用于检测网络攻击的方法和装置与流程

本申请涉及计算机技术领域，具体涉及互联网技术领域，尤其涉及用于检测网络攻击的方法和装置。

背景技术：

网络攻击，通常是指对网络系统的硬件、软件及其系统中的数据进行的攻击，网络攻击的范围可以从简单的使服务器无法提供正常的服务到完全破坏、控制服务器。随着互联网的快速发展，网络攻击的方式也越来越多样，这些网络攻击不仅影响网络传输的质量，占用大量带宽资源，而且影响服务器对用户提供的服务质量。

然而，现有的用于检测网络攻击的方式，通常存在着以下问题：确定网络攻击的攻击源信息或攻击目标信息的速度较慢。

技术实现要素：

本申请的目的在于提出一种改进的用于检测网络攻击的方法和装置，来解决以上背景技术部分提到的技术问题。

第一方面，本申请实施例提供了一种用于检测网络攻击的方法，所述方法包括：确定目标机房的流量特征信息；根据所述流量特征信息，确定所述目标机房是否受到网络攻击；响应于确定所述目标机房受到网络攻击，获取所述目标机房接收到的数据请求的请求特征信息；根据所获取的请求特征信息，确定所述网络攻击的攻击源信息和/或攻击目标信息。

在一些实施例中，所述请求特征信息包括以下至少一项：所述数据请求发自的源网际协议地址、所述数据请求发至的目的网际协议地址、传输所述数据请求所利用的传输协议的协议类型。

在一些实施例中，所述根据所确定的第一流量，确定该源网际协议地址是否是所述攻击源信息，包括：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，确定所述目标机房接收到的、发自该源网际协议地址的数据请求所产生的第一流量；根据所确定的第一流量，确定该源网际协议地址是否是所述攻击源信息。

在一些实施例中，所述根据所确定的第一流量，确定该源网际协议地址是否是所述攻击源信息，还包括：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，在所述目标机房接收到的、发自该源网际协议地址的数据请求的请求特征信息中，查找预设协议类型；确定利用查找到的预设协议类型的传输协议传输的数据请求所产生的第二流量是否大于预设第二流量阈值；响应于确定所述第二流量大于预设第二流量阈值，确定该源网际协议地址为攻击源信息。

在一些实施例中，所述根据所确定的第一流量，确定该源网际协议地址是否是所述攻击源信息，还包括：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，响应于确定该源网际协议地址为攻击源信息，获取所述目标机房接收到的、发自该源网际协议地址的数据请求的请求特征信息中的至少一个目的网际协议地址；对于所述至少一个目的网际协议地址中的每个目的网际协议地址，确定发至该目的网际协议地址的数据请求所产生的第三流量是否大于预设第三流量阈值；响应于确定所述第三流量大于预设第三流量阈值，确定该目的网际协议地址为攻击目标信息。

在一些实施例中，所述流量特征信息包括以下至少一项：当前流量值、预定历史时刻的流量值、当前时刻之前的预定时间段内的流量平均值，所述目标机房内设置有交换机；以及所述确定目标机房的流量特征信息，包括：通过所述目标机房内设置的交换机的计数信息，确定所述目标机房的流量信息，其中，所述流量信息包括采集时间和流量值；根据所确定的流量信息，确定所述流量特征信息。

在一些实施例中，所述根据所述流量特征信息，确定所述目标机房是否受到网络攻击，包括：将所述流量特征信息导入预先建立的流量异常检测模型，得到用于指示所述目标机房是否受到网络攻击的指示信息，其中，所述流量异常检测模型用于表征流量特征信息和指示信息之间的对应关系。

在一些实施例中，所述方法还包括建立流量异常检测模型的步骤，其中，所述建立流量异常检测模型的步骤包括：获取已知指示信息的所述目标机房的流量特征信息；利用机器学习算法，基于所获取的流量特征信息及对应的指示信息，训练初始模型得到所述流量异常检测模型。

