CN109194684B - 一种模拟拒绝服务攻击的方法、装置及计算设备 - Google Patents

Abstract

本发明公开了一种模拟拒绝服务攻击的方法、装置及计算设备，属于计算机技术领域。该方法包括：确定在上一轮拒绝服务模拟攻击过程中被拦截的攻击包；使用所述被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，其中，所述防护预测模型用于预测防护节点采用的防护策略；通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击。由于采用了上一轮被拦截的攻击包对防护预测模型进行训练学习并利用训练后的防护预测模型进行下一轮的拒绝服务模拟攻击的方式，通过机器自学习的方式可以提高对防护策略预测的准确性，从而可以提高模拟攻击的有效性和模拟攻击效率。

Description

一种模拟拒绝服务攻击的方法、装置及计算设备

技术领域

本发明涉及计算机技术领域，尤其涉及一种模拟拒绝服务攻击的方法、装置及计算设备。

背景技术

拒绝服务(Denial of Service，DoS)攻击或者分布式拒绝服务(DistributedDenial of Service，DDoS)攻击是一种网络攻击手段，其目的在于使被攻击设备的网络或系统资源耗尽，使服务暂时中断或停止，导致其正常用户无法访问。

对于DoS攻击和DDoS攻击，目前主要是通过对协议字段中的非常规内容(例如攻击者恶意添加或修改的内容)进行识别以达到检测和防护的目的，在该种防护方式下，对于防护方来说需要人工不断猜测攻击方的攻击策略，进而再构建绕过攻击策略的防护策略来进行防护，同理，对于攻击方来说，也需要人工地猜测防护方不断变化的防护策略。

可见，现有技术中对于DoS攻击或DDoS攻击等拒绝服务攻击的攻击和防护都需要人工地猜测和构建相应的策略，在攻击对抗过程中需要人工进行分析，费时费力，操作效率较低，并且这与分析人员的分析能力有较强的关联，所以可能无法客观地反映策略的实际变化，使得无论是攻击有效性还是防护有效性都可能受到影响，导致攻击效率和防护效率都较低。

发明内容

本申请实施例提供一种模拟拒绝服务攻击的方法、装置及计算设备，用以通过训练后的防护预测模型进行拒绝服务模拟攻击，提高了模拟攻击的有效性和模拟攻击效率。

第一方面，提供一种模拟拒绝服务攻击的方法，该方法包括：

确定在上一轮拒绝服务模拟攻击过程中被拦截的攻击包；

使用所述被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，其中，所述防护预测模型用于预测防护节点采用的防护策略；

通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击。

第二方面，提供一种模拟防御拒绝服务攻击的方法，该方法包括：

在完成上一轮拒绝服务模拟攻击之后，通过按照第一方面中任一方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

使用所述目标防护策略防御下一轮的拒绝服务模拟攻击。

第三方面，提供一种模拟拒绝服务攻击的装置，该装置包括：

第一确定模块，用于确定在上一轮拒绝服务模拟攻击过程中被拦截的攻击包；

模型训练模块，用于使用所述被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，其中，所述防护预测模型用于预测防护节点采用的防护策略；

模拟攻击模块，用于通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击。

第四方面，提供一种计算设备，该计算设备包括：

接收器，用于接收在上一轮拒绝服务模拟攻击过程中被拦截的攻击包；

防护策略分析器，用于使用所述被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，其中，所述防护预测模型用于预测防护节点采用的防护策略；

发包器，用于通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击。

第五方面，提供一种模拟防御拒绝服务攻击的装置，该装置包括：

确定模块，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如第一方面中任一方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

预测模块，用于根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

策略构建模块，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御模块，用于使用所述目标防护策略防御下一轮的拒绝服务模拟攻。

第六方面，提供一种计算设备，该计算设备包括：

防护策略分析器，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如第一方面中任一方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

攻击策略预测器，用于根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

防护策略构建器，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御器，用于使用所述目标防护策略防御下一轮的拒绝服务模拟攻击。

第七方面，提供一种存储介质，该存储介质存储有计算机可执行指令，该计算机可执行指令用于使计算机执行如中第一方面中任一方法包括的步骤，或执行如第二方面中任一方法包括的步骤。

本发明实施例中，可以确定在上一轮拒绝服务模拟攻击过程中被拦截的攻击包，再使用这些被拦截的攻击包对防护预测模型进行训练，以得到训练后的防护预测模型，然后再通过训练后防护预测模拟进行新一轮的拒绝服务模拟攻击，由于防护预测模型可以用于预测防护节点采用的防护策略，也就是利用机器学习的思想来模拟替代人工的数据分析和策略构建，尽量消除由于分析人员的分析能力限制和主观性而导致的误判和分析不全面而导致的负面影响，从而可以在一定程度上提高分析和预测的准确性，提高拒绝服务攻击效率的对应的防护效率。

并且，在进行机器学习时，是利用上一轮拒绝服务攻击中被拦截的攻击包对防护预测模型进行训练学习，由于被拦截的攻击包能够客观地反映出防护节点的防护方向和防护方式，所以通过上一轮攻击过程中被拦截的攻击包进行模型训练学习的方式能够确保模型训练的准确性，使得训练后的预测防护模型能够尽量逼近预测防护节点最近使用的防护策略，进而增加模拟攻击的有效性。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1A为现有技术中的DoS攻击的示意图；

图1B为现有技术中的DDoS攻击的示意图；

图2A为本申请实施例中的一种应用场景的示意图；

图2B为本申请实施例中的另一种应用场景的示意图；

图3A为本申请实施例中的另一种应用场景的示意图；

图3B为本申请实施例中的另一种应用场景的示意图；

图4为本申请实施例中的一种计算设备的结构示意图；

图5为本申请实施例中的模拟拒绝服务器攻击的方法的流程图；

图6为本申请实施例中的模拟拒绝服务器攻击的方法的另一流程图；

图7A为本申请实施例中的一种攻击包的结构示意图；

图7B为本申请实施例中的一种攻击包的另一结构示意图；

图8为本申请实施例中的另一种计算设备的结构示意图；

图9为本申请实施例中的攻击设备和防护节点之间进行交互的示意图；

图10为本申请实施例中的模拟拒绝服务器攻击的装置的结构框图；

图11为本申请实施例中的模拟防御拒绝服务攻击的装置的结构框图；

图12为本申请实施例中的计算设备的结构示意图；

图13为本申请实施例中的计算设备的另一结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

以下对本文中涉及的部分词语进行说明，以便于本领域技术人员理解。

1、拒绝服务攻击，是使得目标设备拒绝网络服务的网络攻击，例如DoS攻击或DDoS攻击。其中，DoS攻击是利用合理的服务请求来占用过多的服务器资源，从而使合法用户无法得到服务器的响应，DoS攻击是一对一的攻击，即通过一个攻击设备(例如计算设备)直接攻击一个目标设备，如图1A所示。DDoS攻击是将多个计算机联合起来作为攻击平台，对一个或多个目标设备发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力，具体来说，如图1B所示，攻击者可以将DDoS主控程序安装在一个计算机上作为攻击设备，在设定的时间内，攻击者会通过主控程序与大量安装有代理程序的计算机通信，这些安装有代理程序的计算机被称作“傀儡机”，傀儡机集群接收到攻击指令时就会向目标设备发动分布式的网络攻击。

