(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111488103.3 (22)申请日 2021.12.08 (65)同一申请的已公布的文献号 申请公布号 CN 114154990 A (43)申请公布日 2022.03.08 (73)专利权人 北京汇收钱科技股份有限公司 地址 100020 北京市朝阳区朝阳路67号3号 楼-1层b121 (72)发明人 黄义宝　 (74)专利代理 机构 上海尚象专利代理有限公司 31335 专利代理师 徐炫 (51)Int.Cl. G06Q 20/38(2012.01) H04L 9/40(2022.01)(56)对比文件 CN 113641993 A,2021.1 1.12 CN 105721427 A,2016.0 6.29 CN 111553701 A,2020.08.18 CN 113393246 A,2021.09.14 US 20171095 34 A1,2017.04.20 CN 111935192 A,2020.1 1.13 CN 113643033 A,2021.1 1.12 CN 113706158 A,2021.1 1.26 CN 112491867 A,2021.0 3.12 CN 111835708 A,2020.10.27 US 20180 05230 A1,2018.01.04 审查员 张力 (54)发明名称 一种基于在线支付的大数据 防攻击方法及 存储介质 (57)摘要 本申请涉及基于在线支付的大数据 防攻击 方法及存储介质， 通过对在 线支付会话进行网络 攻击解析操作获得待分析支付数据网络攻击的 阶段化攻击解析记录， 以及对在 线支付会话进行 网络攻击会话要素挖掘操作获得待分析支付数 据网络攻击的不少于一个会话要素， 能够结合阶 段化攻击解析记录、 会话要素和会话要素筛选指 标， 获得待分析支付数据网络攻击的最终解析记 录。 如此， 结合待分析支付数据网络攻击的会话 要素和会话要素筛选指标， 对阶段化攻击解析记 录进行清洗， 可清洗掉会话要素不满足会话要素 筛选指标的解析情况， 获得最终解析记录， 可确 保最终解析记录的精度， 从而为后续的攻击防护 提供准确可靠的数据基础。 权利要求书4页 说明书15页 附图2页 CN 114154990 B 2022.09.20 CN 114154990 B 1.一种基于在线支付的大数据防攻击方法， 其特征在于， 应用于大数据防攻击系统， 所 述方法至少包括： 确定不少于一组触发防攻击分析条件的在线支付会话和待分析支付数据网络攻击的 不少于一个会话要素筛 选指标； 对所述不少于一组触发防攻击分析条件的在线支付会话启用网络攻击解析操作， 获得 所述待分析支付数据网络攻击的阶段化攻击解析记录， 以及对所述不少于一组触发防攻击 分析条件的在线支 付会话进行网络攻击会话要素挖掘操作， 获得所述待分析支 付数据网络 攻击的不少于一个会话要素； 结合所述阶段化攻击解析记录、 所述不少于一个会话要素和所述待分析支付数据网络 攻击的不少于一个会话要素筛选指标， 获得所述待分析支付数据网络攻击的最终解析记 录； 其中， 在所述会话要素筛选指标的数目大于一的基础上， 在所述对所述不少于一组触 发防攻击分析条件的在线支 付会话进 行网络攻击会话要素挖掘操作， 获得所述待分析支 付 数据网络攻击的不少 于一个会话要素之前， 所述方法还包括： 确定所述筛选指标所对应的 待分析支付数据网络攻击的会话要素的关注度队列； 所述对所述不少于一组触发防攻击分析条件的在线支付会话进行网络攻击会话要素 挖掘操作， 获得所述待分析支 付数据网络攻击的不少于一个会话要 素， 包括： 对 所述不少于 一组触发防攻击分析条件的在线支 付会话进 行第一会话要 素挖掘操作， 获得所述待分析支 付数据网络攻击的第一会话要 素； 所述第一会话要素为所述关注度队列中关注度最大的会 话要素； 在所述第一会话要素满足所述第一会话要素所对应的会话要素筛选指标的基础 上， 对所述不少 于一组触发防攻击分析条件的在线支付会话进行第二会话要素挖掘操作， 获得所述待分析支 付数据网络攻击的第二会话要 素； 所述第二会话要 素为所述关注度队列 中关注度次高的会话要素； 在所述第一会话要素不满足所述第一会话要 素所对应的筛选指 标的基础上， 终止对所述不少于一组触发防攻击分析条件的在线支 付会话进 行网络攻击会 话要素挖掘操作。 2.