[发明专利]攻击检测方法及装置和计算机可读存储介质

权利要求书

1.一种攻击检测方法，其特征在于，所述攻击检测方法包括以下步骤：

获取广域网的中流量数据；

根据所述流量数据的属性，确定所述广域网中是否发生信息搜集行为，其中，所述信息搜集行为包括对所述广域网中主机的信息搜集、对所述广域网中服务器的信息搜集以及对所述广域网中账户信息搜集中的至少一种；

在确定所述广域网中发生信息搜集行为时，输出攻击提示信息；

所述根据所述流量数据的属性，确定所述广域网中是否发生信息搜集行为的步骤包括：

在所述流量数据中提取预设协议的数据，所述预设协议包括域名系统协议、服务器信息块协议以及网络认证协议中的至少一个，所述属性根据所述预设协议的数据确定；

根据预设协议的数据的属性，确定所述广域网中是否发生信息搜集行为；

所述根据预设协议的数据的属性，确定所述广域网中是否发生信息搜集行为的步骤包括：

从所述域名系统协议的数据中提取类型字段，若所述类型字段的值为第一预设值，确定所述广域网中的服务器发生信息同步事件，并确定所述信息同步事件对应的目的IP地址以及源IP地址；

根据所述目的IP地址以及所述源IP地址确定所述广域网是否发生信息搜集行为。

2.如权利要求1所述的攻击检测方法，其特征在于，所述根据所述目的IP地址以及所述源IP地址确定所述广域网是否发生信息搜集行为的步骤包括：

在所述目的IP地址为所述广域网中的域名系统主服务器的地址，且所述源IP地址不为所述广域网中的域名系统从服务器的地址的情况下，判定所述广域网中发生信息搜集行为。

3.如权利要求1所述的攻击检测方法，其特征在于，所述预设协议包括服务器信息块协议，所述根据预设协议的数据的属性，确定所述广域网中是否发生信息搜集行为的步骤包括：

确定所述服务器信息块协议的数据中是否含有枚举函数，其中，在所述服务器信息块协议的数据中含有枚举函数时，判定所述广域网中发生信息搜集行为。

4.如权利要求1所述的攻击检测方法，其特征在于，所述预设协议包括服务器信息块协议，所述根据预设协议的数据的属性，确定所述广域网中是否发生信息搜集行为的步骤包括：

在所述服务器信息块协议的数据中确认是否含有第二预设值，其中，在所述服务器信息块协议的数据中含有第二预设值时，判定所述广域网中发生信息搜集行为。

5.如权利要求1所述的攻击检测方法，其特征在于，所述预设协议包括网络认证协议，所述根据预设协议的数据的属性，确定所述广域网中是否发生信息搜集行为的步骤包括：

在所述网络认证协议的数据中确认是否出现第二预设字段，其中，在所述网络认证协议的数据中出现第二预设字段时，判定所述广域网中发生信息搜集行为。

6.如权利要求5所述的攻击检测方法，其特征在于，所述在所述网络认证协议的数据中确认是否出现第二预设字段的步骤之后，还包括：

在所述网络认证协议的数据中出现第二预设字段时，确定所述第二预设字段的出现频率是否大于或等于预设频率，其中，在所述出现频率大于或等于预设频率时，判定所述广域网中发生信息搜集行为。

7.一种攻击检测装置，其特征在于，所述攻击检测装置包括存储器、处理器以及存储在所述存储器并可在所述处理器上运行的攻击检测程序，所述攻击检测程序被处理器执行时实现如权利要求1-5任一项所述的攻击检测方法的各个步骤。

8.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有攻击检测程序，所述攻击检测程序被处理器执行时实现如权利要求1-6任一项所述的攻击检测方法的各个步骤。