一种网络攻击处理方法、装置、电子设备及存储介质与流程

本发明涉及互联网技术领域，特别是涉及一种网络攻击处理方法、装置、电子设备及存储介质。

背景技术：

在云环境下，由于安全防范措施不全等原因，云主机会被入侵者入侵。入侵者可以操控被入侵的云主机向该云主机所属云系统之外的其他云主机发起dos(denialofservice，拒绝服务)攻击，dos攻击的类型可以包括syn(synchronous，同步)攻击、udp(userdatagramprotocol，用户数据报协议)攻击和icmp(internetcontrolmessageprotocol，因特网控制报文协议)攻击。上述dos攻击通常利用传输协议上的缺陷频繁向被攻击者发送请求，导致网络中存在大量无用的数据包，造成网络拥塞，进而使被攻击者无法处理正常请求，严重时会造成被攻击者的系统死机。

现有技术中，被攻击者往往采用增加带宽、流量清洗、购买第三方cdn(contentdeliverynetwork，即内容分发网络)服务等措施，来减轻被攻击的影响。然而，上述措施会增加被攻击者的运行成本。

技术实现要素：

本发明实施例的目的在于提供一种网络攻击处理方法、装置、电子设备及存储介质，以降低被攻击者的运行成本。具体技术方案如下：

第一方面，为了达到上述目的，本发明实施例公开了一种网络攻击处理方法，上述方法包括：

对待检测云主机进行监控，得到所述待检测云主机对应的通信信息；

在对应的通信信息达到第一预设条件的情况下，根据所述待检测云主机的通信数据包信息，确定所述待检测云主机是否为发起攻击的云主机，其中，所述通信数据包信息包括：通信数据包中的目标网络协议ip地址、通信数据包的类型和通信数据包对应的目标端口的类型；

在确定所述待检测云主机为发起攻击的云主机的情况下，禁止所述待检测云主机发送通信数据包。

可选的，所述通信信息包括以下至少之一：所述待检测云主机的数据传输速率、所述待检测云主机的数据包转发速率和所述待检测云主机的通信连接的数目；

所述第一预设条件包括以下至少之一：所述待检测云主机的数据传输速率达到预设的传输速率；所述待检测云主机的数据包转发率达到预设的转发速率；所述待检测云主机的通信连接的数目达到第一预设阈值。

可选的，所述根据所述待检测云主机的通信数据包信息，确定所述待检云主机是否为发起攻击的云主机，包括：

获取所述待检测云主机对应的预设数量个第一通信数据包；

判断所述预设数量个第一通信数据包中携带的目标ip地址为公网ip地址的通信数据包所占的比例，是否大于或等于第二预设阈值；

在判断结果为携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且所述预设数量个第一通信数据包还满足第二预设条件中的至少之一的情况下，确定所述待检测云主机为发起攻击的云主机；

其中，所述第二预设条件包括：所述预设数量个第一通信数据包中同步syn包所占的比例大于第三预设阈值；所述预设数量个第一通信数据包中用户数据报协议udp包所占的比例大于第四预设阈值，且所述预设数量个第一通信数据包对应的目标端口为传输控制协议tcp端口；所述预设数量个第一通信数据包中因特网控制报文协议icmp包所占的比例大于第五预设阈值，且所述icmp包中的请求数据包在第二通信数据包中所占的比例大于第六预设阈值，其中，所述第二通信数据包包括所述icmp包中的请求数据包和响应数据包。

可选的，所述方法还包括：

在确定所述待检测云主机为发起攻击的云主机的情况下，将所述预设数量个第一通信数据包发送至预设的网页服务器，以使所述网页服务器输出所述预设数量个第一通信数据包中的通信数据。

可选的，所述方法还包括：

在判断结果为携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且所述预设数量个第一通信数据包不满足所述第二预设条件中的全部条件的情况下，将所述预设数量个第一通信数据包发送至预设终端，以使所述预设终端输出所述预设数量个第一通信数据包中的通信数据。

