一种安全防御方法及相关装置与流程

本发明涉及网络安全领域，尤其涉及一种安全防御方法、装置、设备及计算机可读存储介质。

背景技术：

随着计算机网络的发展，云服务的应用越来越多，用户可以通过付费等方式获取厂商服务器的计算资源，从而无需自己购买服务器。

vps(virtualprivateserver虚拟专用服务器)技术，是将一台服务器分割成多个虚拟专享服务器的优质服务。实现vps的技术分为容器技术，和虚拟化技术。在容器或虚拟机中，每个vps都可分配独立公网ip地址、独立操作系统、实现不同vps间磁盘空间、内存、cpu资源、进程和系统配置的隔离，为用户和应用程序模拟出“独占”使用计算资源的体验。vps可以像独立服务器一样，重装操作系统，安装程序，单独重启服务器。

当前vps厂商会租售设备给不同类型的用户，在这些用户中可能会有不法分子进行网络攻击，因此如何防范vps设备的网络攻击，是本领域技术人员需要解决的问题。

技术实现要素：

本发明的主要目的在于提供一种安全防御方法、装置、设备及计算机可读存储介质，旨在解决如何防范vps设备的网络攻击的技术问题。

为实现上述目的，本发明提供的一种安全防御方法，所述方法包括：

确定网络节点组；

确定所述网络节点组中所有网络节点的目标进程的数据传输信息总量；

判断所述数据传输信息总量是否超过对应的标准；

若是，则确定所述目标进程为被用于发起网络攻击的危险进程。

可选地，所述确定网络节点组，包括：

将对应同一用户注册信息的所有网络节点确定为网络节点组。

可选地，所述确定网络节点组，包括：

将请求部署同一待验证程序的网络节点确定为网络节点组；其中，所述待验证程序为预设白名单中不存在的程序。

可选地，所述数据传输信息总量，包括：

所有所述目标进程的流量总量信息和/或所有所述目标进程与同一ip地址建立连接数的总数和/或所有所述目标进程对同一ip地址发送的非正常数据总数。

可选地，所述确定网络节点组之前，还包括：

确定所有被访问节点的被访问热度信息从高到低的排名；

确定排名在前预设个数的被访问节点作为可疑被攻击节点；

则所述确定网络节点组，包括：

在访问所述可疑被攻击节点的所有网络节点中确定网络节点组。

可选地，所述被访问热度信息，包括：

被访问频次和/或数据总流量和/或单位时间内异常数据上升量和/或接收伪造数据包量。

可选地，所述确定所述目标进程为被用于发起网络攻击的危险进程后，还包括：

将危险进程的信息更新至预设配置文件，以使网络节点获取预设配置文件后，确定并关闭危险进程。

为实现上述目的，本发明提供的一种安全防御装置，所述装置包括存储器和处理器，所述存储器上存储有可在所述处理器上运行的安全防御程序，所述安全防御程序被所述处理器执行时实现如所述的方法。

为实现上述目的，本发明提供的一种安全防御系统，所述系统包括：

第一确定模块，用于确定网络节点组；

第二确定模块，用于确定所述网络节点组中所有网络节点中目标进程的数据传输信息总量；

判断模块，用于判断所述数据传输信息总量是否超过对应的标准；

第三确定模块，用于当所述数据传输信息总量超过对应的标准时，确定所述目标进程为被用于发起网络攻击的危险进程。

为实现上述目的，本发明提供的一种计算机可读存储介质，所述计算机可读存储介质上存储有安全防御程序，所述安全防御程序可被一个或者多个处理器执行，以实现如所述的安全防御方法。

为实现上述目的，本发明提供的一种计算机程序产品，包括计算机指令，当其在计算机上运行时，使得计算机可以执行所述的安全防御方法。

可见，本发明首先确定网络节点组，以组为单位确定组内所有网络节点的目标进程的数据传输信息总量，当数据传输信息总量超出了对应的标准，则认为目标进程为用于发起网络攻击的危险进程。因此，即便用户利用多台设备共同发起攻击，且通过对应单个设备的标准不能检测到发起攻击的进程时，也可以通过多台设备的数据传输总量确定出被用于发起网络攻击的危险进程，从而可以避免租用vps设备的用户利用多台vps设备，发起网络攻击，给vps厂商带来危害。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例的流程示意图；

