本發(fā)明涉及計算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別是涉及一種DoS/DDoS攻擊檢測方法和裝置。

背景技術(shù)：

拒絕服務(wù)(Denial of Service，DoS)攻擊和分布式拒絕服務(wù)(Distributed Denial of Service，DDoS)攻擊均是一種阻止合法用戶正常訪問服務(wù)的網(wǎng)絡(luò)攻擊，DoS/DDoS攻擊的實質(zhì)是向目標(biāo)持續(xù)發(fā)送大量無用報文以占用目標(biāo)的帶寬和主機(jī)資源、產(chǎn)生龐大的攻擊流量的惡意攻擊。為保證網(wǎng)絡(luò)安全以及確保服務(wù)的正常運行，準(zhǔn)確及時地進(jìn)行攻擊檢測至關(guān)重要。

傳統(tǒng)的針對DoS/DDoS攻擊檢測的方法一般是根據(jù)經(jīng)驗設(shè)定一個固定的流量閾值，當(dāng)檢測到業(yè)務(wù)的流量超過該設(shè)定的流量閾值時，則進(jìn)行流量的清洗。上述簡單的通過固定的流量閾值進(jìn)行攻擊檢測，很可能出現(xiàn)攻擊漏檢和攻擊錯檢，即帶來了正常流量進(jìn)行非必要清洗所造成的業(yè)務(wù)平臺服務(wù)不穩(wěn)定，以及攻擊漏檢導(dǎo)致資源惡意消耗甚至系統(tǒng)癱瘓等問題。

技術(shù)實現(xiàn)要素：

基于此，有必要針對上述的問題，提供一種能夠使攻擊檢測更加精準(zhǔn)的DoS/DDoS攻擊檢測方法和裝置。

一種DoS/DDoS攻擊檢測方法，所述方法包括：

獲取預(yù)設(shè)業(yè)務(wù)在設(shè)定時間段內(nèi)的流量數(shù)據(jù)，其中，所述流量數(shù)據(jù)為所述業(yè)務(wù)的總體流量與時間的對應(yīng)關(guān)系數(shù)據(jù)；

獲取根據(jù)所述業(yè)務(wù)的歷史流量數(shù)據(jù)計算的所述業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)，其中，所述時間區(qū)間的歷史流量數(shù)據(jù)越大，對應(yīng)的所述業(yè)務(wù)總體流量閾值越大；

確定獲取的所述流量數(shù)據(jù)所對應(yīng)的時間區(qū)間，根據(jù)確定的所述時間區(qū)間查找與其對應(yīng)的所述總體流量閾值；

將所述流量數(shù)據(jù)與查找的所述總體流量閾值進(jìn)行對比，當(dāng)所述流量數(shù)據(jù)持續(xù)超過所述總體流量閾值的時間超過設(shè)定值時，對所述業(yè)務(wù)進(jìn)行攻擊檢測。

在一個實施例中，所述業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)是根據(jù)所述業(yè)務(wù)的歷史流量數(shù)據(jù)和為所述業(yè)務(wù)分配的計算資源數(shù)據(jù)計算得到的，其中，所述業(yè)務(wù)的歷史流量數(shù)據(jù)越大，分配的所述計算資源數(shù)據(jù)越大，得到的所述業(yè)務(wù)總體流量閾值越大。

在一個實施例中，所述進(jìn)行攻擊流量定位的步驟包括：

定位出現(xiàn)攻擊流量的異常時間信息；

獲取對應(yīng)所述異常時間信息的所述業(yè)務(wù)包含的各個業(yè)務(wù)模塊的模塊流量數(shù)據(jù)；

將獲取的所述模塊流量數(shù)據(jù)與預(yù)先計算的與所述異常時間信息對應(yīng)的模塊流量閾值進(jìn)行比較，確定超過所述模塊流量閾值的業(yè)務(wù)模塊標(biāo)識；

其中，與所述異常時間信息對應(yīng)的模塊流量閾值是根據(jù)各個所述業(yè)務(wù)模塊的歷史流量數(shù)據(jù)計算得到的。

在一個實施例中，所述方法還包括：

采集所述業(yè)務(wù)的歷史流量值與時間的對應(yīng)關(guān)系數(shù)據(jù)；

將相鄰的且差異小于設(shè)定值的所述歷史流量值作為同一時間區(qū)間的區(qū)間流量值；

計算所述區(qū)間流量值的平均流量值，并根據(jù)所述平均流量值確定所述時間區(qū)間的總體流量閾值；

獲取為所述業(yè)務(wù)分配的計算資源數(shù)據(jù)；

根據(jù)獲取的所述計算資源數(shù)據(jù)在線調(diào)整所述時間區(qū)間的總體流量閾值。

在一個實施例中，所述方法還包括：

當(dāng)監(jiān)控到所述業(yè)務(wù)中出現(xiàn)新增業(yè)務(wù)模塊時，獲取所述新增業(yè)務(wù)模塊的屬性信息，其中，所述屬性信息包括類型信息和持續(xù)時間信息；