2、攻击包，是指攻击设备向被攻击的目标设备发送的具有占用目标设备资源的作用的数据包，攻击包又可以称作攻击数据包或攻击报文等。

在攻击对抗过程中，可以通过一定的防护策略对拒绝服务攻击进行防御，在此过程中，被防护策略成功识别而防御的攻击包例如可以称作被拦截的攻击包，未被防护策略识别而被目标设备误认为是正常的业务数据包的攻击包例如可以称作攻击成功的数据包。

3、机器学习，机器学习(Machine Learning，ML)是一门多领域交叉学科，专门研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能。机器学习是人工智能(Artificial Intelligence，AI)的核心，是使计算机具有智能的一种途径，其应用遍及人工智能的各个领域，目前在越来越多的技术中涉及到了机器学习。

如前所述，在现有技术中，以DDoS攻击为例，在对DDoS攻击进行防御的过程中，需要人工对DDoS攻击的攻击策略进行分析和猜测，进而再构建尽量绕过猜测的攻击策略的防护策略来进行DDoS防护，类似地，对于攻击方而言，也需要人工地猜测防护方不断变化的防护策略，总的来说，在整个DDoS攻击的对抗过程中需要人工进行分析，耗时费力，操作效率低下，并且由于是采用人工分析的方式，由于分析人员的自身能力限制和主观判断所以可能无法客观、准确地分析出策略的实质变化，例如在对防护方的防护策略进行分析时，由于分析人员自身的能力限制和主观性，该分析人员可能会对该防护策略的具体策略结构进行误判甚至无法发现其中的一些关键防护点，由于对防护策略的分析不够彻底甚至分析出错，那么依据其分析结果而构建的攻击策略的攻击效率和有效性自然也就较低，按照类似的理解方式，在对攻击方的攻击策略进行分析自然也可能产生误判的情形，那么对应构建的防护策略的有效性和防护效率也可能较低。

鉴于以上分析，可见现有的主要问题是人工分析过程中较大可能的误判而导致的攻击效率和防护效率较低，在本申请中，考虑到目前机器学习技术的大范围使用，本申请实施例提供了一种基于机器学习的模拟拒绝服务攻击的技术方案，即利用机器学习的思想来模拟替代人工的数据分析和策略构建，尽量消除由于分析人员的分析能力限制和主观性而导致的误判和分析不全面而导致的负面影响，进而可以在一定程度上提高分析和预测的准确性，从而提高拒绝服务攻击效率的对应的防护效率。并且，在进行机器学习时，是利用上一轮拒绝服务攻击中被拦截的攻击包对防护预测模型进行训练学习，由于被拦截的攻击包能够客观地反映出防护节点的防护方向和防护方式，所以通过上一轮攻击过程中被拦截的攻击包进行模型训练学习的方式能够确保模型训练的准确性，使得训练后的预测防护模型能够尽量逼近预测防护节点最近使用的防护策略，进而增加模拟攻击的有效性。

进一步地，本申请实施例提供的模拟拒绝服务攻击的技术方案，可应用于数据中心、各种商业平台、私有云服务等容易遭受网络攻击和对应进行攻击防御的模拟场景，主要针对例如DoS或DDoS类型的拒绝服务攻击，通过机器学习的方式对拒绝服务攻击进行模拟，可以得到攻击方不断训练学习的防护预测模型，进而可以基于该防护预测模型进行攻击测试，同时，还可以根据训练得到的防护预测模型来对防护方的防护策略进行预测，进而反向推导出攻击方所采用的攻击策略，再在此基础上对后续使用的防护策略进行调整优化，以在攻击策略更新之后快速地优化出对应的防护策略，提高防护效率和防护有效性。

在介绍完本申请实施例的设计思想之后，下面对本申请实施例中的模拟拒绝服务攻击的技术方案适用的应用场景做一些简单介绍，需要说明的是，以下介绍的应用场景仅用于说明本申请实施例而非限定。在具体实施时，可以根据实际需要灵活地应用本申请实施例提供的技术方案。

请参见图2A所示的一种应用场景示意图，在该应用场景中包括攻击设备、防护节点和目标设备，其中的攻击设备可以理解为是图1A中的攻击设备，或者也可以理解为是图1B中的攻击设备或傀儡机，在攻击设备和目标设备之间部署有防护节点，该防护节点可以是一个防护设备，例如是支持高宽带、高吞吐率的专业防护设备，或者该防护节点也可以是购买的云盾服务对应的云防护服务器，无论是何种部署形式，防护节点中均设置有防护策略，通过防护节点可以对攻击设备发送的攻击包进行一定程度的识别和过滤而实现攻击防御的目的，但是由于防护节点的防护能力限制，根据攻击设备所采用的攻击策略不同，防护节点可能对于一些攻击包无法识别，进而会将这部分无法识别出的攻击包作为正常的业务包而发送给目标设备，进一步地，目标设备则可以接收到从防护节点透传过来的未被拦截(即拦截失败)的攻击包，而这部分拦截失败的攻击包则会对目标设备进行攻击，当拦截失败的攻击包达到一定数量时，可能造成目标设备的资源被大量占用，而使得目标设备无法对正常用户的正常请求进行响应，即遭受拒绝服务攻击。

再参见图2B所示的应用场景，与图2A所示的应用场景相比，图2B中增加了多个终端设备，该多个终端设备例如包括笔记本电脑、手机和个人电脑，这些终端设备可以向目标设备发起业务请求，例如图2B中所示的，在请求业务时，这些终端设备可以经由防护节点向目标设备发送业务包，防护节点基于自身的防护策略对这些业务包进行攻击性判断，当确定这些业务包不具有攻击性时则将其再转发给目标设备，目标设备在接收这些业务包后即可与对应的终端设备进行业务往来。

由于本申请实施例中是对拒绝服务攻击进行模拟，所以本申请中的模拟拒绝服务攻击的方案可以应用于图2A所示的应用场景，即只模拟通过攻击包攻击目标设备的情形，在该情形下只涉及到攻击包，进一步地，考虑到实际的应用情形，本申请中的模拟拒绝服务攻击的方案还可以应用于图2B所示的应用场景，即在模拟攻击包攻击目标设备的同时，还可以同时模拟终端设备与目标设备之间的正常的业务交互。

