一种DDoS攻击检测方法、装置及电子设备与流程

本发明涉及网络通信技术领域，特别是涉及一种ddos(distributeddenialofservice，分布式拒绝服务)攻击检测方法及装置。

背景技术：

ddos攻击指将多个计算机联合起来作为攻击平台，对网络设备发动攻击，使其无法提供正常的服务或资源访问，更有甚者还会使其服务系统停止响应甚至崩溃。随着互联网技术不断融入公众的日常生活，ddos攻击所带来的危害也越来越严重，因此，进行ddos攻击检测非常必要。

目前，现有的ddos攻击检测方法主要是：从网络设备的cpu(centralprocessingunit，中央处理器)内核中指定一个内核，使用该内核对整个cpu在单位时间内接收到的不同终端设备发送的网络数据包数量分别进行统计，当某一终端设备发送的网络数据包数量超过预设数值时，则认为该网络设备受到ddos攻击。

采用上述方法进行ddos攻击检测时，对资源的利用率较低，检测效率也较低。

技术实现要素：

本发明实施例的目的在于提供一种ddos攻击检测方法及装置，以解决现有技术中存在的资源利用率低及检测效率低的问题。具体技术方案如下：

第一方面，本发明实施例提供了一种ddos攻击检测方法，包括：

获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息，一个内核针对一个终端设备的所述统计信息为，该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息；

针对所述多个内核中的每个内核，基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；

针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；

基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从所述各待确认攻击终端中确定出攻击终端。

进一步的，所述统计信息包括网络数据包的数量和/或网络数据包的数据量。

进一步的，所述基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端，包括：

针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系；

当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时，将该终端设备确定为待确认攻击终端。

进一步的，所述基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端，包括：

针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系；

当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时，将该终端设备确定为候选待确认攻击终端；

从所述候选待确认攻击终端中，确定出所述统计信息从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端。

进一步的，所述统计信息包括网络数据包的数量和网络数据包的数据量；

所述基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端，包括：

针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，分别判断该内核的该终端设备的所述网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的所述网络数据包的数据量与第一预设数据量阈值的大小关系；

当该内核的该终端设备的所述网络数据包的数量大于所述第一预设数量阈值，且该内核的该终端设备的所述网络数据包的数据量大于所述第一预设数据量阈值时，将该终端设备确定为候选待确认攻击终端；

从所述候选待确认攻击终端中，确定出所述网络数据包的数量从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端；

或者

从所述候选待确认攻击终端中，确定出所述网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端。

进一步的，所述基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从所述各待确认攻击终端中确定出攻击终端，包括：

针对每个待确认攻击终端，判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系；

当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时，将该待确认攻击终端确定为攻击终端。

进一步的，所述基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从所述各待确认攻击终端中确定出攻击终端，包括：

针对每个待确认攻击终端，判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系；

当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时，将该待确认攻击终端确定为候选攻击终端；

从所述候选攻击终端中，确定出所述整合后统计信息从大到小的前指定数量个候选攻击终端，作为攻击终端。

进一步的，所述整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量；

所述基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从所述各待确认攻击终端中确定出攻击终端，包括：

针对每个待确认攻击终端，分别判断该待确认攻击终端的所述整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的所述整合后网络数据包的数据量与第二预设数据量阈值的大小关系；

当该待确认攻击终端的所述整合后网络数据包的数量大于所述第二预设数量阈值，且该待确认攻击终端的所述整合后网络数据包的数据量大于所述第二预设数据量阈值时，将该待确认攻击终端确定为候选攻击终端；

从所述候选攻击终端中，确定出所述整合后网络数据包的数量从大到小的前指定数量个候选攻击终端，作为攻击终端；

或者

从所述候选待确认攻击终端中，确定出所述整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端，作为攻击终端。

第二方面，本发明实施例提供了一种ddos攻击检测装置，包括：

信息获取模块，用于获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息，一个内核针对一个终端设备的所述统计信息为，该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息；

