(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111460071.6 (22)申请日 2021.12.02 (71)申请人 湖北天融信网络安全技 术有限公司 地址 430040 湖北省武汉市临 空港经济技 术开发区五环大道6 66号(21) 申请人 北京天融信网络安全技 术有限公司 　 北京天融信科技有限公司 　 北京天融信软件 有限公司 (72)发明人 闵波　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 代理人 李飞 (51)Int.Cl. H04L 9/40(2022.01) H04L 69/164(2022.01)H04L 69/22(2022.01) G06F 16/901(2019.01) G06F 16/903(2019.01) (54)发明名称 一种防御方法、 装置、 电子设备及存 储介质 (57)摘要 本申请实施例提供一种防御方法、 装置、 电 子设备及存储介质， 涉及网络安全技术领域。 该 方法包括对接收到的流量进行协议解析， 以获得 应用层协议报文； 利用预设的静态指纹库对所述 报文进行识别； 若识别不成功， 则利用预设的动 态指纹库进行识别， 以对所述流量进行防御， 将 静态指纹和动态指纹相结合对报文进行全面检 测， 从而提高了检测准确率， 解决了现有方法检 测准确度不高且检测不全面的问题。 权利要求书2页 说明书7页 附图4页 CN 114124562 A 2022.03.01 CN 114124562 A 1.一种防御方法， 其特 征在于， 所述方法包括： 对接收到的流 量进行协议 解析， 以获得应用层协议报文； 利用预设的静态指纹库对所述报文 进行识别； 若识别不成功， 则 利用预设的动态指纹库进行识别， 以对所述 流量进行防御。 2.根据权利要求1所述的防御方法， 其特 征在于， 所述方法还 包括建立静态指纹库： 提取标准应用协议报文的报文特征， 所述报文特征为所有标准应用协议报文的共有特 征； 利用所述报文特 征生成静态 协议指纹库。 3.根据权利要求1所述的防御方法， 其特 征在于， 所述方法还 包括建立动态指纹库： 对非标准应用协议报文 进行动态指纹学习， 以生成动态指纹库。 4.根据权利要求3所述的防御方法， 其特征在于， 所述对非标准应用协议进行动态指纹 学习， 以生成动态指纹库， 包括： 根据配置的偏移量截取 所述非标准应用协议报文的字节数据； 在Map数据结构中查询所述字节数据是否存在； 若存在， 则将所述字节数据的命中次数加1； 若所述字节数据的命中次数超过预设阈值， 则确定所述字节数据为有效指纹， 将所述 字节数据的偏移量加1， 并对当前动态指纹库进行 更新。 5.根据权利要求4所述的防御方法， 其特征在于， 所述对非标准应用协议进行动态指纹 学习， 以生成动态指纹库， 还 包括： 若所述字节数据不存在于所述Map数据结构中， 则判断Map数据结构的容量是否已达到 预设容量； 若没有达 到， 则将所述字节数据存 入Map数据结构中； 若达到， 则将所述字节数据替换Map数据结构中命中次数最少的指纹数据。 6.一种防御装置， 其特 征在于， 所述装置包括： 解析模块， 用于对接收到的流 量进行协议 解析， 以获得应用层协议报文； 第一识别模块， 用于利用预设的静态指纹库对所述报文 进行识别； 第二识别模块， 用于若识别不成功， 则利用预设的动态指纹库进行识别， 以对所述流量 进行防御。 7.根据权利要求6所述的防御装置， 其特 征在于， 所述装置还 包括： 特征提取模块， 用于提取标准应用协议报文的报文特征， 所述报文特征为所有标准应 用协议报文的共有特 征； 静态指纹库构建模块， 用于利用所述报文特 征生成静态 协议指纹库。 8.根据权利要求6所述的防御装置， 其特 征在于， 所述装置还 包括： 动态指纹库构建模块， 用于对非标准应用协议报文进行动态指纹学习， 以生成动态指 纹库。 9.一种电子设备， 其特征在于， 所述电子设备包括存储器以及处理器， 所述存储器用于 存储计算机程序， 所述处理器运行所述计算机程序以使所述电子设备执行根据权利要求1 至5中任一项所述的防御方法。 10.一种可读存储介质， 其特征在于， 所述可读存储介质中存储有计算机程序指令， 所权　利　要　求　书 1/2 页 2 CN 114124562 A 2述计算机程序指令被一处 理器读取并运行时， 执 行权利要求1至 5任一项所述的防御方法。权　利　要　求　书 2/2 页 3 CN 114124562 A 3