本申請涉及計算機技術(shù)領域，具體涉及互聯(lián)網(wǎng)技術(shù)領域，尤其涉及用于檢測網(wǎng)絡攻擊的方法和裝置。

背景技術(shù)：

網(wǎng)絡攻擊，通常是指對網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊，網(wǎng)絡攻擊的范圍可以從簡單的使服務器無法提供正常的服務到完全破壞、控制服務器。隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡攻擊的方式也越來越多樣，這些網(wǎng)絡攻擊不僅影響網(wǎng)絡傳輸?shù)馁|(zhì)量，占用大量帶寬資源，而且影響服務器對用戶提供的服務質(zhì)量。

然而，現(xiàn)有的用于檢測網(wǎng)絡攻擊的方式，通常存在著以下問題：確定網(wǎng)絡攻擊的攻擊源信息或攻擊目標信息的速度較慢。

技術(shù)實現(xiàn)要素：

本申請的目的在于提出一種改進的用于檢測網(wǎng)絡攻擊的方法和裝置，來解決以上背景技術(shù)部分提到的技術(shù)問題。

第一方面，本申請實施例提供了一種用于檢測網(wǎng)絡攻擊的方法，所述方法包括：確定目標機房的流量特征信息；根據(jù)所述流量特征信息，確定所述目標機房是否受到網(wǎng)絡攻擊；響應于確定所述目標機房受到網(wǎng)絡攻擊，獲取所述目標機房接收到的數(shù)據(jù)請求的請求特征信息；根據(jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息。

在一些實施例中，所述請求特征信息包括以下至少一項：所述數(shù)據(jù)請求發(fā)自的源網(wǎng)際協(xié)議地址、所述數(shù)據(jù)請求發(fā)至的目的網(wǎng)際協(xié)議地址、傳輸所述數(shù)據(jù)請求所利用的傳輸協(xié)議的協(xié)議類型。

在一些實施例中，所述根據(jù)所確定的第一流量，確定該源網(wǎng)際協(xié)議地址是否是所述攻擊源信息，包括：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，確定所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第一流量；根據(jù)所確定的第一流量，確定該源網(wǎng)際協(xié)議地址是否是所述攻擊源信息。

在一些實施例中，所述根據(jù)所確定的第一流量，確定該源網(wǎng)際協(xié)議地址是否是所述攻擊源信息，還包括：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，在所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求的請求特征信息中，查找預設協(xié)議類型；確定利用查找到的預設協(xié)議類型的傳輸協(xié)議傳輸?shù)臄?shù)據(jù)請求所產(chǎn)生的第二流量是否大于預設第二流量閾值；響應于確定所述第二流量大于預設第二流量閾值，確定該源網(wǎng)際協(xié)議地址為攻擊源信息。

在一些實施例中，所述根據(jù)所確定的第一流量，確定該源網(wǎng)際協(xié)議地址是否是所述攻擊源信息，還包括：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，響應于確定該源網(wǎng)際協(xié)議地址為攻擊源信息，獲取所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求的請求特征信息中的至少一個目的網(wǎng)際協(xié)議地址；對于所述至少一個目的網(wǎng)際協(xié)議地址中的每個目的網(wǎng)際協(xié)議地址，確定發(fā)至該目的網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第三流量是否大于預設第三流量閾值；響應于確定所述第三流量大于預設第三流量閾值，確定該目的網(wǎng)際協(xié)議地址為攻擊目標信息。

在一些實施例中，所述流量特征信息包括以下至少一項：當前流量值、預定歷史時刻的流量值、當前時刻之前的預定時間段內(nèi)的流量平均值，所述目標機房內(nèi)設置有交換機；以及所述確定目標機房的流量特征信息，包括：通過所述目標機房內(nèi)設置的交換機的計數(shù)信息，確定所述目標機房的流量信息，其中，所述流量信息包括采集時間和流量值；根據(jù)所確定的流量信息，確定所述流量特征信息。

在一些實施例中，所述根據(jù)所述流量特征信息，確定所述目標機房是否受到網(wǎng)絡攻擊，包括：將所述流量特征信息導入預先建立的流量異常檢測模型，得到用于指示所述目標機房是否受到網(wǎng)絡攻擊的指示信息，其中，所述流量異常檢測模型用于表征流量特征信息和指示信息之間的對應關系。

在一些實施例中，所述方法還包括建立流量異常檢測模型的步驟，其中，所述建立流量異常檢測模型的步驟包括：獲取已知指示信息的所述目標機房的流量特征信息；利用機器學習算法，基于所獲取的流量特征信息及對應的指示信息，訓練初始模型得到所述流量異常檢測模型。

第二方面，本申請實施例提供了一種用于檢測網(wǎng)絡攻擊的裝置，所述裝置包括：流量特征信息確定單元，用于確定目標機房的流量特征信息；網(wǎng)絡攻擊確定單元，用于根據(jù)所述流量特征信息，確定所述目標機房是否受到網(wǎng)絡攻擊；獲取單元，用于響應于確定所述目標機房受到網(wǎng)絡攻擊，獲取所述目標機房接收到的數(shù)據(jù)請求的請求特征信息；攻擊信息確定單元，用于根據(jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息。

