技术领域本发明涉及计算机网络安全领域,特别涉及一种检测网络攻击的方法和装置。
背景技术:
分布式拒绝服务(DistributedDenialofService,DDoS)攻击是当今互联网最重要的网络攻击之一,且随着网络带宽不断提高以及攻击工具的普及,在经济利益的驱动下呈现越发严重趋势。现有技术提供了一种检测网络攻击的方法,具体可以为:网络工程师根据经验设置一个带宽使用量阈值;服务器实时统计自身的带宽使用量,当该带宽使用量超过该带宽使用量阈值时,确定服务器遭遇网络攻击,采用牵引清洗规则,检测异常带宽使用量并清洗该异常带宽使用量。在实现本发明的过程中,发明人发现现有技术至少存在以下问题:上述技术中是由网络工程师根据经验设置带宽使用量阈值,然而该带宽使用量阈值可能并不适合服务器,导致上述检测网络攻击的准确性低;例如如果该带宽使用量阈值较高时,服务器遭遇网络攻击时的带宽使用量可能不大于该带宽使用量阈值,导致无法检测出网络攻击;如果该带宽使用量阈值较低时,当服务器未遭遇网络攻击但是业务访问量较高时,此时服务器的带宽使用量可能大于该带宽使用量阈值,导致检测出错。
技术实现要素:
为了解决现有技术的问题,本发明提供了一种检测网络攻击的方法和装置。技术方案如下:一种检测网络攻击的方法,所述方法包括:获取服务器历史的第一带宽信息集合和所述服务器历史遭遇网络攻击的第二带宽信息集合;根据所述第一带宽信息集合和所述第二带宽信息集合,计算所述服务器的参考带宽信息;在检测网络攻击时,获取所述服务器的当前带宽信息;根据所述参考带宽信息和所述当前带宽信息,确定所述服务器是否遭遇网络攻击。优选的,所述根据所述第一带宽信息集合和所述第二带宽信息集合,计算所述服务器的参考带宽信息,包括:根据所述第一带宽信息集合对应的分布函数,在所述第一带宽信息集合中确定置信度满足第一预设条件的第三带宽信息集合;根据所述第二带宽信息集合对应的分布函数,在所述第二带宽信息集合中确定置信度满足第二预设条件的第四带宽信息集合;根据所述第三带宽信息集合、所述第四带宽信息集合和带宽调整系数,计算所述服务器的参考带宽信息。优选的,所述根据所述第二带宽信息集合对应的分布函数,在所述第二带宽信息集合中确定置信度满足第二预设条件的第四带宽信息集合,包括:根据带宽信息包括的每个带宽参数,将所述第二带宽信息集合进行分类,得到所述每个带宽参数对应的带宽信息子集合;在所述每个带宽参数对应的带宽信息子集合的分布函数中,分别确定置信度满足第二预设条件的第四带宽信息集合。优选的,所述根据所述第三带宽信息集合、所述第四带宽信息集合和带宽调整系数,计算所述服务器的参考带宽信息,包括:根据所述第三带宽信息集合,计算带宽信息包括的每个带宽参数的第一参数值,以及,根据所述第四带宽信息集合,计算所述每个带宽参数的第二参数值;分别获取所述每个带宽参数对应的带宽调整系数;根据所述每个带宽参数的第一参数值、所述每个带宽参数的第二参数值和所述每个带宽参数对应的带宽调整系数,分别计算所述每个带宽参数的参考值。优选的,所述方法还包括:如果确定所述服务器遭遇网络攻击,获取异常带宽信息;根据所述异常带宽信息和所述当前带宽信息,计算所述服务器的异常带宽信息的清洗比例;根据所述清洗比例,更新所述带宽调整系数。一种检测网络攻击的装置,所述装置包括:第一获取模块,用于获取服务器历史的第一带宽信息集合和所述服务器历史遭遇网络攻击的第二带宽信息集合;计算模块,用于根据所述第一带宽信息集合和所述第二带宽信息集合,计算所述服务器的参考带宽信息;第二获取模块,用于在检测网络攻击时,获取所述服务器的当前带宽信息;确定模块,用于根据所述参考带宽信息和所述当前带宽信息,确定所述服务器是否遭遇网络攻击。优选的,所述计算模块,包括:第一确定单元,用于根据所述第一带宽信息集合对应的分布函数,在所述第一带宽信息集合中确定置信度满足第一预设条件的第三带宽信息集合;第二确定单元,用于根据所述第二带宽信息集合对应的分布函数,在所述第二带宽信息集合中确定置信度满足第二预设条件的第四带宽信息集合;计算单元,用于根据所述第三带宽信息集合、所述第四带宽信息集合和带宽调整系数,计算所述服务器的参考带宽信息。