图2为本发明另一实施例的流程示意图；

图3为本发明另一实施例的流程示意图；

图4为本发明一实施例揭露的安全防御装置的内部结构示意图；

图5为本发明一实施例揭露的安全防御系统的结构示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，在本发明中涉及“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。

本发明提供一种安全防御方法。

参照图1，图1为本发明一实施例的流程示意图。

在一实施例中，该方法包括：

s101，确定网络节点组。

需要说明的是，vps厂商向用户提供vps设备，用户可能利用vps设备发起网络攻击。一些黑客用户为了避免单个设备的数据传输信息超出厂商设定的阈值，从而被限制不能发起网络攻击，黑客用户会购买多台设备，利用多台设备共同发起攻击，这样单个设备的数据传输信息均在厂商设定的阈值范围内，不会受限，而对被攻击方需要处理的数据总量确已达到了被攻击的效果，从而依然实现了网络攻击。

为了避免这种多台机器联合发起攻击的情况，在本方案中首先需要确定网络节点组。即将多台网络节点设备划分成一组，从而以组为单位对网络攻击进行检测与防御。

s102，确定所述网络节点组中所有网络节点的目标进程的数据传输信息总量。

在本方案中，定时或者实时的获取每个网络节点的每个进程的数据传输信息，当然，一些完全不可能用于发起攻击的进程可以不进行数据传输信息获取的操作。

以网络节点组为单位，确定组内所有的网络节点中目标进程的数据传输信息的总量。需要说明的是，目标数据传输信息是用于检测目标网络节点是否为攻击发起方的信息，目标数据传输信息的具体内容可以根据需要检测的攻击种类进行确定，在本方案中不做具体的限定。

在一个具体地实施方式中，需要检测的攻击种类为ddos(distributeddenialofservice，分布式拒绝服务)攻击，所述数据传输信息总量具体可以包括：

所有所述目标进程的流量总量信息和/或所有所述目标进程与同一ip地址建立连接数的总数和/或所有所述目标进程对同一ip地址发送的非正常数据总数。

其中，目标进程的流量具体包括上行流量与下行流量，上行流量就是本机向网络发送的字节数，下行流量就是从网络中下载的字节数，对应流量信息的检测标准可以是具体的数值，当组内所有设备的目标进程的流量总数超出该数值，证明流量总量信息有问题，进一步说明该进程为危险进程。

在ddos攻击中，有一种方式是与要攻击的节点建立大量的连接，从而使被攻击节点的连接数达到上限，使其他节点不能与该节点再建立连接，导致被攻击节点瘫痪，因此在攻击类型为ddos攻击时，目标数据传输信息总量还可以包括组内所有目标进程与同一个ip建立的连接数，如果该连接数超出一个范围，则认为该进程为危险进程。

此外，ddos攻击中也可以对同一节点发送大量非正常的数据，导致该节点不能正常对该数据进行解析，最终导致该节点的瘫痪。例如，对应http协议的数据，通常包括head(头)部分的数据、body(身体)部分的数据，如果攻击方发送的数据只包括head部分的数据，那被攻击方则无法正常的解析到body部分的数据，然后就会一直尝试的获取解析body部分的数据，当这种数据非常多时，最终被攻击方用来获取解析body数据的资源会一直被占用，最终实现占用被攻击方大量资源的效果，导致被攻击方瘫痪。因此在攻击类型为ddos攻击时，目标数据传输信息总量还可以是组内所有目标进程对同一ip地址发送的非正常数据总数。

s103，判断所述数据传输信息总量是否超过对应的标准。

具体地，在确定了网络节点组内所有网络节点中目标进程的数据传输信息总量后，判断总量是否超过了对应的标准。

需要说明的是，目标传输信息可以包括多种信息，如上述的流量信息、与同一ip地址建立连接的总数等，每一种信息均对应一个标准。在具体实施过程中，可以限定具体几种信息均超过对应的标准时，才认定对应的目标进程为危险进程；也可以设定一项信息超出对应的标准，就认为该目标传输信息总量对应的进程有危险。具体设定规则可以根据实际业务情况进行确定，在本方案中不做具体限定。

