(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111572351.6 (22)申请日 2021.12.21 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南 山区学苑大 道1001号南山智园A1栋 (72)发明人 裴琦杰　 (74)专利代理 机构 北京派特恩知识产权代理有 限公司 1 1270 代理人 李娟　浦彩华 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/14(2022.01) H04L 41/147(2022.01) G06K 9/62(2022.01) G06N 20/00(2019.01) (54)发明名称 一种攻击检测方法、 装置、 电子设备及存储 介质 (57)摘要 本发明实施例适用于计算机安全技术领域， 提供了一种攻击检测方法、 装置、 电子设备及存 储介质， 其中， 攻击检测方法包括： 确定是否存在 与第一网络流量对应的历史攻击事件； 在存在与 第一网络流量对应的历史攻击事件的情况下， 将 第一网络流量输入第一模型， 得到第一模型输出 的预测结果； 预测结果表征第一网络流量对应的 攻击阶段； 第一模型基于历史攻击事件和对应的 攻击阶段训练得到； 基于预测得到的攻击阶段对 第一网络流量进行特征分析， 得到分析结果； 分 析结果表征第一网络流 量对应的攻击特 征。 权利要求书2页 说明书10页 附图3页 CN 114422186 A 2022.04.29 CN 114422186 A 1.一种攻击检测方法， 其特 征在于， 所述方法包括： 确定是否存在与第一网络流 量对应的历史攻击事 件； 在存在与所述第一网络流量对应的历史攻击事件的情况下， 将所述第 一网络流量输入 第一模型， 得到所述第一模型输出 的预测结果； 所述预测结果表征所述第一网络流量对应 的攻击阶段； 所述第一模型基于历史攻击事 件和对应的攻击阶段训练得到； 基于预测得到的攻击阶段对所述第一网络流量进行特征分析， 得到分析结果； 所述分 析结果表征 所述第一网络流 量对应的攻击特 征。 2.根据权利要求1所述的方法， 其特征在于， 在所述基于预测得到的攻击阶段对所述第 一网络流 量进行特征分析， 得到分析 结果之后， 所述方法还 包括： 将所述分析 结果和所述预测结果进行一 致性检测， 得到检测结果； 在所述检测结果表征一致性检测不通过的情况下， 基于所述第 一网络流量对应的历史 流量验证所述分析 结果和所述预测结果。 3.根据权利要求2所述的方法， 其特征在于， 所述基于所述第 一网络流量对应的历史流 量验证所述分析 结果和所述预测结果， 包括： 确定所述历史流 量是否对应有与所述预测结果对应的攻击阶段； 在所述历史流量对应有与 所述预测结果对应的攻击阶段的情况下， 基于所述历史流量 补充所述分析 结果中的攻击特 征。 4.根据权利要求3所述的方法， 其特 征在于， 所述方法还 包括： 在所述历史流量和所述第一网络流量都不对应有与所述预测结果对应的攻击阶段的 情况下， 基于所述分析 结果和所述历史流 量调整所述第一模型的模型参数。 5.根据权利要求1所述的方法， 其特征在于， 所述基于预测得到的攻击阶段对所述第 一 网络流量进行特征分析， 得到分析 结果， 包括： 基于预测得到的攻击阶段对应的第二模型， 提取所述第一网络流量中的攻击特征； 所 述第二模型用于提取攻击阶段对应的攻击特 征。 6.根据权利要求2所述的方法， 其特征在于， 所述将所述分析结果和所述预测结果进行 一致性检测， 得到检测结果， 包括： 确定所述分析结果对应的攻击阶段是否与 所述预测结果对应的攻击阶段相同； 在相同 的情况下， 所述检测结果表征一 致性检测通过。 7.根据权利要求1所述的方法， 其特征在于， 所述确定是否存在与第 一网络流量对应的 历史攻击事 件， 包括： 确定所述第 一网络流量中的标识数据； 所述标识数据表征所述第 一网络流量的发送者 的身份标识； 基于所述标识数据确定是否存在与所述第一网络流 量对应的历史攻击事 件。 8.一种攻击检测装置， 其特 征在于， 包括： 确定模块， 用于确定是否存在与第一网络流 量对应的历史攻击事 件； 预测模块， 用于在存在与所述第一网络流量对应的历史攻击事件的情况下， 将所述第 一网络流量输入第一模型， 得到所述第一模型输出 的预测结果； 所述预测结果表征所述第 一网络流量对应的攻击阶段； 所述第一模型基于历史攻击事件和对应的攻击阶段训练得 到；权　利　要　求　书 1/2 页 2 CN 114422186 A 2分析模块， 用于基于预测得到的攻击阶段对所述第一网络流量进行特征分析， 得到分 析结果； 所述分析 结果表征 所述第一网络流 量对应的攻击特 征。 9.一种电子设备， 包括存储器、 处理器以及存储在所述存储器中并可在所述处理器上 运行的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求1至7 任一项所述的攻击检测方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质存储有计算机程 序， 所述计算机程序包括程序指令， 所述程序指令当被处理器执行时使所述处理器执行如 权利要求1至7任一项所述的攻击检测方法。权　利　要　求　书 2/2 页 3 CN 114422186 A 3