在一些實施例中，所述請求特征信息包括以下至少一項：所述數(shù)據(jù)請求發(fā)自的源網(wǎng)際協(xié)議地址、所述數(shù)據(jù)請求發(fā)至的目的網(wǎng)際協(xié)議地址、傳輸所述數(shù)據(jù)請求所利用的傳輸協(xié)議的協(xié)議類型。

在一些實施例中，所述攻擊信息確定單元，用于：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，確定所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第一流量；根據(jù)所確定的第一流量，確定該源網(wǎng)際協(xié)議地址是否是所述攻擊源信息。

在一些實施例中，所述攻擊信息確定單元，還用于：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，在所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求的請求特征信息中，查找預設協(xié)議類型；確定利用查找到的預設協(xié)議類型的傳輸協(xié)議傳輸?shù)臄?shù)據(jù)請求所產(chǎn)生的第二流量是否大于預設第二流量閾值；響應于確定所述第二流量大于預設第二流量閾值，確定該源網(wǎng)際協(xié)議地址為攻擊源信息。

在一些實施例中，所述攻擊信息確定單元，還用于：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，響應于確定該源網(wǎng)際協(xié)議地址為攻擊源信息，獲取所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求的請求特征信息中的至少一個目的網(wǎng)際協(xié)議地址；對于所述至少一個目的網(wǎng)際協(xié)議地址中的每個目的網(wǎng)際協(xié)議地址，確定發(fā)至該目的網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第三流量是否大于預設第三流量閾值；響應于確定所述第三流量大于預設第三流量閾值，確定該目的網(wǎng)際協(xié)議地址為攻擊目標信息。

在一些實施例中，所述流量特征信息包括以下至少一項：當前流量值、預定歷史時刻的流量值、當前時刻之前的預定時間段內(nèi)的流量平均值，所述目標機房內(nèi)設置有交換機；以及所述流量特征信息確定單元，用于：通過所述目標機房內(nèi)設置的交換機的計數(shù)信息，確定所述目標機房的流量信息，其中，所述流量信息包括采集時間和流量值；根據(jù)所確定的流量信息，確定所述流量特征信息。

在一些實施例中，所述網(wǎng)絡攻擊確定單元，用于：將所述流量特征信息導入預先建立的流量異常檢測模型，得到用于指示所述目標機房是否受到網(wǎng)絡攻擊的指示信息，其中，所述流量異常檢測模型用于表征流量特征信息和指示信息之間的對應關系。

在一些實施例中，所述裝置還包括建立單元，用于建立流量異常檢測模型，其中，所述建立流量異常檢測模型包括：獲取已知指示信息的所述目標機房的流量特征信息；利用機器學習算法，基于所獲取的流量特征信息及對應的指示信息，訓練初始模型得到所述流量異常檢測模型。

第三方面，本申請實施例提供了一種設備/終端/服務器所述設備/終端/服務器包括：一個或多個處理器；存儲裝置，用于存儲一個或多個程序，當所述一個或多個程序被所述一個或多個處理器執(zhí)行，使得所述一個或多個處理器實現(xiàn)如第一方面的方法。

第四方面，本申請實施例提供了一種計算機可讀存儲介質(zhì)，其上存儲有計算機程序，該程序被處理器執(zhí)行時實現(xiàn)如第一方面的方法。

本申請實施例提供的用于檢測網(wǎng)絡攻擊的方法和裝置，通過確定目標機房的流量特征信息；根據(jù)所述流量特征信息，確定所述目標機房是否受到網(wǎng)絡攻擊；響應于確定所述目標機房受到網(wǎng)絡攻擊，獲取所述目標機房接收到的數(shù)據(jù)請求的請求特征信息；根據(jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息，從而，可以在目標機房受到網(wǎng)絡攻擊時，快速確定網(wǎng)絡攻擊的攻擊源和/或攻擊目標。

附圖說明

通過閱讀參照以下附圖所作的對非限制性實施例所作的詳細描述，本申請的其它特征、目的和優(yōu)點將會變得更明顯：

圖1是本申請可以應用于其中的示例性系統(tǒng)架構(gòu)圖；

圖2是根據(jù)本申請的用于檢測網(wǎng)絡攻擊的方法的一個實施例的流程圖；

圖3是根據(jù)本申請的用于檢測網(wǎng)絡攻擊的方法的一個應用場景的示意圖；

圖4是根據(jù)本申請的用于檢測網(wǎng)絡攻擊的方法的又一個實施例的流程圖；

圖5是根據(jù)本申請的用于檢測網(wǎng)絡攻擊的裝置的一個實施例的結(jié)構(gòu)示意圖；

圖6是適于用來實現(xiàn)本申請實施例的監(jiān)控服務器的計算機系統(tǒng)的結(jié)構(gòu)示意圖。

具體實施方式

下面結(jié)合附圖和實施例對本申請作進一步的詳細說明?？梢岳斫獾氖?，此處所描述的具體實施例僅僅用于解釋相關發(fā)明，而非對該發(fā)明的限定。另外還需要說明的是，為了便于描述，附圖中僅示出了與有關發(fā)明相關的部分。

