本發明實施例提供了一種反彈式網絡攻擊的檢測方法、裝置、計算機設備及存儲介質。其方法包括：獲取由目標主機發起建立的鏈路中的網絡會話報文；從所述網絡會話報文中識別疑似攻擊請求報文；檢測所述疑似攻擊請求報文中是否存在攻擊特征。本發明實施例中，首先獲取由目標主機發起建立的鏈路中的網絡會話報文，由于這樣的鏈路可能是目標主機響應攻擊者的一臺主機的請求而向攻擊者的另一臺主機發起建立的鏈接，因此，在這樣的鏈路的網絡報文中繼續識別疑似攻擊請求報文，進而檢測其中是否存在攻擊特征，即可以實現對反彈式網絡攻擊的檢測。

技術領域

本發明實施例涉及網絡安全技術領域，尤其涉及一種反彈式網絡攻擊的檢測方法、裝置、設備及存儲介質。

背景技術

隨著計算機技術的不斷發展和互聯網的普及，網絡攻擊形式層出不窮，網絡安全問題日益突出，造成的社會影響和經濟損失越來越大，對網絡威脅檢測與防御提出了新的需求和挑戰。

反彈式網絡攻擊是一種危險的網絡攻擊方式，以反彈shell(殼)攻擊為例，其攻擊方式是：攻擊者通過一臺主機向目標主機發送網絡命令，該網絡命令中不包含攻擊指令，但指示目標主機向攻擊者的另一臺主機發送網絡請求，由另一臺主機實施攻擊。

上述反彈式網絡攻擊是單向流量，即由攻擊者的一臺主機到目標主機，再由目標主機到攻擊者的另一臺主機，難以通過傳統檢測方法檢測。

發明內容

本發明實施例提供及一種反彈式網絡攻擊的檢測方法、裝置、設備及存儲介質，以實現對反彈式網絡攻擊的檢測，提高目標主機的安全性。

第一方面，本發明實施例提供一種反彈式網絡攻擊的檢測方法，包括：

獲取由目標主機發起建立的鏈路中的網絡會話報文；

從所述網絡會話報文中識別疑似攻擊請求報文；

檢測所述疑似攻擊請求報文中是否存在攻擊特征。

可選的，所述網絡會話報文包括會話請求報文和會話響應報文，所述從所述網絡會話報文中識別疑似攻擊請求報文，包括：

獲取所述鏈路中的第一個會話請求報文；

判斷所述第一個會話請求報文是否為疑似攻擊請求報文；

在判斷出所述第一個會話請求報文不是疑似攻擊請求報文后，獲取所述鏈路中的至少一個會話響應報文作為疑似攻擊請求報文。

可選的，所述判斷所述第一個會話請求報文是否為疑似攻擊請求報文，包括：

判斷所述第一個會話請求報文的發起方是否為所述目標主機，若是所述目標主機，所述第一個會話請求報文不是疑似攻擊請求報文，若不是所述目標主機，所述第一個會話請求報文是疑似攻擊請求報文。

可選的，所述從所述網絡會話報文中識別疑似攻擊請求報文，包括：

從所述網絡會話報文中識別疑似攻擊請求響應報文對，所述疑似攻擊請求響應報文對包括疑似攻擊請求報文和疑似攻擊響應報文；

在所述疑似攻擊請求報文中檢測出攻擊特征后，檢測所述疑似攻擊請求響應報文對中的疑似攻擊響應報文中是否存在與所述攻擊特征對應的預期響應特征。

可選的，所述從所述網絡會話報文中識別疑似攻擊請求響應報文對，包括：識別所述鏈路中的每個疑似攻擊請求響應報文對；

所述檢測所述疑似攻擊請求報文中是否存在攻擊特征，包括：檢測每個識別疑似攻擊請求響應報文對中的疑似攻擊請求報文中是否存在攻擊特征。

可選的，所述檢測所述疑似攻擊請求報文中是否存在攻擊特征，包括：