此外，目标数据传输信息对应的标准可以根据不同攻击种类以及不同环境进行相对的设置，在本方案中，不做具体限定。

s104，若是，则确定所述目标进程为被用于发起网络攻击的危险进程。

如果数据传输信息总量超过了对应的标准，则认为目标进程为用于发起网络攻击的危险进程。

s105，若否，则确定所述目标进程为安全进程。

如果数据传输信息没有超过对应的标准，则认为目标进程为安全进程。

由此可见，本申请实施例提供的一种安全防御方法，首先确定网络节点组，以组为单位确定组内所有网络节点的目标进程的数据传输信息总量，当数据传输信息总量超出了对应的标准，则认为目标进程为用于发起网络攻击的危险进程。因此，即便用户利用多台设备共同发起攻击，且通过对应单个设备的标准不能检测到发起攻击的进程时，也可以通过多台设备的数据传输总量确定出被用于发起网络攻击的危险进程，从而可以避免租用vps设备的用户利用多台vps设备，发起网络攻击，给vps厂商带来危害。

在前述实施例的基础上，本实施例对技术方案进行进一步的说明和优化。具体如下：

前述实施例步骤s101中，确定网络节点组，具体可以包括：

将对应同一用户注册信息的所有网络节点确定为网络节点组。

具体地，用户在使用vps设备前，需要先注册用户信息，通过用户注册信息来购买vps设备，vps设备投入使用后作为网络节点。一个黑客用户可能购买多台设备进行网络攻击，而这多台设备均是使用一个用户信息购买的，因此，可以将同一用户注册信息对应的所有网络节点确定为网络节点组。

前述实施例步骤s101中，确定网络节点组，还可以包括：

将请求部署同一待验证程序的网络节点确定为网络节点组；其中，所述待验证程序为预设白名单中不存在的程序。

需要说明的是，也可能会出现多个用户注册信息并购买设备，但是这些设备被用来发起攻击，也就是说，虽然这些设备对应的用户注册信息不是同一个，但是也应该分为一组。

用户在购买设备后，会请求部署程序，黑客用户即会部署用于发起网络攻击的程序。对于设备中部署的设备，预先会设定一个白名单，白名单中的设备为不能被用于发起网络攻击的设备，由用户任意部署。如果是白名单外的设备，用户需要先将设备信息发送至服务器，由服务器进行验证，验证通过后才可以部署。

而多个用户使用多台信息发起网络攻击时，通常会使用相同的进程进行，因此，在本方案中，将请求部署同一待验证进程的设备，划分为同一网络节点组。

需要说明的是，虽然在部署这些程序前已有验证过程，但是一些程序正常使用时即安全的程序，但是其也可以被非法利用发起网络攻击，因此还是需要通过以组为单位，利用数据传输信息总量与对应的标准做进一步的检测。

参照图2，图2为另一实施例的流程示意图，该实施例中的方法包括：

s201，确定所有被访问节点的被访问热度信息从高到低的排名。

为了更准确地定位发起攻击的设备节点，本方案从被访问节点的信息逆向确定攻击节点。

具体地，首先确定被访问节点的被访问热度信息，并对所有节点的热度信息从高到低进行排名。被访问热度信息也可以为确定其是否被攻击的相关数据，如果这种数据有多种，就针对每一种数据确定一个排名。

在一个具体的实施方式中，被检验的攻击方式是ddos攻击，有关ddos攻击的具体内容已在上述实施例中进行介绍，此处将不再进行赘述。此时，所述被访问热度信息，包括：

被访问频次和/或数据总流量和/或单位时间内异常数据上升量和/或接收伪造数据包量。

具体地，可以反映节点是否被进行ddos攻击的具体参数，可以为其被访问频次，如果被访问频次十分高，就会导致资源被大量占用，最终瘫痪，则可以认为该节点被攻击了。

具体参数还可以是被访问节点的数据总流量，数据总流量既包括被访问节点接收到的数据流量，也包括根据访问端请求返回的数据流量，如果数据总流量十分大，也认为该节点被攻击了。单位时间内异常数据上升量、接收的伪造数据包量如果过大也能够反映对应的节点遭受了网络攻击。需要说明的是，上述参数可以选择一个作为被访问热度信息，也可以选择多个或全部作为被访问热度信息。通过从高到低排名的方式，可以非常直观的确定那个被访问节点遭受了网络攻击。

