测,从而能够识别数据流量是否发生异常,且异常发生时具体的数据异常类型。第三种方式即,对历史某一段时间所检测出来的数据异常类型进行统计,看看哪一种类型的数据异常发生的比较频繁,即着重对该类型的异常攻击进行检测。
[0083]当然,上述三种方式仅仅是示例性的进行说明,除此之外其它的确定过程也在本申请的保护范围之内。
[0084]下面对本申请实施例提供的数据监控装置进行描述,下文描述的数据监控装置与上文描述的数据监控方法可相互对应参照。
[0085]参见图8,图8为本申请实施例公开的一种数据监控装置结构示意图。
[0086]如图8所示,该装置包括:
[0087]类型确定单元81,用于确定所要检测的数据异常类型;
[0088]数据流量获取单元82,用于获取服务器向当前用户IP地址发送的数据流量;
[0089]解析单元83,用于按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合;
[0090]异常判断单元84,用于按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
[0091]可选的,在所述数据异常类型与所述决策树之间为一对一的关系时,所述数据监控装置还包括第一决策树建立单元,参见图9,图9为本申请实施例公开的另一种数据监控装置结构示意图。
[0092]结合图8和图9可知,数据监控装置还包括第一决策树建立单元85,其又可以分为:
[0093]分组单元851,用于依据预设分组策略,将预设的与所述数据异常类型对应的流量因子进行分组;
[0094]排序单元852,用于依据预设的排序策略,对每组内的若干个流量因子进行先后顺序排序;
[0095]阈值确定单元853,用于确定各组内流量因子的异常判断阈值;
[0096]转换单元854,用于将各个组确定为决策树中根节点的不同分支,其中,按照流量因子的先后顺序,分别将各分支中流量因子的阈值判断过程作为各分支中从上至下的若干个节点,每个节点在阈值判断异常时才执行下一节点的阈值判断过程,否则进入该节点的另一子节点,执行结束操作,直至各分支最后一个节点判断超过阈值时,确定数据流量满足所述数据异常类型。
[0097]可选的,在所述数据异常类型与所述决策树之间为多对一的关系时,还包括第二决策树建立单元。参见图10,图10为本申请实施例公开的又一种数据监控装置结构示意图。
[0098]结合图9和图10可知,数据监控装置还包括第二决策树建立单元86,其包括:
[0099]子树建立单元861,用于按照数据异常类型与决策树之间是一对一的关系,针对多个数据异常类型中的每一个数据异常类型建立决策树,得到若干个子决策树;
[0100]组合单元862,用于将所有的子决策树组合为一个总决策树。
[0101]可选的,图11示例了本申请实施例公开的类型确定单元的一种可选结构,如图11所示,类型确定单元81包括:
[0102]第一类型确定子单元811,用于将用户指定的若干个数据异常类型确定为所要检测的数据异常类型;
[0103]第二类型确定子单元812,用于将所有预先存储的数据异常类型均确定为所要检测的数据异常类型;
[0104]第三类型确定子单元813,用于判断预设历史时间内确定的各个数据异常类型的比例,将其中比例最大的数据异常类型确定为所要检测的数据异常类型。
[0105]其中,在所述类型确定单元81确定的所述数据异常类型为SYNFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和SYN包速率;在所述类型确定单元81确定的所述数据异常类型为GETFLOOD攻击时,确定与其对应的流量因子为网络流量、包速率和HTTPGet请求速率。
[0106]本申请实施例提供的数据监控装置,首先确定所要检测的数据异常类型,然后依据预设的与该数据异常类型对应的决策树,对获取到的服务器向用户IP地址发送的数据流量进行解析,获取与所述数据异常类型对应的流量因子,最后按照预设的与数据异常类型对应的决策树,对所述流量因子进行异常判断,确定当前数据流量是否为所述数据异常类型的异常攻击。其中,预先建立的决策树规定了数据异常类型所对应的流量因子组合、组合中各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。本申请的监控装置,综合考虑了与所要检测的数据异常类型相关联的多个流量因子,使得最终检测结果更加准确,并且最终能够确定异常攻击的具体类型。
[0107]本申请实施例还提供一种服务器,该服务器能够进行数据业务的监控,如平板电脑,笔记本电脑等;该服务器可以包括上述所述的数据监控装置,对于数据监控过程的描述可参照上文对应部分描述,此处不再赘述。
[0108]下面对本申请实施例提供的服务器的硬件结构进行描述,下文描述中涉及数据监控的部分可参照上文对应部分描述。图12为本申请实施例提供的服务器的硬件结构示意图,参照图12,该服务器可以包括:
[0109]处理器1,通信接口 2,存储器3,通信总线4,和显示屏5 ;
[0110]其中处理器1、通信接口 2、存储器3和显示屏5通过通信总线4完成相互间的通?目;
[0111]可选的,通信接口 2可以为通信模块的接口,如GSM模块的接口 ;
[0112]处理器I,用于执行程序;
[0113]存储器3,用于存放程序;
[0114]程序可以包括程序代码,所述程序代码包括处理器的操作指令。
[0115]处理器I可能是一个中央处理器CPU,或者是特定集成电路ASIC(Applicati0nSpecific Integrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路。
[0116]存储器3可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatilememory),例如至少一个磁盘存储器。
[0117]其中,程序可具体用于:
[0118]确定所要检测的数据异常类型;
[0119]获取服务器向当前用户IP地址发送的数据流量;
[0120]按照预设的与所述数据异常类型对应的决策树,对所述数据流量进行解析,以获取与所述数据异常类型对应的流量因子,所述决策树规定了数据异常类型所对应的流量因子组合;
[0121]按照预设的与所述数据异常类型对应的决策树,对所述流量因子进行异常判断,以确定所述数据流量是否为所述数据异常类型的异常攻击,所述决策树还规定了数据异常类型所对应的各个流量因子的异常判断阈值及各个流量因子阈值判断的先后顺序。
[0122]本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
[0123]专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已