网络攻击告警阈值配置方法、介质、装置和计算设备与流程

本发明涉及信息技术领域，更具体地，本发明涉及一种网络攻击告警阈值配置方法、介质、装置和计算设备。

背景技术：

网络信息系统在安全方面所面临的威胁来自很多方面。这些威胁可分为人为威胁和自然威胁。其中，人为威胁是对网络信息系统的人为攻击，通过寻找系统的弱点，以非授权方式达到破坏、欺骗和窃取数据信息等目的。精心设计的人为攻击种类多、数量大。例如，分布式拒绝服务攻击(distributeddenialofservice，简称ddos)借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标进行拥塞攻击，直接消耗系统资源，使得该目标系统无法提供正常的服务。

现有的网络安全技术中，对网络信息系统的人为攻击威胁较难防备。以ddos攻击为例，通常采用配置告警阈值的方法来防范网络攻击。现有的ddos告警阈值的调整，通常是手工为一个ip(internetprotocol，网络之间互联协议)或一段ip，分别配置一组固定的阈值，阈值的改变需要人工手动调整。ip数量或ip部署类型增加时，需要划分更多的小组配置固定阈值，无法根据业务的流量波动，协议特征等自动实时地匹配调整。人工运维成本较高，攻击告警准确性较差。

技术实现要素：

如上所述，现有技术中网络攻击的告警阈值需要手工配置和调整。

因此在现有技术中，ip数量或ip部署类型增加时，需要划分更多的小组配置固定阈值，无法根据业务的流量波动，协议特征等自动实时地匹配调整，这是非常令人烦恼的过程。

为此，非常需要一种改进的网络攻击告警阈值配置方法，以减少人工运维成本，且对业务流量的波动进行更准确地适配和保障，有效降低攻击告警的误报率和漏报率。

在本上下文中，本发明的实施方式期望提供一种网络攻击告警阈值配置方法和装置。

在本发明实施方式的第一方面中，提供了一种网络攻击告警阈值配置方法，包括：按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；将所述告警阈值配置于所述目标节点。

在本发明实施方式的第二方面中，提供了一种介质，其上存储有计算机程序，该程序被处理器执行实现上述网络攻击告警阈值配置方法中任一所述的方法。

在本发明实施方式的第三方面中，提供了一种装置，包括：记录单元，用于按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；告警单元，用于根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；配置单元，用于将所述告警阈值配置于所述目标节点。

在本发明实施方式的第四方面中，提供了一种计算设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现上述网络攻击告警阈值配置方法中任一所述的方法。

根据本发明实施方式的网络攻击告警阈值配置方法和装置，可以根据业务流量匹配告警阈值，减少了人工运维成本，且对业务流量的波动进行更准确地适配和保障，减小防护响应时间，减轻攻击瞬间的压力影响，有效降低攻击告警的误报率和漏报率。

附图说明

通过参考附图阅读下文的详细描述，本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中，以示例性而非限制性的方式示出了本发明的若干实施方式，其中：

图1示意性地示出了根据本发明一实施例的网络攻击告警阈值配置方法的流程图；

图2示意性地示出了根据本发明实施方式的网络攻击告警阈值配置方法的网络部署结构图；

图3示意性地示出了根据本发明又一实施例的网络攻击告警阈值配置方法的流程图；

图4示意性地示出了根据本发明实施例的介质的示意图；

图5示意性地示出了根据本发明一实施例的网络攻击告警阈值配置装置的结构示意图；

图6示意性地示出了根据本发明另一实施例的网络攻击告警阈值配置装置的结构示意图；

图7示意性地示出了根据本发明一实施例的计算设备的结构示意图。

在附图中，相同或对应的标号表示相同或对应的部分。

具体实施方式

下面将参考若干示例性实施方式来描述本发明的原理和精神。应当理解，给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明，而并非以任何方式限制本发明的范围。相反，提供这些实施方式是为了使本公开更加透彻和完整，并且能够将本公开的范围完整地传达给本领域的技术人员。