优选的,所述第二确定单元,包括:分类子单元,用于根据带宽信息包括的每个带宽参数,将所述第二带宽信息集合进行分类,得到所述每个带宽参数对应的带宽信息子集合;确定子单元,用于在所述每个带宽参数对应的带宽信息子集合的分布函数中,分别确定置信度满足第二预设条件的第四带宽信息集合。优选的,所述计算单元,包括:第一计算子单元,用于根据所述第三带宽信息集合,计算带宽信息包括的每个带宽参数的第一参数值;第二计算子单元,用于根据所述第四带宽信息集合,计算所述每个带宽参数的第二参数值;第一获取子单元,用于分别获取所述每个带宽参数对应的带宽调整系数;第三计算子单元,用于根据所述每个带宽参数的第一参数值、所述每个带宽参数的第二参数值和所述每个带宽参数对应的带宽调整系数,分别计算所述每个带宽参数的参考值。优选的,所述第二确定单元还包括:第二获取子单元,用于如果确定所述服务器遭遇网络攻击,获取异常带宽信息;第四计算子单元,用于根据所述异常带宽信息和所述当前带宽信息,计算所述服务器的异常带宽信息的清洗比例;更新子单元,用于根据所述清洗比例,更新所述带宽调整系数。在本发明实施例中,根据服务器历史的第一带宽信息集合和历史遭遇网络攻击的第二带宽信息集合,计算服务器的参考带宽信息,根据服务器的当前带宽信息和参考带宽信息,确定服务器是否遭遇网络攻击,由于参考带宽信息与该服务器相匹配,因此可以提高检测网络攻击的准确性。附图说明图1是本发明实施例提供的一种检测网络攻击的方法流程图;图2是本发明实施例提供的一种检测网络攻击的方法流程图;图3-1是本发明实施例提供的一种检测网络攻击的装置结构示意图;图3-2是本发明实施例提供的一种计算模块的装置结构示意图;图3-3是本发明实施例提供的一种第二确定单元的装置结构示意图;图3-4是本发明实施例提供的一种计算单元的装置结构示意图;图3-5是本发明实施例提供的另一种第二确定单元的装置结构示意图。具体实施方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。目前,在检测网络攻击时,网络工程师根据经验设置一个带宽使用量阈值,服务器实时统计自身的带宽使用量;当带宽使用量超过该带宽使用量阈值时,确定服务器遭遇网络攻击;然而网络工程师根据经验设置的带宽使用量阈值可能并不适合该服务器,导致检测网络攻击的准确性低。在本发明实施例中,根据服务器历史的第一带宽信息集合和历史遭遇网络攻击的第二带宽信息集合,计算服务器的参考带宽信息,根据服务器的当前带宽信息和参考带宽信息,确定服务器是否遭遇网络攻击,由于参考带宽信息与该服务器相匹配,因此可以提高检测网络攻击的准确性。本发明实施例提供了一种检测网络攻击的方法,该方法的执行主体可以为本服务器,也可以为控制服务器或者代理服务器等。参见图1,该方法包括:步骤S101:获取服务器历史的第一带宽信息集合和服务器历史遭遇网络攻击的第二带宽信息集合。步骤S102:根据第一带宽信息集合和第二带宽信息集合,计算服务器的参考带宽信息。步骤S103:在检测网络攻击时,获取服务器的当前带宽信息。步骤S104:根据参考带宽信息和当前带宽信息,确定服务器是否遭遇网络攻击。在本发明实施例中,根据服务器历史的第一带宽信息集合和历史遭遇网络攻击的第二带宽信息集合,计算服务器的参考带宽信息,根据服务器的当前带宽信息和参考带宽信息,确定服务器是否遭遇网络攻击,由于参考带宽信息与该服务器相匹配,因此可以提高检测网络攻击的准确性。本发明实施例提供了一种检测网络攻击的方法,该方法的执行主体可以为本服务器,也可以为控制服务器或者代理服务器等。在本发明实施例中,以执行主体为控制服务器为例进行说明。参见图2,该方法包括:步骤S201:获取服务器历史的第一带宽信息集合和服务器历史遭遇网络攻击的第二带宽信息集合。服务器在运行时实时存储服务器的第一带宽信息得到第一带宽信息集合,以及服务器遭遇网络攻击时也会存储第二带宽信息得到第二带宽信息集合。