CN112351042B - 攻击流量计算方法、装置、电子设备和存储介质 - Google Patents
攻击流量计算方法、装置、电子设备和存储介质 Download PDFInfo
- Publication number
- CN112351042B CN112351042B CN202011278953.6A CN202011278953A CN112351042B CN 112351042 B CN112351042 B CN 112351042B CN 202011278953 A CN202011278953 A CN 202011278953A CN 112351042 B CN112351042 B CN 112351042B
- Authority
- CN
- China
- Prior art keywords
- current time
- period
- time period
- attack
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004364 calculation method Methods 0.000 title claims abstract description 37
- 238000012544 monitoring process Methods 0.000 claims abstract description 82
- 238000000034 method Methods 0.000 claims abstract description 27
- 230000015654 memory Effects 0.000 claims description 20
- 238000011156 evaluation Methods 0.000 abstract description 4
- 238000004590 computer program Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013024 troubleshooting Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0823—Errors, e.g. transmission errors
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种攻击流量计算方法、装置、电子设备和存储介质,涉及网络攻击流量评估技术领域,其中方法包括:对服务节点的每个时段的业务包数量进行监测;若在当前时段未监测到所述服务节点受到流量攻击,则使用当前时段的监测数据计算或调整当前时段所在周期的平均业务包数量;若在当前时段监测到所述服务节点受到流量攻击,则根据当前时段所在周期的最新监测数据和当前时段所在周期的平均业务包数量,计算当前时段的丢包率;获取当前时段的攻击包数量,并根据当前时段的攻击包数量和所述丢包率,计算当前时段的攻击流量。本申请能够较准确地对网络攻击流量进行评估。
Description
技术领域
本申请涉及网络技术领域,具体为网络攻击流量评估技术,具体涉及一种攻击流量计算方法、装置、电子设备和存储介质。
背景技术
随着网络技术的发展,网络攻击事件已成为常态,以DDoS(Distributed Denialof Service,分布式拒绝服务攻击)为例,DDoS一般采用大量的傀儡机发送合法的数据请求,这使得DDoS攻击成为较难防御的网络攻击技术之一。网络设备一般都有接入速率限制,当攻击流量较大而导致带宽达到接入上限时,业务数据包会出现丢失,从而造成业务损失。为了快速对业务止损,可以根据攻击流量调度服务到其他节点。而当攻击流量较大时,攻击数据包也会出现丢失,因此,如何准确地评估网络攻击流量变得非常关键。
发明内容
本申请提供了一种攻击流量计算方法、装置、电子设备和存储介质。
根据第一方面,本申请提供了一种攻击流量计算方法,包括:
对服务节点的每个时段的业务包数量进行监测;
若在当前时段未监测到所述服务节点受到流量攻击,则使用当前时段的监测数据计算或调整当前时段所在周期的平均业务包数量;
若在当前时段监测到所述服务节点受到流量攻击,则根据当前时段所在周期的最新监测数据和当前时段所在周期的平均业务包数量,计算当前时段的丢包率;获取当前时段的攻击包数量,并根据当前时段的攻击包数量和所述丢包率,计算当前时段的攻击流量。
根据第二方面,本申请提供了一种攻击流量计算装置,包括:
监测模块,用于对服务节点的每个时段的业务包数量进行监测;
第一计算模块,用于若在当前时段未监测到所述服务节点受到流量攻击,则使用当前时段的监测数据计算或调整当前时段所在周期的平均业务包数量;
