[发明专利]攻击防护方法和装置

权利要求书

1.一种攻击防护方法，其特征在于，包括：

通过网络设备获取报文镜像；其中，所述报文镜像包括Redis数据库服务器被请求访问时产生的报文；

检测所述报文镜像中是否存在针对所述Redis数据库服务器的具有攻击特征的攻击报文；在检测出所述报文镜像中存在所述攻击报文的情况下，确定检测出发生预设事件；

利用所述攻击报文中的源IP和目的IP，合并所述攻击报文，得到请求应答信息，并对所述请求应答信息进行分析，根据所述请求应答信息确定目的端是否设置有安全认证机制；

在检测出发生预设事件的情况下，阻断所述报文的目的端和源端之间的连接。

2.根据权利要求1所述的方法，其特征在于，阻断所述报文的目的端和源端之间的连接包括：

确定所述请求应答信息所指示的所述目的端和源端；

发送阻断报文，其中，所述阻断报文用于阻断所述目的端与所述源端的连接。

3.根据权利要求2所述的方法，其特征在于，在确定所述请求应答信息所指示的所述目的端和源端之后，所述方法还包括：

在确定所述目的端未设置所述安全认证机制的情况下，生成反馈信息，其中，所述反馈信息用于提示设置所述目的端的安全认证机制。

4.根据权利要求3所述的方法，其特征在于，根据所述请求应答信息确定目的端是否设置有安全认证机制包括：

在所述请求应答信息指示检测到的请求报文为入侵报文、且应答报文包含确认信息的情况下，确定所述目的端未设置所述安全认证机制；

在所述请求应答信息指示检测到的请求报文为入侵报文、且应答报文包含认证请求信息的情况下，确定所述目的端设置有所述安全认证机制，

其中，所述请求应答报文对请求应答信息包括所述请求报文和所述应答报文。

5.根据权利要求3所述的方法，其特征在于，在确定所述请求应答信息所指示的所述目的端和源端之后，所述方法还包括：

若检测到的多个请求应答信息具有相同的源端，则确定所述源端为恶意源端；

阻断所述恶意源端与任意一个服务器建立连接。

6.根据权利要求3所述的方法，其特征在于，发送阻断报文包括：

分别向所述目的端和所述源端发送所述阻断报文；或

向所述目的端发送所述阻断报文。

7.根据权利要求1所述的方法，其特征在于，检测所述报文镜像中是否存在针对所述Redis数据库服务器的具有攻击特征的攻击报文包括：

从所述报文镜像中，获取具有预置端口的数据包；

检测所述数据包是否包含预设字符串；

若检测出所述数据包包含所述预设字符串，则确定检测到所述攻击报文。

8.根据权利要求7所述的方法，其特征在于，在确定检测到所述攻击报文之后，所述方法还包括：

根据所述数据包的端口信息和所述预设字符串的类型确定所述攻击报文的类型。

9.根据权利要求8所述的方法，其特征在于，根据所述数据包的端口信息和所述预设字符串的类型确定所述攻击报文的类型包括：

若所述数据包的目的端口为所述预置端口，在检测出所述数据包中包含第一字符串的情况下，确定所述攻击报文为入侵报文，其中，所述第一字符串中包含配置集目录命令，所述端口信息包括所述目的端口；

若所述数据包的源端口为所述预置端口，在检测出所述数据包中包含第二字符串的情况下，确定所述攻击报文为包含确认信息的应答报文，其中，所述第二字符串中包含确认信息，所述端口信息包括所述源端口；

若所述数据包的源端口为所述预置端口，在检测出所述数据包中包含第三字符串的情况下，确定所述攻击报文为包含认证请求信息的应答报文，其中，所述第三字符串中包含认证请求信息，所述端口信息为源端口。