第一确认模块，用于针对所述多个内核中的每个内核，基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；

信息整合模块，用于针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；

第二确认模块，用于基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从所述各待确认攻击终端中确定出攻击终端。

进一步的，所述统计信息包括网络数据包的数量和/或网络数据包的数据量。

进一步的，所述第一确认模块，具体用于针对所述多个内核中的每个内核，针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系；当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时，将该终端设备确定为待确认攻击终端。

进一步的，所述第一确认模块，具体用于针对所述多个内核中的每个内核，针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的所述统计信息与第一预设统计阈值的大小关系；当该内核的该终端设备的所述统计信息大于所述第一预设统计阈值时，将该终端设备确定为候选待确认攻击终端；从所述候选待确认攻击终端中，确定出所述统计信息从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端。

进一步的，所述统计信息包括网络数据包的数量和网络数据包的数据量；

所述第一确认模块，具体用于针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，分别判断该内核的该终端设备的所述网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的所述网络数据包的数据量与第一预设数据量阈值的大小关系；当该内核的该终端设备的所述网络数据包的数量大于所述第一预设数量阈值，且该内核的该终端设备的所述网络数据包的数据量大于所述第一预设数据量阈值时，将该终端设备确定为候选待确认攻击终端；从所述候选待确认攻击终端中，确定出所述网络数据包的数量从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端；或者，从所述候选待确认攻击终端中，确定出所述网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端。

进一步的，所述第二确认模块，具体用于针对每个待确认攻击终端，判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系；当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时，将该待确认攻击终端确定为攻击终端。

进一步的，所述第二确认模块，具体用于针对每个待确认攻击终端，判断该待确认攻击终端的所述整合后统计信息与第二预设统计阈值的大小关系；当该待确认攻击终端的所述整合后统计信息大于所述第二预设统计阈值时，将该待确认攻击终端确定为候选攻击终端；从所述候选攻击终端中，确定出所述整合后统计信息从大到小的前指定数量个候选攻击终端，作为攻击终端。

进一步的，所述整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量；

所述第二确认模块，具体用于针对每个待确认攻击终端，分别判断该待确认攻击终端的所述整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的所述整合后网络数据包的数据量与第二预设数据量阈值的大小关系；当该待确认攻击终端的所述整合后网络数据包的数量大于所述第二预设数量阈值，且该待确认攻击终端的所述整合后网络数据包的数据量大于所述第二预设数据量阈值时，将该待确认攻击终端确定为候选攻击终端；从所述候选攻击终端中，确定出所述整合后网络数据包的数量从大到小的前指定数量个候选攻击终端，作为攻击终端；或者，从所述候选待确认攻击终端中，确定出所述整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端，作为攻击终端。

第三方面，本发明实施例提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述任一ddos攻击检测方法的步骤。

第四方面，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述任一所述的ddos攻击检测方法。

第五方面，本发明实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述任一所述的ddos攻击检测方法。

本发明实施例提供的一种ddos攻击检测方法、装置及电子设备，获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息；针对所述多个内核中的每个内核，基于该内核的所述统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从所述各待确认攻击终端中确定出攻击终端。本发明在ddos攻击检测过程中，充分利用了cpu的所有内核，资源利用率高，相应地，检测效率也会提高。

当然，实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。

图1为本发明一个实施例提供的ddos攻击检测方法的流程示意图；

图2为本发明另一个实施例提供的ddos攻击检测方法的流程示意图；

图3为本发明另一个实施例提供的ddos攻击检测装置的结构示意图；

图4为本发明一个实施例提供的电子设备的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

图1为本发明一个实施例提供的ddos攻击检测方法的流程示意图，包括：

步骤101，获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息，一个内核针对一个终端设备的统计信息为，该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息。

步骤102，针对多个内核中的每个内核，基于该内核的统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端。

步骤103，针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息。

步骤104，基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。

在本发明实施例提供的图1所示的ddos攻击检测方法中，通过获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息；针对多个内核中的每个内核，基于该内核的统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。本发明在ddos攻击检测过程中，充分利用了cpu的所有内核，资源利用率高，相应地，检测效率也会提高。