第二计算模块,用于若在当前时段监测到所述服务节点受到流量攻击,则根据当前时段所在周期的最新监测数据和当前时段所在周期的平均业务包数量,计算当前时段的丢包率;获取当前时段的攻击包数量,并根据当前时段的攻击包数量和所述丢包率,计算当前时段的攻击流量。
根据第三方面,本申请提供了一种电子设备,包括:
至少一个处理器;以及
与至少一个处理器通信连接的存储器;其中,
存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行第一方面中的任一项方法。
根据第四方面,本申请提供了一种存储有计算机指令的非瞬时计算机可读存储介质,计算机指令用于使计算机执行第一方面中的任一项方法。
根据第五方面,本申请提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现第一方面中的任一项方法。
根据本申请的技术,通过对服务节点的每个时段的业务包数量进行监测,当服务节点发生超量攻击时,能够较准确地计算出当前时段的攻击流量,从而实现网络攻击流量的准确评估,这样,对于有调度能力的节点,可以根据攻击流量进行正确的流量调度,能够确保业务的稳定性。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是根据本申请第一实施例的攻击流量计算方法的流程示意图;
图2是根据本申请第二实施例的攻击流量计算装置的结构示意图;
图3是用来实现本申请实施例的攻击流量计算方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
以下对本申请的示范性实施例进行说明。
如图1所示,攻击流量计算方法,包括如下步骤:
步骤101:对服务节点的每个时段的业务包数量进行监测。
本申请实施例中,可以按照预设的周期将一定的时间长度划分为多个时段,例如,可以将一天的时间按照每两小时的时间周期划分为十二个时段。在划分时段之后,可以对服务节点的每个时段的业务包数据进行监测。
服务节点的每个时段的业务包数量,可以理解为,服务节点每个时段接收到的业务数据包数量。
本申请实施例中,可以通过创建业务模型,并使用该业务模型对服务节点的每个时段的业务包数量进行监测。
本申请实施例中,服务节点中的业务一般包括多种,可以对各种业务的业务包数量进行监测,也可以仅对TOP业务(可理解为主流业务或流量较大的业务)的业务包数量进行监测,本申请实施例对此不作限定。考虑到在服务节点受到流量攻击时,TOP业务所受到的影响较大,因此,可以优先对服务节点的TOP业务的业务包数量进行监测。
步骤102:若在当前时段未监测到所述服务节点受到流量攻击,则使用当前时段的监测数据计算或调整当前时段所在周期的平均业务包数量。
如果当前时段没有监测到服务节点受到流量攻击,则当前时段的监测数据可用来计算或调整当前时段所在周期的平均业务包数量。
当获取到与当前时段同周期的多个时段的监测数据,且这多个时段均未监测到服务节点受到流量攻击,则可以根据这多个时段的监测数据来统计当前时段所在周期的平均业务包数量,得到周期统计表{[T1,A1]、[T2,A2]、……、[Ti,Ai]、……},其中,Ti表示第i个周期,Ai表示第i个周期的平均业务包数量。
一般地,服务节点的业务包数量具有较明显的时间特性,在一些时段,服务节点的业务包数量往往较多,而在另一些时段,服务节点的业务包数据往往较少。因此,通过统计每个时段所在周期的平均业务包数量,能够较好地获取到服务节点的业务包数量的时间趋势,从而为后续监测服务节点是否受到流量攻击,以及在监测到服务节点受到流量攻击时对攻击流量的准确评估均能提供参考。
当获取到当前时段的新的监测数据时,且当前时段未监测到服务节点受到流量攻击,可以使用新的监测数据对当前时段所在周期的平均业务包数量进行调整,以使当前时段所在周期的平均业务包数量趋于稳定,从而使每个时段所在周期的平均业务包数量更加具有参考价值和预测价值。
步骤103:若在当前时段监测到所述服务节点受到流量攻击,则根据当前时段所在周期的最新监测数据和当前时段所在周期的平均业务包数量,计算当前时段的丢包率;获取当前时段的攻击包数量,并根据当前时段的攻击包数量和所述丢包率,计算当前时段的攻击流量。
本申请实施例中,服务节点受到流量攻击,可以理解为,服务节点受到超量攻击,以导致当前带宽资源无法承载当前的攻击流量和业务流量。这时,业务数据包和攻击数据包都会出现不同程度的丢失。正是因为业务数据包和攻击数据包均会出现丢失,因此,真实的业务包数量和攻击包数量无法直接监测出来,从而导致真实的攻击流量无法获得。
鉴于此,考虑到业务数据包和攻击数据包丢失时,从概率统计角度来看,两种数据包的丢包率可以视为相同。又考虑到在没有受到流量攻击时,每个时段的业务包数量一般较接近通过前述步骤得到的平均业务包数量,因此,业务数据包的丢包率可以得到,并可以将业务数据包的丢包率作为当前时段的丢包率,亦即攻击数据包的丢包率。具体过程如下:
如果当前时段监测到服务节点受到流量攻击,除了可以获取到该时段的业务包数量(即当前时段所在周期的最新监测数据),还可以获取到该时段的攻击包数量。首先,可以根据当前时段的业务包数量和当前时段所在周期的平均业务包数量,计算当前时段的丢包率。例如,假设当前时段所在周期的最新监测数据为Ac,当前时段所在周期的平均业务包数量为A,当前时段的丢包率为f,则当前时段的丢包率为:f=Ac/A。然后,可以根据当前时段的攻击包数量和丢包率,计算出当前时段的攻击流量。
在计算当前时段的攻击流量上,首先,可以根据丢包率以及获取到的当前时段的攻击包数量,估算出实际的攻击包数量,假设当前时段获取到的攻击包数量为Xc,实际的攻击包数量为X,则当前时段实际的攻击包数量为:X=(1+f)Xc。假设当前收到的攻击数据包的每包字节数是n,当前时段的攻击流量为D,则当前时段的攻击流量为:D=X*n。
通过上述步骤,通过对服务节点的每个时段的业务包数量进行监测,当服务节点发生超量攻击时,能够较准确地计算出当前时段的攻击流量,从而实现网络攻击流量的准确评估,这样,对于有调度能力的节点,可以根据攻击流量进行正确的流量调度,能够确保业务的稳定性。对于没有调度能力的节点,可以使运营商更好地了解攻击规模,从而能够使运营商基于攻击规模更好地解决网络问题,缩短故障排查时间。
可选的,若在当前时段监测到所述服务节点受到流量攻击,则所述方法还包括:
丢弃当前时段所在周期的最新监测数据;
禁止使用所述最新监测数据对当前时段所在周期的平均业务包数量进行调整。
由于每个时段是周期性重复的,每个时段所在周期对应的监测数据有多个,因此,当前时段所在周期的最新监测数据,可以理解为,当前时段所在周期对应的监测数据中,最新监测到的业务包数量。
由于当前时段监测到服务节点受到流量攻击,业务包数量可能存在丢失,因此,当前时段所在周期的最新监测数据并不是真实的业务包数量。鉴于此,当前时段所在周期的最新监测数据不适合用来调整当前时段所在周期的平均业务包数量。因此,该实施方式中,若在当前时段监测到所述服务节点受到流量攻击,可以丢弃当前时段所在周期的最新监测数据,并禁止使用当前时段所在周期的最新监测数据对当前时段所在周期的平均业务包数量进行调整。
该实施方式中,通过将流量攻击时段的监测数据进行丢弃,能够避免引入不真实数据,从而能够可持续地确保当前时段所在周期的平均业务包数量的准确性。
可选的,若在当前时段监测到所述服务节点受到流量攻击,则所述方法还包括:
丢弃目标时段所在周期的最新监测数据,所述目标时段包括当前时段之前的N个时段,所述N为大于或等于1的整数;
将所述目标时段所在周期的第一平均业务包数据确定为所述目标时段所在周期的新的平均业务包数据;所述目标时段所在周期的第一平均业务数据为:在获取到所述目标时段所在周期的最新监测数据之前,所述目标时段所在周期的平均业务数据。
在当前时段监测到服务节点受到流量攻击时,服务节点可能在当前时段之前的一些时段(即目标时段)就已经开始受到流量攻击。因此,目标时段所在周期的最新监测数据可能不是真实的业务包数量。鉴于此,目标时段所在周期的最新监测数据可能不适合用来调整目标时段所在周期的平均业务包数量。
因此,为了尽可能地避免因潜在的流量攻击而导致目标时段的监测数据不真实的情况发生,该实施方式中,可以丢弃目标时段所在周期的最新监测数据,并将之前得到的目标时段所在周期的平均业务数据作为目标时段所在周期的新的平均业务包数据。
该实施方式中,目标时段的数量可以根据实际的周期大小进行动态调整,以合理地确保攻击数据不会影响到正常的业务包数量统计。例如,N可以为5。
可选的,所述方法还包括:
在当前时段的监测数据与当前时段所在周期的平均业务包数量之间的差值大于或等于预设阈值时,判定在当前时段监测到所述服务节点受到流量攻击;
在当前时段的监测数据与当前时段所在周期的平均业务包数量之间的差值小于所述预设阈值时,判定在当前时段未监测到所述服务节点受到流量攻击。
该实施方式提供了一种判断服务节点是否在当前时段受到流量攻击的方案,通过将监测数据与平均业务包数量进行比较,能够较准确地体现业务包数量的波动情况,从而能够较准确且较及时地发现服务节点受到流量攻击。具体的,如果发现当前时段出现比较明显的业务包数量下降,则很可能是因为服务节点受到流量攻击而导致当前时段出现比较明显的业务包丢失,因此,可以判定服务节点在当前时段受到流量攻击。
除了采用该实施方式的判断方式之外,还可以通过监测攻击包数量,如果攻击包数量大幅上升,则可以判定服务节点在当前时段受到流量攻击。
可选的,在监测到所述服务节点受到流量攻击之后,所述方法还包括:
若持续M个时段未监测到所述服务节点受到流量攻击,且所述M个时段的监测数据的波动在预设范围内,则使用新的监测数据调整各时段所在周期的平均业务包数量。