本领域技术人员知道，本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此，本公开可以具体实现为以下形式，即：完全的硬件、完全的软件(包括固件、驻留软件、微代码等)，或者硬件和软件结合的形式。

根据本发明的实施方式，提出了一种网络攻击告警阈值配置的方法、介质、装置和计算设备。

在本文中，附图中的任何元素数量均用于示例而非限制，以及任何命名都仅用于区分，而不具有任何限制含义。

下面参考本发明的若干代表性实施方式，详细阐释本发明的原理和精神。

发明概述

本发明人发现，现有技术中网络攻击的告警阈值需要手工配置和调整；ip数量或ip部署类型增加时，需要划分更多的小组配置固定阈值，无法根据业务的流量波动，协议特征等自动实时地匹配调整。

有鉴于此，本发明提供了一种网络攻击告警阈值配置方法和装置。该方法包括：按照设定周期记录目标节点的流量信息，得到所述目标节点的流量历史数据；根据所述目标节点的流量历史数据与所述目标节点的带宽配置信息得到所述目标节点的告警阈值；将所述告警阈值配置于所述目标节点。本发明的方法根据业务流量匹配告警阈值，减少了人工运维成本，且对业务流量的波动进行更准确地适配和保障，减小防护响应时间，减轻攻击瞬间的压力影响，有效降低攻击告警的误报率和漏报率。

在介绍了本发明的基本原理之后，下面具体介绍本发明的各种非限制性实施方式。

示例性方法

下面结合图1-图3来描述根据本发明示例性实施方式的网络攻击告警阈值配置方法。如图1所示，本发明实施例的网络攻击告警阈值配置方法可以包括以下步骤：

步骤s110，按照设定周期记录目标节点的流量信息，得到目标节点的流量历史数据；

步骤s120，根据目标节点的流量历史数据与目标节点的带宽配置信息得到目标节点的告警阈值；

步骤s130，将告警阈值配置于目标节点。

以ddos攻击告警触发为例，当服务器存在大量业务时，需要对每一个业务目标ip都配置相应的告警阈值，用于判断何时通知管控平台进行采取相关处理措施。每个业务目标ip的流量通常会不断波动。其中，ip为计算机网络相互链接进行通信而设计的协议。任何计算机采用ip协议可以与因特网互联互通。本实施例中的目标节点可以包含有多种ip业务(即多个业务目标ip)，如：syn(synchronizesequencenumbers，同步序列编号)、ack(acknowledgement，确认字符)、icmp(internetcontrolmessageprotocol，因特网控制报文协议)、udp(userdatagramprotocol，用户数据报协议)、ntp(networktimeprotocol，网络时间协议)、dns(domainnamesystem，域名系统)、ssdp(simpleservicediscoveryprotocol，简单服务发现协议)和small(小包)等。

如果使用手工管理和配置告警阈值，会增加人力成本和出错几率，并且无法针对每个业务目标ip的流量及时调整告警阈值。本发明实施例基于业务目标ip的流量，实时计算并更新业务目标ip的阈值配置信息，以到达减少人力成本和出错几率的目的，并且可以实时针对每个业务目标ip随着时间自动更新阈值配置信息。

本发明实施例可按照设定周期记录目标节点每秒的流量信息，可以是总流量数据，也可以是各个业务目标ip如syn、ack、udp、icmp等各协议的流量数据。根据记录的目标节点的流量信息，得到目标节点的流量历史数据。再根据目标节点的流量历史数据与目标节点的带宽配置信息，通过算法进行计算，获得目标节点的告警阈值。

