一种网络攻击行为的确定方法及装置与流程

本申请涉及计算机技术领域，尤其涉及一种网络攻击行为的确定方法及装置。

背景技术：

尽管网络及系统层的漏洞正在逐渐减少，而且Web攻防技术也在日趋成熟，但是，在利益的驱使下，黑客们对网络系统的攻击却从来没有停止过，如何对黑客们发起的网络攻击行为进行准确判定成为系统安全管理和运维工作的重要部分。

通常，根据不同漏洞对网络系统或用户的影响，可以将漏洞划分成多个不同的危险等级，例如，低危漏洞、中危漏洞和高危漏洞等，其中，低危漏洞的危险等级最低，高危漏洞的危险等级最高，中危漏洞的危险等级大于低危漏洞的危险等级，且小于高危漏洞的危险等级，危险等级可以与对网络系统或用户的影响相关联，例如，高危漏洞通常会引发用户的高度敏感的数据(如支付账户的信息等)泄露等。为了能够对网络攻击行为进行准确判定，人们采用的方式为：将网络攻击根据所触发的漏洞的危险等级划分成3个不同等级，即低危漏洞攻击行为、中危漏洞攻击行为和高危漏洞攻击行为，通过在当前网络体系中网络层获取网络数据包，并对其进行检测，以判断其中是否包括不同的网络攻击行为特征可以确定基于不同危险等级的漏洞所触发的网络攻击。

上述网络攻击行为的确定方式是根据漏洞的危险等级对应的网络攻击特征进行的，但是，当系统中存在的所有漏洞都已经被相应的补丁程序修补后，如果网络数据包中出现基于高危漏洞的网络攻击特征，则系统仍然会记录本次网络攻击的攻击行为信息为网络攻击事件，但是实际上该网络攻击却并不会成功，也即是，在系统无漏洞的情况下，使用高危的攻击手段不一定会导致高危的后果，从而，容易产生网络攻击行为判定错误的情况，进而降低网络攻击报警的有效性，使得用户对系统的网络攻击确定失去信任。

技术实现要素：

本申请实施例提供一种网络攻击行为的确定方法及装置，容易产生网络攻击行为判定错误的情况，进而降低网络攻击报警的有效性，，以及安全管理和安全运维的效率较低的问题。

本申请实施例提供的一种网络攻击行为的确定方法，所述方法包括：

获取当前网络体系中应用层的网络数据包；

如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征，则根据所述网络攻击特征和所述网络数据包中的数据内容，确定所述网络攻击特征对应的攻击行为信息。

可选地，所述根据所述网络攻击特征和所述网络数据包中的数据内容，确定所述网络攻击特征对应的攻击行为信息，包括：

如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容，则将所述网络攻击特征对应的攻击行为信息确定为攻击事件。

可选地，所述网络数据包的网络攻击特征包括漏洞触发行为特征、漏洞扫描行为特征和系统受控行为特征，

如果输入所述应用层的网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的预定数据内容，则将所述漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件；

如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容，则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件；

如果所述应用层输出的网络数据包的数据内容中包括与所述系统受控行为特征相应的预定数据内容，则将所述系统受控行为特征对应的攻击行为信息确定为系统受控事件。

可选地，所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征，

所述如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容，则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件，包括：

如果所述应用层输出的网络数据包的数据内容中包括与所述低危漏洞触发行为特征相应的预定数据内容，则将所述低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件；

如果所述应用层输出的网络数据包的数据内容中包括与所述中危漏洞触发行为特征相应的预定数据内容，则将所述中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件；

如果所述应用层输出的网络数据包的数据内容中包括与所述高危漏洞触发行为特征相应的预定数据内容，则将所述高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。

可选地，所述方法还包括：

发送网络攻击警示信息；或者，

输出报警指示灯闪烁或点亮的控制指令。

本申请实施例提供的一种网络攻击行为的确定装置，所述装置包括：

数据包获取模块，用于获取当前网络体系中应用层的网络数据包；

攻击行为确定模块，用于如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征，则根据所述网络攻击特征和所述网络数据包中的数据内容，确定所述网络攻击特征对应的攻击行为信息。

可选地，所述攻击行为确定模块，用于如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容，则将所述网络攻击特征对应的攻击行为信息确定为攻击事件。

