本申請涉及網(wǎng)絡
技術領域:
,尤其涉及量化防御結果的方法、裝置及系統(tǒng)。
背景技術:
:隨著網(wǎng)絡技術的不斷進步,網(wǎng)絡領域中的網(wǎng)絡攻擊也越來越多。目前,在眾多網(wǎng)絡攻擊中分布式拒絕服務攻擊(DistributedDenialofService,DDoS)已經(jīng)成為較為嚴重的攻擊手段。為此,在原有系統(tǒng)架構中加入防御端來阻擋DDoS攻擊。如圖1所示,為現(xiàn)有網(wǎng)絡系統(tǒng)架構的一種示意圖。由圖示可知,系統(tǒng)架構包含業(yè)務端、路由設備、防御端和目標端。其中,業(yè)務端包含正常業(yè)務端和攻擊端。攻擊端發(fā)送多種形式的攻擊數(shù)據(jù)流量,防御端依據(jù)自身內部的防御策略阻擋攻擊數(shù)據(jù)流量。防御端中的防御策略過松,則會導致大量的攻擊流量攻擊目標端;但是防御策略過緊,則會影響正常業(yè)務端向目標端發(fā)送正常的數(shù)據(jù)流量。因此,需要評估防御端防御策略的防御結果,并根據(jù)防御結果來確定適當?shù)姆烙呗浴D壳?,由于評估防御結果過程中使用方法不完善、參數(shù)指標不全面以及數(shù)據(jù)流量不完整,所以導致評估防御結果的結果不準確。技術實現(xiàn)要素:本申請?zhí)峁┝肆炕烙Y果的方法、裝置及系統(tǒng),通過改進評估方法,提高評估防御結果的準確性。另外,結合云平臺更進一步提高數(shù)據(jù)流量的完整性。為了實現(xiàn)上述目的,本申請采用以下技術手段:一種量化防御結果的方法,包括:獲取可疑數(shù)據(jù)流量集合,所述可疑數(shù)據(jù)流量集合為位于云平臺的防御端經(jīng)核心路由牽引業(yè)務端訪問目標端的原始數(shù)據(jù)流量后,由所述原始數(shù)據(jù)流量 所包含的可疑IP地址集合中每個可疑IP地址對應的數(shù)據(jù)流量所組成的,所述可疑IP地址集合為依據(jù)預設檢測規(guī)則在所述原始數(shù)據(jù)流量中確定的;獲取正常數(shù)據(jù)流量,所述正常數(shù)據(jù)流量為所述防御端對所述可疑數(shù)據(jù)流量集合按預設防御策略清洗后剩余的數(shù)據(jù)流量;獲權主機性能參數(shù),所述主機性能參數(shù)為所述防御端在將所述正常數(shù)據(jù)流量發(fā)送至目標端后,在所述目標端上提取得到的參數(shù)的集合;基于目標參數(shù)集合來量化防御結果;其中,所述目標參數(shù)集合至少包括:所述可疑數(shù)據(jù)流量集合、正常數(shù)據(jù)流量和主機性能參數(shù)。優(yōu)選的,所述目標參數(shù)集合還包括:與所述防御端相連的業(yè)務監(jiān)控裝置發(fā)送的訪問成功率;其中,所述訪問成功率為所述業(yè)務監(jiān)控裝置在控制多個位于不同地理位置的業(yè)務端訪問所述目標端后,依據(jù)所述目標端反饋的請求成功率和請求時延計算得到的。優(yōu)選的,所述目標參數(shù)集合還包括網(wǎng)絡服務質量;其中,所述網(wǎng)絡服務質量為所述防御端依據(jù)可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量計算得到的。優(yōu)選的,所述可疑流量清洗裝置中的所述預設防御策略對應期望SLA等級;則所述基于目標參數(shù)集合來量化防御結果包括:利用所述目標參數(shù)集合以及預設參數(shù)集合確定所述各個參數(shù)的變化值集合;其中,所述預設參數(shù)集合為預先存儲的、無攻擊數(shù)據(jù)流量的情況下各個參數(shù)的集合;將所述各個參數(shù)的變化值集合與所述期望SLA等級中的各個參數(shù)范圍進行匹配;若匹配成功,則確定所述防御端的防御效果達到所述期望SLA等級;若匹配不成功,則確定所述防御端的防御效果未達到所述期望SLA等級。優(yōu)選的,還包括:若匹配不成功,則將當前的防御策略的前一防御策略,確定為所述預設防御策略;其中,所述防御端中存儲有按順序排列的多個SLA等級,以及,與每個SLA等級對應的一個防御策略,SLA等級越小表示目標端所享受的服務等級越高,并且,前一SLA等級的對應的防御策略優(yōu)于后一SLA等級對應的防御策略。優(yōu)選的,所述利用所述目標參數(shù)集合以及預設參數(shù)集合確定所述各個參數(shù)的變化值集合,包括:依據(jù)所述可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量,計算輸入?yún)f(xié)議報文和輸出協(xié)議報文變化率的變化量集合;其中,所述輸入?yún)f(xié)議報文從所述可疑數(shù)據(jù)流量集合中提取得到的,所述輸出協(xié)議報文從所述正常數(shù)據(jù)流量中提取得到;和,計算所述正常數(shù)據(jù)流量的核心數(shù)據(jù)集與所述預設參數(shù)集合中的預設核心數(shù)據(jù)集之間的標準差集合;其中,所述核心數(shù)據(jù)集包括請求應答率、業(yè)務成功率、30x狀態(tài)碼的占比、40x狀態(tài)碼的占比、50x狀態(tài)碼的占比和正常用戶請求的時延;和,計算所述主機性能參數(shù)和所述預設參數(shù)集合中的預設主機性能參數(shù)之間的第二變化值集合;和/或,計算所述訪問成功率與所述預設參數(shù)集合中預設訪問成功率的第三變化值集合;和/或,計算所述網(wǎng)絡服務質量與所述預設參數(shù)集合中預設網(wǎng)絡服務質量的第四變化值集合。優(yōu)選的,依據(jù)所述可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量,計算輸入?yún)f(xié)議報文和輸出協(xié)議報文變化率的變化量集合,包括:計算輸入方向的syn報文與輸出方向的syn報文的差值,將該差值與所述輸入方向的syn報文的比值作為syn報文的增加率;計算輸入方向的syn-ack報文與輸出方向的syn-ack報文的差值,將該差值與所述輸入方向的syn-ack報文比值作為的syn-ack報文的增加率;將所述syn報文的增加率與所述syn-ack報文的增加率的差值,確定為所述變化量集合。優(yōu)選的,所述計算所述正常數(shù)據(jù)流量的核心數(shù)據(jù)集與所述預設參數(shù)集合中的預設核心數(shù)據(jù)集之間的標準差集合,包括:計算所述核心數(shù)據(jù)集與預設核心數(shù)據(jù)集中,針對請求應答率的第一標準差、針對業(yè)務成功率的第二標準差、針對30x狀態(tài)碼的占比的第三標準差、針對40x狀態(tài)碼的占比的第四標準差、針對50x狀態(tài)碼的占比的第五標準差和針對正常用戶請求的時延的第六標準差;將所述第一標準差、所述第二標準差、所述第三標準差、所述第四標準差、所述第五標準差和所述第六標準差的集合,確定為所述標準差集合。