为了便于理解，请再结合图3A-图3B所示的应用场景的简化示意图，例如可以将图3A对应着图2A的应用场景进行理解，以及可以将图3B对应着图2B的应用场景进行理解。另外，在模拟过程中，如图3A所示的，防护节点在完成一轮防御攻击之后，可以明确在本轮攻击中成功拦截的攻击包(即被拦截的攻击包)，进一步地，防护节点可以将被拦截的攻击包的相关信息发送给攻击设备，例如将所有的被拦截的攻击包的包序列号反馈给攻击设备，以便于攻击设备知晓本轮攻击的攻击结果，即明确哪些攻击包是被防护节点拦截了，以及哪些攻击包透过防护节点的防护而成功到达目标设备实现了有效攻击。再参见图3B所示，目标设备可以通过抓包工具确定从防护节点透传过来的所有数据包，如若是在模拟过程中仅仅只涉及到攻击包(不包括业务包)的情形，那么目标设备可以将获得的所有数据包均认为是透传过防护节点的攻击包，进而再将这些拦截失败的攻击包的相关信息(例如包序列号)发送给攻击设备，以便攻击设备知晓本轮攻击的攻击结果，或者，如若在模拟过程中同时涉及攻击包和业务包，那么可以预先按照一定的提示方式在攻击包中携带上用于表明该数据包是攻击包的攻击标识信息，那么目标设备在对获得的所有数据包进行解析后，则可以通过攻击标识信息的有无来判断哪些是攻击包哪些是非攻击包，进而再将确定的攻击包的想关信息发送给攻击设备，以便于攻击设备能够及时知晓本轮攻击的攻击结果。

为进一步说明本申请实施例提供的模拟拒绝服务攻击的方案，下面结合附图以及具体实施方式对此进行详细的说明。虽然本申请实施例提供了如下述实施例或附图所示的方法操作步骤，但基于常规或者无需创造性的劳动在所述方法中可以包括更多或者更少的操作步骤。在逻辑上不存在必要因果关系的步骤中，这些步骤的执行顺序不限于本申请实施例提供的执行顺序。所述方法在实际的处理过程中或者装置执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的应用环境)。

本申请实施例提供一种模拟拒绝服务攻击的方法，该方法可以应用于如图4所示的计算设备，请参见图4，本申请实施例中的计算设备包括接收器、数据生成器和发包器，以及还包括防护策略分析器和防护策略预测器。其中，接收器用于接收其它设备发送给该计算设备的信息，例如接收防护节点发送的被拦截的攻击包的相关信息，或者接收如目标设备发送的拦截失败的攻击包的相关信息，防护策略分析器可以对防护节点的防护策略进行分析，例如根据接收器所接收的被拦截的攻击包的相关信息对防护节点的防护策略进行分析，进而得到分析结果，防护策略分析器可以将分析结果发送给防护策略预测器，防护策略预测器可以根据分析结果猜测防护节点所采取的防护策略，然后再按照绕过猜测出的防护节点所采用的防护策略的原则向数据生成器输出数据生成规则，使得数据生成器可以按照获得的数据生成规则生成新一轮攻击用的攻击包，然后通过发包器向目标设备发送新生成的攻击包以进行新一轮的拒绝服务攻击。

图4所示的计算设备中，防护策略分析器和防护策略预测器这两部分主要是通过上一轮被拦截的攻击包对防护节点上一轮采用的防护策略进行分析，进而再在此基础上对防护节点下一轮所采用的防护策略进行预测，然后再按照尽量绕开防护节点下一轮可能使用的防护策略来制定下一轮模拟攻击的攻击方策略，并且在具体实施过程中，可以使用上一轮被拦截的攻击包对防护预测模型进行训练，再通过训练后的防护预测模型进行下一轮的模拟攻击的方式来提高模拟攻击的有效性，所以可以整体上将防护策略分析器和防护策略预测器看作是对防护预测模型进行模型训练的部分，所以在图4中是将防护策略分析器和防护策略预测器置于同一个虚线框中，以此方式来表达这两者之间的功能关联性。

在具体实施过程中，图4所示的计算设备可以是笔记本电脑、个人电脑、手机、个人数字助理(Personal Digital Assistant，PDA)、个人计算机等终端设备，或者也可以是服务器，该服务器例如是个人计算机、大中型计算机、计算机集群，等等。

以下结合图5所示的方法流程图对本申请实施例中的模拟拒绝服务攻击的方法进行说明，图5所示的各步骤可以由如图4所示的计算设备执行。

步骤501：确定在上一轮拒绝服务模拟攻击过程中被拦截的攻击包。

在模拟拒绝服务攻击的过程中，可以进行多轮模拟攻击，在每轮模拟攻击之后，计算设备可以按照例如前述的图3A或图3B的方式确定在上一轮模拟攻击过程中被拦截的攻击包，通过被拦截的攻击包，计算设备可以知晓什么样的攻击包被防护节点成功拦截了，进而可以通过这些被拦截的攻击包来分析防护节点的防护方向和防护方式，即对防护节点所采用的防护策略进行猜测。

另外，还可以根据被拦截的攻击包的数量与发送的总的攻击包的数量的比值来计算攻击效率，攻击效率可以是指攻击成功的攻击包与总的攻击包之间的比值，或者也可以是攻击成功的攻击包与被拦截发的攻击包(即攻击失败的攻击包)之间的比值，等等。例如发送的总的攻击包是10000个，而被拦截的攻击包的数量是3500，以攻击效率是指攻击成功的攻击包与总的攻击包之间的比值为例，那么则可以计算出攻击效率是65％，即有6500个攻击包成功穿过防护节点的防护而到达目标设备对目标设备进行了攻击。

步骤502：使用被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型。

本申请实施例中的防护预测模型是用于对防护节点所采用的防护策略进行预测的机器模型，在具体实施过程中，可以通过机器学习的方式来得到该防护预测模型，例如是使用在拒绝服务攻击过程中被拦截的攻击包作为训练基础而训练得到的模型，而模型训练的方式本申请不做具体限制，例如可以采用预设的循环神经网络对被拦截的攻击包进行训练后获得该防护预测模型，训练所需的拦截的攻击包根据上一轮的攻击结果确定，即通过循环神经网络中当前的输出与前面的输出有关联的逻辑，可以依赖于上一轮的攻击结果来进行下一轮的防护预测，进而完成对防护预测模型的学习和训练；或者例如还可以采用决策树算法对被拦截的攻击包进行分析训练，进而得到训练后的防护预测模型；或者还可以采用其它的机器学习算法对防护预测模型进行学习训练，本申请实施例就不再举例说明了。

由于防护预测模型是基于被拦截的攻击包再通过机器学习的方式得到的机器模型，而无需人工进行分析，所以可以在一定程度上节约时间，提高效率。同时还可以避免人为的主观和误判，减少人为因素的影响，这样得到的防护预测模型能够更加准确的预测防护节点所采用的防护策略，进而提高预测的准确性，达到提高模拟攻击的有效性的目的。

在完成了一轮拒绝服务模拟攻击的基础上，为了提高下一轮模拟攻击的有效性，本申请实施例可以使用上一轮被拦截的攻击包对防护预测模型进行训练，进而得到训练后的防护预测模型，通过该训练可以使得防护预测模型能够学习上一轮模拟攻击中防护节点所采用的防护策略，通过机器自我学习的方式提升防护预测模型的预测准确性，使得防护预测模型能够根据上一次的攻击结果来修正、提高自身的预测能力，增强了计算设备的自学习性能。