可选地，所述网络数据包的网络攻击特征包括漏洞触发行为特征、漏洞扫描行为特征和系统受控行为特征，

所述攻击行为确定模块，用于如果输入所述应用层的网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的预定数据内容，则将所述漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件；如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容，则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件；如果所述应用层输出的网络数据包的数据内容中包括与所述系统受控行为特征相应的预定数据内容，则将所述系统受控行为特征对应的攻击行为信息确定为系统受控事件。

可选地，所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征，

所述攻击行为确定模块，用于如果所述应用层输出的网络数据包的数据内容中包括与所述低危漏洞触发行为特征相应的预定数据内容，则将所述低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件；如果所述应用层输出的网络数据包的数据内容中包括与所述中危漏洞触发行为特征相应的预定数据内容，则将所述中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件；如果所述应用层输出的网络数据包的数据内容中包括与所述高危漏洞触发行为特征相应的预定数据内容，则将所述高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。

可选地，所述装置还包括：

报警指示模块，用于发送网络攻击警示信息；或者，输出报警指示灯闪烁或点亮的控制指令。

本申请实施例提供一种网络攻击行为的确定方法及装置，通过获取当前网络体系中应用层的网络数据包，并在网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征时，根据网络攻击特征和网络数据包中的数据内容，确定网络攻击特征对应的攻击行为信息，这样，通过对应用层的网络数据包(即双向数据流)的分析来确定网络攻击行为，可以基于上述网络攻击的实际影响进行网络攻击行为的判定，容易产生网络攻击行为判定错误的情况，进而可以提高网络攻击报警的有效性，使得安全管理和安全运维的效率更高。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例提供的一种网络攻击行为的确定方法的流程图；

图2为本申请实施例提供的另一种网络攻击行为的确定方法的流程图；

图3为本申请实施例提供的一种网络攻击行为的确定装置结构示意图；

图4为本申请实施例提供的另一种网络攻击行为的确定装置结构示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例一

如图1所示，本申请实施例提供一种网络攻击行为的确定方法，该方法的执行主体可以为如个人计算机等终端设备，也可以是服务器或者服务器集群等。该方法具体可以包括以下步骤：

在步骤S101中，获取当前网络体系中应用层的网络数据包。

其中，当前网络体系可以是基于多种网络体系，如开放系统互联网络体系(OSI(Open System Interconnection，开放系统互联)网络体系)或TCP/IP(Transmission Control Protocol/Internet Protocol，传输控制协议/因特网互联协议)网络体系等。网络数据包中可以包括发送者和接收者的地址信息，以及待交互的数据等。

在实施中，为了使得本申请更具实用性和普适性，当前网络体系可以为OSI网络体系，在当前网络体系中可以包括多个层，这些层可以被划分为低层和高层两个部分，其中，低层主要关注的是原始数据的传输，高层主要关注的是网络下的应用程序。低层可以包括如OSI网络体系中的物理层、数据链路层和网络层等三个层，高层可以包括如OSI网络体系中的传输层、会话层、表示层和应用层等四个层。

尽管网络及系统层漏洞已逐渐减少，而且Web攻防技术也已日趋成熟，但是黑客们并没有放弃对网络的攻击，已达到获取相应利益的目的，为此，本申请实施例设置一种网络攻击行为的确定装置。为了不影响当前网络体系对应的网络系统的正常工作，该装置可以旁路监听的方式与该网络系统连接，具体地，该装置的输入端口可以与该网络系统中的交换机的镜像端口连接，或者可以将该装置部署在交换机的镜像端口处，这样，可以不需要对现有网络、Web应用架构进行深度调整，即可实时获取并保存网络层的所有网络请求(例如HTTP(HyperText Transfer Protocol，超文本传输协议)请求或FTP(File Transfer Protocol，文件传输协议)请求等)及响应的数据包，以供该装置进行进一步的分析处理。其中，交换机的镜像功能可以对流经该网络系统的流量进行全流量镜像，在进行全流量镜像的过程中，可以使用如网站增量去重和差异压缩备份等相关算法。通过全流量镜像，该装置可以保存最近半年乃至一年，甚至更长时间的完整的Web双向流量(即输入到该网络系统和从该网络系统输出的流量)的数据。这样，当用户发现网络系统出现网络攻击行为时，不但可以进行攻击回溯，还可以利用预定的检测策略对历史数据重新检测及筛选，从而确定网络攻击的相关信息，以便用户可以针对该网络攻击采取相应的应对措施。

