本發明提供了一種針對數據流攻擊的主動防御方法及裝置。將獲取到的數據流以及數據流對應的網絡協議編碼的編碼特征值對應存入預設的數據流列表中。根據數據流列表的每個列表區域中的數據流的流量和網絡協議對應的協議編碼的編碼特征值確定數據流在預設坐標平面中的流量曲線。確定預設特征與提取到的列表區域中的流量曲線的曲線特征的相似度。能夠在根據相似度確定曲線特征對應的計算機設備存在數據流攻擊行為時，在計算機設備發動數據流攻擊行為之前主動切斷計算機設備與目標網絡的通信，實現對數據流攻擊的主動防御。

技術領域

本發明涉及大數據數據流檢測技術領域，具體而言，涉及一種針對數據流攻擊的主動防御方法及裝置。

背景技術

隨著大數據和通信網絡的發展，計算機設備面臨著多種多樣的網絡攻擊。網絡攻擊（Cyber Attacks，CA）是指針對計算機設備的信息系統、網絡系統或基礎設施系統的進攻動作。網絡攻擊會使得計算機設備暴露在不安全的使用環境下，對計算機設備的正常運行以及計算機設備內存儲的重要數據信息而言是相當不利的。數據流攻擊作為網絡攻擊中的一種攻擊類型，會極大地影響計算機設備所在網絡的網速。一般來說，在網速出現異常性和非常規性延遲時會啟動針對數據流攻擊的防御手段，但這種方式即便能夠防御數據流攻擊，仍然無法挽回之前出現的網速延遲帶來的損失。

發明內容

為了改善上述問題，本發明提供了一種針對數據流攻擊的主動防御方法及裝置。

本發明實施例的第一方面，提供了一種針對數據流攻擊的主動防御方法，包括：

周期性地獲取目標網絡中的每個計算機設備所發送的數據流；其中，所述目標網絡中包括多個相互通信的計算機設備；

確定獲取到的每個計算機設備的每組數據流的網絡協議對應的協議編碼的編碼特征值，將每個計算機設備的每組數據流以及該數據流對應的網絡協議對應的協議編碼的編碼特征值存入預設的數據流列表中；

確定所述數據流列表中每個列表區域中的每個數據流的數據流量，按照網絡協議對應的協議編碼的編碼特征值的先后順序確定每個列表區域中的數據流量在預設坐標平面中的流量曲線；其中，所述預設坐標平面包括用于表征網絡協議對應的協議編碼的編碼特征值的先后順序的橫軸和用于表征數據流量的大小的縱軸；

提取每個列表區域對應的流量曲線的曲線特征，確定每個曲線特征與預設特征的相似度；所述預設特征為不存在數據流攻擊行為的數據流對應的流量曲線的曲線特征；

根據所述相似度確定所述曲線特征對應的計算機設備是否存在數據流攻擊行為；

在所述曲線特征對應的計算機設備存在數據流攻擊行為時，切斷所述計算機設備與所述目標網絡中的其他計算機設備之間的通信。

優選地，根據所述相似度確定所述曲線特征對應的計算機設備是否存在數據流攻擊行為的步驟，包括：

確定所述目標網絡在之前設定時段內存在所述數據流攻擊行為的計算機設備的累計數量；

確定所述累計數量與所述目標網絡在所述設定時段內的所有計算機設備的總數的比值；

根據所述比值和所述設定時段對應的時長值確定用于對預設的基準區間進行調整的加權系數；其中，所述基準區間用于確定相似度值對應的計算機設備是否存在數據流攻擊行為；

根據所述加權系數對所述基準區間進行調整，得到目標區間；

根據所述目標區間確定所述相似度對應的計算機設備是否存在數據流攻擊行為。

優選地，根據所述目標區間確定所述相似度對應的計算機設備是否存在數據流攻擊行為的步驟，進一步包括：

判斷所述相似度是否落入所述目標區間內；