(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211064518.2 (22)申请日 2022.09.01 (71)申请人 深信服科技股份有限公司 地址 518055 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 李可　黄志鑫　杨荣海　 (74)专利代理 机构 深圳市深佳知识产权代理事 务所(普通 合伙) 44285 专利代理师 张晓 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 攻击检测方法、 攻击检测设备以及计算机可 读存储介质 (57)摘要 本申请实施例公开了一种攻击检测方法、 攻 击检测设备以及计算机可读存储介质， 用于提高 攻击检测准确性的情况下， 检测请求数据是否成 功攻击服务器。 本申请实施例方法包括： 获得客 户端向服务器发送的请求数据， 识别请求数据是 否至少存在攻击检测 绕过字符和回显加密数据 之一， 若存在， 则确定请求数据的攻击意图， 获取 服务器根据请求数据向客户端返回的响应数据， 识别响应数据是否具有攻击意图对应的攻击特 征， 得到识别结果， 根据识别结果确定请求数据 是否成功攻击服 务器。 权利要求书2页 说明书11页 附图4页 CN 115412350 A 2022.11.29 CN 115412350 A 1.一种攻击检测方法， 其特 征在于， 包括： 获得客户端向服 务器发送的请求数据； 识别所述请求数据是否 至少存在攻击检测绕过字符和回显加密数据之一； 若存在， 则确定所述请求数据的攻击意图； 获取所述服务器根据 所述请求数据向所述客户端返回的响应数据， 识别所述响应数据 是否具有所述 攻击意图对应的攻击特 征， 得到识别结果； 根据所述识别结果确定所述请求数据是否成功攻击所述 服务器。 2.根据权利要求1所述的方法， 其特征在于， 所述识别所述请求数据是否至少存在攻击 检测绕过字符和回显加密数据之一， 包括： 对所述请求数据进行扫描， 得到扫描数据； 识别所述扫描数据是否至少存在所述攻击检测绕过字符和所述回显加密方法数据之 一， 得到识别结果； 其中， 所述识别结果为是表 示所述请求数据至少存在攻击检测绕过字符 和回显加密方法数据之一， 所述识别结果为否表 示所述请求数据不至少存在攻击检测绕过 字符和回显加密方法数据之一。 3.根据权利要求1所述的方法， 其特征在于， 所述若存在， 则确定所述请求数据的攻击 意图； 包括： 若所述请求数据中存在所述攻击检测绕过字符且具有命令分隔符， 则根据所述命令分 隔符从所述请求数据提取第一类型检测绕过数据和/或第二类型检测绕过数据； 其中， 所述 第一类型检测绕过数据为绕过检测攻击内容的数据， 所述第二类型检测绕过数据为利用回 显加密方法绕过检测的数据； 将所述攻击检测绕过字符从所述第 一类型检测绕过数据和/或所述第 二类型检测绕过 数据中删除， 以得到目标攻击内容和/或目标回显加密方法； 识别所述目标攻击内容的攻击意图， 以及识别所述目标回显加密方法的攻击意图。 4.根据权利要求1所述的方法， 其特征在于， 所述若存在， 则确定所述请求数据的攻击 意图， 包括： 若所述请求数据中存在所述攻击检测绕过字符且不具有命令分隔符， 则将所述请求数 据中包括所述攻击检测绕过字符的数据确定为第一类型检测绕过数据； 其中， 所述第一类 型检测绕过 数据为绕过检测攻击内容的数据； 将所述攻击检测绕过字符从所述第一类型检测绕过数据中删除， 以得到目标攻击内 容； 识别所述目标攻击内容的攻击意图。 5.根据权利要求4所述的方法， 其特征在于， 所述识别所述响应数据是否具有所述攻击 意图对应的攻击特 征， 得到识别结果， 包括： 识别所述响应数据是否具有所述目标攻击内容对应的预设敏感特征， 得到识别结果； 其中， 识别结果为是表示所述响应数据具有所述攻击意图对应的攻击特征， 识别结果为否 表示所述响应数据不具有所述 攻击意图对应的攻击特 征。 6.根据权利要求1所述的方法， 其特征在于， 所述若存在， 则确定所述请求数据的攻击 意图， 包括： 若所述请求数据中存在回显加密方法数据且具有命令分隔符， 则根据 所述命令分隔符权　利　要　求　书 1/2 页 2 CN 115412350 A 2从所述请求数据提取目标攻击内容和目标回显加密方法； 识别所述目标攻击内容的攻击意图， 以及识别所述目标回显加密方法的攻击意图。 7.根据权利要3或6所述的方法， 其特征在于， 所述识别所述响应数据是否具有所述攻 击意图对应的攻击特 征， 得到识别结果， 包括： 若所述目标回显加密方法为预设可还原方法， 则根据所述目标回显加密方法将所述响 应数据进行解密还原， 得到目标响应数据； 识别所述目标响应数据 是否具有所述目标攻击 内容对应的预设敏感特征， 得到识别结 果； 其中， 识别结果为是表示所述响应数据具有 所述攻击意图对应的攻击特征， 识别结果为 否表示所述响应数据不具有所述 攻击意图对应的攻击特 征。 8.根据权利要求3或6所述的方法， 其特征在于， 所述识别所述响应数据是否具有所述 攻击意图对应的攻击特 征， 得到识别结果， 包括： 若所述目标回显加密方法非预设可还原方法， 则确定所述目标攻击 内容和所述目标回 显加密方法对应的目标加密特 征； 识别所述响应数据 是否具有所述目标加密特征， 得到识别结果； 其中， 识别结果为是表 示所述响应数据具有 所述攻击意图对应的攻击特征， 识别结果为否表示所述响应数据不具 有所述攻击意图对应的攻击特 征。 9.一种攻击检测设备， 其特 征在于， 包括： 中央处理器， 存储器， 输入输出接口， 有 线或无线网络 接口以及电源； 所述存储器为短暂存 储存储器或持久存储存储器； 所述中央处理器配置为与 所述存储器通信， 并执行所述存储器中的指令操作以执行权 利要求1至8中任意 一项所述的方法。 10.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质包括指令， 当所 述指令在计算机上运行时， 使得计算机执 行如权利要求1至8中任意 一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115412350 A 3