数据处理方法、设备及存储介质技术

本申请实施例提供一种数据处理方法、设备及存储介质。在本申请一些示例性实施例中，获取当前时段内的流量日志数据；对当前时段内的流量日志数据进行异常行为检测，当确定当前时段内的网络流量存在异常行为时，判断防御策略库中是否存在生成的第一防御策略；若存在，使用已存在的第一防御策略对后续时段内的网络流量进行数据处理；若不存在，使用已知正常流量生成的第二防御策略对后续时段内的网络流量进行数据处理，本申请采用第二防御策略和第一防御策略的结合，一方面保障源服务器在攻击第一时间不被攻击冲垮，另一方面保障对当前正常访问请求的影响最小。常访问请求的影响最小。常访问请求的影响最小。

【技术实现步骤摘要】
数据处理方法、设备及存储介质


[0001]本申请涉及互联网
，尤其涉及一种数据处理方法、设备及存储介质。

技术介绍

[0002]分布式拒绝服务(DDoS：Distributed Denial of Service)攻击，是一种通过消耗目标资源来阻止用户正常访问目标服务的网络攻击形式，是当前网络攻击中的主要威胁。DDoS攻击借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的威力，导致正常用户得不到网络响应，它对互联网与互联网服务造成了很大的威胁。
[0003]目前，为了防御DDoS攻击，一般会在目标服务端预置针对DDos的防御策略，例如，对网络流量进行源限速，在未遭受DDos攻击或攻击源攻击频率低的情况下，预置防御策略会对正常流量造成不利影响。

