(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111593491.1 (22)申请日 2021.12.23 (71)申请人 南京理工大 学 地址 210000 江苏省南京市玄武区孝陵卫 街道孝陵卫 街200号 (72)发明人 刘继发　唐玲　徐雷　 (74)专利代理 机构 深圳知帮办专利代理有限公 司 44682 代理人 谭慧 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/069(2022.01) (54)发明名称 一种网络攻击 检测系统 (57)摘要 本发明涉及网络安全技术领域， 公开了一种 网络攻击检测系统。 本发明提供的网络攻击检测 系统， 包括网络攻击获取模块， 获取当前网络体 系中预设时间段内的网络数据包； 网络攻击检测 模块， 对获得的所述网络数据表进行检测并判 断， 若所述网络数据包能够对当前网络体系进行 网络攻击， 则标记所述网络数据包； 网络攻击识 别模块， 接收被标记的网络数据包并提取所述网 络数据包的网络攻击特征和数据内容； 根据所述 网络攻击 特征和所述数据内容， 输出网络攻击警 示信号。 本发明提供的网络攻击检测系统， 通过 对预设时间段内的网络数据包的分析， 识别网络 攻击特征和数据内容， 进而能够提供详细的攻击 数据， 为拦截网络攻击提供基础。 权利要求书1页 说明书3页 附图1页 CN 114389856 A 2022.04.22 CN 114389856 A 1.一种网络攻击检测系统， 其特征在于， 包括： 网络攻击获取模块， 获取当前网络体系 中预设时间段内的网络数据包； 网络攻击检测模块， 对获得的所述网络数据表进行检测并 判断， 若所述网络数据包能够对当前网络体系进 行网络攻击， 则标记所述网络数据包； 网络 攻击识别模块， 接收被标记的网络数据包并提取所述网络数据包的网络攻击特征和数据内 容； 根据所述网络攻击特 征和所述数据内容， 输出网络攻击警示信号。 2.如权利要求1所述的网络攻击检测系统， 其特征在于， 所述网络攻击检测模块用于采 集目标网络体系中的访问日志， 并按照预设字段从所述访问日志中获取预设时间段内的访 问数据， 通过分析 所述访问数据的路由策略识别出网络攻击的攻击源。 3.如权利要求2所述的网络攻击检测系统， 其特征在于， 所述访问日志具体为目标网站 服务器最前端的访问日志。 4.如权利要求1 ‑3任一所述的网络攻击检测系统， 其特征在于， 所述网络攻击特征包括 漏洞扫描行为特 征、 漏洞触发行为特 征和系统 受控行为特 征； 若所述被标记 的网络数据包具有漏洞扫描行为特征和/或漏洞触发行为特征和/或系 统受控行为特 征， 则输出网络攻击警示信号。 5.如权利要求4所述的网络攻击检测系统， 其特征在于， 所述访问日志具体为目标网络 体系中的最前端的访问日志。 6.如权利要求5所述的网络攻击检测系统， 其特征在于， 所述数据内容包括请求URL、 源 IP地址和/或目的IP地址中的至少一个； 所述请求URL包括主机 部分、 路径部分和 属性部分。 7.如权利要求6所述的网络攻击检测系统， 其特征在于， 还包括拦截计数单元， 其连接 到所述网络攻击识别模块， 被 配置为对所 标记的网络数据包进行计数。权　利　要　求　书 1/1 页 2 CN 114389856 A 2一种网络攻击检测系统 技术领域 [0001]本发明涉及网络安全技 术领域， 尤其涉及了一种网络攻击检测系统。 背景技术 [0002]目前， 随着计算机技术的不断发展和互联网的不断普及， 网络安全已经成为一个 日益显著的问题， 针对特定网络的攻击行为越来越多， 从而给网站服务器或特定网络带来 很多不利影响。 近些年来DDOS类型的攻击已经成为各IT公司遭受最多的攻击， 特别对于大 型互联网公司而言， 由于遭受的攻击力较大， 已经超出单一硬件防火墙的可承受 能力。 为了 解决这个问题， 同时为了降低攻击检测的成本， 很多互联网公司开始借助于X8 6实时分析 处 理集群来协助处 理， 其中Storm实时流处 理框架是使用较多的框架。 [0003]但是， 如今所普遍采用的硬件防火墙虽然能够识别和抵御一定程度的DDOS攻击， 但是我们无法看到较为详细的攻击数据。 发明内容 [0004]为了克服现有技术的不足， 本发明的目的在于提供一种网络攻击检测系统， 对每 次攻击输出网络攻击警示信号。 [0005]本发明的目的采用如下技 术方案实现： [0006]一种网络攻击检测系统， 包括网络攻击获取模块， 获取当前网络体系中预设时间 段内的网络数据包； 网络攻击检测模块， 对获得的所述网络数据 表进行检测并判断， 若所述 网络数据包能够对当前网络体系进行网络攻击， 则标记所述网络数据包； 网络攻击识别模 块， 接收被标记的网络数据包并提取所述网络数据包的网络攻击特征和数据内容； 根据所 述网络攻击特 征和所述数据内容， 输出网络攻击警示信号。 [0007]进一步地， 所述网络攻击检测模块用于采集目标网络体系中的访问日志， 并按照 预设字段从所述访问日志中获取预设时间段内的访问数据， 通过分析所述访问数据的路由 策略识别出网络攻击的攻击源。 [0008]进一步地， 所述访问日志具体为目标网站服 务器最前端的访问日志。 [0009]进一步地， 所述网络攻击特征包括漏洞扫描行为特征、 漏洞触发行为特征和系统 受控行为特征； 若所述被标记的网络数据包具有漏洞扫描行为特征和/或漏洞触发行为特 征和/或系统 受控行为特 征， 则输出网络攻击警示信号。 [0010]进一步地， 所述访问日志具体为目标网络体系中的最前端的访问日志。 [0011]进一步地， 所述数据内容包括请求URL、 源IP 地址和/或目的IP 地址中的至少一个； 所述请求URL包括主机 部分、 路径部分和 属性部分。 [0012]进一步地， 还包括拦截计数单元， 其连接到所述网络攻击识别模块， 被配置为对所 标记的网络数据包进行计数。 [0013]相比现有技术， 本发明的有益效果在于： 本发明提供的网络攻击检测系统， 通过对 预设时间段内的网络数据包的分析， 识别网络攻击特征和数据内容， 进而能够提供详细的说　明　书 1/3 页 3 CN 114389856 A 3