本發(fā)明涉及通信應(yīng)用
技術(shù)領(lǐng)域：
，具體而言，涉及一種網(wǎng)絡(luò)攻擊的防控方法、裝置及系統(tǒng)。
背景技術(shù)：
：隨著互聯(lián)網(wǎng)的發(fā)展，特別是互聯(lián)網(wǎng)技術(shù)的廣泛運(yùn)用，互聯(lián)網(wǎng)由開始提供的一個(gè)開放平臺發(fā)展至由于資源的豐富引發(fā)的來自各個(gè)原因的網(wǎng)絡(luò)攻擊，互聯(lián)網(wǎng)安全成為了現(xiàn)如今互聯(lián)網(wǎng)時(shí)代廣泛關(guān)注的一個(gè)問題，針對如何防御網(wǎng)絡(luò)攻擊，以及如何反制網(wǎng)絡(luò)攻擊的發(fā)起源頭，成為了現(xiàn)如今互聯(lián)網(wǎng)技術(shù)一個(gè)反復(fù)探索的研究課題?，F(xiàn)有的網(wǎng)絡(luò)攻擊中，分布式拒絕服務(wù)攻擊(distributeddenialofservice，簡稱ddos)是目前最難防御的一種網(wǎng)絡(luò)攻擊行為，目前業(yè)界的防御系統(tǒng)都是在服務(wù)器前端部署防火墻產(chǎn)品，在服務(wù)器被攻擊時(shí)通過部署在服務(wù)器前端的防火墻將攻擊清洗掉，目前面臨的最大問題就是：問題(1)攻擊量越來越大，但是服務(wù)器側(cè)的帶寬卻無法無限擴(kuò)充，單純的靠服務(wù)器端的清洗已經(jīng)無法滿足越來越多的網(wǎng)絡(luò)攻擊；問題(2)發(fā)起ddos攻擊的攻擊方一般會組織大量的私人電腦(personalcomputer，簡稱pc)，這些pc一般被攻擊者控制，由大量該類pc組成的計(jì)算機(jī)網(wǎng)絡(luò)被稱作僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)都是真實(shí)的機(jī)器，目前沒有一種有效的方法能直接追蹤到僵尸網(wǎng)絡(luò)。問題(3)無法反制該ddos網(wǎng)絡(luò)攻擊，只能被動的挨打。ddos攻擊帶來的危害則是攻擊者會控制大量的僵尸主機(jī)對目標(biāo)服務(wù)器發(fā)起攻擊，此時(shí)正常的用戶將無法訪問目標(biāo)主機(jī)。相關(guān)技術(shù)中采用較多的緩解僵尸網(wǎng)絡(luò)的ddos攻擊的方法主要有：方法一，基于入侵檢測系統(tǒng)(intrusiondetectionsystem，簡稱ids)、入侵防御系統(tǒng)(intrusionpreventionsystem，簡稱ips)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的方法：ids按照一定的安全規(guī)則和安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行情況進(jìn)行監(jiān)控，如果發(fā)現(xiàn)保護(hù)的網(wǎng)絡(luò)內(nèi)有機(jī)器被外界主機(jī)所控制，ids設(shè)備能根據(jù)配置好的安全策略產(chǎn)生告警，提供網(wǎng)絡(luò)管理員參考。方法二，基于蜜網(wǎng)技術(shù)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)的方法：蜜罐技術(shù)是一個(gè)由防護(hù)方布置的一套信息收集系統(tǒng),故意的暴露在網(wǎng)絡(luò)上，并且會留下一些未修復(fù)的漏洞。一旦攻擊者入侵后,就可以知曉其如何實(shí)施并得逞的,從而隨時(shí)了解黑客發(fā)動的最新的攻擊和漏洞。蜜罐還可以通過 竊聽黑客之間的聯(lián)系,收集黑客所用的種種工具,并且掌握他們的社交網(wǎng)絡(luò)。方法三，基于流量分析特別是深包檢測技術(shù)(deeppacketinspection，簡稱dpi)的僵尸網(wǎng)絡(luò)監(jiān)控方法：流量分析可以找出部分的僵尸主機(jī)。