技术实现思路

[0004]本申请的多个方面提供一种数据处理方法、设备及存储介质，一方面保障源服务器在攻击第一时间不被攻击冲垮，另一方面保障防御策略对正常流量的影响较小。
[0005]本申请实施例提供一种数据处理方法，包括：
[0006]获取当前时段内的流量日志数据，所述流量日志数据反映当前时段内的网络流量具有的特征；
[0007]若根据当前时段内的流量日志数据确定出当前时段内的网络流量存在异常行为，判断是否存在第一防御策略，所述第一防御策略是针对在当前时刻之前已识别到的异常流量生成的；
[0008]若存在，根据已存在的第一防御策略对后续时段内的网络流量进行数据处理；
[0009]若不存在，根据第二防御策略对后续时段内的网络流量进行数据处理，所述第二防御策略是根据当前时刻之前已经识别到的正常流量生成的。
[0010]本申请实施例还提供一种数据处理方法，包括：
[0011]根据当前时段内的流量日志数据，分析当前时段内的网络流量的特征；
[0012]根据所述当前时段内的网络流量的特征和已知正常流量的基线特征，识别出当前时段内存在的异常流量，其中，已知正常流量的基线特征是从历史流量日志数据中获得的；
[0013]根据所述当前时段内存在的异常流量的特征，生成针对当前时段内存在的异常流量的第一防御策略，以对后续时段内的网络流量进行数据处理。
[0014]本申请实施例还提供一种数据处理设备，包括：存储器和处理器；
[0015]所述存储器，用于存储一条或多条计算机指令；
[0016]所述处理器，用于执行所述一条或多条计算机指令以用于：
[0017]获取当前时段内的流量日志数据，所述流量日志数据反映当前时段内的网络流量具有的特征；
[0018]若根据当前时段内的流量日志数据确定出当前时段内的网络流量存在异常行为，判断是否存在第一防御策略，所述第一防御策略是针对在当前时刻之前已识别到的异常流量生成的；
[0019]若存在，根据已存在的第一防御策略对后续时段内的网络流量进行数据处理；
[0020]若不存在，根据第二防御策略对后续时段内的网络流量进行数据处理，所述第二防御策略是根据当前时刻之前已经识别到的正常流量生成的。
[0021]本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，当所述计算机程序被一个或多个处理器执行时，致使所述一个或多个处理器执行包括以下的动作：
[0022]获取当前时段内的流量日志数据，所述流量日志数据反映当前时段内的网络流量具有的特征；
[0023]若根据当前时段内的流量日志数据确定出当前时段内的网络流量存在异常行为，判断是否存在第一防御策略，所述第一防御策略是针对在当前时刻之前已识别到的异常流量生成的；
[0024]若存在，根据已存在的第一防御策略对后续时段内的网络流量进行数据处理；
[0025]若不存在，根据第二防御策略对后续时段内的网络流量进行数据处理，所述第二防御策略是根据当前时刻之前已经识别到的正常流量生成的。
[0026]本申请实施例还提供一种数据处理设备，包括：存储器和处理器；
[0027]所述存储器，用于存储一条或多条计算机指令；
[0028]所述处理器，用于执行所述一条或多条计算机指令以用于：
[0029]根据当前时段内的流量日志数据，分析当前时段内的网络流量的特征；
[0030]根据所述当前时段内的网络流量的特征和已知正常流量的基线特征，识别出当前时段内存在的异常流量，其中，已知正常流量的基线特征是从历史流量日志数据中获得的；
[0031]根据所述当前时段内存在的异常流量的特征，生成针对当前时段内存在的异常流量的第一防御策略，以对后续时段内的网络流量进行数据处理；
[0032]第一防御策略本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，当所述计算机程序被一个或多个处理器执行时，致使所述一个或多个处理器执行包括以下的动作：
[0033]根据当前时段内的流量日志数据，分析当前时段内的网络流量的特征；
[0034]根据所述当前时段内的网络流量的特征和已知正常流量的基线特征，识别出当前时段内存在的异常流量，其中，已知正常流量的基线特征是从历史流量日志数据中获得的；
[0035]根据所述当前时段内存在的异常流量的特征，生成针对当前时段内存在的异常流量的第一防御策略，以对后续时段内的网络流量进行数据处理。
[0036]本申请实施例还提供一种数据处理设备，包括：存储器和处理器；
[0037]所述存储器，用于存储一条或多条计算机指令；
[0038]所述处理器，用于执行所述一条或多条计算机指令以用于：
[0039]获取当前时段内的数据库操作日志数据，所述数据库操作日志数据反映当前时段内的数据库操作流量具有的特征；
[0040]若根据当前时段内的数据库操作日志数据确定出当前时段内存在数据泄露行为，判断是否存在第一防御策略，所述第一防御策略是针对在当前时刻之前已识别到的数据库
异常操作流量生成的；
[0041]若存在，根据已存在的第一防御策略对后续时段内的数据库操作流量进行数据处理；
[0042]若不存在，根据第二防御策略对后续时段内的数据库操作流量进行数据处理，所述第二防御策略是根据当前时刻之前已经识别到的正常数据库操作流量生成的。
[0043]本申请实施例还提供一种存储有计算机程序的计算机可读存储介质，当所述计算机程序被一个或多个处理器执行时，致使所述一个或多个处理器执行包括以下的动作：
[0044]获取当前时段内的数据库操作日志数据，所述数据库操作日志数据反映当前时段内的数据库操作流量具有的特征；
[0045]若根据当前时段内的数据库操作日志数据确定出当前时段内存在数据泄露行为，判断是否存在第一防御策略，所述第一防御策略是针对在当前时刻之前已识别到的数据库异常操作流量生成的；