第二方面，本申请实施例提供了一种用于检测网络攻击的装置，所述装置包括：流量特征信息确定单元，用于确定目标机房的流量特征信息；网络攻击确定单元，用于根据所述流量特征信息，确定所述目标机房是否受到网络攻击；获取单元，用于响应于确定所述目标机房受到网络攻击，获取所述目标机房接收到的数据请求的请求特征信息；攻击信息确定单元，用于根据所获取的请求特征信息，确定所述网络攻击的攻击源信息和/或攻击目标信息。

在一些实施例中，所述请求特征信息包括以下至少一项：所述数据请求发自的源网际协议地址、所述数据请求发至的目的网际协议地址、传输所述数据请求所利用的传输协议的协议类型。

在一些实施例中，所述攻击信息确定单元，用于：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，确定所述目标机房接收到的、发自该源网际协议地址的数据请求所产生的第一流量；根据所确定的第一流量，确定该源网际协议地址是否是所述攻击源信息。

在一些实施例中，所述攻击信息确定单元，还用于：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，在所述目标机房接收到的、发自该源网际协议地址的数据请求的请求特征信息中，查找预设协议类型；确定利用查找到的预设协议类型的传输协议传输的数据请求所产生的第二流量是否大于预设第二流量阈值；响应于确定所述第二流量大于预设第二流量阈值，确定该源网际协议地址为攻击源信息。

在一些实施例中，所述攻击信息确定单元，还用于：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，响应于确定该源网际协议地址为攻击源信息，获取所述目标机房接收到的、发自该源网际协议地址的数据请求的请求特征信息中的至少一个目的网际协议地址；对于所述至少一个目的网际协议地址中的每个目的网际协议地址，确定发至该目的网际协议地址的数据请求所产生的第三流量是否大于预设第三流量阈值；响应于确定所述第三流量大于预设第三流量阈值，确定该目的网际协议地址为攻击目标信息。

在一些实施例中，所述流量特征信息包括以下至少一项：当前流量值、预定历史时刻的流量值、当前时刻之前的预定时间段内的流量平均值，所述目标机房内设置有交换机；以及所述流量特征信息确定单元，用于：通过所述目标机房内设置的交换机的计数信息，确定所述目标机房的流量信息，其中，所述流量信息包括采集时间和流量值；根据所确定的流量信息，确定所述流量特征信息。

在一些实施例中，所述网络攻击确定单元，用于：将所述流量特征信息导入预先建立的流量异常检测模型，得到用于指示所述目标机房是否受到网络攻击的指示信息，其中，所述流量异常检测模型用于表征流量特征信息和指示信息之间的对应关系。

在一些实施例中，所述装置还包括建立单元，用于建立流量异常检测模型，其中，所述建立流量异常检测模型包括：获取已知指示信息的所述目标机房的流量特征信息；利用机器学习算法，基于所获取的流量特征信息及对应的指示信息，训练初始模型得到所述流量异常检测模型。

第三方面，本申请实施例提供了一种设备/终端/服务器所述设备/终端/服务器包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如第一方面的方法。

第四方面，本申请实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如第一方面的方法。

本申请实施例提供的用于检测网络攻击的方法和装置，通过确定目标机房的流量特征信息；根据所述流量特征信息，确定所述目标机房是否受到网络攻击；响应于确定所述目标机房受到网络攻击，获取所述目标机房接收到的数据请求的请求特征信息；根据所获取的请求特征信息，确定所述网络攻击的攻击源信息和/或攻击目标信息，从而，可以在目标机房受到网络攻击时，快速确定网络攻击的攻击源和/或攻击目标。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1是本申请可以应用于其中的示例性系统架构图；

图2是根据本申请的用于检测网络攻击的方法的一个实施例的流程图；

图3是根据本申请的用于检测网络攻击的方法的一个应用场景的示意图；

图4是根据本申请的用于检测网络攻击的方法的又一个实施例的流程图；

图5是根据本申请的用于检测网络攻击的装置的一个实施例的结构示意图；

图6是适于用来实现本申请实施例的监控服务器的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。本领域技术人员还将理解的是，虽然本文中可使用用语“第一”、“第二”“第三”等来描述各种流量、流量阈值等信息，但是这些流量、流量阈值等不应被这些用语限制。这些用语仅用于将一个流量、流量阈值等与其它流量、流量阈值等区分开。

