[发明专利]一种通过反连判定攻击成功的方法及装置

说明书

本申请实施例提供一种通过反连判定攻击成功的方法及装置，包括：先获取待检测的攻击流量，并提取攻击流量中的攻击载荷以及攻击流量对应的被攻击主机地址；然后提取攻击载荷中的疑似反连地址；再根据被攻击主机地址和预设判定条件，判断是否检测到疑似反连地址对应的连接请求；如果是，则确定被攻击主机地址被攻击成功，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种通过反连判定攻击成功的方法及装置。

背景技术

随着信息技术的飞速发展，计算机和网络已成为日常办公、通讯交流和协作互动的必备工具和途径，信息安全变得越来越重要。现有技术通常通过编写规则和正则表达式来匹配攻击特征，当检测出攻击特征后，即产生告警。然而，在实践中发现，现有方法只能够检测出流量数据中是否存在网络威胁事件，并不能判定是否攻击成功，会产生大量报警信息，严重降低安全防护效率。

发明内容

本申请实施例的目的在于提供一种通过反连判定攻击成功的方法及装置，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

本申请实施例第一方面提供了一种通过反连判定攻击成功的方法，包括：

获取待检测的攻击流量，并提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址；

提取所述攻击载荷中的疑似反连地址；

根据所述被攻击主机地址和预设判定条件，判断是否检测到所述疑似反连地址对应的连接请求；

如果是，则确定所述被攻击主机地址被攻击成功，以及将所述连接请求与所述攻击流量进行关联，并将所述攻击流量标记为攻击成功。

在上述实现过程中，先获取待检测的攻击流量，并提取攻击流量中的攻击载荷以及攻击流量对应的被攻击主机地址；然后提取攻击载荷中的疑似反连地址；再根据被攻击主机地址和预设判定条件，判断是否检测到疑似反连地址对应的连接请求；如果是，则确定被攻击主机地址被攻击成功，能够解决网络攻击成功的判别问题，避免产生大量威胁告警，从而有利于提高安全防护效率。

进一步地，所述提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址，包括：

根据预设特征检测算法从所述攻击流量中识别被攻击主机地址，并提取所述攻击流量中的攻击载荷。

进一步地，所述提取所述攻击载荷中的疑似反连地址，包括：

根据预设反连识别算法，从所述攻击载荷中识别疑似反连地址，其中，所述预设反连识别算法包括特征分析算法、深度包检测算法、特征匹配算法以及深度学习算法中的一种或者多种。

进一步地，所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件，其中，所述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址，所述第二条件为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。

进一步地，在所述将所述攻击流量标记为攻击成功之后，所述方法还包括：

确定所述攻击流量对应的网络威胁事件；

调整所述网络威胁事件的威胁级别；

输出所述网络威胁事件攻击成功以及所述威胁级别的攻击成功展示信息。

本申请实施例第二方面提供了一种通过反连判定攻击成功的装置，所述通过反连判定攻击成功的装置包括：

获取单元，用于获取待检测的攻击流量；

被攻击地址提取单元，用于提取所述攻击流量中的攻击载荷以及所述攻击流量对应的被攻击主机地址；