第一带宽信息集合包括至少一个第一带宽信息,第二带宽信息集合包括至少一个第二带宽信息。服务器列表中包括有至少一个服务器标识;对于服务器列表中的任一服务器标识对应的服务器;控制服务器每隔第一预设时长,获取服务器存储的第一带宽信息集合和第二带宽信息集合。为了兼顾准确性以及效率,服务器也可以仅仅存储离当前时间最近的第二预设时长内的第一带宽信息和第二带宽信息;则第一带宽信息集合也仅包括离当前时间最近的第二预设时长内的第一带宽信息;第二带宽信息集合也仅包括离当前时间最近的第二预设时长内的第二带宽信息。带宽信息可以为包转发率、带宽速率和带宽使用量等带宽参数中的至少一个带宽参数;例如,带宽信息为包转发率和带宽速率;则第一带宽信息和第二带宽信息都可以表示为(pps,bps),pps为包转发率,bps为带宽速率。第一预设时长和第二预设时长都可以根据需要进行设置并更改,在本发明实施例中,对第一预设时长和第二预设时长都不作具体限定;例如,第一预设时长可以为1个月或者2个月等;第二预设时长可以为1个月等。服务器标识通常用服务器IP(InternetProtocolAddress,互联网协议地址)地址指代。步骤S202:根据第一带宽信息集合对应的分布函数,在第一带宽信息集合中确定置信度满足第一预设条件的第三带宽信息集合。本步骤可以通过以下步骤(1)至(3)实现,包括:(1):根据第一带宽信息集合中的每个第一带宽信息,确定第一带宽信息集合对应的分布函数。例如,带宽信息包括包转发率和带宽速率,则第一带宽信息集合中的每个第一带宽信息都包括包转发率和带宽速率,本步骤可以为:根据第一带宽信息集合中的每个第一带宽信息包括的包转发率和带宽速率,确定包转发率和带宽速率对应的分布函数。再如,带宽信息包括带宽使用量,则第一带宽信息集合中的每个第一带宽信息包括带宽使用量,本步骤可以为:根据第一带宽信息集合中的每个第一带宽信息包括的带宽使用量,确定带宽使用量对应的分布函数。该分布函数可以为任意形式的分布函数;例如,该分布函数可以为泊松分布函数。(2):在该分布函数中,确定置信度满足第一预设条件的至少一个函数值。第一预设条件可以为带宽信息包括的每个带宽参数对应的置信度满足的条件。例如,带宽信息包括包转发率和带宽速率,则第一预设条件可以为包转发率对应的置信度大于第一预设置信度,带宽速率对应的置信度大于第二预设置信度。则本步骤可以为:在该分布函数中,确定包转发率对应的置信度大于第一预设置信度,且带宽速率对应的置信度大于第二预设置信度的至少一个函数值。第一预设置信度和第二预设置信度都可以根据需要进行设置并更改,在本发明实施例中,对第一预设置信度和第二预设置信度都不作具体限定;例如,第一预设置信度可以为95%或者99%,第二预设置信度可以为95%或者99%。以第一预设置信度为95%,第二预设置信度为99%为例进行说明,则本步骤可以为:利用该分布函数求得给定置信度(95%,99%)对应上分位数记为xi(i=pps/bps)。(3):在第一带宽信息集合中确定至少一个函数值中的每个函数值对应的第一带宽信息,将确定出的第一带宽信息组成第三带宽信息集合。第三带宽信息集合包括至少一个第一带宽信息。步骤S203:根据第二带宽信息集合对应的分布函数,在第二带宽信息集合中确定置信度满足第二预设条件的第四带宽信息集合。本步骤可以通过以下步骤(1)至(2)实现,包括:(1):根据带宽信息包括的每个带宽参数,将第二带宽信息集合进行分类,得到每个带宽参数对应的带宽信息子集合。在本步骤中,可以根据聚类算法将第二带宽信息集合进行分类;聚类算法可以为现有的任意一种聚类算法。例如,带宽信息包括包转发率和带宽速率,则本步骤可以为:对包转发率和带宽速率进行2-聚类(参数2指代包量攻击及流量攻击两种攻击类别),得到包转发率对应的带宽信息子集合和带宽速率对应的带宽信息子集合。(2):在每个带宽参数对应的带宽信息子集合的分布函数中,分别确定置信度满足第二预设条件的第四带宽信息集合。