可选的，所述方法还包括以下至少之一：

在所述预设数量个第一通信数据包中syn包所占的比例大于所述第三预设阈值的情况下，确定所述待检测云主机发起攻击的攻击类型为syn攻击；

在所述预设数量个第一通信数据包中udp包所占的比例大于所述第四预设阈值，且所述预设数量个第一通信数据包对应的目标端口为tcp端口的情况下，确定所述待检测云主机发起攻击的攻击类型为udp攻击；

在所述预设数量个第一通信数据包中icmp包所占的比例大于所述第五预设阈值，且所述icmp包中的请求数据包在所述第二通信数据包中所占的比例大于所述第六预设阈值的情况下，确定所述待检测云主机发起攻击的攻击类型为icmp攻击。

可选的，所述方法还包括：

在确定所述待检测云主机为发起攻击的云主机的情况下，将所述待检测云主机的攻击信息存储到预设数据库，其中，所述攻击信息包括以下至少之一：所述待检测云主机的标识、所述待检测云主机发起攻击的攻击类型、所述待检测云主机发起攻击的时间、所述待检测云主机对应的宿主机的标识。

第二方面，为达到上述目的，本发明实施例公开了一种网络攻击处理装置，上述装置包括：

监控模块，用于对待检测云主机进行监控，得到所述待检测云主机对应的通信信息；

确定模块，用于在对应的通信信息达到第一预设条件的情况下，根据所述待检测云主机的通信数据包信息，确定所述待检测云主机是否为发起攻击的云主机，其中，所述通信数据包信息包括：通信数据包中的目标网络协议ip地址、通信数据包的类型和通信数据包对应的目标端口的类型；

禁止模块，用于在确定所述待检测云主机为发起攻击的云主机的情况下，禁止所述待检测云主机发送通信数据包。

可选的，所述通信信息包括以下至少之一：所述待检测云主机的数据传输速率、所述待检测云主机的数据包转发速率和所述待检测云主机的通信连接的数目；

所述第一预设条件包括以下至少之一：所述待检测云主机的数据传输速率达到预设的传输速率；所述待检测云主机的数据包转发率达到预设的转发速率；所述待检测云主机的通信连接的数目达到第一预设阈值。

可选的，所述确定模块，具体用于获取所述待检测云主机对应的预设数量个第一通信数据包；

判断所述预设数量个第一通信数据包中携带的目标ip地址为公网ip地址的通信数据包所占的比例，是否大于或等于第二预设阈值；

在判断结果为携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且所述预设数量个第一通信数据包还满足第二预设条件中的至少之一的情况下，确定所述待检测云主机为发起攻击的云主机；

其中，所述第二预设条件包括：所述预设数量个第一通信数据包中同步syn包所占的比例大于第三预设阈值；所述预设数量个第一通信数据包中用户数据报协议udp包所占的比例大于第四预设阈值，且所述预设数量个第一通信数据包对应的目标端口为传输控制协议tcp端口；所述预设数量个第一通信数据包中因特网控制报文协议icmp包所占的比例大于第五预设阈值，且所述icmp包中的请求数据包在第二通信数据包中所占的比例大于第六预设阈值，其中，所述第二通信数据包包括所述icmp包中的请求数据包和响应数据包。

可选的，所述装置还包括：

第一发送模块，用于在确定所述待检测云主机为发起攻击的云主机的情况下，将所述预设数量个第一通信数据包发送至预设的网页服务器，以使所述网页服务器输出所述预设数量个第一通信数据包中的通信数据。

可选的，所述装置还包括：

第二发送模块，用于在判断结果为携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且所述预设数量个第一通信数据包不满足所述第二预设条件中的全部条件的情况下，将所述预设数量个第一通信数据包发送至预设终端，以使所述预设终端输出所述预设数量个第一通信数据包中的通信数据。

