1.一种网络攻击行为的确定方法,其特征在于,所述方法包括:
获取当前网络体系中应用层的网络数据包;
如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征,则根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息。
2.根据权利要求1所述的方法,其特征在于,所述根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息,包括:
如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容,则将所述网络攻击特征对应的攻击行为信息确定为攻击事件。
3.根据权利要求2所述的方法,其特征在于,所述网络数据包的网络攻击特征包括漏洞触发行为特征、漏洞扫描行为特征和系统受控行为特征,
如果输入所述应用层的网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的预定数据内容,则将所述漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件;
如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容,则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件;
如果所述应用层输出的网络数据包的数据内容中包括与所述系统受控行为特征相应的预定数据内容,则将所述系统受控行为特征对应的攻击行为信息确定为系统受控事件。
4.根据权利要求3所述的方法,其特征在于,所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,
所述如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容,则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件,包括:
如果所述应用层输出的网络数据包的数据内容中包括与所述低危漏洞触发行为特征相应的预定数据内容,则将所述低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件;
如果所述应用层输出的网络数据包的数据内容中包括与所述中危漏洞触发行为特征相应的预定数据内容,则将所述中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件;
如果所述应用层输出的网络数据包的数据内容中包括与所述高危漏洞触发行为特征相应的预定数据内容,则将所述高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述方法还包括:
发送网络攻击警示信息;或者,
输出报警指示灯闪烁或点亮的控制指令。
6.一种网络攻击行为的确定装置,其特征在于,所述装置包括:
数据包获取模块,用于获取当前网络体系中应用层的网络数据包;
攻击行为确定模块,用于如果所述网络数据包中包括能够对当前网络体系进行网络攻击的网络攻击特征,则根据所述网络攻击特征和所述网络数据包中的数据内容,确定所述网络攻击特征对应的攻击行为信息。
7.根据权利要求6所述的装置,其特征在于,所述攻击行为确定模块,用于如果所述网络数据包的数据内容中包括与所述网络攻击特征相应的数据内容,则将所述网络攻击特征对应的攻击行为信息确定为攻击事件。
8.根据权利要求7所述的装置,其特征在于,所述网络数据包的网络攻击特征包括漏洞触发行为特征、漏洞扫描行为特征和系统受控行为特征,
所述攻击行为确定模块,用于如果输入所述应用层的网络数据包的数据内容中包括与所述漏洞扫描行为特征相应的预定数据内容,则将所述漏洞扫描行为特征对应的攻击行为信息确定为可疑攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述漏洞触发行为特征相应的预定数据内容,则将所述漏洞触发行为特征对应的攻击行为信息确定为漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述系统受控行为特征相应的预定数据内容,则将所述系统受控行为特征对应的攻击行为信息确定为系统受控事件。
9.根据权利要求8所述的装置,其特征在于,所述漏洞触发行为特征包括低危漏洞触发特征、中危漏洞触发特征和高危漏洞触发特征,
所述攻击行为确定模块,用于如果所述应用层输出的网络数据包的数据内容中包括与所述低危漏洞触发行为特征相应的预定数据内容,则将所述低危漏洞触发行为特征对应的攻击行为信息确定为低危漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述中危漏洞触发行为特征相应的预定数据内容,则将所述中危漏洞触发行为特征对应的攻击行为信息确定为中危漏洞攻击事件;如果所述应用层输出的网络数据包的数据内容中包括与所述高危漏洞触发行为特征相应的预定数据内容,则将所述高危漏洞触发行为特征对应的攻击行为信息确定为高危漏洞攻击事件。
10.根据权利要求6-9中任一项所述的装置,其特征在于,所述装置还包括:
报警指示模块,用于发送网络攻击警示信息;或者,输出报警指示灯闪烁或点亮的控制指令。