根據(jù)所述類型信息獲取為所述新增業(yè)務(wù)模塊配置的新增流量閾值數(shù)據(jù)；

根據(jù)所述新增流量閾值數(shù)據(jù)調(diào)整與所述持續(xù)時間信息對應(yīng)的所述時間區(qū)間的總體流量閾值。

一種DoS/DDoS攻擊檢測裝置，所述裝置包括：

流量獲取模塊，用于獲取預(yù)設(shè)業(yè)務(wù)的設(shè)定時間段內(nèi)的流量數(shù)據(jù)，其中，所述流量數(shù)據(jù)為所述業(yè)務(wù)的總體流量與時間的對應(yīng)關(guān)系數(shù)據(jù)；

多流量閾值獲取模塊，用于獲取根據(jù)所述業(yè)務(wù)的歷史流量數(shù)據(jù)計算的所述業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)，其中，所述時間區(qū)間的歷史流量數(shù)據(jù)越大，對應(yīng)的所述業(yè)務(wù)總體流量閾值越大；

比對閾值確定模塊，用于確定獲取的所述流量數(shù)據(jù)所對應(yīng)的時間區(qū)間，根據(jù)確定的所述時間區(qū)間查找與其對應(yīng)的所述總體流量閾值；

攻擊流量檢測模塊，用于將所述流量數(shù)據(jù)與查找的所述總體流量閾值進(jìn)行對比，當(dāng)所述流量數(shù)據(jù)持續(xù)超過所述總體流量閾值的時間超過設(shè)定值時，對所述業(yè)務(wù)進(jìn)行攻擊檢測。

在一個實施例中，所述業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)是根據(jù)所述業(yè)務(wù)的歷史流量數(shù)據(jù)和為所述業(yè)務(wù)分配的計算資源數(shù)據(jù)計算得到的，其中，所述業(yè)務(wù)的歷史流量數(shù)據(jù)越大，分配的所述計算資源數(shù)據(jù)越大，得到的所述業(yè)務(wù)總體流量閾值越大。

在一個實施例中，所述攻擊流量檢測模塊還用于定位出現(xiàn)攻擊流量的異常時間信息；獲取對應(yīng)所述異常時間信息的所述業(yè)務(wù)包含的各個業(yè)務(wù)模塊的模塊流量數(shù)據(jù)；將獲取的所述模塊流量數(shù)據(jù)與預(yù)先計算的與所述異常時間信息對應(yīng)的模塊流量閾值進(jìn)行比較，確定超過所述模塊流量閾值的業(yè)務(wù)模塊標(biāo)識；其中，與所述異常時間信息對應(yīng)的模塊流量閾值是根據(jù)各個所述業(yè)務(wù)模塊的歷史流量數(shù)據(jù)計算得到的。

在一個實施例中，所述裝置還包括：

歷史流量采集模塊，用于采集所述業(yè)務(wù)的歷史流量值與時間的對應(yīng)關(guān)系數(shù)據(jù)；

時間區(qū)間劃分模塊，用于將相鄰的且差異小于設(shè)定值的所述歷史流量值作為同一時間區(qū)間的區(qū)間流量值；

區(qū)間閾值計算模塊，用于計算所述區(qū)間流量值的平均流量值，并根據(jù)所述平均流量值確定所述時間區(qū)間的總體流量閾值；

計算資源獲取模塊，用于獲取為所述業(yè)務(wù)分配的計算資源數(shù)據(jù)；

流量閾值調(diào)整模塊，用于根據(jù)獲取的所述計算資源數(shù)據(jù)在線調(diào)整所述時間區(qū)間的總體流量閾值。

在一個實施例中，所述裝置還包括：

新增模塊信息獲取模塊，用于當(dāng)監(jiān)控到所述業(yè)務(wù)中出現(xiàn)新增業(yè)務(wù)模塊時，獲取所述新增業(yè)務(wù)模塊的屬性信息，其中，所述屬性信息包括類型信息和持續(xù)時間信息；

新增模塊流量確定模塊，用于根據(jù)所述類型信息獲取為所述新增業(yè)務(wù)模塊配置的新增流量閾值數(shù)據(jù)。

流量閾值更新模塊，用于根據(jù)所述新增流量閾值數(shù)據(jù)調(diào)整與所述持續(xù)時間信息對應(yīng)的所述時間區(qū)間的總體流量閾值。

