一种攻击流量确定方法、装置、设备及存储介质与流程

1.本发明涉及信息安全技术，尤其涉及一种攻击流量确定方法、装置、设备及存储介质。


背景技术：

2.计算机设备经常成为不法分子的攻击目标，他们采用以下之一的攻击方式：分布式拒绝服务(distributed denial of service attack，ddos)攻击、应用程序攻击和证书伪造，对计算机设备进行非法入侵，这样的方式被称为“攻击流量”，也叫机器人(bot)流量。
3.目前，bot流量占全网总流量的60％以上，这些bot流量有各种各样的检测形式(例如：在网络上活跃的爬虫、扫描器等)，这使得通过bot流量恶意攻击相应的计算机设备的手段多种多样，从利用简单脚本工具(例如：自动化的爆破工具hydra、文件传输工具curl、网络漏洞扫描工具awvs)，到真人操作(例如：真机群控)，以此达到薅羊毛、恶意比价、挑战黑洞(challenge collapsar，cc)攻击、漏洞扫描挖掘等非法目的。因此，为了有效的防止bot流量，国内外厂商通常采用的防御方法包括：返回超文本传输协议(hypertext transfer protocol，http)302重定向，或者通过支持简单的http 404频率统计触发、陷阱诱捕，及复杂用户行为分析多种防御手段中的一种方法，对所有待处理流量进行分析检测，但只会同时运作其中一种方法对所有用户流量进行处理，因此，所有的用户流量都会被同等对待，造成设备资源浪费。


技术实现要素：

4.有鉴于此，本申请实施例提供的一种攻击流量确定方法、装置和计算机可读存储介质，减少对计算机设备负载的压力，且有效地识别攻击流量。
5.本申请实施例的技术方案是这样实现的：
6.第一方面，本申请实施例提供一种攻击流量确定方法，包括：
7.根据待处理流量的特征，识别所述待处理流量中的第一用户流量和第二用户流量；所述第一用户流量为信任流量；所述第二用户流量为可疑流量；
8.对所述第二用户流量进行鉴定，确定所述第二用户流量中的攻击流量。
9.可选的，在根据待处理流量的特征，识别所述待处理流量中的第一用户流量和第二用户流量之前，所述方法还包括：
10.根据异常流量决策，获得所述待处理流量的特征。
11.可选的，根据所述待处理流量的特征，识别所述待处理流量中的第一用户流量和第二用户流量，包括：
12.通过所述待处理流量的特征与相应预设阈值进行比较；
13.将比较结果满足信任条件的待处理流量，标记为所述第一用户流量；
14.将比较结果不满足所述信任条件的待处理流量，标记为所述第二用户流量。
15.可选的，根据所述第一用户流量对应的处理逻辑对所述第一用户流量进行处理。
16.在一些实施例中，攻击流量确定设备根据待处理流量的特征，对所述待处理流量进行分流，所述第一用户流量为信任流量，对于识别为信任流量的第一用户流量，执行第一用户流量对应的操作，即就是将待处理流量划分成信任流量和可疑流量，起到分流的作用，从而能够减小对设备系统资源的消耗。
17.可选的，对所述第二用户流量进行鉴定，确定所述第二用户流量中的攻击流量，包括：
18.通过第一级防御策略，对所述第二用户流量进行一级防御处理，识别出所述第二用户流量中的攻击流量和第三用户流量；所述第三用户流量为待确认流量；
19.通过第二级防御策略，对所述第三用户流量进行二级防御处理，识别所述出所述第三用户流量中的攻击流量和第四用户流量；所述第四用户流量为信任流量。
20.在一些实施例中，攻击流量确定设备对第二用户流量进行鉴定，进一步地确定第二用户流量中的攻击流量，其中，依次通过第一级防御策略和第二级防御策略对第二用户流量进行渐进式的识别，以识别出第二用户流量所包括的信任流量和攻击流量，从而通过多种防御策略识别出第二用户流量中的攻击流量，有效地降低了对攻击流量的误判率，减少了对设备系统资源的消耗，增强了对攻击流量确定方式。
21.可选的，通过所述第一级防御策略，对所述第二用户流量进行一级防御处理，识别出所述第二用户流量中的攻击流量和第三用户流量，包括：
22.通过以下第一级防御策略至少之一对所述第二用户流量进行一级防御处理，识别出所述第二用户流量中的攻击流量和第三用户流量：重定向、脚本动态执行、动态令牌防重放机制和浏览器特性采集程序。
23.可选的，通过所述第二级防御策略，对所述第三用户流量进行二级防御处理，识别所述出所述第三用户流量中的攻击流量和第四用户流量，包括：
