(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202111576039.4 (22)申请日 2021.12.2 2 (65)同一申请的已公布的文献号 申请公布号 CN 113965419 A (43)申请公布日 2022.01.21 (73)专利权人 北京微步在线科技有限公司 地址 100082 北京市海淀区苏州街 49-3号3 层301室 (72)发明人 赵林林　童兆丰　薛锋　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 杨奇松 (51)Int.Cl. H04L 9/40(2022.01)(56)对比文件 CN 113612866 A,2021.1 1.05 审查员 侯艳兰 (54)发明名称 一种通过反连判定攻击成功的方法及装置 (57)摘要 本申请实施例提供一种通过反连判定攻击 成功的方法及装置， 包括： 先获取待检测的攻击 流量， 并提取攻击流量中的攻击载荷以及攻击流 量对应的被攻击主机地址； 然后提取攻击载荷中 的疑似反连地址； 再根据被攻击主机地址和预设 判定条件， 判断是否检测到疑似反连地址对应的 连接请求； 如果是， 则确定被攻击主机地址被攻 击成功， 能够解决网络攻击成功的判别问题， 避 免产生大量威胁告警， 从而有利于提高安全防护 效率。 权利要求书2页 说明书8页 附图3页 CN 113965419 B 2022.07.08 CN 113965419 B 1.一种通过反连判定攻击成功的方法， 其特 征在于， 包括： 获取待检测的攻击流量， 并提取所述攻击流量中的攻击载荷以及所述攻击流量对应的 被攻击主机地址； 提取所述攻击载荷中的疑似反连地址； 根据所述被攻击主机地址和预设判定条件， 判断是否检测到所述疑似反连地址对应的 连接请求； 如果是， 则确定所述被攻击主机地址被攻击成功， 以及将所述连接请求与所述攻击流 量进行关联， 并将所述 攻击流量标记为 攻击成功； 所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件， 其中， 所 述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址， 所述第二条件 为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。 2.根据权利要求1所述的通过反连判定攻击成功的方法， 其特征在于， 所述提取所述攻 击流量中的攻击载荷以及所述 攻击流量对应的被攻击主机地址， 包括： 根据预设特征检测算法从所述攻击流量中识别被攻击主机地址， 并提取所述攻击流量 中的攻击载荷。 3.根据权利要求1所述的通过反连判定攻击成功的方法， 其特征在于， 所述提取所述攻 击载荷中的疑似反连地址， 包括： 根据预设反连识别算法， 从所述攻击载荷中识别疑似反连地址， 其中， 所述预设反连识 别算法包括特征分析算法、 深度包检测 算法、 特征匹配算法以及深度学习算法中的一种或 者多种。 4.根据权利要求1所述的通过反连判定攻击成功的方法， 其特征在于， 在所述将所述攻 击流量标记为 攻击成功之后， 所述方法还 包括： 确定所述 攻击流量对应的网络威胁事 件； 调整所述网络威胁事 件的威胁级别； 输出所述网络威胁事 件攻击成功以及所述 威胁级别的攻击成功展示信息 。 5.一种通过反连判定攻击成功的装置， 其特征在于， 所述通过反连判定攻击成功的装 置包括： 获取单元， 用于获取待检测的攻击流 量； 被攻击地址提取单元， 用于提取所述攻击流量中的攻击载荷以及所述攻击流量对应的 被攻击主机地址； 地址提取 单元， 用于提取 所述攻击载荷中的疑似反连地址； 攻击成功判定单元， 用于根据所述被攻击主机地址和预设判定条件， 判断是否检测到 所述疑似反连地址对应的连接请求； 确定单元， 用于当判断出检测到所述疑似反连地址对应的所述连接请求时， 则确定所 述被攻击主机地址被攻击成功， 以及将所述连接请求与所述攻击流量进行关联， 并将所述 攻击流量标记为 攻击成功； 所述预设判定条件包括在预设超时时间段内同时满足第一条件和第二条件， 其中， 所 述第一条件为连接请求的来源通信地址是所述被攻击主机地址的通信地址， 所述第二条件 为所述连接请求的目的通信地址和目的端口与所述疑似反连地址相匹配。权　利　要　求　书 1/2 页 2 CN 113965419 B 26.根据权利要求5所述的通过反连判定攻击成功的装置， 其特征在于， 所述被攻击地址 提取单元， 具体用于根据预设特征检测 算法从所述攻击流量中识别被攻击主机地址， 并提 取所述攻击流量中的攻击载荷。 7.根据权利要求5所述的通过反连判定攻击成功的装置， 其特征在于， 所述地址提取单 元， 具体用于根据预设反连识别算法， 从所述攻击载荷中识别疑似反连地址， 其中， 所述预 设反连识别算法包括特征分析算法、 深度包检测算法、 特征匹配算法以及深度学习算法中 的一种或者多种。 8.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使 所述电子 设备执行权利要求 1至4中 任一项所述的通过反连判定攻击成功的方法。 9.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所述 计算机程序指 令被一处理器读取并运行时， 执行权利要求 1至4任一项 所述的通过反连判定 攻击成功的方法。权　利　要　求　书 2/2 页 3 CN 113965419 B 3