漏洞攻击处理方法、装置、设备及存储介质与流程

本发明涉及网络安全技术领域，尤其涉及一种漏洞攻击处理方法、装置、设备及存储介质。

背景技术：

随着网络技术的发展，网络攻击手段层出不穷，如何更好的保护各种机密或隐私信息不被非法泄露，成为全世界科研人员共同的话题网络安全。网络安全无论是对国家还是对个人而言都是极为重要的。

目前，漏洞利用程序经常利用设备或服务器存在的漏洞，发起网络攻击，造成设备或服务器等被攻击对象的宕机，严重的影响网络安全。因此，如何对漏洞利用程序发起的漏洞攻击进行有效识别和处理，成为一个亟待解决的问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

技术实现要素：

本发明的主要目的在于提供了一种漏洞攻击处理方法、装置、设备及存储介质，旨在解决现有技术无法对漏洞利用程序发起的漏洞攻击进行有效识别和处理的技术问题。

为实现上述目的，本发明提供了一种漏洞攻击处理方法，所述方法包括以下步骤：

在接收到待转发报文时，对所述待转发报文进行解析，以获得所述待转发报文的报文特征；

将所述报文特征与预设漏洞报文特征集进行匹配；

在所述报文特征与预设漏洞报文特征集匹配成功时，对所述待转发报文进行拦截，以阻断漏洞攻击。

可选地，所述将所述报文特征与预设漏洞报文特征集进行匹配的步骤，包括：

读取所述报文特征中包含的报文原数据；

将所述报文原数据与预设漏洞报文特征集进行匹配。

可选地，所述将所述报文原数据与预设漏洞报文特征集进行匹配的步骤，包括：

从所述报文原数据中读取五元组信息和/或mac地址信息；

将所述五元组信息和/或mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的报文数据进行匹配。

可选地，所述将所述五元组信息和/或mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的报文数据进行匹配的步骤，还包括：