需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互組合。下面將參考附圖并結(jié)合實施例來詳細說明本申請。本領域技術(shù)人員還將理解的是，雖然本文中可使用用語“第一”、“第二”“第三”等來描述各種流量、流量閾值等信息，但是這些流量、流量閾值等不應被這些用語限制。這些用語僅用于將一個流量、流量閾值等與其它流量、流量閾值等區(qū)分開。

圖1示出了可以應用本申請的用于檢測網(wǎng)絡攻擊的方法或用于檢測網(wǎng)絡攻擊的裝置的實施例的示例性系統(tǒng)架構(gòu)100。

如圖1所示，系統(tǒng)架構(gòu)100可以包括終端設備101、102、103，網(wǎng)絡104，服務器105、106和監(jiān)控服務器107。網(wǎng)絡104用以在終端設備101、102、103和服務器105、106之間提供通信鏈路的介質(zhì)。網(wǎng)絡104可以包括各種連接類型，例如有線、無線通信鏈路或者光纖電纜等等。

需要說明的是，服務器105、106可以位于同一機房，圖1中的矩形框用于表示上述機房。監(jiān)控服務器107用于監(jiān)控上述機房。監(jiān)控服務器107可以位于上述機房內(nèi)，也可以位于上述機房外。網(wǎng)絡104還可以用以在監(jiān)控服務器107與上述機房中的用于數(shù)據(jù)采集或數(shù)據(jù)存儲的電子設備之間提供通信鏈路的介質(zhì)。

用戶110可以使用終端設備101、102、103通過網(wǎng)絡104與服務器105、106交互，以接收或發(fā)送消息等。終端設備101、102、103上可以安裝有各種客戶端應用，例如郵件類應用、游戲類應用、即時通信類應用、視頻播放類應用、搜索引擎類應用等。

需要說明的是，在本申請的檢測網(wǎng)絡攻擊這一實際場景中，發(fā)起網(wǎng)絡攻擊的用戶通常為惡意發(fā)送大量數(shù)據(jù)請求的用戶。用戶所利用的終端設備可以是具有強大計算功能的電子設備，甚至是服務器。終端設備101、102、103可以是具有顯示屏并且支持交互功能的各種電子設備，包括但不限于智能手機、平板電腦、電子書閱讀器、MP3播放器(Moving Picture Experts Group Audio Layer III，動態(tài)影像專家壓縮標準音頻層面3)、MP4(Moving Picture Experts Group Audio Layer IV，動態(tài)影像專家壓縮標準音頻層面4)播放器、膝上型便攜計算機和臺式計算機等等。

服務器105、106可以是提供各種服務的服務器，例如對終端設備101、102、103提供支持的后臺服務器。后臺服務器可以接收終端設備的數(shù)據(jù)請求并進行數(shù)據(jù)處理，并將處理結(jié)果(例如數(shù)據(jù)請求的請求結(jié)果)反饋給終端設備。

監(jiān)控服務器107可以從上述機房中的用于數(shù)據(jù)采集或數(shù)據(jù)存儲的電子設備獲取流量特征信息和請求特征信息，并由此確定上述機房的網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息。

需要說明的是，本申請實施例所提供的用于檢測網(wǎng)絡攻擊的方法一般由監(jiān)控服務器107執(zhí)行，相應地，用于檢測網(wǎng)絡攻擊的裝置一般設置于監(jiān)控服務器107中。

應該理解，圖1中的終端設備、網(wǎng)絡、服務器和監(jiān)控服務器的數(shù)目僅僅是示意性的。根據(jù)實現(xiàn)需要，可以具有任意數(shù)目的終端設備、網(wǎng)絡、服務器和監(jiān)控服務器。

繼續(xù)參考圖2，示出了根據(jù)本申請的用于檢測網(wǎng)絡攻擊的方法的一個實施例的流程200。所述的用于檢測網(wǎng)絡攻擊的方法，包括以下步驟：

步驟201，確定目標機房的流量特征信息。

在本實施例中，用于檢測網(wǎng)絡攻擊的方法運行于其上的電子設備(例如圖1所示的監(jiān)控服務器)可以確定上述電子設備所監(jiān)控的目標機房的流量的流量特征信息。

在本實施例中，上述流量可以是目標機房中的服務器接收到的數(shù)據(jù)請求和發(fā)送出的數(shù)據(jù)所產(chǎn)生的流量。上述流量還可以是目標機房中的服務器接收的數(shù)據(jù)請求所產(chǎn)生的流量。上述流量還可以是目標機房中的服務器發(fā)送的請求結(jié)果所產(chǎn)生的流量。

在本實施例中，上述流量特征信息可以是用于描述與上述流量有關的一些關鍵要素的信息。

在本實施例的一些可選的實現(xiàn)方式中，流量特征信息可以包括但不限于：當前流量值、預定歷史時刻的流量值、當前時刻之前的預定時間段內(nèi)的流量平均值。

在本實施例中，上述監(jiān)控服務器可以從機房中的一些用于數(shù)據(jù)采集或數(shù)據(jù)存儲的電子設備中獲取流量特征信息；上述監(jiān)控服務器也可以自身具有監(jiān)控目標機房接收到的數(shù)據(jù)請求，并確定上述數(shù)據(jù)請求所產(chǎn)生的流量的流量特征信息的功能，進而從本地獲取上述流量特征信息。