图1示出了可以应用本申请的用于检测网络攻击的方法或用于检测网络攻击的装置的实施例的示例性系统架构100。

如图1所示，系统架构100可以包括终端设备101、102、103，网络104，服务器105、106和监控服务器107。网络104用以在终端设备101、102、103和服务器105、106之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

需要说明的是，服务器105、106可以位于同一机房，图1中的矩形框用于表示上述机房。监控服务器107用于监控上述机房。监控服务器107可以位于上述机房内，也可以位于上述机房外。网络104还可以用以在监控服务器107与上述机房中的用于数据采集或数据存储的电子设备之间提供通信链路的介质。

用户110可以使用终端设备101、102、103通过网络104与服务器105、106交互，以接收或发送消息等。终端设备101、102、103上可以安装有各种客户端应用，例如邮件类应用、游戏类应用、即时通信类应用、视频播放类应用、搜索引擎类应用等。

需要说明的是，在本申请的检测网络攻击这一实际场景中，发起网络攻击的用户通常为恶意发送大量数据请求的用户。用户所利用的终端设备可以是具有强大计算功能的电子设备，甚至是服务器。终端设备101、102、103可以是具有显示屏并且支持交互功能的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV，动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。

服务器105、106可以是提供各种服务的服务器，例如对终端设备101、102、103提供支持的后台服务器。后台服务器可以接收终端设备的数据请求并进行数据处理，并将处理结果(例如数据请求的请求结果)反馈给终端设备。

监控服务器107可以从上述机房中的用于数据采集或数据存储的电子设备获取流量特征信息和请求特征信息，并由此确定上述机房的网络攻击的攻击源信息和/或攻击目标信息。

需要说明的是，本申请实施例所提供的用于检测网络攻击的方法一般由监控服务器107执行，相应地，用于检测网络攻击的装置一般设置于监控服务器107中。

应该理解，图1中的终端设备、网络、服务器和监控服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络、服务器和监控服务器。

继续参考图2，示出了根据本申请的用于检测网络攻击的方法的一个实施例的流程200。所述的用于检测网络攻击的方法，包括以下步骤：

步骤201，确定目标机房的流量特征信息。

在本实施例中，用于检测网络攻击的方法运行于其上的电子设备(例如图1所示的监控服务器)可以确定上述电子设备所监控的目标机房的流量的流量特征信息。

在本实施例中，上述流量可以是目标机房中的服务器接收到的数据请求和发送出的数据所产生的流量。上述流量还可以是目标机房中的服务器接收的数据请求所产生的流量。上述流量还可以是目标机房中的服务器发送的请求结果所产生的流量。

在本实施例中，上述流量特征信息可以是用于描述与上述流量有关的一些关键要素的信息。

在本实施例的一些可选的实现方式中，流量特征信息可以包括但不限于：当前流量值、预定历史时刻的流量值、当前时刻之前的预定时间段内的流量平均值。

在本实施例中，上述监控服务器可以从机房中的一些用于数据采集或数据存储的电子设备中获取流量特征信息；上述监控服务器也可以自身具有监控目标机房接收到的数据请求，并确定上述数据请求所产生的流量的流量特征信息的功能，进而从本地获取上述流量特征信息。

步骤202，根据流量特征信息，确定目标机房是否受到网络攻击。

在本实施例中，用于检测网络攻击的方法运行于其上的电子设备(例如图1所示的监控服务器)可以根据流量特征信息，确定目标机房是否受到网络攻击。

需要说明的是，确定目标机房是否受到网络攻击可以理解为：目标机房中设置的服务器是否受到网络攻击。目标机房可以设置多个服务器或多个服务器集群。在目标机房接收到的总流量出现异常时，不能确定立即确定是机房中的哪个服务器或服务器集群受到网络攻击，因此需要快速定位是机房中哪个服务器或服务器集群受到网络攻击。

