一种网络攻击处理方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术实施例提供了一种网络攻击处理方法、装置、电子设备及存储介质，上述方法包括：对待检测云主机进行监控，得到待检测云主机对应的通信信息，在对应的通信信息达到第一预设条件的情况下，根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机，在确定待检测云主机为发起攻击的云主机的情况下，禁止待检测云主机发送通信数据包。基于上述处理，可以确定出发起攻击的云主机，并终止该云主机的攻击行为，从而降低被攻击者的运行成本。

A network attack processing method, device, electronic equipment and storage medium

【技术实现步骤摘要】
一种网络攻击处理方法、装置、电子设备及存储介质
本专利技术涉及互联网
，特别是涉及一种网络攻击处理方法、装置、电子设备及存储介质。
技术介绍
在云环境下，由于安全防范措施不全等原因，云主机会被入侵者入侵。入侵者可以操控被入侵的云主机向该云主机所属云系统之外的其他云主机发起DOS(DenialofService，拒绝服务)攻击，DOS攻击的类型可以包括SYN(synchronous，同步)攻击、UDP(UserDatagramProtocol，用户数据报协议)攻击和ICMP(InternetControlMessageProtocol，因特网控制报文协议)攻击。上述DOS攻击通常利用传输协议上的缺陷频繁向被攻击者发送请求，导致网络中存在大量无用的数据包，造成网络拥塞，进而使被攻击者无法处理正常请求，严重时会造成被攻击者的系统死机。现有技术中，被攻击者往往采用增加带宽、流量清洗、购买第三方CDN(ContentDeliveryNetwork，即内容分发网络)服务等措施，来减轻被攻击的影响。然而，上述措施会增加被攻击者的运行成本本文档来自技高网...

【技术保护点】
1.一种网络攻击处理方法，其特征在于，所述方法包括：/n对待检测云主机进行监控，得到所述待检测云主机对应的通信信息；/n在对应的通信信息达到第一预设条件的情况下，根据所述待检测云主机的通信数据包信息，确定所述待检测云主机是否为发起攻击的云主机，其中，所述通信数据包信息包括：通信数据包中的目标网际协议IP地址、通信数据包的类型和通信数据包对应的目标端口的类型；/n在确定所述待检测云主机为发起攻击的云主机的情况下，禁止所述待检测云主机发送通信数据包。/n

【技术特征摘要】
1.一种网络攻击处理方法，其特征在于，所述方法包括：
对待检测云主机进行监控，得到所述待检测云主机对应的通信信息；
在对应的通信信息达到第一预设条件的情况下，根据所述待检测云主机的通信数据包信息，确定所述待检测云主机是否为发起攻击的云主机，其中，所述通信数据包信息包括：通信数据包中的目标网际协议IP地址、通信数据包的类型和通信数据包对应的目标端口的类型；
在确定所述待检测云主机为发起攻击的云主机的情况下，禁止所述待检测云主机发送通信数据包。


2.根据权利要求1所述的方法，其特征在于，所述通信信息包括以下至少之一：所述待检测云主机的数据传输速率、所述待检测云主机的数据包转发速率和所述待检测云主机的通信连接的数目；
所述第一预设条件包括以下至少之一：所述待检测云主机的数据传输速率达到预设的传输速率；所述待检测云主机的数据包转发率达到预设的转发速率；所述待检测云主机的通信连接的数目达到第一预设阈值。


3.根据权利要求1所述的方法，其特征在于，所述根据所述待检测云主机的通信数据包信息，确定所述待检云主机是否为发起攻击的云主机，包括：
获取所述待检测云主机对应的预设数量个第一通信数据包；
判断所述预设数量个第一通信数据包中携带的目标IP地址为公网IP地址的通信数据包所占的比例，是否大于或等于第二预设阈值；
在判断结果为携带的目标IP地址为公网IP地址的通信数据包所占的比例大于或等于第二预设阈值，且所述预设数量个第一通信数据包还满足第二预设条件中的至少之一的情况下，确定所述待检测云主机为发起攻击的云主机；
其中，所述第二预设条件包括：所述预设数量个第一通信数据包中同步SYN包所占的比例大于第三预设阈值；所述预设数量个第一通信数据包中用户数据报协议UDP包所占的比例大于第四预设阈值，且所述预设数量个第一通信数据包对应的目标端口为传输控制协议TCP端口；所述预设数量个第一通信数据包中因特网控制报文协议ICMP包所占的比例大于第五预设阈值，且所述ICMP包中的请求数据包在第二通信数据包中所占的比例大于第六预设阈值，其中，所述第二通信数据包包括所述ICMP包中的请求数据包和响应数据包。


4.根据权利要求3所述的方法，其特征在于，所述方法还包括：
在确定所述待检测云主机为发起攻击的云主机的情况下，将所述预设数量个第一通信数据包发送至预设的网页服务器，以使所述网页服务器输出所述预设数量个第一通信数据包中的通信数据。


5.根据权利要求3所述的方法，其特征在于，所述方法还包括：
在判断结果为携带的目标IP地址为公网IP地址的通信数据包所占的比例大于或等于第二预设阈值，且所述预设数量个第一通信数据包不满足所述第二预设条件的全部条件的情况下，将所述预设数量个第一通信数据包发送至预设终端，以使所述预设终端输出所述预设数量个第一通信数据包中的通信数据。


6.根据权利要求3所述的方法，其特征在于，所述方法还包括以下至少之一：
在所述预设数量个第一通信数据包中SYN包所占的比例大于所述第三预设阈值的情况下，确定所述待检测云主机发起攻击的攻击类型为SYN攻击；
在所述预设数量个第一通信数据包中UDP包所占的比例大于所述第四预设阈值，且所述预设数量个第一通信数据包对应的目标端口为TCP端口的情况下，确定所述待检测云主机发起攻击的攻击类型为UDP攻击；
在所述预设数量个第一通信数据包中ICMP包所占的比例大于所述第五预设阈值，且所述ICMP包中的请求数据包在所述第二通信数据包中所占的比例大于所述第六预设阈值的情况下，确定所述待检测云主机发起攻击的攻击类型为ICMP攻击。


7.根据权利要求6所述的方法，其特征在于，所述方法还包括：
在确定所述待检测云主机为发起攻击的云主机的情况下，将所述待检测云主机的攻击信息存储到预设数据库，其中，所述攻击信息包括以下至少之一：所述待检测云主机的标识、所述待检测云主机发起攻击的攻击类型、所述待检测云主机发起攻击的时间、所述待检测云主机对应的宿主机的标识。


8.一种网络攻击处理装置，其特征在于，所述装置包括：
监控模块，用于对待检测云主机进行监控，得到所述待检测云主机对应的通信信息；
确定模块，用于在对应的通信信息达到第一预设条件的情况下，根据所...

【专利技术属性】
技术研发人员：周锋，
申请(专利权)人：北京金山云网络技术有限公司，北京金山云科技有限公司，
类型：发明
国别省市：北京;11