网络攻击的防控方法、装置及系统与流程

本发明涉及通信应用
技术领域：
，具体而言，涉及一种网络攻击的防控方法、装置及系统。
背景技术：
：随着互联网的发展，特别是互联网技术的广泛运用，互联网由开始提供的一个开放平台发展至由于资源的丰富引发的来自各个原因的网络攻击，互联网安全成为了现如今互联网时代广泛关注的一个问题，针对如何防御网络攻击，以及如何反制网络攻击的发起源头，成为了现如今互联网技术一个反复探索的研究课题。现有的网络攻击中，分布式拒绝服务攻击(distributeddenialofservice，简称ddos)是目前最难防御的一种网络攻击行为，目前业界的防御系统都是在服务器前端部署防火墙产品，在服务器被攻击时通过部署在服务器前端的防火墙将攻击清洗掉，目前面临的最大问题就是：问题(1)攻击量越来越大，但是服务器侧的带宽却无法无限扩充，单纯的靠服务器端的清洗已经无法满足越来越多的网络攻击；问题(2)发起ddos攻击的攻击方一般会组织大量的私人电脑(personalcomputer，简称pc)，这些pc一般被攻击者控制，由大量该类pc组成的计算机网络被称作僵尸网络，该僵尸网络都是真实的机器，目前没有一种有效的方法能直接追踪到僵尸网络。问题(3)无法反制该ddos网络攻击，只能被动的挨打。ddos攻击带来的危害则是攻击者会控制大量的僵尸主机对目标服务器发起攻击，此时正常的用户将无法访问目标主机。相关技术中采用较多的缓解僵尸网络的ddos攻击的方法主要有：方法一，基于入侵检测系统(intrusiondetectionsystem，简称ids)、入侵防御系统(intrusionpreventionsystem，简称ips)发现僵尸网络的方法：ids按照一定的安全规则和安全策略，对网络、系统的运行情况进行监控，如果发现保护的网络内有机器被外界主机所控制，ids设备能根据配置好的安全策略产生告警，提供网络管理员参考。方法二，基于蜜网技术发现僵尸网络的方法：蜜罐技术是一个由防护方布置的一套信息收集系统,故意的暴露在网络上，并且会留下一些未修复的漏洞。一旦攻击者入侵后,就可以知晓其如何实施并得逞的,从而随时了解黑客发动的最新的攻击和漏洞。蜜罐还可以通过 窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。方法三，基于流量分析特别是深包检测技术(deeppacketinspection，简称dpi)的僵尸网络监控方法：流量分析可以找出部分的僵尸主机。该技术只能在网络局部进行僵尸主机和僵尸网络的分析,很难对整个互联网的僵尸主机和僵尸网络进行定位,都不能找出特定僵尸网络的所有的僵尸主机；更不能对僵尸网络进行抑制。纵使上述方法能够对ddos攻击进行防御，但是上述方法存在以下问题：问题一，基于ids、ips发现僵尸网络缺点：如上这种方式的好处就是检测是基于逐包分析的方式，通过匹配安全策略和规则来告警，但是这种方式只能是基于局域网和企业网内使用，且单点和单点之间的数据无法共享，因此无论是从检测覆盖度还是速度上都无法解决大规模ddos攻击中的攻击源分析的问题；问题二，基于蜜罐技术捕获僵尸网络的缺点：蜜罐技术需要大量部署且容易被黑客当作攻击跳板，由于蜜罐主机的操作系统有很多的漏洞，很容易被攻击导致系统无法启动，同时蜜罐系统收集的数据在整个互联网的数据中只是很小的一部分，需要部署大量的蜜罐系统才能有足够的数据使用，在实际用途中一般用作研究使用，很难真正广泛推广；问题三，基于流量分析特别是dpi检测技术的僵尸网络监控方法缺点：如上dpi技术和流量分析技术具有滞后性，且传统的dpi技术和流量分析技术都是靠部署在服务器侧的设备来进行分析和定位，属于攻击的最后一公里去反推攻击的源头，不仅分析起来耗时久，而且随着僵尸网络的变化，前面的分析可能很快就不具备时效性，很难比攻击者速度快。针对上述由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的问题，目前尚未提出有效的解决方案。技术实现要素：本发明实施例提供了一种网络攻击的防控方法、装置及系统，以至少解决由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的技术问题。根据本发明实施例的一个方面，提供了一种网络攻击的防控方法，包括：当检测到网络攻击时，解析攻击报文，其中，攻击报文包含：地址信息；依据地址信息定位第一网关设备；向第一网关设备发送防控指令，其中，防控指令用于指示第一网关设备对攻击报文所属的终端执行安全控制。根据本发明实施例的一个方面，提供了另一种网络攻击的防控方法，包括：接收防控指令，其中，防控指令包括：被攻击服务器接收到的攻击报文的地址信息；依据 地址信息查询得到发送攻击报文的攻击终端；获取攻击终端的端口信息，并依据端口信息得到与攻击终端存在通信连接的计算设备；依据端口信息，筛选与攻击终端存在通信连接的计算设备，得到发起攻击报文的初始终端，其中，攻击终端依据初始终端的控制指令发送攻击报文；通过预设方式控制初始终端。根据本发明实施例的另一个方面，提供了一种网络攻击的防控装置，包括：解析模块，用于当检测到网络攻击时，解析攻击报文，其中，攻击报文包含：地址信息；定位模块，用于依据地址信息定位第一网关设备；发送模块，用于向第一网关设备发送防控指令，其中，防控指令用于指示第一网关设备对攻击报文所属的终端执行安全控制。根据本发明实施例的另一个方面，提供了另一种网络攻击的防控装置，包括：接收模块，用于接收防控指令，其中，防控指令包括：被攻击服务器接收到的攻击报文的地址信息；查询模块，用于依据地址信息查询得到发送攻击报文的攻击终端；获取模块，用于获取攻击终端的端口信息，并依据端口信息得到与攻击终端存在通信连接的计算设备；筛选模块，用于依据端口信息，筛选与攻击终端存在通信连接的计算设备，得到发起攻击报文的初始终端，其中，攻击终端依据初始终端的控制指令发送攻击报文；防控模块，用于通过预设方式控制初始终端。