可选的，所述装置还包括：

攻击类型确定模块，用于以下至少之一：

在所述预设数量个第一通信数据包中syn包所占的比例大于所述第三预设阈值的情况下，确定所述待检测云主机发起攻击的攻击类型为syn攻击；

在所述预设数量个第一通信数据包中udp包所占的比例大于所述第四预设阈值，且所述预设数量个第一通信数据包对应的目标端口为tcp端口的情况下，确定所述待检测云主机发起攻击的攻击类型为udp攻击；

在所述预设数量个第一通信数据包中icmp包所占的比例大于所述第五预设阈值，且所述icmp包中的请求数据包在所述第二通信数据包中所占的比例大于所述第六预设阈值的情况下，确定所述待检测云主机发起攻击的攻击类型为icmp攻击。

可选的，所述装置还包括：

存储模块，用于在确定所述待检测云主机为发起攻击的云主机的情况下，将所述待检测云主机的攻击信息存储到预设数据库，其中，所述攻击信息包括以下至少之一：所述待检测云主机的标识、所述待检测云主机发起攻击的攻击类型、所述待检测云主机发起攻击的时间、所述待检测云主机对应的宿主机的标识。

在本发明实施的另一方面，为了达到上述目的，本发明实施例还公开了一种电子设备，上述电子设备包括处理器和存储器；

上述存储器，用于存放计算机程序；

上述处理器，用于执行上述存储器上所存放的程序时，实现如上述第一方面所述的网络攻击处理方法。

在本发明实施的又一方面，还提供了一种计算机可读存储介质，上述计算机可读存储介质中存储有指令，当其在计算机上运行时，实现如上述第一方面所述的网络攻击处理方法。

在本发明实施的又一方面，本发明实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面所述的网络攻击处理方法。

本发明实施例提供的一种网络攻击处理方法、装置、电子设备及存储介质，可以对待检测云主机进行监控，得到待检测云主机对应的通信信息，在对应的通信信息达到第一预设条件的情况下，根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机，在确定待检测云主机为发起攻击的云主机的情况下，禁止待检测云主机发送通信数据包。基于上述处理，可以确定出发起攻击的云主机，并终止该云主机的攻击行为，从而降低被攻击者的运行成本。

当然，实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种网络攻击处理方法的流程图；

图2为本发明实施例提供的一种确定待检测云主机是否发起攻击方法的流程图；

图3为本发明实施例提供的云主机攻击数据的示例；

图4为本发明实施例提供的一种网络攻击处理方法的应用场景图；

图5为本发明实施例提供的一种网络攻击处理装置的结构图；

图6为本发明实施例提供的一种电子设备的结构图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明申请提供了一种网络攻击处理方法、装置、电子设备及计算机可读存储介质，可以应用于云系统中的电子设备，该电子设备可以是终端，也可以是服务器。云系统中还可以包括云主机，针对当前待检测的云主机(即待检测云主机)，电子设备可以对待检测云主机进行监控，获取待检测云主机对应的通信信息。当待检测云主机对应的通信信息达到第一预设条件时，电子设备可以根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机。如果是，电子设备可以禁止待检测云主机发送通信数据包。基于上述处理，电子设备可以基于待检测源主机的通信数据包来确定出发起攻击的云主机，并终止该云主机的攻击行为，能够降低被攻击者的运行成本。

下面以具体实施例对本发明进行详细介绍。

参见图1，图1为本发明实施例提供的一种网络攻击处理方法的流程图，可以包括以下步骤：

s101：对待检测云主机进行监控，得到待检测云主机对应的通信信息。

在实施中，针对云系统中的任一云主机(即待检测云主机)，电子设备可以对待检测云主机进行监控，得到待检测云主机对应的通信信息。

待检测云主机在某一时刻可能会有大量的通信连接，以为不同的用户提供服务。通过每一通信连接，待检测云主机都可以与其他主机进行数据通信，包括发送通信数据包和接收通信数据包。本步骤中，电子设备可以监控待检测云主机的网口，以获取待检测云主机对应的通信信息。通信信息可以包括以下至少之一：待检测云主机的数据传输速率、待检测云主机的数据包转发速率和待检测云主机的通信连接的数目。

s102：在对应的通信信息达到第一预设条件的情况下，根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机。