該技術(shù)只能在網(wǎng)絡(luò)局部進(jìn)行僵尸主機(jī)和僵尸網(wǎng)絡(luò)的分析,很難對整個(gè)互聯(lián)網(wǎng)的僵尸主機(jī)和僵尸網(wǎng)絡(luò)進(jìn)行定位,都不能找出特定僵尸網(wǎng)絡(luò)的所有的僵尸主機(jī)；更不能對僵尸網(wǎng)絡(luò)進(jìn)行抑制。縱使上述方法能夠?qū)dos攻擊進(jìn)行防御，但是上述方法存在以下問題：問題一，基于ids、ips發(fā)現(xiàn)僵尸網(wǎng)絡(luò)缺點(diǎn)：如上這種方式的好處就是檢測是基于逐包分析的方式，通過匹配安全策略和規(guī)則來告警，但是這種方式只能是基于局域網(wǎng)和企業(yè)網(wǎng)內(nèi)使用，且單點(diǎn)和單點(diǎn)之間的數(shù)據(jù)無法共享，因此無論是從檢測覆蓋度還是速度上都無法解決大規(guī)模ddos攻擊中的攻擊源分析的問題；問題二，基于蜜罐技術(shù)捕獲僵尸網(wǎng)絡(luò)的缺點(diǎn)：蜜罐技術(shù)需要大量部署且容易被黑客當(dāng)作攻擊跳板，由于蜜罐主機(jī)的操作系統(tǒng)有很多的漏洞，很容易被攻擊導(dǎo)致系統(tǒng)無法啟動，同時(shí)蜜罐系統(tǒng)收集的數(shù)據(jù)在整個(gè)互聯(lián)網(wǎng)的數(shù)據(jù)中只是很小的一部分，需要部署大量的蜜罐系統(tǒng)才能有足夠的數(shù)據(jù)使用，在實(shí)際用途中一般用作研究使用，很難真正廣泛推廣；問題三，基于流量分析特別是dpi檢測技術(shù)的僵尸網(wǎng)絡(luò)監(jiān)控方法缺點(diǎn)：如上dpi技術(shù)和流量分析技術(shù)具有滯后性，且傳統(tǒng)的dpi技術(shù)和流量分析技術(shù)都是靠部署在服務(wù)器側(cè)的設(shè)備來進(jìn)行分析和定位，屬于攻擊的最后一公里去反推攻擊的源頭，不僅分析起來耗時(shí)久，而且隨著僵尸網(wǎng)絡(luò)的變化，前面的分析可能很快就不具備時(shí)效性，很難比攻擊者速度快。針對上述由于相關(guān)技術(shù)中缺少對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和反制的技術(shù)，導(dǎo)致目標(biāo)服務(wù)器在遭受攻擊時(shí)被動防御，從而導(dǎo)致防御效率低的問題，目前尚未提出有效的解決方案。技術(shù)實(shí)現(xiàn)要素：本發(fā)明實(shí)施例提供了一種網(wǎng)絡(luò)攻擊的防控方法、裝置及系統(tǒng)，以至少解決由于相關(guān)技術(shù)中缺少對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和反制的技術(shù)，導(dǎo)致目標(biāo)服務(wù)器在遭受攻擊時(shí)被動防御，從而導(dǎo)致防御效率低的技術(shù)問題。根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了一種網(wǎng)絡(luò)攻擊的防控方法，包括：當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，解析攻擊報(bào)文，其中，攻擊報(bào)文包含：地址信息；依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備；向第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令，其中，防控指令用于指示第一網(wǎng)關(guān)設(shè)備對攻擊報(bào)文所屬的終端執(zhí)行安全控制。根據(jù)本發(fā)明實(shí)施例的一個(gè)方面，提供了另一種網(wǎng)絡(luò)攻擊的防控方法，包括：接收防控指令，其中，防控指令包括：被攻擊服務(wù)器接收到的攻擊報(bào)文的地址信息；依據(jù) 地址信息查詢得到發(fā)送攻擊報(bào)文的攻擊終端；獲取攻擊終端的端口信息，并依據(jù)端口信息得到與攻擊終端存在通信連接的計(jì)算設(shè)備；依據(jù)端口信息，篩選與攻擊終端存在通信連接的計(jì)算設(shè)備，得到發(fā)起攻擊報(bào)文的初始終端，其中，攻擊終端依據(jù)初始終端的控制指令發(fā)送攻擊報(bào)文；通過預(yù)設(shè)方式控制初始終端。