根据本发明实施例的又一个方面，提供了一种网络攻击的防控系统，包括：服务器和城域设备，服务器与城域设备通信连接，其中，服务器为上述一种网络攻击的防控装置；城域设备为上述另一种网络攻击的防控装置。在本发明实施例中，通过当检测到网络攻击时，解析攻击报文，其中，攻击报文包含：地址信息；依据地址信息定位第一网关设备；向第一网关设备发送防控指令，其中，防控指令用于指示第一网关设备对攻击报文所属的终端执行安全控制，达到了服务器和网关设备主动对网络攻击进行安全控制的目的，从而实现了提升防御效率的技术效果，进而解决了由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的技术问题。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图1是本发明实施例的一种网络攻击的防控方法的服务器的硬件结构框图；图2是根据本发明实施例一的网络攻击的防控方法的流程图；图3是根据本发明实施例一的网络攻击的防控方法中服务器侧的结构示意图；图4是根据本发明实施例一的网络攻击的防控方法中攻击报文所属位置的分布图；图5是根据本发明实施例二的网络攻击的防控方法的流程图；图6是根据本发明实施例二的一种网络攻击的防控方法的流程图；图7是根据本发明实施例提供的网络攻击的防控系统的结构示意图；图8是根据本发明实施例提供的网络攻击的防控系统执行防控方法的流程示意图；图9是根据本发明实施例三的网络攻击的防控装置的结构示意图；图10是根据本发明实施例三的一种网络攻击的防控装置的结构示意图；图11是根据本发明实施例三的另一种网络攻击的防控装置的结构示意图；图12是根据本发明实施例三的又一种网络攻击的防控装置的结构示意图；图13是根据本发明实施例四的网络攻击的防控装置的结构示意图；图14是根据本发明实施例四的一种网络攻击的防控装置的结构示意图；图15是根据本发明实施例四的另一种网络攻击的防控装置的结构示意图；图16是根据本发明实施例四的又一种网络攻击的防控装置的结构示意图；图17是本发明实施例五的网络攻击的防控系统的结构示意图。具体实施方式为了使本
技术领域：
的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或 对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请实施例涉及的技术名词：ddos攻击：分布式拒绝服务攻击(distributeddenialofservice，简称ddos)；ip地址：网络之间互联的协议地址(internetprotocol，简称ip)。实施例1根据本发明实施例，还提供了一种网络攻击的防控方法的方法实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组服务器可执行指令的服务器架构中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。本申请实施例一所提供的方法实施例可以在服务器、与服务器集群连接的网关设备或者类似的运算装置中执行。以运行在服务器上为例，图1是本发明实施例的一种网络攻击的防控方法的服务器的硬件结构框图。如图1所示，服务器10可以包括一个或多个(图中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)、用于存储数据的存储器104、以及用于通信功能的传输模块106。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述电子装置的结构造成限定。例如，服务器10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。存储器104可用于存储应用软件的软件程序以及模块，如本发明实施例中的网络攻击的防控方法对应的程序指令/模块，处理器102通过运行存储在存储器104内的软件程序以及模块，从而执行各种功能应用以及数据处理，即实现上述的应用程序的漏洞检测方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至服务器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(networkinterfacecontroller，nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(radiofrequency，rf)模块，其用于通过无线方式与互联网进行通讯。在上述运行环境下，本申请提供了如图2所示的网络攻击的防控方法。在服务器侧，图2是根据本发明实施例一的网络攻击的防控方法的流程图。步骤s202，当检测到网络攻击时，解析攻击报文，其中，攻击报文包含：地址信息；本申请实施例提供的网络攻击的防控方法可以适用于互联网或城际局域网环境下，在本申请中以ddos攻击为例进行说明，其中，在针对ddos攻击的过程中，相关技术中在服务器端仅仅是靠部署在服务器前端的防火墙阻绝攻击，但是随着攻击量的越来越大，防火墙的被动防御将不能满足防御需求；针对ddos攻击的特点，即，发起ddos攻击的攻击方一般会组织大量的个人电脑(personalcomputer，简称pc)，这些pc一般被攻击者控制，由此形成僵尸网络，进而攻击方通过控制僵尸网络对服务器进行攻击，从而增加攻击量。本申请实施例提供的网络攻击的防控方法为有效解决上述ddos攻击造成的影响，在服务器侧，通过在服务器前段配置清洗系统，除了区别于相关技术中的被动防御外，服务器将针对ddos攻击主动执行安全控制。本申请上述步骤s202中，在服务器侧，当检测到网络攻击时，通过解析形成网络攻击的攻击报文，得到攻击报文中的地址信息，其中该地址信息可以指示攻击报文的来源位置，在本申请中来源位置可以为发送攻击报文的终端所属的城市，具体执行步骤s204。