(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111640037.7 (22)申请日 2021.12.2 9 (71)申请人 安天科技 集团股份有限公司 地址 150028 黑龙江省哈尔滨市高新 技术 产业开发区科技创新城创新创业广场 7号楼 （世坤路838号） (72)发明人 侯文伶　高喜宝　 (74)专利代理 机构 北京锺维联合知识产权代理 有限公司 1 1579 代理人 郑明明 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/163(2022.01) (54)发明名称 网络攻击检测方法、 装置、 计算机设备及存 储介质 (57)摘要 本申请提供了一种网络攻击检测方法、 装 置、 计算机设备及存储介质， 涉及网络安全技术 领域， 用于提高网络攻击检测的效率和准确率。 方法主要包括： 获取目标服务器中的待分析流量 数据， 确定待分析流量数据中具有相同五元组的 数据包数量； 若所述具有相同五元组的数据包 TCP三次握手成功， 所述具有相同五元组的数据 包数量大于第一数值， 且发送所述具有相同五元 组的数据包的攻击源IP地址个数大于第二数值， 则确定所述目标服务器遭受到网络攻击； 或； 若 具有相同五元组的数据包TCP三次握手失败， 所 述具有相同五元组的数据包数量小于第三数值， 且发送具有相同五元组的数据包的攻击源IP地 址个数大于第四数值， 则确定目标服务器遭受到 网络攻击 。 权利要求书2页 说明书8页 附图4页 CN 114363032 A 2022.04.15 CN 114363032 A 1.一种网络攻击检测方法， 其特 征在于， 所述方法包括： 获取目标服 务器中的待分析流 量数据， 所述待分析流 量数据中包括多个数据包； 确定每个数据包分别对应的五元组； 确定所述待分析流 量数据中具有相同五元组的数据包数量； 若所述具有相同五元组的数据包TCP三次握手成功， 所述具有相同五元组的数据包数 量大于第一数值， 且发送所述具有相同五元组的数据包的攻击源IP地址个数大于第二数 值， 则确定所述目标服 务器遭受到网络攻击； 或； 若所述具有相同五元组的数据包TCP三次握手失败， 所述具有相同五元组的数据包数 量小于第三数值， 且发送所述具有相同五元组的数据包的攻击源IP地址个数大于第四数 值， 则确定所述目标服 务器遭受到网络攻击 。 2.根据权利要求1所述的方法， 其特征在于， 所述确定每个数据包分别对应的五元组， 包括： 从所述数据包对应的网络层提取源IP、 目的IP以及协议号， 从所述数据包对应传输层 提取源端口号和目的端口号； 将提取的源IP、 目的IP、 源端口号、 目的端口号以及协议 号作为所述数据包的五元组。 3.根据权利要求2所述的方法， 其特征在于， 所述确定所述待分析流量数据中具有相同 五元组的数据包数量之前， 所述方法还 包括： 将所述待分析流 量数据中各个五元组的源IP， 与预置黑名单进行匹配； 将所述待分析流量数据中与 所述预置黑名单匹配成功的五元组， 确定为网络攻击者的 五元组。 4.根据权利要求3所述的方法， 其特征在于， 所述确定所述待分析流量数据中具有相同 五元组的数据包数量， 包括： 将所述待分析流 量数据中不属于网络攻击者的源IP的五元组， 确定为目标五元组； 确定所述待分析流 量数据中具有相同目标五元组的数据包数量。 5.根据权利要求1 ‑4任一项所述的方法， 其特征在于， 所述确定所述目标服务器遭受到 网络攻击之后， 所述方法还 包括： 若所述具有相同五元组的数据包TCP三次握手成功， 获取发送 的数据包数量大于第一 数值的五元组； 根据获取的TCP三次握 手成功的五元组确定发起网络攻击的物理地址 。 6.根据权利要求5所述的方法， 其特征在于， 所述根据获取的TCP三次握手成功的五元 组确定发起网络攻击的物理地址之后， 所述方法还 包括： 通过所述发起网络攻击的物理地址， 更新所述预置黑名单， 所述物理地址包括源IP。 7.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 对具有相同五元组的数据包数量进行相加， 得到相同五元组数量总和； 计算在所述具有相同五元组的数据包TCP三次握手成功时， 所述具有相同五元组的数 据包数量大于第一数值的第一相同五元组数量； 计算在所述具有相同五元组的数据包TCP三次握手失败时， 所述具有相同五元组的数 据包数量小于第三数值的第二相同五元组数量； 通过所述第 一相同五元组数量和所述第 二相同五元组数量的和值， 与 所述相同五元组权　利　要　求　书 1/2 页 2 CN 114363032 A 2数量总和的比值， 确定所述目标服 务器遭受到网络攻击 。 8.一种网络攻击检测装置， 其特 征在于， 所述装置包括： 获取模块， 用于获取目标服务器中的待分析流量数据， 所述待分析流量数据中包括多 个数据包； 确定模块， 用于确定每 个数据包分别对应的五元组； 所述确定模块， 还用于确定所述待分析流 量数据中具有相同五元组的数据包数量； 所述确定模块， 还用于若所述具有相同五元组的数据包TCP三次握手成功， 所述具有相 同五元组的数据包数量大于第一数值， 且发送所述具有相同五元组的数据包的攻击源IP地 址个数大于第二数值， 则确定所述目标服 务器遭受到网络攻击； 或； 所述确定模块， 还用于若所述具有相同五元组的数据包TCP三次握手失败， 所述具有相 同五元组的数据包数量小于第三数值， 且发送所述具有相同五元组的数据包的攻击源IP地 址个数大于第四数值， 则确定所述目标服 务器遭受到网络攻击 。 9.一种计算机设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器 上运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求 1至 7任一项所述的网络攻击检测方法。 10.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处 理器执行时实现如权利要求1至7任一项的网络攻击检测方法。权　利　要　求　书 2/2 页 3 CN 114363032 A 3