根據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，提供了一種網(wǎng)絡(luò)攻擊的防控裝置，包括：解析模塊，用于當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，解析攻擊報(bào)文，其中，攻擊報(bào)文包含：地址信息；定位模塊，用于依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備；發(fā)送模塊，用于向第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令，其中，防控指令用于指示第一網(wǎng)關(guān)設(shè)備對攻擊報(bào)文所屬的終端執(zhí)行安全控制。根據(jù)本發(fā)明實(shí)施例的另一個(gè)方面，提供了另一種網(wǎng)絡(luò)攻擊的防控裝置，包括：接收模塊，用于接收防控指令，其中，防控指令包括：被攻擊服務(wù)器接收到的攻擊報(bào)文的地址信息；查詢模塊，用于依據(jù)地址信息查詢得到發(fā)送攻擊報(bào)文的攻擊終端；獲取模塊，用于獲取攻擊終端的端口信息，并依據(jù)端口信息得到與攻擊終端存在通信連接的計(jì)算設(shè)備；篩選模塊，用于依據(jù)端口信息，篩選與攻擊終端存在通信連接的計(jì)算設(shè)備，得到發(fā)起攻擊報(bào)文的初始終端，其中，攻擊終端依據(jù)初始終端的控制指令發(fā)送攻擊報(bào)文；防控模塊，用于通過預(yù)設(shè)方式控制初始終端。根據(jù)本發(fā)明實(shí)施例的又一個(gè)方面，提供了一種網(wǎng)絡(luò)攻擊的防控系統(tǒng)，包括：服務(wù)器和城域設(shè)備，服務(wù)器與城域設(shè)備通信連接，其中，服務(wù)器為上述一種網(wǎng)絡(luò)攻擊的防控裝置；城域設(shè)備為上述另一種網(wǎng)絡(luò)攻擊的防控裝置。在本發(fā)明實(shí)施例中，通過當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，解析攻擊報(bào)文，其中，攻擊報(bào)文包含：地址信息；依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備；向第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令，其中，防控指令用于指示第一網(wǎng)關(guān)設(shè)備對攻擊報(bào)文所屬的終端執(zhí)行安全控制，達(dá)到了服務(wù)器和網(wǎng)關(guān)設(shè)備主動對網(wǎng)絡(luò)攻擊進(jìn)行安全控制的目的，從而實(shí)現(xiàn)了提升防御效率的技術(shù)效果，進(jìn)而解決了由于相關(guān)技術(shù)中缺少對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和反制的技術(shù)，導(dǎo)致目標(biāo)服務(wù)器在遭受攻擊時(shí)被動防御，從而導(dǎo)致防御效率低的技術(shù)問題。附圖說明此處所說明的附圖用來提供對本發(fā)明的進(jìn)一步理解，構(gòu)成本申請的一部分，本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明，并不構(gòu)成對本發(fā)明的不當(dāng)限定。在附圖中：圖1是本發(fā)明實(shí)施例的一種網(wǎng)絡(luò)攻擊的防控方法的服務(wù)器的硬件結(jié)構(gòu)框圖；圖2是根據(jù)本發(fā)明實(shí)施例一的網(wǎng)絡(luò)攻擊的防控方法的流程圖；圖3是根據(jù)本發(fā)明實(shí)施例一的網(wǎng)絡(luò)攻擊的防控方法中服務(wù)器側(cè)的結(jié)構(gòu)示意圖；圖4是根據(jù)本發(fā)明實(shí)施例一的網(wǎng)絡(luò)攻擊的防控方法中攻擊報(bào)文所屬位置的分布圖；圖5是根據(jù)本發(fā)明實(shí)施例二的網(wǎng)絡(luò)攻擊的防控方法的流程圖；圖