读取所述五元组信息中传输层协议信息；

将所述传输层协议信息与预设漏洞报文特征集中各漏洞报文特征对应的传输层协议进行匹配；

和/或，将所述mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的mac地址进行匹配。

可选地，所述将所述传输层协议信息与预设漏洞报文特征集中各漏洞报文特征对应的传输层协议进行匹配的步骤之后，所述方法还包括：

在匹配成功时，读取所述五元组信息中的当前源ip地址，以及预设漏洞报文特征集中各漏洞报文特征对应的目标源ip地址；

将所述当前源ip地址和所述目标源ip地址进行匹配。

可选地，所述在接收到待转发报文时，对所述待转发报文进行解析，以获得所述待转发报文的报文特征的步骤之前，所述方法还包括：

获取漏洞利用程序的历史漏洞攻击报文信息；

根据所述历史漏洞攻击报文信息获取所述漏洞利用程序的漏洞报文特征；

根据所述漏洞报文特征构建预设漏洞报文特征集；

将所述漏洞报文特征集与所述漏洞利用程序进行关联后保存至预设特征库。

可选地，所述根据所述历史漏洞攻击报文信息获取所述漏洞利用程序的漏洞报文特征的步骤，包括：

根据所述历史漏洞攻击报文信息，获取所述漏洞利用程序在发起漏洞攻击时的网络行为数据；

获取所述网络行为数据中包含的通信报文，对所述通信报文进行特征分析，获得所述漏洞利用程序的漏洞报文特征。

可选地，所述将所述漏洞报文特征集与所述漏洞利用程序进行关联后保存至预设特征库的步骤，包括：

获取所述漏洞利用程序对应的应用标识，建立所述应用标识与所述漏洞报文特征集之间的映射关系，并对所述映射关系保存至预设特征库；

所述将所述报文特征与预设漏洞报文特征集进行匹配的步骤之前，所述方法还包括：

确定所述待转发报文对应的报文发起应用；

获取所述报文发起应用对应的目标应用标识，并在所述映射关系中查找所述目标应用标识对应的预设漏洞报文特征集。

可选地，所述确定所述待转发报文对应的报文发起应用的步骤，包括：

获取所述待转发报文中携带的mac地址和时间戳；

根据所述mac地址和时间戳确定所述待转发报文对应的报文发起应用。

可选地，所述根据所述mac地址和时间戳确定所述待转发报文对应的报文发起应用的步骤，包括：

根据所述mac地址确定所述待转发报文对应的报文发起设备；

获取所述报文发起设备对应的网络访问日志，并根据所述时间戳和所述网络访问日志确定报文发起应用。

可选地，所述在所述报文特征与预设漏洞报文特征集匹配成功时，对所述待转发报文进行拦截，以阻断漏洞攻击步骤之后，所述方法还包括：

根据所述待转发报文确定对应的报文发起设备，并获取所述报文发起设备对应的设备标识；

根据所述设备标识对所述待转发报文进行标记，获得标记后的报文；

将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器对所述标记后的报文进行漏洞分析。

可选地，所述将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器对所述标记后的报文进行漏洞分析的步骤，包括：

将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器根据所述标记后的报文中携带的设备标识查找对应的历史漏洞报文，并对根据所述历史漏洞报文和所述标记后的报文所构建的预设漏洞报文特征集进行反馈。

此外，为实现上述目的，本发明还提出一种漏洞攻击处理装置，所述漏洞攻击处理装置包括：

报文解析模块，用于在接收到待转发报文时，对所述待转发报文进行解析，以获得所述待转发报文的报文特征；

特征匹配模块，用于将所述报文特征与预设漏洞报文特征集进行匹配；

报文拦截模块，用于在所述报文特征与预设漏洞报文特征集匹配成功时，对所述待转发报文进行拦截，以阻断漏洞攻击。

可选地，所述特征匹配模块，还用于读取所述报文特征中包含的报文原数据；将所述报文原数据与预设漏洞报文特征集进行匹配。

可选地，所述特征匹配模块，还用于从所述报文原数据中读取五元组信息和/或mac地址信息；将所述五元组信息和/或mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的报文数据进行匹配。

可选地，所述特征匹配模块，还用于读取所述五元组信息中传输层协议信息；将所述传输层协议信息与预设漏洞报文特征集中各漏洞报文特征对应的传输层协议进行匹配；

可选地，所述特征匹配模块，还用于将所述mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的mac地址进行匹配。

可选地，所述特征匹配模块，还用于在匹配成功时，读取所述五元组信息中的当前源ip地址，以及预设漏洞报文特征集中各漏洞报文特征对应的目标源ip地址；将所述当前源ip地址和所述目标源ip地址进行匹配。

可选地，所述漏洞攻击处理装置还包括：漏洞分析模块，用于获取漏洞利用程序的历史漏洞攻击报文信息；根据所述历史漏洞攻击报文信息获取所述漏洞利用程序的漏洞报文特征；根据所述漏洞报文特征构建预设漏洞报文特征集；将所述漏洞报文特征集与所述漏洞利用程序进行关联后保存至预设特征库。

此外，为实现上述目的，本发明还提出一种漏洞攻击处理设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的漏洞攻击处理程序，所述漏洞攻击处理程序配置为实现如上文所述的漏洞攻击处理方法的步骤。

此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有漏洞攻击处理程序，所述漏洞攻击处理程序被处理器执行时实现如上文所述的漏洞攻击处理方法的步骤。

本发明通过在接收到待转发报文时，对待转发报文进行解析获得待转发报文的报文特征；然后将报文特征与预设漏洞报文特征集进行匹配；在报文特征与预设漏洞报文特征集匹配成功时，对待转发报文进行拦截，以阻断漏洞攻击。由于本发明是对接收到的每个报文都进行报文特征的提取，然后将提取的报文特征与漏洞报文特征集进行匹配，若匹配成功，则表明报文存在漏洞攻击威胁，进而对报文进行拦截。本发明通过上述方式能够在携带漏洞攻击的报文达到攻击对象前对其进行有效识别和拦截，保证了报文传输的安全性。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的漏洞攻击处理设备的结构示意图；

图2为本发明漏洞攻击处理方法第一实施例的流程示意图；

图3为本发明漏洞攻击处理方法第二实施例的流程示意图；

图4为本发明漏洞攻击处理方法第三实施例的流程示意图；

图5为本发明漏洞攻击处理装置第一实施例的结构框图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的漏洞攻击处理设备结构示意图。