上述DoS/DDoS攻擊檢測方法和裝置，通過統(tǒng)計分析業(yè)務(wù)的歷史流量數(shù)據(jù)分析得到業(yè)務(wù)在不同時間的流量特性，進(jìn)而得到不同時間區(qū)間對應(yīng)的不同的歷史流量值，根據(jù)不同時間區(qū)間的歷史流量值確定每個時間區(qū)間的業(yè)務(wù)總體流量閾值，在進(jìn)行攻擊檢測時，獲取業(yè)務(wù)當(dāng)前的流量數(shù)據(jù)，并判斷獲取的流量數(shù)據(jù)所處的時間區(qū)間，并將獲取的流量數(shù)據(jù)與其所處的時間區(qū)間對應(yīng)的總體流量閾值進(jìn)行比對，當(dāng)前的流量數(shù)據(jù)超過對應(yīng)的總體流量閾值且超過時間維持一定時間，則判定產(chǎn)生了流量攻擊。上述方法和裝置在分時間區(qū)間設(shè)定多個流量閾值，該設(shè)定的多個流量閾值能夠更好的反映業(yè)務(wù)在各個時間區(qū)間的流量特征，分時間區(qū)間的多流量閾值能夠使流量的檢測更加精準(zhǔn)，有效地減少了錯檢和漏檢的現(xiàn)象。

附圖說明

圖1為一個實施例中DoS/DDoS攻擊檢測方法的應(yīng)用環(huán)境圖；

圖2為一個實施例中服務(wù)器的內(nèi)部結(jié)構(gòu)示意圖；

圖3為一個實施例中DoS/DDoS攻擊檢測方法的流程圖；

圖4為一個實施例中定位攻擊流量定位步驟涉及的流程圖；

圖5為一個實施例中不同時間區(qū)間的總體流量閾值數(shù)據(jù)準(zhǔn)備步驟；

圖6為一個實施例中新增業(yè)務(wù)模塊調(diào)整總體流量閾值所涉及方法的流程圖；

圖7為一個實施例中DoS/DDoS攻擊檢測裝置的結(jié)構(gòu)框圖；

圖8為另一個實施例中DoS/DDoS攻擊檢測裝置的結(jié)構(gòu)框圖；

圖9為又一個實施例中DoS/DDoS攻擊檢測裝置的結(jié)構(gòu)框圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

如圖1所示，在一個實施例中，提供了一種DoS/DDoS攻擊檢測方法的應(yīng)用環(huán)境圖，該應(yīng)用環(huán)境圖包括終端110和服務(wù)器120，其中，終端110可為智能手機(jī)、平板電腦、筆記本電腦、臺式計算機(jī)中的至少一種，但并不局限于此。服務(wù)器120可以獨立的物理服務(wù)器，也可以是多個物理服務(wù)器構(gòu)成的服務(wù)器集群。終端獲取用戶作用在業(yè)務(wù)終端頁面上的操作事件，即用戶行為信息，并將獲取的用戶行為信息上傳至服務(wù)器以獲取服務(wù)器的響應(yīng)，服務(wù)器記錄終端上傳的用戶行為信息，并根據(jù)用戶行為信息計算得到業(yè)務(wù)的流量數(shù)據(jù)，服務(wù)器進(jìn)行業(yè)務(wù)流量數(shù)據(jù)的統(tǒng)計，得到不同時間區(qū)間的流量閾值，并分時間區(qū)間對當(dāng)前業(yè)務(wù)流量進(jìn)行監(jiān)控，當(dāng)業(yè)務(wù)流量超過該時間區(qū)間的流量閾值，則判定該業(yè)務(wù)產(chǎn)生了攻擊流量。

如圖2所示，在一個實施例中，提供了一種服務(wù)器120，該服務(wù)器120包括通過系統(tǒng)總線連接的處理器、存儲介質(zhì)、內(nèi)存和網(wǎng)絡(luò)接口。其中，該后臺服務(wù)器120的存儲介質(zhì)存儲有操作系統(tǒng)、數(shù)據(jù)庫和一種DoS/DDoS攻擊檢測裝置，該裝置用于實現(xiàn)一種DoS/DDoS攻擊檢測方法。數(shù)據(jù)庫用于存儲數(shù)據(jù)，如存儲收集的業(yè)務(wù)流量數(shù)據(jù)等。處理器用于提供計算和控制能力，支撐整個服務(wù)器120的運行。內(nèi)存為存儲介質(zhì)中的DoS/DDoS攻擊檢測裝置的運行提供環(huán)境。網(wǎng)絡(luò)接口用于與外部的終端110通過網(wǎng)絡(luò)連接通信。

