(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111648006.6 (22)申请日 2021.12.3 0 (71)申请人 恒安嘉新(北京)科技股份公司 地址 100086 北京市海淀区北三环西路25 号27号楼五层5 002室 (72)发明人 李金一　黄林　张友俊　高华　 尚程　梁彧　傅强　蔡琳　杨满智　 田野　王杰　金红　陈晓光　 (74)专利代理 机构 北京品源专利代理有限公司 11332 代理人 王瑞云 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/55(2013.01) (54)发明名称 网络攻击处 理方法、 系统及计算机设备 (57)摘要 本发明公开了一种网络攻击处理方法、 系统 及计算机设备， 该方法包括： 根据探测到的数据 包进行入侵检测； 若检测到发生入侵， 则根据所 述数据包进行入侵分析； 根据入侵分析结果进行 入侵防御。 通过入侵检测和入侵分析能够准确的 对入侵行为进行识别， 通过入侵防御能够有效对 入侵行为进行回应， 提高计算机设备的安全性。 权利要求书1页 说明书7页 附图1页 CN 114363038 A 2022.04.15 CN 114363038 A 1.一种网络攻击处 理方法， 其特 征在于， 包括： 根据探测到的数据包进行入侵检测； 若检测到发生入侵， 则根据所述数据包进行入侵分析； 根据入侵分析 结果进行入侵防御。 2.根据权利要求1所述的方法， 其特征在于， 所述根据探测到的数据包进行入侵检测， 包括： 探测具有攻击特性的数据包； 根据所述数据包判断是否存在入侵特 征； 若存在入侵特 征确定发生入侵 。 3.根据权利要求1所述的方法， 其特 征在于， 根据所述数据包进行入侵分析， 包括： 根据所述数据包与已知攻击模式库进行匹配， 确定当前入侵模式； 根据所述当前入侵模式进行入侵防御。 4.根据权利要求1所述的方法， 其特征在于， 所述根据入侵分析结果进行入侵防御， 包 括： 监控内存活动， 跟踪内存容量的异常变化， 对中断向量进行监控； 和/或， 跟踪程序进程 的堆栈变化， 维护程序运行期间的堆栈合法性。 5.根据权利要求1所述的方法， 其特征在于， 所述根据入侵分析结果进行入侵防御， 包 括： 监测对指向敏感文件的执 行文件进行拦截； 对所述敏感文件的写入操作进行审计； 对数据库服 务程序的接口进行控制， 禁止通过系统服 务程序进行权限提升； 根据特征码监测的方式监测注 册表的访问， 禁止攻击程序对所述注 册表的修改。 6.根据权利要求1所述的方法， 其特征在于， 所述根据入侵分析结果进行入侵防御， 包 括： 根据公共信息进行第一快照， 所述公共信息包括系统配置参数或环境变量； 根据所述第一快照和所述数据包进行篡改攻击检测； 或者， 根据系统文件或常用库文件确定第二快照； 根据所述第二快照和所述数据包进行覆盖攻击检测。 7.根据权利要求1所述的方法， 其特 征在于， 根据所述入侵类型进行入侵防御， 包括： 通过虚拟机运行 所述数据包， 根据程序溢出情况判断是否存在攻击行为。 8.一种网络攻击处 理系统， 其特 征在于， 包括： 入侵检测模块， 用于根据探测到的数据包进行入侵检测； 入侵分析模块， 用于若检测到发生入侵， 则根据所述数据包进行入侵分析； 入侵防御模块， 用于根据入侵分析 结果进行入侵防御。 9.一种计算机设备， 包括存储器、 处理器及存储在存储器上并可在处理器上运行的计 算机程序， 其特征在于， 所述处理器执行所述程序时实现如权利要求 1‑7中任一所述的网络 攻击处理方法。 10.一种包含计算机可执行指令的存储介质， 所述计算机可执行指令在由计算机处理 器执行时用于执 行如权利要求1 ‑7中任一所述的网络攻击处 理方法。权　利　要　求　书 1/1 页 2 CN 114363038 A 2网络攻击处理方法、 系统及计算机设 备 技术领域 [0001]本发明实施例 涉及互联网应用技术， 尤其涉及一种网络攻击处理方法、 系统及计 算机设备。 背景技术 [0002]随着网络技术的发展， 网络被用到越来越多的领域。 随着网络的使用， 网络攻击相 伴而生。 网络攻击是指针对计算机信息系统、 基础设施、 计算机网络或个人计算机设备 的， 任何类型的进攻动作。 对于计算机和计算机网络而言， 破坏、 揭露、 修改、 使 软件或服务 失去 功能、 在没有得到授权的情况下偷取或访问任何一计算机的数据， 都被视为于计算机和计 算机网络中的攻击 。 [0003]近年来， 网络攻击事件频发， 互联 网上的木马、 蠕虫、 勒索软件层出不穷， 如何有效 的识别和应对网络攻击， 提高计算机设备的安全， 称为亟 待解决的问题。 发明内容 [0004]本发明提供一种网络攻击处理方法、 系统及计算机设备， 以实现提高计算机设备 的安全性。 [0005]第一方面， 本发明实施例提供了一种网络攻击处 理方法， 包括： [0006]根据探测到的数据包进行入侵检测； [0007]若检测到发生入侵， 则根据所述数据包进行入侵分析； [0008]根据入侵分析 结果进行入侵防御。 [0009]第二方面， 本发明实施例还提供了一种网络攻击处 理系统， 包括： [0010]入侵检测模块， 用于根据探测到的数据包进行入侵检测； [0011]入侵分析模块， 用于若检测到发生入侵， 则根据所述数据包进行入侵分析； [0012]入侵防御模块， 用于根据入侵分析 结果进行入侵防御。 [0013]第三方面， 本 发明实施例还提供了一种计算机设备， 包括存储器、 处理器及存储在 存储器上并可在处理器上运行的计算机程序， 所述处理器执行所述程序时实现如本申请实 施例所示的网络攻击处 理方法。 [0014]第四方面， 本发明实施例还提供了一种包含计算机可执行指令 的存储介质， 所述 计算机可执行指令在由计算机处理器执行时用于执行如如本申请实施例所示的网络攻击 处理方法。 [0015]本发明提供的网络攻击处理方法， 根据探测到 的数据包进行入侵检测； 若检测到 发生入侵， 则根据所述数据包进 行入侵分析； 根据入侵 分析结果进 行入侵防御。 通过入侵检 测和入侵分析能够准确的对入侵行为进行识别， 通过入侵防御能够有效对入侵行为进 行回 应， 提高计算机设备的安全性。说　明　书 1/7 页 3 CN 114363038 A 3