在本实施例的一些可选的实现方式中，根据流量特征信息，确定目标机房是否受到网络攻击，可以通过以下方式实现：确定当前流量值是否大于预设流量阈值，响应于确定当前流量值大于预设流量阈值，确定上述目标机房受到网络攻击。

步骤203，响应于确定目标机房受到网络攻击，获取目标机房接收到的数据请求的请求特征信息。

在本实施例中，用于检测网络攻击的方法运行于其上的电子设备(例如图1所示的监控服务器)可以响应于确定目标机房受到网络攻击，获取目标机房接收到的数据请求的请求特征信息。

在本实施例中，目标机房接收到的数据请求可以是发送至目标机房中的服务器的数据请求。上述数据请求的请求特征信息可以用于描述数据请求的一些关键要素的信息。

在本实施例中，上述监控服务器可以从机房中的一些用于数据采集或数据存储的电子设备中获取请求特征信息。上述监控服务器也可以自身具有监控目标机房接收到的数据请求并提取请求特征信息的功能，进而从本地获取上述请求特征信息。

在本实施例的一些可选的实现方式中，上述请求特征信息可以包括但不限于：所述数据请求发自的源网际协议(Internet Protocol，IP)地址、所述数据请求发至的目的网际协议地址、所述数据请求发自的源媒体访问控制(Media Access Control，MAC)地址、所述数据请求发至的目的媒体访问控制地址、传输所述数据请求所利用的传输协议的协议类型、数据请求的字节数。需要说明的是，网际协议地址可以是虚拟网际协议地址(Virtual Internet Protocol Address，VIP)。

在本实施例的一些可选的实现方式中，上述协议类型包括但不限于传输控制协议(Transmission Control Protocol，TCP)、用户数据包协议(User Datagram Protocol，UDP)。需要说明的是，源网际协议地址也可以称为源IP地址，目的网际协议地址也可以称为目的IP地址，源媒体访问控制也可以称为源MAC地址、目的媒体访问控制地址也可以称为目的MAC地址。

需要说明的，可以一个数据请求对应一个用于描述该数据请求的请求特征信息。也可以多个数据请求的请求对应一个用于描述上述多条数据请求的请求特征信息。

步骤204，根据所获取的请求特征信息，确定网络攻击的攻击源信息和/或攻击目标信息。

在本实施例中，用于检测网络攻击的方法运行于其上的电子设备(例如图1所示的监控服务器)可以所获取的请求特征信息，确定网络攻击的攻击源信息和/或攻击目标信息。

在本实施例中，攻击源信息可以是用于指示攻击源的信息，攻击源可以是终端或服务器等用户利用其进行网络攻击的电子设备，上述攻击源信息可以包括但不限于攻击源的网际协议地址、媒体访问控制地址。攻击目标信息可以是用于指示攻击目标的信息，攻击目标可以是网络攻击所针对的网站或服务所在的服务器，上述攻击目标信息可以是的网际协议地址、媒体访问控制地址。

需要说明的是，在实际应用中，可以只获取攻击源信息和/或攻击目标信息，而不根据攻击源信息和/攻击目标信息进行定位以确定攻击源和/或攻击目标。

在本实施例的一些可选的实现方式中，可以在确定攻击源信息之后，屏蔽具有该攻击源信息的数据请求，及时阻止攻击源的攻击。

在本实施例的一些可选的实现方式中，可以根据所获取的请求特征信息，确定所述网络攻击的攻击源信息。可以根据所获取的请求特征信息，确定所述网络攻击的攻击目标信息。可以根据所获取的请求特征信息，确定所述网络攻击的攻击源信息和攻击目标信息。