優(yōu)選的,所述訪問成功率包括請求成功率和請求時延;則所述計算所述訪問成功率與所述預設參數(shù)集合中預設訪問成功率的第三變化值集合,包括:計算所述訪問成功率中請求成功率與預設訪問成功率中請求成功率的變化率;計算所述訪問成功率中請求時延與預設訪問成功率中請求時延的變化量;將所述變化率和所述變化量,確定為所述第三變化值集合。優(yōu)選的,所述主機性能參數(shù)包括:所述目標端的主機在接收到第一個syn包之后半開鏈接的數(shù)量;所述目標端的主機CPU;所述目標端的主機內存;所述目標端的連接表;所述目標端的主機輸入輸出次數(shù);以及,所述目標端的主機的進出流量占比。優(yōu)選的,所述網(wǎng)絡服務質量包括:在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡延時;在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡丟包率;在清洗所述原始數(shù)據(jù)流量過程中帶來的TCP可用性;在清洗所述原始數(shù)據(jù)流量過程中帶來的UDP可用性;以及,在清洗所述原始數(shù)據(jù)流量過程中帶來的抖動。一種量化防御結果的系統(tǒng),包括:業(yè)務端、位于云平臺的防御端、目標端以及與所述業(yè)務端、所述防御端和所述目標端相連的核心路由;所述核心路由,用于復制業(yè)務端訪問目標端的原始數(shù)據(jù)流量,獲得副本數(shù)據(jù)流量;所述防御端,用于獲取可疑數(shù)據(jù)流量集合,所述可疑數(shù)據(jù)流量集合為位于云平臺的防御端經(jīng)核心路由牽引業(yè)務端訪問目標端的原始數(shù)據(jù)流量后,由所述原始數(shù)據(jù)流量所包含的可疑IP地址集合中每個可疑IP地址對應的數(shù)據(jù)流 量所組成的,所述可疑IP地址集合為依據(jù)預設檢測規(guī)則在所述原始數(shù)據(jù)流量中確定的;獲取正常數(shù)據(jù)流量,所述正常數(shù)據(jù)流量為所述防御端對所述可疑數(shù)據(jù)流量集合按預設防御策略清洗后剩余的數(shù)據(jù)流量;獲權主機性能參數(shù),所述主機性能參數(shù)為所述防御端在將所述正常數(shù)據(jù)流量發(fā)送至目標端后,在所述目標端上提取得到的參數(shù)的集合;基于目標參數(shù)集合來量化防御結果;其中,所述目標參數(shù)集合至少包括:所述可疑數(shù)據(jù)流量集合、正常數(shù)據(jù)流量和主機性能參數(shù)。優(yōu)選的,所述防御端包括:與所述核心路由相連的可疑流量檢測裝置,用于依據(jù)預設檢測規(guī)則分析所述副本數(shù)據(jù)流量,獲得所述副本數(shù)據(jù)流量中包含的可疑IP地址集合,并發(fā)送所述可疑IP地址集合;與所述核心路由和所述可疑流量檢測裝置相連的可疑流量清洗裝置,用于獲取所述可疑IP地址集合,在所述核心路由的原始數(shù)據(jù)流量中牽引可疑數(shù)據(jù)流量集合,其中,按預設防御策略清洗所述可疑數(shù)據(jù)流量集合,并將所述可疑數(shù)據(jù)流量集合在清洗后剩余的正常數(shù)據(jù)流量,轉發(fā)至所述目標端;與所述可疑流量檢測裝置、所述可疑流量清洗裝置和所述目標端相連的云主機,用于在所述可疑流量檢測裝置上獲取所述可疑數(shù)據(jù)流量集合,所述可疑數(shù)據(jù)流量集合中包含與每個可疑IP地址對應的可疑數(shù)據(jù)流量;在所述可疑流量清洗裝置上獲取正常數(shù)據(jù)流量,在將所述正常數(shù)據(jù)流量發(fā)送至目標端后,在所述目標端上獲取表示目標端性能的主機性能參數(shù)。優(yōu)選的,所述系統(tǒng)還包括:與所述云主機相連的業(yè)務監(jiān)控裝置,用于控制多個位于不同地理位置的業(yè)務主機訪問所述目標端,依據(jù)所述目標端反饋的訪問成功率和請求時延,計算訪問成功率;將所述訪問成功率發(fā)送至所述云主機;相應的,所述目標參數(shù)集合還包括所述訪問成功率。優(yōu)選的,所述云主機還用于,依據(jù)所述可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量,計算網(wǎng)絡服務質量;相應的,所述目標參數(shù)集合還包括所述網(wǎng)絡服務質量。優(yōu)選的,所述核心路由還用于,將可疑流量清洗裝置在原始數(shù)據(jù)流量中牽引可疑數(shù)據(jù)流量集合之后剩余的數(shù)據(jù)流量,轉發(fā)至所述目標端。優(yōu)選的,所述云主機具體用于,利用所述目標參數(shù)集合以及預設參數(shù)集合確定所述各個參數(shù)的變化值集合;將所述各個參數(shù)的變化值集合與所述期望SLA等級中的各個參數(shù)范圍進行匹配;若匹配成功,則確定防御端的防御效果達到所述期望SLA等級;若匹配不成功,確定所述防御端的防御效果未達到所述期望SLA等級。優(yōu)選的,所述云主機還用于,在匹配不成功的情況下,將當前的防御策略的前一防御策略,確定為所述預設防御策略;其中,所述預設參數(shù)集合為預先存儲的、無攻擊數(shù)據(jù)流量的情況下各個參數(shù)的集合;所述防御端中存儲有按順序排列的多個SLA等級,以及,與每個SLA等級對應的一個防御策略,SLA等級越小表示目標端所享受的服務等級越高,并且,前一SLA等級的對應的防御策略優(yōu)于后一SLA等級對應的防御策略。優(yōu)選的,所述主機性能參數(shù),包括:所述目標端的主機在接收到第一個syn包之后半開鏈接的數(shù)量;所述目標端的主機CPU;所述目標端的主機內存;所述目標端的連接表;所述目標端的主機輸入輸出次數(shù);以及,所述目標端的主機的進出流量占比。優(yōu)選的,所述網(wǎng)絡服務質量包括:在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡延時;在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡丟包率;在清洗所述原始數(shù)據(jù)流量過程中帶來的TCP可用性;在清洗所述原始數(shù)據(jù)流量過程中帶來的UDP可用性;以及,在清洗所述原始數(shù)據(jù)流量過程中帶來的抖動。由以上技術內容可以看出本申請具有以下有益效果:本申請實施例將防御端設置于云平臺,在云平臺防御端可以將業(yè)務端的原始數(shù)據(jù)流量牽引到自身,目標端的業(yè)務一般都是在云平臺上運行,所以防御端可以在云平臺上獲得目標端的數(shù)據(jù)流量,同時,防御端還可以獲得自身 的數(shù)據(jù)流量。所以,在云平臺下可以將業(yè)務端、目標端和防御端三者的數(shù)據(jù)流量統(tǒng)一集中,從而可以獲得三端的數(shù)據(jù)流量。