上述步骤101中，一个内核针对一个终端设备的统计信息为，该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息。其中，网络数据包的统计信息，可以为能够表征网络数据包大小的属性信息，例如，可以包括网络数据包的数量，也可以包括网络数据包的数据量，还可以既包括网络数据包的数量，还包括网络数据包的数据量。

在上述步骤102中，第一预设检测规则的作用为确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端。第一预设检测规则可以是当该内核单位时间接收到的来自某终端设备的网络数据包的统计信息(如网络数据包的数据量或者网络数据包的数量)的大小满足指定预设条件时，判断该终端设备为该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端。

在上述步骤104中，第二预设检测规则的作用为从待确认攻击终端中确定出攻击终端。第二预设检测规则可以是当某待确认攻击终端的整合后统计信息(如网络数据包的数据量或者网络数据包的数量)的大小满足一定条件时，判断为该待确认攻击终端为攻击终端。

下面结合附图，对本发明实施例提供的ddos攻击检测方法、装置及电子设备进行详细描述。

如附图2所示，本发明实施例提供一种ddos攻击检测方法，具体包括如下步骤：

步骤201，获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息，一个内核针对一个终端设备的统计信息为，该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息。

本步骤中，统计信息可以网络数据包的数量或者网络数据包的数据量中的一项，也可以同时包括网络数据包的数量和网络数据包的数据量。

步骤202，针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系。

步骤203，当该内核的该终端设备的统计信息大于第一预设统计阈值时，将该终端设备确定为待确认攻击终端。

在本实施例中，可以基于上述步骤201中的各内核的统计信息，将其与第一预设统计阈值进行比较，具体可以如下：

当各内核的统计信息为各内核收到的来自各终端设备的网络数据包的数量时，针对每个内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的网络数据包的数量与第一预设数量阈值的大小关系，当该内核的该终端设备的网络数据包的数量大于第一预设数量阈值时，将该终端设备确定为待确认攻击终端；

当各内核的统计信息为各内核收到的来自各终端设备的网络数据包的数据量时，针对每个内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的网络数据包的数据量与第一预设数据量阈值的大小关系，当该内核的该终端设备的网络数据包的数据量大于第一预设数据量阈值时，将该终端设备确定为待确认攻击终端。

进一步的，在本发明的另一实施例中，可以将上述步骤202和步骤203替换为下述方法：

针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系；

当该内核的该终端设备的统计信息大于第一预设统计阈值时，将该终端设备确定为候选待确认攻击终端；

从候选待确认攻击终端中，确定出统计信息从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端。

进一步的，针对于统计信息包括网络数据包的数量和网络数据包的数据量的情况，具体可以通过如下方法确定待确认攻击终端：

针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，分别判断该内核的该终端设备的网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的网络数据包的数据量与第一预设数据量阈值的大小关系；

当该内核的该终端设备的网络数据包的数量大于第一预设数量阈值，且该内核的该终端设备的网络数据包的数据量大于第一预设数据量阈值时，将该终端设备确定为候选待确认攻击终端；

从候选待确认攻击终端中，确定出网络数据包的数量从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端；

或者

从候选待确认攻击终端中，确定出网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端。

步骤204，针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息。

步骤203确定了待确认攻击终端后，获得的统计信息为cpu的多个内核各自针对不同待确认攻击终端的统计信息，也就是说，针对于某个待确认攻击终端而言，获得的是该待确认攻击终端分别向不同内核发送的网络数据包的统计信息，因此，本步骤中，需要对将同一待确认攻击终端向不同内核发送的网络数据包的统计信息进行整合，得到该待确认攻击终端的整合后统计信息。