在本实施例的一些可选的实现方式中，步骤204可以通过以下方式实现：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，确定所述目标机房接收到的、发自该源网际协议地址的数据请求所产生的第一流量。响应于确定所确定的第一流量大于预设第一流量阈值，确定该源网际协议地址是所述攻击源信息。响应于确定该源网际协议地址是所述攻击源信息，确定所述目标机房接收到的、发自该源网际协议地址的数据请求所发至的目的网际协议地址是所述攻击目标信息。需要说明的是，关于如何确定数据请求所产生的流量是本领域技术人员所公知的，在此不再赘述。

继续参见图3，图3是根据本实施例的用于检测网络攻击的方法的应用场景的一个示意图。在图3的应用场景中，终端301和终端302发送至目的机房的数据请求所产生的流量正常，终端303发送至目的机房的数据请求所产生的流量异常。进行恶意网络攻击的用户可以利用具备强大计算功能的终端303向目标机房中的服务器发送数据请求；监控服务器获取目标机房的流量特征信息；之后，监控服务器可以根据上述流量特征信息，确定上述目标机房是否受到网络攻击；然后，上述监控服务器可以响应于确定目标机房受到网络攻击，获取目标机房接收到的数据请求的请求特征信息；最后，上述监控服务器可以根据上述请求特征信息，确定攻击源信息(例如终端303的网际协议地址)和/或攻击目标信息(例如机房中某个服务器集群的虚拟网际协议地址)。

本申请的上述实施例提供的方法，通过确定目标机房的流量特征信息；根据所述流量特征信息，确定所述目标机房是否受到网络攻击；响应于确定所述目标机房受到网络攻击，获取所述目标机房接收到的数据请求的请求特征信息；根据所获取的请求特征信息，确定所述网络攻击的攻击源信息和/或攻击目标信息，从而，可以在目标机房受到网络攻击时，快速确定网络攻击的攻击源和/或攻击目标。

进一步参考图4，其示出了用于检测网络攻击的方法的又一个实施例的流程400。该用于检测网络攻击的方法的流程400，包括以下步骤：

步骤401，确定目标机房的流量特征信息。

在本实施例中，用于检测网络攻击的方法运行于其上的电子设备(例如图1所示的监控服务器)可以确定目标机房的流量特征信息。

在本实施例中，所述流量特征信息可以包括但不限于：当前流量值、预定历史时刻的流量值、当前时刻之前的预定时间段内的流量平均值。

在本实施例的一些可选的实现方式中，所述目标机房内设置有交换机，步骤401可以通过以下方式实现：通过所述目标机房内设置的交换机的计数信息，确定所述目标机房的流量信息，其中，所述流量信息包括采集时间和流量值；根据所确定的流量信息，确定所述流量特征信息。

在本实施例的一些可选的实现方式中，通过所述目标机房内设置的交换机的计数信息，确定所述目标机房的流量信息，可以通过以下方式实现：获取交换机上的计数器的计数器信息，将不同时间采集的技术器信息的差值作为通过该交换机的流量值。

需要注意的是，目标机房内设置的交换机的台数可以是一台也可以是多台。如果目标机房内设置多台交换机，则通过所有交换机的计数信息确定该目标机房的流量信息。

在本实施例的一些可选的实现方式中，可以设置多台电子设备采集交换机的交换机上计数器的计数器信息。特别地，可以对上述多台电子设备进行采用负载均衡的方式进行部署，使得上述多台电子设备中的各个电子设备不出现过载的情况。或者，上述多台电子设备中有电子设备出现故障，其它电子设备可以替代该故障电子设备。这种负载均衡部署多台电子设备采集的方式，可以避免单点故障，防止数据丢失。

在本实施例的一些可选的实现方式中，根据所确定的流量信息，确定所述流量特征信息，可以通过以下方式实现：通过采集时间可以确定当前流量值、预定历史时刻的流量值；对当前时刻之前的预定时间段内的流量值进行加和平均，可以得到上述流量平均值。

步骤402，将流量特征信息导入预先建立的流量异常检测模型，得到用于指示目标机房是否受到网络攻击的指示信息。

在本实施例中，用于检测网络攻击的方法运行于其上的电子设备(例如图1所示的监控服务器)可以将流量特征信息导入预先建立的流量异常检测模型，得到用于指示目标机房是否受到网络攻击的指示信息。在这里，流量异常检测模型用于表征流量特征信息和指示信息之间的对应关系。