为了提高网络攻击行为的判定准确率，本申请实施例基于应用层的网络数据包来实现网络攻击行为的判定与检测。基于上述结构，当有网络数据包流经该网络系统的交换机时，交换机可以通过自身的镜像功能将获取的网络层的网络数据包进行镜像处理，得到该网络数据包的镜像数据，可以将该镜像数据提供给该装置，从而该装置可以获取到该镜像数据，并可以对该镜像数据中的网络数据包进行提取还原处理，将网络层的网络数据包还原为当前网络体系中应用层的网络数据包。

在步骤S102中，如果上述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征，则根据该网络攻击特征和该网络数据包中的数据内容，确定该网络攻击特征对应的攻击行为信息。

其中，网络攻击特征可以包括多种，例如，可以包括漏洞特征、植入病毒数据特征和网页恶意代码中的数据特征等，具体可以根据实际情况确定。在实际应用中，其中的漏洞特征对应的漏洞是黑客们进行网络攻击的主要途径，漏洞特征可以包括漏洞扫描行为特征或漏洞触发行为特征等，各种不同的漏洞特征可以包括有不同的表现形式，例如，漏洞扫描行为特征可以是SQL(Structured Query Language，结构化查询语言)注入特征(如URL(Uniform Resource Locator，统一资源定位符)中包括select特征)，漏洞触发行为特征可以是目录遍历特征(如页面中出现目录列表等)。此外，还可以包括系统受控行为特征，例如包括系统命令set关键字的特征等。

在实施中，可以预先设置网络攻击的识别与检测算法，例如K-Means算法、决策树算法、随机森林树算法或人工神经网络算法等。当获取到输入应用层和应用层输出的网络数据包后，可以使用上述预先设置的网络攻击的识别与检测算法，对上述网络数据包中的应用数据进行识别分析与检测，从中得到该应用数据的网络攻击特征，例如，可以预先对网络数据包中的应用数据进行特征提取，得到应用数据的数据特征，可以将各个数据特征分别代入到上述预先设置的识别与检测算法中进行计算，确定其中是否包含能够对当前网络体系进行网络攻击的网络攻击特征，如果包含，则可以获取该数据特征，并可以将该数据特征作为网络攻击特征。

需要说明的是，网络攻击的识别与检测算法可以只包括上述分析算法中的一个算法，也可以包括上述算法中的多个算法，而且，同一算法可以具有不同的实现方式，用户具体使用哪种实现方式可以根据实际情况设定，本申请实施例对此不做限定。

可以根据网络数据包中的网络攻击特征确定相应的网络攻击所属的类型，如漏洞或植入病毒等。可以基于确定出的网络攻击所属的类型，确定该类型的网络攻击需要网络系统向请求者传输哪些关键数据。可以分别获取输入应用层和应用层输出的网络数据包，可以对网络数据包中的数据内容进行分析，并确定分析得到的数据中是否包含上述关键数据，尤其是，分析应用层输出的网络数据包中是否包括网络攻击特征对应的网络攻击所获取的网络系统中的敏感数据或重要数据，如果包括，则可以向技术人员或网络系统的提供者提供网络攻击警示信号，例如向其发送警示信息，以提示技术人员或网络系统的提供者可以针对本次网络攻击采取相应的措施，减少网络攻击造成的损失。如果不包括，则可以认为应用层的网络数据包中的网络攻击特征没有对当前网络系统进行攻击，或者，网络系统已经安装了该网络攻击特征对应的漏洞的补丁程序，此时，可以仅输出提示信号，以提示技术人员或网络系统的提供者存在可疑攻击或潜在威胁；如果网络数据包中不存在网络攻击特征，则可以不执行任何操作。这样，通过对双向数据流的分析来确定网络攻击所造成的网络影响，并基于上述网络攻击的实际影响范围进行网络攻击警示，从而可以提高网络攻击报警的有效性，使得安全管理和安全运维的效率更高。

本申请实施例提供一种网络攻击行为的确定方法，通过获取当前网络体系中应用层的网络数据包，并在网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征时，根据网络攻击特征和网络数据包中的数据内容，确定网络攻击特征对应的攻击行为信息，这样，通过对应用层的网络数据包(即双向数据流)的分析来确定网络攻击行为，可以基于上述网络攻击的实际影响进行网络攻击行为的判定，容易产生网络攻击行为判定错误的情况，进而可以提高网络攻击报警的有效性，使得安全管理和安全运维的效率更高。