24.通过以下第二级防御策略至少之一对所述第三用户流量进行二级防御处理，识别所述出所述第三用户流量中的攻击流量和第四用户流量：行为数据采集、动态混淆加密和假数据投毒。
25.可选的，在确定所述第二用户流量中的攻击流量之后，所述方法还包括：
26.清洗所述攻击流量；或
27.屏蔽与所述攻击流量关联的关联流量。
28.第二方面，本申请实施例提供一种攻击流量确定装置，包括：
29.第一识别模块，用于根据所述待处理流量的特征，识别待处理流量中的第一用户流量和第二用户流量；所述第一用户流量为信任流量；所述第二用户流量为可疑流量；
30.第二识别模块，用于对所述第二用户流量进行鉴定，确定所述第二用户流量中的攻击流量。
31.第三方面，本申请实施例提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述攻击流量确定方法
32.第四方面，本申请实施例提供一种存储介质，其中，所述计算机存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行时实现任一项所述的防御方法的步骤。
33.本申请实施例中，提供了一种攻击流量确定方法、装置、设备及存储介质，根据待处理流量的特征，识别所述待处理流量中的第一用户流量和第二用户流量；所述第一用户流量为信任流量；所述第二用户流量为可疑流量；对所述第二用户流量进行鉴定，确定所述第二用户流量中的攻击流量；本申请中根据待处理流量的特征，从待处理流量中识别出第一用户流量和第二用户流量，有效地减轻了后续处理步骤对计算机设备资源的消耗，再对第二用户流量进行鉴定，从第二用户流量中识别出攻击流量，从而能够有效的识别出待处理流量中的攻击流量，同时，降低了对计算机设备资源的消耗，且保证了计算机设备的安全性。
附图说明
34.图1为本申请实施例网络架构示意图；
35.图2为本申请实施例提供的攻击流量确定方法的可选地流程示意图；
36.图3为本申请实施例提供的待处理流量中不同流量占比示意图；
37.图4为本申请实施例提供的攻击流量确定方法的可选地流程示意图；
38.图5为本申请实施例提供的防御策略模块的可选地结构示意图；
39.图6为本申请实施例提供的攻击流量确定方法中的可选地流程示意图；
40.图7为本申请实施例提供的攻击流量确定装置的可选地结构示意图；
41.图8本申请实施例提供的攻击流量确定装置的可选地结构示意图；
42.图9为本申请实施例提供的攻击流量确定装置中的第二识别模块的可选地结构示意图；
43.图10为本申请实施例提供的攻击流量确定装置可选地结构示意图；
44.图11为本申请实施例电子设备的一种可选地硬件示意图。
具体实施方式
45.为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例，对本申请的具体的技术方案进行清楚、完整地描述。以下实施例用于说明本申请，但不用来限制本申请的范围。
46.本申请实施例可提供为攻击流量确定方法及装置、设备和存储介质。实际应用中，攻击流量确定方法可由攻击流量确定装置实现，攻击流量确定装置中的各功能实体可以由攻击流量确定设备的硬件资源来实现。
47.本申请实施例的攻击流量确定方法可以应用于图1所示的攻击流量确定系统，如图1所示，该攻击流量确定系统包括客户端10和服务端20；其中，客户端10中安装有能够访问服务端20的应用程序app或者提供浏览链接的浏览器,用户可通过相应的应用程序或者提供浏览链接进行访问或者浏览，如http请求。服务端20能够提供对应的服务，服务端20能够记录用户通过应用程序或浏览页面所产生的行为数据。客户端10和服务端20之间通过网络30进行交互。
48.攻击流量确定设备可为客户端10，也可为服务端20。
49.在一示例中，服务端20为攻击流量确定设备。服务端20可实施为攻击流量确定装置。服务端20根据待处理流量的特征，识别所述待处理流量中的第一用户流量和第二用户
流量；所述第一用户流量为信任流量；所述第二用户流量为可疑流量；对所述第二用户流量进行鉴定，确定所述第二用户流量中的攻击流量。
50.结合图1所示的应用场景示意图，本申请实施例提出一种攻击流量确定方法，能够根据待处理流量的特征，通过异常流量决策对待处理流量进行信任流量和可疑流量的分流，并对可疑流量进行鉴定，识别出可疑流量中的攻击流量，从而有效地识别出待处理流量中的攻击流量，同时，减小流量防御所使用的设备系统资源。