其中，通信数据包信息可以包括：通信数据包中的目标ip(internetprotocol，网际协议)地址、通信数据包的类型和通信数据包对应的目标端口的类型。

待检测云主机发送和接收的通信数据包中包含有发送端的ip地址和接收端的ip地址，接收端的ip地址可以称为目标ip地址。示例性的，待检测云主机a与主机b进行数据通信，待检测云主机a接收的通信数据包中的包含的待检测云主机a的ip地址称为目标ip地址，待检测云主机a发送的通信数据包中包含的主机b的ip地址称为目标ip地址。

通信数据包的类型可以由待检测云主机的通信类型确定。例如，通信数据包的类型可以包括，但并不限于此：syn(synchronous，同步)包、udp(userdatagramprotocol，用户数据报协议)包和icmp(internetcontrolmessageprotocol，因特网控制报文协议)包。待检测云主机的每一通信连接都可以对应其他主机的一个端口(即目标端口)，待检测云主机与该目标端口之间可以通过该通信连接进行通信数据包的传输。目标端口的类型可以包括，但不限于：tcp(transmissioncontrolprotocol，传输控制协议)端口和udp端口。

在实施中，当待检测云主机向其他主机发起攻击时，待检测云主机与目标端口之间传输的通信数据包会发生异常。例如，待检测云主机可以发起syn类型的攻击，即，待检测云主机可以利用tcp协议缺陷，在短时间内向其他主机发送大量syn包。在向某一被攻击的主机发送syn包之后，待检测云主机不再与该被攻击的主机进行通信，导致该被攻击的主机的发送大量syn包。又如，待检测云主机也可以发起udp类型的攻击，即，待检测云主机可以发送大量伪造源ip地址的udp包，导致针对同一目标ip地址的udp包大量出现，并且udp包的内容和大小都比较固定。又如，待检测云主机还可以发起icmp类型的攻击，即，待检测云主机可以利用被攻击主机的系统漏洞，向被攻击主机发送大量无用的icmprequest(请求)数据包，会导致被攻击主机的系统崩溃或重启。

在实施中，当电子设备检测到待检测云主机的通信信息达到第一预设条件时，电子设备可以根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机。

本步骤中，电子设备可以根据通信数据包信息，确定待检测云主机接收和发送通信数据包是否异常，进而确定待检测云主机是否为发起攻击的云主机，具体的确定方法将在后续实施例详细介绍。

可选的，通信信息可以包括以下至少之一：待检测云主机的数据传输速率、待检测云主机的数据包转发速率和待检测云主机的通信连接的数目。

相应的，第一预设条件包括以下至少之一：待检测云主机的数据传输速率达到预设的传输速率；待检测云主机的数据包转发率达到预设的转发速率；待检测云主机的通信连接的数目达到第一预设阈值。

其中，预设的传输速率、预设的转发速率和第一预设阈值可以由技术人员根据经验进行设置。数据传输速率可以用bps(bitspersecond，比特率)表示，数据包转发率可以用pps(packetspersecond，每秒转发的数据包)表示。

在实施中，如果在某一时刻待检测云主机的bps达到预设的传输速率，或者，该待检测云主机的pps达到预设的转发速率，或者，该待检测云主机的通信连接的数目达到第一预设阈值，电子设备都可以根据该待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机。