实施例二

如图2所示，本申请实施例提供了一种网络攻击行为的确定方法，具体包括如下步骤：

在步骤S201中，获取当前网络体系中应用层的网络数据包。

上述步骤S201的步骤内容与上述实施例一中步骤S101的步骤内容相同，步骤S201的处理可以参见上述实施例一中步骤S101的相关内容，在此不再赘述。

在步骤S202中，如果上述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征，且该网络数据包的数据内容中包括与该网络攻击特征相应的数据内容，则将该网络攻击特征对应的攻击行为信息确定为攻击事件。

步骤S202的处理可以参见上述实施例一中步骤S102的相关内容，在此不再赘述。

此外，网络攻击特征可以包括多种，如漏洞扫描行为特征、漏洞触发行为特征和系统受控行为特征等。对于不同的网络攻击特征，可以设置不同的网络攻击检测机制，下面分别对上述三种网络攻击特征进行说明，具体可以包括以下内容：

其一，为了能够及时检测出网络系统的网络攻击事件，可以在该装置中设置漏洞扫描识别引擎。其中，该漏洞扫描识别引擎可以通过硬件和软件结合构成，或者由软件实现，其中的软件部分可以使用适当的编程语言，并通过编写相应的程序代码实现。编程语言可以根据实际情况确定，具体如C语言或JAVA编程语言等，本发明实施例对此不做限定。

通过漏洞扫描识别引擎可以对网络系统中的漏洞扫描行为进行识别，其中识别策略可以包括多种，以下提供部分识别策略，如下表1所示。

表1

例如，可以对网络数据包中的应用数据进行漏洞扫描行为分析，检测该应用数据中是否包括能够执行漏洞扫描事件的应用程序或程序代码，可以将该应用程序或程序代码确定为该应用数据的漏洞扫描行为特征。

或者，也可以将该应用数据放置在预先模拟的网络系统环境中运行，在该应用数据运行的过程中，可以检测该应用数据的运行逻辑和运行目的，可以从其运行逻辑和运行目的中确定该应用数据的网络攻击特征。例如，可以将该应用数据放置在预先模拟的网络系统环境中运行，在运行的过程中，如果漏洞扫描识别引擎检测到该网络数据包中的应用数据正在使用不同的密码对HTTP密码进行破解，且该应用数据使用不同的密码对HTTP密码破解的次数达到预定次数阈值(如10次或20次等)，则可以确定HTTP密码正在被暴力破解，此时，可以将该应用数据的数据特征确定为漏洞扫描行为特征。

如果输入应用层的网络数据包的数据内容中包括与漏洞扫描行为特征相应的预定数据内容，则将漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件。

其中，由于漏洞扫描行为特征仅表征该网络数据包可以对网络系统进行漏洞扫描操作，而漏洞扫描操作并不是直接的网络攻击，而是网络攻击的一个必要条件，因此，对于此情况，可以只判定其为可疑攻击事件，以便后续可以提示技术人员或网络系统的提供者需要关注此可疑网络数据包，有可能会触发网络攻击操作。

其二，为了能够及时检测出网络系统的漏洞被触发的事件，可以在该装置中设置漏洞触发识别引擎。其中，该漏洞触发识别引擎可以通过硬件和软件结合构成，或者由软件实现，其中的软件部分可以使用适当的编程语言，并通过编写相应的程序代码实现。编程语言可以根据实际情况确定，本发明实施例对此不做限定。

通过漏洞触发识别引擎可以对网络系统中漏洞的触发进行识别，根据漏洞对网络系统造成的危害程度不同，可以将漏洞划分为低危漏洞、中危漏洞和高危漏洞等，其中识别策略可以包括多种，以下提供部分识别策略，如下表2所示。

表2

例如，可以对待分析的网络数据包中的应用数据进行漏洞触发分析，检测该应用数据中是否包括能够触发漏洞的应用程序或程序代码，可以将该应用程序或程序代码确定为该应用数据的漏洞触发行为特征。

或者，也可以将该应用数据放置在预先模拟的网络系统环境中运行，在该应用数据运行的过程中，可以检测该应用数据的运行逻辑和运行目的，可以从其运行逻辑和运行目的中确定该应用数据的漏洞触发行为特征。例如，可以将该应用数据放置在预先模拟的网络系统环境中运行，在运行的过程中，如果漏洞触发识别引擎检测到网络数据包中的应用数据正在通过SQL注入的方式调用postgresql查询语句，则可以确定该应用数据的数据特征为漏洞触发行为特征。

