[发明专利]一种防攻击方法、装置、设备及机器可读存储介质

说明书

本公开提供一种防攻击方法、装置、设备及机器可读存储介质，该方法包括：接收陌生来源流量，提取陌生来源流量的流量特征；统计单位时间内匹配所述流量特征的报文数量，将报文数量大于等于第一阈值的流量特征认为是攻击特征；统计若干个单位时间内匹配流量特征的报文数量，将报文数量大于等于第二阈值的流量特征认为是攻击特征；为非攻击特征的关联于所述陌生来源流量的流量特征建立关联的逻辑转发会话，对攻击特征启用安全防范动作。通过本公开的技术方案，接收某一陌生来源的流量特征为安全监测对象后，对最初时段被认为是合法的流量源继续进行一端时间的监测，从而防止攻击者以先行伪装为正常用户探测网络而后进行大流量攻击的行为。

技术领域

本公开涉及通信技术领域，尤其是涉及一种防攻击方法、装置、设备及机器可读存储介质。

背景技术

攻击检测及防范是一个重要的网络安全特性，它通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并根据配置对具有攻击特征的报文执行一定的防范措施，例如输出告警日志、丢弃报文、加入黑名单或客户端验证列表。

攻击防范功能够检测单包攻击、扫描攻击和泛洪攻击等多种类型的网络攻击，并能对各类型攻击采取合理的防范措施。

安全产品中攻击防范各业务都走慢转流程，保证了检测的准确率，但性能低。因此，当前实现了一种攻击防范开启时流量可走逻辑转发的方法。开启该功能开关，由于会影响单包检测、七层flood检测、慢速攻击、双向代理的功能，因此，实现方法为设备配置了单包检测、七层flood检测、慢速攻击、双向代理功能时，平台禁止下流表，仍然进行慢转流程检测；若不配置这些功能，报文进入设备，攻击防范先根据报文首包统计结果判断否为攻击。如果不是攻击，则允许下流表，平台会话表和快转表下发逻辑；如果是攻击，跟以前慢转处理一样，根据动作处理，一定程上提高了攻击防范的新建性能。

但是对于攻击防范开启时流量可走逻辑转发方法，如果设备未配置禁止下流表的配置，攻击者先探测网络，发送一些报文，在平台业务处理时，设备统计首包检测不是攻击，认为是合法报文，允许下流表，做完所有平台业务，平台给逻辑下刷会话表和快转表。此时攻击者加大流量速率，发现都没有被阻止，即可继续加大该报文周期内的报文数量进行攻击，对于已经建立会话的报文，在当前的功能下，报文直接上逻辑进行了转发，设备无法检测出攻击，造成被攻击。

发明内容

有鉴于此，本公开提供一种防攻击方法、装置及电子设备、机器可读存储介质，以改善上述难以检测先期具有探测的攻击行为的问题。

具体地技术方案如下：

本公开提供了一种防攻击方法，应用于安全设备，所述方法包括：接收陌生来源流量，提取陌生来源流量的流量特征；统计首个单位时间内匹配所述流量特征的报文数量，将首个单位时间内关联的报文数量大于等于第一阈值的流量特征认为是攻击特征；统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量，将任一个单位时间内关联的报文数量大于等于第二阈值的流量特征认为是攻击特征；为非攻击特征的关联于所述陌生来源流量的流量特征建立关联的逻辑转发会话，对攻击特征启用安全防范动作。

作为一种技术方案，所述统计若干个单位时间内匹配所述首个单位时间内关联的报文数量小于第一阈值的流量特征的报文数量后，包括：若干个单位时间后，周期性地统计单位时间内匹配所述任一个单位时间内关联的报文数量小于第二阈值的流量特征的报文数量，将存在一个单位时间内关联的报文数量大于等于第三阈值的流量特征认为是攻击特征。

作为一种技术方案，所述第三阈值根据第二阈值设置，第三阈值大于第二阈值；所述第二阈值根据所述首个单位时间内关联的报文数量设置，第二阈值大于所述首个单位时间内关联的报文数量。

作为一种技术方案，所述第二阈值根据所述首个单位时间内关联的报文数量设置，第二阈值大于所述首个单位时间内关联的报文数量。