本步骤可以通过以下步骤(2-1)至(2-3)实现,包括:(2-1):根据每个带宽参数对应的带宽信息子集合,确定每个带宽参数对应的带宽信息子集合对应的分布函数。(2-2):在每个带宽参数对应的带宽信息子集合对应的分布函数中,确定置信度满足第二预设条件的至少一个函数值。第二预设条件可以为每个带宽参数对应的置信度满足的条件;例如,带宽信息包括包转发率和带宽速率,则第二预设条件可以为包转发率对应的置信度小于第一预设置信度,带宽速率对应的置信度小于第二预设置信度。则本步骤可以为:在每个带宽参数对应的带宽信息子集合对应的分布函数中,分别确定转发率对应的置信度小于第一预设置信度,且带宽速率对应的置信度小于第二预设置信度的至少一个函数值。例如,第一预设置信度可以为95%或者99%,第二预设置信度可以为95%或者99%。以第一预设置信度可以为95%,第二预设置信度可以为99%为例进行说明,则本步骤可以为:利用该分布函数,求得给定置信度(95%,99%)对应下分位数即为yi(i=pps/bps)。(2-3):在第二带宽信息集合中确定至少一个函数值中的每个函数值对应的第二带宽信息,将确定出的第二带宽信息组成第四带宽信息集合。第四带宽信息集合包括至少一个第二带宽信息。步骤S204:根据第三带宽信息集合、第四带宽信息集合和带宽调整系数,计算服务器的参考带宽信息。带宽调整系数体现了对网络攻击检测的响应速度,带宽调整系数的取值范围为[0,1],带宽调整系数越接近于0,服务器的攻击容忍度越小,也即对网络攻击越敏感,告警响应速度越快;带宽调整系数越接近于1,服务器的攻击容忍度越大,也即对网络攻击越不敏感,告警响应速度越慢。并且初始的带宽调整系数可以根据需要进行设置并更改,例如初始的带宽调整系数可以为0.5;后续还可以通过以下步骤S207-S209更新带宽调整系数。本步骤可以通过以下步骤(1)至(4)实现,包括:(1):根据第三带宽信息集合,计算带宽信息包括的每个带宽参数的第一参数值。对于带宽信息包括的每个带宽参数,根据第三带宽信息集合包括的每个第一带宽信息,计算该带宽参数的平均参数值,将该平均参数值作为该带宽参数的第一参数值。(2):根据第四带宽信息集合,计算每个带宽参数的第二参数值。对于带宽信息包括的每个带宽参数,根据第四带宽信息集合包括的每个第二带宽信息,计算该带宽参数的平均参数值,将该平均参数值作为该带宽参数的第一参数值。(3):分别获取每个带宽参数对应的带宽调整系数。控制服务器中存储每个带宽参数对应的带宽调整系数,在本步骤中,直接获取已存储的每个带宽参数对应的带宽调整系数。需要说明的是,每个带宽参数对应的带宽调整系数可以根据需要进行配置并更新;并且,带宽调整系数的取值范围为[0,1],带宽调整系数越接近于0,服务器的攻击容忍度越小;带宽调整系数越接近于1,服务器的攻击容忍度越大。每个带宽参数对应的带宽调整系数可以根据需要进行设置并更改,例如,设置每个带宽参数对应的带宽调整系数都为0.5;后续还可以通过以下步骤S207-S209更新每个带宽参数对应的带宽调整系数。(4):根据每个带宽参数的第一参数值、每个带宽参数的第二参数值和每个带宽参数对应的带宽调整系数,分别计算每个带宽参数的参考值。对于每个带宽参数,计算该带宽参数的第二参数值和带宽调整系数的乘积,计算该带宽参数的第一参考值和该乘积的和,将该和确定为该带宽参数的参考值。需要说明的是,以上步骤S201-S204每隔第三预设时长执行一次;从而实现了参考带宽信息动态更新,反映业务变化的特点,进一步提高后续检测网络攻击的准确性。当检测网络攻击时,不需要执行步骤201-204,直接执行以下步骤205即可。第三预设时长可以根据需要进行设置并更改,在本发明实施例中对第三预设时长不作具体限定;例如,第三预设时长可以为1个月或者2个月。需要说明的是,以上步骤S201-S204也可以不按固定的周期执行,可以在业务变化时自动执行;也即当检测到服务器的业务发生变化时,执行步骤S201-S204。