(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211102626.4 (22)申请日 2022.09.09 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 伍杰　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 专利代理师 孙宝海 (51)Int.Cl. G06F 21/56(2013.01) G06F 16/242(2019.01) G06F 16/27(2019.01) (54)发明名称 恶意攻击识别方法、 系统、 设备及存 储介质 (57)摘要 本发明提供了恶意攻击识别方法、 系统、 设 备及存储介质， 通过从分布式部署的应用程序分 别对应设置的不同rasp程序接收恶意行为判定 结果， 对不同rasp程序输 出的恶意攻击判定结果 进行一致性 分析， 将一致性达到设定条件的恶意 行为判定结果确定为恶意攻击识别结果。 因此， 本实施例采用异构和冗余的rasp部署， 能够解决 单一规则匹配所带来的恶意攻击识别精度低的 问题， 通过采用不同rasp程序从不同角度进行恶 意攻击判定并做最后裁决， 可以提升恶意攻击识 别精度， 提升主程序对 恶意攻击的防护性能。 权利要求书2页 说明书8页 附图4页 CN 115391781 A 2022.11.25 CN 115391781 A 1.一种恶意 攻击识别方法， 其特 征在于， 包括： 从分布式部署的应用程序分别对应设置的不同rasp程序接收恶意行为判定结果， 其 中， 所述恶意攻击判定结果是所述rasp程序根据所对应应用程序的执行数据对用户的输入 进行恶意行为判断得到的； 对不同rasp程序输出的恶意攻击判定结果进行一致性分析， 将一致性达到设定条件的 恶意行为判定结果确定为恶意 攻击识别结果。 2.根据权利要求1所述的恶意攻击识别方法， 其特征在于， 所述恶意攻击识别方法还包 括： 将一致性未达到设定条件的恶意攻击判定结果、 及其对应的执行数据和rasp程序的信 息提请人工审核； 响应于人工审核结果， 获得补丁文件， 并使用所述补丁文件对一致性未达到设定条件 的攻击行为判定结果对应的rasp程序进行 更新。 3.根据权利要求1所述的恶意攻击识别方法， 其特征在于， 其中， 所述设定条件是指所 述恶意攻击判定结果占多数。 4.根据权利要求1所述的恶意攻击识别方法， 其特征在于， 在所述恶意攻击识别结果显 示为恶意攻击的情况 下， 所述恶意 攻击识别方法还 包括： 对所述应用程序的返回数据进行 敏感信息掩盖处 理； 将掩盖处 理过的返回数据发送给 所述应用程序。 5.根据权利要求4所述的恶意攻击识别方法， 其特征在于， 对所述应用程序的返回数据 进行敏感信息掩盖处 理， 包括： 对所述用户的输入获得SQ L语句， 并对所述SQ L语句进行修改； 基于修改的SQ L语句请求数据库提供进行 敏感信息的掩盖处 理的所述返回数据。 6.根据权利要求1所述的恶意攻击识别方法， 其特征在于， 在从对应分布式部署的应用 程序分别设置的不同rasp程序接收恶意行为判定结果之前， 所述恶意攻击识别方法还包 括： 接收所述用户的输入； 响应于所述用户的输入， 获得输入数据， 将所述输入数据分发给分布式部署的应用程 序。 7.根据权利要求1所述的恶意攻击识别方法， 其特征在于， 所述rasp程序以代 理的方式 嵌入对应的应用程序中。 8.一种恶意 攻击识别系统， 其特 征在于， 包括： 从对应分布式部署的应用程序分别设置的不同rasp程序接收恶意行为判定结果， 其 中， 所述恶意攻击判定结果是所述rasp程序根据所对应应用程序的执行数据对用户的输入 进行恶意行为判断得到的； 对不同rasp程序输出的恶意攻击判定结果进行一致性分析， 将一致性达到设定条件的 恶意行为判定结果确定为恶意 攻击识别结果。 9.一种电子设备， 其特 征在于， 包括： 处理器； 存储器， 其中存 储有所述处 理器的可 执行指令；权　利　要　求　书 1/2 页 2 CN 115391781 A 2其中， 所述处理器配置为经由执行所述可执行指令来执行权利要求1至7任一项所述的 恶意攻击识别方法的步骤。 10.一种计算机可读存储介质， 用于存储程序， 其特征在于， 所述程序被处理器执行时 实现权利要求1至7任一项所述的恶意 攻击识别方法的步骤。权　利　要　求　书 2/2 页 3 CN 115391781 A 3