步骤503：通过训练后的防护预测模型进行下一轮的拒绝服务模拟攻击。

如前所述，由于训练后的防护预测模型通过自学习的方式可以在一定程度上提升预测的准确性，所以当通过训练后的防护预测模型进行下一轮的拒绝服务模拟攻击的话自然也就可以提升攻击的有效性。并且，即使在防护节点的防护策略发生变化的基础上，通过机器自学习的方式也可以尽快地对变化的防护策略进行再次训练学习，以快速地确定出防护节点最可能使用的防护策略，进而提升模拟攻击的效率，利用这种机器自学习的方式可以确保模拟攻击的持续进行，提供连续有效的模拟攻击，以尽量缩短对目标设备成功攻击的时间，提高攻击效率。

在通过训练后的预测防护模型完成下一轮的拒绝服务攻击之后，计算设备可以确定针对该下一轮的拒绝服务攻击的攻击效率，而确定攻击效率的方式例如可以按照步骤501中介绍的方式执行，在计算出了攻击效率之后，若发现攻击效率小于预定攻击效率阈值，即表明攻击效率很低，说明大多数的攻击包都被防护节点成功拦截了，那么为了提高下一次攻击的有效性，计算设备可以再确定在该下一轮的模拟攻击中被拦截的攻击包，然后再使用这些被拦截的攻击包对之前训练过的防护预测模型再次进行训练，进而得到再次训练后的防护预测模型，然后再通过该再次训练后的防护预测模型进行新一轮的模拟攻击。

也就是说，在每轮攻击之后，可以根据本轮的攻击效率来确定是否对防护预测模型进行再次训练，当攻击效率较高时，表明本轮攻击的有效性强，那么说明本轮攻击中防护预测模型是较为准确的预测到了防护节点所采用的防护策略的，所以在此基础上可以暂时不对防护预测模型再次训练。如若攻击效率较低，则说明防护预测模型的预测精度不高，即预测的防护节点所采用的防护策略与防护节点实际所采用的防护策略相差较大，这可能是由于防护预测模型的预测能力不足，也有可能是因为防护节点在很快的时间内更新了防护策略，所以为了下一轮能够进行有效的攻击，在本轮的攻击效率较低时则对防护预测模型进行再一次的训练学习，并且为了能够尽量地攻破防护节点的防御，所以使用最近一次攻击过程中被拦截的攻击包对防护预测模型进行训练，即对防护节点最近采用的防护策略进行机器自学习，进而通过再次训练后的防护预测模型实现对防护节点很有可能是下一轮攻击时使用的防护策略进行准确的预测，通过高精度的预测来实现有效的攻击，提高攻击的有效性和连续性。

本申请实施例中，可以通过迭代的方式对防护预测模型进行多次迭代训练，通过迭代的不断自学习，可以使得防护预测模型能够与防护节点所使用的防护策略尽量靠近，能够适应地跟随防护节点的防护策略升级而自学习升级，从而提高对防护节点使用的防护策略的预测准确性，进而可以相应地提高攻击效率和攻击连续性。

为了便于理解，以下结合图6对本申请实施例中的对防护预测模型进行训练的过程进行说明，在该训练过程中，是使用上一轮拒绝服务模拟攻击过程中被拦截的攻击包对防护预测模型进行训练为例进行说明。

步骤601：在获得上一轮拒绝服务模拟攻击过程中被拦截的攻击包之后，计算设备可以对被拦截的攻击包分别包括的字段进行统计，确定携带有攻击信息的目标字段。

为了便于理解，以DDoS为例，以下先对DDoS攻击的攻击方式进行介绍。

如前所述，DDoS攻击是通过大量合法的请求占用大量网络资源，以达到网络弹簧而拒接服务的目的，目前主要的DDoS攻击方式是：攻击者向希望攻击设备(即目标设备)发送虚假的数据包以欺骗目标设备进行无效响应，通过大量的无效响应来占用目标设备的资源。

例如，攻击设备将数据包中的源网际协议(Internet Protocol，IP)地址设置为不存在或不合法的值，即对自身的IP地址进行了一定程度的伪装，目标设备一旦接收到该数据包便会向该数据包中的源IP地址返回接收请求反馈，但是由于该源IP地址是不存在或者不合法的，所以该接收请求反馈则会一直返回不到来源处的设备，形成无效响应。

又例如，攻击设备将发送的数据包中的源地址和目标地址都设置为攻击对象的IP地址，即源地址和目标地址均是目标设备的IP地址，那么目标设备在接收这样的数据包之后，目标设备则会将接收请求反馈发送给自己，这种攻击则可能导致目标设备进入死循环，形成无效响应，最终可能会耗尽资源而死机。

以上列举了两种目前较为常用的DDoS攻击方式，这两种攻击方式的共同之处在于，均通过修改数据包的某些字段的内容或者在某些字段中添加无效内容而形成攻击包，通过这些修改的内容或添加的无效内容会导致目标设备进行无效响应，为了便于描述，本申请实施例中将攻击包中被攻击设备修改的某些字段的内容以及在某些字段中添加的无效内容称为攻击信息，即，通过攻击信息可以使得目标设备对于该数据包的响应是无效响应。

根据上述针对攻击信息的说明，进一步地可以对每个被拦截的攻击包所包括的字段进行分析统计，进而可以确定出携带有攻击信息的字段到底是哪些字段，为了便于描述，本申请实施例中将携带有攻击信息的字段称作目标字段。

例如请参见图7A所示的攻击包的结构示意图，可见图7A所示的攻击包包括字段a、字段b、字段c、字段d、字段e、字段f、字段g这7个字段，假设经过步骤601的统计分析，发现其中的字段a、字段d和字段g这3个字段中均携带有攻击信息。需要说明的是，由于被拦截的攻击包的数量可能较多，例如有的攻击包的字段a携带有一种攻击信息，有的攻击包的字段d携带有另一种攻击信息，有的攻击包的字段a携带了一张攻击信息，同时其字段d也携带有另一种攻击信息，等等。无论是哪个字段携带有攻击信息，以及一个攻击包无论有一个还是多个字段携带有攻击信息，只要确定某个字段携带有攻击信息即可，相当于是对所有的被拦截的攻击包进行整体检查，以整体上确定出携带有攻击信息的所有可能的目标字段。

另外，需要说明的是，由于不同的数据传输协议所对应的数据包格式不同，所以当采用不同的数据传输协议进行传输的攻击包所包括的字段类型和字段数量一般也不相同，在统计时可以针对每种类型的数据传输协议分别对目标字段进行统计。一些可能的数据传输协议例如包括用户数据报协议(User Datagram Protocol，UDP)、传输控制协议/网际协议(Transmission Control Protocol/Internet Protocol，TCP/IP)、控制报文(InternetControl Message Protocol，ICMP)协议，等等。

步骤602：针对每个目标字段，判断携带有该目标字段的攻击包在所有被拦截的攻击包中的所占比例是否大于等于预定比例值。

在步骤601的基础上，例如被拦截的攻击包的总数是100，而其中有88个攻击包的字段a中均携带有攻击信息，有93个攻击包的字段d中均携带有攻击信息，以及只有5个攻击包的字段g中均携带有攻击信息，那么进一步的，可以针对字段a、字段d和字段g，分别计算在每个字段中携带有攻击信息的攻击包数占攻击包总数的比值，经过计算，得到计算结果如下：