如图1所示，该漏洞攻击处理设备可以包括：处理器1001，例如中央处理器(centralprocessingunit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(randomaccessmemory，ram)存储器，也可以是稳定的非易失性存储器(non-volatilememory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对漏洞攻击处理设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、数据存储模块、网络通信模块、用户接口模块以及漏洞攻击处理程序。

在图1所示的漏洞攻击处理设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明漏洞攻击处理设备中的处理器1001、存储器1005可以设置在漏洞攻击处理设备中，所述漏洞攻击处理设备通过处理器1001调用存储器1005中存储的漏洞攻击处理程序，并执行本发明实施例提供的漏洞攻击处理方法。

本发明实施例提供了一种漏洞攻击处理方法，参照图2，图2为本发明漏洞攻击处理方法第一实施例的流程示意图。

本实施例中，所述漏洞攻击处理方法包括以下步骤：

步骤s10：在接收到待转发报文时，对所述待转发报文进行解析，以获得所述待转发报文的报文特征；

需要说明的是，本实施例方法的执行主体可以是上述漏洞攻击处理设备，该设备可以是一种网关设备，或者是集成有协议栈功能的网关设备。本实施例中该网关设备具备对漏洞利用程序或装载有漏洞利用程序的设备发送的报文进行漏洞检测、分析和处理的功能。以下以网关设备为例对本实施例和下述实施例进行说明。

应理解的是，所述待转发报文可以是由网关设备连接的网络设备或网络设备中的应用发送的数据包或数据块，所述报文特征可以是能够表征报文特点或特有属性的信息，例如ip报文的五元组信息、mac地址信息或者其他特征信息。

在具体实现中，网关设备在接收到任意网络设备发送的待转发报文时，对该待转发报文进行解析，然后根据解析结果来获取待转发报文的报文特征。

步骤s20：将所述报文特征与预设漏洞报文特征集进行匹配；

需要说明的是，实际情况下，很多漏洞利用程序进行的第一次漏洞攻击，网关设备并不能识别和阻止，只有在漏洞攻击事件发生后，通过对该漏洞攻击事件进行分析，然后将分析结果作为依据对后续的漏洞攻击进行识别、缓解。因此实际操作中，可预先对已经发生的漏洞攻击行为的报文信息进行特征分析，然后根据分析出的特征建立漏洞报文特征集或制定漏洞报文特征匹配规则，以便于后续能够依据这些特征集和匹配规则对包含漏洞攻击行为的报文进行准确识别。

在具体实现中，网关设备获取到报文特征后，即可将该报文特征与预先收集并存放在网关设备或服务器中的预设漏洞报文特征集进行匹配，然后根据匹配结果来执行相应的报文处理操作。

步骤s30：在所述报文特征与预设漏洞报文特征集匹配成功时，对所述待转发报文进行拦截，以阻断漏洞攻击。

应理解的是，实际情况中，报文特征中可能包含很多维度的特征(信息)参数，若严格要求每一个特征参数都与预设漏洞报文特征集匹配成功才认定报文中携带有漏洞攻击，就容易导致漏洞检测结果的失真，无法有效的识别出漏洞攻击。因此，本实施例网关设备在判断报文特征是否匹配成功时，可以根据报文特征的匹配度来衡量，当匹配度大于某一阈值，可以认定为匹配成功。

当然，若匹配度低于该阈值，并不代表匹配不成功、不存在漏洞攻击行为。因此对于匹配不成功的报文特征，本实施例还可以根据报文特征中匹配成功的一个或多个特征参数来进一步判断，例如若整个报文特征中，匹配成功的参数只有五元组信息中的传输层协议“tcp/udp协议”匹配成功，而结合到实际情况中，针对传输层的漏洞攻击主要是利用tcp/udp协议进行攻击，这种情况下也可以判定报文特征与预设漏洞报文特征集匹配成功。因此，本实施例中优选根据报文特征中容易产生漏洞攻击的参数来定义特征参数的优先级，以使网关设备在进行报文特征匹配时，优先根据该优先级匹配对应的特征参数，对于优先级较高的特征参数，一旦匹配成功可以直接判定这个报文特征匹配成功。

进一步地，本实施例中上述匹配度的计算方式可以是根据报文特征中匹配成功的特征参数在整个特征参数中的占比来确定，例如五元组信息的源ip地址，源端口，目的ip地址，目的端口和传输层协议中，匹配成功的参数有三个，此时，报文特征的匹配度即可为(3/5)*100％＝60％。此处仅做举例，并不表示对匹配度计算方式的具体限定。

