(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111679333.8 (22)申请日 2021.12.31 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 陶磊　李元治　 (74)专利代理 机构 深圳市深佳知识产权代理事 务所(普通 合伙) 44285 代理人 林志鹏 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 一种攻击识别方法、 装置及相关 设备 (57)摘要 本申请公开了一种攻击识别方法， 包括： 根 据设备运行信息确定目标设备的IP信息； 针对所 述目标设备构造探测包， 根据所述IP信息向所述 目标设备发送所述探测包； 接收所述目标设备针 对所述探测包发送的响应包， 根据所述响应包的 内容确定 所述目标设备是否存在攻击行为。 应用 本申请所提供的技术方案， 实现了对攻击组织的 主动检测和识别， 进一步提高了网络设备的安全 性。 本申请还公开了一种攻击识别装置、 系统及 计算机可读存 储介质， 均具 上述有益效果。 权利要求书2页 说明书10页 附图2页 CN 114363059 A 2022.04.15 CN 114363059 A 1.一种攻击识别方法， 其特 征在于， 包括： 根据设备运行信息确定目标设备的IP信息； 针对所述目标设备构造 探测包， 根据所述 IP信息向所述目标设备发送所述探测包； 接收所述目标设备针对所述探测包发送的响应包， 根据 所述响应包的内容确定所述目 标设备是否存在攻击行为。 2.根据权利要求1所述的攻击识别方法， 其特征在于， 所述针对所述目标设备构造探测 包， 根据所述 IP信息向所述目标设备发送所述探测包， 包括： 构造登录密码， 并根据所述 IP信息向所述目标设备发送包括所述登录密码的探测包； 相应地， 所述 根据所述响应包的内容确定所述目标设备 是否存在攻击行为， 包括： 在所述响应包的内容包括密码识别结果的情况 下， 确定所述目标设备存在攻击行为。 3.根据权利要求1所述的攻击识别方法， 其特征在于， 所述针对所述目标设备构造探测 包， 根据所述 IP信息向所述目标设备发送所述探测包之前， 还 包括： 获取所述IP信息对应的网络端口； 从所述网络端口中探测获得指纹特 征； 当所述指纹特 征命中指纹库的情况 下， 确定所述目标设备存在攻击行为； 当所述指纹特征未命中所述指纹库的情况下， 执行所述针对所述目标设备构造探测 包， 根据所述 IP信息向所述目标设备发送所述探测包的步骤及其后续所有步骤。 4.根据权利要求3所述的攻击识别方法， 其特征在于， 当所述指纹特征未命中所述指纹 库的情况 下， 确定所述目标设备存在攻击行为之后， 所述方法还 包括： 当所述网络端口采用的数据协议为TLS协议的情况下， 将所述指纹特征添加至所述指 纹库。 5.根据权利要求1所述的攻击识别方法， 其特征在于， 所述针对所述目标设备构造探测 包， 根据所述 IP信息向所述目标设备发送所述探测包， 包括： 构造预设类型的文件数据的下载请求信 息， 根据所述IP信 息向所述目标设备发送包括 所述下载请求信息的探测包； 相应地， 所述 根据所述响应包的内容确定所述目标设备 是否存在攻击行为， 包括： 当所述响应包的内容包括下载得到的预设类型的文件数据的情况下， 确定所述目标设 备存在攻击行为。 6.根据权利要求5所述的攻击识别方法， 其特 征在于， 还 包括： 当所述响应包的内容不包括下载得到的预设类型的文件数据的情况下， 访问所述预设 类型的文件数据对应的各URL； 当所述URL的响应信息 中包括有预设回复信息和/或乱码的情况下， 确定所述目标设备 存在攻击行为。 7.根据权利要求1所述的攻击识别方法， 其特征在于， 所述根据设备运行信 息确定目标 设备的IP信息， 包括： 对所述设备运行信 息进行特征提取， 获得目标特征； 其中， 所述目标特征包括终端行为 特征和/或通信流 量特征； 当所述目标特征命中异常特征库的情况下， 从所述目标特征对应的设备运行信 息中解 析得到所述目标设备的IP信息 。权　利　要　求　书 1/2 页 2 CN 114363059 A 28.一种攻击识别装置， 其特 征在于， 包括： IP信息获取模块， 用于根据设备运行信息确定目标设备的IP信息； 探测包发送模块， 用于针对所述目标设备构造探测包， 根据所述IP信息向所述目标设 备发送所述探测包； 攻击行为识别模块， 用于接收所述目标设备针对所述探测包发送的响应包， 根据所述 响应包的内容确定所述目标设备 是否存在攻击行为。 9.一种攻击识别系统， 其特 征在于， 包括： 存储器， 用于存 储计算机程序； 处理器， 用于执行所述计算机程序时实现如权利要求1至7任一项所述的攻击识别方法 的步骤。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时实现如权利要求 1至7任一项 所述的攻击识别方法的 步骤。权　利　要　求　书 2/2 页 3 CN 114363059 A 3