由于,本申請中可以將業(yè)務端、防御端和目標端三部分的數(shù)據(jù)流量進行統(tǒng)一分析,從而使得評估防御結果的評價角度和指標較為全面,進而使得防御結果較為準確。附圖說明為了更清楚地說明本申請實施例或現(xiàn)有技術中的技術方案,下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述中的附圖僅僅是本申請的一些實施例,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為現(xiàn)有網(wǎng)絡系統(tǒng)架構的一種示意圖;圖2為本申請實施例公開的量化防御結果的系統(tǒng)的結構示意圖;圖3為本申請實施例公開的又一量化防御結果的系統(tǒng)的結構示意圖;圖4為本申請實施例公開的又一量化防御結果的系統(tǒng)的結構示意圖;圖5為本申請實施例公開的又一量化防御結果的系統(tǒng)的結構示意圖;圖6為本申請實施例公開的量化防御結果的方法的流程圖;圖7為本申請實施例公開的量化防御結果的方法中計算防御結果的流程圖。具體實施方式下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例?;诒旧暾堉械膶嵤├绢I域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本申請保護的范圍。現(xiàn)有技術中在量化防御結果過程中的評價角度和評價指標不全面的根本原因在于:無法將業(yè)務端、防御端和目標端三者的數(shù)據(jù)流量進行統(tǒng)一集中。三者的數(shù)據(jù)流量無法統(tǒng)一集中的原因為:攻擊端的數(shù)據(jù)流量來自網(wǎng)絡的外部,防御端的數(shù)據(jù)流量一般是在網(wǎng)絡的邊界或者出口,目標端的數(shù)據(jù)流量一般是歸屬用戶自己管理,即三者的數(shù)據(jù)流量不在同一系統(tǒng)中;并且,業(yè)務端、目 標端和防御端三者之間無接口,即三者之間數(shù)據(jù)流量無法通過接口進行數(shù)據(jù)共享;所以三者數(shù)據(jù)流量難以統(tǒng)一集中。為此,本申請?zhí)峁┑囊环N量化防御結果的系統(tǒng)。如圖2所示,量化防御結果的系統(tǒng)包括:業(yè)務端100,位于云平臺的防御端200,目標端300,以及,與所述業(yè)務端100、防御端200和目標端300相連的核心路由400。本實施例中防御端200旁路設置在核心路由400的一側。下面詳細介紹量化防御結果的系統(tǒng)中各部分的作用:(1)業(yè)務端100本申請中業(yè)務端100可以包含有多個業(yè)務主機,每個業(yè)務主機均有唯一的源地址(IP地址),每個業(yè)務主機均可以向目標端300發(fā)送數(shù)據(jù)流量。因此,業(yè)務端100向目標端300發(fā)送的原始數(shù)據(jù)流量中包含有多個業(yè)務主機發(fā)送的數(shù)據(jù)流量,每個數(shù)據(jù)流量中均包含業(yè)務主機的源地址,即原始數(shù)據(jù)流量中包含有多個業(yè)務主機的源地址(IP地址)。由于一部分業(yè)務主機是正常業(yè)務主機,一部分業(yè)務主機是攻擊業(yè)務主機,所以原始數(shù)據(jù)流量中一部分是由正常業(yè)務主機發(fā)送的正常數(shù)據(jù)流量,一部分是由攻擊業(yè)務主機發(fā)送的攻擊數(shù)據(jù)流量。業(yè)務端100可以將旨在發(fā)送至目標端300的原始數(shù)據(jù)流量發(fā)送至核心路由400。(2)核心路由400核心路由400,用于復制業(yè)務端訪問目標端的原始數(shù)據(jù)流量,獲得副本數(shù)據(jù)流量。核心路由400可以采用分光器分光方式或者軟件程序復制的方式,將業(yè)務端100訪問目標端300的原始數(shù)據(jù)流量進行復制,從而得到與原始數(shù)據(jù)流量一致的副本數(shù)據(jù)流量。這可以方便后續(xù)防御端200可以對副本數(shù)據(jù)流量進行檢測,以查看副本數(shù)據(jù)流量中是否有具有攻擊數(shù)據(jù)流量。(3)防御端200如圖3所示,所述防御端200具體包括:(a)可疑流量檢測裝置201??梢闪髁繖z測裝置201與所述核心路由400相連,用于依據(jù)預設檢測規(guī)則分析所述副本數(shù)據(jù)流量,獲得所述副本數(shù)據(jù)流量中包含的可疑IP地址集合,并發(fā)送所述可疑IP地址集合。可疑流量檢測裝置201中的預設檢測規(guī)則可以為具有攻擊性的多個異常IP地址。由可疑IP地址發(fā)送而來的數(shù)據(jù)流量為可能具有攻擊性的可疑數(shù)據(jù)流量??梢闪髁繖z測裝置201在獲得副本數(shù)據(jù)流量后,可以提取其中所有IP地址,然后可以將所有IP地址與預設檢測規(guī)則中的異常IP地址進行對比。當副本數(shù)據(jù)流量中所有IP地址包含有異常IP地址時,則說明副本數(shù)據(jù)流量中包含有可疑數(shù)據(jù)流量。將副本數(shù)據(jù)流量中所包含的所有異常IP地址作為可疑IP地址,將所有可疑IP地址的集合稱為可疑IP地址集合,將可疑IP地址集合發(fā)送至可疑流量清洗裝置202。在確定可疑IP地址集合后,在副本數(shù)據(jù)流量中提取與每個可疑IP地址對應的可疑數(shù)據(jù)流量,將所有可疑數(shù)據(jù)流量的集合稱為可疑數(shù)據(jù)流量集合;并將可疑數(shù)據(jù)流量集合發(fā)送至云主機203,供云主機203計算防御結果使用。(b)可疑流量清洗裝置202。與所述核心路由400和所述可疑流量檢測裝置201相連的可疑流量清洗裝置202,用于獲取所述可疑IP地址集合,在所述核心路由400的原始數(shù)據(jù)流量中牽引可疑數(shù)據(jù)流量集合,其中,按預設防御策略清洗所述可疑數(shù)據(jù)流量集合,并將所述可疑數(shù)據(jù)流量集合在清洗后剩余的正常數(shù)據(jù)流量,轉發(fā)至所述目標端300??梢闪髁壳逑囱b置202在獲得可疑IP地址集合之后,便在核心路由400的原始數(shù)據(jù)流量中牽引與每個可疑IP地址對應的可疑數(shù)據(jù)流量,并將所有可疑數(shù)據(jù)流量的集合組成可疑數(shù)據(jù)流量集合。在原始數(shù)據(jù)流量中去除可疑數(shù)據(jù)流量集合后剩余數(shù)量,為不具有攻擊性IP地址對應的數(shù)據(jù)流量,所以這部分數(shù)據(jù)流量可以不用牽引至可疑流量清洗裝置202中進行清洗,直接由核心路由400轉發(fā)至目標端300即可??