本发明基于历史带宽信息,贴合服务器自身运行规律和业务特点,并且通过自动更新参考带宽信息以适应业务变化。步骤S205:在检测网络攻击时,获取服务器的当前带宽信息。控制服务器可以实时检测网络攻击,也可以每隔第四预设时长检测一次网络攻击;如果控制服务器实时检测网络攻击,则控制服务器实时读取服务器的当前带宽信息。如果控制服务器每隔第四预设时长检测一次网络攻击,则控制服务器每隔第四预设时长读取服务器的当前带宽信息。第四预设时长可以根据需要进行设置并更改,在本发明实施例中,对第四预设时长不作具体限定;例如,第四预设时长可以为几百毫秒至数秒不等。在本发明实施例中,使用统计分布工具确定参考带宽信息,可确保误警告(没有网络攻击但当前带宽信息没有超出参考带宽信息)和漏警告(发生网络攻击但当前带宽信息低于参考带宽信息)的比例可通过置信度参数进行控制。并且,统计分布函数具有一定稳定性,一次计算可重复使用,减少历史带宽信息查询计算频数。步骤S206:根据参考带宽信息和当前带宽信息,确定服务器是否遭遇网络攻击。对于带宽信息包括的每个带宽参数,如果当前带宽信息包括的该带宽参数的参数值大于参考带宽信息包括的该带宽参数的参数值,确定服务器遭遇网络攻击。如果当前带宽信息包括的该带宽参数的参数值小于参考带宽信息包括的该带宽参数的参数值,确定服务器没有遭遇网络攻击。例如,带宽参数包括包转发率和带宽速率,且参考带宽信息包括的包转发率的参数值为50,带宽速率的参数值为60;当前带宽信息包括的包转发率的参数值为55,带宽速率的参数值为59;由于当前带宽信息包括的包转发率大于带宽参数包括的包转发率,则确定服务器遭遇网络攻击。如果确定服务器遭遇网络攻击,执行步骤S207;如果确定服务器没有遭遇网络攻击,结束。步骤S207:如果确定服务器遭遇网络攻击,获取异常带宽信息,并清洗异常带宽信息。如果确定服务器遭遇网络攻击,通过服务器的防火墙应用,获取异常带宽信息,通过牵引清洗规则,清洗异常带宽信息。进一步地,如果确定服务器遭遇网络攻击,进行告警;在本发明实施例中,对告警的方式不作具体限定;例如,发送短消息或者邮件给指定联系人,该短消息的内容或者邮件的内容中包括服务器标识以及异常带宽信息包括的异常带宽参数以及参数值等。或者,显示告警信息或者播放语音信息,该告警信息或者语音信息可以包括服务器标识以及异常带宽信息包括的异常带宽参数以及参数值等。需要说明的是,执行完步骤S207之后,并不一定要执行以下步骤S208-S209;当需要执行步骤S201-S204时,才执行步骤S208-S209。步骤S208:根据异常带宽信息和当前带宽信息,计算服务器的异常带宽信息的清洗比例。对于带宽信息包括的每个带宽参数,计算服务器的异常带宽信息包括的该带宽参数的参数值与当前带宽信息包括的该带宽参数的参数值的比值,将该比值作为该带宽参数的清洗比例。步骤S209:根据该清洗比例,更新带宽调整系数。根据带宽信息包括的每个带宽参数的清洗比例,更新每个带宽参数对应的带宽调整系数。对于每个带宽参数对应的带宽调整系数,本步骤可以通过以下第一种方式至第四种方式实现。对于第一种实现方式,控制服务器存储清洗比例与带宽调整系数的对应关系;相应的,本步骤可以为:控制服务器根据该清洗比例,从清洗比例和带宽调整系数的对应关系中获取该清洗比例对应的带宽调整系数。对于第二种实现方式,控制服务器存储清洗比例范围和带宽调整系数的对应关系;相应的,本步骤可以为:控制服务器根据该清洗比例,确定该清洗比例所在的清洗比例范围,根据该清洗比例范围,从清洗比例范围和带宽调整系数的对应关系中获取该清洗比例范围对应的带宽调整系数。对于第三种实现方式,控制服务器存储清洗比例和调整趋势的对应关系,调整趋势可以包括增大带宽调整系数和减小带宽调整系数。相应的,则本步骤可以为:控制服务器根据该清洗比例,从清洗比例和调整趋势的对应关系中获取该清洗比例对应的调整趋势,根据该带宽参数的当前带宽调整系数、调整趋势和调整粒度,确定该带宽参数对应的带宽调整系数。