s103：在确定待检测云主机为发起攻击的云主机的情况下，禁止待检测云主机发送通信数据包。

在实施中，当电子设备根据待检测云主机的通信数据包信息，确定待检测云主机是发起攻击的云主机时，电子设备可以禁止待检测云主机发送通信数据包。

本步骤中，电子设备可以关闭待检测云主机，或者，电子设备也可以只禁止待检测云主机向公网ip地址发送通信数据包，以实现对待检测云主机发起攻击的防御。

由以上可见，基于本发明实施例的网络攻击处理办法，电子设备可以确定出发起攻击的云主机，并终止该云主机的攻击行为，能够降低被攻击者的运行成本。

可选的，s102可以包括以下步骤：

s1021：获取待检测云主机对应的预设数量个第一通信数据包。

其中，预设数量可以由技术人员根据经验进行设置，例如，预设数量可以为1000、2000，但并不限于此。

在实施中，电子设备可以获取待检测云主机对应的预设数量个通信数据包(即第一通信数据包)。待检测云主机对应的预设数量个通信数据包，包括待检测云主机发送的通信数据包和接收的通信数据包。

本步骤中，电子设备可以通过tcpdump(丢弃)指令，获取待检测云主机的预设数量个第一通信数据包，以便进行后续处理。

s1022：判断预设数量个第一通信数据包中携带的目标ip地址为公网ip地址的通信数据包所占的比例，是否大于或等于第二预设阈值。

其中，第二预设阈值可以由技术人员根据经验进行设置，公网ip地址可以包括连接到互联网的每一设备获取到的ip地址。

在实施中，在获取待检测云主机对应的预设数量个第一通信数据包后，电子设备可以解析上述预设数量个第一通信数据包，获取上述预设数量个第一通信数据包中的目标ip地址，然后，电子设备可以统计目标ip地址为公网ip地址的通信数据包的数量，进而计算携带的目标ip地址为公网ip地址的通信数据包所占的比例(可以称为第一比例)，然后，电子设备可以判断第一比例是否大于第二预设阈值。

s1023：在判断结果为携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且预设数量个第一通信数据包还满足第二预设条件中的至少之一的情况下，确定待检测云主机为发起攻击的云主机。

其中，第二预设条件可以包括：预设数量个第一通信数据包中syn包所占的比例大于第三预设阈值；预设数量个第一通信数据包中udp包所占的比例大于第四预设阈值，且预设数量个第一通信数据包对应的目标端口为tcp端口；预设数量个第一通信数据包中icmp包所占的比例大于第五预设阈值，且icmp包中的请求数据包在第二通信数据包中所占的比例大于第六预设阈值，第二通信数据包包括icmp包中的请求数据包和响应数据包。

第三预设阈值、第四预设阈值、第五预设阈值和第六预设阈值可以由技术人员根据经验进行设置。示例性的，第三预设阈值可以为90％，第四预设阈值可以为90％，第五预设阈值可以为95％，第六预设阈值可以为95％。

在实施中，电子设备可以解析上述预设数量个第一通信数据包，并统计预设数量个第一通信数据包中syn包的数量，计算syn包在预设数量个第一通信数据包中所占的比例(可以称为第二比例)。如果第二比例大于或等于第三预设阈值，电子设备则可以确定待检测云主机为发起攻击的云主机。此时，电子设备还可以确定待检测云主机发起的攻击类型为syn攻击。

另外，电子设备还可以统计上述预设数量个第一通信数据包中udp包的数量，计算udp包在预设数量个第一通信数据包中所占的比例(可以称为第三比例)。如果第三比例大于或等于第四预设阈值，且预设数量个第一通信数据包对应的目标端口为tcp端口，tcp端口可以为端口号为22、80或者3306的端口。电子设备可以确定待检测云主机为发起攻击的云主机。此时，电子设备还可以确定待检测云主机发起的攻击类型为udp攻击。

另外，电子设备还可以统计上述预设数量个第一通信数据包中icmp包的数量，计算icmp包在预设数量个第一通信数据包中所占的比例(可以称为第四比例)。然后，电子设备可以解析icmp包，统计icmp包中的请求数据包和响应数据包的数量，计算请求数据包在请求数据包和响应数据包中所占的比例(可以称为第五比例)。如果第四比例大于或等于第五预设阈值，且第五比例大于或等于第六预设阈值，电子设备可以确定待检测云主机为发起攻击的云主机。此时，电子设备还可以确定待检测云主机发起的攻击类型为icmp攻击。