梢蓴?shù)據(jù)流量集合為從可疑IP地址傳輸而來的數(shù)據(jù)流量,所以可疑數(shù)據(jù)流量集合中可疑數(shù)據(jù)流量可能是正常數(shù)據(jù)流量,可能是攻擊數(shù)據(jù)流量。因此,可疑流量清洗裝置202在獲得可疑數(shù)據(jù)流量集合后,需要依據(jù)預設防御策略清洗可疑數(shù)據(jù)流量集合中的攻擊數(shù)據(jù)流量??梢?,本申請中可疑流量清洗裝置203僅需對原始數(shù)據(jù)流量中可疑數(shù)據(jù)流量集合進行清洗即可,而無需全部的原始數(shù)據(jù)流量進行清洗。由于減少了可疑流量清洗裝置203的數(shù)據(jù)流量,所以,可以提高可疑流量清洗裝置203的清洗效率。理論上,經(jīng)過可疑流量清洗裝置202清洗之后輸出的數(shù)據(jù)流量為不具有攻擊性的正常數(shù)據(jù)流量。所以,可以將正常數(shù)據(jù)流量轉發(fā)至目標端300,以便業(yè)務端100訪問目標端300的正常數(shù)據(jù)流量可以轉發(fā)至目標端300?,F(xiàn)實情況下,可疑流量清洗裝置202中的預設防御策略并一定是最適用于目標端的防御策略。即按預設防御策略清洗可疑數(shù)據(jù)流量集合后得到的數(shù)據(jù)流量中仍然有攻擊數(shù)據(jù)流量(此時說明防御策略過松);或者,清洗后得到的數(shù)據(jù)流量中原本正常的數(shù)據(jù)流量被清洗掉(此時說明防御策略過緊)。因此,可疑流量清洗裝置202可以將可疑數(shù)據(jù)流量集合在清洗后剩余的正常數(shù)據(jù)流量,發(fā)送至云主機203,以便供云主機203計算防御結果,從而根據(jù)防御結果來改善預設防御策略。(c)云主機203。與所述可疑流量檢測裝置201、所述可疑流量清洗裝置202和所述目標端300相連的云主機203,用于在所述可疑流量檢測裝置201上獲取所述可疑數(shù)據(jù)流量集合,所述可疑數(shù)據(jù)流量集合中包含與每個可疑IP地址對應的可疑數(shù)據(jù)流量;在所述可疑流量清洗裝置202上獲取正常數(shù)據(jù)流量,在將所述正常數(shù)據(jù)流量發(fā)送至目標端300后,在所述目標端300上獲取表示目標端300性能的主機性能參數(shù);將目標參數(shù)集合確定為量化防御結果的基礎;其中,所述目標參數(shù)集合至少包括:所述可疑數(shù)據(jù)流量集合、所述正常數(shù)據(jù)流量和所述主機性能參數(shù)。云主機203在可疑流量檢測裝置201上獲取可疑數(shù)據(jù)流量集合,在可疑流量清洗裝置202上獲取按預設防御策略清洗后的正常數(shù)據(jù)流量,利用這兩 部分數(shù)據(jù)計算清洗前和清洗后的數(shù)據(jù)流量的變化率;并將變化率作為量化防御結果的一個依據(jù)。由于清洗后的正常數(shù)據(jù)流量發(fā)送至目標端300,所以,正常數(shù)據(jù)流量會對目標端產(chǎn)生直接的影響,即目標端300的性能狀態(tài)最先產(chǎn)生變化,例如,CPU占用過多、無法響應等等。因此,在將清洗后得到的正常數(shù)據(jù)流量發(fā)送至目標端300后,可以提取目標端的主機性能參數(shù),將主機性能參數(shù)作為量化防御結果的一個依據(jù)。其中,所述主機性能參數(shù),包括:所述目標端的主機在接收到第一個syn包之后半開鏈接的數(shù)量;所述目標端的主機CPU;所述目標端的主機內存;所述目標端的連接表;所述目標端的主機輸入輸出次數(shù);以及,所述目標端的主機的進出流量占比。在本申請?zhí)峁┑牧炕烙Y果的系統(tǒng)下,位于云平臺的防御端200可以在核心路由上通過路由調度策略將業(yè)務端100的原始數(shù)據(jù)流量牽引至自身;目標端300的業(yè)務一般都是在云平臺上運行,所以,防御端200可以在云平臺上獲得目標端300的數(shù)據(jù)流量;同時,位于云平臺的防御端200還可以在云平臺獲得自身的數(shù)據(jù)流量。所以,在云平臺上可以將業(yè)務端100、目標端300和防御端200三者的數(shù)據(jù)流量進行統(tǒng)一集中。此外,由于業(yè)務端100、目標端300和防御端200三者的數(shù)據(jù)流量均經(jīng)過云平臺下,云平臺具有統(tǒng)一數(shù)據(jù)格式的作用。因此,云平臺上可以將三者的數(shù)據(jù)格式統(tǒng)一,從而可以方便對三者的數(shù)據(jù)流量進行統(tǒng)一分析。因此,在云平臺上防御端200可以通過大數(shù)據(jù)分析的能力,同時對業(yè)務端100、目標端300和防御端200三者數(shù)據(jù)流量進行統(tǒng)一分析,由于量化防御結果的評估角度和指標較為全面,所以可以得到準確的防御效果。為了使云主機203計算得到的防御結果更加準確,如圖4所示,本申請?zhí)峁┑牧炕烙Y果的系統(tǒng)還包括:與所述云主機相連的業(yè)務監(jiān)控裝置500。業(yè)務監(jiān)控裝置500用于控制多個位于不同地理位置的業(yè)務主機訪問所述目標端300,依據(jù)所述目標端300反饋的請求成功率和請求時延,計算訪問成 功率;將所述訪問成功率發(fā)送至所述云主機203。將訪問成功率作為目標參數(shù)集合的一員,以便供云主機203計算防御結果。在可疑流量清洗裝置202將清洗后的正常數(shù)據(jù)流量發(fā)送至目標端300之后,正常數(shù)據(jù)流量(若清洗效果不好則可能攜帶有攻擊數(shù)據(jù)流量)可能會目標端造成正常運行造成影響。例如,假設目標端為“淘寶網(wǎng)”,在正常數(shù)據(jù)流量發(fā)送至目標端之后,可能造成用戶無法正常打開“淘寶網(wǎng)”頁面的情況。所以,業(yè)務監(jiān)控裝置500可以控制位于不同地址位置的多個業(yè)務主機訪問目標端300,來計算目標端300的訪問成功率,從訪問成功率上查看清洗后的正常數(shù)據(jù)流量是否對目標端的正常業(yè)務造成影響。例如,控制地理位置為深圳、北京、上海和廣州等多個業(yè)務主機訪問“淘寶網(wǎng)”,根據(jù)“淘寶網(wǎng)”是否能夠打開頁面以及打開頁面的速度,來計算多個業(yè)務主機的訪問成功率。然后,將多個業(yè)務主機的平均訪問成功率作為“淘寶網(wǎng)”的訪問成功率。在得到目標端300的訪問成功率之后,將訪問成功率作為目標參數(shù)集合的一員,以便供云主機203計算防御結果。此外,量化防御結果的目標參數(shù)集合中還可以包括:網(wǎng)絡服務質量。防御端200對可疑數(shù)據(jù)流量集合進行清洗的過程中,可能會引起整體網(wǎng)絡的抖動,造成網(wǎng)絡服務質量下降、目標端300的訪問成功率下降和主機性能參數(shù)下降,進而影響防御結果的計算。