s202，确定排名在前预设个数的被访问节点作为可疑被攻击节点。

具体地，将排名靠前的预设个数的被访问节点作为可以被攻击节点。

s203，在访问所述可疑被攻击节点的所有网络节点中确定网络节点组。

在本方案中即可在于可疑被攻击节点交互的所有节点中确定网络节点组。网络节点组的确定方法已在上述实施例做出介绍，此处不再进行赘述。

s204，确定所述网络节点组中所有网络节点的目标进程的数据传输信息总量。

s205，判断所述数据传输信息总量是否超过对应的标准。

s206，若是，则确定所述目标进程为被用于发起网络攻击的危险进程。

s207，若否，则确定所述目标进程为安全进程。

由此可见，在本实施例中利用被访问节点的被访问热度信息的排名即可确定出可能遭受攻击的被访问节点，并在访问这些可疑被攻击节点的网络节点中确定网络节点组，使网络节点组的范围更小，既可以更加方便的确定出网络节点组，也可以更加精确的确定危险进程。

参照图3，图3为另一实施例的流程示意图，该实施例中的方法包括：

s301，确定网络节点组。

s302，确定所述网络节点组中所有网络节点的目标进程的数据传输信息总量。

s303，判断所述数据传输信息总量是否超过对应的标准。

s304，若是，则确定所述目标进程为被用于发起网络攻击的危险进程。

s305，若否，则确定所述目标进程为安全进程。

s306，将危险进程的信息更新至预设配置文件，以使网络节点获取预设配置文件后，确定并关闭危险进程。

进一步地，由于在进行攻击时，可能还会有未被分为同一组的网络节点被不法分子使用，使网络节点运行危险进程。为了更及时避免攻击的发生，在本方案中，发现了一种危险进程后，就将该危险进程的更新到服务器的预设配置文件中，网络节点每间隔预设时间就拉取依次预设配置文件，检测自身是否有预设配置文件中的危险进程，如果有，则及时阻止危险进程的启动。

进一步的，本实施例还公开了一种安全防御装置。

参照图4，图4为本发明一实施例揭露的安全防御装置的内部结构示意图。图4中，安全防御装置1包括存储器11和处理器12，所述存储器11上存储有可在所述处理器12上运行的安全防御程序，所述安全防御程序被所述处理器12执行时实现如下方法：

确定网络节点组；确定所述网络节点组中所有网络节点的目标进程的数据传输信息总量；判断所述数据传输信息总量是否超过对应的标准；若是，则确定所述目标进程为被用于发起网络攻击的危险进程。

可见，本实施例首先确定网络节点组，以组为单位确定组内所有网络节点的目标进程的数据传输信息总量，当数据传输信息总量超出了对应的标准，则认为目标进程为用于发起网络攻击的危险进程。因此，即便用户利用多台设备共同发起攻击，且通过对应单个设备的标准不能检测到发起攻击的进程时，也可以通过多台设备的数据传输总量确定出被用于发起网络攻击的危险进程，从而可以避免租用vps设备的用户利用多台vps设备，发起网络攻击，给vps厂商带来危害。

所述安全防御程序被所述处理器12执行时，具体可以实现：将对应同一用户注册信息的所有网络节点确定为网络节点组。

所述安全防御程序被所述处理器12执行时，具体可以实现：

将请求部署同一待验证程序的网络节点确定为网络节点组；其中，所述待验证程序为预设白名单中不存在的程序。

其中，所述数据传输信息总量，包括：

所有所述目标进程的流量总量信息和/或所有所述目标进程与同一ip地址建立连接数的总数和/或所有所述目标进程对同一ip地址发送的非正常数据总数。

所述安全防御程序被所述处理器12执行时，具体可以实现：确定所有被访问节点的被访问热度信息从高到低的排名；确定排名在前预设个数的被访问节点作为可疑被攻击节点；在访问所述可疑被攻击节点的所有网络节点中确定网络节点组。

