1.一種量化防御結(jié)果的方法,其特征在于,包括:
獲取可疑數(shù)據(jù)流量集合,所述可疑數(shù)據(jù)流量集合為位于云平臺的防御端經(jīng)核心路由牽引業(yè)務(wù)端訪問目標(biāo)端的原始數(shù)據(jù)流量后,由所述原始數(shù)據(jù)流量所包含的可疑IP地址集合中每個可疑IP地址對應(yīng)的數(shù)據(jù)流量所組成的,所述可疑IP地址集合為依據(jù)預(yù)設(shè)檢測規(guī)則在所述原始數(shù)據(jù)流量中確定的;
獲取正常數(shù)據(jù)流量,所述正常數(shù)據(jù)流量為所述防御端對所述可疑數(shù)據(jù)流量集合按預(yù)設(shè)防御策略清洗后剩余的數(shù)據(jù)流量;
獲權(quán)主機性能參數(shù),所述主機性能參數(shù)為所述防御端在將所述正常數(shù)據(jù)流量發(fā)送至目標(biāo)端后,在所述目標(biāo)端上提取得到的參數(shù)的集合;
基于目標(biāo)參數(shù)集合來量化防御結(jié)果;其中,所述目標(biāo)參數(shù)集合至少包括:所述可疑數(shù)據(jù)流量集合、正常數(shù)據(jù)流量和主機性能參數(shù)。
2.如權(quán)利要求1所述的方法,其特征在于,所述目標(biāo)參數(shù)集合還包括:
與所述防御端相連的業(yè)務(wù)監(jiān)控裝置發(fā)送的訪問成功率;其中,所述訪問成功率為所述業(yè)務(wù)監(jiān)控裝置在控制多個位于不同地理位置的業(yè)務(wù)端訪問所述目標(biāo)端后,依據(jù)所述目標(biāo)端反饋的請求成功率和請求時延計算得到的。
3.如權(quán)利要求2所述的方法,其特征在于,所述目標(biāo)參數(shù)集合還包括網(wǎng)絡(luò)服務(wù)質(zhì)量;其中,所述網(wǎng)絡(luò)服務(wù)質(zhì)量為所述防御端依據(jù)可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量計算得到的。
4.如權(quán)利要求1-3中任一項所述的方法,其特征在于,所述可疑流量清洗裝置中的所述預(yù)設(shè)防御策略對應(yīng)期望SLA等級;則所述基于目標(biāo)參數(shù)集合來量化防御結(jié)果包括:
利用所述目標(biāo)參數(shù)集合以及預(yù)設(shè)參數(shù)集合確定所述各個參數(shù)的變化值集合;其中,所述預(yù)設(shè)參數(shù)集合為預(yù)先存儲的、無攻擊數(shù)據(jù)流量的情況下各個參數(shù)的集合;
將所述各個參數(shù)的變化值集合與所述期望SLA等級中的各個參數(shù)范圍進(jìn)行匹配;
若匹配成功,則確定所述防御端的防御效果達(dá)到所述期望SLA等級;
若匹配不成功,則確定所述防御端的防御效果未達(dá)到所述期望SLA等級。
5.如權(quán)利要求4所述的方法,其特征在于,還包括:
若匹配不成功,則將當(dāng)前的防御策略的前一防御策略,確定為所述預(yù)設(shè)防御策略;
其中,所述防御端中存儲有按順序排列的多個SLA等級,以及,與每個SLA等級對應(yīng)的一個防御策略,SLA等級越小表示目標(biāo)端所享受的服務(wù)等級越高,并且,前一SLA等級的對應(yīng)的防御策略優(yōu)于后一SLA等級對應(yīng)的防御策略。
6.如權(quán)利要求4所述的方法,其特征在于,所述利用所述目標(biāo)參數(shù)集合以及預(yù)設(shè)參數(shù)集合確定所述各個參數(shù)的變化值集合,包括:
