[发明专利]一种判定网络攻击结果未遂的方法和相关装置

权利要求书

1.一种判定网络攻击结果未遂的方法，其特征在于，包括：

获取网络攻击过程中的响应数据包；

分析所述响应数据包中的应用协议；

若所述应用协议属于预置的认证协议，则判断对所述应用协议认证过程中是否存在预置的未遂特征，所述未遂特征为对所述认证协议认证失败的特征；

若存在，则判定所述网络攻击结果未遂；

若不存在，则判定所述应用协议是否属于预置的标准协议；

若所述应用协议属于预置的标准协议，则根据所述响应数据包中的响应数据提取第一特征向量；

获取所述第一特征向量与预置的参考特征向量的相似度，所述参考特征向量为在网络安全的情况下提取与所述响应数据包同类的数据包对应的特征向量；

若所述相似度大于预置的阈值，则判定所述网络攻击结果未遂。

2.根据权利要求1所述的方法，其特征在于，获取网络攻击过程中的响应数据包具体包括：

获取网络攻击过程中的多个数据包；

解开每个数据包得到基本信息和响应数据，其中所述基本信息包括应用协议和用于标记所述数据包是否为响应数据包的标志；

根据所述标志从所述多个数据包中选出响应数据包。

3.根据权利要求2所述的方法，其特征在于，在解开每个数据包得到基本信息和响应数据之后，在根据所述标志从所述多个数据包中选出响应数据包之前，还包括：

过滤掉基本信息不符合预设条件的数据包。

4.根据权利要求3所述的方法，其特征在于，所述预设条件为基本信息中的源ip地址不属于预设源ip地址。

5.根据权利要求3所述的方法，其特征在于，所述预设条件为基本信息中的端口不属于预设端口。

6.根据权利要求2所述的方法，其特征在于，获取网络攻击过程中的多个数据包具体包括：

从网卡直接获取网络攻击过程中的多个数据包。

7.一种判定网络攻击结果未遂的装置，其特征在于，包括：

第一获取单元，用于获取网络攻击过程中的响应数据包；

分析单元，用于分析所述响应数据包中的应用协议；

提取单元，用于当所述应用协议属于预置的标准协议时，根据所述响应数据包中的响应数据提取第一特征向量；

第二获取单元，用于获取所述第一特征向量与预置的参考特征向量的相似度，所述参考特征向量为在网络安全的情况下提取与所述响应数据包同类的数据包对应的特征向量；

判定单元，用于当所述相似度大于预置的阈值时，判定所述网络攻击结果未遂。

8.一种判定网络攻击结果未遂的设备，其特征在于，所述设备包括处理器以及存储器：

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行权利要求1-7任一项所述的判定网络攻击结果未遂的方法。

9.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行权利要求1-7任一项所述的判定网络攻击结果未遂的方法。