步骤s204，依据地址信息定位第一网关设备；基于步骤s202中获取到的攻击信息中的地址信息，本申请上述步骤s204中，本申请实施例中的地址信息可以包括：ip地址，基于互联网地址协议，在网络报文发送的过程中网络报文将携带源地址和目的地址(可以为ip地址或介质访问控制(mediaaccesscontrol，简称mac)地址)，在服务器侧，由于攻击报文也属于网络报文的一种，当服务器接收到该攻击报文时，根据该攻击报文中的源ip地址，将可以依据现有的ip协议，确定该ip地址所属的位置。本申请实施例提供的地址信息中以ip地址为例进行说明，以实现本申请实施例提供的网络攻击的防控方法为准，具体不做限定。步骤s206，向第一网关设备发送防控指令，其中，防控指令用于指示第一网关设备对攻击报文所属的终端执行安全控制。基于步骤s204中确定的攻击报文所属的位置，本申请上述步骤s206中，在确定攻击报文所属位置后，服务器侧将生成防控指令，并将该防控指令发送至该位置所定位的第一网关设备处，以使得由第一网关设备依据该防控指令主动对发起攻击报文的终端进行安全控制，从而在攻击源头遏制当前服务器侧所面对的网络攻击，即，主动 的对当前的网络攻击进行防御控制。这里本申请实施例提供的网络攻击的防控方法中，本申请实施例将清洗系统分别部署在服务器侧和城域设备侧，在服务器侧受到网络攻击的同时，除了被动防御，还将主动的分析攻击来源，并通过协同城域设备进行反制，即，通过向攻击报文发起的终端所属的城域设备发送防控指令，以使得由城域设备将当前的网络攻击遏制于发起的源头，从而达到了对网络攻击的主动防御，减轻了被动防御过程中对带宽的占用，提升了对网络攻击的防御效率。其中，城域设备可以为部署于各个城市或各个网络节点的网关设备。结合步骤s202至步骤s206，图3是根据本发明实施例一的网络攻击的防控方法中服务器侧的结构示意图。如图3所示，本申请实施例提供的服务器侧的防护架构中，包括：运营商路由设备、服务器设备和清洗系统，其中，上述清洗系统可以包括：检测装置、清洗装置、路由设备和管理装置。这里管理装置管理检测装置和清洗装置，当运营商路由设备接收到流量信息时，与运营商路由设备通信连接的清洗系统，将通过路由设备接收当前所有流量信息，并通过管理装置控制检测装置对当前接收到的流量信息进行检测，筛选出攻击流量，进而通过清洗装置对攻击流量进行清洗，从而向服务器设备返回正常流量，即，不含攻击流量的流量信息，并通过向攻击流量所属的位置发送防控指令，启动主动防控。在本申请实施例通过的网络攻击的防控方法中，当步骤s202检测到网络攻击后(即，上述图3中清洗系统中的检测装置)，通过解析攻击报文，通过步骤s204定位该攻击报文所属位置，进而在通过步骤s206向该位置的第一网关设备发送防控指令的同时，启动清洗先对当前网络攻击进行缓解，从而通过第一网关设备侧的溯源主动控制攻击报文的发送终端，执行主动防御。归避了相关技术中服务器侧仅能依靠防火墙被动防御的问题，提升了防御效率。由上可知，本申请上述实施例一所提供的方案，通过当检测到网络攻击时，解析攻击报文，其中，攻击报文包含：地址信息；依据地址信息定位第一网关设备；向第一网关设备发送防控指令，其中，防控指令用于指示第一网关设备对攻击报文所属的终端执行安全控制，达到了服务器和网关设备主动对网络攻击进行安全控制的目的，从而实现了提升防御效率的技术效果，进而解决了由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的技术问题。可选的，步骤s202中解析攻击报文包括：本申请实施例提供的网络攻击的防控方法中，基于上述步骤s202，如何解析攻击报文具体如下：step1，在预设的单位时间内，采集攻击报文；本申请上述步骤step1中，在获取攻击报文的攻击信息时，首先，需要筛选出攻击报文，即，常规网络报文不会在短时间内频繁向服务器侧发送网络报文，以此为基准，当在单位时间内采集到，发送网络报文的源地址为同一地址，报文协议类型相同，且报文长度大于预设长度时，判定该网络报文为攻击报文。其中，本申请实施例中的预设的单位时间可以为如表1所示的报文采集时间，本申请实施例中在判断网络报文是否为攻击报文的过程中，以在一个采集时间内源地址相同、报文协议类型相同且报文长度大于预设长度的报文为攻击报文。表1为在单位时间内采集到的网络报文列表：表1其中，由表1可知，以0x年7月11日6点xx分xx秒为报文的采集时间为例，在该时间点，如表1所示，源地址为113.x.x发送了多条(两条以上)网络报文，且报文长度大于接收到的所有报文长度的均值，由此得到该源地址为113.x.x，协议类 型为：简单服务发现协议(simpleservicediscoveryprotocol，简称ssdp)的网络报文为攻击报文。step2，解析攻击报文，得到攻击报文的地址信息和流量信息；基于上述步骤step1中采集的攻击报文，本申请上述步骤step2中，通过对攻击报文的解析，将得到攻击报文的地址信息，以及流量信息，其中，流量信息可以为当前该攻击报文在所有用户数据包协议(userdatagramprotocol，简称udp)中超文本传输协议数据包(hypertexttransferprotocol，简称htp)中所占的百分比，以及所占的比特比；地址信息可以为上述表1中的源地址，在本申请实施例中该源地址以ip地址为例进行说明。step3，依据流量信息和地址信息得到攻击报文的攻击特征，其中，攻击特征为在预设的单位时间内攻击报文由地址信息对服务器的流量冲击方式。本申请上述步骤step3中，结合step1和step2在得到流量信息和地址信息后，将能够得到在step1步骤中单位时间内，地址信息为113.x.x的攻击报文的攻击特征，即，在单位时间内，根据攻击报文的源地址和step2中的流量信息计算得到该攻击报文的攻击特征，其中，该攻击特征可以包括：高频发送了大量简单服务发现协议ssdp报文，即，已经构成了ssdp反射攻击的特征。进一步地，可选的，步骤s204中依据地址信息定位第一网关设备包括：step1，解析地址信息，得到攻击报文的源地址；基于步骤s202中的step2得到的地址信息，本申请上述步骤step1中，由于地址信息可以包括：源地址、源端口、目的地址和目的端口，目的地址可以为服务器侧的ip地址，目的端口可以为服务器侧接收攻击报文的端口，由于在服务器侧接收到的攻击报文，所以目的地址在服务器侧为已知，即服务器的ip地址，通过解析上述地址信息，将得到源地址。