步骤205，基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。

本步骤中，基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端，可以具体采用如下方法：

针对每个待确认攻击终端，判断该待确认攻击终端的整合后统计信息与第二预设统计阈值的大小关系；

当该待确认攻击终端的整合后统计信息大于第二预设统计阈值时，将该待确认攻击终端确定为攻击终端。

进一步的，基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端，还可以采用如下方法：

针对每个待确认攻击终端，判断该待确认攻击终端的整合后统计信息与第二预设统计阈值的大小关系；

当该待确认攻击终端的整合后统计信息大于第二预设统计阈值时，将该待确认攻击终端确定为候选攻击终端；

从候选攻击终端中，确定出整合后统计信息从大到小的前指定数量个候选攻击终端，作为攻击终端。

针对于整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量的情况，可以采用如下方法，从各待确认攻击终端中确定出攻击终端：

针对每个待确认攻击终端，分别判断该待确认攻击终端的整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的整合后网络数据包的数据量与第二预设数据量阈值的大小关系；

当该待确认攻击终端的整合后网络数据包的数量大于第二预设数量阈值，且该待确认攻击终端的整合后网络数据包的数据量大于第二预设数据量阈值时，将该待确认攻击终端确定为候选攻击终端；

从候选攻击终端中，确定出整合后网络数据包的数量从大到小的前指定数量个候选攻击终端，作为攻击终端；

或者

从候选待确认攻击终端中，确定出整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端，作为攻击终端。

在本发明实施例中，首先获取了中央处理器cpu的多个内核各自针对终端设备统计的统计信息；然后针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系；当该内核的该终端设备的统计信息大于第一预设统计阈值时，将该终端设备确定为待确认攻击终端；针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；最后再基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。本发明在ddos攻击检测过程中，充分利用了cpu的所有内核，资源利用率高，相应地，检测效率也会提高。

基于同一发明构思，根据本发明上述实施例提供的ddos攻击检测方法，相应地，本发明一个实施例还提供了一种ddos攻击检测装置，其结构示意图如图3所示，包括：

信息获取模块301，用于获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息，一个内核针对一个终端设备的统计信息为，该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息；

第一确认模块302，用于针对多个内核中的每个内核，基于该内核的统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；

信息整合模块303，用于针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；

第二确认模块304，用于基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。

进一步的，统计信息包括网络数据包的数量和/或网络数据包的数据量。

进一步的，第一确认模块302，具体用于针对多个内核中的每个内核，针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系；当该内核的该终端设备的统计信息大于第一预设统计阈值时，将该终端设备确定为待确认攻击终端。

进一步的，第一确认模块302，具体用于针对多个内核中的每个内核，针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，判断该内核的该终端设备的统计信息与第一预设统计阈值的大小关系；当该内核的该终端设备的统计信息大于第一预设统计阈值时，将该终端设备确定为候选待确认攻击终端；从候选待确认攻击终端中，确定出统计信息从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端。

进一步的，统计信息包括网络数据包的数量和网络数据包的数据量；

第一确认模块302，具体用于针对该内核接收到的网络数据包所来自的各终端设备的每个终端设备，分别判断该内核的该终端设备的网络数据包的数量与第一预设数量阈值的大小关系、该内核的该终端设备的网络数据包的数据量与第一预设数据量阈值的大小关系；当该内核的该终端设备的网络数据包的数量大于第一预设数量阈值，且该内核的该终端设备的网络数据包的数据量大于第一预设数据量阈值时，将该终端设备确定为候选待确认攻击终端；从候选待确认攻击终端中，确定出网络数据包的数量从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端；或者，从候选待确认攻击终端中，确定出网络数据包的数据量从大到小的前指定数量个候选待确认攻击终端，作为待确认攻击终端。

进一步的，第二确认模块304，具体用于针对每个待确认攻击终端，判断该待确认攻击终端的整合后统计信息与第二预设统计阈值的大小关系；当该待确认攻击终端的整合后统计信息大于第二预设统计阈值时，将该待确认攻击终端确定为攻击终端。

进一步的，第二确认模块304，具体用于针对每个待确认攻击终端，判断该待确认攻击终端的整合后统计信息与第二预设统计阈值的大小关系；当该待确认攻击终端的整合后统计信息大于第二预设统计阈值时，将该待确认攻击终端确定为候选攻击终端；从候选攻击终端中，确定出整合后统计信息从大到小的前指定数量个候选攻击终端，作为攻击终端。