在本实施例的一些可选的实现方式中，本实施还可以包括建立流量异常检测模型的步骤，其中，所述建立流量异常检测模型的步骤包括：获取已知指示信息的所述目标机房的流量特征信息；利用机器学习算法，基于所获取的流量特征信息及对应的指示信息，训练初始模型得到所述流量异常检测模型。在这里，初始模型可以是能够用于分类的模型，例如，卷积神经网络模型、随机森林模型、误差反向传播误差神经网络模型等。

步骤403，响应于确定目标机房受到网络攻击，获取目标机房接收到的数据请求的请求特征信息。

在本实施例中，用于检测网络攻击的方法运行于其上的电子设备(例如图1所示的监控服务器)可以响应于确定所述目标机房受到网络攻击，获取所述目标机房接收到的数据请求的请求特征信息。

在本实施例中，上述请求特征信息可以包括但不限于：所述数据请求发自的源网际协议地址、所述数据请求发至的目的网际协议地址、传输所述数据请求所利用的传输协议的协议类型、所述数据请求的字节数。步骤403的实现细节和技术效果可以参考步骤203中的说明，在此不再赘述。

步骤404，根据所获取的请求特征信息，确定网络攻击的攻击源信息和攻击目标信息。

在本实施例中，用于检测网络攻击的方法运行于其上的电子设备(例如图1所示的监控服务器)可以根据所获取的请求特征信息，确定网络攻击的攻击源信息和攻击目标信息。

在本实施例的一些可选的实现方式中，步骤404可以通过以下方式实现：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，确定所述目标机房接收到的、发自该源网际协议地址的数据请求所产生的第一流量。根据所确定的第一流量，确定该源网际协议地址是否是所述攻击源信息。

在本实施例的一些可选的实现方式中，步骤404可以通过以下方式实现：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，在所述目标机房接收到的、发自该源网际协议地址的数据请求的请求特征信息中，查找预设协议类型。确定利用查找到的预设协议类型的传输协议传输的数据请求所产生的第二流量是否大于预设第二流量阈值。响应于确定所述第二流量大于预设第二流量阈值，确定该源网际协议地址为攻击源信息。作为示例，在这里，预设协议类型可以是UDP。

在本实施例的一些可选的实现方式中，步骤404可以通过以下方式实现：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，响应于确定该源网际协议地址为攻击源信息，获取所述目标机房接收到的、发自该源网际协议地址的数据请求的请求特征信息中的至少一个目的网际协议地址。对于所述至少一个目的网际协议地址中的每个目的网际协议地址，确定发至该目的网际协议地址的数据请求所产生的第三流量是否大于预设第三流量阈值。响应于确定所述第三流量大于预设第三流量阈值，确定该目的网际协议地址为攻击目标信息。

从图4中可以看出，与图2对应的实施例相比，本实施例中的用于检测网络攻击的方法的流程400突出了利用预先建立的流量异常检测模型确定目标机房是否受到网络攻击的步骤。由此，本实施例描述的方案可以实现更快速和更准确的确定目标机房是否受到网络攻击，进而更快速地确定攻击源信息和攻击目标信息。

进一步参考图5，作为对上述各图所示方法的实现，本申请提供了一种用于检测网络攻击的装置的一个实施例，该装置实施例与图2所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。

如图5所示，本实施例所述的用于检测网络攻击的装置500包括：流量特征信息确定单元501、网络攻击确定单元502、获取单元503和攻击信息确定单元504。其中，流量特征信息确定单元501，用于确定目标机房的流量特征信息；网络攻击确定单元502，用于根据所述流量特征信息，确定所述目标机房是否受到网络攻击；获取单元503，用于响应于确定所述目标机房受到网络攻击，获取所述目标机房接收到的数据请求的请求特征信息；攻击信息确定单元504，用于根据所获取的请求特征信息，确定所述网络攻击的攻击源信息和/或攻击目标信息。

