[发明专利]一种攻击成功判定方法及装置

说明书

本申请实施例提供一种攻击成功判定方法及装置，涉及网络安全技术领域，该攻击成功判定方法包括：获取待检测的网络流量数据；获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包；对响应数据包进行深度分析处理，得到深度分析结果；根据深度分析结果判断是否攻击成功；当判断出攻击成功时，输出攻击成功提示信息，能够检测网络攻击是否攻击成功，避免产生大量威胁告警，从而有利于提高安全运营人员的工作效率。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种攻击成功判定方法及装置。

背景技术

随着信息技术的飞速发展，计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径，信息安全变得越来越重要。而威胁检测作为信息安全领域中的重要课题，正越来越受到关注。现有技术通过网络设备采集流量到NIDS或NDR，随后NIDS或NDR设备从流量数据包中分析和检测攻击特征，然后发出威胁告警，其一般通过编写规则和正则表达式来匹配攻击特征，出现攻击特征即产生告警。然而，在实践中发现，现有技术告警信息无法判断网络攻击是否攻击成功，且会产生大量威胁告警，严重降低安全运营人员的工作效率。

发明内容

本申请实施例的目的在于提供一种攻击成功判定方法及装置，能够检测网络攻击是否攻击成功，避免产生大量威胁告警，从而有利于提高安全运营人员的工作效率。

本申请实施例第一方面提供了一种攻击成功判定方法，包括：

获取待检测的网络流量数据；

获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响应数据包；

对所述响应数据包进行深度分析处理，得到对所述响应数据包进行深度分析处理，得到深度分析结果；

根据所述深度分析结果判断是否攻击成功；

当判断出攻击成功时，输出攻击成功提示信息。

在上述实现过程中，获取待检测的网络流量数据；获取网络流量数据中的攻击请求数据包以及与攻击请求数据包相关联的响应数据包；对响应数据包进行深度分析处理，得到深度分析结果；根据深度分析结果判断是否攻击成功；当判断出攻击成功时，输出攻击成功提示信息，能够检测网络攻击是否攻击成功，避免产生大量威胁告警，从而有利于提高安全运营人员的工作效率。

进一步地，所述获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响应数据包，包括：

获取所述网络流量数据中的请求数据包；

对所述请求数据包进行攻击特征检测，得到检测结果；

根据所述检测结果从所述请求数据包中确定出具有攻击特征的攻击请求数据包；

获取与所述攻击请求数据包相对应的响应数据包，并将所述响应数据包与所述攻击请求数据包进行关联。

进一步地，所述对所述响应数据包进行深度分析处理，得到深度分析结果，包括：

对所述响应数据包进行深度包检测，得到响应数据；

根据预设的漏洞情报库对所述响应数据进行攻击检测，确定第一攻击状态；

对所述响应数据进行特征分析，确定第二攻击状态；

根据预先构建的网络攻击检测模型对所述响应数据进行处理，得到第三攻击状态；所述深度分析结果包括所述第一攻击状态、所述第二攻击状态和所述第三攻击状态。

进一步地，所述根据预设的漏洞情报库对所述响应数据进行攻击检测，确定第一攻击状态，包括：

判断所述响应数据与预设的漏洞情报库是否匹配；