(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111575903.9 (22)申请日 2021.12.2 2 (65)同一申请的已公布的文献号 申请公布号 CN 113965418 A (43)申请公布日 2022.01.21 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 赵林林　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 蒋姗 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 106357696 A,2017.01.25 US 2006015941 A1,20 06.01.19 CN 109391626 A,2019.02.26 CN 111049783 A,2020.04.21 审查员 张凡 (54)发明名称 一种攻击成功判定方法及装置 (57)摘要 本申请实施例提供一种攻击成功判定方法 及装置， 涉及网络安全技术领域， 该攻击成功判 定方法包括： 获取待检测的网络流量数据； 获取 网络流量数据中的攻击请求数据包以及与攻击 请求数据包相关联的响应数据包； 对响应数据包 进行深度分析处理， 得到深度分析结果； 根据深 度分析结果判断是否攻击成功； 当判断出攻击成 功时， 输出攻击成功提示信息， 能够检测 网络攻 击是否攻击成功， 避免产生大量威胁告警， 从而 有利于提高安全运营 人员的工作效率。 权利要求书3页 说明书11页 附图5页 CN 113965418 B 2022.07.22 CN 113965418 B 1.一种攻击成功判定方法， 其特 征在于， 包括： 获取待检测的网络流 量数据； 获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求数据包相关联的响 应数据包； 对所述响应数据包进行深度分析处 理， 得到深度分析 结果； 根据所述深度分析 结果判断是否攻击成功； 当判断出攻击成功时， 输出攻击成功提 示信息； 其中， 所述对所述响应数据包进行深度分析处 理， 得到深度分析 结果， 包括： 对所述响应数据包进行深度包检测， 得到响应数据； 根据预设的漏洞情 报库对所述响应数据进行攻击检测， 确定第一 攻击状态； 对所述响应数据进行 特征分析， 确定第二 攻击状态； 根据预先构建的网络攻击检测模型对所述响应数据进行处理， 得到第三攻击状态； 所 述深度分析 结果包括所述第一 攻击状态、 所述第二 攻击状态和所述第三 攻击状态； 其中， 所述根据 预设的漏洞情报库对所述响应数据进行攻击检测， 确定第 一攻击状态， 包括： 判断所述响应数据与预设的漏洞情 报库是否匹配； 如果是， 则确定第一 攻击状态为 攻击成功； 如果否， 则确定第一 攻击状态为未攻击成功； 其中， 如果所述响应数据与所述漏洞情报库中攻击成功 的结果一致， 则判定为攻击成 功； 其中， 所述输出攻击成功提 示信息包括： 确定所述响应数据包 对应的攻击事 件； 调整所述 攻击事件的威胁严重等级； 输出包括所述 攻击事件以及所述 威胁严重等级的攻击成功提 示信息； 其中， 对于攻击成功的事件提高相应的威胁严重等级， 对于未攻击成功 的事件降低相 应的威胁严重等级。 2.根据权利要求1所述的攻击成功判定方法， 其特征在于， 所述获取所述网络流量数据 中的攻击请求数据包以及与所述 攻击请求数据包相关联的响应数据包， 包括： 获取所述网络流 量数据中的请求数据包； 对所述请求数据包进行攻击特 征检测， 得到检测结果； 根据所述检测结果从所述请求数据包中确定出 具有攻击特 征的攻击请求数据包； 获取与所述攻击请求数据包相对应的响应数据包， 并将所述响应数据包与 所述攻击请 求数据包进行关联。 3.根据权利要求1所述的攻击成功判定方法， 其特征在于， 所述对所述响应数据进行特 征分析， 确定第二 攻击状态， 包括： 根据所述响应数据提取攻击行为的结果； 对所述攻击行为的结果进行 特征分析， 得到特 征分析结果； 判断所述特 征分析结果与预设的攻击判定规则是否匹配； 如果是， 则确定第二 攻击状态为 攻击成功；权　利　要　求　书 1/3 页 2 CN 113965418 B 2如果否， 则确定第二 攻击状态为未攻击成功。 4.根据权利要求1所述的攻击成功判定方法， 其特征在于， 所述根据预先构建的网络攻 击检测模型对所述响应数据进行处 理， 得到第三 攻击状态， 包括： 对所述响应数据进行 特征提取， 得到特 征向量； 通过预先构建的网络攻击检测模型对所述特 征向量进行处 理， 得到攻击检测结果； 根据所述 攻击检测结果确定第三 攻击状态。 5.根据权利要求1所述的攻击成功判定方法， 其特征在于， 所述根据所述深度分析结果 判断是否攻击成功， 包括： 判断所述第一攻击状态、 所述第二攻击状态以及所述第三攻击状态中， 是否存在有攻 击状态为 攻击成功； 如果是， 则判断为 攻击成功； 如果否， 则判断为未攻击成功。 6.一种攻击成功判定装置， 其特 征在于， 所述 攻击成功判定装置包括： 第一获取 单元， 用于获取待检测的网络流 量数据； 第二获取单元， 用于获取所述网络流量数据中的攻击请求数据包以及与所述攻击请求 数据包相关联的响应数据包； 分析单元， 用于对所述响应数据包进行深度分析处 理， 得到深度分析 结果； 判断单元， 用于根据所述深度分析 结果判断是否攻击成功； 输出单元， 用于当判断出攻击成功时， 输出攻击成功提 示信息； 其中， 所述分析 单元， 包括： 包检测子单 元， 用于对响应数据包进行深度包检测， 得到响应数据； 第二确定子单元， 用于根据预设的漏洞情报库对响应数据进行攻击检测， 确定第一攻 击状态； 第三确定 子单元， 用于对响应数据进行 特征分析， 确定第二 攻击状态； 第四确定子单元， 用于根据预先构建的网络攻击检测模型对响应数据进行处理， 得到 第三攻击状态； 深度分析 结果包括第一 攻击状态、 第二 攻击状态和第三 攻击状态； 其中， 所述第二确定 子单元包括： 第一模块， 用于判断响应数据与预设的漏洞情 报库是否匹配； 第二模块， 用于当判断出响应数据与漏洞情报库相匹配时， 确定第一攻击状态为攻击 成功； 当判断出响应数据与漏洞情 报库不相匹配时， 则确定第一 攻击状态为未攻击成功； 其中， 如果所述响应数据与所述漏洞情报库中攻击成功 的结果一致， 则判定为攻击成 功； 其中， 所述输出 单元包括： 第五确定 子单元， 用于确定响应数据包 对应的攻击事 件； 调整子单 元， 用于调整攻击事 件的威胁严重等级； 输出子单 元， 用于输出包括 攻击事件以及威胁严重等级的攻击成功提 示信息； 其中， 对于攻击成功的事件提高相应的威胁严重等级， 对于未攻击成功 的事件降低相 应的威胁严重等级。 7.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于权　利　要　求　书 2/3 页 3 CN 113965418 B 3