本申请实施例中,在监测到服务节点受到流量攻击之后,还可以进入流量监控阶段,以持续监测服务节点在各时段的业务包数量。如果持续M个时段的监测数据(即业务包数量)的波动在预设范围内,则可以表明流量攻击已经结束,从而可以继续使用新的监测数据调整各时段所在周期的平均业务包数量。
而在此之前所获取到的监测数据可以进行丢弃,并禁止将这些监测数据用于调整各时段所在周期的平均业务包数量。
该实施方式中,M的数量可以根据实际的周期大小进行动态调整,以最大程度地确保流量攻击已经结束,以尽可能地避免影响正常的业务包数量统计。例如,M可以为5。
通过上述流量监控阶段,能够可持续地确保各时段所在周期的平均业务包数量的准确性。
需要说明的是,本申请中的攻击流量计算方法中的多种可选的实施方式,彼此可以相互结合实现,也可以单独实现,对此本申请不作限定。
本申请的上述实施例至少具有如下优点或有益效果:
本申请实施例中,通过对服务节点的每个时段的业务包数量进行监测,当服务节点发生超量攻击时,能够较准确地计算出当前时段的攻击流量,从而实现网络攻击流量的准确评估,这样,对于有调度能力的节点,可以根据攻击流量进行正确的流量调度,能够确保业务的稳定性。对于没有调度能力的节点,可以使运营商更好地了解攻击规模,从而能够使运营商基于攻击规模更好地解决网络问题,缩短故障排查时间。
如图2所示,本申请提供一种攻击流量计算装置200,包括:
监测模块201,用于对服务节点的每个时段的业务包数量进行监测;
第一计算模块202,用于若在当前时段未监测到所述服务节点受到流量攻击,则使用当前时段的监测数据计算或调整当前时段所在周期的平均业务包数量;
第二计算模块203,用于若在当前时段监测到所述服务节点受到流量攻击,则根据当前时段所在周期的最新监测数据和当前时段所在周期的平均业务包数量,计算当前时段的丢包率;获取当前时段的攻击包数量,并根据当前时段的攻击包数量和所述丢包率,计算当前时段的攻击流量。
可选的,攻击流量计算装置200还包括:
第一丢弃模块,用于若在当前时段监测到所述服务节点受到流量攻击,丢弃当前时段所在周期的最新监测数据;
控制模块,用于禁止使用所述最新监测数据对当前时段所在周期的平均业务包数量进行调整。
可选的,攻击流量计算装置200还包括:
第二丢弃模块,用于若在当前时段监测到所述服务节点受到流量攻击,丢弃当前时段之前的N个时段所在周期的最新监测数据,所述N为大于或等于1的整数;
确定模块,用于将所述N个时段所在周期的第一平均业务包数据确定为所述N个时段所在周期的新的平均业务包数据;所述N个时段所在周期的第一平均业务数据为:在获取到所述N个时段所在周期的最新监测数据之前,所述N个时段所在周期的平均业务数据。
可选的,攻击流量计算装置200还包括判断模块,用于:
在当前时段的监测数据与当前时段所在周期的平均业务包数量之间的差值大于或等于预设阈值时,判定在当前时段监测到所述服务节点受到流量攻击;
在当前时段的监测数据与当前时段所在周期的平均业务包数量之间的差值小于所述预设阈值时,判定在当前时段未监测到所述服务节点受到流量攻击。
可选的,攻击流量计算装置200还包括:
调整模块,用于在监测到所述服务节点受到流量攻击之后,若持续M个时段未监测到所述服务节点受到流量攻击,且所述M个时段的监测数据的波动在预设范围内,则使用新的监测数据调整各时段所在周期的平均业务包数量。
本申请提供的攻击流量计算装置200能够实现上述攻击流量计算方法实施例中的各个过程,且能够达到相同的有益效果,为避免重复,这里不再赘述。
根据本申请的实施例,本申请还提供了一种电子设备、计算机程序产品和一种可读存储介质。
如图3所示,是根据本申请实施例的攻击流量计算方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图3所示,该电子设备包括:一个或多个处理器601、存储器602,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图3中以一个处理器601为例。
存储器602即为本申请所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本申请所提供的攻击流量计算方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的攻击流量计算方法。
存储器602作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的攻击流量计算方法对应的程序指令/模块(例如,附图2所示的监测模块201、第一计算模块202和第二计算模块203)。处理器601通过运行存储在存储器602中的非瞬时软件程序、指令以及模块,从而执行攻击流量计算装置的各种功能应用以及数据处理,即实现上述方法实施例中的攻击流量计算方法。
