(19)中华 人民共和国 国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202111640037.7
(22)申请日 2021.12.2 9
(71)申请人 安天科技 集团股份有限公司
地址 150028 黑龙江省哈尔滨市高新 技术
产业开发区科技创新城创新创业广场
7号楼 (世坤路838号)
(72)发明人 侯文伶 高喜宝
(74)专利代理 机构 北京锺维联合知识产权代理
有限公司 1 1579
代理人 郑明明
(51)Int.Cl.
H04L 9/40(2022.01)
H04L 69/163(2022.01)
(54)发明名称
网络攻击检测方法、 装置、 计算机设备及存
储介质
(57)摘要
本申请提供了一种网络攻击检测方法、 装
置、 计算机设备及存储介质, 涉及网络安全技术
领域, 用于提高网络攻击检测的效率和准确率。
方法主要包括: 获取目标服务器中的待分析流量
数据, 确定待分析流量数据中具有相同五元组的
数据包数量; 若所述具有相同五元组的数据包
TCP三次握手成功, 所述具有相同五元组的数据
包数量大于第一数值, 且发送所述具有相同五元
组的数据包的攻击源IP地址个数大于第二数值,
则确定所述目标服务器遭受到网络攻击; 或; 若
具有相同五元组的数据包TCP三次握手失败, 所
述具有相同五元组的数据包数量小于第三数值,
且发送具有相同五元组的数据包的攻击源IP地
址个数大于第四数值, 则确定目标服务器遭受到
网络攻击 。
权利要求书2页 说明书8页 附图4页
CN 114363032 A
2022.04.15
CN 114363032 A
1.一种网络攻击检测方法, 其特 征在于, 所述方法包括:
获取目标服 务器中的待分析流 量数据, 所述待分析流 量数据中包括多个数据包;
确定每个数据包分别对应的五元组;
确定所述待分析流 量数据中具有相同五元组的数据包数量;
若所述具有相同五元组的数据包TCP三次握手成功, 所述具有相同五元组的数据包数
量大于第一数值, 且发送所述具有相同五元组的数据包的攻击源IP地址个数大于第二数
值, 则确定所述目标服 务器遭受到网络攻击; 或;
若所述具有相同五元组的数据包TCP三次握手失败, 所述具有相同五元组的数据包数
量小于第三数值, 且发送所述具有相同五元组的数据包的攻击源IP地址个数大于第四数
值, 则确定所述目标服 务器遭受到网络攻击 。
2.根据权利要求1所述的方法, 其特征在于, 所述确定每个数据包分别对应的五元组,
包括:
从所述数据包对应的网络层提取源IP、 目的IP以及协议号, 从所述数据包对应传输层
提取源端口号和目的端口号;
将提取的源IP、 目的IP、 源端口号、 目的端口号以及协议 号作为所述数据包的五元组。
3.根据权利要求2所述的方法, 其特征在于, 所述确定所述待分析流量数据中具有相同
五元组的数据包数量之前, 所述方法还 包括:
将所述待分析流 量数据中各个五元组的源IP, 与预置黑名单进行匹配;
将所述待分析流量数据中与 所述预置黑名单匹配成功的五元组, 确定为网络攻击者的
五元组。
4.根据权利要求3所述的方法, 其特征在于, 所述确定所述待分析流量数据中具有相同
五元组的数据包数量, 包括:
将所述待分析流 量数据中不属于网络攻击者的源IP的五元组, 确定为目标五元组;
确定所述待分析流 量数据中具有相同目标五元组的数据包数量。
5.根据权利要求1 ‑4任一项所述的方法, 其特征在于, 所述确定所述目标服务器遭受到
网络攻击之后, 所述方法还 包括:
若所述具有相同五元组的数据包TCP三次握手成功, 获取发送 的数据包数量大于第一
数值的五元组;
根据获取的TCP三次握 手成功的五元组确定发起网络攻击的物理地址 。
6.根据权利要求5所述的方法, 其特征在于, 所述根据获取的TCP三次握手成功的五元
组确定发起网络攻击的物理地址之后, 所述方法还 包括:
通过所述发起网络攻击的物理地址, 更新所述预置黑名单, 所述物理地址包括源IP。
7.根据权利要求1所述的方法, 其特 征在于, 所述方法还 包括:
对具有相同五元组的数据包数量进行相加, 得到相同五元组数量总和;
计算在所述具有相同五元组的数据包TCP三次握手成功时, 所述具有相同五元组的数
据包数量大于第一数值的第一相同五元组数量;
计算在所述具有相同五元组的数据包TCP三次握手失败时, 所述具有相同五元组的数
据包数量小于第三数值的第二相同五元组数量;
通过所述第 一相同五元组数量和所述第 二相同五元组数量的和值, 与 所述相同五元组权 利 要 求 书 1/2 页
2
CN 114363032 A
2数量总和的比值, 确定所述目标服 务器遭受到网络攻击 。
8.一种网络攻击检测装置, 其特 征在于, 所述装置包括:
获取模块, 用于获取目标服务器中的待分析流量数据, 所述待分析流量数据中包括多
个数据包;
确定模块, 用于确定每 个数据包分别对应的五元组;
所述确定模块, 还用于确定所述待分析流 量数据中具有相同五元组的数据包数量;
所述确定模块, 还用于若所述具有相同五元组的数据包TCP三次握手成功, 所述具有相
同五元组的数据包数量大于第一数值, 且发送所述具有相同五元组的数据包的攻击源IP地
址个数大于第二数值, 则确定所述目标服 务器遭受到网络攻击; 或;
所述确定模块, 还用于若所述具有相同五元组的数据包TCP三次握手失败, 所述具有相
同五元组的数据包数量小于第三数值, 且发送所述具有相同五元组的数据包的攻击源IP地
址个数大于第四数值, 则确定所述目标服 务器遭受到网络攻击 。
9.一种计算机设备, 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器
上运行的计算机程序, 其特征在于, 所述处理器执行所述计算机程序时实现如权利要求 1至
7任一项所述的网络攻击检测方法。
10.一种计算机可读存储介质, 所述计算机可读存储介质存储有计算机程序, 其特征在
于, 所述计算机程序被处 理器执行时实现如权利要求1至7任一项的网络攻击检测方法。权 利 要 求 书 2/2 页
3
CN 114363032 A
3
专利 网络攻击检测方法、装置、计算机设备及存储介质
安全报告 >
其他 >
文档预览
中文文档
15 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共15页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-19 04:27:36上传分享