如果应用层输出的网络数据包的数据内容中包括与漏洞触发行为特征相应的预定数据内容，则将漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件。

其中，由于漏洞触发行为特征表征该网络数据包可以触发网络系统中的漏洞以使网络系统遭受网络攻击，因此，漏洞触发行为是直接网络攻击的体现，对于此情况，可以将其判定为漏洞攻击事件，以便后续可以告警技术人员或网络系统的提供者网络系统遭受了网络攻击。

根据不同漏洞对网络系统或用户的影响，可以将漏洞划分成多个不同的危险等级，例如，低危漏洞、中危漏洞和高危漏洞等，相应的，上述漏洞触发行为特征也可以划分为多种不同的特征，例如，低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征等。基于此，上述其二部分还可以包括以下三种情况：

情况一，如果应用层输出的网络数据包的数据内容中包括与低危漏洞触发行为特征相应的预定数据内容，则将低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件。

情况二，如果应用层输出的网络数据包的数据内容中包括与中危漏洞触发行为特征相应的预定数据内容，则将中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件。

情况三，如果应用层输出的网络数据包的数据内容中包括与高危漏洞触发行为特征相应的预定数据内容，则将高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。

其三，为了能够及时检测出网络系统的受控事件，可以预先设置系统受控识别引擎。其中，该系统受控识别引擎可以通过硬件和软件结合构成，或者由软件实现，其中的软件部分可以使用适当的编程语言，并通过编写相应的程序代码实现。编程语言可以根据实际情况确定，本发明实施例对此不做限定。

通过系统受控识别引擎可以对网络系统是否被控制进行识别，其中识别策略可以包括多种，以下提供部分识别策略，如下表3所示。

表3

例如，可以对当前网络体系对应的网络系统的运行状态进行检测，如果该运行状态中包括预定的控制操作信息(如上述表3中对应的控制操作信息等)，则系统受控识别引擎可以确定当前网络系统被控制，此时，可以将上述控制操作信息对应的数据特征作为系统受控行为特征。其中，检测当前网络体系对应的网络系统的运行状态具体可以是：可以将该应用数据放置在预先模拟的网络系统环境中运行，在该应用数据运行的过程中，可以检测该应用数据的运行逻辑和运行目的，可以从其运行逻辑和运行目的中确定当前网络系统是否被控制。例如，可以将应用数据放置在预先模拟的网络系统环境中运行，在运行的过程中，如果系统受控识别引擎检测到网络系统正在通过SQL注入的方式调用mysql quarter函数或timestampadd函数，则可以将上述控制操作信息对应的数据特征作为系统受控行为特征。

如果应用层输出的网络数据包的数据内容中包括与系统受控行为特征相应的预定数据内容，则将系统受控行为特征对应的攻击行为信息确定为系统受控事件。

其中，由于系统受控行为特征表征当前网络系统已经遭受网络攻击，并已被控制，因此，系统受控行为是网络攻击的结果体现，即系统被控制，对于此情况，可以将其判定为系统受控事件，以便后续可以告警技术人员或网络系统的提供者当前网络系统已被控制。

可以将网络数据包中的数据内容与确定出的网络攻击特征对应的数据内容相比较，以便确定该网络攻击特征是否对当前网络系统进行了网络攻击或者对当前网络产生影响，依此输出相应的警示信号，具体可以参见下述步骤S203的处理。

在步骤S203中，发送网络攻击警示信息；或者，输出报警指示灯闪烁或点亮的控制指令。

在实施中，对于上述步骤S202提供的三种网络攻击特征，上述步骤S203的具体处理可以参见以下情况：

情况一，如果网络攻击特征对应的攻击行为信息为可疑攻击事件，则输出可疑攻击提示信号。

其中，由于可疑攻击事件只是表示对网络系统进行了漏洞扫描操作，而漏洞扫描操作并不是直接的网络攻击，因此，可以只输出可疑攻击提示信号，用于提示技术人员或网络系统的提供者需要关注此可疑网络数据包，有可能会触发网络攻击操作。

