[发明专利]一种网络攻击的检测方法及装置

权利要求书

1.一种网络攻击的检测方法，其特征在于，所述方法包括：

从当前网络体系中的应用层获取待分析的网络数据包；

对所述待分析的网络数据包中的应用数据进行漏洞特征识别，获取所述应用数据的漏洞特征；

根据所述应用数据的漏洞特征，确定当前网络的攻击情况。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

根据当前网络的攻击情况，输出相应的网络攻击通知。

3.根据权利要求1所述的方法，其特征在于，所述对所述待分析的网络数据包中的应用数据进行漏洞特征识别，获取所述应用数据的漏洞特征，包括：

通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别，获取所述应用数据的漏洞扫描特征；

相应的，所述根据所述应用数据的漏洞特征，确定当前网络的攻击情况，包括：

根据所述应用数据的漏洞扫描特征，确定当前网络的攻击情况为可疑攻击。

4.根据权利要求1或3所述的方法，其特征在于，所述对所述待分析的网络数据包中的应用数据进行漏洞特征识别，获取所述应用数据的漏洞特征，包括：

通过预先设置的漏洞触发规则对所述应用数据进行漏洞触发特征识别，获取所述应用数据的漏洞触发特征；

相应的，所述根据所述应用数据的漏洞特征，确定当前网络的攻击情况，包括：

根据所述应用数据的漏洞触发特征，确定当前网络的攻击情况为漏洞攻击。

5.根据权利要求4所述的方法，其特征在于，所述漏洞触发特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征，

所述根据所述应用数据的漏洞特征，确定当前网络的攻击情况，包括：

如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征，则确定当前网络的攻击情况为低危漏洞攻击；

如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征，则确定当前网络的攻击情况为中危漏洞攻击；

如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征，则确定当前网络的攻击情况为高危漏洞攻击。

6.一种网络攻击的检测装置，其特征在于，所述装置包括：

数据包获取模块，用于从当前网络体系中的应用层获取待分析的网络数据包；

漏洞特征识别模块，用于对所述待分析的网络数据包中的应用数据进行漏洞特征识别，获取所述应用数据的漏洞特征；

攻击情况确定模块，用于根据所述应用数据的漏洞特征，确定当前网络的攻击情况。

7.根据权利要求6所述的装置，其特征在于，所述装置还包括：

攻击通知输出模块，用于根据当前网络的攻击情况，输出相应的网络攻击通知。

8.根据权利要求6所述的装置，其特征在于，所述漏洞特征识别模块，用于通过预先设置的漏洞扫描规则对所述应用数据进行漏洞扫描特征识别，获取所述应用数据的漏洞扫描特征；

相应的，所述攻击情况确定模块，用于根据所述应用数据的漏洞扫描特征，确定当前网络的攻击情况为可疑攻击。

9.根据权利要求6或8所述的装置，其特征在于，所述漏洞特征识别模块，用于通过预先设置的漏洞触发规则对所述应用数据进行漏洞触发特征识别，获取所述应用数据的漏洞触发特征；

相应的，所述攻击情况确定模块，用于根据所述应用数据的漏洞触发特征，确定当前网络的攻击情况为漏洞攻击。

10.根据权利要求9所述的装置，其特征在于，所述漏洞触发特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征，

所述攻击情况确定模块，用于如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为低危漏洞触发特征，则确定当前网络的攻击情况为低危漏洞攻击；如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为中危漏洞触发特征，则确定当前网络的攻击情况为中危漏洞攻击；如果所述漏洞触发特征中包含的危险程度最高的漏洞触发特征为高危漏洞触发特征，则确定当前网络的攻击情况为高危漏洞攻击。