如圖3所示，在一個實施例中，提供了一種DoS/DDoS攻擊檢測方法，該包括具體包括如下步驟：

步驟S202：獲取預(yù)設(shè)業(yè)務(wù)在設(shè)定時間段內(nèi)的流量數(shù)據(jù)，其中，流量數(shù)據(jù)為業(yè)務(wù)的總體流量與時間的對應(yīng)關(guān)系數(shù)據(jù)。

這里的業(yè)務(wù)是指通過計算機(jī)程序能夠?qū)崿F(xiàn)特定的完整功能的線上網(wǎng)站、應(yīng)用等，業(yè)務(wù)系統(tǒng)響應(yīng)用戶對業(yè)務(wù)前端頁面的訪問操作以及在業(yè)務(wù)前端頁面中的其它事件操作時，將占用業(yè)務(wù)的帶寬和計算資源，這里占用的帶寬和計算資源即為業(yè)務(wù)的流量。

舉例來說，業(yè)務(wù)可以是游戲論壇、理財應(yīng)用等，當(dāng)終端用戶登錄游戲論壇、理財應(yīng)用，并進(jìn)行一系列其他操作時，將產(chǎn)生該業(yè)務(wù)的業(yè)務(wù)流量。

在一個實施例中，通過在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點或者日志記錄中采集用戶行為信息，并通過用戶行為信息計算業(yè)務(wù)的流量數(shù)據(jù)。

具體的，服務(wù)器每隔設(shè)定時間獲取該設(shè)定時間段內(nèi)的流量數(shù)據(jù)，例如，服務(wù)器每隔10分鐘獲取最近10分鐘內(nèi)的流量數(shù)據(jù)，其中，該流量數(shù)據(jù)中攜帶對應(yīng)的時間信息，即流量數(shù)據(jù)為業(yè)務(wù)的總體流量與時間的對應(yīng)關(guān)系數(shù)據(jù)。這里的時間可以為一天中具體的時間段，如上午8:00-8:10，還可以包括星期屬性，如周一上午8:00-8:10時間段內(nèi)的業(yè)務(wù)的總體流量數(shù)據(jù)。

需要說明的是，獲取流量數(shù)據(jù)的設(shè)定時間段可根據(jù)攻擊檢測的及時度需要進(jìn)行設(shè)定，當(dāng)需要進(jìn)行攻擊的快速檢測時，減少設(shè)定時間段的長度，增加獲取流量數(shù)據(jù)的頻率。

步驟S204：獲取根據(jù)業(yè)務(wù)的歷史流量數(shù)據(jù)計算的業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)，其中，時間區(qū)間的歷史流量數(shù)據(jù)越大，對應(yīng)的業(yè)務(wù)總體流量閾值越大。

具體的，服務(wù)器預(yù)先根據(jù)業(yè)務(wù)的歷史流量數(shù)據(jù)對業(yè)務(wù)的流量特征進(jìn)行分析統(tǒng)計，并根據(jù)業(yè)務(wù)的流量特征設(shè)定該業(yè)務(wù)的總體流量閾值。在本實施例中，根據(jù)歷史流量數(shù)據(jù)計算得到的總體流量閾值數(shù)據(jù)為對應(yīng)不同時間區(qū)間的多個總體流量閾值。舉例來說，業(yè)務(wù)的總體流量數(shù)據(jù)顯示8:00-10:00、10:00-15:00、15:00-18:00 18:00-24:00以及24:00-8:00所對應(yīng)的總體流量值存在差異，則將上述區(qū)間作為流量閾值區(qū)間(不同業(yè)務(wù)所對應(yīng)的流量閾值區(qū)間不相同)，并根據(jù)上述的各流量閾值區(qū)間對應(yīng)的流量數(shù)據(jù)計算對應(yīng)的總體流量閾值，區(qū)間內(nèi)的歷史流量數(shù)據(jù)越大，為該區(qū)間內(nèi)設(shè)定的總體流量閾值越大。

在一個實施例中，流量閾值數(shù)據(jù)還區(qū)分星期屬性，即不同的星期屬性對應(yīng)的不同的總體流量閾值數(shù)據(jù)。例如星期一至星期五各流量閾值區(qū)間與星期六和星期日的各流量閾值區(qū)間各不相同，流量閾值區(qū)間對應(yīng)的總體流量閾值也不盡相同。在另一個實施例中，也可以根據(jù)歷史流量數(shù)據(jù)，細(xì)分一周中每天的流量閾值區(qū)間和總體流量閾值。

需要說明的是，進(jìn)行總體流量閾值計算的歷史流量數(shù)據(jù)不包括歷史時間內(nèi)出現(xiàn)的攻擊的異常歷史流量。

步驟S206：確定獲取的流量數(shù)據(jù)所對應(yīng)的時間區(qū)間，根據(jù)確定的時間區(qū)間查找與其對應(yīng)的總體流量閾值。

