本发明专利技术实施例公开了一种流量的分析方法和装置以及存储介质,用于实现对恶意的流量数据的有效打击。本发明专利技术实施例提供一种流量的分析方法,包括:获取客户端发送的流量数据;按照预设的统计维度对所述流量数据进行实时的流量统计分析,得到所述流量数据在所述统计维度下的实时流量聚集特征;根据预设的流量突增条件对处于同一个所述统计维度下的历史流量聚集特征和所述实时流量聚集特征进行对比分析,以识别所述流量数据在所述统计维度下的突增流量;对识别出的所述突增流量进行打击处理。
A Flow Analysis Method and Device
【技术实现步骤摘要】
一种流量的分析方法和装置
本专利技术涉及计算机
,尤其涉及一种流量的分析方法和装置以及存储介质。
技术介绍
在分布式拒绝服务(DistributedDenialofService,DDoS)攻击发展前期,绝大部分都能被业界知名的“黑洞”(Collapsar)抗拒绝服务攻击系统所防护,于是黑客们研究出一种新型的针对超文本传输协议(HyperTextTransferProtocol,HTTP)的DDOS攻击后,即命名为ChallengeCollapsar,声称黑洞设备无法防御,后来CC这个名称延用至今。CC攻击是DDOS攻击的一种,发生在第七层应用层,不同于网络层DDOS的是传输控制协议(TransmissionControlProtocol,TCP)连接已经建立,攻击互联网协议(InternetProtocol,IP)是真实IP地址,主要对一些消耗资源的页面进行不断请求,导致消耗源站资源,和正常业务请求界定模糊,目前已有的业界防护产品中一直达不到很好的效果。现有技术提供一种基于历史IP地址过滤的DDOS防御方法,该方法主要是通过收集历史正常访问的正常IP地址,形成一个IP白名单。在受到DDOS攻击时,将不在白名单的IP地址发送的流量数据全部过滤掉。但是上述现有技术存在过滤流量数据不准确的问题,并且攻击流量过滤不完整。因为现有的DDOS攻击会发布蠕虫到白名单机器中,攻击仍然可以渗透到业务机器上。另外,黑客可以修改数据包的源IP地址,所以仅仅简单根据源IP地址进行过滤数据,现有技术基于IP地址的打击方式就会失效。
技术实现思路
本专利技术实施例提供了一种流量的分析方法和装置以及存储介质,用于实现对恶意的流量数据的有效打击。本专利技术实施例提供以下技术方案:一方面,本专利技术实施例提供一种流量的分析方法,包括:获取客户端发送的流量数据;按照预设的统计维度对所述流量数据进行实时的流量统计分析,得到所述流量数据在所述统计维度下的实时流量聚集特征;根据预设的流量突增条件对处于同一个所述统计维度下的历史流量聚集特征和所述实时流量聚集特征进行对比分析,以识别所述流量数据在所述统计维度下的突增流量;对识别出的所述突增流量进行打击处理。另一方面,本专利技术实施例还提供一种流量的分析装置,包括:流量获取模块,用于获取客户端发送的流量数据;流量统计模块,用于按照预设的统计维度对所述流量数据进行实时的流量统计分析,得到所述流量数据在所述统计维度下的实时流量聚集特征;对比分析模块,用于根据预设的流量突增条件对处于同一个所述统计维度下的历史流量聚集特征和所述实时流量聚集特征进行对比分析,以识别所述流量数据在所述统计维度下的突增流量;打击处理模块,用于对识别出的所述突增流量进行打击处理。在前述方面中,流量的分析装置的组成模块还可以执行前述一方面以及各种可能的实现方式中所描述的步骤,详见前述对前述一方面以及各种可能的实现方式中的说明。另一方面,本专利技术实施例提供一种流量的分析装置,该流量的分析装置包括:处理器、存储器;存储器用于存储指令;处理器用于执行存储器中的指令,使得流量的分析装置执行如前述一方面中任一项的方法。另一方面,本专利技术实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述各方面所述的方法。在本专利技术实施例中,首先获取客户端发送的流量数据,然后按照预设的统计维度对流量数据进行实时的流量统计分析,得到流量数据在统计维度下的实时流量聚集特征,接下来根据预设的流量突增条件对处于同一个统计维度下的历史流量聚集特征和实时流量聚集特征进行对比分析,以识别流量数据在统计维度下的突增流量,最后对识别出的突增流量进行打击处理。由于本专利技术实施例需要按照预设的统计维度对流量数据进行实时的统计分析,从而生成实时流量聚集特征,使用流量突增条件可以对实时流量聚集特征和历史流量聚集特征进行对比分析,因此可以识别出流量数据在统计维度下的突增流量,该突增流量可以作为非正常访问的流量数据进行后续的打击处理。本专利技术实施例中通过流量统计分析以及附带流量突增条件的对比分析,就可以对恶意的流量数据的有效打击,对于攻击者修改IP地址的攻击方式能够实现有效防御。附图说明为了更清楚地说明本专利技术实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域的技术人员来讲,还可以根据这些附图获得其他的附图。图1为本专利技术实施例提供的流量的分析方法所应用的系统架构示意图;图2为本专利技术实施例提供的流量的分析方法的流程方框示意图;图3为本专利技术实施例提供的流量的分析方法在DDOS应用场景下的示意图;图4为本专利技术实施例提供的流量统计分析图;图5-a为本专利技术实施例提供的一种流量的分析装置的组成结构示意图;图5-b为本专利技术实施例提供的一种流量统计模块的组成结构示意图;图5-c为本专利技术实施例提供的一种对比分析模块的组成结构示意图;图5-d为本专利技术实施例提供的一种流量突增确定单元的组成结构示意图;图5-e为本专利技术实施例提供的一种特征生成单元的组成结构示意图;图6为本专利技术实施例提供的流量的分析方法应用于服务器的组成结构示意图。