[发明专利]反弹式网络攻击的防护方法、装置、设备、系统有效
| 申请号: | 201811191765.2 | 申请日: | 2018-10-12 |
| 公开(公告)号: | CN111049782B | 公开(公告)日: | 2023-02-17 |
| 发明(设计)人: | 张鑫;高雪峰 | 申请(专利权)人: | 北京奇虎科技有限公司 |
| 主分类号: | H04L9/40 | 分类号: | H04L9/40 |
| 代理公司: | 北京律诚同业知识产权代理有限公司 11006 | 代理人: | 王玉双 |
| 地址: | 100088 北京市西城区新*** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 反弹 网络 攻击 防护 方法 装置 设备 系统 | ||
1.种反弹式网络攻击的防护方法,其特征在于,包括:
获取由目标主机发起建立的链路中的网络会话报文,所述网络会话报文包括会话请求报文和会话响应报文;
从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,包括:
所述疑似攻击请求响应报文对包括疑似攻击请求报文和疑似攻击响应报文;
获取所述链路中的第一个会话请求报文;
判断所述第一个会话请求报文是否为疑似攻击请求报文;
在判断出所述第一个会话请求报文不是疑似攻击请求报文后,获取所述链路中的至少一个会话响应报文及会话响应报文之后的第一个会话请求报文作为疑似攻击请求响应报文对;
在判断出所述第一个会话请求报文是疑似攻击请求报文后,获取所述链路中的至少一个会话请求报文及对应的会话响应报文作为疑似攻击请求响应报文对;
检测所述疑似攻击请求报文中是否存在攻击特征;
在所述疑似攻击请求报文中检测出攻击特征后,检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征;
在所述疑似攻击响应报文中检测出所述预期响应特征后,向目标主机发送所述链路对应的端口号,所述端口号用于目标主机查找并结束对应的进程。
2.根据权利要求 1 所述的方法,其特征在于,所述判断所述第一个会话请求报文是否为疑似攻击请求报文,包括:
判断所述第一个会话请求报文的发起方是否为所述目标主机,若是所述目标主机,所述第一个会话请求报文不是疑似攻击请求报文,若不是所述目标主机,所述第一个会话请求报文是疑似攻击请求报文。
3.根据权利要求 1~2 任一项所述的方法,其特征在于,所述从所述网络会话报文中通过跳包机制判断是否需要对会话过程中的第一个所述会话请求报文进行跳包,识别疑似攻击请求响应报文对,包括:识别所述链路中的每个疑似攻击请求响应报文对;
所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:检测每个识别疑似攻击请求响应报文对中的疑似攻击请求报文中是否存在攻击特征。
4.根据权利要求 1~2 任一项所述的方法,其特征在于,所述检测所述疑似攻击请求报文中是否存在攻击特征,包括:
调用预先建立的攻击检测模型检测所述疑似攻击请求报文中是否存在攻击特征,所述攻击检测模型是由已知反弹式网络攻击的攻击特征样本训练得到的。
5.根据权利要求 1~2 任一项所述的方法,其特征在于,所述检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征,包括:
利用预先建立的规则集和/或检测脚本检测所述疑似攻击请求响应报文对中的疑似攻击响应报文中是否存在与所述攻击特征对应的预期响应特征。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京奇虎科技有限公司,未经北京奇虎科技有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201811191765.2/1.html,转载请声明来源钻瓜专利网。
