(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211054738.7 (22)申请日 2022.08.31 (71)申请人 北京天融信网络安全技 术有限公司 地址 100000 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 田俊杰　 (74)专利代理 机构 北京开阳星知识产权代理有 限公司 1 1710 专利代理师 陈洁 (51)Int.Cl. H04L 9/40(2022.01) H04L 43/12(2022.01) (54)发明名称 网络攻击结果的确定方法、 装置、 设备及存 储介质 (57)摘要 本公开涉及一种网络攻击结果的确定方法、 装置、 设备及存储介质， 其中， 方法包括： 获取网 络攻击流量， 并确定所述网络攻击流量中需要通 过终端行为判定攻击结果的目标攻击事件； 提取 所述目标攻击事件的攻击特征信息， 并将所述攻 击特征信息发送至被攻击IP 对应的终端探针； 通 过所述终端探针持续监测并记录终端中的异常 行为、 正常行为和终端响应判定规则行为， 并将 所述攻击特征信息与终端探针监测记录的信息 进行匹配， 根据匹配结果确定所述目标攻击事件 的攻击结果。 根据本公开的技术方案， 解决了部 分攻击无响应和响应流量无法判断攻击结果的 技术问题， 提高了网络攻击结果检测的准确度。 权利要求书2页 说明书9页 附图2页 CN 115442109 A 2022.12.06 CN 115442109 A 1.一种网络攻击结果的确定方法， 其特 征在于， 包括： 获取网络攻击流量， 并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目 标攻击事 件； 提取所述目标攻击事件的攻击特征信 息， 并将所述攻击特征信 息发送至被攻击IP对应 的终端探针； 通过所述终端探针持续监测并记录终端中的异常行为、 正常行为和终端响应判定规则 行为， 并将所述攻击特征信息与终端探针监测记录的信息进行匹配， 根据匹配结果确定所 述目标攻击事 件的攻击结果。 2.如权利要求1所述的方法， 其特征在于， 所述确定所述网络攻击流量中需要通过终端 行为判定攻击结果的目标攻击事 件， 包括： 根据预设攻击规则， 梳理所述网络攻击流量中需要终端探针进行的攻击结果判断事 件， 确定候选攻击事 件； 在所述候选攻击事件的攻击类型和终端连通情况满足指定条件时， 确定所述候选攻击 事件为目标攻击事 件。 3.如权利要求1所述的方法， 其特征在于， 所述攻击特征信 息包括时间、 攻击标识、 攻击 类型、 有效载荷， 所述将所述攻击特征信息与终端探针监测记录的信息进 行匹配， 根据匹配 结果确定所述目标攻击事 件的攻击结果， 包括： 将所述攻击特征信 息与终端探针监测记录的异常行为的第 一信息进行匹配， 以及将所 述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配； 若匹配到与攻击特征信息一致的第一信息， 或者， 若匹配到与攻击特征信息一致的第 二信息， 则确定所述目标攻击事 件的攻击结果 为攻击成功。 4.如权利要求3所述的方法， 其特征在于， 所述攻击特征信息还包括规则标识， 在将所 述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配， 以及将所述攻击特 征信息与终端探针监测记录的正常行为的第二信息进行匹配之前， 还 包括： 查询预设关系， 以将所述规则标识与预设的终端响应成功规则标识和终端响应失败规 则标识进行匹配； 当所述规则标识匹配到终端响应成功规则标识时， 确定所述目标攻击事件的攻击结果 为攻击成功； 当所述规则标识匹配到终端响应失败规则标识时， 确定所述目标攻击事件的攻击结果 为攻击失败。 5.如权利要求 4所述的方法， 其特 征在于， 还 包括： 若未匹配到与攻击特征信 息一致的第 一信息， 且未匹配到与攻击特征信 息一致的第 二 信息， 则提取所述第一信息和所述第二信息中每组信息的关键特征， 将所述攻击特征信息 与所述关键特 征进行模糊匹配， 生成每组信息对应的权值； 确定多组权值中的最大值， 若所述最大值大于预设阈值， 则确定所述目标攻击事件的 攻击结果 为攻击疑似成功。 6.如权利要求3所述的方法， 其特征在于， 所述将所述攻击特征信 息与终端探针监测记 录的异常行为的第一信息进行匹配， 以及将所述攻击特征信息与终端探针监测记录的正常 行为的第二信息进行匹配， 包括：权　利　要　求　书 1/2 页 2 CN 115442109 A 2确定所述 攻击特征信息是否携带延迟响应标识； 若未检测到所述延迟响应标识， 则立刻将所述攻击特征信 息与所述第一信息和所述第 二信息进行匹配； 若检测到所述延迟响应标识， 则延迟与所述延迟响应标识对应的时刻后， 将所述攻击 特征信息与所述第一信息和所述第二信息进行匹配。 7.如权利要求1所述的方法， 其特 征在于， 还 包括： 接收终端探针发送的终端探针序列号、 设备IP、 终端系 统信息、 终端描述信息， 以将终 端探针注 册到检测设备； 其中， 终端探针通过与检测设备之间的心跳连接， 反馈状态信息 。 8.一种网络攻击结果的确定装置， 其特 征在于， 包括： 获取模块， 用于获取网络攻击流量， 并确定所述网络攻击流量中需要通过终端行为判 定攻击结果的目标攻击事 件； 提取模块， 用于提取所述目标攻击事件的攻击特征信息， 并将所述攻击特征信息发送 至被攻击IP对应的终端探针； 确定模块， 用于通过所述终端探针持续监测并记录终端中的异常行为、 正常行为和终 端响应判定规则行为， 并将所述攻击特征信息与终端探针监测记录的信息进行匹配， 根据 匹配结果确定所述目标攻击事 件的攻击结果。 9.一种电子设备， 其特 征在于， 包括： 处理器； 用于存储所述处 理器可执行指令的存 储器； 所述处理器， 用于从所述存储器中读取所述可执行指令， 并执行所述指令以实现上述 权利要求1 ‑7中任一所述的网络攻击结果的确定方法。 10.一种计算机可读存储介质， 其特征在于， 所述存储介质存储有计算机程序， 所述计 算机程序被处 理器执行时实现上述权利要求1 ‑7中任一所述的网络攻击结果的确定方法。权　利　要　求　书 2/2 页 3 CN 115442109 A 3