[发明专利]攻击流量快速识别系统、方法、计算机可读介质及设备

权利要求书

1.一种攻击流量快速识别系统，用于快速识别网络流量中的攻击流量，其特征在于，包括：

流量监控模块，用于对所述网络流量进行流量监控；

流量特征分析模块，连接所述流量监控模块，用于分析监控到的所述网络流量中是否存在符合攻击流量特征的疑似攻击流量，

若是，则截获所述疑似攻击流量并将所述疑似攻击流量保存到一数据库中；

若否，则继续对所述网络流量进行流量监控；

流量导入模块，连接所述数据库，用于从所述数据库中导入所述疑似攻击流量；

流量分析模块，连接所述流量导入模块，用于对各所述疑似攻击流量进行真实度匹配、分析，并对被匹配为真实的各所述攻击流量进行分类，得到各所述攻击流量对应的攻击种类，并综合形成一攻击流量分类结果并保存；

攻击流量计数模块，连接所述流量分析模块，用于根据所述攻击流量分类结果，对不同种类的所述攻击流量进行单独计数，最终综合各单独计数结果形成一计数结果并保存。

2.如权利要求1所述的攻击流量快速识别系统，其特征在于，所述攻击流量特征包括符合sql注入、命令执行和反序列化漏洞特征中的任意一种或多种。

3.如权利要求1所述的攻击流量快速识别系统，其特征在于，截获所述疑似攻击流量的方式包括抓包。

4.如权利要求1所述的攻击流量快速识别系统，其特征在于，所述流量分析模块中包括：

流量类型匹配单元，用于将各所述疑似攻击流量对应的所述攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配以确认各所述疑似攻击流量是否为真实的所述攻击流量，

攻击流量分类单元，连接所述流量类型匹配单元，用于对确认为真实的各所述攻击流量进行分类，得到各所述攻击流量对应的攻击种类，并综合对各攻击流量的分类结果形成所述攻击流量分类结果并保存。

5.如权利要求1所述的攻击流量快速识别系统，其特征在于，所述攻击流量的所述攻击种类包括sql注入、命令执行及反序列化漏洞中的任意一种或多种。

6.一种攻击流量快速识别方法，通过应用如权利要求1-5中任意一项的所述攻击流量快速识别系统实现，其特征在于，包括如下步骤：

步骤S1，所述攻击流量快速识别系统对网络流量进行流量监控；

步骤S2，所述攻击流量快速识别系统分析监控到的网络流量中是否存在符合攻击流量特征的疑似攻击流量，

若是，则截获所述疑似攻击流量并将所述疑似攻击流量保存到数据库中；

若否，则返回所述步骤S1，继续对所述网络流量进行流量监控；

步骤S3，所述攻击流量快速识别系统从所述数据库中导入所述疑似攻击流量；

步骤S4，所述攻击流量快速识别系统对各所述疑似攻击流量进行真实度匹配、分析，并对被匹配为真实的各所述攻击流量进行分类，得到各所述攻击流量对应的所述攻击种类，并综合形成所述攻击流量分类结果并保存；

步骤S5，所述攻击流量快速识别系统根据所述攻击流量分类结果，对不同种类的所述攻击流量进行单独计数，最终综合各单独计数结果形成针对所分析的所述攻击流量对应的所述计数结果并保存。

7.如权利要求6所述的攻击流量快速识别方法，其特征在于，所述步骤S4中，所述攻击流量快速识别系统对各所述疑似攻击流量进行真实度匹配、分析的过程具体包括如下步骤：

步骤S41，所述攻击流量快速识别系统将各所述疑似攻击流量对应的所述攻击流量特征与一攻击特征库中的预设攻击特征进行特征匹配，以确认各所述疑似攻击流量是否为真实的所述攻击流量，

若是，则进入步骤S42；

若否，则过滤掉所述疑似攻击流量；

步骤S42，所述攻击流量快速识别系统对经所述步骤S41确认为真实的各所述攻击流量进行分类，得到各所述攻击流量对应的所述攻击种类，并综合对各攻击流量的分类结果最终形成所述攻击流量分类结果并保存。

8.如权利要求6所述的攻击流量快速识别方法，其特征在于，所述步骤S4中的所述攻击种类包括sql注入、命令执行及反序列化漏洞中的任意一种或多种。