6是根據(jù)本發(fā)明實(shí)施例二的一種網(wǎng)絡(luò)攻擊的防控方法的流程圖；圖7是根據(jù)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控系統(tǒng)的結(jié)構(gòu)示意圖；圖8是根據(jù)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控系統(tǒng)執(zhí)行防控方法的流程示意圖；圖9是根據(jù)本發(fā)明實(shí)施例三的網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖；圖10是根據(jù)本發(fā)明實(shí)施例三的一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖；圖11是根據(jù)本發(fā)明實(shí)施例三的另一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖；圖12是根據(jù)本發(fā)明實(shí)施例三的又一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖；圖13是根據(jù)本發(fā)明實(shí)施例四的網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖；圖14是根據(jù)本發(fā)明實(shí)施例四的一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖；圖15是根據(jù)本發(fā)明實(shí)施例四的另一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖；圖16是根據(jù)本發(fā)明實(shí)施例四的又一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖；圖17是本發(fā)明實(shí)施例五的網(wǎng)絡(luò)攻擊的防控系統(tǒng)的結(jié)構(gòu)示意圖。具體實(shí)施方式為了使本
技術(shù)領(lǐng)域：
的人員更好地理解本發(fā)明方案，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例僅僅是本發(fā)明一部分的實(shí)施例，而不是全部的實(shí)施例。基于本發(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實(shí)施例，都應(yīng)當(dāng)屬于本發(fā)明保護(hù)的范圍。需要說明的是，本發(fā)明的說明書和權(quán)利要求書及上述附圖中的術(shù)語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應(yīng)該理解這樣使用的數(shù)據(jù)在適當(dāng)情況下可以互換，以便這里描述的本發(fā)明的實(shí)施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術(shù)語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設(shè)備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或 對于這些過程、方法、產(chǎn)品或設(shè)備固有的其它步驟或單元。本申請實(shí)施例涉及的技術(shù)名詞：ddos攻擊：分布式拒絕服務(wù)攻擊(distributeddenialofservice，簡稱ddos)；ip地址：網(wǎng)絡(luò)之間互聯(lián)的協(xié)議地址(internetprotocol，簡稱ip)。實(shí)施例1根據(jù)本發(fā)明實(shí)施例，還提供了一種網(wǎng)絡(luò)攻擊的防控方法的方法實(shí)施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組服務(wù)器可執(zhí)行指令的服務(wù)器架構(gòu)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。