其中，所述被访问热度信息，包括：被访问频次和/或数据总流量和/或单位时间内异常数据上升量和/或接收伪造数据包量。

所述安全防御程序被所述处理器12执行时，还可以实现：将危险进程的信息更新至预设配置文件，以使网络节点获取预设配置文件后，确定并关闭危险进程。

在本实施例中，所述安全防御装置1可以是服务器。

进一步的，参照图4，所述安全防御装置1还可以包括总线13，其中，所述存储器11和所述处理器12通过所述总线13连接。

其中，存储器11至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，sd或dx存储器等)、磁性存储器、磁盘、光盘等。存储器11在一些实施例中可以是安全防御装置1的内部存储单元，例如该安全防御装置1的硬盘。存储器11在另一些实施例中也可以是安全防御装置1的外部存储设备，例如安全防御装置1上配备的插接式硬盘，智能存储卡(smartmediacard,smc)，安全数字(securedigital,sd)卡，闪存卡(flashcard)等。进一步地，存储器11还可以既包括安全防御装置1的内部存储单元也包括外部存储设备。存储器11不仅可以用于存储安装于安全防御装置1的应用软件及各类数据，例如安全防御程序的代码等，还可以用于暂时地存储已经输出或者将要输出的数据。

处理器12在一些实施例中可以是一中央处理器(centralprocessingunit,cpu)、控制器、微控制器、微处理器或其他数据处理芯片，用于运行存储器11中存储的程序代码或处理数据，例如执行安全防御程序等。

总线13可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。该总线可以分为地址总线、数据总线、控制总线等。为便于表示，图4中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

进一步地，安全防御装置1还可以包括网络接口14，网络接口14可选的可以包括有线接口和/或无线接口(如wi-fi接口、蓝牙接口等)，通常用于在该安全防御装置1与其他电子设备之间建立通信连接。

可选地，该安全防御装置1还可以包括用户接口15，用户接口15可以包括显示器(display)、输入单元比如键盘(keyboard)，可选的用户接口还可以包括标准的有线接口、无线接口。可选地，在一些实施例中，显示器可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organiclight-emittingdiode，有机发光二极管)触摸器等。其中，显示器也可以适当的称为显示屏或显示单元，用于显示在安全防御装置1中处理的信息以及用于显示可视化的用户界面。

图4仅示出了具有组件11-15的安全防御装置1，本领域技术人员可以理解的是，图4示出的结构并不构成对安全防御装置1的限定，可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

进一步的，本实施例还公开了一种安全防御系统。

参照图5，图5为本发明一实施例揭露的安全防御系统结构示意图。图5中，所述安全防御系统，包括：

第一确定模块401，用于确定网络节点组；

第二确定模块402，用于确定所述网络节点组中所有网络节点中目标进程的数据传输信息总量；

判断模块403，用于判断所述数据传输信息总量是否超过对应的标准；

第三确定模块404，用于当所述数据传输信息总量超过对应的标准时，确定所述目标进程为被用于发起网络攻击的危险进程。

本实施例的安全防御系统用于实现前述的安全检测方法，因此安全防御系统中的具体实施方式可见前文中的安全防御方法的实施例部分，例如，第一确定模块401，第二确定模块402，判断模块403，第三确定模块404，分别用于实现上述安全检测方法中步骤s101，s102，s103，所以，其具体实施方式可以参照相应的各个部分实施例的描述，在此不再赘述。

进一步的，本实施例还公开了一种计算机可读存储介质，所述计算机可读存储介质上存储有安全防御程序，所述安全防御程序可被一个或多个处理器执行，以实现如下方法：

确定网络节点组；确定所述网络节点组中所有网络节点的目标进程的数据传输信息总量；判断所述数据传输信息总量是否超过对应的标准；若是，则确定所述目标进程为被用于发起网络攻击的危险进程。

可见，本实施例首先确定网络节点组，以组为单位确定组内所有网络节点的目标进程的数据传输信息总量，当数据传输信息总量超出了对应的标准，则认为目标进程为用于发起网络攻击的危险进程。因此，即便用户利用多台设备共同发起攻击，且通过对应单个设备的标准不能检测到发起攻击的进程时，也可以通过多台设备的数据传输总量确定出被用于发起网络攻击的危险进程，从而可以避免租用vps设备的用户利用多台vps设备，发起网络攻击，给vps厂商带来危害。