具體的，確定獲取的流量數(shù)據(jù)對應(yīng)的時間歸屬的流量閾值區(qū)間，查找該流量閾值區(qū)間對應(yīng)的總體流量閾值。例如，當(dāng)獲取的流量數(shù)據(jù)所在時間段對應(yīng)A流量閾值區(qū)間，則將A流量閾值區(qū)間對應(yīng)的預(yù)先計算的總體流量閾值作為當(dāng)前獲取流量的對比閾值。

在一個實施例中，當(dāng)獲取的流量數(shù)據(jù)的時間對應(yīng)兩個流量閾值區(qū)間時，分別查找上述兩個流量閾值區(qū)間對應(yīng)的總體流量閾值，并將位于第一流量閾值區(qū)間的總體流量數(shù)據(jù)與第一流量閾值進(jìn)行比對，將位于第二流量閾值區(qū)間的總體流量數(shù)據(jù)與第二流量閾值進(jìn)行對比。

步驟S208：將流量數(shù)據(jù)與查找的總體流量閾值進(jìn)行對比，當(dāng)流量數(shù)據(jù)持續(xù)超過總體流量閾值的時間超過設(shè)定值時，對業(yè)務(wù)進(jìn)行攻擊檢測。

確定待比對的總體流量閾值后，將獲取的流量數(shù)據(jù)與確定的總體流量閾值進(jìn)行對比，當(dāng)檢測到獲取的當(dāng)前流量數(shù)據(jù)超過總體流量閾值且維持設(shè)定時間時，則認(rèn)為檢測到了攻擊流量，啟動攻擊流量定位和處理程序。

在一個實施例中，當(dāng)檢測到獲取的當(dāng)前流量超過總體流量閾值且維持設(shè)定時間時，進(jìn)行攻擊流量報警。

本實施例中，在不同的時間區(qū)間設(shè)定多個流量閾值，該設(shè)定的多個流量閾值能夠更好的反映業(yè)務(wù)在該時間區(qū)間的流量特征，分時間區(qū)間的多流量閾值能夠使流量的檢測更加精準(zhǔn)，有效的減少了錯檢和漏檢的現(xiàn)象。

在一個實施例中，步驟S204：獲取根據(jù)業(yè)務(wù)的歷史流量數(shù)據(jù)計算的業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)步驟中的業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)是根據(jù)業(yè)務(wù)的歷史流量數(shù)據(jù)和為業(yè)務(wù)分配的計算資源數(shù)據(jù)計算得到的，其中，業(yè)務(wù)的歷史流量數(shù)據(jù)越大，分配的計算資源數(shù)據(jù)越大，得到的業(yè)務(wù)總體流量閾值越大。

具體的，首先，統(tǒng)計分析業(yè)務(wù)的歷史流量數(shù)據(jù)，離線計算不同時間區(qū)間對應(yīng)的中間流量閾值，其中，該中間流量閾值為由歷史流量數(shù)據(jù)直接計算得到的非攻擊狀態(tài)下的業(yè)務(wù)總體流量的經(jīng)驗估計值。其次，獲取當(dāng)前為該業(yè)務(wù)分配的計算資源數(shù)據(jù)，根據(jù)該計算資源數(shù)據(jù)對中間流量閾值進(jìn)行在線調(diào)整得到最終確認(rèn)的總體流量閾值，其中，最終確認(rèn)的總體流量閾值不小于中間流量閾值，計算資源數(shù)據(jù)所表征的計算資源愈大，調(diào)整中間流量閾值的幅度越高。

舉例來說，根據(jù)歷史流量數(shù)據(jù)計算的中間流量閾值數(shù)據(jù)為：A時間區(qū)間的中間流量閾值為100G，B時間區(qū)間的中間流量閾值為150G，若為該業(yè)務(wù)分配的計算資源能夠承擔(dān)的負(fù)載流量是300G，可調(diào)整A時間區(qū)間對應(yīng)的總體流量閾值為200G，B時間區(qū)間對應(yīng)的總體流量閾值為300G，即確定的總體流量閾值為中間流量閾值的兩倍；若為該業(yè)務(wù)分配的計算資源能夠承擔(dān)的負(fù)載流量是200G時，可調(diào)整A時間區(qū)間的對應(yīng)的總體流量閾值為150G，B時間區(qū)間的對應(yīng)的總體流量閾值為200G。

上述調(diào)整的規(guī)則為將最大的中間流量閾值調(diào)整為計算資源能夠承擔(dān)的負(fù)載流量，計算調(diào)整的比例，按照該比例進(jìn)行其他中間流量閾值的調(diào)整。當(dāng)然，還可以采用其他調(diào)整規(guī)則，只要調(diào)整后的總體流量閾值不超過計算資源能夠承載的負(fù)載流量即可。

