[发明专利]一种防御方法、装置、电子设备及存储介质

说明书

本申请实施例提供一种防御方法、装置、电子设备及存储介质，涉及网络安全技术领域。该方法包括对接收到的流量进行协议解析，以获得应用层协议报文；利用预设的静态指纹库对所述报文进行识别；若识别不成功，则利用预设的动态指纹库进行识别，以对所述流量进行防御，将静态指纹和动态指纹相结合对报文进行全面检测，从而提高了检测准确率，解决了现有方法检测准确度不高且检测不全面的问题。

技术领域

本申请涉及网络安全技术领域，具体而言，涉及一种防御方法、装置、电子设备及存储介质。

背景技术

UDP(User Datagram Protocol)是一种无连接的传输层协议，提供面向事务的简单不可靠信息传输服务，UDP作为传输层协议应用极其广泛，经常被黑客作为攻击的主要对象。攻击者通过伪造大量的UDP报文来攻击互联网上的各种服务，从而导致其产生拒绝服务。

目前常见的UDP泛洪防御方法有源目的限速、端口检查、首包丢弃等方法，但这些防御方法针对性太差，防御效果不好，会导致误清洗或者放过攻击报文。例如通过检测UDP数据包的包体，当UDP数据包的包体中不存在与应用层协议的协议特征字匹配的数据时，认为该UDP数据包为DDOS攻击的UDP数据包，因此丢弃该数据包，但在该方法中UDP所携带的应用层报文包体必须是有明显特征的，面对没有明显特征的报文，该防御技术将会失效。

发明内容

本申请实施例的目的在于提供一种防御方法、装置、电子设备及存储介质，将静态指纹和动态指纹相结合对报文进行全面检测，从而提高了检测准确率，解决了现有方法检测准确度不高且检测不全面的问题。

本申请实施例提供了一种防御方法，该方法包括：

对接收到的流量进行协议解析，以获得应用层协议报文；

利用预设的静态指纹库对所述报文进行识别；

若识别不成功，则利用预设的动态指纹库进行识别，以对所述流量进行防御。

在上述实现过程中，将动态指纹与静态指纹结合检测UDP泛洪攻击的防御方法，提升攻击检测的准确度和效率，解决了UDP泛洪攻击报文中应用层没有协议特征字，或者特征字不明显而导致的无法检测攻击的问题，从而提高了防御精度。

进一步地，所述方法还包括建立静态指纹库：

提取标准应用协议报文的报文特征，所述报文特征为所有标准应用协议报文的共有特征；

利用所述报文特征生成静态协议指纹库。

在上述实现过程中，利用标准应用协议报文共有的明显特征来构成标准应用协议报文的静态指纹。

进一步地，所述方法还包括建立动态指纹库：

对非标准应用协议报文进行动态指纹学习，以生成动态指纹库。

在上述实现过程中，通过建立动态指纹库来实现对没有明显特征字的应用层协议的识别。

进一步地，所述对非标准应用协议进行动态指纹学习，以生成动态指纹库，包括：

根据配置的偏移量截取所述非标准应用协议报文的字节数据；

在Map数据结构中查询所述字节数据是否存在；

若存在，则将所述字节数据的命中次数加1；

若所述字节数据的命中次数超过预设阈值，则确定所述字节数据为有效指纹，将所述字节数据的偏移量加1，并对当前动态指纹库进行更新。

在上述实现过程中，通过统计报文的命中次数来确定有效指纹，从而实现对动态指纹库的更新。

进一步地，所述对非标准应用协议进行动态指纹学习，以生成动态指纹库，还包括：