【技术实现步骤摘要】
一种旁路防护方法及装置
本申请涉及通信
,尤其涉及一种旁路防护方法及装置。
技术介绍
旁路防护技术是指采用旁路侦听的方式来获取网络链路中的流量,并进一步通过协议内容还原、检测还原内容中是否违反安全策略,对违反安全策略的会话执行相应的动作,以起到防护的作用。目前旁路防护技术采取的方案,都是通过交换机或者分光设备将网络链路的流量镜像一份到旁路防护设备,当旁路防护设备检测到有违反安全策略的恶意流量时,伪造可以结束当前会话的数据包注入到网络中以结束此会话。然而上述技术方案存在一个较大的缺陷,由于流入旁路防护设备的流量全部是镜像流量,当旁路防护设备检测到有违反安全策略的恶意流量,并伪造结束当前会话的数据包注入到网络中时,因其处理时间较长,往往会导致恶意流量比结束会话的数据包要先到达目的地,导致攻击效果达成。若攻击源不断地使用新会话传输恶意数据,从而可以达到持续攻击的目的。
技术实现思路
有鉴于此,本申请提供一种旁路防护方法及装置,来解决攻击源持续对攻击对象发起攻击的问题。具体地,本申请是通过如...
【技术保护点】
1.一种旁路防护方法,其特征在于,所述方法应用于旁路防护设备,该方法包括:/n获取用户主机发往服务器的报文所对应的镜像报文;/n获取所述镜像报文携带的用户主机标识,在本地查找是否存在与所述用户主机标识对应的历史处理动作;/n如果查找到所述历史处理动作,执行所述历史处理动作,以断开所述用户主机与服务器之间的会话连接。/n
【技术特征摘要】
1.一种旁路防护方法,其特征在于,所述方法应用于旁路防护设备,该方法包括:
获取用户主机发往服务器的报文所对应的镜像报文;
获取所述镜像报文携带的用户主机标识,在本地查找是否存在与所述用户主机标识对应的历史处理动作;
如果查找到所述历史处理动作,执行所述历史处理动作,以断开所述用户主机与服务器之间的会话连接。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果未查找到所述历史处理动作,则基于预设的安全策略确定所述镜像报文对应的当前处理动作,执行所述当前处理动作;
当所述当前处理动作不为放行动作时,记录所述镜像报文的用户主机标识,记录所述当前处理动作作为所述用户主机标识对应的历史处理动作。
3.根据权利要求2所述的方法,其特征在于,当所述当前处理动作不为放行动作时,记录所述镜像报文的用户主机标识,记录所述当前处理动作作为所述用户主机标识对应的历史处理动作,进一步包括:
为所述历史处理动作添加老化时间;
所述在本地查找是否存在与所述用户主机标识对应的历史处理动作,进一步包括:
当本地记录的所述历史处理动作老化时,删除所述用户主机标识以及对应的历史处理动作;
如果查找到所述历史处理动作,所述方法还包括:
更新所述历史处理动作的老化时间。
4.根据权利要求1所述的方法,其特征在于,所述执行所述历史处理动作,以断开所述用户主机与服务器之间的会话连接,具体包括:
当所述历史处理动作为阻断动作时,伪造镜像报文对应的双向RESET报文分别发送至用户主机和服务器,以断开所述用户主机与服务器之间的会话连接。
5.根据权利要求1所述的方法,其特征在于,所述执行所述历史处理动作,以断开所述用户主机与服务器之间的会话连接,具体包括:
当所述历史处理动作为推送动作时,伪造镜像报文对应的双向RESET报文分...
【专利技术属性】
技术研发人员:吴庆,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。