本公開提供了一種網絡攻擊處理方法、裝置、電子設備和介質，涉及網絡安全技術領域。其中，網絡攻擊處理方法包括：基于滑動窗口機制進行網絡流量預測，得到基于預測窗口的預測流量；監測到所述預測窗口的實際流量大于所述預測流量，并且所述實際流量與所述預測流量之間的差值大于參考流量，基于所述實際流量確定進行HTTP Flood攻擊的可疑源IP；對所述可疑源IP地址進行攻擊性篩選，基于篩選結果確定所述網絡攻擊的攻擊源IP。通過本公開的技術方案，通過直接對流量數據進行監測和分析，即可有效區分HTTP Flood攻擊流量和正常流量，因此能夠保證對網絡攻擊處理的效率。

技術領域

本公開涉及網絡安全技術領域，尤其涉及一種網絡攻擊處理方法、裝置、電子設備和存儲介質。

背景技術

HTTP Flood攻擊(針對Web服務在應用層發起的攻擊)又被稱為CC(ChallengeCollapsar)攻擊，屬于DDoS(Distributed denial of service attack，分布式拒絕服務攻擊)攻擊的一種，攻擊者通過代理或僵尸主機向目標服務器發起大量HTTP報文等合法請求，實現DDOS和偽裝，請求涉及數據庫操作和/或CPU等其它消耗系統資源的URI(UniversalResource Identifier，通用資源標識符)，導致造成目標服務器資源耗盡，無法響應正常請求。

相關技術中，針對HTTP Flood攻擊，通過直接將可疑IP進行三層攔截的方式進行處理，但是存在以下缺陷：一方面，該處理方式涉及到CDN(Content Delivery Network，內容分發網絡)業務托管，而CDN業務托管業務較復雜，導致影響攻擊處理的效率，另一方面，由于存在局域網用戶使用相同IP上網的情況，因此直接對IP進行封禁也易造成誤殺，導致影響正常用戶的網絡業務。

需要說明的是，在上述背景技術部分公開的信息僅用于加強對本公開的背景的理解，因此可以包括不構成對本領域普通技術人員已知的現有技術的信息。

發明內容

本公開的目的在于提供一種網絡攻擊處理方法、裝置、存儲介質及電子設備，至少在一定程度上克服由于相關技術中對HTTP Flood攻擊的處理效果不佳的問題。

本公開的其他特性和優點將通過下面的詳細描述變得顯然，或部分地通過本公開的實踐而習得。

根據本公開的一個方面，提供一種網絡攻擊處理方法，包括：基于滑動窗口機制進行網絡流量預測，得到基于預測窗口的預測流量；監測到所述預測窗口的實際流量大于所述預測流量，并且所述實際流量與所述預測流量之間的差值大于參考流量，基于所述實際流量確定進行HTTP Flood攻擊的可疑源IP；對所述可疑源IP地址進行攻擊性篩選，基于篩選結果確定所述網絡攻擊的攻擊源IP。

在一個實施例中，所述基于滑動窗口機制進行網絡流量預測，得到基于預測窗口的預測流量包括：統計所述預測窗口內的網絡流量序列；將所述預測窗口的網絡流量序列輸入流量趨勢預測模型，以由所述流量趨勢預測模型輸出針對所述預測窗口的趨勢預測值；基于所述滑動窗口機制滑動所述預測窗口，直至滑動長度達到所述預測窗口的長度，以得到多個所述趨勢預測值，并基于多個所述趨勢預測值得到所述基于預測窗口的預測流量。

在一個實施例中，所述流量趨勢預測模型為EWMA預測模型，所述將所述預測窗口的網絡流量序列輸入流量趨勢預測模型，以由所述流量趨勢預測模型輸出針對所述預測窗口的趨勢預測值包括：基于所述EWMA預測模型對所述網絡流量序列進行趨勢預測，得到歷史趨勢預測值；基于所述EWMA預測模型對所述歷史趨勢預測值和預測時刻的流量值進行指數加權移動平均運算，得到所述趨勢預測值；其中，所述指數加權移動平均運算基于公式V_t＝βV_t-1+(1-β)θ_t執行，t為所述預測時刻，θ_t為所述預測時刻t的流量值，β表示加權下降速率，V_t為針對t的趨勢預測值，V_t-1為歷史趨勢預測值。