本實施例中，根據(jù)當(dāng)前為業(yè)務(wù)分配的計算資源數(shù)據(jù)進(jìn)行流量閾值的調(diào)整，在計算資源足夠的情況下，盡可能的增大流量閾值，減少檢測出攻擊流量的幾率，在一定程度上減少了流量清洗對正常業(yè)務(wù)運行的影響。

在一個實施例中，如圖4所示，步驟S208：將流量數(shù)據(jù)與查找的總體流量閾值進(jìn)行對比，當(dāng)流量數(shù)據(jù)持續(xù)超過總體流量閾值的時間超過設(shè)定值時，對業(yè)務(wù)進(jìn)行攻擊檢測的步驟包括：

步驟S302：定位出現(xiàn)攻擊流量的異常時間信息。

異常時間是指超過總體流量閾值的總體流量數(shù)據(jù)所對應(yīng)的時間段。在一個實施例中，異常時間還可以是出現(xiàn)攻擊流量的起始時間。

步驟S304：獲取對應(yīng)異常時間信息的業(yè)務(wù)包含的各個業(yè)務(wù)模塊的模塊流量數(shù)據(jù)。

具體的，獲取該業(yè)務(wù)包含的業(yè)務(wù)模塊標(biāo)識，并獲取各個業(yè)務(wù)模塊標(biāo)識下且與異常時間信息對應(yīng)的模塊流量數(shù)據(jù)。

步驟S306：將獲取的模塊流量數(shù)據(jù)與預(yù)先計算的與異常時間信息對應(yīng)的模塊流量閾值進(jìn)行比較，確定超過模塊流量閾值的業(yè)務(wù)模塊標(biāo)識；其中，與異常時間信息對應(yīng)的模塊流量閾值是根據(jù)各個業(yè)務(wù)模塊的歷史流量數(shù)據(jù)計算得到的。

具體的，在獲取各模塊在異常時間的模塊流量數(shù)據(jù)時，還獲取對應(yīng)該異常時間的各模塊的模塊流量閾值，其中，獲取的各模塊的模塊流量閾值是預(yù)先根據(jù)各模塊的歷史流量數(shù)據(jù)計算得到的，與上述的計算總體流量閾值的方式類似，各模塊的模塊流量閾值也是分時間區(qū)間的多閾值。

將均與異常時間對應(yīng)的模塊流量數(shù)據(jù)與預(yù)先計算的模塊流量閾值進(jìn)行對比，定位超過設(shè)定閾值的模塊標(biāo)識，該模塊在異常時間產(chǎn)生的流量即為攻擊流量，定位攻擊流量后，即可對攻擊流量進(jìn)行清洗。

以游戲論壇業(yè)務(wù)為例，假設(shè)游戲論壇包括登錄模塊、發(fā)帖模塊、金幣兌換模塊，獲取上述各模塊在異常時間段內(nèi)的模塊流量數(shù)據(jù)，并獲取各模塊與異常時間內(nèi)對應(yīng)的流量閾值，將模塊流量數(shù)據(jù)與流量閾值進(jìn)行對比，當(dāng)檢測到金幣兌換模塊的流量數(shù)據(jù)遠(yuǎn)遠(yuǎn)大于該模塊的流量閾值時，則確定金幣兌換模塊遭遇了流量攻擊，可對金幣兌換模塊的流量進(jìn)行清洗，同時檢測攻擊源信息。

在一個實施例中，可以根據(jù)攻擊流量的特性基于深度學(xué)習(xí)方法得到產(chǎn)生該攻擊流量的攻擊源信息。

在一個實施例中，如圖5所示，DoS/DDoS攻擊檢測方法還包括：

步驟S402：采集業(yè)務(wù)的歷史流量值與時間的對應(yīng)關(guān)系數(shù)據(jù)。

步驟S404：將相鄰的且差異小于設(shè)定值的歷史流量值作為同一時間區(qū)間的區(qū)間流量值。

步驟S406：計算區(qū)間流量值的平均流量值，并根據(jù)平均流量值確定時間區(qū)間的總體流量閾值。

具體的，采集業(yè)務(wù)在歷史時間的歷史流量數(shù)據(jù)，該歷史流量數(shù)據(jù)是歷史流量與時間的對應(yīng)關(guān)系數(shù)據(jù)。

以一天24小時為時間周期，分析獲取的歷史流量數(shù)據(jù)在每個時間周期的流量數(shù)據(jù)特征。具體的，將時間周期中相鄰時間點且流量差異小于設(shè)定值的歷史流量數(shù)據(jù)劃分為同一時間區(qū)間。

