(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111602189.8 (22)申请日 2021.12.24 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 肖宇峰　汪来富　史国水　毕喜军　 刘东鑫　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 代理人 孙宝海　李建忠 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 网络攻击预警方法、 系统、 设备及存 储介质 (57)摘要 本发明提供了一种网络攻击预警方法、 系 统、 设备及存储介质， 所述方法包括步骤： 网络流 量探针获取IP威胁情报数据库和状态化会话表， 并采集网络流量； 所述IP威胁情报数据库中包含 有多条IP威胁情报； 所述网络流量探针基于 所述 网络流量和IP威胁情报数据库， 对所述状态化会 话表进行更新， 得到更新后的状态化会话表； 所 述网络流量探针响应于更新后的所述状态化会 话表存在会话表项， 生成攻击预警信息并向外发 送； 本申请减小了流量分析时间花销， 能够尽快 发现可能潜在的攻击威胁， 提高了对潜在网络攻 击的检测效率。 权利要求书2页 说明书12页 附图7页 CN 114301659 A 2022.04.08 CN 114301659 A 1.一种网络攻击预警方法， 其特 征在于， 包括以下步骤： 网络流量探针获取IP威胁情报数据库和状态化会话表， 并采集网络流量； 所述IP威胁 情报数据库中包 含有多条IP威胁情 报； 所述网络流量探针基于所述网络流量和IP威胁情报数据库， 对所述状态化会话表进行 更新， 得到更新后的状态化会话表； 所述网络流量探针响应于更新后的所述状态化会话表存在会话表项， 生成攻击预警信 息并向外发送。 2.如权利要求1所述的网络攻击预警方法， 其特征在于， 所述网络流量探针基于所述网 络流量和IP威胁情 报数据库， 对所述状态化会话表进行 更新， 包括： 所述网络流量探针判断所述状态化会话表中是否存在与所述网络流量匹配的会话表 项； 若不存在， 则所述网络流量探针基于所述网络流量向所述状态化会话表中新增会话表 项。 3.如权利要求1所述的网络攻击预警方法， 其特征在于， 所述网络流量探针基于所述网 络流量和IP威胁情 报数据库， 对所述状态化会话表进行 更新， 包括： 所述网络流量探针依次判断所述状态化会话表中的各会话表项是否与所述IP威胁情 报数据库匹配成功； 若是， 则所述网络流量探针将对应的所述会话表项保留， 并依据匹配的IP威胁情报， 对 所述会话表项 进行更新； 若否， 则所述网络流 量探针将对应的所述会话表项删除。 4.如权利要求1所述的网络攻击预警方法， 其特征在于， 所述状态化会话表中包含持续 时间和流量大小； 所述网络流量探针基于所述网络流量和IP威胁情报数据库， 对所述状态 化会话表进行 更新， 包括： 所述网络流量探针对所述状态化会话表中各会话表项对应的持续时间和流量大小进 行归一化处理； 所述网络流量探针基于归一化后的持续 时间和流量大小， 计算各会话表项对应的影响 因子； 基于所述影响因子， 所述网络流 量探针对各会话表项 按照从大到小的顺序进行排序。 5.如权利要求1所述的网络攻击预警方法， 其特 征在于， 所述方法还 包括步骤： 所述网络流 量探针判断是否存在流 量采集节点 集群； 若是， 则每间隔第一预设周期， 所述网络流量探针将所述状态化会话表同步至所述流 量采集节点 集群中的所有采集节点。 6.如权利要求1所述的网络攻击预警方法， 其特征在于， 在所述采集网络流量之后， 所 述方法还 包括步骤： 当网络流量探针中不存在状态化会话表且所述网络流量是首包时， 则所述网络流量探 针基于所述网络流 量新建状态化会话表和对应的会话表项。 7.如权利要求2所述的网络攻击预警方法， 其特征在于， 所述网络流量探针判断所述状 态化会话表中是否存在与所述网络流 量匹配的会话表项， 包括： 所述网络流量探针判断所述状态化会话表中是否存在与所述网络流量的五元组信息权　利　要　求　书 1/2 页 2 CN 114301659 A 2均相同的会话表项； 所述五元组信息包括会话协议、 源IP地址、 目的IP地址、 源端口和目的 端口。 8.如权利要求3所述的网络攻击预警方法， 其特征在于， 所述状态化会话表中包含老化 时间、 持续时间和流 量大小； 所述依据匹配的IP威胁情 报， 对所述会话表项 进行更新， 包括： 依据匹配的IP威胁情 报， 对所述会话表项的老化时间、 持续时间和流 量大小进行更新。 9.如权利要求1所述的网络攻击预警方法， 其特征在于， 所述状态化会话表包括老化 时 间； 所述网络流量探针响应于更新后的所述状态化会话表存在会话表项， 生成攻击预警信 息并向外发送， 包括： 所述网络流量探针响应于更新后的所述状态化会话表存在会话表项， 将存在的所述会 话表项对应的老化时间设置为第一预设时长 。 10.一种网络攻击预警系统， 用于实现如权利要求1所述的网络攻击预警方法， 其特征 在于， 所述系统包括： 数据采集模块， 网络流量探针获取IP威胁情报数据库和状态化会话表， 并采集网络流 量； 所述IP威胁情 报数据库中包 含有多条IP威胁情 报； 会话表更新模块， 所述网络流量探针基于所述网络流量和IP威胁情报数据库， 对所述 状态化会话表进行 更新， 得到更新后的状态化会话表； 攻击预警模块， 所述网络流量探针响应于更新后的所述状态化会话表存在会话表项， 生成攻击预警信息并向外发送。 11.一种网络攻击预警设备， 其特 征在于， 包括： 处理器； 存储器， 其中存 储有所述处 理器的可 执行程序； 其中， 所述处理器配置为经由执行所述可执行程序来执行权利要求1至9中任意一项所 述网络攻击预警方法的步骤。 12.一种计算机可读存储介质， 用于存储程序， 其特征在于， 所述程序被处理器执行时 实现权利要求1至9中任意 一项所述网络攻击预警方法的步骤。权　利　要　求　书 2/2 页 3 CN 114301659 A 3