[发明专利]网络攻击结果的确定方法、装置、设备及存储介质

权利要求书

1.一种网络攻击结果的确定方法，其特征在于，包括：

获取网络攻击流量，并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件；

提取所述目标攻击事件的攻击特征信息，并将所述攻击特征信息发送至被攻击IP对应的终端探针；

通过所述终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为，并将所述攻击特征信息与终端探针监测记录的信息进行匹配，根据匹配结果确定所述目标攻击事件的攻击结果。

2.如权利要求1所述的方法，其特征在于，所述确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件，包括：

根据预设攻击规则，梳理所述网络攻击流量中需要终端探针进行的攻击结果判断事件，确定候选攻击事件；

在所述候选攻击事件的攻击类型和终端连通情况满足指定条件时，确定所述候选攻击事件为目标攻击事件。

3.如权利要求1所述的方法，其特征在于，所述攻击特征信息包括时间、攻击标识、攻击类型、有效载荷，所述将所述攻击特征信息与终端探针监测记录的信息进行匹配，根据匹配结果确定所述目标攻击事件的攻击结果，包括：

将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配，以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配；

若匹配到与攻击特征信息一致的第一信息，或者，若匹配到与攻击特征信息一致的第二信息，则确定所述目标攻击事件的攻击结果为攻击成功。

4.如权利要求3所述的方法，其特征在于，所述攻击特征信息还包括规则标识，在将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配，以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配之前，还包括：

查询预设关系，以将所述规则标识与预设的终端响应成功规则标识和终端响应失败规则标识进行匹配；

当所述规则标识匹配到终端响应成功规则标识时，确定所述目标攻击事件的攻击结果为攻击成功；

当所述规则标识匹配到终端响应失败规则标识时，确定所述目标攻击事件的攻击结果为攻击失败。

5.如权利要求4所述的方法，其特征在于，还包括：

若未匹配到与攻击特征信息一致的第一信息，且未匹配到与攻击特征信息一致的第二信息，则提取所述第一信息和所述第二信息中每组信息的关键特征，将所述攻击特征信息与所述关键特征进行模糊匹配，生成每组信息对应的权值；

确定多组权值中的最大值，若所述最大值大于预设阈值，则确定所述目标攻击事件的攻击结果为攻击疑似成功。

6.如权利要求3所述的方法，其特征在于，所述将所述攻击特征信息与终端探针监测记录的异常行为的第一信息进行匹配，以及将所述攻击特征信息与终端探针监测记录的正常行为的第二信息进行匹配，包括：

确定所述攻击特征信息是否携带延迟响应标识；

若未检测到所述延迟响应标识，则立刻将所述攻击特征信息与所述第一信息和所述第二信息进行匹配；

若检测到所述延迟响应标识，则延迟与所述延迟响应标识对应的时刻后，将所述攻击特征信息与所述第一信息和所述第二信息进行匹配。

7.如权利要求1所述的方法，其特征在于，还包括：

接收终端探针发送的终端探针序列号、设备IP、终端系统信息、终端描述信息，以将终端探针注册到检测设备；

其中，终端探针通过与检测设备之间的心跳连接，反馈状态信息。

8.一种网络攻击结果的确定装置，其特征在于，包括：

获取模块，用于获取网络攻击流量，并确定所述网络攻击流量中需要通过终端行为判定攻击结果的目标攻击事件；

提取模块，用于提取所述目标攻击事件的攻击特征信息，并将所述攻击特征信息发送至被攻击IP对应的终端探针；

确定模块，用于通过所述终端探针持续监测并记录终端中的异常行为、正常行为和终端响应判定规则行为，并将所述攻击特征信息与终端探针监测记录的信息进行匹配，根据匹配结果确定所述目标攻击事件的攻击结果。