步驟202，根據(jù)流量特征信息，確定目標機房是否受到網(wǎng)絡攻擊。

在本實施例中，用于檢測網(wǎng)絡攻擊的方法運行于其上的電子設備(例如圖1所示的監(jiān)控服務器)可以根據(jù)流量特征信息，確定目標機房是否受到網(wǎng)絡攻擊。

需要說明的是，確定目標機房是否受到網(wǎng)絡攻擊可以理解為：目標機房中設置的服務器是否受到網(wǎng)絡攻擊。目標機房可以設置多個服務器或多個服務器集群。在目標機房接收到的總流量出現(xiàn)異常時，不能確定立即確定是機房中的哪個服務器或服務器集群受到網(wǎng)絡攻擊，因此需要快速定位是機房中哪個服務器或服務器集群受到網(wǎng)絡攻擊。

在本實施例的一些可選的實現(xiàn)方式中，根據(jù)流量特征信息，確定目標機房是否受到網(wǎng)絡攻擊，可以通過以下方式實現(xiàn)：確定當前流量值是否大于預設流量閾值，響應于確定當前流量值大于預設流量閾值，確定上述目標機房受到網(wǎng)絡攻擊。

步驟203，響應于確定目標機房受到網(wǎng)絡攻擊，獲取目標機房接收到的數(shù)據(jù)請求的請求特征信息。

在本實施例中，用于檢測網(wǎng)絡攻擊的方法運行于其上的電子設備(例如圖1所示的監(jiān)控服務器)可以響應于確定目標機房受到網(wǎng)絡攻擊，獲取目標機房接收到的數(shù)據(jù)請求的請求特征信息。

在本實施例中，目標機房接收到的數(shù)據(jù)請求可以是發(fā)送至目標機房中的服務器的數(shù)據(jù)請求。上述數(shù)據(jù)請求的請求特征信息可以用于描述數(shù)據(jù)請求的一些關鍵要素的信息。

在本實施例中，上述監(jiān)控服務器可以從機房中的一些用于數(shù)據(jù)采集或數(shù)據(jù)存儲的電子設備中獲取請求特征信息。上述監(jiān)控服務器也可以自身具有監(jiān)控目標機房接收到的數(shù)據(jù)請求并提取請求特征信息的功能，進而從本地獲取上述請求特征信息。

在本實施例的一些可選的實現(xiàn)方式中，上述請求特征信息可以包括但不限于：所述數(shù)據(jù)請求發(fā)自的源網(wǎng)際協(xié)議(Internet Protocol，IP)地址、所述數(shù)據(jù)請求發(fā)至的目的網(wǎng)際協(xié)議地址、所述數(shù)據(jù)請求發(fā)自的源媒體訪問控制(Media Access Control，MAC)地址、所述數(shù)據(jù)請求發(fā)至的目的媒體訪問控制地址、傳輸所述數(shù)據(jù)請求所利用的傳輸協(xié)議的協(xié)議類型、數(shù)據(jù)請求的字節(jié)數(shù)。需要說明的是，網(wǎng)際協(xié)議地址可以是虛擬網(wǎng)際協(xié)議地址(Virtual Internet Protocol Address，VIP)。

在本實施例的一些可選的實現(xiàn)方式中，上述協(xié)議類型包括但不限于傳輸控制協(xié)議(Transmission Control Protocol，TCP)、用戶數(shù)據(jù)包協(xié)議(User Datagram Protocol，UDP)。需要說明的是，源網(wǎng)際協(xié)議地址也可以稱為源IP地址，目的網(wǎng)際協(xié)議地址也可以稱為目的IP地址，源媒體訪問控制也可以稱為源MAC地址、目的媒體訪問控制地址也可以稱為目的MAC地址。

需要說明的，可以一個數(shù)據(jù)請求對應一個用于描述該數(shù)據(jù)請求的請求特征信息。也可以多個數(shù)據(jù)請求的請求對應一個用于描述上述多條數(shù)據(jù)請求的請求特征信息。

步驟204，根據(jù)所獲取的請求特征信息，確定網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息。

在本實施例中，用于檢測網(wǎng)絡攻擊的方法運行于其上的電子設備(例如圖1所示的監(jiān)控服務器)可以所獲取的請求特征信息，確定網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息。

在本實施例中，攻擊源信息可以是用于指示攻擊源的信息，攻擊源可以是終端或服務器等用戶利用其進行網(wǎng)絡攻擊的電子設備，上述攻擊源信息可以包括但不限于攻擊源的網(wǎng)際協(xié)議地址、媒體訪問控制地址。攻擊目標信息可以是用于指示攻擊目標的信息，攻擊目標可以是網(wǎng)絡攻擊所針對的網(wǎng)站或服務所在的服務器，上述攻擊目標信息可以是的網(wǎng)際協(xié)議地址、媒體訪問控制地址。

需要說明的是，在實際應用中，可以只獲取攻擊源信息和/或攻擊目標信息，而不根據(jù)攻擊源信息和/攻擊目標信息進行定位以確定攻擊源和/或攻擊目標。

在本實施例的一些可選的實現(xiàn)方式中，可以在確定攻擊源信息之后，屏蔽具有該攻擊源信息的數(shù)據(jù)請求，及時阻止攻擊源的攻擊。

在本實施例的一些可選的實現(xiàn)方式中，可以根據(jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊源信息?？梢愿鶕?jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊目標信息?？梢愿鶕?jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊源信息和攻擊目標信息。

