(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111569897.6 (22)申请日 2021.12.21 (71)申请人 天翼云科技有限公司 地址 100007 北京市东城区青龙胡同甲1 号、 3号2幢2层20 5-32室 (72)发明人 唐荣生　白雪　王永功　王晓华　 韩旺　吴静勇　 (74)专利代理 机构 北京律智知识产权代理有限 公司 11438 代理人 孙宝海　李建忠 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 攻击报文识别方法、 装置、 网络设备和存储 介质 (57)摘要 本公开提供了一种攻击报文识别方法、 装 置、 网络设备和存储介质， 涉及网络安全技术领 域。 其中， 攻击报文识别方法包括： 构建防火墙特 征库； 响应于接收到的报文， 识别报文的应用协 议类型； 基于应用协议类型对报文进行细粒度切 分， 生成多个切片； 确定与切片对应的多模式转 向表， 并基于多模式匹配模型检测切片是否命中 多模式转向表中的第一模式字 符串； 在检测到切 片命中第一模式字符串时， 基于单模式匹配模型 检测切片是否命中单模式特征表中的第二模式 字符串； 在检测到命中第二模式字符串时， 确定 报文为攻击报文。 通过本公开的技术方案， 有利 于简化防火墙的防护处理流程， 以及有利于提升 对云防火墙中应用协议内容防护的能力。 权利要求书3页 说明书14页 附图7页 CN 114285624 A 2022.04.05 CN 114285624 A 1.一种攻击报文识别方法， 其特 征在于， 包括： 构建防火墙特 征库， 所述防火墙特 征库包括多模式转向表和单模式特 征表； 响应于接收到的报文， 识别所述报文的应用协议类型； 基于所述应用协议类型对所述报文 进行细粒度切分， 生成多个切片； 确定与所述切片对应的所述多模式转向表， 并基于多模式匹配模型检测所述切片是否 命中所述多模式转向表中的第一模式字符串； 在检测到所述切片命中所述第 一模式字符串时， 基于单模式匹配模型检测所述切片是 否命中所述单模式特 征表中的第二模式字符串； 在检测到命中所述第二模式字符串时， 确定所述报文为 攻击报文。 2.根据权利要求1所述的攻击报文识别方法， 其特征在于， 所述构建防火墙特征库， 具 体包括： 基于AC自动机对收集到的每条防火墙特征进行扫描， 基于扫描结果生成对应的所述多 模式转向表； 基于每条 所述防火墙特 征生成对应的坏字符表和好后缀表； 基于所述坏字符表和所述 好后缀表生成所述单模式特 征表； 基于所述多模式转向表和所述单模式特 征表生成所述防火墙特 征库。 3.根据权利要求2所述的攻击报文识别方法， 其特征在于， 所述基于AC自动机对收集到 的每条防火墙特 征进行扫描， 基于扫描结果 生成对应的所述多模式转向表， 具体包括： 基于所述AC自动机对所述每条防火墙特 征进行扫描， 生成对应的多个模式串； 为所述防火墙特征配置位置属性， 基于所述位置属性配置在初始树结构的对应位置添 加所述模式串， 以构造出goto 转向表； 基于所述goto 转向表中的转向节点进行编译操作， 生成所述 转向节点的失败态 节点； 将所述失败态 节点添加至所述goto 转向表， 生成所述AC引擎 树； 对所述AC引擎树的状态节点基于广度优先搜索重新进行排序， 生成所述多模式转向 表， 所述状态 节点包括所述 转向节点和所述失败态 节点。 4.根据权利要求2所述的攻击报文识别方法， 其特征在于， 所述对所述AC引擎树的状态 节点基于广 度优先搜索重新进行排序， 生成所述多模式转向表， 具体包括： 基于所述 转向节点和所述失败态 节点进行广 度优先搜索； 基于搜索结果对所述转向节点和所述失败态节点进行重新排序， 基于排序结果生成所 述多模式转向表； 以及 基于所述多模式转向表的节点数量确定所述多模式转向表的存储类型， 以基于所述存 储类型进行存 储。 5.根据权利要求4所述的攻击报文识别方法， 其特征在于， 所述基于所述多模式转向表 的节点数量确定所述多模式转向表的存 储类型， 具体包括： 基于所述多模式转向表的节点数量确定匹配的数据类型； 确定所述匹配的数据类型中最小数据类型； 基于所述 最小数据类型确定所述存 储类型。 6.根据权利要求4所述的攻击报文识别方法， 其特征在于， 所述确定与 所述切片对应的 所述多模式转向表， 并基于多模式匹配模型检测所述切片是否命中所述多模式转向表中的权　利　要　求　书 1/3 页 2 CN 114285624 A 2第一模式字符串， 具体包括： 将所述切片的起始位置作为匹配起点， 基于所述匹配起点从所述多模式转向表的初始 节点起执行状态跳转； 在每跳转至下一所述 转向节点时， 检测是否具有匹配的所述第一模式字符串； 在检测到具有匹配的所述第一模式字符串时， 确定所述切片命中所述第一模式字符 串； 在继续检测到不存在可跳转的所述转向节点时， 转移到对应的所述失败态节点， 在基 于所述广度优先搜索遍历所述状态节 点， 确定不存在非0的转移方案时， 转移至所述切片的 下一位置， 在转移至所述切片的终点位置， 均不具有匹配的所述第一模式字符串时， 确定所 述报文为非攻击报文。 7.根据权利要求2所述的攻击报文识别方法， 其特征在于， 所述在检测到所述切片命中 所述第一模式字符串时， 基于单模式匹配模型检测所述切片是否命中所述单模式特征表中 的第二模式字符串， 具体包括： 在检测到所述切片命中所述第 一模式字符串时， 将所述切片与 所述防火墙特征执行匹 配操作； 在检测到匹配失败的位置时， 基于所述匹配失败的位置在所述好后 缀表中查找第 一偏 移距离； 在所述坏字符表中确定所述匹配失败的位置对应的索引； 基于所述索引确定第二偏移 距离； 将所述第一偏移 距离和所述第二偏移 距离中的较大值确定为实际偏移 距离； 基于所述实际偏移距离滑动所述切片至所述防火墙特征的下一匹配位置， 直至检测到 匹配成功的位置时， 确定所述切片命中所述第二模式字符串； 在遍历整个所述防火墙特征未查找到所述匹配成功的位置时， 确定所述切片未命中所 述第二模式字符串， 所述报文为非攻击报文。 8.根据权利要求1至7中任一项所述的攻击报文识别方法， 其特 征在于， 所述应用协议类型包括DNS协议、 FTP协议、 SMTP协议、 HTTP协议、 SNMP协议和Telnet协 议中的任意 一种。 9.一种攻击报文识别装置， 其特 征在于， 包括： 构建模块， 用于构建防火墙特征库， 所述防火墙特征库包括多模式转向表和单模式特 征表； 识别模块， 用于响应于 接收到的报文， 识别所述报文的应用协议类型； 切分模块， 用于基于所述应用协议类型对所述报文 进行细粒度切分， 生成多个切片； 第一匹配模块， 用于确定与所述切片对应的所述多模式转向表， 并基于多模式匹配模 型检测所述切片是否命中所述多模式转向表中的第一模式字符串； 第二匹配模块， 在检测到所述切片命中所述第一模式字符串时， 基于单模式匹配模型 检测所述切片是否命中所述单模式特 征表中的第二模式字符串； 确定模块， 用于在检测到命中所述第二模式字符串时， 确定所述报文为 攻击报文。 10.一种网络设备， 其特 征在于， 包括： 处理器； 以及权　利　要　求　书 2/3 页 3 CN 114285624 A 3