在上述方法中，告警阈值的配置可以以业务目标ip为单位，配置各类协议所对应的比特率阈值和/或吞吐率阈值。在实际应用场景中，如果同时配置了比特率阈值和吞吐率阈值两种阈值，可以从这两者中选择其一用于触发报警设置；也可以从比特率阈值和吞吐率阈值中选择一种进行配置和触发报警设置。根据上述触发报警设置，在超过阈值时触发告警消息推送，以使得管控平台采取相关措施进行处理。其中，比特率(bitspersecond，简称bps)是网络每秒传输的比特数量，衡量网络数据传输速率常用单位。吞吐率(packetspersecond，简称pps)是网络每秒传输的分组数据包数量，衡量网络性能的常用单位。

图2示意性地示出了根据本发明实施方式的网络攻击告警阈值配置方法的网络部署结构图。如图2所示，网络流量经过分光器，由分光器对接收到的流量一分为二。一部分流量进行正常的业务请求传输，这部分流量经过核心路由和核心交换后到达业务服务器。另一部分流量发送至分析集群进行网络数据包分析处理。分析集群实时监测网络流量，可通过上述方法得到告警阈值。当受到ddos网络攻击时，分析集群可以第一时间发现，并通知管控平台进行攻击告警。同时管控平台根据一定的规则通知清洗集群进行相应的清洗防护动作。

图3示意性地示出了根据本发明又一实施例的网络攻击告警阈值配置方法的流程图。如图3所示，在一种可能的实施方式中，图1中的步骤s110，按照设定周期记录目标节点的流量信息得到目标节点的流量历史数据，具体可包括步骤s310：记录设定周期内每天各个时段的流量信息，并得到目标节点在设定周期内每天各个时段的时段流量历史数据。图1中的步骤s120，根据目标节点的流量历史数据与目标节点的带宽配置信息得到目标节点的告警阈值，具体可包括步骤s320：根据时段流量历史数据与目标节点的带宽配置信息，得到目标节点在各个时段的时段告警阈值。

在一个示例中，可根据历史数据提取每天对应时段内的数据点进行计算，计算结果作为目标节点的该时段的告警阈值。提取的历史数据越久，计算结果越准确。本实施例的设定周期的取值范围可以是7-15天。例如：在过去的7天中，提取每天09:00-10:00的数据点并进行计算，作为下一个09:00-10:00时段的告警阈值计算的原始数据。

在一种可能的实施方式中，记录设定周期内每天各个时段的流量信息并得到目标节点在设定周期内每天各个时段的时段流量历史数据，包括：记录设定周期内每天各个时段的流量峰值，并得出各个时段在设定周期内的流量峰值平均值；将各个时段的流量峰值平均值作为各个时段的时段流量历史数据。

在一个示例中，可设置记录的时间间隔。如每秒钟为一个数据记录点。在过去的7天中，提取每天09:00-10:00的每个数据记录点的流量峰值，并计算流量峰值的平均值，再根据流量峰值的平均值使用数学公式进行计算，作为下一个对应时段的告警阈值计算的原始数据。

在一种可能的实施方式中，流量信息包括各业务流量信息和总流量信息；告警阈值包括第一告警阈值和第二告警阈值；按照设定周期记录目标节点的流量信息，得到目标节点的流量历史数据，包括：按照设定周期记录目标节点的各业务流量信息和总流量信息，得到目标节点的各业务流量历史数据和总流量历史数据；根据目标节点的流量历史数据与目标节点的带宽配置信息得到目标节点的告警阈值，包括：根据目标节点的各业务流量历史数据与目标节点的各业务带宽配置信息得到目标节点各业务分别对应的第一告警阈值；根据目标节点的总流量历史数据与目标节点的总带宽配置信息得到目标节点总流量对应的第二告警阈值。

各类协议分别对应的告警阈值，也就是目标节点各业务分别对应的告警阈值，称为第一告警阈值。例如，每秒钟为一个数据记录点，保存业务目标ip的syn、ack、icmp、udp、ntp、dns、ssdp、small(小于64字节数据包)类型的bps和/或pps。对于各类协议，使用bps和/或pps计算获得第一告警阈值。

