本發明公開了一種旁路阻斷方法、裝置、電子設備和存儲介質，該方法包括：獲取當前會話中的業務報文；若業務報文與阻斷規則成功匹配，則應用阻斷規則阻斷業務報文；其中，阻斷規則是基于阻斷學習規則，根據之前獲取的當前會話中的攻擊報文生成的。提高了阻斷效率，降低了阻斷設備和會話網絡的負荷。

技術領域

本發明涉及網絡會話傳輸領域，特別涉及一種旁路阻斷方法、裝置、電子設備和存儲介質。

背景技術

旁路阻斷技術是采用旁路偵聽的方式來獲取通過防火墻設備的所有數據包，通過協議內容還原，分析識別還原內容中的非法信息，并進行相應的阻斷?，F有網絡會話中的旁路阻斷技術多采用旁路安全設備發送TCP(Transmission Control Protocol，傳輸控制協議)RST(Reset the connection，復位連接)報文來阻斷TCP會話，或者，發送ICMP(InternetControl Message Protocol，互聯網控制消息)端口不可達報文來干擾UDP(User DatagramProtocol，用戶數據包報協議)會話的方式。

但是，上述阻斷TCP會話的方式中，由于用戶網絡業務報文從交換設備鏡像到旁路安全設備，到旁路安全設備收到并分析TCP會話報文，再到發送RST報文到用戶業務網絡，以及RST報文傳輸到TCP會話雙方都需要一定的時間。而這段時間很可能使得當RST到達會話端點時，對應的TCP會話可能早已結束，從而導致會話阻斷失敗，造成阻斷率低的問題。另外，即使RST報文在TCP會話結束前到達會話端點，RST報文的序列號也必須要在落在TCP會話的滑動窗口有效區間內才能被TCP協議棧認為是有效的報文，否則RST報文會被協議棧丟棄。而這往往要求安全設備在發送RST阻斷報文時，需要對RST報文的序列號進行預測。為了提高RST報文序列號的有效性，安全設備往往會發送多個不同序列號的RST報文來實施阻斷，并且還不能保證100％會阻斷成功。RST報文只能針對當前會話進行阻斷，而攻擊者可能會持續對用戶業務進行攻擊，這樣，造成設備負荷量大。

另外，上述阻斷UDP會話的方式中，由于UDP的攻擊者完全可以無視旁路安全設備發出的ICMP干擾報文，而選擇繼續攻擊。因此，這種UDP旁路阻斷方式基本無效。同時，這種阻斷方式與和TCP的RST阻斷方式一樣，存在安全設備處理性能問題。

發明內容

本發明提供一種旁路阻斷方法、裝置、電子設備和存儲介質，以解決相關技術中的旁路阻斷技術中阻斷效率低、阻斷設備和會話網絡負荷量大的問題。

第一方面，本申請實施例提供了一種旁路阻斷方法，該方法包括：

獲取當前會話中的業務報文；

若所述業務報文與阻斷規則成功匹配，則應用阻斷規則阻斷所述業務報文；

其中，所述阻斷規則是基于阻斷學習規則，根據之前獲取的當前會話中的攻擊報文生成的。

本申請實施例中，通過將當前會話中的業務報文與阻斷規則進行匹配，在匹配成功時進行阻斷，對凡是符合阻斷規則的業務報文均可以進行阻斷，不會由于超時沒收到阻斷報文而阻斷失敗，可以提高阻斷效率；另外，阻斷報文無需傳輸到會話雙方終端，也無需每次對業務報文進行安全性分析，這樣可以降低阻斷設備和會話網絡的負荷。

在一些示例性的實施方式中，通過下述方式生成所述阻斷規則：

根據獲取的所述攻擊報文生成對應的阻斷報文；

應用阻斷學習規則，識別所述阻斷報文的特征，并根據識別的所述阻斷報文的特征生成與所述阻斷報文匹配的阻斷規則。

上述實施例，應用阻斷學習規則學習攻擊報文對應的阻斷報文的特征，生成對應的阻斷規則。這樣，阻斷規則就可以用來阻斷符合阻斷規則的任何業務報文，而不局限與阻斷某條報文。