调整粒度可以根据需要进行设置并更改,在本发明实施例中,对调整粒度不作具体限定;例如,调整粒度可以为0.1。则如果该带宽参数的当前调整参数为0.5,调整趋势为增大带宽调整系数,则该带宽参数更新后的带宽调整系数为0.6。对于第四种实现方式,控制服务器存储清洗比例范围和调整趋势的对应关系,调整趋势可以包括增大带宽调整系数和减小带宽调整系数。相应的,则本步骤可以为:控制服务器根据该清洗比例,确定该清洗比例所在的清洗比例范围,根据该清洗比例范围,从清洗比例范围和调整趋势的对应关系中获取该清洗比例范围对应的调整趋势,根据该带宽参数的当前带宽调整系数、调整趋势和调整粒度,确定该带宽参数对应的带宽调整系数。实际环境中,清洗比例低于50%时,可适当调高带宽调整系数。例如,带宽调整系数每次以步长0.1的增幅叠加。清洗比例高于50%时,可以适当降低带宽调整系数。例如,带宽调整系数每次以步长0.1的幅度减少。在本发明实施例中,根据服务器历史的第一带宽信息集合和历史遭遇网络攻击的第二带宽信息集合,计算服务器的参考带宽信息,根据服务器的当前带宽信息和参考带宽信息,确定服务器是否遭遇网络攻击,由于参考带宽信息与该服务器相匹配,因此可以提高检测网络攻击的准确性。本发明实施例提供了一种检测网络攻击的装置,参见图3-1,该装置包括:第一获取模块301,用于获取服务器历史的第一带宽信息集合和服务器历史遭遇网络攻击的第二带宽信息集合;计算模块302,用于根据第一带宽信息集合和第二带宽信息集合,计算服务器的参考带宽信息;第二获取模块303,用于在检测网络攻击时,获取服务器的当前带宽信息;确定模块304,用于根据参考带宽信息和当前带宽信息,确定服务器是否遭遇网络攻击。优选的,参见图3-2,计算模块302,包括:第一确定单元3021,用于根据第一带宽信息集合对应的分布函数,在第一带宽信息集合中确定置信度满足第一预设条件的第三带宽信息集合;第二确定单元3022,用于根据第二带宽信息集合对应的分布函数,在第二带宽信息集合中确定置信度满足第二预设条件的第四带宽信息集合;计算单元3023,用于根据第三带宽信息集合、第四带宽信息集合和带宽调整系数,计算服务器的参考带宽信息。优选的,参见图3-3,第二确定单元3022,包括:分类子单元30221,用于根据带宽信息包括的每个带宽参数,将第二带宽信息集合进行分类,得到每个带宽参数对应的带宽信息子集合;确定子单元30222,用于在每个带宽参数对应的带宽信息子集合的分布函数中,分别确定置信度满足第二预设条件的第四带宽信息集合。优选的,参见图3-4,计算单元3023,包括:第一计算子单元30231,用于根据第三带宽信息集合,计算带宽信息包括的每个带宽参数的第一参数值;第二计算子单元30232,用于根据第四带宽信息集合,计算每个带宽参数的第二参数值;第一获取子单元30233,用于分别获取每个带宽参数对应的带宽调整系数;第三计算子单元30234,用于根据每个带宽参数的第一参数值、每个带宽参数的第二参数值和每个带宽参数对应的带宽调整系数,分别计算每个带宽参数的参考值。优选的,参见图3-5,第二确定单元3022还包括:第二获取子单元30223,用于如果确定服务器遭遇网络攻击,获取异常带宽信息;第四计算子单元30224,用于根据异常带宽信息和当前带宽信息,计算服务器的异常带宽信息的清洗比例;更新子单元30225,用于根据清洗比例,更新带宽调整系数。在本发明实施例中,根据服务器历史的第一带宽信息集合和历史遭遇网络攻击的第二带宽信息集合,计算服务器的参考带宽信息,根据服务器的当前带宽信息和参考带宽信息,确定服务器是否遭遇网络攻击,由于参考带宽信息与该服务器相匹配,因此可以提高检测网络攻击的准确性。需要说明的是:上述实施例提供的检测网络攻击的装置在检测网络攻击时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的检测网络攻击与检测网络攻击实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。