情况二，如果网络攻击特征对应的攻击行为信息为漏洞攻击事件，则输出网络攻击报警信号。

其中，由于漏洞攻击事件表示网络攻击特征可以触发网络系统中的漏洞以使网络系统遭受网络攻击，因此，可以输出网络攻击报警信号，用于告警技术人员或网络系统的提供者网络系统遭受了网络攻击。

根据不同漏洞对网络系统或用户的影响，可以将漏洞划分成多个不同的危险等级，例如，低危漏洞、中危漏洞和高危漏洞等，相应的，上述漏洞触发行为特征也可以划分为多种不同的特征，例如，低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征等。基于此，上述情况二还可以包括以下三种报警信号：

其一，如果网络攻击特征对应的攻击行为信息为低危漏洞攻击事件，则输出低危报警信号。

其二，如果网络攻击特征对应的攻击行为信息为中危漏洞攻击事件，则输出中危报警信号。

其三，如果网络攻击特征对应的攻击行为信息为高危漏洞攻击事件，则输出高危报警信号。

情况三，如果网络攻击特征对应的攻击行为信息为系统受控事件，则输出系统受控报警信号。

其中，由于系统受控事件表征当前网络系统已经遭受网络攻击，并已被控制，因此，可以输出系统受控报警信号，用于告警技术人员或网络系统的提供者当前网络系统已被控制。

另外，上述输出报警信号的处理可以有多种体现形式，除了上述步骤S203提供的两种可选方式外，还可以包括其它方式，本申请实施例中输出的报警信号可以是任何能够达到网络攻击告警目的的方式，本申请实施例对此不做限定。

本申请实施例提供一种网络攻击行为的确定方法，通过获取当前网络体系中应用层的网络数据包，并在网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征时，根据网络攻击特征和网络数据包中的数据内容，确定网络攻击特征对应的攻击行为信息，这样，通过对应用层的网络数据包(即双向数据流)的分析来确定网络攻击行为，可以基于上述网络攻击的实际影响进行网络攻击行为的判定，容易产生网络攻击行为判定错误的情况，进而可以提高网络攻击报警的有效性，使得安全管理和安全运维的效率更高。

实施例三

以上为本申请实施例提供的一种网络攻击行为的确定方法，基于同样的思路，本申请实施例还提供一种网络攻击行为的确定装置，如图3所示。

所述网络攻击行为的确定装置包括：数据包获取模块301和攻击行为确定模块302，其中：

数据包获取模301，用于获取当前网络体系中应用层的网络数据包；

攻击行为确定模块302，用于如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征，则根据所述网络攻击特征和所述网络数据包中的数据内容，确定所述网络攻击特征对应的攻击行为信息。

可选地，所述攻击行为确定模块302，用于如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容，则将所述网络攻击特征对应的攻击行为信息确定为攻击事件。

可选地，所述网络数据包的网络攻击特征包括漏洞触发行为特征、漏洞扫描行为特征和系统受控行为特征，

所述攻击行为确定模块302，用于如果输入所述应用层的网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的预定数据内容，则将所述漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件；如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容，则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件；如果所述应用层输出的网络数据包的数据内容中包括与所述系统受控行为特征相应的预定数据内容，则将所述系统受控行为特征对应的攻击行为信息确定为系统受控事件。

可选地，所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征，

所述攻击行为确定模块302，用于如果所述应用层输出的网络数据包的数据内容中包括与所述低危漏洞触发行为特征相应的预定数据内容，则将所述低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件；如果所述应用层输出的网络数据包的数据内容中包括与所述中危漏洞触发行为特征相应的预定数据内容，则将所述中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件；如果所述应用层输出的网络数据包的数据内容中包括与所述高危漏洞触发行为特征相应的预定数据内容，则将所述高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。

可选地，如图4所示，所述装置还包括：

报警指示模块303，用于发送网络攻击警示信息；或者，输出报警指示灯闪烁或点亮的控制指令。

本申请实施例提供一种网络攻击行为的确定装置，通过获取当前网络体系中应用层的网络数据包，并在网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征时，根据网络攻击特征和网络数据包中的数据内容，确定网络攻击特征对应的攻击行为信息，这样，通过对应用层的网络数据包(即双向数据流)的分析来确定网络攻击行为，可以基于上述网络攻击的实际影响进行网络攻击行为的判定，容易产生网络攻击行为判定错误的情况，进而可以提高网络攻击报警的有效性，使得安全管理和安全运维的效率更高。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。