51.下面，结合图1所示的攻击流量确定系统的示意图，对本申请实施例提供的攻击流量方法、装置、设备和存储介质的各实施例进行说明。
52.本实施例提供一种攻击流量确定方法，该方法应用于攻击流量确定设备，攻击流量确定设备可为客户端10或服务端20，其中，客户端10或服务端20可为计算机设备或计算机设备组成的分布式网络。该方法所实现的功能可以通过计算机设备中的处理器调用程序代码来实现，当然程序代码可以保存在计算机存储介质中，可见，该计算机设备至少包括处理器和存储介质。
53.图2为本申请实施例提供的攻击流量确定方法的可选地流程示意图，如图2所示，该方法可以包括如下步骤：
54.s201、根据待处理流量的特征，识别所述待处理流量中的第一用户流量和第二用户流量；
55.所述第一用户流量为信任流量；所述第二用户流量为可疑流量。
56.客户端的应用程序或浏览页面接收到用户的访问操作，并基于访问操作生成访问请求。攻击流量确定设备将访问请求作为待处理流量需要进行防御，以识别该流量是信任流量还是攻击流量。其中，信任流量为判定为合法的流量，可直接进行处理，攻击流量为判定为非法的流量，需要屏蔽。
57.在一示例中，信任流量可为携带有浏览对象的身份信息的合法的访问请求，攻击流量确定设备根据浏览对象的身份信息来查找流量的特征，以通过特征来识别该流量是第一用户流量还是第二用户流量。比如：特征为网际互连协议(internet protocol，ip)，当该ip的信誉较高，则认为该待处理流量为第一用户流量。
58.在一示例中，攻击流量为携带有伪造的浏览对象的身份信息的非法的访问请求，攻击流量确定设备根据伪造的浏览对象的身份信息来查找流量的特征，以通过特征来识别该流量是是第一用户流量还是第二用户流量。
59.本申请实施例，待处理流量包括多条流量，且不同流量可为基于不同的访问操作生成的访问请求。
60.根据所述待处理的流量特征，识别所述待处理流量中的第一用户流量和第二用户流量，其中，所述待处理流量的特征通过异常流量决策的决策方式包括：
61.决策方式一、提取待处理流量的特征，基于所提取的特征识别待处理流量中的第一用户流量和第二用户流量；
62.决策方式二、通过抽样的方式确定待处理流量中的第一用户流量和第二用户流量。
63.其中，在决策方式一中，异常流量决策还可确定所提取的特征的类型。
64.在一示例中，提取的特征包括：所述待处理流量对应的ip地址。
65.在一示例中，提取的特征包括：所述待处理流量对应的访问频率。
66.在一示例中，提取的特征包括：所述待处理流量对应的会话特征(如会话时间)。
67.本申请实施例中的攻击流量确定设备可为客户端，也可为服务端。
68.在一示例中，攻击流量确定设备为客户端，客户端直接将生成的访问请求作为待处理流量根据待处理流量的特征，对待处理流量进行处理。
69.在一示例中，攻击流量确定设备为服务端，客户端将生成的访问请求作为待处理流量发送至服务端，服务端对接收的待处理流量根据待处理流量的特征，对待处理流量进行处理。
70.攻击流量确定设备从所述待处理流量中识别出第一用户流量和第二用户流量；第一用户流量为信任流量；第二用户流量为可疑流量。其中，可疑流量可能是信任流量，也可能是攻击流量，攻击流量确定设备对于可疑流量到底是哪种流量并不确定。
71.攻击流量确定设备可根据待处理流量中各流量的特征来识别该流量是第一用户流量还是第二用户流量。
72.在一示例中，攻击流量确定设备为客户端，客户端接收到用户访问服务端的请求，攻击流量确定设备根据访问请求中携带的特征来查找流量的特征，以通过特征来识别该流量是第一用户流量还是第二用户流量。
73.在一示例中，攻击流量确定设备为服务端，服务端获取客户端发送的用户访问请求，攻击流量确定设备根据访问请求中携带的特征来查找流量的特征，以通过特征来识别该流量是第一用户流量还是第二用户流量。
74.本申请实施例中，访问请求中可携带用户的特征，攻击流量确定设备基于异常流量决策对访问请求进行识别，以根据访问请求中携带的特征来查找流量的特征，以通过特征来识别该流量是第一用户流量还是第二用户流量。
75.s202、对所述第二用户流量进行鉴定，确定所述第二用户流量中的攻击流量。