在具体实现中，网关设备在按照上述方式检测到报文特征与预设漏洞报文特征集匹配成功时，即可对待转发报文进行拦截或发送断开报文，以阻断漏洞攻击。

本实施例通过在接收到待转发报文时，对待转发报文进行解析获得待转发报文的报文特征；然后将报文特征与预设漏洞报文特征集进行匹配；在报文特征与预设漏洞报文特征集匹配成功时，对待转发报文进行拦截，以阻断漏洞攻击。由于本实施例是对接收到的每个报文都进行报文特征的提取，然后将提取的报文特征与漏洞报文特征集进行匹配，若匹配成功，则表明报文存在漏洞攻击威胁，进而对报文进行拦截。本实施例通过这种方式能够在携带漏洞攻击的报文达到攻击对象前对其进行有效识别和拦截，保证了报文传输的安全性。

进一步地，为了保证漏洞攻击识别的准确度，本实施例中所述步骤s20可包括：

步骤s201：读取所述报文特征中包含的报文原数据；

需要说明的是，所述报文原数据可以是报文特征中携带的原始数据信息，例如五元组信息、原mac地址信息等。

步骤s202：将所述报文原数据与预设漏洞报文特征集进行匹配。

在具体实现中，网关设备可从报文特征中读取报文原数据，然后将报文原数据与预设漏洞报文特征集进行匹配。

进一步地，为了在保证漏洞攻击识别准确度的同时，提高识别效率，本实施例中网关设备还可以从所述报文原数据中仅读取五元组信息和/或mac地址信息；然后将所述五元组信息和/或mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的(包含五元组信息和mac地址信息的)报文数据进行匹配；在五元组信息和mac地址信息中的任一信息匹配成功时，即认定报文特征匹配成功。

作为报文特征匹配的一种实施方式，本实施例中，网关设备可读取所述五元组信息中的传输层协议信息；然后将所述传输层协议信息与预设漏洞报文特征集中各漏洞报文特征对应的传输层协议进行匹配，在匹配成功时，读取所述五元组信息中的当前源ip地址，以及预设漏洞报文特征集中各漏洞报文特征对应的目标源ip地址；将所述当前源ip地址和所述目标源ip地址进行匹配。

需要说明的是，现有的网络攻击行为包含针对数据链路层的攻击和针对传输层的攻击。其中，针对传输层的攻击主要是利用tcp/udp协议进行攻击，而利用tcp协议攻击主要是利用tcp协议的三次握手机制，向目标主机或者服务器发送大量连接请求但是不对其进行响应，使得占用大量目标服务器主机资源，造成瘫痪的攻击方式，常见的攻击方式有flooding洪泛攻击、ackflooding洪范攻击等，而利用udp的攻击主要是利用流量攻击，使用udp的不可靠性，大量发送数据包，造成目标拒绝服务的目的，常见的攻击方式有udpflooding洪泛攻击。

基于上述实际情况，本实施例中网关设备可先对五元组信息中的传输层协议信息进行匹配，在匹配成功时，再进一步的检测源ip地址是否是属于目标源ip地址，本实施例中上述目标源ip地址可存放在预先设置的ip地址黑名单中。

作为报文特征匹配的另一种实施方式，本实施例中，网关设备还可将所述mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的mac地址进行匹配，然后根据匹配结果来判断是否需要对报文进行拦截。

需要说明的是，针对数据链路层的攻击常见的是对基于mac地址的伪装欺骗，在数据链路层有两个重要的协议arp(地址解析协议)和rarp协议(反向地址解析协议)，常见的攻击方式就是arp欺骗(arp伪装)，其攻击原理为攻击者利用自己伪造的mac地址来告诉被攻击者自己是对方想要访问的身份，从而欺骗被攻击者将数据流量转发到自己伪造的身份地址上，进而获取数据，达到欺骗的目的。

因此，本实施例中，网关设备还可以将mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的mac地址进行匹配，从而实现对数据链路层攻击的准确识别。