进一步的，整合后统计信息包括整合后网络数据包的数量和整合后网络数据包的数据量；

第二确认模块304，具体用于针对每个待确认攻击终端，分别判断该待确认攻击终端的整合后网络数据包的数量与第二预设数量阈值的大小关系、该待确认攻击终端的整合后网络数据包的数据量与第二预设数据量阈值的大小关系；当该待确认攻击终端的整合后网络数据包的数量大于第二预设数量阈值，且该待确认攻击终端的整合后网络数据包的数据量大于第二预设数据量阈值时，将该待确认攻击终端确定为候选攻击终端；从候选攻击终端中，确定出整合后网络数据包的数量从大到小的前指定数量个候选攻击终端，作为攻击终端；或者，从候选待确认攻击终端中，确定出整合后网络数据包的数据量从大到小的前指定数量个候选攻击终端，作为攻击终端。

上述各模块的功能可对应于图1和图2所示流程中的相应处理步骤，在此不再赘述。

本发明实施例提供的ddos攻击检测装置中，首先由信息获取模块301获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息；然后由第一确认模块302针对多个内核中的每个内核，基于该内核的统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；再由信息整合模块303针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；最后由第二确认模块304基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。本发明在ddos攻击检测过程中，充分利用了cpu的所有内核，资源利用率高，相应地，检测效率也会提高。

基于同一发明构思，根据本发明上述实施例提供的ddos攻击检测方法，相应地，本发明实施例还提供了一种电子设备，如图4所示，包括处理器401、通信接口402、存储器403和通信总线404，其中，处理器401，通信接口402，存储器403通过通信总线404完成相互间的通信，

存储器403，用于存放计算机程序；

处理器401，用于执行存储器403上所存放的程序时，实现本发明实施例提供的上述ddos攻击检测方法。

例如，可以包括如下步骤：

获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息，一个内核针对一个终端设备的统计信息为，该内核单位时间内接收到的来自该终端设备的网络数据包的统计信息；

针对多个内核中的每个内核，基于该内核的统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；

针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；

基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。

进一步的，还可以包括本发明实施例提供的上述ddos攻击检测方法中的其他处理流程，在此不再进行详细描述。

上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，cpu)、网络处理器(networkprocessor，np)等；还可以是数字信号处理器(digitalsignalprocessing，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现场可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本发明实施例提供的ddos攻击检测电子设备中，其采用的ddos攻击检测方法为：获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息；针对多个内核中的每个内核，基于该内核的统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。本发明在ddos攻击检测过程中，充分利用了cpu的所有内核，资源利用率高，相应地，检测效率也会提高。

在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一上述的ddos攻击检测方法。

本发明实施例提供的计算机可读存储介质中，其采用的ddos攻击检测方法为：获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息；针对多个内核中的每个内核，基于该内核的统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。本发明在ddos攻击检测过程中，充分利用了cpu的所有内核，资源利用率高，相应地，检测效率也会提高。

在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一上述的ddos攻击检测方法。

本发明实施例提供的包含指令的计算机程序产品中，其采用的ddos攻击检测方法为：获取中央处理器cpu的多个内核各自针对终端设备统计的统计信息；针对多个内核中的每个内核，基于该内核的统计信息，采用第一预设检测规则，确定该内核接收到的网络数据包所来自的各终端设备中的待确认攻击终端；针对确定出的每个待确认攻击终端，整合该待确认攻击终端的统计信息，得到该待确认攻击终端的整合后统计信息；基于各待确认攻击终端的整合后统计信息，采用第二预设检测规则，从各待确认攻击终端中确定出攻击终端。本发明在ddos攻击检测过程中，充分利用了cpu的所有内核，资源利用率高，相应地，检测效率也会提高。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时，全部或部分地产生按照本发明实施例上述的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。上述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。上述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置和电子设备实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。