進(jìn)一步的，獲取多個時間周期進(jìn)行流量數(shù)據(jù)特征分析，進(jìn)而找到流量的時間區(qū)間規(guī)律，以更加準(zhǔn)確的進(jìn)行時間區(qū)間的劃分。

劃分完時間區(qū)間后，獲取時間區(qū)間內(nèi)的歷史流量值，計算時間區(qū)間內(nèi)的所有歷史流量值的平均值，根據(jù)該計算的流量平均值確定該區(qū)間的總體流量閾值。確定的總體流量閾值應(yīng)不小于計算的時間區(qū)間內(nèi)流量的平均值。

在一個實施例中，在進(jìn)行流量平均值計算之間，去除時間區(qū)間內(nèi)的最大歷史流量值和最小歷史流量值，并將時間區(qū)間內(nèi)最大流量值和最小流量值之外的歷史流量值的平均值作為確定總體流量閾值的基礎(chǔ)。

在一個實施例中，在步驟S204：獲取根據(jù)業(yè)務(wù)的歷史流量數(shù)據(jù)計算的業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)，其中，時間區(qū)間的歷史流量數(shù)據(jù)越大，對應(yīng)的業(yè)務(wù)總體流量閾值越大之前，還包括：

獲取為業(yè)務(wù)分配的計算資源數(shù)據(jù)，根據(jù)計算資源數(shù)據(jù)確定最大流量閾值；

根據(jù)確定的最大流量閾值，調(diào)整根據(jù)歷史流量數(shù)據(jù)計算的時間區(qū)間的總體流量閾值。

步驟S204中獲取的不同區(qū)間內(nèi)對應(yīng)的總體流量閾值數(shù)據(jù)為調(diào)整后的總體流量閾值數(shù)據(jù)。

本實施例中，根據(jù)當(dāng)前為業(yè)務(wù)分配的計算資源數(shù)據(jù)進(jìn)行流量閾值的調(diào)整，在計算資源足夠的情況下，盡可能的增大流量閾值，減少檢測出攻擊流量的幾率，在一定程度上減少了流量清洗對正常業(yè)務(wù)運行的影響。

在一個實施例中，如圖6所示，DoS/DDoS攻擊檢測方法還包括：

步驟S502：當(dāng)監(jiān)控到業(yè)務(wù)中出現(xiàn)新增業(yè)務(wù)模塊時，獲取新增業(yè)務(wù)模塊的屬性信息，其中，屬性信息包括類型信息和持續(xù)時間信息。

服務(wù)器中預(yù)先存儲了多種新增業(yè)務(wù)模塊類型，在進(jìn)行新增模塊發(fā)布時，為該新增模塊分配相應(yīng)的類型信息，例如，業(yè)務(wù)模塊的類型可以包括廣告類、抽獎類等。新增業(yè)務(wù)模塊屬性中的持續(xù)時間信息可以為業(yè)務(wù)模塊開始時間信息和結(jié)束時間信息。

步驟S504：根據(jù)類型信息獲取為新增業(yè)務(wù)模塊配置的新增流量閾值數(shù)據(jù)。

服務(wù)器預(yù)先為每種新增業(yè)務(wù)模塊類型配置相應(yīng)的新增流量閾值數(shù)據(jù)，具體的，配置的新增流量閾值可根據(jù)相同類型的業(yè)務(wù)模塊的歷史流量數(shù)據(jù)進(jìn)行確定。

步驟S506：根據(jù)新增流量閾值數(shù)據(jù)調(diào)整與持續(xù)時間信息對應(yīng)的時間區(qū)間的總體流量閾值。

將新增業(yè)務(wù)模塊的持續(xù)時間信息與時間區(qū)間進(jìn)行匹配，并將新增流量閾值數(shù)據(jù)增加到匹配的時間區(qū)間的總體流量閾值上，以使該時間區(qū)間的總體流量閾值能夠反映新增業(yè)務(wù)模塊的流量，總體流量閾值可根據(jù)業(yè)務(wù)模塊的增減進(jìn)行動態(tài)調(diào)整，避免了由于新模塊流量帶來的攻擊錯檢的情況發(fā)生。

在一個實施例中，如圖7所示，提供了一種DoS/DDoS攻擊檢測裝置，該裝置包括：

流量獲取模塊602，用于獲取預(yù)設(shè)業(yè)務(wù)的設(shè)定時間段內(nèi)的流量數(shù)據(jù)，其中，流量數(shù)據(jù)為業(yè)務(wù)的總體流量與時間的對應(yīng)關(guān)系數(shù)據(jù)。

多流量閾值獲取模塊604，用于獲取根據(jù)業(yè)務(wù)的歷史流量數(shù)據(jù)計算的業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)，其中，時間區(qū)間的歷史流量數(shù)據(jù)越大，對應(yīng)的業(yè)務(wù)總體流量閾值越大。

