[发明专利]检测网络攻击的方法和装置

说明书

本发明公开了一种检测网络攻击的方法和装置，属于计算机网络安全领域。所述方法包括：获取服务器历史的第一带宽信息集合和所述服务器历史遭遇网络攻击的第二带宽信息集合；根据所述第一带宽信息集合和所述第二带宽信息集合，计算所述服务器的参考带宽信息；在检测网络攻击时，获取所述服务器的当前带宽信息；根据所述参考带宽信息和所述当前带宽信息，确定所述服务器是否遭遇网络攻击。所述装置包括：第一获取模块，计算模块，第二获取模块和确定模块。本发明可以提高检测网络攻击的准确性。

技术领域

本发明涉及计算机网络安全领域，特别涉及一种检测网络攻击的方法和装置。

背景技术

分布式拒绝服务(Distributed Denial of Service，DDoS)攻击是当今互联网最重要的网络攻击之一，且随着网络带宽不断提高以及攻击工具的普及，在经济利益的驱动下呈现越发严重趋势。

现有技术提供了一种检测网络攻击的方法，具体可以为：网络工程师根据经验设置一个带宽使用量阈值；服务器实时统计自身的带宽使用量，当该带宽使用量超过该带宽使用量阈值时，确定服务器遭遇网络攻击，采用牵引清洗规则，检测异常带宽使用量并清洗该异常带宽使用量。

在实现本发明的过程中，发明人发现现有技术至少存在以下问题：

上述技术中是由网络工程师根据经验设置带宽使用量阈值，然而该带宽使用量阈值可能并不适合服务器，导致上述检测网络攻击的准确性低；例如如果该带宽使用量阈值较高时，服务器遭遇网络攻击时的带宽使用量可能不大于该带宽使用量阈值，导致无法检测出网络攻击；如果该带宽使用量阈值较低时，当服务器未遭遇网络攻击但是业务访问量较高时，此时服务器的带宽使用量可能大于该带宽使用量阈值，导致检测出错。

发明内容

为了解决现有技术的问题，本发明提供了一种检测网络攻击的方法和装置。技术方案如下：

一种检测网络攻击的方法，所述方法包括：

获取服务器历史的第一带宽信息集合和所述服务器历史遭遇网络攻击的第二带宽信息集合；

根据所述第一带宽信息集合和所述第二带宽信息集合，计算所述服务器的参考带宽信息；

在检测网络攻击时，获取所述服务器的当前带宽信息；

根据所述参考带宽信息和所述当前带宽信息，确定所述服务器是否遭遇网络攻击。

优选的，所述根据所述第一带宽信息集合和所述第二带宽信息集合，计算所述服务器的参考带宽信息，包括：

根据所述第一带宽信息集合对应的分布函数，在所述第一带宽信息集合中确定置信度满足第一预设条件的第三带宽信息集合；

根据所述第二带宽信息集合对应的分布函数，在所述第二带宽信息集合中确定置信度满足第二预设条件的第四带宽信息集合；

根据所述第三带宽信息集合、所述第四带宽信息集合和带宽调整系数，计算所述服务器的参考带宽信息。

优选的，所述根据所述第二带宽信息集合对应的分布函数，在所述第二带宽信息集合中确定置信度满足第二预设条件的第四带宽信息集合，包括：

根据带宽信息包括的每个带宽参数，将所述第二带宽信息集合进行分类，得到所述每个带宽参数对应的带宽信息子集合；

在所述每个带宽参数对应的带宽信息子集合的分布函数中，分别确定置信度满足第二预设条件的第四带宽信息集合。

优选的，所述根据所述第三带宽信息集合、所述第四带宽信息集合和带宽调整系数，计算所述服务器的参考带宽信息，包括：

根据所述第三带宽信息集合，计算带宽信息包括的每个带宽参数的第一参数值，以及，根据所述第四带宽信息集合，计算所述每个带宽参数的第二参数值；