在本實施例的一些可選的實現(xiàn)方式中，步驟204可以通過以下方式實現(xiàn)：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，確定所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第一流量。響應于確定所確定的第一流量大于預設第一流量閾值，確定該源網(wǎng)際協(xié)議地址是所述攻擊源信息。響應于確定該源網(wǎng)際協(xié)議地址是所述攻擊源信息，確定所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所發(fā)至的目的網(wǎng)際協(xié)議地址是所述攻擊目標信息。需要說明的是，關于如何確定數(shù)據(jù)請求所產(chǎn)生的流量是本領域技術(shù)人員所公知的，在此不再贅述。

繼續(xù)參見圖3，圖3是根據(jù)本實施例的用于檢測網(wǎng)絡攻擊的方法的應用場景的一個示意圖。在圖3的應用場景中，終端301和終端302發(fā)送至目的機房的數(shù)據(jù)請求所產(chǎn)生的流量正常，終端303發(fā)送至目的機房的數(shù)據(jù)請求所產(chǎn)生的流量異常。進行惡意網(wǎng)絡攻擊的用戶可以利用具備強大計算功能的終端303向目標機房中的服務器發(fā)送數(shù)據(jù)請求；監(jiān)控服務器獲取目標機房的流量特征信息；之后，監(jiān)控服務器可以根據(jù)上述流量特征信息，確定上述目標機房是否受到網(wǎng)絡攻擊；然后，上述監(jiān)控服務器可以響應于確定目標機房受到網(wǎng)絡攻擊，獲取目標機房接收到的數(shù)據(jù)請求的請求特征信息；最后，上述監(jiān)控服務器可以根據(jù)上述請求特征信息，確定攻擊源信息(例如終端303的網(wǎng)際協(xié)議地址)和/或攻擊目標信息(例如機房中某個服務器集群的虛擬網(wǎng)際協(xié)議地址)。

本申請的上述實施例提供的方法，通過確定目標機房的流量特征信息；根據(jù)所述流量特征信息，確定所述目標機房是否受到網(wǎng)絡攻擊；響應于確定所述目標機房受到網(wǎng)絡攻擊，獲取所述目標機房接收到的數(shù)據(jù)請求的請求特征信息；根據(jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息，從而，可以在目標機房受到網(wǎng)絡攻擊時，快速確定網(wǎng)絡攻擊的攻擊源和/或攻擊目標。

進一步參考圖4，其示出了用于檢測網(wǎng)絡攻擊的方法的又一個實施例的流程400。該用于檢測網(wǎng)絡攻擊的方法的流程400，包括以下步驟：

步驟401，確定目標機房的流量特征信息。

在本實施例中，用于檢測網(wǎng)絡攻擊的方法運行于其上的電子設備(例如圖1所示的監(jiān)控服務器)可以確定目標機房的流量特征信息。

在本實施例中，所述流量特征信息可以包括但不限于：當前流量值、預定歷史時刻的流量值、當前時刻之前的預定時間段內(nèi)的流量平均值。

在本實施例的一些可選的實現(xiàn)方式中，所述目標機房內(nèi)設置有交換機，步驟401可以通過以下方式實現(xiàn)：通過所述目標機房內(nèi)設置的交換機的計數(shù)信息，確定所述目標機房的流量信息，其中，所述流量信息包括采集時間和流量值；根據(jù)所確定的流量信息，確定所述流量特征信息。

在本實施例的一些可選的實現(xiàn)方式中，通過所述目標機房內(nèi)設置的交換機的計數(shù)信息，確定所述目標機房的流量信息，可以通過以下方式實現(xiàn)：獲取交換機上的計數(shù)器的計數(shù)器信息，將不同時間采集的技術(shù)器信息的差值作為通過該交換機的流量值。

需要注意的是，目標機房內(nèi)設置的交換機的臺數(shù)可以是一臺也可以是多臺。如果目標機房內(nèi)設置多臺交換機，則通過所有交換機的計數(shù)信息確定該目標機房的流量信息。

在本實施例的一些可選的實現(xiàn)方式中，可以設置多臺電子設備采集交換機的交換機上計數(shù)器的計數(shù)器信息。特別地，可以對上述多臺電子設備進行采用負載均衡的方式進行部署，使得上述多臺電子設備中的各個電子設備不出現(xiàn)過載的情況?；蛘?，上述多臺電子設備中有電子設備出現(xiàn)故障，其它電子設備可以替代該故障電子設備。這種負載均衡部署多臺電子設備采集的方式，可以避免單點故障，防止數(shù)據(jù)丟失。

在本實施例的一些可選的實現(xiàn)方式中，根據(jù)所確定的流量信息，確定所述流量特征信息，可以通過以下方式實現(xiàn)：通過采集時間可以確定當前流量值、預定歷史時刻的流量值；對當前時刻之前的預定時間段內(nèi)的流量值進行加和平均，可以得到上述流量平均值。