比對閾值確定模塊606，用于確定獲取的流量數(shù)據(jù)所對應(yīng)的時間區(qū)間，根據(jù)確定的時間區(qū)間查找與其對應(yīng)的總體流量閾值。

攻擊流量檢測模塊608，用于將流量數(shù)據(jù)與查找的總體流量閾值進(jìn)行對比，當(dāng)流量數(shù)據(jù)持續(xù)超過總體流量閾值的時間超過設(shè)定值時，對業(yè)務(wù)進(jìn)行攻擊檢測。

在一個實施例中，業(yè)務(wù)在不同時間區(qū)間對應(yīng)的總體流量閾值數(shù)據(jù)是根據(jù)業(yè)務(wù)的歷史流量數(shù)據(jù)和為業(yè)務(wù)分配的計算資源數(shù)據(jù)計算得到的，其中，業(yè)務(wù)的歷史流量數(shù)據(jù)越大，分配的計算資源數(shù)據(jù)越大，得到的業(yè)務(wù)總體流量閾值越大。

在一個實施例中，攻擊流量檢測模塊608還用于定位出現(xiàn)攻擊流量的異常時間信息；獲取對應(yīng)異常時間信息的業(yè)務(wù)包含的各個業(yè)務(wù)模塊的模塊流量數(shù)據(jù)；將獲取的模塊流量數(shù)據(jù)與預(yù)先計算的與異常時間信息對應(yīng)的的模塊流量閾值進(jìn)行比較，確定超過模塊流量閾值的業(yè)務(wù)模塊標(biāo)識；其中，與異常時間信息對應(yīng)的模塊流量閾值是根據(jù)各個業(yè)務(wù)模塊的歷史流量數(shù)據(jù)計算得到的。

在一個實施例中，如圖8所示，DoS/DDoS攻擊檢測裝置還包括：

歷史流量采集模塊702，用于采集業(yè)務(wù)的歷史流量值與時間的對應(yīng)關(guān)系數(shù)據(jù)。

時間區(qū)間劃分模塊704，用于將相鄰的且差異小于設(shè)定值的歷史流量值作為同一時間區(qū)間的區(qū)間流量值。

區(qū)間閾值計算模塊706，用于計算區(qū)間流量值的平均流量值，并根據(jù)平均流量值確定時間區(qū)間的總體流量閾值；

計算資源獲取模塊708，用于獲取為業(yè)務(wù)分配的計算資源數(shù)據(jù)；

流量閾值調(diào)整模塊710，用于根據(jù)獲取的計算資源數(shù)據(jù)在線調(diào)整時間區(qū)間的總體流量閾值。

在一個實施例中，如圖9所示，DoS/DDoS攻擊檢測裝置還包括：

新增模塊信息獲取模塊802，用于當(dāng)監(jiān)控到業(yè)務(wù)中出現(xiàn)新增業(yè)務(wù)模塊時，獲取新增業(yè)務(wù)模塊的屬性信息，其中，屬性信息包括類型信息和持續(xù)時間信息。

新增模塊流量確定模塊804，用于根據(jù)類型信息獲取為新增業(yè)務(wù)模塊配置的新增流量閾值數(shù)據(jù)。

流量閾值更新模塊806，用于根據(jù)新增流量閾值數(shù)據(jù)調(diào)整與持續(xù)時間信息對應(yīng)的時間區(qū)間的總體流量閾值。

本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程，是可以通過計算機(jī)程序來指令相關(guān)的硬件來完成，程序可存儲于一計算機(jī)可讀取存儲介質(zhì)中，如本發(fā)明實施例中，該程序可存儲于計算機(jī)系統(tǒng)的存儲介質(zhì)中，并被該計算機(jī)系統(tǒng)中的至少一個處理器執(zhí)行，以實現(xiàn)包括如上述各方法的實施例的流程。其中，存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(Read-Only Memory，ROM)或隨機(jī)存儲記憶體(Random Access Memory，RAM)等。

以上實施例的各技術(shù)特征可以進(jìn)行任意的組合，為使描述簡潔，未對上述實施例中的各個技術(shù)特征所有可能的組合都進(jìn)行描述，然而，只要這些技術(shù)特征的組合不存在矛盾，都應(yīng)當(dāng)認(rèn)為是本說明書記載的范圍。

以上實施例僅表達(dá)了本發(fā)明的幾種實施方式，其描述較為具體和詳細(xì)，但并不能因此而理解為對發(fā)明專利范圍的限制。應(yīng)當(dāng)指出的是，對于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進(jìn)，這些都屬于本發(fā)明的保護(hù)范圍。因此，本發(fā)明專利的保護(hù)范圍應(yīng)以所附權(quán)利要求為準(zhǔn)。