step2，在预先设置的数据库中匹配源地址对应的位置，得到攻击报文所属的位置；基于上述步骤step1得到攻击报文的源地址后，本申请上述步骤step2中，由于在互联网协议的框架下，通过ip地址均可以查询得到该ip地址对应的位置，即，该ip所属的城市，由此可知，在本申请实施例中通过在数据库中匹配该源地址，将得到该源地址所属省份和城市。step3，在数据库中查询位置对应的网关设备，得到攻击报文所属的位置对应的第一网关设备。基于上述步骤step2确定的攻击报文所属的位置，本申请上述步骤step3中，基于互联网协议框架，当通过源ip地址得到该源ip所属的城市(即，本申请实施例中的位置)时，通过协同该城市的运用商，得到转发携带有该源ip攻击报文的第一网关设备。其中，图4是根据本发明实施例一的网络攻击的防控方法中攻击报文所属位置的分布图。如图4可知，通过扇形图分布可以得到，在服务器侧接收的攻击报文中，攻击来源最大的城市和/或运营商，通过知晓攻击来源最大的城市可以通过协同该城市设置的网关设备，对该城市区域中源地址所指示的终端进行安全控制，达到了主动防御的效果。其中，所占攻击源ip分布百分比最大的城市可以为攻击来源最大的城市，如图4所示为11％对应的城市，这里需要说明的是，通过获取运营商信息将可以通过利用运营商资源更进一步的对发起攻击报文的终端匹配对应的防控策略，以使得达到最佳防控效果。具体防控执行步骤s206。进一步地，可选的，步骤s206中向位置所定位的网关设备发送防控指令包括：step1，依据攻击特征生成防控指令；基于上述步骤s204确定的攻击报文所属的位置，本申请上述步骤step1中，由于上述步骤s204中的得到攻击特征，将生成防控指令。该防控指令可以包括本地防控指令和指示攻击报文所属位置的网关设备执行的防控指令。其中，本地防控指令为在服务器侧执行的防御操作，该防御操作可以包括：设置白名单或设置服务器侧接收数据流量的门限阈值。这里通过设置白名单，将白名单以外的源ip地址进行甄别处理，当获取到携带攻击特征的网络报文时，将禁止接收处理该攻击特征对应的源ip的网络报文，通过甄别学习，扩充白名单；同理，黑名单处理方式相同，通过标记携带攻击特征的源ip，根据上述源ip生成黑名单，对来自该源ip地址的网络报文禁止接收处理。在本地防控指令中，当定位到城市后，还可以进一步分析，攻击来源的类型和主机系统的特点，如：nat内网ip、伪造爬虫ip、代理ip、个人僵尸主机、服务器僵尸主机和3g网关，对于不同的类型，在服务器侧(即，近目的端)采用的策略不一样，根据不同的ip策略来进行本地的防御处理，其中，ip策略可以包括：对于nat内网ip和3g网关可以采取限速策略，对于其他ip则采取封禁策略。在接收数据流量上，可以通过设置门限阈值，将大于当前门限阈值的数据报文进行丢包，以保障服务器侧的安全。这里服务器侧所执行的本地防控指令为被动防御，通过生成用于指示攻击报文所属位置的网关设备执行的防控指令，协同该攻击报文所 属位置的网关设备，达到主动防御的目的。step2，将防控指令发送至第一网关设备。结合步骤s206中step1得到的防控指令，并在得到的攻击报文所属的位置对应的第一网关设备后，本申请上述步骤step2中，将防控指令发送至第一网关设备。其中，该第一网关设备为配置有清洗系统的城域网关设备，具体的，在每个城域网出口均部署流量清洗系统，以使得清洗系统与城域网出口的路由器建立边界网关协议(bordergatewayprotocol，简称bgp)邻居关系。需要说明的是，本申请实施例提供的网络攻击的防控方法中，区别于相关技术中在服务器侧的被动防御，本申请实施例提供了一种防控网络，除在服务器侧配置清洗系统，在城域设备侧，同样配置清洗系统，以达到当服务器侧检测到网络攻击时，通过定位到攻击报文的发起终端所属的城市，协同该城市的城域设备，依据攻击报文的攻击信息进行溯源筛选得到整个攻击流程的源头，即，整个网络攻击的发起终端，通过城域设备的清洗系统对发起终端执行安全控制，达到消除由该发起终端组成的攻击网络，杜绝该发起终端再次发起的网络攻击，区别于相关技术中尽在服务器侧的被动防御，本申请实施例提供的网络攻击的防控方法，服务器侧除了常规防控外，还通过主动获取攻击报文源ip，并进行定位，协同该源ip所属位置的城域设备，达到主动防御的效果，提升了服务器侧在面对网络攻击时的防御效率。实施例2根据本发明实施例，还提供了另一种网络攻击的防控方法的方法实施例，在城域设备侧，本申请提供了如图5所示的网络攻击的防控方法。图5是根据本发明实施例二的网络攻击的防控方法的流程图。步骤s502，接收防控指令，其中，防控指令包括：被攻击服务器接收到的攻击报文的地址信息；本申请实施例提供的网络攻击的防控方法可以适用于城域设备侧，其中，城域设备可以为每个城域网络的网关设备，在本申请实施例中该网关设备为配置有清洗系统的网关设备，其中，清洗系统与城域网出口的路由器建立有边界网关协议(bordergatewayprotocol，简称bgp)邻居关系。本申请上述步骤s502中，城域设备接收由服务器发送的防控指令，城域设备通过该防控指令获取被攻击服务器接收到的攻击报文的地址信息。步骤s504，依据地址信息查询得到发送攻击报文的攻击终端；基于步骤s502中防控指令中的地址信息，本申请上述步骤s504中，城域设备依据该地址信息，查询得到发送该攻击报文的攻击终端，其中，根据攻击报文中的地址信息可以查询得到该地址信息中的源地址，这里根据源地址将能够查询到发送该攻击报文的终端。具体的，基于互联网协议框架，在网络报文进行传输的过程中网络报文会携带源地址和目的地址和/或源端口和目的端口，以及该网络报文的协议类型，由此可知，在城域设备接收到防控指令后，由于防控指令携带攻击报文的地址信息，城域设备将可以通过该地址信息查询得到发起攻击报文的攻击终端，即，服务器接收攻击报文，该攻击报文的目的地址和目的端口将为服务器的ip地址和端口，由该攻击报文中地址信息中的源地址和源端口可以得到发送该攻击报文的终端的ip地址和端口，城域设备也是根据该源地址和源端口得到发送攻击报文的攻击终端。