业务目标ip的总流量对应的告警阈值，即为第二告警阈值。例如，仍以每秒钟为一个数据记录点，保存业务目标ip的总流量的bps和/或pps。对于总流量，也可使用bps和/或pps计算获得第二告警阈值。

在一种可能的实施方式中，在根据目标节点的各业务流量历史数据与目标节点的各业务带宽配置信息得到目标节点各业务分别对应的第一告警阈值之前，还包括：根据各业务的重要性数据和目标节点的总带宽数据，得到各业务分别对应的带宽极限值；将各业务分别对应的带宽极限值作为各业务带宽配置信息。

业务重要性m为可容忍稳定性极限，以业务目标ip的正常流量峰值占网卡性能的百分比或网卡带宽使用率的形式来体现。m值表示当业务目标ip的正常流量峰值达到网卡性能的百分比时，则认为该业务网卡使用率已达到可容忍稳定性极限，需要考虑升级或扩容。其中业务目标ip重要性需要由业务类型、部署架构、服务器性能等指标综合评估。业务重要性高的业务相应的预设比例低。在一个示例中，按照业务重要性由高到低的次序，其业务重要性的值m可依次设置为10％、30％、50％。具体地，目标节点各业务对应于各协议类型，业务重要性比较高的，可设置其m值为10％；业务重要性一般的，可设置其m值为30％；业务重要性很低的，可设置其m值为50％。

目标节点的总带宽数据可包括业务网卡带宽k。例如通常情况下k＝1000mbps(1488kpps)/10000mbps(14880kpps)，该值适用于目前常用的千兆/万兆网卡。

在一种可能的实施方式中，根据各业务的重要性数据和目标节点的总带宽数据得到各业务分别对应的带宽极限值，包括：采用n＝k*(1+m)*50％，得到各业务分别对应的带宽极限值；其中，n表示为各业务分别对应的带宽极限值，k表示为总带宽数据，m表示为业务重要性数据，且0＜m＜1。

带宽极限值即网卡告警阈值范围的极限值。根据业务重要性m和业务网卡带宽k，确定网卡告警阈值范围的极限值。超过带宽极限值，则认为已超出可控稳定性极限。

在一种可能的实施方式中，根据目标节点的各业务流量历史数据与目标节点的各业务带宽配置信息得到目标节点各业务分别对应的第一告警阈值，包括：采用y＝n/e*(1+1/x)^x，得到目标节点各业务分别对应的第一告警阈值；其中，y表示第一告警阈值；n表示各业务分别对应的带宽极限值；x表示各个时段的流量峰值平均值，即目标节点的各业务流量历史数据；e表示自然常数。

上述算法适用于各类协议的攻击告警阈值：syn、ack、icmp、udp、ntp、dns、ssdp和small(小于64字节数据包)，均可使用bps和/或pps计算获得阈值。

在一种可能的实施方式中，根据目标节点的总流量历史数据与目标节点的总带宽配置信息得到目标节点总流量对应的第二告警阈值，包括：a＝k/e*(1+1/c)^c；其中，a表示第二告警阈值；k表示总带宽数据，即总带宽配置信息；c表示各个时段的流量峰值平均值，即目标节点的总流量历史数据；e表示自然常数。

上述算法同样适用于计算总流量的告警阈值。以上公式在计算过程中，在误差允许范围内，计算结果可向上取整。

在一种可能的实施方式中，根据目标节点的流量历史数据与目标节点的带宽配置信息得到目标节点的告警阈值，还包括：若当前周期记录的流量信息小于第一参考值，将当前周期记录的流量信息标记为异常数据；和/或，若当前周期记录的流量信息大于第二参考值，且当前时间记录周期记录的流量信息大于预设的带宽限定值时，将当前时间记录周期记录的流量信息标记为异常数据；使用排除异常数据后的流量历史数据，得到目标节点的告警阈值。