所述安全防御程序被一个或多个处理器执行时，具体可以实现：将对应同一用户注册信息的所有网络节点确定为网络节点组。

所述安全防御程序被一个或多个处理器执行时，具体可以实现：

将请求部署同一待验证程序的网络节点确定为网络节点组；其中，所述待验证程序为预设白名单中不存在的程序。

其中，所述数据传输信息总量，包括：

所有所述目标进程的流量总量信息和/或所有所述目标进程与同一ip地址建立连接数的总数和/或所有所述目标进程对同一ip地址发送的非正常数据总数。

所述安全防御程序被一个或多个处理器执行时，具体可以实现：确定所有被访问节点的被访问热度信息从高到低的排名；确定排名在前预设个数的被访问节点作为可疑被攻击节点；在访问所述可疑被攻击节点的所有网络节点中确定网络节点组。

其中，所述被访问热度信息，包括：被访问频次和/或数据总流量和/或单位时间内异常数据上升量和/或接收伪造数据包量。

所述安全防御程序被一个或多个处理器执行时，还可以实现：将危险进程的信息更新至预设配置文件，以使网络节点获取预设配置文件后，确定并关闭危险进程。

进一步的，本发明还提供一种计算机程序产品，包括计算机指令，当所述计算机指令在计算机上运行时，使得所述计算机可以执行以下方法步骤：

确定网络节点组；确定所述网络节点组中所有网络节点的目标进程的数据传输信息总量；判断所述数据传输信息总量是否超过对应的标准；若是，则确定所述目标进程为被用于发起网络攻击的危险进程。

可见，本实施例首先确定网络节点组，以组为单位确定组内所有网络节点的目标进程的数据传输信息总量，当数据传输信息总量超出了对应的标准，则认为目标进程为用于发起网络攻击的危险进程。因此，即便用户利用多台设备共同发起攻击，且通过对应单个设备的标准不能检测到发起攻击的进程时，也可以通过多台设备的数据传输总量确定出被用于发起网络攻击的危险进程，从而可以避免租用vps设备的用户利用多台vps设备，发起网络攻击，给vps厂商带来危害。

本实施例中，当所述计算机指令在计算机上运行时，使得所述计算机具体可以执行以下步骤：分别利用每个所述预测单元的图像梯度信息，相应地计算出图像中与每个所述预测单元对应的所有方向角；确定每个所述预测单元对应的所有方向角的平均值，得到用于表征每个所述预测单元的图像方向的整体趋势的平均角度。由此可见，上述内容公开了一种用于确定所述平均角度的具体方案，根据该方案，可以确定出每个所述预测单元对应的所述平均角度。

本实施例中，当所述计算机指令在计算机上运行时，使得所述计算机可以进一步执行以下步骤：将对应同一用户注册信息的所有网络节点确定为网络节点组。

本实施例中，当所述计算机指令在计算机上运行时，使得所述计算机具体可以执行以下步骤：将请求部署同一待验证程序的网络节点确定为网络节点组；其中，所述待验证程序为预设白名单中不存在的程序。

其中，所述数据传输信息总量，包括：

所有所述目标进程的流量总量信息和/或所有所述目标进程与同一ip地址建立连接数的总数和/或所有所述目标进程对同一ip地址发送的非正常数据总数。

本实施例中，当所述计算机指令在计算机上运行时，使得所述计算机具体可以执行以下步骤：确定所有被访问节点的被访问热度信息从高到低的排名；确定排名在前预设个数的被访问节点作为可疑被攻击节点；在访问所述可疑被攻击节点的所有网络节点中确定网络节点组。

其中，所述被访问热度信息，包括：被访问频次和/或数据总流量和/或单位时间内异常数据上升量和/或接收伪造数据包量。

本实施例中，当所述计算机指令在计算机上运行时，使得所述计算机具体可以执行以下步骤：将危险进程的信息更新至预设配置文件，以使网络节点获取预设配置文件后，确定并关闭危险进程。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。

所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或者半导体介质(例如固态硬盘solidstatedisk(ssd))等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

需要说明的是，上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。