这里本申请实施例提供的网络攻击的防控方法以ddos攻击为例进行说明，以实现本申请实施例提供的网络攻击的防控方法为准，具体不做限定。步骤s506，获取攻击终端的端口信息，并依据端口信息得到与攻击终端存在通信连接的计算设备；基于步骤s506中查询得到的攻击终端，本申请上述步骤s506中，首先获取该攻击终端的端口信息，进而根据端口信息获取与该攻击终端建立有通信连接的所有计算设备，这里计算设备可以为具备发起整个网络攻击嫌疑的初始终端。具体的，城域设备通过获取该攻击终端的端口信息，将可以得到与该攻击终端存在通信连接的计算设备的个数以及分布，即，在互联网通信中存在与该攻击终端具有通信连接的多个计算设备，而发起整个网络攻击的初始终端将会存在于与该攻击终端具有通信连接的众多计算设备之中。其中，本申请实施例中的计算设备可以为与攻击终端和初始终端一样的pc机、笔记本电脑或超级计算机等能够接入通信网络的计算设备，本申请实施例仅以pc机为例进行说明，以实现本申请实施例提供的网络攻击的防控方法为准，具体不做限定。步骤s508，依据端口信息，筛选与攻击终端存在通信连接的计算设备，得到发起攻击报文的初始终端，其中，攻击终端依据初始终端的控制指令发送攻击报文；基于上述步骤s506得到计算设备，本申请上述步骤s508中，在城域设备侧，当网络攻击发生时，能够检测到发送攻击报文的攻击终端和与该攻击终端通信连接的计算设备存在通信报文的地方有两个，其一，与该攻击终端通信连接的计算设备所在的 城域网出口；其二，发起攻击报文的攻击终端所在的城域网出口。其中，与该攻击终端通信连接的终端可以为步骤s506中的计算设备，因为与该攻击终端通信连接的计算设备可以为多个终端，特别是在网络攻击发起前和发生时肯定会存在与该攻击终端多次通信的计算设备。这里如何从多个计算设备中筛选得到初始终端可以包括：以当攻击终端对服务器发起攻击时，首先要从初始终端获取攻击指令(即，本申请实施例中提到的控制指令)，攻击指令中可以包含了攻击类型、攻击时长、攻击流量大小等，由于攻击前初始终端需要下发给大量的攻击终端上述攻击指令，因此将可以能通过某一段时间某个ip同样端口的流量急剧上升来判断该初始终端的存在，并定位到该初始终端。步骤s510，通过预设方式控制初始终端。本申请上述步骤s510中，城域设备将可以依据初始终端的攻击方式得到该初始终端的设备类型，进而依据该设备类型匹配对应的安全控制方法，城域设备通过控制初始终端，执行防控策略，其中，控制初始终端可以为该初始终端对应的城域设备对该初始终端的权限进行管制，如，关闭任何与该初始终端建立有通信连接的攻击终端，以使得该初始终端与外界隔绝；进而通过执行防控策略，中断由初始终端以及多个发送攻击报文的攻击终端组成的攻击网络中攻击终端与攻击终端之间的通信链路，进而将初始终端黑洞处理，使得整个攻击网络失去攻击能力。具体见图6，图6是根据本发明实施例二的一种网络攻击的防控方法的流程图，其中，如图6所示，在城域设备侧，当服务器检测到网络攻击后，城域设备接收到服务器发送的防控指令，城域设备对与该发送攻击报文的攻击终端建立通信连接的计算设备进行全网近源检测，通过发现异常的五元组，进而定位整个网络攻击的初始终端，并通过清洗系统截断该初始终端的通信，从而在城域网出口将该初始终端的ip进行封禁(即，黑洞处理)，最终达到网络攻击被阻断的效果，以规避相关技术中服务器的被动防御，进而达到本申请实施例提供的网络攻击的防控方法中服务器与城域设备通过协同主动对网络攻击进行防御的目的。其中，本申请实施例提供的五元组可以包括：(1)源ip地址；(2)目的ip地址；(3)源端口；(4)目的端口；(5)协议类型。遍布于各处的城域设备通过检测源ip地址、目的ip地址、源端口和目的端口之间的数据流量是否大于预设阈值，将可以得到与发送攻击报文的攻击终端具有通信连接的计算设备，进而筛选该计算设备得到发起整个网络攻击的初始终端。由上可知，本申请上述实施例二所提供的方案，通过接收防控指令，其中，防控指令包括：被攻击服务器接收到的攻击报文的地址信息；依据地址信息查询得到发送 攻击报文的攻击终端；获取攻击终端的端口信息，并依据端口信息得到与攻击终端存在通信连接的计算设备；依据端口信息，筛选与攻击终端存在通信连接的计算设备，得到发起攻击报文的初始终端，其中，攻击终端依据初始终端的控制指令发送攻击报文；通过预设方式控制初始终端。达到了服务器和网关设备主动对网络攻击进行安全控制的目的，从而实现了提升防御效率的技术效果，进而解决了由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的技术问题。可选的，步骤s506中依据端口信息得到与攻击终端存在通信连接的计算设备包括：step1，依据端口信息查询在接收防控指令之前与攻击终端通信的计算设备。本申请上述步骤step1中，城域设备依据该端口信息查询在接收防控指令之前，与该攻击终端具有通信连接的计算设备，即，存在发起整个网络攻击嫌疑的初始终端。具体的，城域设备通过该端口信息，将得到曾与发送攻击报文的攻击终端建立有通信连接的各个计算设备的通信端口信息，进而通过标记与发送攻击报文的攻击终端通信连接的计算设备，筛选实际发起整个网络攻击的初始终端，而如何获取该初始终端，执行步骤s508。可选的，步骤s508中依据端口信息，筛选与攻击终端存在通信连接的计算设备，得到发起攻击报文的初始终端包括：step1，在端口信息包括：源地址、目标地址、源端口、目标端口和协议类型的情况下，将攻击终端的地址作为目标地址，并检测在预设时间内与目标地址通信次数大于预设安全值的源地址；基于步骤s506中的step1，本申请上述步骤step1中，在本申请实施例提供的网络攻击的防护方法中，提出了一个五元组的概念，即，五元组包括：(1)源ip地址；(2)目的ip地址；(3)源端口；(4)目的端口；(5)协议类型。城域设备获取该攻击终端与各个计算设备之间的端口信息，即，五元组信息。