(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111420599.0 (22)申请日 2021.11.26 (71)申请人 安天科技 集团股份有限公司 地址 150028 黑龙江省哈尔滨市高新 技术 产业开发区科技创新城创新创业广场 7号楼 （世坤路838号） (72)发明人 卢殿君　白淳升　 (74)专利代理 机构 北京锺维联合知识产权代理 有限公司 1 1579 代理人 郑明明 (51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 网络攻击的确定方法、 装置、 计算机设备及 存储介质 (57)摘要 本申请提供了一种网络攻击的确定方法、 装 置、 计算机设备及存储介质， 涉及计算安全技术 领域， 用于及时发现APT攻击。 方法主要包括： 获 取网络攻击数据， 所述网络攻击数据为已经确定 存在攻击 行为的数据； 从空间引擎系统中查询是 否存在与网络攻击数据对应的设备基础数据； 若 空间引擎系统中存在与网络攻击数据对应的设 备基础数据， 则从与网络攻击数据对应的设备基 础数据中， 获取自治系统号ASN数据和/或互联网 数据中心IDC数据； 将空间引擎系统中基础数据 包含ASN数据和/或所述IDC数据的设备确定为目 标设备； 计算网络攻击数据与所述目标设备的基 础数据的相似度； 根据所述相似度确定所述目标 设备是否属于网络攻击设备。 权利要求书2页 说明书8页 附图3页 CN 114039796 A 2022.02.11 CN 114039796 A 1.一种网络攻击的确定方法， 其特 征在于， 所述方法包括： 获取网络攻击数据， 所述网络攻击数据为已经确定存在攻击行为的数据； 从空间引擎系统中查询是否存在与 所述网络攻击数据对应的设备基础数据； 所述空间 引擎系统中包括多个设备分别对应的基础数据； 若存在则从与所述网络攻击数据对应的设备基础数据中， 获取自治系统号ASN数据和/ 或互联网数据中心IDC数据； 将所述空间引擎系统中基础数据包含所述ASN数据和/或所述IDC数据的设备确定为目 标设备； 计算所述网络攻击数据与所述目标设备的基础数据的相似度； 根据所述相似度确定所述目标设备 是否属于网络攻击设备。 2.根据权利要求1所述的方法， 其特征在于， 所述从空间引擎系统查询是否存在与 所述 网络攻击数据对应设备的基础数据之后， 所述方法还 包括： 若所述空间引擎系统中不存在与 所述网络攻击数据对应设备的基础数据， 则分析所述 网络攻击数据， 获取 所述网络攻击数据对应的设备基础数据； 将所述网络攻击数据对应的设备基础数据存 储到所述空间引擎系统中。 3.根据权利要求2所述的方法， 其特征在于， 所述计算所述网络攻击数据与 所述目标设 备的基础数据的相似度， 包括： 获取所述网络攻击数据中的响应包内容、 开放的服务、 网站标题， 获取所述目标设备的 基础数据中的响应包内容、 开发的服 务、 网站标题； 计算所述网络攻击数据中的响应包内容、 开放的服务、 网站标题， 与所述目标设备的基 础数据中的响应包内容、 开发的服 务、 网站标题的相似度。 4.根据权利要求1 ‑3任一项所述的方法， 其特征在于， 所述根据 所述相似度确定所述目 标设备是否属于网络攻击设备， 包括： 确定所述相似度是否大于第一预置数值； 若所述相似度大于所述第一预置数值， 则确定所述目标设备属于网络攻击设备； 若所述相似度小于或等于所述第 一预置数值， 从所述网络攻击数据中确定攻击行为数 据， 从所述目标设备的基础数据中确定操作行为数据； 比对所述攻击行为数据和所述操作 行为数据， 确定所述目标设备是否属于网络攻击设 备。 5.根据权利要求4所述的方法， 其特征在于， 所述对比所述攻击行为数据和所述操作 行 为数据， 确定所述目标设备 是否属于网络攻击设备， 包括： 获取所述攻击行为数据中的各个攻击行为及对应的攻击次数； 获取所述操作 行为数据 中的各个操作行为及对应的操作次数； 计算所述攻击行为的总攻击次数与所述操作行为的 总操作次数之和； 统计所述 攻击行为和所述操作行为中属于同一 攻击过程的匹配次数； 计算所述匹配次数与所述和的比值； 确定所述比值是否大于预置比值； 若所述比值大于预置比值， 则确定所述目标设备属于网络攻击设备。 6.根据权利要求4所述的方法， 其特征在于， 所述对所述攻击行为数据和所述操作 行为权　利　要　求　书 1/2 页 2 CN 114039796 A 2数据的进行比对， 确定所述目标设备 是否属于网络攻击设备， 包括： 计算所述 攻击行为数据与所述操作行为数据的相似度； 将所述攻击行为数据与所述操作行为数据的相似度大于第二预置数值对应的网络设 备确定为网络攻击设备。 7.一种网络攻击的确定装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取网络攻击数据， 所述网络攻击数据为已经确定存在攻击行为的数 据； 查询模块， 用于从空间引擎系统查中询是否存在与所述网络攻击数据对应的设备基础 数据； 所述空间引擎系统中包括多个设备分别对应的基础数据； 所述获取模块， 还用于若存在则从与所述网络攻击数据对应的设备基础数据中， 获取 自治系统号ASN数据和/或互联网数据中心IDC数据； 确定模块， 用于将所述空间引擎系 统中基础数据包含所述ASN数据和/或所述IDC数据 的设备确定为目标设备； 计算模块， 用于计算所述网络攻击数据与所述目标设备的基础数据的相似度； 所述确定模块， 还用于根据所述相似度确定所述目标设备 是否属于网络攻击设备。 8.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至 6任一项所述的网络攻击的确定方法。 9.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处理器执行时实现如权利要求 1至6任一项 所述的网络攻击的确定方 法。 10.一种计算机程序产品， 所述计算机程序产品包括计算机程序， 其特征在于， 所述计 算机程序指示计算机设备 执行权利要求1至 6任一项所述的网络攻击的确定方法。权　利　要　求　书 2/2 页 3 CN 114039796 A 3