[发明专利]网络攻击的检测方法、装置、电子设备及存储介质

权利要求书

1.一种网络攻击的检测方法，其特征在于，包括：

获取第一网络中待检测的攻击流量；

判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动，得到第一判断结果；

在所述第一判断结果表征所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动的情况下，确定所述第三方主机的访问地址；

基于所述第三方主机的访问地址，判断第一主机是否存在针对所述第三方主机的访问行为，得到第二判断结果；所述第一主机为所述待检测的攻击流量对应的被攻击的主机；

在所述第二判断结果表征所述第一主机存在针对所述第三方主机的访问行为的情况下，确定所述待检测的攻击流量对应的攻击已攻击成功；

在所述第二判断结果表征所述第一主机不存在针对所述第三方主机的访问行为的情况下，确定所述待检测的攻击流量对应的攻击未攻击成功。

2.根据权利要求1所述的方法，其特征在于，所述判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动，包括：

通过解析所述待检测的攻击流量中的远程地址，判断所述待检测的攻击流量对应的攻击过程中是否存在针对第三方主机的网络活动；

在所述待检测的攻击流量中解析到远程地址的情况下，确定所述待检测的攻击流量对应的攻击过程中存在针对第三方主机的网络活动；

在所述待检测的攻击流量中未解析到远程地址的情况下，确定所述待检测的攻击流量对应的攻击过程中不存在针对第三方主机的网络活动。

3.根据权利要求1所述的方法，其特征在于，所述第三方主机的访问地址为域名地址；所述基于所述第三方主机的访问地址，判断第一主机是否存在针对所述第三方主机的访问行为，包括：

通过查询所述第一主机的域名系统DNS日志，判断所述第一主机是否存在针对所述第三方主机的访问行为；

在所述DNS日志中查询到针对所述第三方主机的域名地址的访问记录的情况下，确定所述第一主机存在针对所述第三方主机的访问行为；

在所述DNS日志中未查询到针对所述第三方主机的域名地址的访问记录的情况下，确定所述第一主机不存在针对所述第三方主机的访问行为。

4.根据权利要求1所述的方法，其特征在于，所述第三方主机的访问地址为互联网协议IP地址；所述基于所述第三方主机的访问地址，判断第一主机是否存在针对所述第三方主机的访问行为，包括：

通过查询所述第一主机的网络流量日志，判断所述第一主机是否存在针对所述第三方主机的访问行为；

在所述网络流量日志中查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下，确定所述第一主机存在针对所述第三方主机的访问行为；

在所述网络流量日志中未查询到所述第一主机主动发起的针对所述第三方主机的IP地址的通信记录的情况下，确定所述第一主机不存在针对所述第三方主机的访问行为。

5.根据权利要求1至4任一项所述的方法，其特征在于，所述获取第一网络中待检测的攻击流量，包括：

采集所述第一网络的网络流量；

利用SNORT检测引擎对采集的网络流量进行过滤，得到满足第一条件的攻击流量；

从所述满足第一条件的攻击流量中获取待检测的攻击流量。

6.根据权利要求5所述的方法，其特征在于，所述从所述满足第一条件的攻击流量中获取待检测的攻击流量，包括：

从所述满足第一条件的攻击流量中获取满足第二条件的攻击流量，将所述满足第二条件的攻击流量作为待检测的攻击流量；所述第二条件表征攻击流量对应的被攻击的主机属于所述第一网络。

7.根据权利要求1至4任一项所述的方法，其特征在于，所述方法还包括：

确定所述待检测的攻击流量对应的攻击已攻击成功的情况下，发出告警信息；所述告警信息用于提示所述第一网络存在攻击成功的攻击行为。