[发明专利]一种防攻击方法、装置、设备及机器可读存储介质

权利要求书

1.一种防攻击方法，其特征在于，应用于安全设备，所述方法包括：

接收陌生来源流量，提取陌生来源流量的流量特征；

统计首个单位时间内匹配所述流量特征的报文数量，将首个单位时间内关联的报文数量大于等于第一阈值的流量特征认为是攻击特征；

统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量，将任一个单位时间内关联的报文数量大于等于第二阈值的流量特征认为是攻击特征；

为非攻击特征的关联于所述陌生来源流量的流量特征建立关联的逻辑转发会话，对攻击特征启用安全防范动作。

2.根据权利要求1所述的方法，其特征在于，所述统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量后，包括：

若干个单位时间后，周期性地统计单位时间内匹配所述任一个单位时间内关联的报文数量小于第二阈值的流量特征的报文数量，将存在一个单位时间内关联的报文数量大于等于第三阈值的流量特征认为是攻击特征。

3.根据权利要求2所述的方法，其特征在于，所述第三阈值根据第二阈值设置，第三阈值大于第二阈值；所述第二阈值根据所述首个单位时间内关联的报文数量设置，第二阈值大于所述首个单位时间内关联的报文数量。

4.根据权利要求1所述的方法，其特征在于，所述第二阈值根据所述首个单位时间内关联的报文数量设置，第二阈值大于所述首个单位时间内关联的报文数量。

5.一种防攻击装置，其特征在于，应用于安全设备，所述装置包括：

提取模块，用于接收陌生来源流量，提取陌生来源流量的流量特征；

统计模块，用于统计首个单位时间内匹配所述流量特征的报文数量，将首个单位时间内关联的报文数量大于等于第一阈值的流量特征认为是攻击特征；

统计模块还用于统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量，将任一个单位时间内关联的报文数量大于等于第二阈值的流量特征认为是攻击特征；

处理模块，用于为非攻击特征的关联于所述陌生来源流量的流量特征建立关联的逻辑转发会话，对攻击特征启用安全防范动作。

6.根据权利要求5所述的装置，其特征在于，所述统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量后，包括：

若干个单位时间后，周期性地统计单位时间内匹配所述任一个单位时间内关联的报文数量小于第二阈值的流量特征的报文数量，将存在一个单位时间内关联的报文数量大于等于第三阈值的流量特征认为是攻击特征。

7.根据权利要求6所述的装置，其特征在于，所述第三阈值根据第二阈值设置，第三阈值大于第二阈值；所述第二阈值根据所述首个单位时间内关联的报文数量设置，第二阈值大于所述首个单位时间内关联的报文数量。

8.根据权利要求5所述的装置，其特征在于，所述第二阈值根据所述首个单位时间内关联的报文数量设置，第二阈值大于所述首个单位时间内关联的报文数量。

9.一种电子设备，其特征在于，包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器执行所述机器可执行指令，以实现权利要求1-4任一所述的方法。

10.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现权利要求1-4任一所述的方法。