如权利要求1所述的方法， 其特征在于， 所述结合所述待分析支付数据网络攻击的阶 段化攻击解析记录、 所述不少于一个会话要 素和所述待分析支 付数据网络攻击的不少于一 个会话要素筛 选指标， 获得 所述待分析支付数据网络攻击的最终解析记录， 包括： 在所述阶段化攻击解析记录为所述不少于一组触发防攻击分析条件的在线支付会话 中携带所述待分析支 付数据网络攻击， 且所述不少于一个会话要 素满足所述不少于一个会 话要素筛选指标的基础上， 确定所述最 终解析记录为所述待分析支 付数据网络攻击处于激 活状态； 在所述阶段化攻击解析记录为所述不少于一组触发防攻击分析条件的在线支付会话 中携带所述待分析支 付数据网络攻击， 且所述不少于一个会话要 素不满足所述不少于一个 会话要素筛选指标的基础上， 确定所述最终解析记录为所述待分析支付数据网络攻击处于 待激活状态。 3.如权利要求1或2所述的方法， 其特征在于， 所述对所述不少于一组触发防攻击分析 条件的在线支付会话进行网络攻击会话要 素挖掘操作， 获得所述待分析支 付数据网络攻击 的不少于一个会话要素， 包括： 在所述 阶段化攻击解析记录为所述不少 于一组触发防攻击权　利　要　求　书 1/4 页 2 CN 114154990 B 2分析条件的在线支 付会话中携带所述待分析支 付数据网络攻击的基础上， 对所述不少于一 组触发防攻击 分析条件的在线支 付会话进 行网络攻击会话要 素挖掘操作， 获得所述待分析 支付数据网络攻击的不少于一个会话要素； 其中， 所述待分析支付数据网络攻击包括分布式拒绝服务攻击； 所述不少于一组触发 防攻击分析条件的在线支付会话涵盖第一在线支 付会话； 所述第一在线支 付会话涵盖 分布 式拒绝服务攻击检测内容； 所述对所述不少于一组触发防攻击分析条件的在线支付会话启用网络攻击解析操作， 获得阶段化攻击解析记录， 包括： 在确定所述分布式拒绝服务攻击检测内容内携带异常检 测事项的基础上， 确定所述阶段化攻击解析记录为所述第一在线支 付会话中携带所述分布 式拒绝服务攻击； 所述异常检测事项包含如下一项或两项： 应答拒绝式请求、 异常流量状态 主题； 在确定所述分布式拒绝服务攻击检测内容内不携带异常检测事项的基础上， 确定所 述阶段化 攻击解析记录为所述第一在线支付会话中不携带 所述分布式拒绝 服务攻击。 4.如权利要求3所述的方法， 其特征在于， 所述不少于一组触发防攻击分析条件的在线 支付会话包括第三在线支付会话； 所述不少于一个会话要 素筛选指标包括放行主题关键描 述集； 所述不少于一个会话要素包括所述异常检测事项的显著性语义表达； 所述对所述不少于一组触发防攻击分析条件的在线支付会话进行网络攻击会话要素 挖掘操作， 获得所述待分析支 付数据网络攻击的不少于一个会话要 素， 包括： 对第二在线支 付会话进行显著性语义表达挖掘操作， 获得 所述异常检测事项的显著性语义表达内容； 所述不少于一个会话要素满足所述不少于一个会话要素筛选指标， 包括： 所述放行主 题关键描述 集中未携带与所述显著性语义表达内容存在对应关系的语义向量； 所述不少于一个会话要素不满足所述不少于一个会话要素筛选指标， 包括： 所述放行 主题关键描述 集中存在与所述显著性语义表达内容存在对应关系的语义向量； 其中， 所述不少于一个会话要素筛选指标还包括特征维度区间； 所述不少于一个会话 要素还包括异常检测事项的事项特 征维度； 所述对所述不少于一组触发防攻击分析条件的在线支付会话进行网络攻击会话要素 挖掘操作， 获得所述待分析支 付数据网络攻击的不少于一个会话要 素， 还包括： 对所述第二 在线支付会话进行事项识别操作， 获得 所述异常检测事项的事项特 征维度； 所述不少于一个会话要素满足所述不少于一个会话要素筛选指标， 包括： 所述放行主 题关键描述集中未携带与所述显著 性语义表达存在 对应关系的语义向量， 且所述异常检测 事项的事项特 征维度落入所述特 征维度区间； 所述不少于一个会话要素不满足所述不少于一个会话要素筛选指标， 包括以下至少一 项： 所述放行主题关键描述集中未携带与所述显著性语义表达存在对应关系的语义向量； 所述异常检测事项的事项特 征维度未落入所述特 征维度区间。 5.如权利要求1所述的方法， 其特征在于， 所述不少于一组触发防攻击分析条件的在线 支付会话包括第三在线支付会话和 第四在线支 付会话， 所述第三在线支 付会话的设定数字 签名先于所述第四在线支付会话的设定数字签名； 所述不少于一个会话要 素筛选指标包括 设定时序累计值； 所述不少于一个会话要 素包括所述待分析支 付数据网络攻击的时序统计 结果； 所述对所述不少于一组触发防攻击分析条件的在线支付会话进行网络攻击会话要素权　利　要　求　书 2/4 页 3 CN 114154990 B 3