本發明實施例提供了一種反彈式網絡攻擊的防護方法、裝置、計算機設備、系統及存儲介質。其方法包括：獲取由目標主機發起建立的鏈路中的網絡會話報文；從所述網絡會話報文中識別疑似攻擊請求響應報文對；對其進行攻擊檢測，若確定攻擊成功，將該鏈接的端口號發送給目標主機，以便目標主機結束該端口號對應的進程。本發明實施例中，不僅可以實現對反彈式網絡攻擊的檢測，還可以進行相應的攻擊防護，降低目標主機的安全風險。

技術領域

本發明實施例涉及網絡安全技術領域，尤其涉及一種反彈式網絡攻擊的防護方法、裝置、設備、系統及存儲介質。

背景技術

隨著計算機技術的不斷發展和互聯網的普及，網絡攻擊形式層出不窮，網絡安全問題日益突出，造成的社會影響和經濟損失越來越大，對網絡威脅檢測與防御提出了新的需求和挑戰。

反彈式網絡攻擊是一種危險的網絡攻擊方式，以反彈shell(殼)攻擊為例，其攻擊方式是：攻擊者通過一臺主機向目標主機發送網絡命令，該網絡命令中不包含攻擊指令，但指示目標主機向攻擊者的另一臺主機發送網絡請求，由另一臺主機實施攻擊。

上述反彈式網絡攻擊是單向流量，即由攻擊者的一臺主機到目標主機，再由目標主機到攻擊者的另一臺主機，難以通過傳統檢測方法檢測，更難以進行有效防護。

發明內容

本發明實施例提供及一種反彈式網絡攻擊的檢測方法、裝置、設備及存儲介質，以實現對反彈式網絡攻擊的檢測及防護，提高目標主機的安全性。

第一方面，本發明實施例提供一種反彈式網絡攻擊的防護方法，包括：

獲取由目標主機發起建立的鏈路中的網絡會話報文；

從所述網絡會話報文中識別疑似攻擊請求響應報文對，所述疑似攻擊請求響應報文對包括疑似攻擊請求報文和疑似攻擊響應報文；

檢測所述疑似攻擊請求報文中是否存在攻擊特征；

在所述疑似攻擊請求報文中檢測出攻擊特征后，檢測所述疑似攻擊請求響應報文對中的疑似攻擊響應報文中是否存在與所述攻擊特征對應的預期響應特征；

在所述疑似攻擊響應報文中檢測出所述預期響應特征后，向目標主機發送所述鏈路對應的端口號，所述端口號用于目標主機查找并結束對應的進程。

可選的，所述網絡會話報文包括會話請求報文和會話響應報文，所述從所述網絡會話報文中識別疑似攻擊請求響應報文對，包括：

獲取所述鏈路中的第一個會話請求報文；

判斷所述第一個會話請求報文是否為疑似攻擊請求報文；

在判斷出所述第一個會話請求報文不是疑似攻擊請求報文后，獲取所述鏈路中的至少一個會話響應報文及會話響應報文之后的第一個會話請求報文作為疑似攻擊請求響應報文對；

在判斷出所述第一個會話請求報文是疑似攻擊請求報文后，獲取所述鏈路中的至少一個會話請求報文及對應的會話響應報文作為疑似攻擊請求響應報文對。

可選的，所述判斷所述第一個會話請求報文是否為疑似攻擊請求報文，包括：

判斷所述第一個會話請求報文的發起方是否為所述目標主機，若是所述目標主機，所述第一個會話請求報文不是疑似攻擊請求報文，若不是所述目標主機，所述第一個會話請求報文是疑似攻擊請求報文。

可選的，所述從所述網絡會話報文中識別疑似攻擊請求響應報文對，包括：識別所述鏈路中的每個疑似攻擊請求響應報文對；

所述檢測所述疑似攻擊請求報文中是否存在攻擊特征，包括：檢測每個識別疑似攻擊請求響應報文對中的疑似攻擊請求報文中是否存在攻擊特征。

可選的，所述檢測所述疑似攻擊請求報文中是否存在攻擊特征，包括：