76.攻击流量确定设备根据防御策略，对第二用户流量进行鉴定，从第二用户流量中识别出的攻击流量。
77.攻击流量确定设备对识别出的第二用户流量进行二次识别，从中筛选出攻击流量。
78.攻击流量确定设备的所述防御策略包括：第一级防御策略、第二级防御策略，其中，所述第一级防御策略，对所述第二用户流量进行一级防御处理，识别出所述第二用户流量中的攻击流量和第三用户流量；所述第三用户流量为待确认流量；
79.所述第二级防御策略，对所述第三用户流量进行二级防御处理，识别所述出所述第三用户流量中的攻击流量和第四用户流量；所述第四用户流量为信任流量。
80.本申请实施例中，攻击流量确定设备对待处理流量进行分流处理，首先，根据待处理流量的特征，识别待处理流量中的第一用户流量和第二用户流量，对于识别为信任流量的第一用户流量，执行第一用户流量对应的操作，对于不确定为信任流量还是攻击流量的第二用户流量，通过防御策略，识别出第二用户流量中的攻击流量。
81.本申请实施例提供的攻击流量确定方法，根据待处理流量的特征，识别所述待处理流量中的第一用户流量和第二用户流量；所述第一用户流量为信任流量；所述第二用户流量为可疑流量；对所述第二用户流量进行鉴定，确定所述第二用户流量中的攻击流量，本
申请中根据待处理流量的特征，从待处理流量中识别出第一用户流量和第二用户流量，有效地减轻了后续处理步骤对计算机设备资源的消耗，再对第二用户流量进行鉴定，从第二用户流量中识别出攻击流量，从而有效地识别出攻击流量，保证了计算机设备的安全性，同时，降低了对计算机设备资源的消耗。
82.在本申请实施例中，在s201之后，还实施以下步骤：根据所述第一用户流量对应的处理逻辑对所述第一用户流量进行处理。
83.在一示例中，攻击流量确定设备根据待处理流量的特征，对所述待处理流量进行分流，所述第一用户流量为信任流量，对于识别为信任流量的第一用户流量，执行第一用户流量对应的操作。
84.攻击流量确定设备将第一用户流量按照对应的处理逻辑对第一用户流量进行处理。比如：第一用户流量是删除表a中的数据的删除请求，则攻击流量确定设备执行第一用户流量对应的操作，删除表a中的数据。
85.在一些实施例中，s201之前，还实施以下步骤：
86.根据异常流量决策，获得所述待处理流量的特征。
87.攻击流量确定设备通过异常流量决策，获得待处理流量本身的特征，其中，特征包括以下至少之一：ip地址、ip地址的信誉值、会话特征(如会话时间)、访问频率。这里的访问频率可为该流量对应的用户在一段时间内的访问频率。本申请实施例中，用户可根据实际需求确定获取的特征的类型。
88.其中，所述异常流量决策用于确定所述特征的类型，异常流量决策用于指示获得哪种特征。
89.攻击流量确定设备根据待处理流量的特征，从待处理流量中识别出第一用户流量和第二用户流量。
90.在一示例中，特征包括ip地址，攻击流量确定设备基于待处理流量的ip地址，与合法ip列表中的合法ip地址进行比较，确定各流量的该ip地址是否包含在合法ip列表，当一流量的ip地址包含在合法ip列表中，则确定该流量为第一用户流量，当一流量的ip地址不包含在合法ip列表中，则确定该流量为第二用户流量。
91.在一示例中，特征包括ip地址的信誉值，攻击流量确定设备基于待处理流量中各流量的ip地址的信誉值，与设定ip信誉阈值进行比较；当一流量的ip地址的信誉值大于ip信誉阈值，则确定该流量为第一用户流量，当一流量的ip地址的信誉值不大于ip信誉阈值，则确定该流量为第二用户流量。
92.在一些实施例中，s201实施包括：通过所述待处理流量的特征与相应预设阈值进行比较；将比较结果满足信任条件的待处理流量，标记为所述第一用户流量；将比较结果不满足所述信任条件的待处理流量，标记为所述第二用户流量。
93.其中，不同的特征，对应不同的阈值。
94.在一示例中，特征包括ip地址的信誉值，则预设阈值包括信誉阈值。
95.在一示例中，特征包括会话时间，则预设阈值包括时间范围。
96.在一示例中，特征包括访问频率，则预设阈值包括频率阈值。
97.这里，将待处理流量中，确定比较结果满足信任条件的流量为第一用户流量。
98.在一示例，攻击流量确定设备根据待处理流量的特征，获取到某一条流量的ip地
址的信誉值是70，与信誉阈值50比较，该ip地址的信誉值大于信誉阈值，则比较结果满足信任条件，故该流量标记为第一用户流量。