需要说明的是，本发明对上述确定步骤并不进行限制，在具体操作中，可以按照任意的执行顺序进行判断。由以上可见，基于本发明实施例的网络攻击处理方法，电子设备根据待检测云主机的通信数据包，不仅可以确定待检测云主机是否发起攻击，还可以确定攻击的攻击类型。

可选的，上述方法还可以包括以下步骤：

在确定待检测云主机为发起攻击的云主机的情况下，将预设数量个第一通信数据包发送至预设的网页服务器，以使网页服务器输出预设数量个第一通信数据包中的通信数据。

其中，预设的网页服务器可以是nginx服务器、apache(阿帕奇)服务器或者其他服务器。

在实施中，当电子设备判定待检测云主机是发起攻击的云主机时，电子设备可以将待检测云主机的攻击数据，发送至网页服务器，攻击数据可以包括第一通信数据包中的通信数据。云系统的管理员可以通过网页访问上述网页服务器，浏览待检测云主机的攻击数据。

参见图3，图3为本发明实施例提供的云主机攻击数据的示例。

图3中，每一行表示待检测云主机发送的一个通信数据包中的通信数据。示例性的，针对“11:28:11.454774ip10.0.0.3.8994>211.149.193.5.80:udp，length5”，11:28:11.454774表示待检测云主机发送该通信数据包的时间，10.0.0.3表示源ip地址，也即待检测云主机的ip地址，8994表示源端口，也即待检测云主机发送该通信数据包的端口，211.149.193.5表示目标ip地址，也即被攻击的主机的ip地址，80表示被攻击的主机的端口，udp表示该通信数据包为udp包，length5表示该通信数据包的长度为5字节。

由以上可见，基于本发明实施例的网络攻击处理方法，电子设备可以将待检测云主机的攻击数据，发送至预设的网页服务器，用户则可以通过网页进行浏览，提高用户体验。

可选的，上述方法还可以包括以下步骤：

在判断结果为携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且预设数量个第一通信数据包不满足上述第二预设条件中的全部条件的情况下，将预设数量个第一通信数据包发送至预设终端，以使预设终端输出预设数量个第一通信数据包中的通信数据。

其中，预设终端可以是技术人员使用的终端。

在实施中，当电子设备判定预设数量个第一通信数据包中携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且预设数量个第一通信数据包不满足第二预设条件中的全部条件时，电子设备可以将预设数量个第一通信数据包发送至技术人员使用的终端。技术人员则可以根据预设数量个第一通信数据包中的通信数据，进一步判断待检测云主机是否发起攻击。

由以上可见，基于本发明实施例的网络攻击处理方法，如果基于根据通信数据包信息，电子设备并未判定待检测云主机发起攻击，则电子设备可以将预设数量个第一通信数据包发送至预设终端，以使技术人员可以进一步判断待检测云主机是否发起攻击，提高识别攻击的识别范围。

可选的，上述方法还可以包括以下步骤：

在确定待检测云主机为发起攻击的云主机的情况下，将待检测云主机的攻击信息存储到预设数据库。

其中，攻击信息可以包括以下至少之一：待检测云主机的标识、待检测云主机发起攻击的攻击类型、待检测云主机发起攻击的时间、待检测云主机对应的宿主机的标识。预设数据库可以是mysql数据库，也可以是nosql数据库。

在实施中，当电子设备判定待检测云主机为发起攻击的云主机时，电子设备可以获取待检测云主机的标识、待检测云主机发起攻击的攻击类型的标识、待检测云主机发起攻击的时间和待检测云主机对应的宿主机的标识，并将获取的信息存储在预设数据库中，以保留攻击证据，方便技术人员进行查询、分析。

本步骤中，电子设备可以通过调用系统api(applicationprogramminginterface，应用程序编程接口)，获取待检测云主机对应的宿主机的标识。