具体的，城域设备检测以该攻击终端的地址为目标地址，在预设时间内与该目标地址通信次数大于预设安全值的源地址，如表2所示，表2为在一次攻击发生前在城域网出口捕获到的发送攻击报文的攻击终端跟各个计算设备建立通信的五元组信息。其中，本申请实施例中的源地址和目标地址以ip地址为例。表2源ip目标ip源端口目的端口协议类型211.21.21.2119.20.20.206540350000tcp211.21.21.3119.20.20.206212350000tcp211.21.21.4119.20.20.206323450000tcp211.21.21.5119.20.20.206111150000tcp211.21.21.6119.20.20.205432150000tcp211.21.21.7119.20.20.201234550000tcp211.21.21.8119.20.20.202234550000tcp其中，如表2所示，若城域设备在接收防控指令之前，检测到在短时间内表2中的一个源ip存在与目标ip一直存在通信，且端口固定，则可以确定该源ip为发起整个网络攻击的初始终端的ip。这里短时间可以为在预设的通信周期内，其中，该通信周期可以依据实际通信环境决定。step2，将通信次数大于预设安全值的源地址对应的计算设备，作为初始终端。基于步骤step1中对预设时间内检测到的源地址，本申请上述step2中，由于若发起一场网络攻击，初始终端需要与发送攻击报文的攻击终端频繁通信，以告知该攻击终端攻击指令，进而通过将短时间内通信次数大于安全至的源地址对应的计算设备作为初始终端，即，完成了对初始终端的定位。进一步地，可选的，在防控指令还包括攻击特征的情况下，步骤s510中通过预设方式控制初始终端包括：step1，获取初始终端的设备类型；基于步骤s508中得到的初始终端，本申请上述步骤step1中，由于城域设备侧配置有清洗系统以及流量检测系统，城域设备获取初始终端的设备类型。step2，在攻击特征为预设的单位时间内攻击报文由地址信息对服务器的流量冲击方式的情况下，依据攻击特征和设备类型在预设数据库中匹配对应的防控策略。基于步骤step1中获取的设备类型，本申请上述步骤step2中，城域设备依据预先配置的清洗系统，根据攻击特征和设备类型，由清洗系统(即，本申请中的预设数据库)匹配对应该初始终端的防控策略。step3，中断攻击终端与初始终端之间的通信链路；本申请上述步骤step3中，城域设备将中断发送攻击报文的攻击终端与初始终端之间的通信连接，从而达到令由多个攻击终端组成的攻击网络与攻击源头的初始终端断绝通信连接的效果，由于攻击网络与攻击源头断绝了通信连接，由此攻击网络将无法继续接收初始终端发送的攻击指令，进而攻击网络将在执行攻击行为时瘫痪，从而土崩瓦解，消除了当前ddos攻击这一现象。step4，依据防控策略锁禁初始终端。本申请上述步骤step4中，在中断攻击终端与初始终端之间的通信链路的同时，可以通过锁禁初始终端，具体的，通过封禁初始终端的ip地址，使该ip地址成为无效地址，进而断绝初始终端与任一攻击终端的通信可能。需要说明的是，结合实施例1和实施例2，通过服务器侧和城域设备侧两侧合作协同防御，避免了相关技术中服务器只能被动防御的现状，进而在本申请实施例提供的网络攻击的防控方法下，服务器和城域设备主动对网络攻击进行安全控制，提升了防御效率。具体的，本申请提出了一种防御架构，如图7所示，图7是根据本发明实施例提供的网络攻击的防控系统的结构示意图。图7中，每个城域往出口均配置有清洗系统，以使得该清洗系统与城域网出口的路由器建立bgp邻居关系，且，每个城域网均配置流量检测系统，其中，城域网将出口路由器的流量信息均发送到流量检测系统，以使得在网络攻击发生时，能够有效根据端口信息(即，五元组)检测出初始终端。结合图7，基于实施例1和实施例2，图8是根据本发明实施例提供的网络攻击的防控系统执行防控方法的流程示意图，如图8所示，该网络攻击的防控系统的处理流程具体如下：首先，在服务器侧，当检测到ddos攻击时，启动清洗，协同联动城域设备(即，防控指令的下达)；其次，城域设备侧获取五元组(源地址、源端口、目标地址、目标端口和协议类型)；第三，城域设备侧执行反向溯源分析，提交ip通信的关联ip、关联区域、可疑机器以及可以操作者(即，本申请实施例中提到的攻击终端和初始终端)；第四，定位发起整个ddos攻击的初始终端，执行防控策略。本申请实施例提供的网络攻击的防控方法中，以ddos攻击为例进行说明，在执 行ddos攻击的过程中，由发送攻击报文的攻击终端组成的僵尸网络，为危害服务器侧的主要攻击源头，其中，僵尸网络的检测和清除是解决运营商面临的dos、ddos攻击的源头防御方案，本申请实施例提供的网络攻击的防控方法解决了僵尸网络的问题，运营商受dos和ddos攻击的威胁将得到最大程度的降低，在上述通信架构下，ddos解决方案从只是被动的检测、封堵、清洗等，到一个源头解决方案的过渡。本申请实施例提供的网络攻击的防控方法可以为以后作为ddos的源头解决方案真正解决运营商网络的ddos攻击问题。需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的网络攻击的防控方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。实施例3根据本发明实施例，还提供了一种用于实施上述方法实施例的网络攻击的防控装置实施例，本申请上述实施例所提供的装置可以在服务器上运行。图9是根据本发明实施例三的网络攻击的防控装置的结构示意图。如图9所示，该网络攻击的防控装置包括：解析模块92、定位模块94和发送模块96。其中，解析模块92，用于当检测到网络攻击时，解析攻击报文，其中，攻击报文包含：地址信息；定位模块94，用于依据地址信息定位第一网关设备；发送模块96，用于向第一网关设备发送防控指令，其中，防控指令用于指示第一网关设备对攻击报文所属的终端执行安全控制。