在字段a中携带有攻击信息的攻击包所占比例为88％；

在字段d中携带有攻击信息的攻击包所占比例为93％；

在字段g中携带有攻击信息的攻击包所占比例为5％。

假设预定比例值为8％，即表明携带有某个目标字段的攻击包的所占比例需要达到8％才会将其使用，由于攻击包的总数一般较大，所以所占比例过低的话对总的攻击效果影响较小，所以此时可以无需将其作为训练条件来对防护预测模型进行训练，通过预定比例阈值进行一定程度筛选的方式可以在不影响训练效果的前提下尽量减少计算设备的额外运算，降低负荷，节约设备资源。

步骤603：得到所有所占比例大于等于预定比例值的目标字段，并将筛选过的这些目标字段作为训练防护预测模型的目标字段。

继续前述例子，经过步骤602中的计算和比较，可以得到筛选后的目标字段是字段a和字段d，即通过字段a和字段d来对防护预测模型进行训练，而对于根据筛选后的目标字段对防护预测模型进行训练的详细实施方式，可以按照以下步骤604-步骤609介绍的方式进行实施，其中，可以将步骤604-步骤606的实施方式理解为是第一种训练方式，以及可以将步骤607-步骤608的实施方式理解为是第二种训练方式，以下针对这两种训练方式分别进行说明。

第一种训练方式

步骤604：判断防护预测模型的防护字段库中是否包括有前述的目标字段。

为了便于对防护节点防护的字段进行统计学习，可以为防护预测模型对应设置一个防护字段库，该防护字段库中所存储的字段即可以认为是防护节点可能会防御的字段的集合，继续前述例子，可以判断该防护字段库中是否包含有字段a和字段g。

步骤605：将目标字段添加到防护字段库中以实现防护字段库的更新。

若在防护预测模型的防护字段库中未包括前述的目标字段，即表明防护预测模型还不知晓防护节点能够对这些目标字段进行防御，也就是说，通过该方式可以知晓防护节点能够防御的字段是哪些字段。如果防护预测模型的防护字段库中不包括字段a和字段g这2个字段，则说明通过防护预测模型还无法知晓防护节点已经能够对在这2个字段中携带攻击信息的攻击方式进行防护，所以为了增加防护预测模型的预测能力和预测精度，可以将未包括在防护字段库中的目标字段添加到防护字段库中以实现防护预测模型所维护的防护字段库的更新。

步骤606：将更新后的防护字段库作为训练条件，输入防护预测模型而进行训练。

通过将更新后的防护字段库作为训练条件而进行训练，可以使得防护预测模型能够学习到防护节点所采用的防护策略能够防御的字段，那么后期在制定攻击策略时，在有其它字段可以携带攻击信息的基础上则可以绕开这些目标字段生成攻击包，以尽量避免被防护节点拦截，提高攻击的有效性。

第二种训练方式

步骤607：根据每个目标字段携带的攻击信息的比特位，确定对应于每个目标字段的防护阈值范围。

其中，防护阈值范围是指一个字段中能够被防护设备防御拦截到攻击信息的阈值范围，举例来说，请参见图7B所示，例如字段a包括8比特(bit)，以及字段d包括4bit，由于每个bit位包括0和1两种状态，所以通过字段a的8bit可以得到0-255的数值范围，以及通过字段d的4bit可以得到0-15的数值范围，如果通过分析，确定出字段a中的48-155和190-218这两个数值范围内的攻击信息被防护节点拦截，即在被拦截的攻击包中大多数在字段a中携带有攻击信息的数值范围均是在48-155和190-218这两个数值范围内，那么则可以将这两个数值范围理解为是本申请实施例中的防护阈值范围。按照相同的方式，还可以确定字段d中的防护阈值范围，为了简洁，此处就不展开说明了。

在具体实施过程中，步骤607可以在步骤603后执行，或者可以在步骤604的判断结果为是后执行，或者也可以在步骤605后执行，等等，也就是说，步骤607的执行顺序可以有多种，对于步骤607的执行顺序可以不做特别限制。

对于上述介绍的确定目标字段以及确定每个目标字段中的防护阈值范围，均可以采用决策树算法，在一种可能的实施方式中，可以利用决策树算法的运算逻辑来计算每个字段的信息熵，进而通过各自的信息熵的大小来衡量该字段是否可以作为目标字段而被最终用来训练防护预测模型；在另一种可能的实施方式中，还可以利用决策树算法的运算逻辑来计算每个目标字段中各个防护阈值范围之间的信息增益，进而通过信息增益的取值来判断哪些防护阈值范围能够被防护的几率，通过该方式可以得到各个目标字段中的防护阈值范围之间的一定关联，以便于后期在使用这些防护阈值范围构建攻击策略时，能够通过其关联性来构建更为精准、有效的攻击策略。

步骤608：将对应于每个目标字段的防护阈值范围作为训练条件输入防护预测模型进行训练。

进一步地，可以将对应于每个目标字段的防护阈值范围作为训练条件来对防护预测模型进行训练，由于防护阈值范围能够较为精准地标识出每个目标字段中能够被防护节点防护的数值范围，所以通过自学习的方式可以使得训练后的防护预测模型能够更为精确地知晓防护节点针对每个目标字段所防护的指数值范围，在此基础上，则可以更加精准地对防护节点的防护策略进行预测，进一步地，在构建攻击策略时，也就可以通过单个的目标字段中可作用攻击使用的攻击数值范围以及各个目标字段中的可作为攻击使用的攻击数值范围联合起来构建最终的攻击使用范围，这样可以增加构建攻击数据的多样性和复杂程度，提高攻击难度，自然也就增加了防护节点的防御难度。

步骤609：得到训练后的防护预测模型。

无论采用第一种训练方式还是第二种训练方式对防护预测模型进行训练之后，均可得到训练后的防护预测模型，即在步骤606之后或在步骤608之后可得到步骤609中训练后的防护预测模型。

本申请实施例中，由于通过训练得到的防护预测模型可以对防护方的防护策略进行预测，那么对于防护方来说，在得到该防护预测模型之后，可以使用该防护预测模型对攻击方对于自身的防护策略的预测，进而反向推导出攻击方所采用的攻击策略，再在此基础上对后续使用的防护策略进行调整优化，在攻击策略更新之后快速地优化出对应的防护策略，提高防护效率和防护有效性。

基于此，本申请实施例还提供一种防护节点，请参见图8所示，该防护节点包括接收器、防护策略分析器、攻击策略预测器、防护策略构建器和攻击防御器，其中，攻击防御器可以使用防护策略构建器所构建的目标防护策略来防御攻击。另外，本申请实施例还提供一种模拟防御拒绝服务攻击的技术方案，该技术方案可以由图8所示的防护节点执行，为了便于理解本申请实施例中的模拟防御拒绝服务攻击的技术方案，以下结合图9进行说明。