在本实施例中，装置500的流量特征信息确定单元501、网络攻击确定单元502、获取单元503和攻击信息确定单元504的具体处理可以参考图2对应实施例中的步骤201、步骤202、步骤203以及步骤204，这此不再赘述。

在本实施例的一些可选的实现方式中，所述请求特征信息包括以下至少一项：所述数据请求发自的源网际协议地址、所述数据请求发至的目的网际协议地址、传输所述数据请求所利用的传输协议的协议类型。

在本实施例的一些可选的实现方式中，所述攻击信息确定单元，用于：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，确定所述目标机房接收到的、发自该源网际协议地址的数据请求所产生的第一流量；根据所确定的第一流量，确定该源网际协议地址是否是所述攻击源信息。

在本实施例的一些可选的实现方式中，所述攻击信息确定单元，还用于：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，在所述目标机房接收到的、发自该源网际协议地址的数据请求的请求特征信息中，查找预设协议类型；确定利用查找到的预设协议类型的传输协议传输的数据请求所产生的第二流量是否大于预设第二流量阈值；响应于确定所述第二流量大于预设第二流量阈值，确定该源网际协议地址为攻击源信息。

在本实施例的一些可选的实现方式中，所述攻击信息确定单元，还用于：对于所获取的至少一个源网际协议地址中的每个源网际协议地址，响应于确定该源网际协议地址为攻击源信息，获取所述目标机房接收到的、发自该源网际协议地址的数据请求的请求特征信息中的至少一个目的网际协议地址；对于所述至少一个目的网际协议地址中的每个目的网际协议地址，确定发至该目的网际协议地址的数据请求所产生的第三流量是否大于预设第三流量阈值；响应于确定所述第三流量大于预设第三流量阈值，确定该目的网际协议地址为攻击目标信息。

在本实施例的一些可选的实现方式中，所述流量特征信息包括以下至少一项：当前流量值、预定历史时刻的流量值、当前时刻之前的预定时间段内的流量平均值，所述目标机房内设置有交换机；以及所述流量特征信息确定单元，用于：通过所述目标机房内设置的交换机的计数信息，确定所述目标机房的流量信息，其中，所述流量信息包括采集时间和流量值；根据所确定的流量信息，确定所述流量特征信息。

在本实施例的一些可选的实现方式中，将所述流量特征信息导入预先建立的流量异常检测模型，得到用于指示所述目标机房是否受到网络攻击的指示信息，其中，所述流量异常检测模型用于表征流量特征信息和指示信息之间的对应关系。

在本实施例的一些可选的实现方式中，所述装置还包括建立单元(未示出)，用于建立流量异常检测模型，其中，所述建立流量异常检测模型包括：获取已知指示信息的所述目标机房的流量特征信息；利用机器学习算法，基于所获取的流量特征信息及对应的指示信息，训练初始模型得到所述流量异常检测模型。

本实施例所提供的装置的各个单元的实现细节和技术效果，可以参考本申请其它实施例中的说明，在此不再赘述。

下面参考图6，其示出了适于用来实现本申请实施例的服务器的计算机系统600的结构示意图。图6示出的服务器仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图6所示，计算机系统600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中，还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时，执行本申请的方法中限定的上述功能。

需要说明的是，本申请所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所中的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所中到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括流量特征信息确定单元、网络攻击确定单元获取单元和攻击信息确定单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定，例如，流量特征信息确定单元还可以被描述为“确定目标机房的流量特征信息的单元”。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的装置中所包含的；也可以是单独存在，而未装配入该装置中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该装置执行时，使得该装置：确定目标机房的流量特征信息；根据所述流量特征信息，确定所述目标机房是否受到网络攻击；响应于确定所述目标机房受到网络攻击，获取所述目标机房接收到的数据请求的请求特征信息；根据所获取的请求特征信息，确定所述网络攻击的攻击源信息和/或攻击目标信息。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所中的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。