件，过滤掉不满足要求的数据包，当数据包的个数较多时，通过过滤可以提高网络攻击结果判定的效率。

需要说明的是，预设条件可以根据用户实际需要进行设定。

例如，可以将预设条件设定为基本信息中的源ip地址不属于预设源ip地址，源ip地址表示数据包的来源，当用户认为某一个部分源ip地址不需要进行网络攻击结果的判定，通过该预设条件可以将相应的数据包过滤掉。

具体地，假设本申请实施例的方法应用在一个公司的内网系统中，公司不关心公司内网系统中网络攻击，所以将源ip地址属于公司内网的数据包过滤掉。

又例如，可以将预设条件设置为基本信息中的端口不属于预设端口，端口可以表示业务的种类，业务的种类可以是搜索访问，也可以是视频访问，搜索访问一般用80和443端口,视频访问一般用rtmp1935端口和rtsp554端口，因此通过该预设条件可以将不关心的业务中的数据包过滤掉。

步骤204，根据标志从多个数据包中选出响应数据包。

步骤205，分析响应数据包中的应用协议。

步骤206，若应用协议属于预置的认证协议，则判断对应用协议认证过程中是否存在预置的未遂特征，未遂特征为对认证协议认证失败的特征。

认证协议包括数据库认证协议、httpbasic认证协议和其他有登陆认证的协议，对于认证协议，在其认证过程中，如果认证失败，会存在失败的特征；所以，对于认证协议，不需要进行特征向量的相似度计算，即可准确判定网络攻击的结果，本申请实施例通过预置未遂特征的方法，实现对应用协议属于认证协议的网络攻击结果的判定，在保证准确判定的同时，由于不需要进行第一特征向量的计算，所以还可以提高判定效率。

步骤207，若存在，则判定网络攻击结果未遂。

步骤208，若不存在，则判定应用协议是否属于预置的标准协议。

步骤209，若应用协议属于预置的标准协议，则根据响应数据包中的响应数据提取第一特征向量。

步骤210，获取第一特征向量与预置的参考特征向量的相似度，参考特征向量为在网络安全的情况下提取与响应数据包同类的数据包对应的特征向量。

步骤211，若相似度大于预置的阈值，则判定网络攻击结果未遂。

请参阅图3，本申请实施例中判定网络攻击结果未遂的装置的一个结构示意图。

本申请实施例提供一种判定网络攻击结果未遂的装置的一个实施例，包括：

第一获取单元301，用于获取网络攻击过程中的响应数据包；

分析单元302，用于分析响应数据包中的应用协议；

提取单元303，用于当应用协议属于预置的标准协议时，根据响应数据包中的响应数据提取第一特征向量；

第二获取单元304，用于获取第一特征向量与预置的参考特征向量的相似度，参考特征向量为在网络安全的情况下提取与响应数据包同类的数据包对应的特征向量；

判定单元305，用于当相似度大于预置的阈值时，判定网络攻击结果未遂。

本申请实施例还提供一种判定网络攻击结果未遂的设备，设备包括处理器以及存储器：

存储器用于存储程序代码，并将程序代码传输给处理器；

处理器用于根据程序代码中的指令，执行前述各个实施例的一种判定网络攻击结果未遂方法中的任意一种实施方式。

本申请实施例还提供一种计算机可读存储介质，用于存储程序代码，该程序代码用于执行前述各个实施例的一种判定网络攻击结果未遂方法中的任意一种实施方式。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应当理解，在本申请中，“至少一个(项)”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，用于描述关联对象的关联关系，表示可以存在三种关系，例如，“a和/或b”可以表示：只存在a，只存在b以及同时存在a和b三种情况，其中a，b可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b或c中的至少一项(个)，可以表示：a，b，c，“a和b”，“a和c”，“b和c”，或“a和b和c”，其中a，b，c可以是单个，也可以是多个。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(英文全称：read-onlymemory，英文缩写：rom)、随机存取存储器(英文全称：randomaccessmemory，英文缩写：ram)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。