所以,所述云主機203還用于,依據(jù)所述可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量,計算網(wǎng)絡服務質量;并將所述網(wǎng)絡服務質量作為目標參數(shù)集合的一員。這使得云主機203在計算防御結果時可以考慮網(wǎng)絡服務質量,從而得出合理的防御效果。其中,網(wǎng)絡服務質量包括:所述網(wǎng)絡服務質量包括:在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡延時;在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡丟包率;在清洗所述原始數(shù)據(jù)流量過程中帶來的TCP可用性;在清洗所述原始數(shù)據(jù)流量過程中帶來的UDP可用性;以及,在清洗所述原始數(shù)據(jù)流量過程中帶來的抖動。上述圖2-圖4所示的量化防御結果的系統(tǒng)即適用于光纖網(wǎng)絡又適用于非光纖網(wǎng)絡。在光纖網(wǎng)絡中數(shù)據(jù)流量較大,所以利用核心路由對原始流量進行復制的速率較慢。為了加快對原始數(shù)據(jù)流量的復制過程,本申請?zhí)峁┝艘环N適用于光線網(wǎng)絡的量化防御結果的系統(tǒng)。如圖5所示,本申請的量化防御結果的系統(tǒng),包括:業(yè)務端100,與所述業(yè)務端100相連的分光器600,位于云平臺的防御端200,目標端300,以及,與所述分光器600、防御端200和目標端300相連的核心路由400。本實施例中防御端200旁路設置在核心路由400的一側。本實施例中由分光器600來實現(xiàn)對業(yè)務端100發(fā)送至目標端300的原始流量進行復制得到副本數(shù)據(jù)流量的過程,并將副本數(shù)據(jù)流量和原始數(shù)據(jù)流量發(fā)送至核心路由400。本實施例中其它內容與圖2-圖4所示的內容一致,在此不再贅述。在上述圖2-圖5所示的量化防御結果的系統(tǒng)的基礎上,下面介紹本申請的量化防御結果的方法的實施例,本實施例應用于量化防御結果的系統(tǒng)的防御端的云主機。如圖6所示,所述方法具體包括以下步驟S601~S602:步驟S601:獲取可疑數(shù)據(jù)流量集合;其中,所述可疑數(shù)據(jù)流量集合為位于云平臺的防御端經(jīng)核心路由牽引業(yè)務端訪問目標端的原始數(shù)據(jù)流量后,由所述原始數(shù)據(jù)流量所包含的可疑IP地址集合中每個可疑IP地址對應的數(shù)據(jù)流量所組成的,所述可疑IP地址集合為依據(jù)預設檢測規(guī)則在所述原始數(shù)據(jù)流量中確定的。步驟S602:獲取正常數(shù)據(jù)流量;其中,所述正常數(shù)據(jù)流量為所述防御端對所述可疑數(shù)據(jù)流量集合按預設防御策略清洗后剩余的數(shù)據(jù)流量。步驟S603:獲權主機性能參數(shù);其中,所述主機性能參數(shù)為所述防御端在將所述正常數(shù)據(jù)流量發(fā)送至目標端后,在所述目標端上提取得到的參數(shù)的集合。步驟S604:基于目標參數(shù)集合來量化防御結果;其中,所述目標參數(shù)集合至少包括:所述可疑數(shù)據(jù)流量集合、正常數(shù)據(jù)流量和主機性能參數(shù)。此外,所述目標參數(shù)集合還包括:與所述防御端相連的業(yè)務監(jiān)控裝置發(fā)送的訪問成功率;其中,所述訪問成功率為所述業(yè)務監(jiān)控裝置在控制多個位于不同地理位置的業(yè)務端訪問所述目標端后,依據(jù)所述目標端反饋的請求成功率和請求時延計算得到的。網(wǎng)絡服務質量;其中,所述網(wǎng)絡服務質量為所述防御端依據(jù)可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量計算得到的。防御端的云主機獲取目標參數(shù)集合的過程,已在圖2-圖5所示的量化防御結果的系統(tǒng)實施例中進行清楚說明,此處不再贅述。由此可以看出,本申請具有以下有益效果:本申請實施例將防御端設置于云平臺,在云平臺防御端可以將業(yè)務端的原始數(shù)據(jù)流量牽引到自身,目標端的業(yè)務一般都是在云平臺上運行,所以防御端可以在云平臺上獲得目標端的數(shù)據(jù)流量,同時,防御端還可以獲得自身的數(shù)據(jù)流量。所以,在云平臺下可以將業(yè)務端、目標端和防御端三者的數(shù)據(jù)流量統(tǒng)一集中,從而可以獲得三端的數(shù)據(jù)流量。由于,本申請中可以將業(yè)務端、防御端和目標端三部分的數(shù)據(jù)流量進行統(tǒng)一分析,從而使得評估防御結果的評價角度和指標較為全面,進而使得防御結果較為準確。在得到目標參數(shù)集合后可以計算防御結果。在介紹計算防御結果的內容之前,首先說明防御端中可疑流量清洗裝置所使用的防御策略和SLA等級。其中,SLA為Service-LevelAgreement的縮寫,意思是服務等級協(xié)議。SLA為關于網(wǎng)絡服務供應商和客戶間的一份合同,其中定義了服務類型、服務質量和客戶付款等術語。在防御端中預先存儲有多個防御策略,一個防御策略對應一個理論上應達到的SLA等級。比如,第一SLA等級對應第一防御策略,第二SLA等級對應第二防御策略,第三SLA等級對應第三防御策略,依次類推。并且,第一SLA等級、第二SLA等級和第三SLA等級的對用戶而言,服務質量逐漸降低,同理,第一防御策略、第二防御策略和第三防御策略對于攻擊流量而言逐漸變松。即,防御策略越緊對應的防御結果越好,使得目標端的SLA等級越高。在使用防御端清洗原始流量之前,目標端300的用戶與網(wǎng)絡服務提供商之間協(xié)商,并設定目標端300所希望達到的期望SLA等級。網(wǎng)絡服務提供商 會依據(jù)與期望SLA等級對應的防御策略作為預設防御策略,采用預設防御策略阻擋攻擊目標端的攻擊數(shù)據(jù)流量,并使得最終的防御結果達到用戶所希望的期望SLA等級。為了使得目標端達到的期望SLA等級,在圖2所示的可疑流量清洗裝置中預先設定有與期望SLA等級對應的預設防御策略。理論上,該防御策略能夠使得防御結果達到對應的期望SLA等級。但是,隨著攻擊數(shù)據(jù)流量的不斷變化,攻擊數(shù)據(jù)流量可能會突破防御策略而攻擊目標端,進而使得目標端上的SLA等級低于期望SLA等級。所以,可以計算目標端所得到防御效果是否達到期望SLA等級。如圖7所示,包括以下步驟:步驟S701:利用所述目標參數(shù)集合以及預設參數(shù)集合確定所述各個參數(shù)的變化值集合;其中,所述預設參數(shù)集合為預先存儲的、無攻擊數(shù)據(jù)流量的情況下各個參數(shù)的集合。詳細的計算過程,將在本實施例之后進行詳細說明。步驟S702:判斷是否匹配成功,即將所述各個參數(shù)的變化值集合與所述期望SLA等級中的各個參數(shù)范圍進行匹配,并判斷是否匹配成功。