99.这里，将待处理流量中，确定比较结果不满足信任条件的流量为第二用户流量。
100.在一示例，攻击流量确定设备根据待处理流量的特征，获取到某一条流量的特征为访问频率，且远大于频率阈值，则比较结果不满足信任条件，攻击流量确定设备将该流量标记为第二用户流量。
101.本申请中攻击流量确定设备根据待处理流量的特征，基于异常流量决策，获得待处理流量的特征后，通过待处理流量的特征与预设阈值进行比较，若待处理流量的特征满足信任条件，则确定该待处理流量为第一用户流量，否则，确定该待处理流量为第二用户流量。
102.在一些实施例中，s201的实施还包括：对所述待处理流量进行抽样；将抽样得到的待处理流量，标记为所述第一用户流量；将所述待处理流量中，除所述第一用户流量之外的待处理流量标记为所述第二用户流量。
103.这里，攻击流量确定设备通过对待处理流量进行抽样检查，将被抽取的待处理流量标记为第一用户流量，未被抽取的待处理流量标记为第二用户流量。
104.在一示例中，攻击流量确定设备对一段时间内的待处理流量进行抽样检查，第一用户流量为被抽取的待处理流量，第二用户流量为未被抽取到的待处理流量。
105.本申请中攻击流量确定设备通过对所有的待处理流量进行抽样检查，抽取到的待处理流量被攻击流量确定设备标记为第一用户流量，未被抽取到的待处理流量被攻击流量确定设备标记为第二用户流量。
106.在一些实施例中，s202实施包括：
107.s2021、通过第一级防御策略，对所述第二用户流量进行一级防御处理，识别出所述第二用户流量中的攻击流量和第三用户流量；所述第三用户流量为待确认流量；
108.s2022、通过第二级防御策略，对所述第三用户流量进行二级防御处理，识别所述出所述第三用户流量中的攻击流量和第四用户流量；所述第四用户流量为信任流量。
109.攻击流量确定设备的防御策略包括第一级防御策略和第二级防御策略，其中，第一级防御策略用于对第二用户流量进行一级防御处理，从第二用户流量中识别出第二用户流量中的攻击流量和第三用户流量，第二级防御策略用于对第三用户流量的二级防御处理，从第三用户流量中识别出第三用户流量中的攻击流量和第四用户流量。其中，第一级防御策略相对于第二级防御策略的计算复杂度简单。
110.本申请实施例中，攻击流量确定设备，对通过s201得到的第二用户流量进行处理的处理方式包括：依次通过第一级防御策略和第二级防御策略对第二用户流量进行渐进式的识别，以识别出第二用户流量所包括的信任流量和攻击流量，其中，通过第一级防御策略，对第二用户流量进行一级防御处理，识别出第二用户流量中的攻击流量和第三用户流量，通过第二级防御策略对第三用户流量进行识别，识别出第三用户流量中的攻击流量和第四用户流量，其中，第四用户流量为信任流量。
111.在一些实施例中，s2021的实施包括：通过以下第一级防御策略至少之一对所述第二用户流量进行一级防御处理，识别出所述第二用户流量中的攻击流量和第三用户流量：重定向、脚本动态执行、动态令牌防重放机制和浏览器特性采集程序。
112.本申请实施例中，攻击流量确定设备通过第一级防御策略对第二用户流量进行一级防御处理。其中，第一级防御策略包括以下至少之一：重定向、脚本动态执行、动态令牌防重放机制和浏览器特性采集程序，从而从第二用户流量中识别出攻击流量和第三用户流量。其中，脚本所采用的脚本语言可为javascript。
113.在一些实施例中，s2022的实施包括：通过以下第二级防御策略至少之一对所述第三用户流量进行二级防御处理，识别所述出所述第三用户流量中的攻击流量和第四用户流量：行为数据采集、动态混淆加密和假数据投毒。
114.本申请实施例中，攻击流量确定设备根据第二级防御策略对第三用户流量进行二级防御处理，其中，第二级防御策略包括以下至少之一：行为数据采集、动态混淆加密和假数据投毒，从第三用户流量中识别出攻击流量和第四用户流量，第四用户流量是信任流量。
115.在本申请实施例中，在确定所述第二用户流量中的攻击流量之后，所述方法还包括：
116.清洗所述攻击流量；
117.或屏蔽与所述攻击流量关联的关联流量。
118.攻击流量确定设备识别出所述攻击流量后，对所述攻击流量进行处置。
119.本申请实施例中，攻击流量确定设备从所述待处理流量中，识别出所述攻击流量，攻击流量设备对所述攻击流量进行清洗。