步骤901：攻击设备向防护节点发送上一轮模拟攻击中的所有攻击包。

防护节点基于自身的防护策略可以对攻击设备发送的攻击包进行防护拦截，根据自身的防护能力，可能会有一些拦截失败的攻击包，除去拦截失败的攻击包，其余的则为被拦截的攻击包。

步骤902：防护节点将上一轮模拟攻击中被拦截的攻击包发送给攻击设备。

步骤903：攻击设备根据上一轮中被拦截的攻击包，得到训练后的防护预测模型。

具体的训练过程可以参见前述说明，此处就不赘述了。

步骤904：攻击设备将训练后的防护预测模型发送给防护节点。

在模拟过程中，可以通过攻击设备将训练后的防护预测模型直接发送给防护节点，在实际实施过程中，还可以采用其它可能的方式令防护节点获得训练后的防护预测模型。

步骤905：防护节点根据训练后的防护预测模型，确定攻击设备预测的下一轮的防护策略。

步骤906：防护节点根据攻击设备预测的下一轮自身使用的防护策略，可以反向推导预测出攻击设备下一轮攻击使用的攻击策略。

步骤907：防护节点按照绕开预测出的攻击设备下一轮使用的攻击策略，构建最终使用的目标防护策略，例如称作目标防护策略。

步骤908：防护节点再使用新构建的目标防护策略防御下一轮的攻击。

也就是说，防护节点可以根据训练后的防护预测模型对攻击设备的攻击策略进行反向推导预测，进而可以自适应地优化调整自身采用的防护策略，相当于是通过自适应的机器学习过程来实现对攻击策略的有效抵抗，进而可以提高防护效率和防护有效性。

基于同一发明构思，本申请实施例提供一种模拟拒绝服务攻击的装置，该模拟拒绝服务攻击的装置可以是终端设备或者是服务器，该模拟拒绝服务攻击的装置能够实现前述的模拟拒绝服务攻击的方法中攻击设备的功能；或者，该模拟拒绝服务攻击的装置也可以是能够支持终端设备或服务器实现前述的模拟拒绝服务攻击的方法中攻击设备的功能的装置。该模拟拒绝服务攻击的装置可以是硬件结构、软件模块、或硬件结构加软件模块。该模拟拒绝服务攻击的装置可以由芯片系统实现，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。请参见图10所示，本申请实施例提供的模拟拒绝服务攻击的装置包括第一确定模块1001、模型训练模块1002和模拟攻击模块1003，其中：

第一确定模块1001，用于确定在上一轮拒绝服务模拟攻击过程中被拦截的攻击包；

模型训练模块1002，用于使用被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，其中，防护预测模型用于预测防护节点采用的防护策略；

模拟攻击模块1003，用于通过训练后的防护预测模型进行下一轮的拒绝服务模拟攻击。

在一种可能的实施方式中，模拟攻击模块1003具体用于：通过训练后的防护预测模型预测防护节点下一轮采用的目标防护策略；并按照绕开目标防护策略的数据生成规则，生成目标攻击包；再使用目标攻击包进行下一轮的拒绝服务模拟攻击。

在一种可能的实施方式中，模型训练模块1002具体用于：对被拦截的攻击包分别包括的字段进行统计，确定携带有攻击信息的目标字段，其中，对携带有攻击信息的数据包进行的响应是无效响应；再根据目标字段对防护预测模型进行训练，得到训练后的防护预测模型。

在一种可能的实施方式中，模型训练模块1002具体用于：若防护预测模型的防护字段库中未包括目标字段，则将目标字段添加到防护字段库中以实现对防护字段库的更新；并将更新后的防护字段库作为训练条件输入防护预测模型进行训练。

在一种可能的实施方式中，模型训练模块1002具体用于：根据每个目标字段携带攻击信息的比特位，确定对应于每个目标字段的防护阈值范围；将对应于每个目标字段的防护阈值范围作为训练条件输入防护预测模型进行训练。

在一种可能的实施方式中，模型训练模块1002具体用于：针对每个目标字段，确定携带有该目标字段的攻击包在所有的被拦截的攻击包中的所占比例是否大于等于预定比例值；并将所占比例大于等于预定比例值的目标字段作为训练防护预测模型的目标字段。

在一种可能的实施方式中，本申请实施例中的模拟拒绝服务攻击的装置还包括第二确定模块，其中：

第二确定模块，用于在模拟攻击模块1003通过训练后的防护预测模型进行下一轮的拒绝服务模拟攻击之后，确定针对下一轮的拒绝服务模拟攻击的攻击效率；

模型训练模块1002，还用于在攻击效率小于预定攻击效率阈值时，使用在下一轮的拒绝服务模拟攻击过程中被拦截的攻击包对训练后的防护预测模型重新进行训练，得到再次训练后的防护预测模型；

模拟攻击模块1003，还用于通过再次训练后的防护预测模型进行新一轮的拒绝服务模拟攻击。

在一种可能的实施方式中，本申请实施例中的模拟拒绝服务攻击的装置还包括发送模块，用于在得到训练后的防护预测模型之后，将训练后的防护预测模型发送给防护节点，以使防护节点根据训练后的防护预测模型确定预测的下一轮的防护策略。

前述的模拟拒绝服务攻击的方法的实施例涉及的各步骤的所有相关内容均可以援引到本申请实施例中的模拟拒绝服务攻击的装置所对应的功能模块的功能描述，在此不再赘述。

基于同一发明构思，本申请实施例还提供一种模拟防御拒绝服务攻击的装置，该模拟防御拒绝服务攻击的装置可以是前述的防护节点，例如专用的防护设备或者服务于云盾防护服务的防护服务器，该模拟防御拒绝服务攻击的装置能够实现前述的模拟防御拒绝服务攻击的方法中防护节点的功能；或者，该模拟防御拒绝服务攻击的装置也可以是能够支持防护节点实现前述的模拟防御拒绝服务攻击的方法中防护节点的功能的装置。该模拟防御拒绝服务攻击的装置可以是硬件结构、软件模块、或硬件结构加软件模块。该模拟防御拒绝服务攻击的装置可以由芯片系统实现，芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。请参见图11所示，本申请实施例提供的模拟防御拒绝服务攻击的装置包括确定模块1101、预测模块1102、策略构建模块1103和攻击防御模块1104，其中：

确定模块1101，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如前述的模拟拒绝服务的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

预测模块1102，用于根据预测的下一轮的防护策略，预测下一轮的攻击策略；

策略构建模块1103，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御模块1104，用于使用目标防护策略防御下一轮的拒绝服务模拟攻。

前述的模拟防御拒绝服务攻击的方法的实施例涉及的各步骤的所有相关内容均可以援引到本申请实施例中的模拟防御拒绝服务攻击的装置所对应的功能模块的功能描述，在此不再赘述。

本申请实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，另外，在本发明各个实施例中的各功能模块可以集成在一个处理器中，也可以是单独物理存在，也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。