存储器602可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据攻击流量计算方法的电子设备的使用所创建的数据等。此外,存储器602可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器602可选包括相对于处理器601远程设置的存储器,这些远程存储器可以通过网络连接至攻击流量计算方法的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
攻击流量计算方法的电子设备还可以包括:输入装置603和输出装置604。处理器601、存储器602、输入装置603和输出装置604可以通过总线或者其他方式连接,图3中以通过总线连接为例。
输入装置603可接收输入的数字或字符信息,以及产生与攻击流量计算方法的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、互联网和区块链网络。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决传统物理主机与虚拟专用服务器(VPS,Virtual Private Server)服务中存在的管理难度大,业务扩展性弱的缺陷。
根据本申请实施例的技术方案,通过对服务节点的每个时段的业务包数量进行监测,当服务节点发生超量攻击时,能够较准确地计算出当前时段的攻击流量,从而实现网络攻击流量的准确评估,这样,对于有调度能力的节点,可以根据攻击流量进行正确的流量调度,能够确保业务的稳定性。对于没有调度能力的节点,可以使运营商更好地了解攻击规模,从而能够使运营商基于攻击规模更好地解决网络问题,缩短故障排查时间。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (12)
1.一种攻击流量计算方法,包括:
对服务节点的每个时段的业务包数量进行监测;
若在当前时段未监测到所述服务节点受到流量攻击,则使用当前时段的监测数据计算或调整当前时段所在周期的平均业务包数量;
若在当前时段监测到所述服务节点受到流量攻击,则根据当前时段所在周期的最新监测数据和当前时段所在周期的平均业务包数量,计算当前时段的丢包率;获取当前时段的攻击包数量,并根据当前时段的攻击包数量和所述丢包率,计算当前时段的攻击流量。
2.根据权利要求1所述的方法,其中,若在当前时段监测到所述服务节点受到流量攻击,则所述方法还包括:
丢弃当前时段所在周期的最新监测数据;
禁止所述最新监测数据对当前时段所在周期的平均业务包数量进行调整。
3.根据权利要求1或2所述的方法,其中,若在当前时段监测到所述服务节点受到流量攻击,则所述方法还包括:
丢弃目标时段所在周期的最新监测数据,所述目标时段包括当前时段之前的N个时段,所述N为大于或等于1的整数;
将所述目标时段所在周期的第一平均业务包数量确定为所述目标时段所在周期的新的平均业务包数量;所述目标时段所在周期的第一平均业务包数量为:在获取到所述目标时段所在周期的最新监测数据之前,所述目标时段所在周期的平均业务包数量。
4.根据权利要求1所述的方法,还包括:
在当前时段的监测数据与当前时段所在周期的平均业务包数量之间的差值大于或等于预设阈值时,判定在当前时段监测到所述服务节点受到流量攻击;
在当前时段的监测数据与当前时段所在周期的平均业务包数量之间的差值小于所述预设阈值时,判定在当前时段未监测到所述服务节点受到流量攻击。
5.根据权利要求1所述的方法,其中,在监测到所述服务节点受到流量攻击之后,所述方法还包括:
若持续M个时段未监测到所述服务节点受到流量攻击,且所述M个时段的监测数据的波动在预设范围内,则使用新的监测数据调整各时段所在周期的平均业务包数量。
6.一种攻击流量计算装置,包括:
监测模块,用于对服务节点的每个时段的业务包数量进行监测;
第一计算模块,用于若在当前时段未监测到所述服务节点受到流量攻击,则使用当前时段的监测数据计算或调整当前时段所在周期的平均业务包数量;
第二计算模块,用于若在当前时段监测到所述服务节点受到流量攻击,则根据当前时段所在周期的最新监测数据和当前时段所在周期的平均业务包数量,计算当前时段的丢包率;获取当前时段的攻击包数量,并根据当前时段的攻击包数量和所述丢包率,计算当前时段的攻击流量。
7.根据权利要求6所述的装置,所述装置还包括:
第一丢弃模块,用于若在当前时段监测到所述服务节点受到流量攻击,丢弃当前时段所在周期的最新监测数据;
控制模块,用于若在当前时段监测到所述服务节点受到流量攻击,禁止使用所述最新监测数据对当前时段所在周期的平均业务包数量进行调整。
8.根据权利要求6或7所述的装置,还包括:
第二丢弃模块,用于若在当前时段监测到所述服务节点受到流量攻击,丢弃当前时段之前的N个时段所在周期的最新监测数据,所述N为大于或等于1的整数;
