专利攻击防御方法、装置、电子设备及存储介质

(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202111395076.5 (22)申请日 2021.11.23 (71)申请人北京天融信网络安全技术有限公司地址 100000 北京市海淀区上地东路1号院 3号楼四层申请人北京天融信科技有限公司　北京天融信软件有限公司 (72)发明人刘志文　张莹莹　 (74)专利代理机构北京超凡宏宇专利代理事务所(特殊普通合伙) 11463 代理人周春霞 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称攻击防御方法、装置、电子设备及存储介质 (57)摘要本申请提供一种攻击防御方法、装置、电子设备及存储介质，涉及安全技术领域。该方法在检测到设备出现内存不足时，获取当前连接数量，若当前连接数量超过设定数量，则表明设备是由于接收到大量的连接请求而不停申请内存导致出现内存不足，此时可根据接收到的连接请求报文确定异常客户端，然后分析异常客户端的攻击类型，并根据攻击类型确定对应的防御方式，这样就可以避免异常客户端因规避防御方式而改变攻击类型，设备采用统一的防御方式对其则不能达到防御效果的问题，所以，本申请可以自动识别异常客户端，然后针对不同的攻击类型采用不同的防御方式对异常客户端进行针对性地攻击防御，可达到较好的防御效果。权利要求书2页说明书10页附图2页 CN 114095258 A 2022.02.25 CN 114095258 A 1.一种攻击防御方法，其特征在于，所述方法包括：在检测到设备出现内存不足时，获取当前连接数量；在所述当前连接数量超过设定数量时，根据接收到的连接请求报文确定异常客户端；分析所述异常客户端的攻击类型，并根据所述攻击类型确定对应的防御方式；利用所述防御方式对所述异常客户端进行攻击防御。 2.根据权利要求1所述的方法，其特征在于，所述分析所述异常客户端的攻击类型，包括：获取所述异常客户端发送的连接请求信息；根据所述连接请求信息确定所述异常客户端的攻击类型。 3.根据权利要求2所述的方法，其特征在于，所述连接请求信息包括五元组信息；所述根据所述连接请求信息确定所述异常客户端的攻击类型，包括：判断所述五元组信息是否为不可达地址信息；若是，则确定所述异常客户端的攻击类型为伪造信息攻击。 4.根据权利要求2所述的方法，其特征在于，所述连接请求信息包括所述异常客户端对应的请求的窗口值，所述根据所述连接请求信息确定所述异常客户端的攻击类型，包括：判断所述窗口值是否在预设数值范围内；若否，则判断是否接收到所述异常客户端针对所述设备的响应报文反馈的应答报文；其中，所述响应报文为所述设备针对所述异常客户端的连接请求报文的响应报文；若没有接收到所述应答报文，则确定所述异常客户端的攻击类型为拒绝服务攻击。 5.根据权利要求1所述的方法，其特征在于，所述根据所述攻击类型确定对应的防御方式，包括：确定所述攻击类型的危险程度；根据所述危险程度在存储的多种防御方式中查找与其危险程度匹配的防御方式。 6.根据权利要求5所述的方法，其特征在于，所述多种防御方式包括：拒绝或限制指定源地址的请求、拒绝或限制指定目的地址的请求、拒绝或限制指定目端口的请求、设置源认证策略、加入黑名单、输出告警信息、限制请求报文的大小、限制请求的窗口值的大小中的至少两种，每种防御方式对应的安全防御程度不同。 7.根据权利要求1 ‑6任一所述的方法，其特征在于，所述根据接收到的连接请求报文确定异常客户端，包括：从接收到的连接请求报文中筛选出请求的窗口值大于设定值的目标连接请求报文；若所述目标连接请求报文中有超过预设比例的报文来自同一客户端，则确定该客户端为异常客户端。 8.一种攻击防御装置，其特征在于，所述装置包括：数据获取模块，用于在检测到设备出现内存不足时，获取当前连接数量；异常分析模块，用于在所述当前连接数量超过设定数量时，根据接收到的连接请求报文确定异常客户端；防御分析模块，用于分析所述异常客户端的攻击类型，并根据所述攻击类型确定对应的防御方式；攻击防御模块，用于利用所述防御方式对所述异常客户端进行攻击防御。权　利　要　求　书 1/2 页 2 CN 114095258 A 29.一种电子设备，其特征在于，包括处理器以及存储器，所述存储器存储有计算机可读取指令，当所述计算机可读取指令由所述处理器执行时，运行如权利要求 1‑7任一所述的方法。 10.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序被处理器执行时运行如权利要求1 ‑7任一所述的方法。权　利　要　求　书 2/2 页 3 CN 114095258 A 3

专利 攻击防御方法、装置、电子设备及存储介质

专利攻击防御方法、装置、电子设备及存储介质