(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211055619.3 (22)申请日 2022.08.30 (71)申请人 杭州安恒信息技 术股份有限公司 地址 310000 浙江省杭州市滨江区西兴街 道联慧街18 8号 (72)发明人 谭立聪　张德林　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 姚莹丽 (51)Int.Cl. H04L 9/40(2022.01) H04L 61/4511(2022.01) (54)发明名称 一种带外攻击检测方法、 装置、 探针、 设备及 存储介质 (57)摘要 本发明公开了一种带外攻击检测方法， 应用 于网络安全领域， 包括： 获取网络流量的原始日 志； 提取原始日志中的第一特征信息； 第一特征 信息至少包括请求主体和来源IP； 将请求主体与 带外攻击特征进行匹配， 得到告警日志； 告警日 志为请求主体与带外攻击特征匹配的第一原始 日志； 外发告警日志， 以使服务端对告警日志中 的来源IP进行封禁。 本发明通过识别 与带外攻击 特征匹配的原始日志， 并将原始日志作为告警日 志的方法， 能够过滤出带外攻击的请求。 通过对 告警日志的来源IP进行封禁， 有效避免了因带外 攻击造成的数据泄露， 保证了网络的安全。 此外， 本发明还提供了一种带外攻击检测装置、 探针、 设备及存 储介质， 同样具有以上有益效果。 权利要求书2页 说明书10页 附图3页 CN 115499176 A 2022.12.20 CN 115499176 A 1.一种带外攻击检测方法， 其特 征在于， 包括： 获取网络流 量的原始日志； 提取所述原始日志中的第一特征信息； 所述第一特征信息至少包括请求主体和来源 IP； 将所述请求主体与带外攻击特征进行匹配， 得到告警日志； 所述告警日志为所述请求 主体与所述带外攻击特 征匹配的第一原 始日志； 外发所述告警日志， 以使服 务端对所述告警日志中的所述 来源IP进行封禁。 2.根据权利要求1所述的带外攻击检测方法， 其特征在于， 所述将所述请求主体与 带外 攻击特征进行匹配， 得到告警日志， 包括： 若所述请求主体中请求内容无回显， 且所述请求主体中携带有DNSLog域名， 则将所述 请求主体对应的所述第一原 始日志作为所述告警日志。 3.根据权利要求1所述的带外攻击检测方法， 其特征在于， 在所述外发所述告警日志， 以使服务端对所述告警日志中的所述 来源IP进行封禁之后， 还 包括： 所述服务端根据所述告警日志中的第二特 征信息， 创建带外攻击检测任务； 所述服务端根据所述带外攻击检测任务， 确定所述告警日志的攻击结果。 4.根据权利要求3所述的带外攻击检测方法， 其特征在于， 在所述服务端根据 所述告警 日志中的第二特 征信息， 创建带外攻击检测任务之前， 还 包括： 所述服务端获取所述告警日志中的目的IP、 攻击时间、 请求 内容和DNSlog域名， 作 为所 述第二特 征信息。 5.根据权利要求3或4所述的带外攻击检测方法， 其特征在于， 所述服务端根据所述带 外攻击检测任务， 确定所述告警日志的攻击结果， 包括： 将所述攻击时间作为待检测时间； 反查所述待检测时间的预设间隔时间内的所述原 始日志； 若所述原始日志中存在所述目的IP请求所述DNSLog域名， 则确定所述攻击结果为成 功。 6.根据权利要求5所述的带外攻击检测方法， 其特征在于， 若所述原始日志中不存在所 述目的IP请求所述DNSL og域名， 包括： 判断当前时间距离所述 攻击时间是否超过 预设持续时间； 若是， 则确定所述 攻击结果 为尝试攻击； 若否， 则等待下一次执 行所述带外攻击检测任务。 7.一种带外攻击检测装置， 其特 征在于， 包括: 获取模块， 用于获取网络流 量的原始日志； 提取模块， 用于提取所述原始日志中的第一特征信息； 所述第一特征信息至少包括请 求主体和来源IP； 第一执行模块， 用于将所述请求主体与带外攻击特征进行匹配， 得到告警日志； 所述告 警日志为所述请求主体与所述带外攻击特 征匹配的第一原 始日志； 第二执行模块， 用于外发所述告警日志， 以使服务端对所述告警日志中的所述来源IP 进行封禁。 8.一种探针， 其特 征在于， 包括：权　利　要　求　书 1/2 页 2 CN 115499176 A 2复制部件， 用于将网络流 量进行镜像复制， 得到 镜像网络流 量； 解析部件， 用于对所述镜像网络流 量进行解析， 得到流 量元数据， 作为原 始日志； 检测引擎， 用于对所述原 始日志进行检测， 得到告警日志。 9.一种带外攻击检测设备， 其特 征在于， 包括： 存储器、 处理器以及 如权利要求8所述的探针； 所述存储器， 用于存 储计算机程序； 所述处理器， 用于执行所述计算机程序， 以实现如权利要求1至6任意一项所述的带外 攻击检测方法的步骤。 10.一种存储介质， 其特征在于， 所述存储介质上存储有计算机程序， 所述计算机程序 被处理器执行时用于实现如权利要求1至 6任意一项所述的带外攻击检测方法的步骤。权　利　要　求　书 2/2 页 3 CN 115499176 A 3