在云主機中存儲有每個SLA等級的各個參數(shù)的范圍。將按目標參數(shù)集合計算得到的各個參數(shù)變化值與期望SLA等級的參數(shù)范圍進行對比。步驟S703:若匹配成功,則確定防御端的防御效果達到所述期望SLA等級。若各個參數(shù)的變化值集合在期望SLA等級規(guī)定的范圍內,則表示目前的防御效果達到期望的防御效果;可以按照繼續(xù)按照可疑流量清洗裝置中預設防御策略繼續(xù)對訪問目標端的數(shù)據(jù)流量進行清洗。步驟S704:若匹配不成功,則將當前的防御策略的前一防御策略,確定為所述預設防御策略;重新進入步驟S701。其中,所述防御端中存儲有按順序排列的多個SLA等級,以及,與每個SLA等級對應的一個防御策略,SLA等級越小表示目標端所享受的服務等級越高,并且,前一SLA等級的對應的防御策略優(yōu)于后一SLA等級對應的防御策略。若匹配不成功,則確定防御端的防御效果未達到所述期望SLA等級。即:若各個參數(shù)的變化值集合未在期望SLA等級規(guī)定的范圍內,則表示目前的防 御效果未達到期望的防御效果,即表示可疑流量清洗裝置中預設防御策略過松,不能達到期望SLA等級。所以,需要收緊防御策略,以便經(jīng)過防御策略清洗后的防御效果達到期望SLA等級。因此,選擇當前防御策略的前一防御策略,確定為預設防御策略。然后,按最新的預設防御策略繼續(xù)對訪問目標端的數(shù)據(jù)流量進行清洗,并按本申請的方法計算防御結果(各個參數(shù)的變化值集合),并判斷防御結果(各個參數(shù)的變化值集合)是否達到期望SLA等級(期望SLA等級各個參數(shù)范圍)。若仍防御結果未達到期望SLA等級,在繼續(xù)收緊防御策略,重復執(zhí)行計算防御結果的過程,直接判定防御結果達到期望SLA等級。下面結合具體的應用場景,來對步驟S701:利用所述目標參數(shù)集合以及預設參數(shù)集合確定所述各個參數(shù)的變化值集合的步驟,進行詳細說明。(1)流量性能參數(shù)即依據(jù)所述可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量,計算輸入?yún)f(xié)議報文和輸出協(xié)議報文變化率的變化量集合。其中,所述輸入?yún)f(xié)議報文從所述可疑數(shù)據(jù)流量集合中提取得到的,所述輸出協(xié)議報文從所述正常數(shù)據(jù)流量中提取得到。業(yè)務端和目標端的傳輸方式為一對一的,例如:業(yè)務端向目標端發(fā)送建立連接請求,則目標端向業(yè)務端與建立連接確認指令。所以,業(yè)務端向目標端發(fā)送的報文,與目標端向業(yè)務端發(fā)送的報文數(shù)量理應為一致的。當輸出的報文數(shù)量或輸入的報文數(shù)量突然增大時,則說明防御端的清洗效果不好。下面以具體三種流量型攻擊為例,對本步驟進行詳細說明:(a)目標端受到synflood攻擊在正常情況下,業(yè)務端向目標端發(fā)送syn(可以建立連接?)請求報文,目標端會反饋syn-ack(可以+請確認)報文,業(yè)務端再次向目標端發(fā)送ack(確認)報文,從而建立兩者連接。在目標端受到synflood攻擊(即攻擊端向目標端發(fā)送大量syn請求報文)的情況下,如果防御策略的清洗效果不好,輸出方向的syn-ack報文將會增多;但是,業(yè)務端發(fā)出的第三個ack報文會減少。因此,計算syn報文清洗前和清洗后的增加比率Psyn,以及,syn-ack報文清洗前和清洗后的增加比率Psyn-ack。Psyn=(ppssyn–pps`syn)/ppssynPsyn-ack=(ppssyn-ack–pps`syn-ack)/ppssyn-ackP1=Psyn-Psyn-ack其中,ppssyn為按預設防御策略清洗前的syn報文數(shù)量,pps`syn為按預設防御策略清洗后的syn報文數(shù)量;ppssyn-ack為按預設防御策略清洗前的syn-ack報文數(shù)量,pps`syn為按預設防御策略清洗后的syn-ack報文數(shù)量,P1代表防御端的防御結果。理想情況下,輸入方向的syn包和輸出方向的syn-ack報文是1:1,即P1=0。所以P1的值越大的時候,代表了輸入方向的syn報文大部分沒有得到響應,此時,表示防御結果越差。(b)目標端受到ackflood攻擊在正常情況下,業(yè)務端向目標端發(fā)送ack(確認)請求報文,目標端在確認未與業(yè)務端建立連接時,業(yè)務端向目標端發(fā)送rst(復位)報文。即,如果目標端收到的一個明顯不屬于自己的一個連接,則向業(yè)務端發(fā)送一個復位包。在目標端受到ackflood攻擊的情況下,如果防御端的清洗效果不好,則rst報文將會增多。因此,計算ack報文清洗前和清洗后的增加比率Pack,計算rst報文清洗前和清洗后的增加比率Prst。Pack=(ppsack–pps`ack)/ppsackPrst=(ppsrst–pps`rst)/ppsrstP2=Pack-Prst其中,ppsack為按預設防御策略清洗前的rst報文數(shù)量,pps`ack為按預設防御策略清洗后的rst報文數(shù)量,ppsrst為按預設防御策略清洗前的rst報文數(shù)量,pps`rst為按預設防御策略清洗后的rst報文數(shù)量,P2代表防御端的防御結果。理想情況下,輸入方向的ack報文和輸出方向的rst報文是1:1,即P2=0。所以P2的值越大的時候,代表了輸入方向的ack報文大部分沒有得到響應,此時,表示防御結果越差。(c)目標端受到icmpflood攻擊在目標端受到icmpflood攻擊的情況下,如果防御端的清洗效果不好,icmpresponse報文將會增多。因此,計算icmp報文清洗前和清洗后的增加比率Picmp,計算icmpresponse報文清洗前和清洗后的增加比率Picmpresponse。Picmp=(ppsicmp–pps`icmp)/ppsicmpPicmp-reponse=(ppsicmp-reponse–pps`icmp-reponse)/ppsicmp-reponseP3=Picmp-Picmp-reponse其中,ppsicmp為清洗前的icmp報文數(shù)量,pps`icmp為清洗后icmp報文數(shù)量,ppsicmp-reponse為清洗前的icmpresponse報文數(shù)量,pps`icmp-reponse為清洗后icmpresponse報文數(shù)量,P3代表防御端的防御結果。理想情況下,輸入方向的icmp報文和輸出方向的icmpresponse報文是1:1,即P3=0。所以P3的值越大的時候,代表輸入方向的icmp報文大部分沒有得到響應,此時,表示防御結果較差。以上列舉了計算輸入?yún)f(xié)議報文和輸出協(xié)議報文的占比的三個實例??梢岳斫獾氖?,還可以計算其它表征防御結果的流量類型的占比,來評估防御結果。在此不再一一列舉。本步驟主要用于評估流量型攻擊的防御結果。