[发明专利]反射攻击防护方法、系统、介质和电子设备

权利要求书

1.一种反射攻击防护方法，其特征在于，包括：

对流入服务器的入向流量进行镜像得到镜像流量；

对所述镜像流量进行自学习，以目的IP为统计对象，统计每个所述目的IP的源端口中存在业务流量的源端口作为所述目的IP对应的基线数据；

对所述镜像流量进行分析，以检测所述目的IP是否遭受TCP反射攻击；

若检测到所述目的IP遭受所述TCP反射攻击，则基于所述目的IP对应的基线数据进行反射攻击防护。

2.根据权利要求1所述的方法，其特征在于，所述对所述镜像流量进行自学习，以目的IP为统计对象，统计每个所述目的IP的源端口中存在业务流量的源端口作为所述目的IP对应的基线数据，包括：

对所述镜像流量进行过滤得到属于预设反射端口列表的目标镜像流量，所述预设反射端口列表用于维护被攻击利用的TCP反射的端口；

从所述目标镜像流量进行数据去脏处理得到目标纯净镜像流量，所述数据去脏处理用于从所述目标镜像流量中剔除与网络攻击告警相关的流量；

以所述目的IP的源端口为统计对象，基于所述目标纯净镜像流量来统计所述目的IP的各个源端口在第一时间周期内的纯净流量；

以所述目的IP为统计对象，统计所述纯净流量达到所述预设流量阈值的源端口，作为所述目的IP对应的基线数据。

3.根据权利要求1所述的方法，其特征在于，所述对所述镜像流量进行分析，以检测所述目的IP是否遭受TCP反射攻击，包括：

以所述目的IP为统计对象，统计所述目的IP相关的匹配命中预设反射端口列表的命中流量总量，所述预设反射端口列表用于维护被攻击利用的TCP反射的端口；

统计所述目的IP相关的入向流量和出向流量的流量比值；

当所述命中流量总量大于第一阈值，且所述流量比值大于第二阈值时，确定所述目的IP遭受所述TCP反射攻击，其中，所述第二阈值大于1。

4.根据权利要求1所述的方法，其特征在于，所述对所述镜像流量进行分析，以检测所述目的IP是否遭受TCP反射攻击，包括：

以所述目的IP为统计对象，统计所述目的IP相关的匹配命中预设反射端口列表的命中流量总量，所述预设反射端口列表用于维护被攻击利用的TCP反射的端口；

当所述命中流量总量大于第一阈值，确定所述目的IP遭受所述TCP反射攻击。

5.根据权利要求1所述的方法，其特征在于，所述若检测到所述目的IP遭受所述TCP反射攻击，则基于所述目的IP对应的基线数据进行反射攻击防护，包括：

当检测到所述目的IP遭受所述TCP反射攻击，发起防护指令，所述防护指令用于指示针对所述目的IP启动防护；

响应于所述防护指令，根据所述防护指令中指示的目的IP，查找该目的IP所对应的基线数据，基于该目的IP所对应的基线数据，对该目的IP的入向流量进行检查，拦截该目的IP的入向流量中命中预设反射端口列表但未命中所述基线数据的源端口的流量，所述预设反射端口列表用于维护被攻击利用的TCP反射的端口。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

当检测出所述目的IP不再遭受所述TCP反射攻击时，则自动停止所述拦截动作。

7.根据权利要求2所述的方法，其特征在于，在所述从所述目标镜像流量进行数据去脏处理得到目标纯净镜像流量之前，所述方法还包括：

对所述目标镜像流量进行数据去噪处理，其中，所述数据去噪处理用于从所述目标镜像流量中剔除每分钟报文数小于第三阈值的数据记录。

8.一种反射攻击防护系统，其特征在于，包括：

镜像模块，用于对流入服务器的入向流量进行镜像得到镜像流量；

防护模块，用于对所述镜像流量进行自学习，以目的IP为统计对象，统计每个所述目的IP的源端口中存在业务流量的源端口作为所述目的IP对应的基线数据，对所述镜像流量进行分析，以检测所述目的IP是否遭受TCP反射攻击，若检测到所述目的IP遭受所述TCP反射攻击，则基于所述目的IP对应的基线数据进行反射攻击防护。