基于同一发明构思，本申请实施例还提供一种计算设备，该计算设备例如是图4中的计算设备，或者可以是图9中的防护节点，如图12所示，本申请实施例中的计算设备包括至少一个处理器1201，以及与至少一个处理器1201连接的存储器1202和通信接口1203，本申请实施例中不限定处理器1201与存储器1202之间的具体连接介质，图12中是以处理器1201和存储器1202之间通过总线1200连接为例，总线1200在图12中以粗线表示，其它部件之间的连接方式，仅是进行示意性说明，并不引以为限。总线1200可以分为地址总线、数据总线、控制总线等，为便于表示，图12中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

在本申请实施例中，存储器1202存储有可被至少一个处理器1201执行的指令，至少一个处理器1201通过执行存储器1202存储的指令，可以执行前述的模拟拒绝服务攻击的方法或模拟防御拒绝服务攻击的方法中所包括的步骤。

其中，处理器1201是计算设备的控制中心，可以利用各种接口和线路连接整个终端设备的各个部分，通过运行或执行存储在存储器1202内的指令以及调用存储在存储器1202内的数据，终端设备的各种功能和处理数据，从而对终端设备进行整体监控。可选的，处理器1201可包括一个或多个处理单元，处理器1201可集成应用处理器和调制解调处理器，其中，处理器1201主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器1201中。在一些实施例中，处理器1201和存储器1202可以在同一芯片上实现，在一些实施例中，它们也可以在独立的芯片上分别实现。

处理器1201可以是通用处理器，例如中央处理器(CPU)、数字信号处理器、专用集成电路、现场可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件，可以实现或者执行本申请实施例中公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。

存储器1202作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块。存储器1202可以包括至少一种类型的存储介质，例如可以包括闪存、硬盘、多媒体卡、卡型存储器、随机访问存储器(Random AccessMemory，RAM)、静态随机访问存储器(Static Random Access Memory，SRAM)、可编程只读存储器(Programmable Read Only Memory，PROM)、只读存储器(Read Only Memory，ROM)、带电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory，EEPROM)、磁性存储器、磁盘、光盘等等。存储器1202是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。本申请实施例中的存储器1202还可以是电路或者其它任意能够实现存储功能的装置，用于存储程序指令和/或数据。

通信接口1203是能够用于进行通信的传输接口，例如可以通过通信接口1203接收数据或者发送数据。

参见图13所示的计算设备的进一步地的结构示意图，该计算设备还包括帮助计算设备内的各个器件之间传输信息的基本输入/输出系统(I/O系统)1301、用于存储操作系统1302、应用程序1303和其他程序模块1304的大容量存储设备1305。

基本输入/输出系统1301包括有用于显示信息的显示器1306和用于用户输入信息的诸如鼠标、键盘之类的输入设备1307。其中显示器1306和输入设备1307都通过连接到系统总线1200的基本输入/输出系统1301连接到处理器1201。所述基本输入/输出系统1301还可以包括输入输出控制器以用于接收和处理来自键盘、鼠标、或电子触控笔等多个其他设备的输入。类似地，输入输出控制器还提供输出到显示屏、打印机或其他类型的输出设备。

所述大容量存储设备1305通过连接到系统总线1200的大容量存储控制器(未示出)连接到处理器1201。所述大容量存储设备1305及其相关联的计算机可读介质为该服务器包提供非易失性存储。也就是说，大容量存储设备1305可以包括诸如硬盘或者CD-ROM驱动器之类的计算机可读介质(未示出)。

根据本申请的各种实施例，该计算设备包还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即该计算设备可以通过连接在所述系统总线1200上的通信接口1203连接到网络1308，或者说，也可以使用通信接口1203来连接到其他类型的网络或远程计算机系统(未示出)。

基于同一发明构思，本申请实施例还提供一种存储介质，该存储介质存储有计算机指令，当该计算机指令在计算机上运行时，使得计算机执行如前述的模拟拒绝服务攻击的方法或模拟防御拒绝服务攻击的方法的步骤。

基于同一发明构思，本申请实施例还提供一种拟拒绝服务攻击的装置，该拟拒绝服务攻击的装置包括至少一个处理器及存储介质，当该存储介质中包括的指令被该至少一个处理器执行时，可以执行如前述的模拟拒绝服务攻击的方法的步骤。

基于同一发明构思，本申请实施例还提供一种模拟防御拒绝服务攻击的装置，该模拟防御拒绝服务攻击的装置包括至少一个处理器及存储介质，当该存储介质中包括的指令被该至少一个处理器执行时，可以执行如前述的模拟防御拒绝服务攻击的方法的步骤。

基于同一发明构思，本申请实施例还提供一种芯片系统，该芯片系统包括处理器，还可以包括存储器，用于实现如前述的模拟拒绝服务攻击的方法或模拟防御拒绝服务攻击的方法的步骤。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

在一些可能的实施方式中，本申请提供的模拟拒绝服务攻击的方法和模拟防御拒绝服务攻击的方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在计算机上运行时，所述程序代码用于使所述计算机执行前文述描述的根据本申请各种示例性实施方式的模拟拒绝服务攻击的方法和模拟防御拒绝服务攻击的方法中的步骤。

基于同一发明构思，本申请实施例还提供一种模拟拒绝服务攻击的装置置，该装置包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行前文述描述的根据本申请各种示例性实施方式的模拟拒绝服务攻击的方法中的步骤。

基于同一发明构思，本申请实施例还提供一种模拟防御拒绝服务攻击的装置，该装置包括：存储器，用于存储程序指令；处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行前文述描述的根据本申请各种示例性实施方式的模拟防御拒绝服务攻击的方法中的步骤。

在一些可能的实施方式中，本申请提供的一种模拟拒绝服务攻击的方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在设备上运行时，程序代码用于使攻击设备执行本说明书上述描述的根据本申请各种示例性实施方式的一种模拟拒绝服务攻击的方法中的步骤，例如，可以执行如图5和图6所示的实施例。

在一些可能的实施方式中，本申请提供的一种模拟防御拒绝服务攻击的方法的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在设备上运行时，程序代码用于使防护节点执行本说明书上述描述的根据本申请各种示例性实施方式的一种模拟防御拒绝服务攻击的方法中的步骤，例如，可以执行如图9中防护节点对应的实施例。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

本申请实施例中的程序产品可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在计算设备上运行。然而，本申请中的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括——但不限于——电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括——但不限于——无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本申请操作的程序代码，程序设计语言包括面向实体的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims (17)

1.一种模拟拒绝服务攻击的方法，其特征在于，所述方法包括：

确定在上一轮拒绝服务模拟攻击过程中被拦截的攻击包；

使用所述被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，其中，所述防护预测模型用于预测防护节点采用的防护策略；

通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击；

其中，使用所述被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，包括：

对所述被拦截的攻击包分别包括的字段进行统计，确定携带有攻击信息的目标字段，其中，对携带有所述攻击信息的数据包进行的响应是无效响应；

根据所述目标字段对所述防护预测模型进行训练，得到所述训练后的防护预测模型；其中，根据所述目标字段对所述防护预测模型进行训练包括：若所述防护预测模型的防护字段库中未包括所述目标字段，则将所述目标字段添加到所述防护字段库中以实现对所述防护字段库的更新，并将更新后的防护字段库作为训练条件输入所述防护预测模型进行训练；或者，根据每个目标字段携带所述攻击信息的比特位，确定对应于每个目标字段的防护阈值范围，并将对应于每个目标字段的防护阈值范围作为训练条件输入所述防护预测模型进行训练。

