[发明专利]攻击事件处理方法、装置、设备及存储介质

权利要求书

1.一种攻击事件处理方法，应用于工业互联网，其特征在于，包括：

在接收到指向目标服务器的目标访问请求时，检测所述目标访问请求是否为满足二次验证条件的攻击事件；

若是，则将所述目标访问事件发送至所述目标服务器中的监控内核中，并实时监控所述监控内核对所述目标访问请求的响应结果；

根据所述响应结果，生成与所述目标访问请求匹配的过滤处理策略，并按照所述过滤处理策略，对所述目标访问请求进行处理；

其中，所述目标服务器设置有独立的监控内核和系统内核，所述系统内核用于响应正常访问请求，所述监控内核用于响应满足二次验证条件的攻击事件。

2.根据权利要求1所述的方法，其特征在于，所述检测所述目标访问请求是否为满足二次验证条件的攻击事件，包括：

对所述目标访问请求进行分析，得到所述目标访问请求包含的至少一个属性参数；

将各属性参数分别与所述攻击事件包含的参考属性参数进行比对，根据比对结果确定所述访问请求是否为满足二次验证条件的攻击事件；

所述属性参数包括下述至少一项：源互联网协议IP地址、目的IP地址、发包进程用户账户UID标记、发包进程文件标记、收包进程UID标记以及收包进程文件标记。

3.根据权利要求2所述的方法，其特征在于，根据比对结果确定所述访问请求是否为满足二次验证条件的攻击事件，包括：

当目标属性参数与任一所述参考属性参数满足一致性条件时，确定所述访问请求为满足二次验证条件的攻击事件，并上报所述目标访问请求。

4.根据权利要求1所述的方法，其特征在于，所述实时监控所述监控内核对所述目标访问请求的响应结果，包括：

对所述目标访问请求的内核调用表、与所述目标访问请求对应的至少一个服务子进程，或者各所述服务子进程的加载记录进行监控；

并将监控数据与预设白名单进行比对，生成响应结果。

5.根据权利要求4所述的方法，其特征在于，所述根据所述响应结果，生成与所述目标访问请求匹配的过滤处理策略，包括：

若监控数据与预设白名单的比对结果不满足一致性条件，则确定所述访问请求为攻击事件；

则生成与所述目标访问请求匹配的过滤处理策略，并上报所述过滤处理策略至防火墙；

相应的，所述按照所述过滤处理策略，对所述目标访问请求进行处理，包括：

在所述监控内核中删除所述目标访问请求。

6.根据权利要求5所述的方法，其特征在于，在生成与所述目标访问请求匹配的过滤处理策略，并上报所述过滤处理策略至防火墙之后，还包括：

响应于待发送至目标服务器的参考访问请求，将所述参考访问请求与所述过滤处理策略中的访问请求进行比对；

若比对结果满足一致性条件，则通过防火墙拦截所述参考访问请求。

7.根据权利要求3所述的方法，其特征在于，所述根据所述响应结果，生成与所述目标访问请求匹配的过滤处理策略，包括：

若监控数据与预设白名单的比对结果满足一致性条件，则确定所述访问请求为安全事件；

则生成与所述目标访问请求匹配的过滤处理策略，并上报所述过滤处理策略至防火墙；

相应的，所述按照所述过滤处理策略，对所述目标访问请求进行处理，包括：

将所述目标访问请求由监控内核转发至所述系统内核。