本申請實(shí)施例一所提供的方法實(shí)施例可以在服務(wù)器、與服務(wù)器集群連接的網(wǎng)關(guān)設(shè)備或者類似的運(yùn)算裝置中執(zhí)行。以運(yùn)行在服務(wù)器上為例，圖1是本發(fā)明實(shí)施例的一種網(wǎng)絡(luò)攻擊的防控方法的服務(wù)器的硬件結(jié)構(gòu)框圖。如圖1所示，服務(wù)器10可以包括一個(gè)或多個(gè)(圖中僅示出一個(gè))處理器102(處理器102可以包括但不限于微處理器mcu或可編程邏輯器件fpga等的處理裝置)、用于存儲數(shù)據(jù)的存儲器104、以及用于通信功能的傳輸模塊106。本領(lǐng)域普通技術(shù)人員可以理解，圖1所示的結(jié)構(gòu)僅為示意，其并不對上述電子裝置的結(jié)構(gòu)造成限定。例如，服務(wù)器10還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。存儲器104可用于存儲應(yīng)用軟件的軟件程序以及模塊，如本發(fā)明實(shí)施例中的網(wǎng)絡(luò)攻擊的防控方法對應(yīng)的程序指令/模塊，處理器102通過運(yùn)行存儲在存儲器104內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應(yīng)用以及數(shù)據(jù)處理，即實(shí)現(xiàn)上述的應(yīng)用程序的漏洞檢測方法。存儲器104可包括高速隨機(jī)存儲器，還可包括非易失性存儲器，如一個(gè)或者多個(gè)磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實(shí)例中，存儲器104可進(jìn)一步包括相對于處理器102遠(yuǎn)程設(shè)置的存儲器，這些遠(yuǎn)程存儲器可以通過網(wǎng)絡(luò)連接至服務(wù)器10。上述網(wǎng)絡(luò)的實(shí)例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。傳輸裝置106用于經(jīng)由一個(gè)網(wǎng)絡(luò)接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡(luò)具體實(shí)例可包括服務(wù)器10的通信供應(yīng)商提供的無線網(wǎng)絡(luò)。在一個(gè)實(shí)例中，傳輸裝置106包括一個(gè)網(wǎng)絡(luò)適配器(networkinterfacecontroller，nic)，其可通過基站與其他網(wǎng)絡(luò)設(shè)備相連從而可與互聯(lián)網(wǎng)進(jìn)行通訊。在一個(gè)實(shí)例中，傳輸裝置106可以為射頻(radiofrequency，rf)模塊，其用于通過無線方式與互聯(lián)網(wǎng)進(jìn)行通訊。在上述運(yùn)行環(huán)境下，本申請?zhí)峁┝巳鐖D2所示的網(wǎng)絡(luò)攻擊的防控方法。在服務(wù)器側(cè)，圖2是根據(jù)本發(fā)明實(shí)施例一的網(wǎng)絡(luò)攻擊的防控方法的流程圖。步驟s202，當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，解析攻擊報(bào)文，其中，攻擊報(bào)文包含：地址信息；本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法可以適用于互聯(lián)網(wǎng)或城際局域網(wǎng)環(huán)境下，在本申請中以ddos攻擊為例進(jìn)行說明，其中，在針對ddos攻擊的過程中，相關(guān)技術(shù)中在服務(wù)器端僅僅是靠部署在服務(wù)器前端的防火墻阻絕攻擊，但是隨著攻擊量的越來越大，防火墻的被動防御將不能滿足防御需求；針對ddos攻擊的特點(diǎn)，即，發(fā)起ddos攻擊的攻擊方一般會組織大量的個(gè)人電腦(personalcomputer，簡稱pc)，這些pc一般被攻擊者控制，由此形成僵尸網(wǎng)絡(luò)，進(jìn)而攻擊方通過控制僵尸網(wǎng)絡(luò)對服務(wù)器進(jìn)行攻擊，從而增加攻擊量。