具体实施方式本专利技术实施例提供了一种流量的分析方法和装置以及存储介质,用于实现对恶意的流量数据的有效打击。为使得本专利技术的专利技术目的、特征、优点能够更加的明显和易懂,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,下面所描述的实施例仅仅是本专利技术一部分实施例,而非全部实施例。基于本专利技术中的实施例,本领域的技术人员所获得的所有其他实施例,都属于本专利技术保护的范围。本专利技术的说明书和权利要求书及上述附图中的术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,以便包含一系列单元的过程、方法、系统、产品或设备不必限于那些单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它单元。请参考图1,其示出了本专利技术实施例提供的流量的分析方法所应用的系统的结构示意图。该处理请求的方法所应用的系统包括服务器110和终端120。服务器110是一台服务器,或者由若干台服务器,或者是一个虚拟化平台,或者是一个云计算服务中心,该服务器110可以用于对终端发送的访问请求进行识别,从而确定受到了CC攻击。可选的,服务器110包括提供网络(web)应用防火墙的后台服务器;可选的,服务器110包括提供流量突增识别的后台服务器。服务器110,用于接收终端120发送的访问请求,通过该访问请求获取到流量数据,然后按照预设的统计维度对流量数据进行实时的统计分析,从而生成实时流量聚集特征,使用流量突增条件可以对实时流量聚集特征和历史流量聚集特征进行对比分析,因此可以识别出流量数据在统计维度下的突增流量,该突增流量可以作为非正常访问的流量数据进行后续的打击处理。服务器110与终端120之间通过通信网络相连。可选的,通信网络是有线网络或无线网络。终端120可以是手机、平板电脑、电子书阅读器、MP3播放器(MovingPictureExpertsGroupAudioLayerIII,动态影像专家压缩标准音频层面3)、MP4(MovingPicture本文档来自技高网...
【技术保护点】
1.一种流量的分析方法,其特征在于,包括:获取客户端发送的流量数据;按照预设的统计维度对所述流量数据进行实时的流量统计分析,得到所述流量数据在所述统计维度下的实时流量聚集特征;根据预设的流量突增条件对处于同一个所述统计维度下的历史流量聚集特征和所述实时流量聚集特征进行对比分析,以识别所述流量数据在所述统计维度下的突增流量;对识别出的所述突增流量进行打击处理。
【技术特征摘要】
1.一种流量的分析方法,其特征在于,包括:获取客户端发送的流量数据;按照预设的统计维度对所述流量数据进行实时的流量统计分析,得到所述流量数据在所述统计维度下的实时流量聚集特征;根据预设的流量突增条件对处于同一个所述统计维度下的历史流量聚集特征和所述实时流量聚集特征进行对比分析,以识别所述流量数据在所述统计维度下的突增流量;对识别出的所述突增流量进行打击处理。2.根据权利要求1所述的方法,其特征在于,所述获取客户端发送的流量数据之前,所述方法还包括:获取所述客户端在历史时间段产生的历史流量数据;按照所述统计维度对所述历史流量数据进行流量统计分析,得到所述历史流量数据在所述统计维度下的历史流量聚集特征。3.根据权利要求1所述的方法,其特征在于,所述统计维度至少包括如下至少一种维度:包长聚集维度、生存时间TTL聚集维度、目的端口聚集维度、源端口聚集维度。4.根据权利要求1所述的方法,其特征在于,所述按照预设的统计维度对所述流量数据进行实时的流量统计分析,得到所述流量数据在所述统计维度下的实时流量聚集特征,包括:获取所述统计维度对应的最大流量值;根据所述最大流量值确定出N个流量分布区间,所述N为正整数;按照所述统计维度统计所述流量数据在当前单位时间内对应的实时数据量;从所述N个流量分布区间中确定出所述实时数据量在所述当前单位时间落入的第一流量分布区间,并生成所述实时数据量的实时流量聚集特征,所述实时流量聚集特征包括:所述实时数据量在所述当前单位时间落入所述第一流量分布区间,所述第一流量分布区间属于所述N个流量分布区间中的一个流量分布区间。5.根据权利要求4所述的方法,其特征在于,所述根据预设的流量突增条件对处于同一个所述统计维度下的历史流量聚集特征和所述实时流量聚集特征进行对比分析,以识别所述流量数据在所述统计维度下的突增流量,包括:根据所述当前单位时间获取历史数据量的历史流量聚集特征,所述历史流量聚集特征包括:所述历史数据量在历史单位时间落入的流量分布区间;确定处于所述第一流量分布区间内的所述实时数据量和所述历史数据量是否符合所述流量突增条件;当处于所述第一流量分布区间内的所述实时数据量和所述历史数据量符合所述流量突增条件时,确定落入所述第一流量分布区间的所述实时数据量为所述突增流量。6.根据权利要求5所述的方法,其特征在于,所述确定处于所述第一流量分布区间内的所述实时数据量和所述历史数据量是否符合所述流量突增条件,包括:根据在所述历史单位时间内产生的所述历史数据量预测在所述当前单位时间内产生的数据量,得到预测数据量;根据处于相同的流量分布区间内的所述实时数据量和所述预测数据量获取流...
【专利技术属性】
技术研发人员:李家昌,关塞,曾凡,陈洁远,万志颖,阮华,聂利权,王伟,于洋,
申请(专利权)人:腾讯科技深圳有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。