依據(jù)所述可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量,計算輸入?yún)f(xié)議報文和輸出協(xié)議報文變化率的變化量集合;其中,所述輸入?yún)f(xié)議報文從所述可疑數(shù)據(jù)流量集合中提取得到的,所述輸出協(xié)議報文從所述正常數(shù)據(jù)流量中提取得到;和,
計算所述正常數(shù)據(jù)流量的核心數(shù)據(jù)集與所述預(yù)設(shè)參數(shù)集合中的預(yù)設(shè)核心數(shù)據(jù)集之間的標(biāo)準(zhǔn)差集合;其中,所述核心數(shù)據(jù)集包括請求應(yīng)答率、業(yè)務(wù)成功率、30x狀態(tài)碼的占比、40x狀態(tài)碼的占比、50x狀態(tài)碼的占比和正常用戶請求的時延;和,
計算所述主機性能參數(shù)和所述預(yù)設(shè)參數(shù)集合中的預(yù)設(shè)主機性能參數(shù)之間的第二變化值集合;和/或,
計算所述訪問成功率與所述預(yù)設(shè)參數(shù)集合中預(yù)設(shè)訪問成功率的第三變化值集合;和/或,
計算所述網(wǎng)絡(luò)服務(wù)質(zhì)量與所述預(yù)設(shè)參數(shù)集合中預(yù)設(shè)網(wǎng)絡(luò)服務(wù)質(zhì)量的第四變化值集合。
7.如權(quán)利要求6所述的方法,其特征在于,依據(jù)所述可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量,計算輸入?yún)f(xié)議報文和輸出協(xié)議報文變化率的變化量集合,包括:
計算輸入方向的syn報文與輸出方向的syn報文的差值,將該差值與所述輸入方向的syn報文的比值作為syn報文的增加率;
計算輸入方向的syn-ack報文與輸出方向的syn-ack報文的差值,將該差值與所述輸入方向的syn-ack報文比值作為的syn-ack報文的增加率;
將所述syn報文的增加率與所述syn-ack報文的增加率的差值,確定為所述變化量集合。
8.如權(quán)利要求6所述的方法,其特征在于,所述計算所述正常數(shù)據(jù)流量的核心數(shù)據(jù)集與所述預(yù)設(shè)參數(shù)集合中的預(yù)設(shè)核心數(shù)據(jù)集之間的標(biāo)準(zhǔn)差集合,包括:
計算所述核心數(shù)據(jù)集與預(yù)設(shè)核心數(shù)據(jù)集中,針對請求應(yīng)答率的第一標(biāo)準(zhǔn)差、針對業(yè)務(wù)成功率的第二標(biāo)準(zhǔn)差、針對30x狀態(tài)碼的占比的第三標(biāo)準(zhǔn)差、針對40x狀態(tài)碼的占比的第四標(biāo)準(zhǔn)差、針對50x狀態(tài)碼的占比的第五標(biāo)準(zhǔn)差和針對正常用戶請求的時延的第六標(biāo)準(zhǔn)差;
將所述第一標(biāo)準(zhǔn)差、所述第二標(biāo)準(zhǔn)差、所述第三標(biāo)準(zhǔn)差、所述第四標(biāo)準(zhǔn)差、所述第五標(biāo)準(zhǔn)差和所述第六標(biāo)準(zhǔn)差的集合,確定為所述標(biāo)準(zhǔn)差集合。
9.如權(quán)利要求6所述的方法,其特征在于,所述訪問成功率包括請求成功率和請求時延;則所述計算所述訪問成功率與所述預(yù)設(shè)參數(shù)集合中預(yù)設(shè)訪問成功率的第三變化值集合,包括:
計算所述訪問成功率中請求成功率與預(yù)設(shè)訪問成功率中請求成功率的變化率;
計算所述訪問成功率中請求時延與預(yù)設(shè)訪問成功率中請求時延的變化量;
將所述變化率和所述變化量,確定為所述第三變化值集合。