参见图4，图4为本发明实施例提供的一种网络攻击处理方法的应用场景图。

其中，宿主机401、宿主机402和宿主机403负责监控待检测云主机的通信信息。在确定出发起攻击的待检测云主机后，可以将待检测云主机的攻击数据发送至中控机404，还可以将待检测云主机的标识、待检测云主机的攻击类型、待检测云主机发起攻击的时间和待检测云主机对应的宿主机的标识存储到数据库405；中控机404可以接收宿主机401、宿主机402和宿主机403发送的攻击数据，并发送至nginx服务器406，还可以将待检测云主机的攻击数据和待检测云主机的信息以短信或邮件的方式通知云系统的管理员407和用户408；nginx服务器406负责展示待检测云主机的攻击数据，以供云系统的管理员407访问浏览。

与上述方法实施例相对应，参见图5，图5为本发明实施例提供的一种网络攻击处理装置的结构图，包括：

监控模块501，用于对待检测云主机进行监控，得到待检测云主机对应的通信信息；

确定模块502，用于在对应的通信信息达到第一预设条件的情况下，根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机，其中，通信数据包信息包括：通信数据包中的目标网络协议ip地址、通信数据包的类型和通信数据包对应的目标端口的类型；

禁止模块503，用于在确定待检测云主机为发起攻击的云主机的情况下，禁止待检测云主机发送通信数据包。

可选的，通信信息包括以下至少之一：待检测云主机的数据传输速率、待检测云主机的数据包转发速率和待检测云主机的通信连接的数目；

第一预设条件包括以下至少之一：待检测云主机的数据传输速率达到预设的传输速率；待检测云主机的数据包转发率达到预设的转发速率；待检测云主机的通信连接的数目达到第一预设阈值。

可选的，确定模块502，具体用于获取待检测云主机对应的预设数量个第一通信数据包；判断预设数量个第一通信数据包中携带的目标ip地址为公网ip地址的通信数据包所占的比例，是否大于或等于第二预设阈值；在判断结果为携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且预设数量个第一通信数据包还满足第二预设条件中的至少之一的情况下，确定待检测云主机为发起攻击的云主机；

其中，第二预设条件包括：预设数量个第一通信数据包中同步syn包所占的比例大于第三预设阈值；预设数量个第一通信数据包中用户数据报协议udp包所占的比例大于第四预设阈值，且预设数量个第一通信数据包对应的目标端口为传输控制协议tcp端口；预设数量个第一通信数据包中因特网控制报文协议icmp包所占的比例大于第五预设阈值，且icmp包中的请求数据包在第二通信数据包中所占的比例大于第六预设阈值，其中，第二通信数据包包括icmp包中的请求数据包和响应数据包。

可选的，装置还包括：

第一发送模块，用于在确定待检测云主机为发起攻击的云主机的情况下，将预设数量个第一通信数据包发送至预设的网页服务器，以使网页服务器输出预设数量个第一通信数据包中的通信数据。

可选的，装置还包括：

第二发送模块，用于在判断结果为携带的目标ip地址为公网ip地址的通信数据包所占的比例大于或等于第二预设阈值，且预设数量个第一通信数据包不满足第二预设条件中的全部条件的情况下，将预设数量个第一通信数据包发送至预设终端，以使预设终端输出预设数量个第一通信数据包中的通信数据。

可选的，装置还包括：

攻击类型确定模块，用于以下至少之一：

在预设数量个第一通信数据包中syn包所占的比例大于第三预设阈值的情况下，确定待检测云主机发起攻击的攻击类型为syn攻击；

在预设数量个第一通信数据包中udp包所占的比例大于第四预设阈值，且预设数量个第一通信数据包对应的目标端口为tcp端口的情况下，确定待检测云主机发起攻击的攻击类型为udp攻击；

在预设数量个第一通信数据包中icmp包所占的比例大于第五预设阈值，且icmp包中的请求数据包在第二通信数据包中所占的比例大于第六预设阈值的情况下，确定待检测云主机发起攻击的攻击类型为icmp攻击。