其中,synflood攻擊、ackflood攻擊和icmpflood攻擊均為流量型攻擊。因此,在獲得所有用于評估防御結果的比率后(P1、P2和P3),計算多個防御結果比率的平均值,作為針對評估流量型攻擊的防御結果。由于,本步驟主要用于評估流量型攻擊的防御結果,synflood攻擊是流量型攻擊中的典型代表,所以,也可以直接采用P1作為對流量型攻擊的防御結果。流量性能參數(shù)的另一表現(xiàn)形式為:計算所述正常數(shù)據(jù)流量的核心數(shù)據(jù)集與所述預設參數(shù)集合中的預設核心數(shù)據(jù)集之間的標準差集合。本步驟的主要目的在于,通過實時獲取請求報文和相應的響應報文的占比以及分析http的狀態(tài)碼的變化,來評估正常請求報文和異常請求報文的占比是否符合預期。在具體使用過程中,可以計算表征正常數(shù)據(jù)流量的核心數(shù)據(jù)集;其中,核心數(shù)據(jù)集包括請求應答率、業(yè)務成功率、30x狀態(tài)碼的占比、40x狀態(tài)碼的占比、50x狀態(tài)碼的占比和正常用戶請求的時延。下面對核心數(shù)據(jù)集中各個參數(shù)進行詳細說明:(a)站點的請求應答率Prequest目標端的請求報文和響應報文比值是在不斷變化的。以統(tǒng)計周期t為例,比如t1到t2時間段內突然開始有攻擊,則http的請求報文和響應報文都會增多。當防御端的防御結果不好時,正常的請求報文得到響應報文則會特別少。所以,統(tǒng)計請求報文和響應報文的占比,如果防御端的清洗效果不好,那么請求報文和響應報文的比值將會低于某一個極限值。Prequest=Chave_response/Crequest_total*100%其中,Prequest為站點的請求應答率,Chave_response為響應報文的數(shù)量,Crequest_total為總的請求報文的數(shù)量。(b)200ok報文的占比200ok報文是表示業(yè)務請求成功的報文,則P200ok表示業(yè)務成功率。請求響應的比例Prequest僅可以衡量當前網(wǎng)絡http流量情況。而P200ok能反映業(yè)務端得到的響應的概率。P200ok=Chave_200ok/Chave_response*100%其中,Chave_200ok表示業(yè)務請求成功的報文,Chave_response為響應報文的數(shù)量。(c)30x、40x、50x等狀態(tài)碼的占比在正常數(shù)據(jù)流量中出現(xiàn)誤丟包的時候會出現(xiàn)30x、40x和50x等狀態(tài)碼。大量的GET包得不到響應,一般會返回40x和50x錯誤的狀態(tài)碼。因此,狀態(tài)碼的占比可以衡量防御出現(xiàn)誤殺正常數(shù)據(jù)流量的情況。值得注意的是,某些防護系統(tǒng)會使用人機識別機制來判斷訪問者是否是真實的瀏覽器。如業(yè)界常用的urlredirect算法,即是通過返回一個302(30x)狀態(tài)碼來判斷訪問者是程序還是真實的瀏覽器,所以網(wǎng)絡中302(30x)狀態(tài)碼的劇增,也可以作為評估防御結果的指標。以上三種指標可以綜合衡量CC攻擊的清洗率P30x=Chave_30x/Chave_response*100%P40x=Chave_40x/Chave_response*100%P50x=Chave_500/Chave_response*100%其中,P30x表示30x的狀態(tài)碼在響應報文中的占比,Chave_30x表示30x的報文數(shù)量;P40x表示40x的狀態(tài)碼在響應報文中的占比,Chave_40x表示40x的報文數(shù)量;P50x表示50x的狀態(tài)碼在響應報文中的占比,Chave_50xx表示50x的報文數(shù)量。(d)正常用戶的請求的RTT(請求時延),假設用戶在攻擊時間內共發(fā)起了n次請求,則評估本次攻擊事件的時候,以用戶的平均時延作為參考。(e)確定核心數(shù)據(jù)集將經(jīng)過(a)、(b)、(c)和(d)得到的Prequest,P200ok,P30x,P40x,P50x,T0構建核心數(shù)據(jù)集M,M定義了攻擊時刻核心流量指標的數(shù)據(jù)。為了更加準確的確定防御結果,因此可以計算多個核心數(shù)據(jù)集的數(shù)組M。例如,統(tǒng)計n個核心數(shù)據(jù)集形成數(shù)組M,則M={M1,M2,…Mi…Mn};其中,Mi={Prequest,P200ok,P30x,P40x,P50x,T0},i=1、2……n。針對云環(huán)境下的服務基于歷史的大數(shù)據(jù)分析,得出另外一組核心數(shù)據(jù)集N。即N={P`request,P`200ok,P`30x,P`40x,P`50x,T`0}。N表示在沒有攻擊時的各個指標的占比,即標準的核心數(shù)據(jù)集。理想情況下,這些指標的變化不會出現(xiàn)明顯的波動。但是,當防御策略不夠理想時,可能會導致個別指標出現(xiàn)急劇變化。如,在某一次的攻擊事件中出現(xiàn)了200ok狀態(tài)碼和歷史同期相比巨大的變化曲線時,則表示防御結果較差從而導致正常請求報文的響應減少。因此,本申請用標準差來評估攻擊時防御策略對業(yè)務指標造成的影響,將核心數(shù)據(jù)集N作為平均值,然后針對每個參數(shù)計算標準差。以指標Prequest為例,對計算標準差的公式進行詳細說明:其中,σrequst為表示Prequest的標準差,Prequesti為第i個Prequest的值,n為數(shù)組M中核心數(shù)據(jù)集的個數(shù)。P`request在此處代表平均值,核心數(shù)據(jù)集N中的P`request。按上述方式計算數(shù)組M={M1,M2,…Mi…Mn}與N中每個參數(shù)的標準差,從而得到多個標準差σ={σrequst,σ200ok,σ30x,σ40x,σ50x,σ0}。當標準差越小時,則表示防御結果越好,當標準差越大時,則表示防御結果越差。(2)主機性能參數(shù)即計算所述主機性能參數(shù)和所述預設參數(shù)集合中的預設主機性能參數(shù)之間的第二變化值集合。在可疑流量清洗裝置按預設防御策略清洗后的正常數(shù)據(jù)流量傳輸至所述目標端后,獲取目標端的主機性能參數(shù)。因為,DDos攻擊時受害主機最先產(chǎn)生狀態(tài)的變化,獲取受害主機的性能參數(shù),可以直接量化出攻擊流量對主機產(chǎn)生的影響。主機性能參數(shù)在某些情況下,比監(jiān)測網(wǎng)絡流量變化更為方便。例如,一個典型的例子就是tcp慢連接發(fā)生時,可能網(wǎng)絡流量并無異常。但是,觀察目標端主機的連接表可以發(fā)現(xiàn)有大量殘余的連接。因此,通過評估主機性能參數(shù),作為衡量防御端的一個重要因素。