10.如權(quán)利要求1或6所述的方法,其特征在于,所述主機性能參數(shù)包括:
所述目標(biāo)端的主機在接收到第一個syn包之后半開鏈接的數(shù)量;
所述目標(biāo)端的主機CPU;
所述目標(biāo)端的主機內(nèi)存;
所述目標(biāo)端的連接表;
所述目標(biāo)端的主機輸入輸出次數(shù);以及,
所述目標(biāo)端的主機的進(jìn)出流量占比。
11.如權(quán)利要求3或6所述的方法,其特征在于,所述網(wǎng)絡(luò)服務(wù)質(zhì)量包括:
在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡(luò)延時;
在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡(luò)丟包率;
在清洗所述原始數(shù)據(jù)流量過程中帶來的TCP可用性;
在清洗所述原始數(shù)據(jù)流量過程中帶來的UDP可用性;以及,
在清洗所述原始數(shù)據(jù)流量過程中帶來的抖動。
12.一種量化防御結(jié)果的系統(tǒng),其特征在于,包括:
業(yè)務(wù)端、位于云平臺的防御端、目標(biāo)端以及與所述業(yè)務(wù)端、所述防御端和所述目標(biāo)端相連的核心路由;
所述核心路由,用于復(fù)制業(yè)務(wù)端訪問目標(biāo)端的原始數(shù)據(jù)流量,獲得副本數(shù)據(jù)流量;
所述防御端,用于獲取可疑數(shù)據(jù)流量集合,所述可疑數(shù)據(jù)流量集合為位于云平臺的防御端經(jīng)核心路由牽引業(yè)務(wù)端訪問目標(biāo)端的原始數(shù)據(jù)流量后,由所述原始數(shù)據(jù)流量所包含的可疑IP地址集合中每個可疑IP地址對應(yīng)的數(shù)據(jù)流量所組成的,所述可疑IP地址集合為依據(jù)預(yù)設(shè)檢測規(guī)則在所述原始數(shù)據(jù)流量中確定的;獲取正常數(shù)據(jù)流量,所述正常數(shù)據(jù)流量為所述防御端對所述可疑數(shù)據(jù)流量集合按預(yù)設(shè)防御策略清洗后剩余的數(shù)據(jù)流量;獲權(quán)主機性能參數(shù),所述主機性能參數(shù)為所述防御端在將所述正常數(shù)據(jù)流量發(fā)送至目標(biāo)端后,在所述目標(biāo)端上提取得到的參數(shù)的集合;基于目標(biāo)參數(shù)集合來量化防御結(jié)果;其中,所述目標(biāo)參數(shù)集合至少包括:所述可疑數(shù)據(jù)流量集合、正常數(shù)據(jù)流量和主機性能參數(shù)。
13.如權(quán)利要求12所述的系統(tǒng),其特征在于,所述防御端包括:
與所述核心路由相連的可疑流量檢測裝置,用于依據(jù)預(yù)設(shè)檢測規(guī)則分析所述副本數(shù)據(jù)流量,獲得所述副本數(shù)據(jù)流量中包含的可疑IP地址集合,并發(fā)送所述可疑IP地址集合;
與所述核心路由和所述可疑流量檢測裝置相連的可疑流量清洗裝置,用于獲取所述可疑IP地址集合,在所述核心路由的原始數(shù)據(jù)流量中牽引可疑數(shù)據(jù)流量集合,其中,按預(yù)設(shè)防御策略清洗所述可疑數(shù)據(jù)流量集合,并將所述可疑數(shù)據(jù)流量集合在清洗后剩余的正常數(shù)據(jù)流量,轉(zhuǎn)發(fā)至所述目標(biāo)端;