2.如权利要求1所述的方法，其特征在于，通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击，包括：

通过所述训练后的防护预测模型预测所述防护节点下一轮采用的目标防护策略；

按照绕开所述目标防护策略的数据生成规则，生成目标攻击包；

使用所述目标攻击包进行所述下一轮的拒绝服务模拟攻击。

3.如权利要求1所述的方法，其特征在于，根据所述目标字段对所述防护预测模型进行训练，包括：

针对每个目标字段，确定携带有该目标字段的攻击包在所有的被拦截的攻击包中的所占比例是否大于等于预定比例值；

将所占比例大于等于所述预定比例值的目标字段作为训练所述防护预测模型的目标字段。

4.如权利要求1-3任一所述的方法，其特征在于，在通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击之后，所述方法还包括：

确定针对所述下一轮的拒绝服务模拟攻击的攻击效率；

在所述攻击效率小于预定攻击效率阈值时，使用在所述下一轮的拒绝服务模拟攻击过程中被拦截的攻击包对所述训练后的防护预测模型重新进行训练，得到再次训练后的防护预测模型；

通过所述再次训练后的防护预测模型进行新一轮的拒绝服务模拟攻击。

5.如权利要求1-3任一所述的方法，其特征在于，在得到训练后的防护预测模型之后，所述方法还包括：

将所述训练后的防护预测模型发送给所述防护节点，以使所述防护节点根据所述训练后的防护预测模型确定预测的下一轮的防护策略。

6.一种模拟防御拒绝服务攻击的方法，其特征在于，所述方法包括：

在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求1-3任一所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

使用所述目标防护策略防御下一轮的拒绝服务模拟攻击。

7.一种模拟防御拒绝服务攻击的方法，其特征在于，所述方法包括：

在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求4所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

使用所述目标防护策略防御下一轮的拒绝服务模拟攻击。

8.一种模拟防御拒绝服务攻击的方法，其特征在于，所述方法包括：

在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求5所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

使用所述目标防护策略防御下一轮的拒绝服务模拟攻击。

9.一种模拟拒绝服务攻击的装置，其特征在于，所述装置包括：

第一确定模块，用于确定在上一轮拒绝服务模拟攻击过程中被拦截的攻击包；

模型训练模块，用于使用所述被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，其中，所述防护预测模型用于预测防护节点采用的防护策略；

模拟攻击模块，用于通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击；

其中，所述模型训练模块用于：

对所述被拦截的攻击包分别包括的字段进行统计，确定携带有攻击信息的目标字段，其中，对携带有所述攻击信息的数据包进行的响应是无效响应；

根据所述目标字段对所述防护预测模型进行训练，得到所述训练后的防护预测模型；其中，根据所述目标字段对所述防护预测模型进行训练包括：若所述防护预测模型的防护字段库中未包括所述目标字段，则将所述目标字段添加到所述防护字段库中以实现对所述防护字段库的更新，并将更新后的防护字段库作为训练条件输入所述防护预测模型进行训练；或者，根据每个目标字段携带所述攻击信息的比特位，确定对应于每个目标字段的防护阈值范围，并将对应于每个目标字段的防护阈值范围作为训练条件输入所述防护预测模型进行训练。

10.一种计算设备，其特征在于，所述计算设备包括：

接收器，用于接收在上一轮拒绝服务模拟攻击过程中被拦截的攻击包；

防护策略分析器，用于使用所述被拦截的攻击包对防护预测模型进行训练，得到训练后的防护预测模型，其中，所述防护预测模型用于预测防护节点采用的防护策略；

发包器，用于通过所述训练后的防护预测模型进行下一轮的拒绝服务模拟攻击；

其中，所述防护策略分析器用于：

对所述被拦截的攻击包分别包括的字段进行统计，确定携带有攻击信息的目标字段，其中，对携带有所述攻击信息的数据包进行的响应是无效响应；

根据所述目标字段对所述防护预测模型进行训练，得到所述训练后的防护预测模型；其中，根据所述目标字段对所述防护预测模型进行训练包括：若所述防护预测模型的防护字段库中未包括所述目标字段，则将所述目标字段添加到所述防护字段库中以实现对所述防护字段库的更新，并将更新后的防护字段库作为训练条件输入所述防护预测模型进行训练；或者，根据每个目标字段携带所述攻击信息的比特位，确定对应于每个目标字段的防护阈值范围，并将对应于每个目标字段的防护阈值范围作为训练条件输入所述防护预测模型进行训练。

11.如权利要求10所述的计算设备，其特征在于，所述计算设备还包括防护策略预测器和数据生成器，其中：

所述防护策略预测器，用于通过所述训练后的防护预测模型预测所述防护节点下一轮采用的目标防护策略；

所述数据生成器，用于按照绕开所述目标防护策略的数据生成规则，生成目标攻击包；

所述发包器，用于发送所述目标攻击包以通过所述目标攻击包进行所述下一轮的拒绝服务模拟攻击。

12.一种模拟防御拒绝服务攻击的装置，其特征在于，所述装置包括：

确定模块，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求1-3任一所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

预测模块，用于根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

策略构建模块，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御模块，用于使用所述目标防护策略防御下一轮的拒绝服务模拟攻。

13.一种模拟防御拒绝服务攻击的装置，其特征在于，所述装置包括：

确定模块，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求4所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

预测模块，用于根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

策略构建模块，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御模块，用于使用所述目标防护策略防御下一轮的拒绝服务模拟攻。

14.一种模拟防御拒绝服务攻击的装置，其特征在于，所述装置包括：

确定模块，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求5所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

预测模块，用于根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

策略构建模块，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御模块，用于使用所述目标防护策略防御下一轮的拒绝服务模拟攻。

15.一种计算设备，其特征在于，所述计算设备包括：

防护策略分析器，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求1-3任一所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

攻击策略预测器，用于根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

防护策略构建器，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御器，用于使用所述目标防护策略防御下一轮的拒绝服务模拟攻击。

16.一种计算设备，其特征在于，所述计算设备包括：

防护策略分析器，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求4所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

攻击策略预测器，用于根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

防护策略构建器，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御器，用于使用所述目标防护策略防御下一轮的拒绝服务模拟攻击。

17.一种计算设备，其特征在于，所述计算设备包括：

防护策略分析器，用于在完成上一轮拒绝服务模拟攻击之后，通过按照如权利要求5所述的方法获得的训练后的防护预测模型确定预测的下一轮的防护策略；

攻击策略预测器，用于根据所述预测的下一轮的防护策略，预测下一轮的攻击策略；

防护策略构建器，用于按照绕过预测的下一轮的攻击策略的原则，构建目标防护策略；

攻击防御器，用于使用所述目标防护策略防御下一轮的拒绝服务模拟攻击。

Images