(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111520261.2 (22)申请日 2021.12.13 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 杜晓宇　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种网络攻击 检测方法及装置 (57)摘要 本申请实施例提供一种网络攻击检测方法 及装置， 涉及网络安全技术领域， 该网络攻击检 测方法包括： 先获取服务端向用户端发送的响应 数据； 再判断响应数据是否为压缩数据； 如果是， 则对响应数据进行解压缩处理， 得到解压缩数 据； 再检测解压缩数据是否存在网络攻击； 如果 是， 则停止将响应数据转发至用户端， 以阻断响 应， 能够实现对压缩响应的安全检测， 避免使用 chunked编码导致基于HTTP协议的客户端 不能正 常工作的问题， 从而维护网络通信安全。 权利要求书2页 说明书7页 附图3页 CN 114257432 A 2022.03.29 CN 114257432 A 1.一种网络攻击检测方法， 其特 征在于， 应用于攻击检测代理端， 包括： 获取服务端向用户端发送的响应数据； 判断所述响应数据是否为压缩数据； 如果是， 则对所述响应数据进行解压缩处 理， 得到解压缩数据； 检测所述 解压缩数据是否存在网络攻击； 如果是， 则停止将所述响应数据转发至所述用户端， 以阻断响应。 2.根据权利要求1所述的网络攻击检测方法， 其特 征在于， 所述方法还 包括： 在接收到用户端发送的请求数据之后， 根据 所述请求数据确定所述用户端所请求的服 务端； 与所述服务端建立 通信连接； 将所述通信连接上的套接字设置为非阻塞模式， 并设置所述套接字读写事件处理回 调； 转发所述请求数据至所述服务端， 并执行所述的获取服务端向用户 端发送的响应数 据。 3.根据权利要求2所述的网络攻击检测方法， 其特征在于， 所述获取服务端向用户端发 送的响应数据， 包括： 当检测到所述套接字触发读事件时， 读取所述服务端返回的响应数据， 并将所述响应 数据存储到原始缓冲区。 4.根据权利要求1所述的网络攻击检测方法， 其特征在于， 所述判断所述响应数据 是否 为压缩数据， 包括： 获取所述响应数据的响应头 字段； 根据所述响应头 字段判断所述响应数据是否为压缩数据； 如果是， 则执 行所述的对所述响应数据进行解压缩处 理， 得到解压缩数据。 5.根据权利要求4所述的网络攻击检测方法， 其特征在于， 检测所述解压缩数据 是否存 在网络攻击， 包括： 将所述解压缩数据存 储至临时缓冲区； 对所述临时缓冲区的所述 解压缩数据进行网络攻击检测， 得到检测结果； 根据所述检测结果判断是否触发安全引擎防护规则； 如果是， 则确定所述解压缩数据存在网络攻击， 并执行所述的停止将所述响应数据转 发至所述用户端； 如果否， 则确定所述 解压缩数据不存在网络攻击 。 6.一种网络攻击检测装置， 其特 征在于， 应用于攻击检测代理端， 包括： 获取单元， 用于获取服 务端向用户端发送的响应数据； 判断单元， 用于判断所述响应数据是否为压缩数据； 解压缩单元， 用于当判断出所述响应数据为压缩数据时， 则对所述响应数据进行解压 缩处理， 得到解压缩数据； 网络攻击检测单 元， 用于检测所述 解压缩数据是否存在网络攻击； 阻断响应单元， 用于当判断出存在网络攻击时， 则停止将所述响应数据转发至所述用 户端， 以阻断响应。权　利　要　求　书 1/2 页 2 CN 114257432 A 27.根据权利要求6所述的网络攻击检测装置， 其特征在于， 所述网络攻击检测装置还包 括： 确定单元， 用于在接收到用户端发送的请求数据之后， 根据所述请求数据确定所述用 户端所请求的服 务端； 连接建立单 元， 用于与所述 服务端建立 通信连接； 设置单元， 用于将所述通信连接上的套接字设置为非阻塞模式， 并设置所述套接字读 写事件处理回调； 转发单元， 用于转发所述请求数据至所述服务端， 并触发获取单元获取服务端向用户 端发送的响应数据。 8.根据权利要求7所述的网络攻击检测装置， 其特征在于， 所述获取单元， 具体用于当 检测到所述套接字触发读事件时， 读取所述服务端返回的响应数据， 并将所述响应数据存 储到原始缓冲区。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至5中 任一项所述的网络攻击检测方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至5任一项 所述的网络攻击检 测方法。权　利　要　求　书 2/2 页 3 CN 114257432 A 3