與所述可疑流量檢測裝置、所述可疑流量清洗裝置和所述目標(biāo)端相連的云主機,用于在所述可疑流量檢測裝置上獲取所述可疑數(shù)據(jù)流量集合,所述 可疑數(shù)據(jù)流量集合中包含與每個可疑IP地址對應(yīng)的可疑數(shù)據(jù)流量;在所述可疑流量清洗裝置上獲取正常數(shù)據(jù)流量,在將所述正常數(shù)據(jù)流量發(fā)送至目標(biāo)端后,在所述目標(biāo)端上獲取表示目標(biāo)端性能的主機性能參數(shù)。
14.如權(quán)利要求13所述的系統(tǒng),其特征在于,所述系統(tǒng)還包括:
與所述云主機相連的業(yè)務(wù)監(jiān)控裝置,用于控制多個位于不同地理位置的業(yè)務(wù)主機訪問所述目標(biāo)端,依據(jù)所述目標(biāo)端反饋的訪問成功率和請求時延,計算訪問成功率;將所述訪問成功率發(fā)送至所述云主機;
相應(yīng)的,所述目標(biāo)參數(shù)集合還包括所述訪問成功率。
15.如權(quán)利要求13所述的系統(tǒng),其特征在于,
所述云主機還用于,依據(jù)所述可疑數(shù)據(jù)流量集合和所述正常數(shù)據(jù)流量,計算網(wǎng)絡(luò)服務(wù)質(zhì)量;
相應(yīng)的,所述目標(biāo)參數(shù)集合還包括所述網(wǎng)絡(luò)服務(wù)質(zhì)量。
16.如權(quán)利要求13所述的系統(tǒng),其特征在于,
所述核心路由還用于,將可疑流量清洗裝置在原始數(shù)據(jù)流量中牽引可疑數(shù)據(jù)流量集合之后剩余的數(shù)據(jù)流量,轉(zhuǎn)發(fā)至所述目標(biāo)端。
17.如權(quán)利要求13-15任一項所述系統(tǒng),其特征在于,
所述云主機具體用于,利用所述目標(biāo)參數(shù)集合以及預(yù)設(shè)參數(shù)集合確定所述各個參數(shù)的變化值集合;將所述各個參數(shù)的變化值集合與所述期望SLA等級中的各個參數(shù)范圍進(jìn)行匹配;若匹配成功,則確定防御端的防御效果達(dá)到所述期望SLA等級;若匹配不成功,確定所述防御端的防御效果未達(dá)到所述期望SLA等級。
18.如權(quán)利要求17所述的系統(tǒng),其特征在于,
所述云主機還用于,在匹配不成功的情況下,將當(dāng)前的防御策略的前一防御策略,確定為所述預(yù)設(shè)防御策略;
其中,所述預(yù)設(shè)參數(shù)集合為預(yù)先存儲的、無攻擊數(shù)據(jù)流量的情況下各個參數(shù)的集合;所述防御端中存儲有按順序排列的多個SLA等級,以及,與每個SLA等級對應(yīng)的一個防御策略,SLA等級越小表示目標(biāo)端所享受的服務(wù)等級越高,并且,前一SLA等級的對應(yīng)的防御策略優(yōu)于后一SLA等級對應(yīng)的防御策略。
19.如權(quán)利要求12所述的系統(tǒng),其特征在于,所述主機性能參數(shù),包括:
所述目標(biāo)端的主機在接收到第一個syn包之后半開鏈接的數(shù)量;
所述目標(biāo)端的主機CPU;
所述目標(biāo)端的主機內(nèi)存;
所述目標(biāo)端的連接表;
所述目標(biāo)端的主機輸入輸出次數(shù);以及,
所述目標(biāo)端的主機的進(jìn)出流量占比。
20.如權(quán)利要求15所述的系統(tǒng),其特征在于,所述網(wǎng)絡(luò)服務(wù)質(zhì)量包括:
在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡(luò)延時;
在清洗所述原始數(shù)據(jù)流量過程中帶來的網(wǎng)絡(luò)丟包率;
在清洗所述原始數(shù)據(jù)流量過程中帶來的TCP可用性;
在清洗所述原始數(shù)據(jù)流量過程中帶來的UDP可用性;以及,
在清洗所述原始數(shù)據(jù)流量過程中帶來的抖動。