步驟402，將流量特征信息導入預先建立的流量異常檢測模型，得到用于指示目標機房是否受到網(wǎng)絡攻擊的指示信息。

在本實施例中，用于檢測網(wǎng)絡攻擊的方法運行于其上的電子設備(例如圖1所示的監(jiān)控服務器)可以將流量特征信息導入預先建立的流量異常檢測模型，得到用于指示目標機房是否受到網(wǎng)絡攻擊的指示信息。在這里，流量異常檢測模型用于表征流量特征信息和指示信息之間的對應關系。

在本實施例的一些可選的實現(xiàn)方式中，本實施還可以包括建立流量異常檢測模型的步驟，其中，所述建立流量異常檢測模型的步驟包括：獲取已知指示信息的所述目標機房的流量特征信息；利用機器學習算法，基于所獲取的流量特征信息及對應的指示信息，訓練初始模型得到所述流量異常檢測模型。在這里，初始模型可以是能夠用于分類的模型，例如，卷積神經(jīng)網(wǎng)絡模型、隨機森林模型、誤差反向傳播誤差神經(jīng)網(wǎng)絡模型等。

步驟403，響應于確定目標機房受到網(wǎng)絡攻擊，獲取目標機房接收到的數(shù)據(jù)請求的請求特征信息。

在本實施例中，用于檢測網(wǎng)絡攻擊的方法運行于其上的電子設備(例如圖1所示的監(jiān)控服務器)可以響應于確定所述目標機房受到網(wǎng)絡攻擊，獲取所述目標機房接收到的數(shù)據(jù)請求的請求特征信息。

在本實施例中，上述請求特征信息可以包括但不限于：所述數(shù)據(jù)請求發(fā)自的源網(wǎng)際協(xié)議地址、所述數(shù)據(jù)請求發(fā)至的目的網(wǎng)際協(xié)議地址、傳輸所述數(shù)據(jù)請求所利用的傳輸協(xié)議的協(xié)議類型、所述數(shù)據(jù)請求的字節(jié)數(shù)。步驟403的實現(xiàn)細節(jié)和技術(shù)效果可以參考步驟203中的說明，在此不再贅述。

步驟404，根據(jù)所獲取的請求特征信息，確定網(wǎng)絡攻擊的攻擊源信息和攻擊目標信息。

在本實施例中，用于檢測網(wǎng)絡攻擊的方法運行于其上的電子設備(例如圖1所示的監(jiān)控服務器)可以根據(jù)所獲取的請求特征信息，確定網(wǎng)絡攻擊的攻擊源信息和攻擊目標信息。

在本實施例的一些可選的實現(xiàn)方式中，步驟404可以通過以下方式實現(xiàn)：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，確定所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第一流量。根據(jù)所確定的第一流量，確定該源網(wǎng)際協(xié)議地址是否是所述攻擊源信息。

在本實施例的一些可選的實現(xiàn)方式中，步驟404可以通過以下方式實現(xiàn)：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，在所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求的請求特征信息中，查找預設協(xié)議類型。確定利用查找到的預設協(xié)議類型的傳輸協(xié)議傳輸?shù)臄?shù)據(jù)請求所產(chǎn)生的第二流量是否大于預設第二流量閾值。響應于確定所述第二流量大于預設第二流量閾值，確定該源網(wǎng)際協(xié)議地址為攻擊源信息。作為示例，在這里，預設協(xié)議類型可以是UDP。

在本實施例的一些可選的實現(xiàn)方式中，步驟404可以通過以下方式實現(xiàn)：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，響應于確定該源網(wǎng)際協(xié)議地址為攻擊源信息，獲取所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求的請求特征信息中的至少一個目的網(wǎng)際協(xié)議地址。對于所述至少一個目的網(wǎng)際協(xié)議地址中的每個目的網(wǎng)際協(xié)議地址，確定發(fā)至該目的網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第三流量是否大于預設第三流量閾值。響應于確定所述第三流量大于預設第三流量閾值，確定該目的網(wǎng)際協(xié)議地址為攻擊目標信息。

從圖4中可以看出，與圖2對應的實施例相比，本實施例中的用于檢測網(wǎng)絡攻擊的方法的流程400突出了利用預先建立的流量異常檢測模型確定目標機房是否受到網(wǎng)絡攻擊的步驟。由此，本實施例描述的方案可以實現(xiàn)更快速和更準確的確定目標機房是否受到網(wǎng)絡攻擊，進而更快速地確定攻擊源信息和攻擊目標信息。

進一步參考圖5，作為對上述各圖所示方法的實現(xiàn)，本申請?zhí)峁┝艘环N用于檢測網(wǎng)絡攻擊的裝置的一個實施例，該裝置實施例與圖2所示的方法實施例相對應，該裝置具體可以應用于各種電子設備中。

如圖5所示，本實施例所述的用于檢測網(wǎng)絡攻擊的裝置500包括：流量特征信息確定單元501、網(wǎng)絡攻擊確定單元502、獲取單元503和攻擊信息確定單元504。其中，流量特征信息確定單元501，用于確定目標機房的流量特征信息；網(wǎng)絡攻擊確定單元502，用于根據(jù)所述流量特征信息，確定所述目標機房是否受到網(wǎng)絡攻擊；獲取單元503，用于響應于確定所述目標機房受到網(wǎng)絡攻擊，獲取所述目標機房接收到的數(shù)據(jù)請求的請求特征信息；攻擊信息確定單元504，用于根據(jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息。