其中，第一参考值为流量历史数据记录点中最小值的平均值与第二设定比例的乘积；第二参考值为流量历史数据记录点中最大值的平均值与第三设定比例的乘积，带宽限定值是业务目标ip的业务重要性对应的网卡带宽使用率与第四设定比例的乘积。

在实际计算前，可以将异常的数据记录点排除，以保障计算结果的稳定性，一个示例性的排除算法如下：

a.排除流量历史数据记录点与触发告警时段重叠的数据，即将告警时段内的数据点不参与计算。例如，告警时段是09：00-10：00，则当天09：00-10：00时段内的数据点不参与计算。

b.可设置第二设定比例为5％，相应地，第一参考值即为流量历史数据记录点中最小值的平均值的5％。当业务目标ip有新的数据记录点记录时，如果该点数据小于流量历史数据记录点中最小值的平均值的5％时，即标记为该点异常，该点数据将不参与后续计算。

c.可设置第三设定比例为800％，相应地，第二参考值即为流量历史数据记录点中最大值的平均值的800％；设置第四设定比例为80％，相应地，带宽限定值即为业务目标ip的业务重要性对应的网卡带宽使用率的80％。当业务目标ip有新的数据记录点记录时，如果该点数据大于流量历史数据记录点中最大值的平均值的800％，并且大于业务目标ip的业务重要性对应的网卡带宽使用率的80％时，即标记为该点异常，该点数据将不参与后续计算。

根据以上算法排除异常数据点中的垃圾数据，保证计算原始数据的可用性，初期由于历史数据量比较少，需要手工排除，后期可根据告警结果自动进行排除。

下面列举根据本发明实施例的网络攻击告警阈值配置方法的计算数据和结果。

举例一：总流量告警阈值计算

业务目标ip网卡总带宽数据：k＝10000mbps

根据业务重要性，确定带宽极限值：

n(10％/30％/50％)＝5500mbps/6500mbps/7500mbps

告警阈值计算结果：

举例二：udp告警阈值计算

业务目标ip网卡总带宽数据：k＝10000mbps

根据业务udp协议业务重要性，确定带宽极限值：

n(10％/30％/50％)＝5500mbps/6500mbps/7500mbps

告警阈值计算结果：

举例三：syn告警阈值计算

业务目标ip网卡总带宽数据：k＝14880kpps

根据业务syn协议业务重要性，确定带宽极限值：

n(10％/30％/50％)＝8184kpps/9672kpps/11160kpps

告警阈值计算结果：

举例四：small小包告警阈值计算

业务目标ip网卡总带宽数据：k＝14880kpps

根据业务syn协议业务重要性，确定带宽极限值：

n(10％/30％/50％)＝8184kpps/9672kpps/11160kpps

告警阈值计算结果：

除以上算法外，还可以采用一种简化方法计算告警阈值。在一种可能的实施方式中，计算告警阈值的简化方法包括：将设定周期内的流量峰值的平均值的设定倍数作为目标节点的告警阈值。

以上简化方法还包括：获取各类协议对应的默认阈值以及总流量的默认阈值；在目标节点的流量峰值达到默认阈值的第一设定比例时，根据流量峰值的平均值计算目标节点的告警阈值。

在以上简化方法中还包括：根据默认阈值确定告警阈值的上限值和告警阈值的下限值；在告警阈值大于告警阈值的上限值的情况下，将告警阈值的上限值作为告警阈值；在告警阈值小于告警阈值的下限值的情况下，将告警阈值的下限值作为告警阈值。

