[发明专利]一种通过反连判定攻击成功的方法及装置

权利要求书

1.一种通过反连判定攻击成功的方法，其特征在于，包括：

获取待检测的攻击流量，并提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址；

提取所述攻击载荷中的疑似反连地址；

根据所述被攻击主机地址和预设判定条件，判断是否检测到所述疑似反连地址对应的连接请求；

如果是，则确定所述被攻击主机地址被攻击成功，以及将所述连接请求与所述攻击流量进行关联，并将所述攻击流量标记为攻击成功；

所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件，其中，所述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址，所述第二条件为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。

2.根据权利要求1所述的通过反连判定攻击成功的方法，其特征在于，所述提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址，包括：

根据预设特征检测算法从所述攻击流量中识别被攻击主机地址，并提取所述攻击流量中的攻击载荷。

3.根据权利要求1所述的通过反连判定攻击成功的方法，其特征在于，所述提取所述攻击载荷中的疑似反连地址，包括：

根据预设反连识别算法，从所述攻击载荷中识别疑似反连地址，其中，所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。

4.根据权利要求1所述的通过反连判定攻击成功的方法，其特征在于，在所述将所述攻击流量标记为攻击成功之后，所述方法还包括：

确定所述攻击流量对应的网络威胁事件；

调整所述网络威胁事件的威胁级别；

输出所述网络威胁事件攻击成功以及所述威胁级别的攻击成功展示信息。

5.一种通过反连判定攻击成功的装置，其特征在于，所述通过反连判定攻击成功的装置包括：

获取单元，用于获取待检测的攻击流量；

被攻击地址提取单元，用于提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址；

地址提取单元，用于提取所述攻击载荷中的疑似反连地址；

攻击成功判定单元，用于根据所述被攻击主机地址和预设判定条件，判断是否检测到所述疑似反连地址对应的连接请求；

确定单元，用于当判断出检测到所述疑似反连地址对应的所述连接请求时，则确定所述被攻击主机地址被攻击成功，以及将所述连接请求与所述攻击流量进行关联，并将所述攻击流量标记为攻击成功；

所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件，其中，所述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址，所述第二条件为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。

6.根据权利要求5所述的通过反连判定攻击成功的装置，其特征在于，所述被攻击地址提取单元，具体用于根据预设特征检测算法从所述攻击流量中识别被攻击主机地址，并提取所述攻击流量中的攻击载荷。

7.根据权利要求5所述的通过反连判定攻击成功的装置，其特征在于，所述地址提取单元，具体用于根据预设反连识别算法，从所述攻击载荷中识别疑似反连地址，其中，所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。

8.一种电子设备，其特征在于，所述电子设备包括存储器以及处理器，所述存储器用于存储计算机程序，所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至4中任一项所述的通过反连判定攻击成功的方法。

9.一种可读存储介质，其特征在于，所述可读存储介质中存储有计算机程序指令，所述计算机程序指令被一处理器读取并运行时，执行权利要求1至4任一项所述的通过反连判定攻击成功的方法。