在本實施例中，裝置500的流量特征信息確定單元501、網(wǎng)絡攻擊確定單元502、獲取單元503和攻擊信息確定單元504的具體處理可以參考圖2對應實施例中的步驟201、步驟202、步驟203以及步驟204，這此不再贅述。

在本實施例的一些可選的實現(xiàn)方式中，所述請求特征信息包括以下至少一項：所述數(shù)據(jù)請求發(fā)自的源網(wǎng)際協(xié)議地址、所述數(shù)據(jù)請求發(fā)至的目的網(wǎng)際協(xié)議地址、傳輸所述數(shù)據(jù)請求所利用的傳輸協(xié)議的協(xié)議類型。

在本實施例的一些可選的實現(xiàn)方式中，所述攻擊信息確定單元，用于：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，確定所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第一流量；根據(jù)所確定的第一流量，確定該源網(wǎng)際協(xié)議地址是否是所述攻擊源信息。

在本實施例的一些可選的實現(xiàn)方式中，所述攻擊信息確定單元，還用于：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，在所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求的請求特征信息中，查找預設協(xié)議類型；確定利用查找到的預設協(xié)議類型的傳輸協(xié)議傳輸?shù)臄?shù)據(jù)請求所產(chǎn)生的第二流量是否大于預設第二流量閾值；響應于確定所述第二流量大于預設第二流量閾值，確定該源網(wǎng)際協(xié)議地址為攻擊源信息。

在本實施例的一些可選的實現(xiàn)方式中，所述攻擊信息確定單元，還用于：對于所獲取的至少一個源網(wǎng)際協(xié)議地址中的每個源網(wǎng)際協(xié)議地址，響應于確定該源網(wǎng)際協(xié)議地址為攻擊源信息，獲取所述目標機房接收到的、發(fā)自該源網(wǎng)際協(xié)議地址的數(shù)據(jù)請求的請求特征信息中的至少一個目的網(wǎng)際協(xié)議地址；對于所述至少一個目的網(wǎng)際協(xié)議地址中的每個目的網(wǎng)際協(xié)議地址，確定發(fā)至該目的網(wǎng)際協(xié)議地址的數(shù)據(jù)請求所產(chǎn)生的第三流量是否大于預設第三流量閾值；響應于確定所述第三流量大于預設第三流量閾值，確定該目的網(wǎng)際協(xié)議地址為攻擊目標信息。

在本實施例的一些可選的實現(xiàn)方式中，所述流量特征信息包括以下至少一項：當前流量值、預定歷史時刻的流量值、當前時刻之前的預定時間段內(nèi)的流量平均值，所述目標機房內(nèi)設置有交換機；以及所述流量特征信息確定單元，用于：通過所述目標機房內(nèi)設置的交換機的計數(shù)信息，確定所述目標機房的流量信息，其中，所述流量信息包括采集時間和流量值；根據(jù)所確定的流量信息，確定所述流量特征信息。

在本實施例的一些可選的實現(xiàn)方式中，將所述流量特征信息導入預先建立的流量異常檢測模型，得到用于指示所述目標機房是否受到網(wǎng)絡攻擊的指示信息，其中，所述流量異常檢測模型用于表征流量特征信息和指示信息之間的對應關系。

在本實施例的一些可選的實現(xiàn)方式中，所述裝置還包括建立單元(未示出)，用于建立流量異常檢測模型，其中，所述建立流量異常檢測模型包括：獲取已知指示信息的所述目標機房的流量特征信息；利用機器學習算法，基于所獲取的流量特征信息及對應的指示信息，訓練初始模型得到所述流量異常檢測模型。

本實施例所提供的裝置的各個單元的實現(xiàn)細節(jié)和技術(shù)效果，可以參考本申請其它實施例中的說明，在此不再贅述。

下面參考圖6，其示出了適于用來實現(xiàn)本申請實施例的服務器的計算機系統(tǒng)600的結(jié)構(gòu)示意圖。圖6示出的服務器僅僅是一個示例，不應對本申請實施例的功能和使用范圍帶來任何限制。

如圖6所示，計算機系統(tǒng)600包括中央處理單元(CPU)601，其可以根據(jù)存儲在只讀存儲器(ROM)602中的程序或者從存儲部分608加載到隨機訪問存儲器(RAM)603中的程序而執(zhí)行各種適當?shù)膭幼骱吞幚?。在RAM 603中，還存儲有系統(tǒng)600操作所需的各種程序和數(shù)據(jù)。CPU 601、ROM 602以及RAM 603通過總線604彼此相連。輸入/輸出(I/O)接口605也連接至總線604。

以下部件連接至I/O接口605：包括鍵盤、鼠標等的輸入部分606；包括諸如陰極射線管(CRT)、液晶顯示器(LCD)等以及揚聲器等的輸出部分607；包括硬盤等的存儲部分608；以及包括諸如LAN卡、調(diào)制解調(diào)器等的網(wǎng)絡接口卡的通信部分609。通信部分609經(jīng)由諸如因特網(wǎng)的網(wǎng)絡執(zhí)行通信處理。驅(qū)動器610也根據(jù)需要連接至I/O接口605?？刹鹦督橘|(zhì)611，諸如磁盤、光盤、磁光盤、半導體存儲器等等，根據(jù)需要安裝在驅(qū)動器610上，以便于從其上讀出的計算機程序根據(jù)需要被安裝入存儲部分608。

