(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111414497.8 (22)申请日 2021.11.25 (71)申请人 中国建设银行股份有限公司 地址 100033 北京市西城区金融大街25号 (72)发明人 姜宇珩　廖敏飞　梁伟韬　梁智扬　 黄千帆　 (74)专利代理 机构 华进联合专利商标代理有限 公司 44224 代理人 阚传猛 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络攻击的防御方法、 装置、 计算机设备和 存储介质 (57)摘要 本申请涉及网络攻击的防御方法、 装置、 计 算机设备和存储介质。 方法包括： 响应于访问端 发送的请求指令， 发送软件开发工具包至访问 端； 若接收到访问端基于软件开发工具包发送的 执行数据， 则根据执行数据获取访问信息， 并基 于访问信息确定访问者， 其中， 访问者是攻击工 具或用户， 若访问者为攻击工具， 则对攻击工具 进行封禁。 本申请主动下发软件开发工具包到访 问端， 通过软件开发工具包实时追踪、 采集访问 信息， 及时判定访问者为攻击工具或者用户， 实 现主动、 及时地识别出通过攻击工具进行的自动 化攻击行为， 对及时攻击工具进行封禁， 实现有 效的防止了网站漏洞被扫描， 防止恶意扫描路 径， 避免自动化攻击工具造成的损失， 保证系统 安全运行。 权利要求书2页 说明书13页 附图5页 CN 114257415 A 2022.03.29 CN 114257415 A 1.一种网络攻击的防御方法， 其特 征在于， 所述方法包括： 响应于访问端发送的请求指令， 发送软件开发工具包至所述访问端； 若接收到所述访问端基于所述软件开发工具包发送的执行数据， 则根据 所述执行数据 获取访问信息； 基于所述访问信 息确定特征字符串， 并根据 所述特征字符串确定访问者， 其中， 所述访 问者用于反映控制所述访问端发送请求指令的是攻击 工具或用户； 若所述访问者 为攻击工具， 则对所述 攻击工具进行封禁。 2.根据权利要求1所述的方法， 其特征在于， 所述访问信 息包括： 传输报文和行为信 息； 所述基于所述访问信息确定特 征字符串， 并根据所述特 征字符串确定访问者， 包括： 根据所述传输报文和所述行为信息， 提取 特征字符串； 获取预设的多个攻击字符串， 若所述特征字符串与任一攻击字符串一致， 则确定所述 访问者为攻击工具； 若所述特 征字符串与每 个攻击字符串均不 一致， 则确定所述访问者 为用户。 3.根据权利要求2所述的方法， 其特征在于， 所述多个攻击字符串与多个第 一类攻击工 具一一对应； 所述若所述访问者 为攻击工具， 则对所述 攻击工具进行封禁， 包括： 若所述访问者为攻击工具， 则将与 所述特征字符串一致的攻击字符串所对应的第 一类 攻击工具， 作为目标攻击 工具； 对所述目标攻击 工具进行封禁。 4.根据权利要求3所述的方法， 其特征在于， 所述多个第一类攻击工具至少包括： 应用 程序扫描工具和Sl imerJS。 5.根据权利要求3所述的方法， 其特征在于， 所述若所述访 问者为攻击工具， 则对所述 攻击工具进行封禁之后， 还 包括： 根据所述行为信息和所述目标攻击 工具确定攻击者画像。 6.根据权利要求5所述的方法， 其特征在于， 所述行为信息包括： 目标域名、 访问端IP、 浏览器名称、 插件名称、 浏览器指纹、 cookie、 鼠标行为信息和键盘行为信息； 所述根据所述 行为信息和所述目标攻击 工具确定攻击者画像， 包括： 根据所述浏览器名称、 所述插件名称、 所述浏览器指纹、 所述cookie、 所述鼠标行为信 息、 所述键盘行为信息， 以及预设的攻击方式识别规则确定攻击方式； 根据所述访 问端IP、 所述攻击方式、 所述目标域名和所述目标攻击工具得到攻击者画 像信息。 7.根据权利要求1至 6中任一项所述的方法， 其特 征在于， 所述方法还 包括： 若未接收到所述访问端基于所述软件开发工具包发送的执行数据， 则确定访问者为第 二类攻击 工具。 8.一种网络攻击的防御装置， 其特 征在于， 所述装置包括： 软件开发工具包发送模块， 用于响应于访 问端发送的请求指令， 发送软件开发工具包 至所述访问端； 访问信息确定模块， 用于若接收到所述访问端基于所述软件开发工具包发送的执行数 据， 则根据所述执 行数据获取访问信息； 访问者识别模块， 用于基于所述访 问信息确定特征字符串， 并根据所述特征字符串确权　利　要　求　书 1/2 页 2 CN 114257415 A 2定访问者， 其中， 所述访问者用于反映控制所述访问端发送请求指令的是攻击 工具或用户； 封禁模块， 用于若所述访问者 为攻击工具， 则对所述 攻击工具进行封禁。 9.根据权利要求8所述的装置， 其特 征在于， 所述访问者识别模块包括： 特征提取单元， 用于根据所述传输报文和所述行为信息， 提取 特征字符串； 访问者确定单元， 用于获取预设的多个攻击字符串， 若所述特征字符串与任一攻击字 符串一致， 则确定所述访问者为攻击工具， 若所述特征字符串与每个攻击字符串均不一致， 则确定所述访问者 为用户。 10.根据权利要求9所述的装置， 其特征在于， 所述多个攻击字符串与多个第一类攻击 工具一一对应， 所述封禁模块包括： 攻击工具确定单元， 用于若所述访 问者为攻击工具， 则将与所述特征字符串一致的攻 击字符串所对应的第一类攻击 工具， 作为目标攻击 工具； 封禁单元， 用于对所述目标攻击 工具进行封禁。 11.根据权利要求10所述的装置， 其特征在于， 所述多个第一类攻击工具至少包括： 应 用程序扫描工具和Sl imerJS。 12.根据权利要求10所述的装置， 其特 征在于， 所述装置还 包括： 画像模块， 用于根据所述行为信息和所述目标攻击 工具确定攻击者画像。 13.根据权利要求12所述的装置， 其特征在于， 所述行为信息包括： 目标域名、 访问端 IP、 浏览器名称、 插件名称、 浏览器指纹、 cookie、 鼠标行为信息和键盘行为信息； 所述画像 模块包括： 攻击方式确定单元， 用于根据所述浏览器名称、 所述插件名称、 所述浏览器指纹、 所述 cookie、 所述鼠标行为信息、 所述键盘行为信息， 以及预设的攻击方式识别规则确定攻击方 式； 画像单元， 用于根据所述访问端IP、 所述攻击方式、 所述目标域名和所述目标攻击工具 得到攻击者画像信息 。 14.根据权利要求8至13中任一项所述的装置， 其特 征在于， 所述装置还 包括： 第二类攻击工具确定模块， 用于若未接收到所述访问端基于所述软件开发工具包发送 的执行数据， 则确定访问者 为第二类攻击 工具。 15.一种计算机设备， 包括存储器和 处理器， 所述存储器存储有计算机程序， 其特征在 于， 所述处 理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。 16.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。 17.一种计算机程序产品， 包括计算机程序， 其特征在于， 该计算机程序被处理器执行 时实现权利要求1至7中任一项所述的方法的步骤。权　利　要　求　书 2/2 页 3 CN 114257415 A 3