120.在一示例中，所述攻击流量为携带有伪造的浏览对象的身份信息的非法的访问请求，攻击流量确定设备通过以下至少之一的清洗方式对所述攻击流量进行处理：停止对所述访问请求的转发、删除所述访问请求。
121.本申请实施例中，攻击流量确定设备从所述待处理流量中，识别出所述攻击流量，攻击流量设备屏蔽与所述攻击流量关联的关联流量，其中所述关联流量为所述攻击流量对应的网站的流量或ip地址的流量。
122.在一示例中，攻击流量确定设备确定某一条流量的ip地址的信誉值低于阈值，确定为攻击流量，则将该ip地址对应的流量进行屏蔽。
123.下面，通过具体的场景对本申请实施例提供的攻击流量确定方法进行进一步说明。
124.根据待处理流量的特征，通过简单的处理逻辑和设定，将用户流量划分成第一用户流量和第二用户流量，其中，所述第一用户流量为信任流量，第二用户流量为可疑流量，起到分流作用。根据待处理流量的特征，通过待处理流量的特征对待处理流量进行识别，识别出待处理流量中的第一用户流量和第二用户流量，其中，特征包括但不限于：协议特征(如user
‑
agent、referrer、syn包数量与syn
‑
ack包数量的数量差大于设定阈值等)、会话特征(如访问时间为凌晨2:00)、ip信誉库分值、访问频率。
125.当识别出第一用户流量和第二用户流量后，对可疑流量即第二用户流量进行处理，信任流量即第一用户流量会被放行。
126.图3为本申请实施例提供的待处理流量中不同流量占比示意图。攻击流量确定设备根据待处理流量的特征，对待处理流量进行识别，从待处理流量中识别出第一用户流量和第二用户流量，然后，通过第一级防御策略对第二用户流量进行识别，从第二用户流量中识别出简单攻击流量和第三用户流量，其中简单用户流量302占待处理流量36.26％，通过
复杂防御策略，也就是第二级防御策略对第三用户进行识别，从第三用户流量中识别出复杂攻击流量303和第四用户流量，其中复杂攻击流量303占待处理流量15.54％，第一用户流量和第四用户流量同为信任流量，占待处理流量48.2％，相比于现有技术中对攻击流量的识别，需要对所有的待处理流量，同时进行检测识别，导致计算机设备的负载过大，此外，现有技术对攻击流量的识别手段单一，很容易出现误判的问题，而本申请通过异常流量决策识别出待处理流量中的第一用户流量和第二用户流量，第一用户流量进行对应的逻辑处理，第二用户流量通过防御策略进行相应的识别，降低了对计算机设备负载的影响，且有效地减小了误判率。
127.这里，以流量a为待处理流量包中的一条流量为例，对本申请实施例提供的攻击流量确定方法进行举例说明。
128.图4所示，包括：
129.步骤401、根据流量a的特征，对流量a进行识别；
130.根据异常流量决策，获得流量a的特征，确定流量a的类型，对流量a进行识别。
131.s402、判断流量a是否为可疑流量。
132.若流量a是可疑流量，则执行s403；若流量a不是可疑流量，即为信任流量，则结束。
133.在实际应用中，当流量a为信任流量时，可通过流量a对应的处理逻辑对流量a进行处理。
134.s403、通过防御策略对流量a进行识别。
135.s403的实施如图5所示，包括：
136.s501、通过第一级防御策略，判断流量a是否为攻击流量；
137.若通过第一级防御策略，确定流量a是攻击流量，则执行s503；若通过第一级防御策略，确定流量a不是攻击流量，则执行s502。若此时判断流量a为攻击流量，则流量a为简单攻击流量。
138.s502、通过第二级防御策略，判断流量a是否为攻击流量；
139.若通过第二级防御策略，确定流量a是攻击流量，则执行s503；若通过第二级防御策略，确定流量a不是攻击流量，则执行s504；若此时判断流量a为攻击流量，则流量a为复杂攻击流量。
140.s503、对流量a进行处置；
141.s504、对流量a进行放行。
142.图6所示，本申请实施例提供的攻击流量确定方法中的可选地流程示意图。如图6，客户端601将http请求转发至安全设备602，安全设备602将访问请求作为待处理流量进行一级防御处理604，通过以下至少之一的第一级防御策略：重定向返回，携带令牌(防越权重放)、浏览器特性采集程序代码，对http请求进行识别，判断出该请求为攻击流量，还是第三用户流量。客户端601向安全设备602返回http请求，安全设备602根据客户端601返回的http请求判断当前http请求是否为攻击流量。这里，安全设备602验证客户端返回的http请求中包含的令牌、浏览器信息等信息，若该http请求携带的信息验证通过，则确定http请求不是攻击流量，将http请求转发给服务端，否则认为该http请求为攻击流量，并进行处理拦截。