特別地，根據(jù)本公開的實施例，上文參考流程圖描述的過程可以被實現(xiàn)為計算機軟件程序。例如，本公開的實施例包括一種計算機程序產(chǎn)品，其包括承載在計算機可讀介質(zhì)上的計算機程序，該計算機程序包含用于執(zhí)行流程圖所示的方法的程序代碼。在這樣的實施例中，該計算機程序可以通過通信部分609從網(wǎng)絡上被下載和安裝，和/或從可拆卸介質(zhì)611被安裝。在該計算機程序被中央處理單元(CPU)601執(zhí)行時，執(zhí)行本申請的方法中限定的上述功能。

需要說明的是，本申請所述的計算機可讀介質(zhì)可以是計算機可讀信號介質(zhì)或者計算機可讀存儲介質(zhì)或者是上述兩者的任意組合。計算機可讀存儲介質(zhì)例如可以是——但不限于——電、磁、光、電磁、紅外線、或半導體的系統(tǒng)、裝置或器件，或者任意以上的組合。計算機可讀存儲介質(zhì)的更具體的例子可以包括但不限于：具有一個或多個導線的電連接、便攜式計算機磁盤、硬盤、隨機訪問存儲器(RAM)、只讀存儲器(ROM)、可擦式可編程只讀存儲器(EPROM或閃存)、光纖、便攜式緊湊磁盤只讀存儲器(CD-ROM)、光存儲器件、磁存儲器件、或者上述的任意合適的組合。在本申請中，計算機可讀存儲介質(zhì)可以是任何包含或存儲程序的有形介質(zhì)，該程序可以被指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結(jié)合使用。而在本申請中，計算機可讀的信號介質(zhì)可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號，其中承載了計算機可讀的程序代碼。這種傳播的數(shù)據(jù)信號可以采用多種形式，包括但不限于電磁信號、光信號或上述的任意合適的組合。計算機可讀的信號介質(zhì)還可以是計算機可讀存儲介質(zhì)以外的任何計算機可讀介質(zhì)，該計算機可讀介質(zhì)可以發(fā)送、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)、裝置或者器件使用或者與其結(jié)合使用的程序。計算機可讀介質(zhì)上包含的程序代碼可以用任何適當?shù)慕橘|(zhì)傳輸，包括但不限于：無線、電線、光纜、RF等等，或者上述的任意合適的組合。

附圖中的流程圖和框圖，圖示了按照本申請各種實施例的系統(tǒng)、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系架構(gòu)、功能和操作。在這點上，流程圖或框圖中的每個方框可以代表一個模塊、程序段、或代碼的一部分，該模塊、程序段、或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令。也應當注意，在有些作為替換的實現(xiàn)中，方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生。例如，兩個接連地表示的方框?qū)嶋H上可以基本并行地執(zhí)行，它們有時也可以按相反的順序執(zhí)行，這依所中的功能而定。也要注意的是，框圖和/或流程圖中的每個方框、以及框圖和/或流程圖中的方框的組合，可以用執(zhí)行規(guī)定的功能或操作的專用的基于硬件的系統(tǒng)來實現(xiàn)，或者可以用專用硬件與計算機指令的組合來實現(xiàn)。

描述于本申請實施例中所中到的單元可以通過軟件的方式實現(xiàn)，也可以通過硬件的方式來實現(xiàn)。所描述的單元也可以設置在處理器中，例如，可以描述為：一種處理器包括流量特征信息確定單元、網(wǎng)絡攻擊確定單元獲取單元和攻擊信息確定單元。其中，這些單元的名稱在某種情況下并不構(gòu)成對該單元本身的限定，例如，流量特征信息確定單元還可以被描述為“確定目標機房的流量特征信息的單元”。

作為另一方面，本申請還提供了一種計算機可讀介質(zhì)，該計算機可讀介質(zhì)可以是上述實施例中描述的裝置中所包含的；也可以是單獨存在，而未裝配入該裝置中。上述計算機可讀介質(zhì)承載有一個或者多個程序，當上述一個或者多個程序被該裝置執(zhí)行時，使得該裝置：確定目標機房的流量特征信息；根據(jù)所述流量特征信息，確定所述目標機房是否受到網(wǎng)絡攻擊；響應于確定所述目標機房受到網(wǎng)絡攻擊，獲取所述目標機房接收到的數(shù)據(jù)請求的請求特征信息；根據(jù)所獲取的請求特征信息，確定所述網(wǎng)絡攻擊的攻擊源信息和/或攻擊目標信息。

以上描述僅為本申請的較佳實施例以及對所運用技術(shù)原理的說明。本領域技術(shù)人員應當理解，本申請中所中的發(fā)明范圍，并不限于上述技術(shù)特征的特定組合而成的技術(shù)方案，同時也應涵蓋在不脫離上述發(fā)明構(gòu)思的情況下，由上述技術(shù)特征或其等同特征進行任意組合而形成的其它技術(shù)方案。例如上述特征與本申請中公開的(但不限于)具有類似功能的技術(shù)特征進行互相替換而形成的技術(shù)方案。