确定模块,用于将所述N个时段所在周期的第一平均业务包数量确定为所述N个时段所在周期的新的平均业务包数量;所述N个时段所在周期的第一平均业务包数量为:在获取到所述N个时段所在周期的最新监测数据之前,所述N个时段所在周期的平均业务包数量。
9.根据权利要求6所述的装置,还包括判断模块,用于:
在当前时段的监测数据与当前时段所在周期的平均业务包数量之间的差值大于或等于预设阈值时,判定在当前时段监测到所述服务节点受到流量攻击;
在当前时段的监测数据与当前时段所在周期的平均业务包数量之间的差值小于所述预设阈值时,判定在当前时段未监测到所述服务节点受到流量攻击。
10.根据权利要求6所述的装置,还包括:
调整模块,用于在监测到所述服务节点受到流量攻击之后,若持续M个时段未监测到所述服务节点受到流量攻击,且所述M个时段的监测数据的波动在预设范围内,则使用新的监测数据调整各时段所在周期的平均业务包数量。
11.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至5中任一项所述的方法。
12.一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行权利要求1至5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011278953.6A CN112351042B (zh) | 2020-11-16 | 2020-11-16 | 攻击流量计算方法、装置、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011278953.6A CN112351042B (zh) | 2020-11-16 | 2020-11-16 | 攻击流量计算方法、装置、电子设备和存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112351042A CN112351042A (zh) | 2021-02-09 |
| CN112351042B true CN112351042B (zh) | 2023-04-07 |
Family
ID=74362834
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011278953.6A Active CN112351042B (zh) | 2020-11-16 | 2020-11-16 | 攻击流量计算方法、装置、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112351042B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113467314B (zh) * | 2021-07-15 | 2022-04-26 | 广州赛度检测服务有限公司 | 一种基于大数据和边缘计算的信息安全风险评估系统及方法 |
| CN114584491B (zh) * | 2022-04-21 | 2023-09-08 | 腾讯科技(深圳)有限公司 | 检测方法、装置、存储介质及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106411934A (zh) * | 2016-11-15 | 2017-02-15 | 平安科技(深圳)有限公司 | DoS/DDoS攻击检测方法和装置 |
| CN106559407A (zh) * | 2015-11-19 | 2017-04-05 | 国网智能电网研究院 | 一种基于sdn的网络流量异常监测系统 |
| US10027694B1 (en) * | 2016-03-28 | 2018-07-17 | Amazon Technologies, Inc. | Detecting denial of service attacks on communication networks |
| CN110505232A (zh) * | 2019-08-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 网络攻击的检测方法及装置、电子设备、存储介质 |
| CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110138463A1 (en) * | 2009-12-07 | 2011-06-09 | Electronics And Telecommunications Research Institute | Method and system for ddos traffic detection and traffic mitigation using flow statistics |
-
2020