143.安全设备602依据二级防御处理605对该http请求响应进行识别，将通过验证的
http请求转发给服务端603，服务端603响应该http请求，其中，该http请求携带安全设备602提取的第三用户流量的特征(例如：用户的行为信息)，向安全设备602返回http响应，安全设备602接收到http响应的情况下，根据以下至少之一的第二级防御策略：动态混淆加密算法和行为采集程序向客户端发送第二级防御策略，并接收客户端返回的htp请求，并判断该http请求响应是攻击流量，还是第四用户流量，若该http请求响应是攻击流量，则通过以下至少之一的处置方式对所述攻击流量进行处置：清洗所述攻击流量；或屏蔽与所述攻击流量关联的关联流量；若该http请求响应是第四用户流量，即是信任流量，则将该http请求发送给服务端603。
144.本申请实施例提供了一种攻击流量确定装置70，如图7所示，该装置包括：第一识别模块71、第二识别模块72。
145.第一识别模块71，用于识别所述待处理流量中的第一用户流量和第二用户流量；所述第一用户流量为信任流量；所述第二用户流量为可疑流量；
146.第二识别模块72，用于识别出所述第二用户流量中的攻击流量。
147.在一些实施例中，所述装置还包括：特征获取模块，用于根据异常流量决策，获得所述待处理流量的特征。
148.在一些实施例中，第一识别模块71还用于：
149.通过所述待处理流量的特征与相应预设阈值进行比较；
150.将比较结果满足信任条件的待处理流量，标记为所述第一用户流量；
151.将比较结果不满足所述信任条件的待处理流量，标记为所述第二用户流量。
152.在一些实施例中，第一识别模块71还用于：
153.对所述待处理流量进行抽样；
154.将抽样得到的待处理流量，标记为所述第一用户流量；
155.将所述待处理流量中，除所述第一用户流量之外的待处理流量标记为所述第二用户流量。
156.在一些实施例中，如图8所示，装置70还包括：第一处理模块73，用于根据所述第一用户流量对应的处理逻辑对所述第一用户流量进行处理。
157.在一些实施例中，如图9所示，第二识别模块72，包括：第一防御模块721和第二防御模块722；
158.第一防御模块721，用于对所述第二用户流量进行一级防御处理，识别出所述第二用户流量中的攻击流量和第三用户流量；所述第三用户流量为待确认流量；
159.第二防御模块722，用于对所述第三用户流量进行二级防御处理，识别所述出所述第三用户流量中的攻击流量和第四用户流量；所述第四用户流量为信任流量。
160.在一些实施例中，第一防御模块721还用于：
161.通过以下第一级防御策略至少之一对所述第二用户流量进行一级防御处理，识别出所述第二用户流量中的攻击流量和第三用户流量：重定向、脚本动态执行、动态令牌防重放机制和浏览器特性采集程序。
162.在一些实施例中，第二防御模块722还用于：
163.通过以下第二级防御策略至少之一对所述第三用户流量进行二级防御处理，识别所述出所述第三用户流量中的攻击流量和第四用户流量：行为数据采集、动态混淆加密和
假数据投毒。
164.在一些实施例中，如图10所示，装置70还包括：第二处理模块74，用于在确定所述第二用户中的攻击流量后，对所述攻击流量进行处置。
165.本发明实施例提供的攻击流量确定装置，本申请实施例提供的攻击流量确定方法，基于异常流量决策，识别所述待处理流量中的第一用户流量和第二用户流量；所述第一用户流量为信任流量；所述第二用户流量为可疑流量；通过防御策略，识别出所述第二用户流量中的攻击流量；根据所述第一用户流量对应的处理逻辑对所述第一用户流量进行处理，现有技术方案中，对于攻击流量的识别，通常存在防御方法比较简单且单一，容易被攻击流量绕过防御策略，使得计算机设备的负载变大，而本发明实施例的技术方案可通过多级的防御策略动态地识别攻击流量，减少了对攻击流量的误判率，此外，多级防御策略中的第二级防御策略，通过升级动态混淆加密来加强对攻击流量的识别和防止被黑客破解，从而减少了设备性能资源的浪费，在保证攻击流量检测率的同时，大大降低设备负载压力，节约了成本。