参考图3，图3为本发明漏洞攻击处理方法第二实施例的流程示意图。

在本实施例中，所述步骤s10之前还包括：

步骤s01：获取漏洞利用程序的历史漏洞攻击报文信息；

需要说明的是，所述漏洞利用程序可以是利用漏洞发起网络攻击行为的应用程序。所述历史漏洞攻击报文信息可以是漏洞利用程序过往一段时间在发起网络攻击行为时，作为其攻击行为载体的报文数据。

在具体实现中，网关设备可以向漏洞分析服务器发送信息获取请求，以使漏洞分析服务器根据请求中携带的应用标识查找并反馈对应的历史漏洞攻击报文信息。

步骤s02：根据所述历史漏洞攻击报文信息获取所述漏洞利用程序的漏洞报文特征；

在具体实现中，网关设备可根据历史漏洞攻击报文信息中包含的漏洞攻击的种类和各类攻击利用的报文参数(例如针对传输层的攻击主要是利用报文五元组数据中的网络传输协议来实现，针对数据链路层的攻击常见的是基于报文中mac地址的伪装欺骗)，通过大数据分析来确定漏洞利用程序的漏洞报文特征。

步骤s03：根据所述漏洞报文特征构建预设漏洞报文特征集；

需要说明的是，在获取到漏洞报文特征后，网关设备即可构建相应的漏洞报文特征集，例如针对数据链路层的攻击的特征是：伪造mac地址，针对网络层的攻击的特征是：通过制造大量的无用数据包，对目标服务器或者主机发动攻击(ip分片攻击、p欺骗伪造攻击)，使得目标对外拒绝服务，针对传输层的攻击的特征是：利用tcp/udp协议进行攻击，针对会话层的攻击的特征是：利用或者窃取合法用户的cookie和session等。

步骤s04：将所述漏洞报文特征集与所述漏洞利用程序进行关联后保存至预设特征库。

需要说明的是，为了方便针对不同的应用程序建立相应的报文特征库，本实施例中，网关设备还将构建完成的漏洞报文特征集与对应的漏洞利用程序进行关联后保存至预设特征库，一方面便于后续的查询，另一方面也可以简化漏洞报文特征集的更新维护流程。

本实施例通过上述方式能够对不同的漏洞利用程序进行漏洞攻击分析，提取对应的报文特征，便于后续根据这些报文特征对漏洞攻击的有效识别，也充分利用了已经发生的漏洞攻击所产生的报文信息。

进一步地，为了保证漏洞报文特征中特征维度不过于单一，本实施例中上述步骤s01可包括：

步骤s011：根据所述历史漏洞攻击报文信息，获取所述漏洞利用程序在发起漏洞攻击时的网络行为数据；

步骤s012：获取所述网络行为数据中包含的通信报文，对所述通信报文进行特征分析，获得所述漏洞利用程序的漏洞报文特征。

需要说明的是，漏洞利用程序在发起漏洞攻击时一般通过网络行为实现，因此本实施例网关设备优先获取漏洞利用程序在发起漏洞攻击时的网络行为数据。所述网络行为数据可以是应用程序在进行网络活动(资源访问、数据上传/下载等)时的所有数据。

应理解的是，所述通信报文即应用程序在进行通信时所发出的报文。为了排除其他相关程度不高的网络行为数据对报文特征分析结果的影响，降低网关设备的工作量，提高分析效率。本实施例中网关设备将从网络行为数据提取通信报文，然后对通信报文进行特征分析，获得漏洞利用程序的漏洞报文特征。

进一步地，为了提高网关设备对预设漏洞报文特征集的获取效率，本实施例中，网关设备还可获取漏洞利用程序对应的应用标识，建立应用标识与漏洞报文特征集之间的映射关系，并对映射关系保存至预设特征库；从而在获取到待转发报文时，先确定待转发报文对应的报文发起应用；然后获取报文发起应用对应的目标应用标识，再在该映射关系中快速、准确地查找目标应用标识对应的预设漏洞报文特征集，以进一步提高漏洞的识别效率。

需要说明的是，本实施例中网关设备在确定待转发报文对应的报文发起应用时，可按照如下方式实现：

步骤s101：获取所述待转发报文中携带的mac地址和时间戳；

应理解的是，对于网关设备而言，尤其是在某些高并发场景中，网关设备在同一时间或时段内接收到的待转发报文可能有很多，有些待转发报文可能是由同一个应用或设备发送，因此为了实现对预设漏洞报文特征集的准确获取，网关设备需要先确定发送当前接收到的待转发报文的报文发起应用。

步骤s102：根据所述mac地址和时间戳确定所述待转发报文对应的报文发起应用。

在具体实现中，网关设备可获取待转发报文中携带的mac地址和时间戳，然后根据mac地址先确定所述待转发报文对应的报文发起设备；再通过获取所述报文发起设备对应的网络访问日志，然后根据所述时间戳和所述网络访问日志确定报文发起应用。其中，所述网络访问日志，即报文发起设备进行网络活动时的日志数据。所述报文发起应用为装设在报文发起设备上的应用程序，其是否是漏洞利用程序可按照上述第一实施例的方式进行识别，即待转发报文被拦截时，可判断发送该待转发报文的应用程序为漏洞利用程序。

本实施例通过上述方式实现了对报文发起应用的准确确定，同时通过获取该报文发起应用对应的预设漏洞报文特征集来对待转发报文进行报文特征匹配，能有效的识别报文中携带的漏洞攻击。

参考图4，图4为本发明漏洞攻击处理方法第三实施例的流程示意图。

在本实施例中，所述漏洞攻击处理方法还包括：

步骤s40：根据所述待转发报文确定对应的报文发起设备，并获取所述报文发起设备对应的设备标识；

步骤s50：根据所述设备标识对所述待转发报文进行标记，获得标记后的报文；

应理解的是，在互联网技术高度发达的时代，网络攻击无处不在，为了能够保证漏洞识别的深度和广度，本实施例还将采用大数据分析的方式对不同网络设备的网络攻击行为进行收集，然后全面分析、识别其中的漏洞，最后将根据分析识别结果制定出的网络安全防护策略应用到不同的场景或网络设备中。

在具体实现中，网关设备在确定当前接收到的待转发报文存在漏洞报文特征时，即可根据待转发报文确定对应的报文发起设备，然后获取报文发起设备对应的设备标识，再根据该设备标识对待转发报文进行标记，获得标记后的报文。

步骤s60：将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器对所述标记后的报文进行漏洞分析。

需要说明的是，所述漏洞分析服务器可以是预先配置的用于进行漏洞分析的计算服务设备。本实施例中该漏洞分析服务器可采用机器学习的方式对携带漏洞攻击的报文进行特征分析，得出分析结果。

在具体实现中，网关设备可将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器根据所述标记后的报文中携带的设备标识查找对应的历史漏洞报文，并对根据所述历史漏洞报文和所述标记后的报文所构建的预设漏洞报文特征集进行反馈。所述历史漏洞报文为报文发起设备以往发送的携带漏洞攻击的报文。

本实施例通过上述方式能够有效的对不同网络设备发起的漏洞攻击进行信息收集和分析，通过大数据的方式来全面的分析各类漏洞攻击行为，提高了网络安全。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有漏洞攻击处理程序，所述漏洞攻击处理程序被处理器执行时实现如上文所述的漏洞攻击处理方法的步骤。

参照图5，图5为本发明漏洞攻击处理装置第一实施例的结构框图。

如图5所示，本发明实施例提出的漏洞攻击处理装置包括：

报文解析模块501，用于在接收到待转发报文时，对所述待转发报文进行解析，以获得所述待转发报文的报文特征；

特征匹配模块502，用于将所述报文特征与预设漏洞报文特征集进行匹配；

报文拦截模块503，用于在所述报文特征与预设漏洞报文特征集匹配成功时，对所述待转发报文进行拦截，以阻断漏洞攻击。

本实施例通过在接收到待转发报文时，对待转发报文进行解析获得待转发报文的报文特征；然后将报文特征与预设漏洞报文特征集进行匹配；在报文特征与预设漏洞报文特征集匹配成功时，对待转发报文进行拦截，以阻断漏洞攻击。由于本实施例是对接收到的每个报文都进行报文特征的提取，然后将提取的报文特征与漏洞报文特征集进行匹配，若匹配成功，则表明报文存在漏洞攻击威胁，进而对报文进行拦截。本实施例通过这种方式能够在携带漏洞攻击的报文达到攻击对象前对其进行有效识别和拦截，保证了报文传输的安全性。

