(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111583674.5 (22)申请日 2021.12.2 2 (71)申请人 山石网科通信技 术股份有限公司 地址 215163 江苏省苏州市高新区景润路 181号 (72)发明人 代应浪　张作涛　李家顺　 (74)专利代理 机构 北京康信知识产权代理有限 责任公司 1 1240 代理人 张文华 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 抵御半连接攻击的方法、 装置、 存储介质以 及处理器 (57)摘要 本申请公开了一种抵御半连接攻击的方法、 装置、 存储介质以及处理器。 其中， 该方法包括： 在确定IKE的目标协商发起方携带有预定标识的 情况下， 检测目标协商发起方的IP地址是否在白 名单内， 得到检测结果； 确定当前时刻的半连接 占比， 其中， 半连接为其他协商发起方向协商响 应方发送协商请求， 协商响应方返回响应信号至 其他协商发起方， 协商响应方保持其他协商发起 方的请求状态后形成的连接状态； 根据半连接占 比与检测结果确定协商策略， 其中， 协商策略至 少用于减少半连接的个数。 本申请解决了由于相 关技术中设置半连接的超时时间对半连接进行 清除造成的清除不及时、 影 响正常通信以及造成 通信系统资源浪费， 无法进行新的协商的技术问 题。 权利要求书2页 说明书8页 附图2页 CN 114301653 A 2022.04.08 CN 114301653 A 1.一种抵御半连接攻击的方法， 其特 征在于， 包括： 在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识的情况下， 检测所 述目标协商发起方的IP地址是否在白名单内， 得到检测结果， 其中， 所述检测结果用于指示 所述IP地址的类型， 所述类型包括： 白名单类型或非白名单类型； 确定当前时刻的半连接占比， 其中， 所述半连接为其他协商发起方向协商响应方发送 协商请求， 所述协商响应方返回响应信号至所述其他协商发起方， 所述协商响应方保持所 述其他协商发起方的请求状态后形成的连接状态； 根据所述半连接占比与所述检测结果确定协商策略， 其中， 所述协商策略至少用于减 少半连接的个数。 2.根据权利要求1所述的方法， 其特征在于， 在根据 所述半连接占比与 所述检测结果确 定协商策略之前， 所述方法还 包括： 获取预设的半连接占比等级， 其中， 不同等级对应的半连接占比不同； 确定不同的半连接占比等级下对应的协商行为， 所述协商行为包括： 允许建立半连接 的IP地址类型， 以及不同类型下IP地址的超时时间， 其中， 所述超时时间用于指示所述半连 接的最大有效时间， 在达 到所述超时 时间后结束半连接状态。 3.根据权利要求2所述的方法， 其特征在于， 根据 所述半连接占比与 所述检测结果确定 协商策略， 包括： 确定所述半连接占比所属于的目标半连接占比等级； 确定所述目标半连接等级下， 允许建立半连接的IP地址的目标类型集 合； 确定所述检测结果所指示的IP地址的类型属于所述目标类型集合的情况下， 确定所述 协商策略包括： 建立与所述协商发起方 的第一半连接， 并获取该目标类型对应的半连接的 超时时间， 在达到所述超时时间后， 若 未接收来自所述协商发起方的数据， 则结束 所述第一 半连接。 4.根据权利要求3所述的方法， 其特 征在于， 所述协商策略还 包括： 确定所述目标类型集合中除所述检测结果所指示的IP地址的类型之外的其他IP地址 类型， 建立与所述其他IP地址类型对应的协商发起方的第二半连接， 并获取所述其他IP地 址类型的超时时间， 在达到所述超时时间后， 若未接收到来自所述其他IP地址类型对应的 协商发起方的数据， 则结束所述第二半连接 。 5.根据权利要求1所述的方法， 其特征在于， 在根据 所述半连接占比与 所述检测结果确 定协商策略之后， 所述方法还 包括： 获取所述当前时刻的半连接总数； 判断所述半连接总数是否大于第 一预设阈值得到判断结果， 根据 所述判断结果确定控 制策略。 6.根据权利要求5所述的方法， 其特 征在于， 根据所述判断结果确定控制策略， 包括： 在所述判断结果指示所述半连接总数大于所述预设阈值的情况下， 允许所述白名单类 型的IP地址发起协商， 拒绝所述非白名单类型的IP地址发起协商， 并结束当前所有与非白 名单类型中的IP地址已建立的半连接； 在所述判断结果指示所述半连接总数小于所述预设阈值的情况下， 允许所述白名单类 型的IP地址与所述非白名单类型的IP发起协商。权　利　要　求　书 1/2 页 2 CN 114301653 A 27.根据权利要求1所述的方法， 其特征在于， 所述白名单类型的IP地址通过如下方式配 置： 统计历史时段内至少一个已协商成功的IP地址； 判断所述已协商成功的IP地址在所述历史时段内的发起协商的次数以及存活总时长； 在所述存活总时长大于第 二预设阈值， 且所述发起协商的次数小于第 三预设阈值的情 况下， 则将所述已协商成功的IP地址属于所述白名单类型的IP地址 。 8.根据权利要求1所述的方法， 其特征在于， 确定因特网密钥交换协议IKE的目标协商 发起方携带有预定标识， 包括： 对所述目标协商发起方的发送的协商请求进行解析， 得到所述目标协商发起方的协商 报文； 确定所述协商报文中的厂 商识别码； 检测所述厂商识别码中是否包含预设字段， 在所述厂商识别码包含所述预设字段的情 况下， 则确定所述目标协商发起方携带有所述预定标识。 9.一种抵御半连接攻击的装置， 其特 征在于， 包括： 检测模块， 用于在确定因特网密钥交换协议IKE的目标协商发起方携带有预定标识 的 情况下， 检测所述目标协商发起方的IP地址是否在白名单内， 得到检测结果， 其中， 所述检 测结果用于指示所述 IP地址的类型， 所述类型包括： 白名单类型或非白名单类型； 第一确定模块， 用于确定当前时刻的半连接占比， 其中， 所述半连接为其他协商发起方 向协商响应方发送协商请求， 所述协商响应方返回响应信号至所述其他协商发起方， 所述 协商响应方保持所述 其他协商发起方的请求状态后形成的连接状态； 第二确定模块， 用于根据 所述半连接占比与所述检测结果确定协商策略， 其中， 所述协 商策略至少用于减少半连接的个数。 10.一种非易失性存储介质， 其特征在于， 所述非易失性存储介质包括存储的程序， 其 中， 在所述程序运行时控制所述 非易失性存储介质所在设备执行权利要求 1至8中任意一项 所述抵御半连接攻击的方法。 11.一种处理器， 其特征在于， 所述处理器用于运行程序， 其中， 所述程序运行时执行权 利要求1至8中任意 一项所述抵御半连接攻击的方法。权　利　要　求　书 2/2 页 3 CN 114301653 A 3