參見表1,所述主機性能參數(shù)包括:所述目標端的主機在接收到第一個syn包之后半開鏈接的數(shù)量,所述目標端的主機CPU,所述目標端的主機內存,所述目標端的連接表,所述目標端的主機輸入輸出次數(shù),以及,所述目標端的主機的進出流量占比。表1(3)訪問成功率即計算所述訪問成功率與所述預設參數(shù)集合中預設訪問成功率的第三變化值集合。訪問成功率可以包含請求成功率和請求時延,然后計算請求成功率與預設訪問成功率之間的變化率,以及,計算請求時延與預設請求時延之間的變化量,并將該變化率和變化量作為第三變化值集合。由于攻擊流量會對目標端造成影響,進而影響目標端的業(yè)務性能。為了確定目標端目前的業(yè)務性能(能夠正常響應正常業(yè)務請求),本申請實施例控制正常業(yè)務端訪問目標端。然后通過計算請求成功率的變化率和請求時延的變化量,來確定攻擊數(shù)據(jù)流量對目標端的影響,這可以從側面反映防御結果的好壞。(4)網(wǎng)絡服務質量。即計算所述網(wǎng)絡服務質量與所述預設參數(shù)集合中預設網(wǎng)絡服務質量的第四變化值集合?;诜植际江h(huán)境下,針對被攻擊主機的防御策略可能影響整體的網(wǎng)絡狀態(tài)。因此,帶來的后果是其它未被攻擊的主機也會受到影響。所以,在評估防御成功率的時候還需要整體的網(wǎng)絡性能參數(shù)作為評估標準。參見表2,所述網(wǎng)絡環(huán)境參數(shù)包括:在清洗原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡延時,在清洗原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡丟包率,在清洗原始數(shù)據(jù)流量過程中帶來的TCP可用性,在清洗原始數(shù)據(jù)流量過程中帶來的UDP可用性,以及,在清洗原始數(shù)據(jù)流量過程中帶來的抖動。表2下面介紹依據(jù)目標參數(shù)集合計算得到各個參數(shù)的變化值集合與期望SLA等級有的各個參數(shù)范圍進行匹配的具體過程。以此來評估防御結果是否滿足用戶的最終期望SLA等級。第一:流量性能參數(shù)DDoS在遭受不同的攻擊時,網(wǎng)絡流量的變化也不同。為了從流量層面上量化DDoS防御端的影響。參見表3本申請定義出網(wǎng)絡中關鍵協(xié)議報文的SLA指標。如,TCP重傳率的上限,當高于某一上限時,則表示防御結果未達到期望SLA等級。表3第二,訪問成功率(請求成功率和請求時延)一套應用服務器需要滿足的業(yè)務性能指標。因此,在評估ddos防御結果是否達到用戶的SLA目標時,參見表4,可以通過是否符合下表中的業(yè)務性能指標來考核。表4類別單向時延請求響應時延丟包率WEBN/ARTT<4s<3%FTPN/ARTT<10s<3%FPSgames<150msN/A<3%RTSgames<500msN/A<3%telnetN/ARTT<250msN/Ae-mailN/A總時間<4hN/AUsenetN/A總時間<4hN/AChat<30sN/AN/AICMPN/ARTT<4sN/ADNSN/A總時間<4sN/AAudio,conv<150msRTT<4s<3%Audio,messg<2sRTT<4s<3%Audio,stream<10sRTT<4s<1%Videophone<150msRTT<4s<3%video,stream<10sRTT<4s<1%第三,主機性能參數(shù)通過對主機狀態(tài)的反饋,根據(jù)不同的攻擊類型,判斷是否符合當前主機SLA的指標。參見表5為表征主機狀態(tài)的參數(shù)。表5監(jiān)測指標范圍主機狀態(tài)-synrecvice變化半開連接增長<5%主機狀態(tài)cpucpu增長<5%主機狀態(tài)-內存內存增長<5%主機狀態(tài)-連接表主機的連接表增加<5%主機狀態(tài)-io主機的Io次數(shù)<5%主機狀態(tài)-流量占比<max(主機帶寬)第四,網(wǎng)絡服務質量基于分布式環(huán)境下針對被攻擊主機的防御策略可能影響整體的網(wǎng)絡狀態(tài),因此帶來的后果是其他未被攻擊的主機也會受到影響。所以在評估防御成功率的時候還需要整體的網(wǎng)絡服務質量作為評估依據(jù),參見表6,定義如下關鍵核心指標來表征這一維度的SLA參數(shù)。表6通過以上期望SLA等級的各個參數(shù)指標設定的范圍,來確定各個參數(shù)的變化值集合是否在期望SLA等級的各個參數(shù)范圍內。若各個參數(shù)的變化值集合是否在期望SLA等級的各個參數(shù)范圍內,則判定防御策略的防御效果達到期望SLA等級,否則表示防御策略的防御效果未達到期望SLA等級。以上為本申請所提供的全部內容,從以上技術內容可以得出:本申請實施例將防御端設置于云平臺,在云平臺防御端可以將業(yè)務端的原始數(shù)據(jù)流量牽引到自身,目標端的業(yè)務一般都是在云平臺上運行,所以防御端可以在云平臺上獲得目標端的數(shù)據(jù)流量,同時,防御端還可以獲得自身的數(shù)據(jù)流量。所以,在云平臺下可以將業(yè)務端、目標端和防御端三者的數(shù)據(jù)流量統(tǒng)一集中,從而可以獲得三端的數(shù)據(jù)流量。由于,本申請中可以將業(yè)務端、防御端和目標端三部分的數(shù)據(jù)流量進行統(tǒng)一分析,從而使得評估防御結果的評價角度和指標較為全面,進而使得防御結果較為準確。本實施例方法所述的功能如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時,可以存儲在一個計算設備可讀取存儲介質中。基于這樣的理解,本申請實施例對現(xiàn)有技術做出貢獻的部分或者該技術方案的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來,該軟件產(chǎn)品存儲在一個存儲介質中,包括若干指令用以使得一臺計算設備(可以是個人計算機,服務器,移動計算設備或者網(wǎng)絡設備等)執(zhí)行本申請各個實施例所述方法的全部或部分步驟。而前述的存儲介質包括:U盤、移動硬盤、只讀存儲器(ROM,Read-OnlyMemory)、隨機存取存儲器(RAM,RandomAccessMemory)、磁碟或者光盤等各種可以存儲程序代碼的介質。本說明書中各個實施例采用遞進的方式描述,每個實施例重點說明的都是與其它實施例的不同之處,各個實施例之間相同或相似部分互相參見即可。對所公開的實施例的上述說明,使本領域專業(yè)技術人員能夠實現(xiàn)或使用本申請。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的,本文中所定義的一般原理可以在不脫離本申請的精神或范圍的情況下,在其它實施例中實現(xiàn)。因此,本申請將不會被限制于本文所示的這些實施例,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。當前第1頁1 2 3