166.需要说明的是，本申请实施例提供的攻击流量装置包括所包括的各模块，可以通过电子设备中的处理器来实现；当然也可通过具体的逻辑电路实现；在实施的过程中，处理器可以为中央处理器(cpu，central processing unit)、微处理器(mpu，micro processor unit)、数字信号处理器(dsp，digital signal processor)等。
167.以上装置实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。
168.需要说明的是，本申请实施例中，如果以软件功能模块的形式实现上述的攻击流量确定方法，并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。这样，本申请实施例不限制于任何特定的硬件和软件结合。
169.对应地，本申请实施例提供一种电子设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述实施例中提供的攻击流量方法中的步骤。其中，该电子设备可为客户端，也可为服务端。
170.对应地，本申请实施例提供一种存储介质，也就是计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中提供的攻击流量方法中的步骤。
171.这里需要指出的是：以上存储介质和设备实施例的描述，与上述方法实施例的描述是类似的，具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节，请参照本申请方法实施例的描述而理解。
172.需要说明的是，图11为本申请实施例电子设备的一种可选地硬件示意图，如图11所示，所述电子设备1100包括：一个处理器1101、至少一个通信总线1102、至少一个外部通
信接口1104和存储器1105。其中通信总线1102配置为实现这些组件之间的连接通信。在一示例中，电子设备1100还包括用户接口1103、其中用户接口1103可以包括键盘、鼠标。外部通信接口1104可以包括标准的有线接口和无线接口。
173.存储器1105配置为存储由处理器1101可执行的指令和应用，还可以缓存待处理器1101以及电子设备中各模块待处理或已经处理的数据(例如，用户访问请求)，可以通过闪存(flash)或随机访问存储器(random access memory，ram)实现。
174.应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一些实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解，在本申请的各种实施例中，上述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。
175.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
176.在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。
177.上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
178.另外，在本申请各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。
179.本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(read only memory，rom)、磁碟或者光盘等各种可以存储程序代码的介质。
180.或者，本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。
而前述的存储介质包括：移动存储设备、rom、磁碟或者光盘等各种可以存储程序代码的介质。
181.以上所述，仅为本申请的实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。