[0046]若存在，根据已存在的第一防御策略对后续时段内的数据库操作流本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据处理方法，其特征在于，包括：获取当前时段内的流量日志数据，所述流量日志数据反映当前时段内的网络流量具有的特征；若根据当前时段内的流量日志数据确定出当前时段内的网络流量存在异常行为，判断是否存在第一防御策略，所述第一防御策略是针对在当前时刻之前已识别到的异常流量生成的；若存在，根据已存在的第一防御策略对后续时段内的网络流量进行数据处理；若不存在，根据第二防御策略对后续时段内的网络流量进行数据处理，所述第二防御策略是根据当前时刻之前已经识别到的正常流量生成的。2.根据权利要求1所述的方法，其特征在于，还包括：根据当前时段内的流量日志数据，分析当前时段内的网络流量的特征；根据所述当前时段内的网络流量的特征和已知正常流量的基线特征，识别出当前时段内存在的异常流量；根据所述当前时段内存在的异常流量的特征，生成针对当前时段内存在的异常流量的第一防御策略。3.根据权利要求1所述的方法，其特征在于，根据已存在的第一防御策略对后续时段内的网络流量进行数据处理，包括：将已存在的第一防御策略下发给网络流量通道上的防护执行设备，以供所述防护执行设备根据已存在的第一防御策略对后续时段内的网络流量进行数据处理。4.根据权利要求3所述的方法，其特征在于，还包括：将已存在的第一防御策略对应的生效时长下发给所述防护执行设备，以供所述防护执行设备在所述生效时长内根据已存在的第一防御策略对后续时段内的网络流量进行数据处理。5.根据权利要求1所述的方法，其特征在于，还包括：将历史时段内的流量日志数据中的异常日志数据滤除，得到正常流量的日志数据；根据所述正常流量的日志数据，分析正常流量的基线特征；根据所述正常流量的基线特征中的目标字段特征，生成所述第二防御策略。6.根据权利要求1所述的方法，其特征在于，根据第二防御策略对后续时段内的网络流量进行数据处理，包括：将已生成的第二防御策略下发给网络流量通道上的防护执行设备，以供所述防护执行设备根据已生成的第二防御策略对后续时段内的网络流量进行数据处理。7.根据权利要求1所述的方法，其特征在于，根据当前时段内的流量日志数据确定出当前时段内的网络流量存在异常行为，包括以下至少一种：根据当前时段内的日志数据，获取当前时段内数据请求的请求频率，在请求频率大于第一阈值时，则确定当前时段内的网络流量存在异常行为；根据当前时段内的日志数据，获取当前时段内数据请求的响应状态码异常比例，在响应状态码异常比例大于第二阈值时，则确定当前时段内的网络流量存在异常行为；根据当前时段内的日志数据，获取当前时段内数据请求的数量相对于上一时段的增长率，在增长率大于第三阈值时，则确定当前时段内的网络流量存在异常行为。
8.一种数据处理方法，其特征在于，包括：根据当前时段内的流量日志数据，分析当前时段内的网络流量的特征；根据所述当前时段内的网络流量的特征和已知正常流量的基线特征，识别出当前时段内存在的异常流量，其中，已知正常流量的基线特征是从历史流量日志数据中获得的；根据所述当前时段内存在的异常流量的特征，生成针对当前时段内存在的异常流量的第一防御策略，以对后续时段内的网络流量进行数据处理。9.一种数据处理方法，其特征在于，包括：获取当前时段内的数据库操作日志数据，所述数据库操作日志数据反映当前时段内的数据库操作流量具有的特征；若根据当前时段内的数据库操作日志数据确定出当前时段内存在数据泄露行为，判断是否存在第一防御策略，所述第一防御策略是针对在当前时刻之前已识别到的数据库异常操作流量生成的；若存在，根据已存在的第一防御策略对后续时段内的数据库操作流量进行数据处理；若不存在，根据第二防御策略对后续时段内的数据库操作流量进行数据处理，所述第二防御策略是根据当前时刻之前已经识别到的正常数据库操作流量生成的。10.根据权利要求9所述的方法，其特征在于，根据已存在的第一防御策略对后续时段内的数据库操作流量进行数据处理，包括：将已存在的第一防御策略下发给数据库操作流量通道上的防护执行设备，以供所述防护执行设备根据已存在的第一防御策略对后续时段内的数据库操作流量进行数据处理。11.根据权利要求9所述的方法，其特征在于，根据第二防御策略对后续时段内的网络流量进行数据处理，包括：将已生成的第二防御策略下发给数据库操作流量通道上的防护执行设备，以供所述防护执行设备根据已存在的第二防御策略对后续时段内的数据库操作流量进行数据处理。12.根据权利要求9所述的方法，其特征在于，根据当前时段内的数据库操作日志数据确定出当前时段内存在数据泄露行为，包括以下至少一种：根据当前时段内的数据库操作日志数据，获取当前时段内查询数据条目数量，在查询数据条目数大于第一数量阈值时，则当前时段内的数据库操作日志数据确定出当前时段内存在数据泄露行为；根据当前时段内的数据库操作日志数据，获取当前时段内查询数据字节数，在查询数据字节数大于第二数量阈值时，则当前时段内的数据库操作日志数据确定出当前时段内存在数据泄露行为。13.一种数据处理方法，其特征在于，包括：获取当前时段内的流量日志数据，所述流量日志数据反映当前时段内的网络流量具有的特征；若根据当前时段内的流量日志数据确定出当前时段内的网络流量存在异常行为，判断是否存在第一防御策略，所述第一防御策略是针对在当前时刻之前已识别到的异常流量生成的；若存在，根据已存在的第一防御策略对后续时段内的网络流量生成第一可视化数据；若不存在，根据第二防御策略对后续时段内的网络流量生成第二可视化数据，所述第
二防御策略是根据当前时刻之前已经识别到的正常流量生成的。14.根据权利要求13所述的方法，其特征在于，在根据已存在的第一防御策略对后续时段内的网络流量生成第一可视化数据之后，还包括：将所述第一可视化数据发送至显示终端，以供显示终端根据第一可视化数据生成第一...

【专利技术属性】
技术研发人员：徐道晨，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：