由上可知，本申请上述实施例三所提供的方案，通过当检测到网络攻击时，解析攻击报文，其中，攻击报文包含：地址信息；依据地址信息定位第一网关设备；向第一网关设备发送防控指令，其中，防控指令用于指示第一网关设备对攻击报文所属的终端执行安全控制，达到了服务器和网关设备主动对网络攻击进行安全控制的目的，从而实现了提升防御效率的技术效果，进而解决了由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的技术问题。此处需要说明的是，上述解析模块92、定位模块94和发送模块96对应于实施例一中的步骤s202至步骤s206，三个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的服务器10中，可以通过软件实现，也可以通过硬件实现。可选的，图10是根据本发明实施例三的一种网络攻击的防控装置的结构示意图，如图10所示，解析模块92包括：采集单元921、解析单元922和获取单元923。其中，采集单元921，用于在预设的单位时间内，采集攻击报文；解析单元922，用于解析攻击报文，得到攻击报文的地址信息和流量信息；获取单元923，用于依据流量信息和地址信息得到攻击报文的攻击特征，其中，攻击特征为在预设的单位时间内攻击报文由地址信息对服务器的流量冲击方式。此处需要说明的是，上述采集单元921、解析单元922和获取单元923对应于实施例一中的步骤s202的step1至step3，三个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的服务器10中，可以通过软件实现，也可以通过硬件实现。进一步地，可选的，图11是根据本发明实施例三的另一种网络攻击的防控装置的结构示意图，如图11所示，定位模块94包括：信息解析单元941、定位单元942和查询单元943。其中，信息解析单元941，用于解析地址信息，得到攻击报文的源地址；定位单元942，用于在预先设置的数据库中匹配源地址对应的位置，得到攻击报文所属的位置；查询单元943，用于在数据库中查询位置对应的网关设备，得到攻击报文所属的位置对应的第一网关设备。此处需要说明的是，上述信息解析单元941、定位单元942和查询单元943对应于实施例一中的步骤s204的step1至step3，三个模块与对应的步骤所实现的示例和 应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的服务器10中，可以通过软件实现，也可以通过硬件实现。进一步地，可选的，图12是根据本发明实施例三的又一种网络攻击的防控装置的结构示意图，如图12所示，发送模块96包括：指令生成单元961和发送单元962。其中，指令生成单元961，用于依据攻击特征生成防控指令；发送单元962，用于将防控指令发送至第一网关设备。此处需要说明的是，上述指令生成单元961和发送单元962对应于实施例一中的步骤s206的step1和step2，两个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例一所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例一提供的服务器10中，可以通过软件实现，也可以通过硬件实现。本申请实施例提供的网络攻击的防控装置中，区别于相关技术中在服务器侧的被动防御，本申请实施例提供了一种防控网络，除在服务器侧配置清洗系统，在城域设备侧，同样配置清洗系统，以达到当服务器侧检测到网络攻击时，通过定位到攻击报文的发起终端所属的城市，协同该城市的城域设备，依据攻击报文的攻击信息进行溯源筛选得到整个攻击流程的源头，即，整个网络攻击的发起终端，通过城域设备的清洗系统对发起终端执行安全控制，达到消除由该发起终端组成的攻击网络，杜绝该发起终端再次发起的网络攻击，区别于相关技术中尽在服务器侧的被动防御，本申请实施例提供的网络攻击的防控方法，服务器侧除了常规防控外，还通过主动获取攻击报文源ip，并进行定位，协同该源ip所属位置的城域设备，达到主动防御的效果，提升了服务器侧在面对网络攻击时的防御效率。实施例4根据本发明实施例，还提供了一种用于实施上述方法实施例的网络攻击的防控装置实施例，本申请上述实施例所提供的装置可以在城域设备上运行。图13是根据本发明实施例四的网络攻击的防控装置的结构示意图。如图13所示，该网络攻击的防控装置包括：接收模块1302、查询模块1304、获取模块1306、筛选模块1308和防控模块1310。其中，接收模块1302，用于接收防控指令，其中，防控指令包括：被攻击服务器接收到的攻击报文的地址信息；查询模块1304，用于依据地址信息查询得到发送攻击 报文的攻击终端；获取模块1306，用于获取攻击终端的端口信息，并依据端口信息得到与攻击终端存在通信连接的计算设备；筛选模块1308，用于依据端口信息，筛选与攻击终端存在通信连接的计算设备，得到发起攻击报文的初始终端，其中，攻击终端依据初始终端的控制指令发送攻击报文；防控模块1310，用于通过预设方式控制初始终端。由上可知，本申请上述实施例四所提供的方案，通过接收防控指令，其中，防控指令包括：被攻击服务器接收到的攻击报文的地址信息；依据地址信息查询得到发送攻击报文的攻击终端；获取攻击终端的端口信息，并依据端口信息得到与攻击终端存在通信连接的计算设备；依据端口信息，筛选与攻击终端存在通信连接的计算设备，得到发起攻击报文的初始终端，其中，攻击终端依据初始终端的控制指令发送攻击报文；通过预设方式控制初始终端。达到了服务器和网关设备主动对网络攻击进行安全控制的目的，从而实现了提升防御效率的技术效果，进而解决了由于相关技术中缺少对网络攻击进行监控和反制的技术，导致目标服务器在遭受攻击时被动防御，从而导致防御效率低的技术问题。此处需要说明的是，上述接收模块1302、查询模块1304、获取模块1306、筛选模块1308和防控模块1310对应于实施例二中的步骤s502至步骤s510，五个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例二所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的城域设备中，可以通过软件实现，也可以通过硬件实现。