一个示例性的简化方法如下：

a.根据所有业务目标ip的流量，配置一套默认阈值。

b.可设置第一设定比例为50％。当业务目标ip的流量峰值大于a条中默认阈值的50％时启用算法。

c.可将设定倍数设置为2倍或3倍，告警阈值的上限值可设置为默认阈值的5倍或6倍，告警阈值的下限值可设置为默认阈值。用x表示各个时段的流量峰值平均值，即目标节点的各业务流量历史数据；y表示第一告警阈值；a表示第二告警阈值；z表示默认阈值。常见几类协议阈值配置算法如下表：

d.上表中，控制了业务目标ip的告警阈值在适用范围内合理波动，超出适用范围时使用边界值作为告警阈值。

计算出告警阈值之后，将计算结果按照对应的时段自动配置给每个业务目标ip，并定期根据对应时段自动更新配置。

经过以上计算，每个业务目标ip的告警阈值，将会根据自身流量的波动和使用的协议类型等情况，进行自动适配和更新，以准确地进行ddos攻击告警触发。以上计算公式不会增加代码运行负载，同时有效地匹配防护算法，提高了防护效率。

参见图2，管控平台收到ddos攻击告警后，通知清洗平台，对相应的业务目标ip进行防护动作，来完成对业务系统的自动化保护。

示例性介质

在介绍了本发明示例性实施方式的方法之后，接下来，参考图4对本发明示例性实施方式的、用于实现设备控制的介质进行说明。

在一些可能的实施方式中，本发明的各个方面还可以实现为一种计算机可读介质，其上存储有程序，当上述程序被处理器执行时用于实现本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的网络攻击告警阈值配置方法中的步骤。

具体地，上述处理器执行上述程序时用于实现如下步骤：按照设定周期记录目标节点的流量信息，得到目标节点的流量历史数据；根据目标节点的流量历史数据与目标节点的带宽配置信息得到目标节点的告警阈值；将告警阈值配置于目标节点。

需要说明的是：上述的介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于：电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

如图4所示，描述了根据本发明的实施方式的介质40，其可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序，并可以在设备上运行。然而，本发明不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于：电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、c++等，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算设备。

示例性装置

在介绍了本发明示例性实施方式的介质之后，接下来，参考图5和图6对本发明示例性实施方式的、用于实现设备控制的装置进行说明。

图5示意性地示出了根据本发明一实施例的网络攻击告警阈值配置装置的结构示意图。如图5所示，本发明实施例的网络攻击告警阈值配置装置500可以包括：记录单元510，用于按照设定周期记录目标节点的流量信息，得到目标节点的流量历史数据；告警单元520，用于根据目标节点的流量历史数据与目标节点的带宽配置信息得到目标节点的告警阈值；配置单元530，用于将告警阈值配置于目标节点。

在一种可能的实施方式中，记录单元510还用于：记录设定周期内每天各个时段的流量信息，并得到目标节点在设定周期内每天各个时段的时段流量历史数据；告警单元520还用于：根据时段流量历史数据与目标节点的带宽配置信息，得到目标节点在各个时段的时段告警阈值。

在一种可能的实施方式中，记录单元510还用于：记录设定周期内每天各个时段的流量峰值，并得出各个时段在设定周期内的流量峰值平均值；将各个时段的流量峰值平均值作为各个时段的时段流量历史数据。

图6示意性地示出了根据本发明另一实施例的网络攻击告警阈值配置装置的结构示意图。如图5和图6所示，在一种可能的实施方式中，流量信息包括各业务流量信息和总流量信息；告警阈值包括第一告警阈值和第二告警阈值；记录单元510还用于：按照设定周期记录目标节点的各业务流量信息和总流量信息，得到目标节点的各业务流量历史数据和总流量历史数据；告警单元520包括第一告警单元521和第二告警单元522；第一告警单元521用于：根据目标节点的各业务流量历史数据与目标节点的各业务带宽配置信息得到目标节点各业务分别对应的第一告警阈值；第二告警单元522用于：根据目标节点的总流量历史数据与目标节点的总带宽配置信息得到目标节点总流量对应的第二告警阈值。

在一种可能的实施方式中，第一告警单元521还用于：根据各业务的重要性数据和目标节点的总带宽数据，得到各业务分别对应的带宽极限值；将各业务分别对应的带宽极限值作为各业务带宽配置信息。

