本發明公開了一種網絡防護方法、裝置、服務器及存儲介質，屬于網絡安全領域。所述方法包括：當服務器被攻擊時，獲取向服務器發送的報文，報文包括用戶標識和安全水印；根據報文中的安全水印對報文的合法性進行檢測，得到檢測結果；當檢測結果為報文合法時，統計報文中的用戶標識周期時間內出現的次數；當報文中的用戶標識周期時間內出現的次數超過閾值時，丟棄報文；當報文中的用戶標識周期時間內出現的次數未超過閾值時，向服務器轉發報文。該方案通過安全水印和統計用戶標識周期時間內出現的次數配合，不但能夠攔截普通攻擊方式發送的非法報文，還能夠對重放攻擊發送的報文進行攔截，從而確保了服務器的正常工作。

技術領域

本發明涉及網絡安全領域，特別涉及一種網絡防護方法、裝置、服務器及存儲介質。

背景技術

分布式拒絕服務(Distributed Denial of Service，DDoS)攻擊，是指黑客通過控制分布在各處的僵死網絡向目的服務器發起大量異常流量，服務器忙于處理異常流量，無法處理正常用戶請求，甚至系統崩潰，造成拒絕服務。

針對DDoS攻擊，相關技術中提供了一種基于水印的防護策略，在客戶端向服務器發送上行報文時，需要在報文中攜帶通過事先約定的算法算出的水印字段。設置在客戶端和服務器之間的防護端，通過驗證該上行報文中水印字段的合法性，從而判斷是否將該報文轉發給服務器，實現對非法報文進行攔截。

但是，當攻擊端通過竊取到的合法報文進行重放攻擊時，上述防護策略無法有效對攻擊進行防護。

發明內容

本發明實施例提供了一種網絡防護方法、裝置、服務器及存儲介質，能夠解決相關技術中當攻擊端通過竊取到的合法報文進行重放攻擊時，防護策略無法有效對攻擊進行防護的問題。所述技術方案如下：

一方面，提供了一種網絡防護方法，所述方法包括：

當服務器被攻擊時，獲取向所述服務器發送的報文，所述報文包括用戶標識和安全水印；根據所述報文中的安全水印對所述報文的合法性進行檢測，得到檢測結果；當所述檢測結果為報文合法時，統計所述報文中的用戶標識周期時間內出現的次數；當所述報文中的用戶標識周期時間內出現的次數超過閾值時，丟棄所述報文；當所述報文中的用戶標識周期時間內出現的次數未超過閾值時，向所述服務器轉發所述報文。

另一方面，還提供了一種網絡防護裝置，所述裝置包括：

接收模塊，用于當服務器被攻擊時，獲取向所述服務器發送的報文，所述報文包括用戶標識和安全水印；檢測模塊，用于根據所述報文中的安全水印對所述報文的合法性進行檢測，得到檢測結果；統計模塊，用于當所述檢測結果為報文合法時，統計所述報文中的用戶標識周期時間內出現的次數；過濾模塊，用于當所述報文中的用戶標識周期時間內出現的次數超過閾值時，丟棄所述報文；當所述報文中的用戶標識周期時間內出現的次數未超過閾值時，向所述服務器轉發所述報文。

另一方面，還提供了一種服務器，所述服務器包括處理器和存儲器，所述存儲器中存儲有至少一條指令，所述指令由所述處理器加載并執行以實現如第一方面所述的網絡防護方法。

另一方面，還提供了一種計算機可讀存儲介質，所述存儲介質中存儲有至少一條指令，所述指令由處理器加載并執行以實現如第一方面所述的網絡防護方法。

本發明實施例提供的技術方案帶來的有益效果是：

通過在接收到客戶端發送的報文后，先對報文中的安全水印進行驗證，從而確定該報文是否合法，當所述檢測結果為報文合法時，統計報文中的用戶標識周期時間內出現的次數，根據報文中的用戶標識周期時間內出現的次數是否超過閾值，來決定是進行轉發還是進行攔截。該方案通過安全水印和統計用戶標識周期時間內出現的次數配合，不但能夠攔截普通攻擊方式發送的非法報文，還能夠對重放攻擊發送的報文進行攔截，從而確保了服務器的正常工作。

附圖說明