基于本发明上述漏洞攻击处理装置第一实施例，提出本发明漏洞攻击处理装置的第二实施例。

在本实施例中，所述特征匹配模块502，还用于读取所述报文特征中包含的报文原数据；将所述报文原数据与预设漏洞报文特征集进行匹配。

作为一种实施方式，所述特征匹配模块502，还用于从所述报文原数据中读取五元组信息和/或mac地址信息；将所述五元组信息和/或mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的报文数据进行匹配。

作为一种实施方式，所述特征匹配模块502，还用于读取所述五元组信息中传输层协议信息；将所述传输层协议信息与预设漏洞报文特征集中各漏洞报文特征对应的传输层协议进行匹配。

作为一种实施方式，所述特征匹配模块502，还用于将所述mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的mac地址进行匹配。

作为一种实施方式，所述特征匹配模块502，还用于在匹配成功时，读取所述五元组信息中的当前源ip地址，以及预设漏洞报文特征集中各漏洞报文特征对应的目标源ip地址；将所述当前源ip地址和所述目标源ip地址进行匹配。

进一步地，本实施例中所述漏洞攻击处理装置还包括：漏洞分析模块，用于获取漏洞利用程序的历史漏洞攻击报文信息；根据所述历史漏洞攻击报文信息获取所述漏洞利用程序的漏洞报文特征；根据所述漏洞报文特征构建预设漏洞报文特征集；将所述漏洞报文特征集与所述漏洞利用程序进行关联后保存至预设特征库。

作为一种实施方式，所述漏洞分析模块，还用于根据所述历史漏洞攻击报文信息，获取所述漏洞利用程序在发起漏洞攻击时的网络行为数据；获取所述网络行为数据中包含的通信报文，对所述通信报文进行特征分析，获得所述漏洞利用程序的漏洞报文特征。

作为一种实施方式，所述漏洞分析模块，还用于获取所述漏洞利用程序对应的应用标识，建立所述应用标识与所述漏洞报文特征集之间的映射关系，并对所述映射关系保存至预设特征库；所述特征匹配模块502，还用于确定所述待转发报文对应的报文发起应用；获取所述报文发起应用对应的目标应用标识，并在所述映射关系中查找所述目标应用标识对应的预设漏洞报文特征集。

作为一种实施方式，所述特征匹配模块502，还用于获取所述待转发报文中携带的mac地址和时间戳；根据所述mac地址和时间戳确定所述待转发报文对应的报文发起应用。

作为一种实施方式，所述特征匹配模块502，还用于根据所述mac地址确定所述待转发报文对应的报文发起设备；获取所述报文发起设备对应的网络访问日志，并根据所述时间戳和所述网络访问日志确定报文发起应用。

进一步地，本实施例中所述漏洞攻击处理装置还包括：报文上传模块，用于根据所述待转发报文确定对应的报文发起设备，并获取所述报文发起设备对应的设备标识；根据所述设备标识对所述待转发报文进行标记，获得标记后的报文；将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器对所述标记后的报文进行漏洞分析。

作为一种实施方式，所述报文上传模块，用于将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器根据所述标记后的报文中携带的设备标识查找对应的历史漏洞报文，并对根据所述历史漏洞报文和所述标记后的报文所构建的预设漏洞报文特征集进行反馈。

本发明漏洞攻击处理装置的其他实施例或具体实现方式可参照上述各方法实施例，此处不再赘述。

本发明提供a1一种漏洞攻击处理方法，所述漏洞攻击处理方法包括：

在接收到待转发报文时，对所述待转发报文进行解析，以获得所述待转发报文的报文特征；

将所述报文特征与预设漏洞报文特征集进行匹配；

在所述报文特征与预设漏洞报文特征集匹配成功时，对所述待转发报文进行拦截，以阻断漏洞攻击。

a2、如权利要求a1所述的漏洞攻击处理方法，所述将所述报文特征与预设漏洞报文特征集进行匹配的步骤，包括：

读取所述报文特征中包含的报文原数据；

将所述报文原数据与预设漏洞报文特征集进行匹配。

a3、如权利要求a2所述的漏洞攻击处理方法，所述将所述报文原数据与预设漏洞报文特征集进行匹配的步骤，包括：

从所述报文原数据中读取五元组信息和/或mac地址信息；

将所述五元组信息和/或mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的报文数据进行匹配。

a4、如权利要求a3所述的漏洞攻击处理方法，所述将所述五元组信息和/或mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的报文数据进行匹配的步骤，还包括：