在一种可能的实施方式中，第一告警单元521还用于：采用n＝k*(1+m)*50％，得到各业务分别对应的带宽极限值；其中，n表示为各业务分别对应的带宽极限值，k表示为总带宽数据，m表示为业务重要性数据，且0＜m＜1。

在一种可能的实施方式中，第一告警单元521还用于：采用y＝n/e*(1+1/x)^x，得到目标节点各业务分别对应的第一告警阈值；其中，y表示第一告警阈值；n表示各业务分别对应的带宽极限值；x表示各个时段的流量峰值平均值，即目标节点的各业务流量历史数据；e表示自然常数。

在一种可能的实施方式中，第二告警单元522还用于：采用a＝k/e*(1+1/c)^c，得到目标节点总流量对应的第二告警阈值；其中，a表示第二告警阈值；k表示总带宽数据，即总带宽配置信息；c表示各个时段的流量峰值平均值，即目标节点的总流量历史数据；e表示自然常数。

在一种可能的实施方式中，告警单元520还用于：若当前周期记录的流量信息小于第一参考值，将当前周期记录的流量信息标记为异常数据；和/或，若当前周期记录的流量信息大于第二参考值，且当前时间记录周期记录的流量信息大于预设的带宽限定值时，将当前时间记录周期记录的流量信息标记为异常数据；使用排除异常数据后的流量历史数据，得到目标节点的告警阈值。

本发明实施例的网络攻击告警阈值配置控制装置中各单元的功能可以参见上述方法的相关描述，在此不再赘述。

示例性计算设备

在介绍了本发明示例性实施方式的方法、介质和装置之后，接下来，参照图7对本发明示例性实施方式的、用于实现设备控制的计算设备进行说明。

本发明实施例提供了一种计算设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当上述一个或多个程序被上述一个或多个处理器执行时，使得上述一个或多个处理器实现上述网络攻击告警阈值配置方法中的任一方法。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

在一些可能的实施方式中，根据本发明实施方式的计算设备可以至少包括至少一个处理单元、以及至少一个存储单元。其中，上述存储单元存储有程序代码，当上述程序代码被上述处理单元执行时，使得上述处理单元执行本说明书上述“示例性方法”部分中描述的根据本发明的各种示例性实施方式的网络攻击告警阈值配置方法中的步骤。

下面参照图7来描述根据本发明的这种实施方式的计算设备70。图7显示的计算设备70仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图7所示，计算设备70以通用计算设备的形式表现。计算设备70的组件可以包括但不限于：上述至少一个处理单元701、上述至少一个存储单元702以及连接不同系统组件(包括处理单元701和存储单元702)的总线703。

总线703包括数据总线、控制总线和地址总线。

存储单元702可以包括易失性存储器形式的可读介质，例如随机存取存储器(ram)7021和/或高速缓存存储器7022，可以进一步包括非易失性存储器形式的可读介质，例如只读存储器(rom)7023。

存储单元702还可以包括具有一组(至少一个)程序模块7024的程序/实用工具7025，这样的程序模块7024包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

计算设备70也可以与一个或多个外部设备704(例如键盘、指向设备等)通信。这种通信可以通过输入/输出(i/o)接口705进行。并且，计算设备70还可以通过网络适配器706与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图7所示，网络适配器706通过总线703与计算设备70的其它模块通信。应当理解，尽管图中未示出，可以结合计算设备70使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

应当注意，尽管在上文详细描述中提及了装置的若干单元/模块或子单元/模块，但是这种划分仅仅是示例性的并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多单元/模块的特征和功能可以在一个单元/模块中具体化。反之，上文描述的一个单元/模块的特征和功能可以进一步划分为由多个单元/模块来具体化。

此外，尽管在附图中以特定顺序描述了本发明方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

虽然已经参考若干具体实施方式描述了本发明的精神和原理，但是应该理解，本发明并不限于所公开的具体实施方式，对各方面的划分也不意味着这些方面中的特征不能组合以进行受益，这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包括的各种修改和等同布置。