[发明专利]网络安全防护及其参数确定方法、装置及设备、介质

说明书

本申请提供一种网络安全防护及其参数确定方法、装置及设备、可读存储介质，所述参数确定方法包括：获取待进入目标设备的网络流量中至少部分流量；识别所获取的流量中各会话的特征信息；所述特征信息包括源地址与应用协议中的至少一项；根据识别的特征信息对预定的标准检测数量进行调整，得到各会话的数据包检测数量。实施本申请实施例，可根据获取的流量中各会话的特征信息调整预定的标准检测数量，得到各会话的数据包检测数量，无需将各会话内被检测的数据包的数量都固定在所述标准检测数量，因此，检测的数据包的数量不固定，可以有效减少逃逸攻击的发生概率。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种网络安全防护及其参数确定方法、装置及设备、介质。

背景技术

随着网络安全技术的发展，攻防对抗愈加激烈。作为攻击方的黑客会对作为防守方的目标设备发起持续的、高强度的攻击探测，而目标设备通常会选择部署IPS(IntrusionPrevention System,入侵预防系统)、WAF(Web应用防护系统)等网络安全设备进行攻击防护。

其中，IPS、WAF等网络安全设备可以通过相关网络安全防护方法，对网络上传输的数据量(简称网络流量，包括至少一个会话的数据包)，进行攻击检测。在网络流量中，采用HTTP、HTTPS、SMB、MySQL、自定义应用协议或其他应用协议的单一会话，可能包含大量的数据包，如果对这类会话中的每个数据包都进行检测，非常消耗性能。所以，在超大流量的目标设备处部署的网络安全设备，通常是依据设备的性能因素，将每类协议的会话中被检测的数据包固定在一定数量，以平衡设备性能和安全防护效果。

但是，固定被检测数据包的数量后，攻击方可以利用这一点，建立包含非常多数据包的会话，将攻击负载放在位置靠后的数据包中，以躲避检测，进行逃逸攻击。

发明内容

有鉴于此，本申请实施例提供一种网络安全防护及其参数确定方法、装置及设备、可读存储介质，以解决固定被检测数据的数量后，易出现逃逸攻击的问题。

根据本申请的第一方面，提供一种网络安全防护的参数确定方法，包括步骤：

获取待进入目标设备的网络流量中至少部分流量；

识别所获取的流量中各会话的特征信息；所述特征信息包括源地址与应用协议中的至少一项；

根据识别的特征信息对预定的标准检测数量进行调整，得到各会话的数据包检测数量。

在一个实施例中，所述特征信息包括应用协议；根据识别的特征信息对预定的标准检测数量进行调整，包括：

根据识别的特征信息中的应用协议，确定所获取的流量中各种应用协议的流量占比；

按照对应的调大幅度调大所述标准检测数量，得到应用协议的流量占比满足预定的调大条件的会话的数据包检测数量；

按照对应的调小幅度调小所述标准检测数量，得到应用协议的流量占比满足预定的调小条件的会话的数据包检测数量。

在一个实施例中，所述特征信息包括源地址；根据识别的特征信息对预定的标准检测数量进行调整，包括：

根据识别的特征信息中的源地址，确定所获取的流量中各源地址的流量占比：

对源地址的流量占比满足预定的抽查条件的至少部分会话内，每个数据包进行攻击数据检测；

如果检测的任一数据包带攻击数据，按照对应的调大幅度调大所述标准检测数量，得到源地址的流量占比满足所述抽查条件的会话的数据包检测数量。

在一个实施例中，所述特征信息包括源地址与应用协议；根据识别的特征信息对预定的标准检测数量进行调整，包括：

根据识别的特征信息中的应用协议与源地址，确定所获取的流量中各应用协议的流量占比及各源地址的流量占比；