读取所述五元组信息中传输层协议信息；

将所述传输层协议信息与预设漏洞报文特征集中各漏洞报文特征对应的传输层协议进行匹配；

和/或，将所述mac地址信息与预设漏洞报文特征集中各漏洞报文特征对应的mac地址进行匹配。

a5、如权利要求a4所述的漏洞攻击处理方法，所述将所述传输层协议信息与预设漏洞报文特征集中各漏洞报文特征对应的传输层协议进行匹配的步骤之后，所述方法还包括：

在匹配成功时，读取所述五元组信息中的当前源ip地址，以及预设漏洞报文特征集中各漏洞报文特征对应的目标源ip地址；

将所述当前源ip地址和所述目标源ip地址进行匹配。

a6、如权利要求a1所述的漏洞攻击处理方法，所述在接收到待转发报文时，对所述待转发报文进行解析，以获得所述待转发报文的报文特征的步骤之前，所述方法还包括：

获取漏洞利用程序的历史漏洞攻击报文信息；

根据所述历史漏洞攻击报文信息获取所述漏洞利用程序的漏洞报文特征；

根据所述漏洞报文特征构建预设漏洞报文特征集；

将所述漏洞报文特征集与所述漏洞利用程序进行关联后保存至预设特征库。

a7、如权利要求a6所述的漏洞攻击处理方法，所述根据所述历史漏洞攻击报文信息获取所述漏洞利用程序的漏洞报文特征的步骤，包括：

根据所述历史漏洞攻击报文信息，获取所述漏洞利用程序在发起漏洞攻击时的网络行为数据；

获取所述网络行为数据中包含的通信报文，对所述通信报文进行特征分析，获得所述漏洞利用程序的漏洞报文特征。

a8、如权利要求a6所述的漏洞攻击处理方法，所述将所述漏洞报文特征集与所述漏洞利用程序进行关联后保存至预设特征库的步骤，包括：

获取所述漏洞利用程序对应的应用标识，建立所述应用标识与所述漏洞报文特征集之间的映射关系，并对所述映射关系保存至预设特征库；

所述将所述报文特征与预设漏洞报文特征集进行匹配的步骤之前，所述方法还包括：

确定所述待转发报文对应的报文发起应用；

获取所述报文发起应用对应的目标应用标识，并在所述映射关系中查找所述目标应用标识对应的预设漏洞报文特征集。

a9、如权利要求a8所述的漏洞攻击处理方法，所述确定所述待转发报文对应的报文发起应用的步骤，包括：

获取所述待转发报文中携带的mac地址和时间戳；

根据所述mac地址和时间戳确定所述待转发报文对应的报文发起应用。

a10、如权利要求a9所述的漏洞攻击处理方法，所述根据所述mac地址和时间戳确定所述待转发报文对应的报文发起应用的步骤，包括：

根据所述mac地址确定所述待转发报文对应的报文发起设备；

获取所述报文发起设备对应的网络访问日志，并根据所述时间戳和所述网络访问日志确定报文发起应用。

a11、如权利要求a1至a10任一项所述的漏洞攻击处理方法，所述在所述报文特征与预设漏洞报文特征集匹配成功时，对所述待转发报文进行拦截，以阻断漏洞攻击步骤之后，所述方法还包括：

根据所述待转发报文确定对应的报文发起设备，并获取所述报文发起设备对应的设备标识；

根据所述设备标识对所述待转发报文进行标记，获得标记后的报文；

将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器对所述标记后的报文进行漏洞分析。

a12、如权利要求a1至a10任一项所述的漏洞攻击处理方法，所述将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器对所述标记后的报文进行漏洞分析的步骤，包括：

将所述标记后的报文上传至对应的漏洞分析服务器，以使所述漏洞分析服务器根据所述标记后的报文中携带的设备标识查找对应的历史漏洞报文，并对根据所述历史漏洞报文和所述标记后的报文所构建的预设漏洞报文特征集进行反馈。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器/随机存取存储器、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。