[发明专利]一种反弹式网络攻击的检测方法、装置、设备及存储介质

说明书

本发明实施例提供了一种反弹式网络攻击的检测方法、装置、计算机设备及存储介质。其方法包括：获取由目标主机发起建立的链路中的网络会话报文；从所述网络会话报文中识别疑似攻击请求报文；检测所述疑似攻击请求报文中是否存在攻击特征。本发明实施例中，首先获取由目标主机发起建立的链路中的网络会话报文，由于这样的链路可能是目标主机响应攻击者的一台主机的请求而向攻击者的另一台主机发起建立的链接，因此，在这样的链路的网络报文中继续识别疑似攻击请求报文，进而检测其中是否存在攻击特征，即可以实现对反弹式网络攻击的检测。

技术领域

本发明实施例涉及网络安全技术领域，尤其涉及一种反弹式网络攻击的检测方法、装置、设备及存储介质。

背景技术

随着计算机技术的不断发展和互联网的普及，网络攻击形式层出不穷，网络安全问题日益突出，造成的社会影响和经济损失越来越大，对网络威胁检测与防御提出了新的需求和挑战。

反弹式网络攻击是一种危险的网络攻击方式，以反弹shell(壳)攻击为例，其攻击方式是：攻击者通过一台主机向目标主机发送网络命令，该网络命令中不包含攻击指令，但指示目标主机向攻击者的另一台主机发送网络请求，由另一台主机实施攻击。

上述反弹式网络攻击是单向流量，即由攻击者的一台主机到目标主机，再由目标主机到攻击者的另一台主机，难以通过传统检测方法检测。

发明内容

本发明实施例提供及一种反弹式网络攻击的检测方法、装置、设备及存储介质，以实现对反弹式网络攻击的检测，提高目标主机的安全性。

第一方面，本发明实施例提供一种反弹式网络攻击的检测方法，包括：

获取由目标主机发起建立的链路中的网络会话报文；

从所述网络会话报文中识别疑似攻击请求报文；

检测所述疑似攻击请求报文中是否存在攻击特征。

可选的，所述网络会话报文包括会话请求报文和会话响应报文，所述从所述网络会话报文中识别疑似攻击请求报文，包括：

获取所述链路中的第一个会话请求报文；

判断所述第一个会话请求报文是否为疑似攻击请求报文；

在判断出所述第一个会话请求报文不是疑似攻击请求报文后，获取所述链路中的至少一个会话响应报文作为疑似攻击请求报文。

可选的，所述判断所述第一个会话请求报文是否为疑似攻击请求报文，包括：

判断所述第一个会话请求报文的发起方是否为所述目标主机，若是所述目标主机，所述第一个会话请求报文不是疑似攻击请求报文，若不是所述目标主机，所述第一个会话请求报文是疑似攻击请求报文。

可选的，所述从所述网络会话报文中识别疑似攻击请求报文，包括：

从所述网络会话报文中识别疑似攻击请求响应报文对，所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文；

在所述疑似攻击请求报文中检测出攻击特征后，检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。

可选的，所述从所述网络会话报文中识别疑似攻击请求响应报文对，包括：识别所述链路中的每个疑似攻击请求响应报文对；

所述检测所述疑似攻击请求报文中是否存在攻击特征，包括：检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。

可选的，所述检测所述疑似攻击请求报文中是否存在攻击特征，包括：