本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法為有效解決上述ddos攻擊造成的影響，在服務(wù)器側(cè)，通過在服務(wù)器前段配置清洗系統(tǒng)，除了區(qū)別于相關(guān)技術(shù)中的被動防御外，服務(wù)器將針對ddos攻擊主動執(zhí)行安全控制。本申請上述步驟s202中，在服務(wù)器側(cè)，當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，通過解析形成網(wǎng)絡(luò)攻擊的攻擊報(bào)文，得到攻擊報(bào)文中的地址信息，其中該地址信息可以指示攻擊報(bào)文的來源位置，在本申請中來源位置可以為發(fā)送攻擊報(bào)文的終端所屬的城市，具體執(zhí)行步驟s204。步驟s204，依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備；基于步驟s202中獲取到的攻擊信息中的地址信息，本申請上述步驟s204中，本申請實(shí)施例中的地址信息可以包括：ip地址，基于互聯(lián)網(wǎng)地址協(xié)議，在網(wǎng)絡(luò)報(bào)文發(fā)送的過程中網(wǎng)絡(luò)報(bào)文將攜帶源地址和目的地址(可以為ip地址或介質(zhì)訪問控制(mediaaccesscontrol，簡稱mac)地址)，在服務(wù)器側(cè)，由于攻擊報(bào)文也屬于網(wǎng)絡(luò)報(bào)文的一種，當(dāng)服務(wù)器接收到該攻擊報(bào)文時(shí)，根據(jù)該攻擊報(bào)文中的源ip地址，將可以依據(jù)現(xiàn)有的ip協(xié)議，確定該ip地址所屬的位置。本申請實(shí)施例提供的地址信息中以ip地址為例進(jìn)行說明，以實(shí)現(xiàn)本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法為準(zhǔn)，具體不做限定。步驟s206，向第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令，其中，防控指令用于指示第一網(wǎng)關(guān)設(shè)備對攻擊報(bào)文所屬的終端執(zhí)行安全控制?；诓襟Es204中確定的攻擊報(bào)文所屬的位置，本申請上述步驟s206中，在確定攻擊報(bào)文所屬位置后，服務(wù)器側(cè)將生成防控指令，并將該防控指令發(fā)送至該位置所定位的第一網(wǎng)關(guān)設(shè)備處，以使得由第一網(wǎng)關(guān)設(shè)備依據(jù)該防控指令主動對發(fā)起攻擊報(bào)文的終端進(jìn)行安全控制，從而在攻擊源頭遏制當(dāng)前服務(wù)器側(cè)所面對的網(wǎng)絡(luò)攻擊，即，主動 的對當(dāng)前的網(wǎng)絡(luò)攻擊進(jìn)行防御控制。這里本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法中，本申請實(shí)施例將清洗系統(tǒng)分別部署在服務(wù)器側(cè)和城域設(shè)備側(cè)，在服務(wù)器側(cè)受到網(wǎng)絡(luò)攻擊的同時(shí)，除了被動防御，還將主動的分析攻擊來源，并通過協(xié)同城域設(shè)備進(jìn)行反制，即，通過向攻擊報(bào)文發(fā)起的終端所屬的城域設(shè)備發(fā)送防控指令，以使得由城域設(shè)備將當(dāng)前的網(wǎng)絡(luò)攻擊遏制于發(fā)起的源頭，從而達(dá)到了對網(wǎng)絡(luò)攻擊的主動防御，減輕了被動防御過程中對帶寬的占用，提升了對網(wǎng)絡(luò)攻擊的防御效率。其中，城域設(shè)備可以為部署于各個(gè)城市或各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備。結(jié)合步驟s202至步驟s206，圖3是根據(jù)本發(fā)明實(shí)施例一的網(wǎng)絡(luò)攻擊的防控方法中服務(wù)器側(cè)的結(jié)構(gòu)示意圖。