- 2020-11-16 CN CN202011278953.6A patent/CN112351042B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106559407A (zh) * | 2015-11-19 | 2017-04-05 | 国网智能电网研究院 | 一种基于sdn的网络流量异常监测系统 |
| US10027694B1 (en) * | 2016-03-28 | 2018-07-17 | Amazon Technologies, Inc. | Detecting denial of service attacks on communication networks |
| CN106411934A (zh) * | 2016-11-15 | 2017-02-15 | 平安科技(深圳)有限公司 | DoS/DDoS攻击检测方法和装置 |
| CN110505232A (zh) * | 2019-08-27 | 2019-11-26 | 百度在线网络技术(北京)有限公司 | 网络攻击的检测方法及装置、电子设备、存储介质 |
| CN111600859A (zh) * | 2020-05-08 | 2020-08-28 | 恒安嘉新(北京)科技股份公司 | 分布式拒绝服务攻击的检测方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112351042A (zh) | 2021-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112437018B (zh) | 分布式集群的流量控制方法、装置、设备和存储介质 | |
| CN112351042B (zh) | 攻击流量计算方法、装置、电子设备和存储介质 | |
| CN111970132B (zh) | Ota数据包下发流量的控制方法、装置及服务器 | |
| CN111628941A (zh) | 一种网络流量的分类处理方法、装置、设备及介质 | |
| CN111694646A (zh) | 资源调度方法、装置、电子设备及计算机可读存储介质 | |
| CN110570217A (zh) | 作弊检测的方法及装置 | |
| US10282245B1 (en) | Root cause detection and monitoring for storage systems | |
| CN111865720B (zh) | 用于处理请求的方法、装置、设备以及存储介质 | |
| CN112052185B (zh) | 小程序的异常处理方法、装置、电子设备和存储介质 | |
| CN112486645A (zh) | 一种定时任务监控方法、装置、电子设备和介质 | |
| CN110620699A (zh) | 消息到达率确定方法、装置、设备和计算机可读存储介质 | |
| CN111241396B (zh) | 信息推送的方法和装置、电子设备、存储介质 | |
| CN111988817A (zh) | Ota数据包下发流量的控制方法和装置 | |
| US10223189B1 (en) | Root cause detection and monitoring for storage systems | |
| CN111049690A (zh) | 设备故障监测处理方法、装置、设备及存储介质 | |
| JP7444247B2 (ja) | バーストトラフィック検出装置、バーストトラフィック検出方法およびバーストトラフィック検出プログラム | |
| CN113825170A (zh) | 用于确定网络通道的方法和装置 | |
| CN110620701A (zh) | 数据流监控处理方法、装置、设备及存储介质 | |
| Miao et al. | Slowing little quickens more: Improving DCTCP for massive concurrent flows | |
| CN111597026B (zh) | 用于获取信息的方法及装置 | |
| CN112995060B (zh) | 一种基于硬件计数器的流量控制方法 | |
| CN114500105A (zh) | 一种网络包的拦截方法、装置、设备及存储介质 | |
| CN115543416A (zh) | 一种配置更新方法、装置、电子设备及存储介质 | |
| US9898357B1 (en) | Root cause detection and monitoring for storage systems | |
| CN114567687A (zh) | 报文转发方法、装置、设备、介质及程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |