[发明专利]一种网络攻击检测方法及装置

权利要求书

1.一种网络攻击检测方法，将获取的数据包与预设的攻击特征库进行匹配，其特征在于，

判断匹配成功的攻击特征的类型，与数据包目标端和/或来源端的类型是否相符；若相符则进行告警，否则过滤掉不做处理。

2.根据权利要求1所述的攻击检测方法，其特征在于，所述判断匹配成功的攻击特征类型与数据包目标端类型是否相符，具体包括：待检测数据包与攻击特征库进行匹配后，判断匹配成功的特征属于攻击客户端或非攻击客户端，并根据数据包流量方向判断目标是客户端或非客户端，当攻击特征所属类型与目标端类型一致时进行告警。

3.根据权利要求1所述的攻击检测方法，其特征在于，所述判断匹配成功的攻击特征类型与数据包来源端类型是否相符，具体包括：待检测数据包与攻击特征库进行匹配后，判断匹配成功的特征属于客户端攻击或非客户端攻击，并根据数据包流量方向判断来源是客户端或非客户端；当攻击特征所属类型，与目标端和/或来源端类型一致时进行告警。

4.根据权利要求2或3所述的攻击检测方法，其特征在于，所述判断匹配成功的攻击特征类型，与数据包目标端和/或来源端类型是否相符之前，还包括：根据攻击目标将攻击特征划分为攻击客户端与非攻击客户端存入特征库，和/或，根据攻击来源将攻击特征划分为客户端攻击与非客户端攻击存入特征库。

5.根据权利要求4所述的攻击检测方法，其特征在于，当攻击特征所属类型，与目标端和/或来源端类型一致时，根据攻击特征，确定命中的检测规则，执行检测规则预设的告警处理策略。

6.根据权利要求5所述的攻击检测方法，其特征在于，创建所述检测规则，包括：从特征库选定攻击特征建立检测规则，加入规则库；执行检测规则，当数据包内容与规则内的至少一个攻击特征匹配成功，表示命中了检测规则。

7.根据权利要求1所述的攻击检测方法，其特征在于，所述判断匹配成功的攻击特征的类型，与数据包目标端和/或来源端的类型是否相符，具体包括：

创建攻击客户端、攻击非客户端、客户端攻击、非客户端攻击的检测规则，所述检测规则包括从特征库选定需要检测的对应类型的攻击特征；

根据报文方向，将待检测数据包分为到客户端、到非客户端、来自客户端与来自非客户端；

启动所述检测规则，检测对应类型的待检测数据包，当检测规则中的至少一个攻击特征与对应的待检测数据包匹配成功，则表示命中检测规则，执行预设的告警处理策略。

8.一种攻击检测装置，其特征在于，包括：

数据包接收模块，用于接收会话中的待检测数据包；

特征库模块，用于存储攻击特征；

规则库模块，用于存储包括攻击特征的检测规则；

数据包匹配模块，用于执行检测规则，将待检测数据包与攻击特征进行匹配，以判断数据包是否为网络攻击；

攻击处理模块，用于匹配成功时，执行检测规则预设的处理策略。

9.根据权利要求8所述的攻击检测装置，其特征在于，将所述特征库模块存储的攻击特征划分为攻击客户端、攻击非客户端、客户端攻击、非客户端攻击；根据流量方向，将所述待检测数据包划分为到客户端与到非客户端，和/或，来自客户端与来自非客户端。

10.根据权利要求9所述的攻击检测装置，其特征在于，所述数据包匹配模块执行检测规则，判断匹配成功的攻击特征所属类别与数据包的目标端和/或客户端是否相符，若相符则告警并进行策略处理，否则过滤不处理。