如圖3所示，本申請實(shí)施例提供的服務(wù)器側(cè)的防護(hù)架構(gòu)中，包括：運(yùn)營商路由設(shè)備、服務(wù)器設(shè)備和清洗系統(tǒng)，其中，上述清洗系統(tǒng)可以包括：檢測裝置、清洗裝置、路由設(shè)備和管理裝置。這里管理裝置管理檢測裝置和清洗裝置，當(dāng)運(yùn)營商路由設(shè)備接收到流量信息時(shí)，與運(yùn)營商路由設(shè)備通信連接的清洗系統(tǒng)，將通過路由設(shè)備接收當(dāng)前所有流量信息，并通過管理裝置控制檢測裝置對當(dāng)前接收到的流量信息進(jìn)行檢測，篩選出攻擊流量，進(jìn)而通過清洗裝置對攻擊流量進(jìn)行清洗，從而向服務(wù)器設(shè)備返回正常流量，即，不含攻擊流量的流量信息，并通過向攻擊流量所屬的位置發(fā)送防控指令，啟動主動防控。在本申請實(shí)施例通過的網(wǎng)絡(luò)攻擊的防控方法中，當(dāng)步驟s202檢測到網(wǎng)絡(luò)攻擊后(即，上述圖3中清洗系統(tǒng)中的檢測裝置)，通過解析攻擊報(bào)文，通過步驟s204定位該攻擊報(bào)文所屬位置，進(jìn)而在通過步驟s206向該位置的第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令的同時(shí)，啟動清洗先對當(dāng)前網(wǎng)絡(luò)攻擊進(jìn)行緩解，從而通過第一網(wǎng)關(guān)設(shè)備側(cè)的溯源主動控制攻擊報(bào)文的發(fā)送終端，執(zhí)行主動防御。歸避了相關(guān)技術(shù)中服務(wù)器側(cè)僅能依靠防火墻被動防御的問題，提升了防御效率。由上可知，本申請上述實(shí)施例一所提供的方案，通過當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，解析攻擊報(bào)文，其中，攻擊報(bào)文包含：地址信息；依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備；向第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令，其中，防控指令用于指示第一網(wǎng)關(guān)設(shè)備對攻擊報(bào)文所屬的終端執(zhí)行安全控制，達(dá)到了服務(wù)器和網(wǎng)關(guān)設(shè)備主動對網(wǎng)絡(luò)攻擊進(jìn)行安全控制的目的，從而實(shí)現(xiàn)了提升防御效率的技術(shù)效果，進(jìn)而解決了由于相關(guān)技術(shù)中缺少對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和反制的技術(shù)，導(dǎo)致目標(biāo)服務(wù)器在遭受攻擊時(shí)被動防御，從而導(dǎo)致防御效率低的技術(shù)問題?？蛇x的，步驟s202中解析攻擊報(bào)文包括：本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法中，基于上述步驟s202，如何解析攻擊報(bào)文具體如下：step1，在預(yù)設(shè)的單位時(shí)間內(nèi)，采集攻擊報(bào)文；本申請上述步驟step1中，在獲取攻擊報(bào)文的攻擊信息時(shí)，首先，需要篩選出攻擊報(bào)文，即，常規(guī)網(wǎng)絡(luò)報(bào)文不會在短時(shí)間內(nèi)頻繁向服務(wù)器側(cè)發(fā)送網(wǎng)絡(luò)報(bào)文，以此為基準(zhǔn)，當(dāng)在單位時(shí)間內(nèi)采集到，發(fā)送網(wǎng)絡(luò)報(bào)文的源地址為同一地址，報(bào)文協(xié)議類型相同，且報(bào)文長度大于預(yù)設(shè)長度時(shí)，判定該網(wǎng)絡(luò)報(bào)文為攻擊報(bào)文。其中，本申請實(shí)施例中的預(yù)設(shè)的單位時(shí)間可以為如表1所示的報(bào)文采集時(shí)間，本申請實(shí)施例中在判斷網(wǎng)絡(luò)報(bào)文是否為攻擊報(bào)文的過程中，以在一個(gè)采集時(shí)間內(nèi)源地址相同、報(bào)文協(xié)議類型相同且報(bào)文長度大于預(yù)設(shè)長度的報(bào)文為攻擊報(bào)文。