(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111504586.1 (22)申请日 2021.12.10 (71)申请人 北京天融信网络安全技 术有限公司 地址 100085 北京市海淀区上地 东路1号院 3号楼四层 申请人 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 娄扬　刘继东　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 杨奇松 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) H04L 41/0631(2022.01) (54)发明名称 一种攻击 研判方法及装置 (57)摘要 一种攻击研判方法及 装置， 涉及网络安全技 术领域， 该攻击研判方法包括： 先获取目标客户 端在目标通信会话中发送的请求报文； 再根据预 先构建的攻击研判规则集对请求报文进行网络 攻击检测， 得到检测结果； 当根据检测结果确定 出存在网络攻击威胁时， 将请求报文确定为可疑 报文， 并根据检测结果确定对可疑报文进行安全 防护处理的动作类型； 最后根据动作类型对可疑 报文进行安全防护处理。 可见， 实施该方法不需 要对所有的响应报文进行攻击检测， 保证了攻击 检测性能， 从而 减小了网络延迟。 权利要求书2页 说明书8页 附图4页 CN 114095274 A 2022.02.25 CN 114095274 A 1.一种攻击研判方法， 其特 征在于， 包括： 获取目标客户端在目标通信会话中发送的请求报文； 根据预先构建的攻击研判规则集对所述请求报文 进行网络攻击检测， 得到检测结果； 当根据所述检测结果确定出存在网络攻击威胁时， 将所述请求报文确定为可疑报文， 并根据所述检测结果确定对所述可疑报文 进行安全防护处 理的动作类型； 根据所述动作类型对所述可疑报文 进行安全防护处 理。 2.根据权利要求1所述的攻击研判方法， 其特征在于， 在获取所述目标客户端在目标通 信会话中发送的请求报文之前， 所述方法还 包括： 获取原始规则库； 对所述原 始规则库进行解析， 得到解析规则集 合； 确定所述解析规则集合中的目标规则， 所述目标规则包括检测请求报文的第 一相关选 项和检测响应报文的第二相关选项； 根据所述目标规则中的所述第 一相关选项， 生成第 一规则， 并根据 所述第二相关选项， 生成第二 规则； 所述第二 规则的动作类型继承自所述第一 规则； 将所述第一规则的响应规则指针指向所述第 一规则， 并将所述第 一规则加入到请求阶 段规则集中， 得到攻击研判规则集并存 储。 3.根据权利要求1所述的攻击研判方法， 其特征在于， 所述根据 预先构建的攻击研判规 则集对所述请求报文 进行网络攻击检测， 得到检测结果， 包括： 根据预先构建的攻击研判规则集对所述请求报文 进行规则匹配， 得到匹配结果； 根据匹配结果判断是否命中所述 攻击研判规则集中的规则； 如果是， 获取命中所述 攻击研判规则集中的规则， 得到目标命中规则； 确定所述目标命中规则对应的动作类型； 生成包括所述目标命中规则和所述动作类型的检测结果， 并根据 所述检测结果确定存 在网络攻击威胁， 以及执 行所述的将所述请求报文确定为可疑报文。 4.根据权利要求1所述的攻击研判方法， 其特征在于， 所述根据 所述动作类型对所述可 疑报文进行安全防护处 理， 包括： 当所述动作类型为阻断时， 则丢弃 所述可疑报文， 并删除所述目标通信会话。 5.根据权利要求1所述的攻击研判方法， 其特征在于， 所述根据 所述动作类型对所述可 疑报文进行安全防护处 理， 包括： 当所述动作类型为告警时， 则判断所述目标命中规则对应的响应规则指针是否为非 空； 如果是， 则根据所述响应规则指针获取 所述目标命中规则的关联规则； 将所述目标通信会话的研判规则指针指向所述关联规则； 在获取到所述可疑报文对应的响应报文时， 通过所述关联规则对所述响应报文进行攻 击研判处 理。 6.根据权利要求5所述的攻击研判方法， 其特 征在于， 所述方法还 包括： 当判断出所述响应规则指针不是非空时， 则 输出针对所述可疑报文的第 一告警提示信 息。 7.根据权利要求5所述的攻击研判方法， 其特征在于， 所述通过所述关联规则对所述响权　利　要　求　书 1/2 页 2 CN 114095274 A 2应报文进行攻击研判处 理， 包括： 获取所述研判规则指针指向的所述关联规则； 判断所述响应报文是否命中所述关联规则； 如果是， 根据 所述关联规则继承的动作类型输出针对所述可疑报文和所述响应报文的 第二告警提 示信息。 8.一种攻击研判装置， 其特 征在于， 所述 攻击研判装置包括： 第一获取 单元， 用于获取目标客户端在目标通信会话中发送的请求报文； 检测单元， 用于根据预先构建的攻击研判规则集对所述请求报文进行网络攻击检测， 得到检测结果； 确定单元， 用于在根据所述检测结果确定出存在网络攻击威胁时， 将所述请求报文确 定为可疑报文， 并根据所述检测结果确定对所述可疑报文 进行安全防护处 理的动作类型； 处理单元， 用于根据所述动作类型对所述可疑报文 进行安全防护处 理。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至7中 任一项所述的攻击研判方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所 述计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至7任一项 所述的攻击研判方 法。权　利　要　求　书 2/2 页 3 CN 114095274 A 3