可选的，装置还包括：

存储模块，用于在确定待检测云主机为发起攻击的云主机的情况下，将待检测云主机的攻击信息存储到预设数据库，其中，攻击信息包括以下至少之一：待检测云主机的标识、待检测云主机发起攻击的攻击类型、待检测云主机发起攻击的时间、待检测云主机对应的宿主机的标识。

由以上可见，基于本发明实施例的网络攻击处理装置，可以基于待检测源主机的通信数据包来确定出发起攻击的云主机，并终止该云主机的攻击行为，能够降低被攻击者的运行成本。

本发明实施例还提供了一种电子设备，如图6所示，包括存储器601和处理器602，其中，

存储器601，用于存放计算机程序；

处理器602，用于执行存储器601上所存放的程序时，实现上述网络攻击处理方法的步骤，在本发明的一个实施例中，可以实现如下步骤：

对待检测云主机进行监控，得到待检测云主机对应的通信信息；

在对应的通信信息达到第一预设条件的情况下，根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机，其中，通信数据包信息包括：通信数据包中的目标网络协议ip地址、通信数据包的类型和通信数据包对应的目标端口的类型；

在确定待检测云主机为发起攻击的云主机的情况下，禁止待检测云主机发送通信数据包。

关于该方法各个步骤的具体实现以及相关解释内容可以参见前述方法实施例部分，在此不做赘述。

上述电子设备可以具备有实现上述电子设备与其他设备之间通信的通信接口。

上述的处理器602，通信接口，存储器601通过通信总线完成相互间的通信，此处所提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。

存储器601可以包括随机存取存储器(randomaccessmemory，ram)，也可以包括非易失性存储器(non-volatilememory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器602可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现场可编程门阵列(field－programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本发明实施例提供的电子设备，在进行网络攻击处理时，可以基于待检测源主机的通信数据包来确定出发起攻击的云主机，并终止该云主机的攻击行为，能够降低被攻击者的运行成本。

本发明实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行本发明实施例提供的网络攻击处理方法。

在本发明的一个实施例中，上述网络攻击处理方法，可以包括：

对待检测云主机进行监控，得到待检测云主机对应的通信信息；

在对应的通信信息达到第一预设条件的情况下，根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机，其中，通信数据包信息包括：通信数据包中的目标网络协议ip地址、通信数据包的类型和通信数据包对应的目标端口的类型；

在确定待检测云主机为发起攻击的云主机的情况下，禁止待检测云主机发送通信数据包。

需要说明的是，上述网络攻击处理方法的其他实现方式与前述方法实施例部分相同，这里不再赘述。

通过运行本发明实施例提供的计算机可读存储介质中存储的指令，在进行网络攻击处理时，可以基于待检测源主机的通信数据包来确定出发起攻击的云主机，并终止该云主机的攻击行为，能够降低被攻击者的运行成本。

本发明实施例还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行本发明实施例提供的网络攻击处理方法。

在本发明的一个实施例中，上述网络攻击处理方法，可以包括：

对待检测云主机进行监控，得到待检测云主机对应的通信信息；

在对应的通信信息达到第一预设条件的情况下，根据待检测云主机的通信数据包信息，确定待检测云主机是否为发起攻击的云主机，其中，通信数据包信息包括：通信数据包中的目标网络协议ip地址、通信数据包的类型和通信数据包对应的目标端口的类型；

在确定待检测云主机为发起攻击的云主机的情况下，禁止待检测云主机发送通信数据包。

需要说明的是，上述网络攻击处理方法的其他实现方式与前述方法实施例部分相同，这里不再赘述。

通过运行本发明实施例提供的计算机程序产品，在进行网络攻击处理时，可以基于待检测源主机的通信数据包来确定出发起攻击的云主机，并终止目该云主机的攻击行为，能够降低被攻击者的运行成本。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。上述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。上述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。上述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，上述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。上述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。上述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置、电子设备、计算机可读存储介质、计算机程序产品实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。