可选的，图14是根据本发明实施例四的一种网络攻击的防控装置的结构示意图，如图14所示，获取模块1306包括：查询单元13061。其中，查询单元13061，用于依据端口信息查询在接收防控指令之前与攻击终端通信的计算设备。此处需要说明的是，上述查询单元13061对应于实施例二中的步骤s506中的step1，该模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例二所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的城域设备中，可以通过软件实现，也可以通过硬件实现。可选的，图15是根据本发明实施例四的另一种网络攻击的防控装置的结构示意图，如图15所示，筛选模块1308包括：检测单元13081和筛选单元13082。其中，检测单元13081，用于在端口信息包括：源地址、目标地址、源端口、目标端口和协议类型的情况下，将攻击终端的地址作为目标地址，并检测在预设时间内 与目标地址通信次数大于预设安全值的源地址；筛选单元13082，用于将通信次数大于预设安全值的源地址对应的计算设备，作为初始终端。此处需要说明的是，上述检测单元13081和筛选单元13082对应于实施例二中的步骤s508中的step1和step2，两个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例二所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的城域设备中，可以通过软件实现，也可以通过硬件实现。进一步地，可选的，图16是根据本发明实施例四的又一种网络攻击的防控装置的结构示意图，如图16所示，防控模块1310包括：类型获取单元13101、匹配单元13102、执行单元13103和锁禁单元13104。其中，类型获取单元13101，用于获取初始终端的设备类型；匹配单元13102，用于在攻击特征为预设的单位时间内攻击报文由地址信息对服务器的流量冲击方式的情况下，依据攻击特征和设备类型在预设数据库中匹配对应的防控策略；执行单元13103，用于中断攻击终端与初始终端之间的通信链路；锁禁单元13104，用于依据防控策略锁禁初始终端。。此处需要说明的是，上述类型获取单元13101、匹配单元13102、执行单元13103和锁禁单元13104对应于实施例二中的步骤s510中的step1至step4，四个模块与对应的步骤所实现的示例和应用场景相同，但不限于上述实施例二所公开的内容。需要说明的是，上述模块作为装置的一部分可以运行在实施例二提供的城域设备中，可以通过软件实现，也可以通过硬件实现。本申请实施例提供的网络攻击的防控装置中，以ddos攻击为例进行说明，在执行ddos攻击的过程中，由发送攻击报文的终端组成的僵尸网络，为危害服务器侧的主要攻击源头，其中，僵尸网络的检测和清除是解决运营商面临的dos、ddos攻击的源头防御方案，本申请实施例提供的网络攻击的防控方法解决了僵尸网络的问题，运营商受dos和ddos攻击的威胁将得到最大程度的降低，在上述通信架构下，ddos解决方案从只是被动的检测、封堵、清洗等，到一个源头解决方案的过渡。本申请实施例提供的网络攻击的防控方法可以为以后作为ddos的源头解决方案真正解决运营商网络的ddos攻击问题。实施例5根据本发明实施例，还提供了一种用于实施上述网络攻击的防控方法实施例的系统实施例，图17是本发明实施例五的网络攻击的防控系统的结构示意图。如图17所示，该网络攻击的防控系统包括：服务器1702和城域设备1704，服务器1702与城域设备1704通信连接，其中，服务器1702为上述图9至图12中的任一项的网络攻击的防控装置；城域设备1704为上述图13至图16中的任一项的网络攻击的防控装置。实施例6本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以用于保存上述实施例一所提供的网络攻击的防控方法所执行的程序代码。可选地，在本实施例中，上述存储介质可以位于计算机网络中计算机终端群中的任意一个计算机终端中，或者位于移动终端群中的任意一个移动终端中。可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：当检测到网络攻击时，解析攻击报文的攻击报文，其中，攻击报文包含：地址信息；依据地址信息定位第一网关设备；向第一网关设备发送防控指令，其中，防控指令用于指示第一网关设备对攻击报文所属的终端执行安全控制。可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：在预设的单位时间内，采集攻击报文；解析攻击报文，得到攻击报文的地址信息和流量信息；依据流量信息和地址信息得到攻击报文的攻击特征，其中，攻击特征为在预设的单位时间内攻击报文由地址信息对服务器的流量冲击方式。可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：解析地址信息，得到攻击报文的源地址；在预先设置的数据库中匹配源地址对应的位置，得到攻击报文所属的位置；在数据库中查询位置对应的网关设备，得到攻击报文所属的位置对应的第一网关设备。可选地，在本实施例中，存储介质被设置为存储用于执行以下步骤的程序代码：依据攻击特征生成防控指令；将防控指令发送至第一网关设备。可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。可选地，本实施例中的具体示例可以参考上述实施例1中所描述的示例，本实施例在此不再赘述。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。以上所述仅是本发明的优选实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页12