表1為在單位時(shí)間內(nèi)采集到的網(wǎng)絡(luò)報(bào)文列表：表1其中，由表1可知，以0x年7月11日6點(diǎn)xx分xx秒為報(bào)文的采集時(shí)間為例，在該時(shí)間點(diǎn)，如表1所示，源地址為113.x.x發(fā)送了多條(兩條以上)網(wǎng)絡(luò)報(bào)文，且報(bào)文長度大于接收到的所有報(bào)文長度的均值，由此得到該源地址為113.x.x，協(xié)議類 型為：簡單服務(wù)發(fā)現(xiàn)協(xié)議(simpleservicediscoveryprotocol，簡稱ssdp)的網(wǎng)絡(luò)報(bào)文為攻擊報(bào)文。step2，解析攻擊報(bào)文，得到攻擊報(bào)文的地址信息和流量信息；基于上述步驟step1中采集的攻擊報(bào)文，本申請上述步驟step2中，通過對攻擊報(bào)文的解析，將得到攻擊報(bào)文的地址信息，以及流量信息，其中，流量信息可以為當(dāng)前該攻擊報(bào)文在所有用戶數(shù)據(jù)包協(xié)議(userdatagramprotocol，簡稱udp)中超文本傳輸協(xié)議數(shù)據(jù)包(hypertexttransferprotocol，簡稱htp)中所占的百分比，以及所占的比特比；地址信息可以為上述表1中的源地址，在本申請實(shí)施例中該源地址以ip地址為例進(jìn)行說明。step3，依據(jù)流量信息和地址信息得到攻擊報(bào)文的攻擊特征，其中，攻擊特征為在預(yù)設(shè)的單位時(shí)間內(nèi)攻擊報(bào)文由地址信息對服務(wù)器的流量沖擊方式。本申請上述步驟step3中，結(jié)合step1和step2在得到流量信息和地址信息后，將能夠得到在step1步驟中單位時(shí)間內(nèi)，地址信息為113.x.x的攻擊報(bào)文的攻擊特征，即，在單位時(shí)間內(nèi)，根據(jù)攻擊報(bào)文的源地址和step2中的流量信息計(jì)算得到該攻擊報(bào)文的攻擊特征，其中，該攻擊特征可以包括：高頻發(fā)送了大量簡單服務(wù)發(fā)現(xiàn)協(xié)議ssdp報(bào)文，即，已經(jīng)構(gòu)成了ssdp反射攻擊的特征。進(jìn)一步地，可選的，步驟s204中依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備包括：step1，解析地址信息，得到攻擊報(bào)文的源地址；基于步驟s202中的step2得到的地址信息，本申請上述步驟step1中，由于地址信息可以包括：源地址、源端口、目的地址和目的端口，目的地址可以為服務(wù)器側(cè)的ip地址，目的端口可以為服務(wù)器側(cè)接收攻擊報(bào)文的端口，由于在服務(wù)器側(cè)接收到的攻擊報(bào)文，所以目的地址在服務(wù)器側(cè)為已知，即服務(wù)器的ip地址，通過解析上述地址信息，將得到源地址。step2，在預(yù)先設(shè)置的數(shù)據(jù)庫中匹配源地址對應(yīng)的位置，得到攻擊報(bào)文所屬的位置；基于上述步驟step1得到攻擊報(bào)文的源地址后，本申請上述步驟step2中，由于在互聯(lián)網(wǎng)協(xié)議的框架下，通過ip地址均可以查詢得到該ip地址對應(yīng)的位置，即，該ip所屬的城市，由此可知，在本申請實(shí)施例中通過在數(shù)據(jù)庫中匹配該源地址，將得到該源地址所屬省份和城市。step3，在數(shù)據(jù)庫中查詢位置對應(yīng)的網(wǎng)關(guān)設(shè)備，得到攻擊報(bào)文所屬的位置對應(yīng)的第一網(wǎng)關(guān)設(shè)備?；谏鲜霾襟Estep2確定的攻擊報(bào)文所屬的位置，本申請上述步驟step3中，基于互聯(lián)網(wǎng)協(xié)議框架，當(dāng)通過源ip地址得到該源ip所屬的城市(即，本申請實(shí)施例中的位置)時(shí)，通過協(xié)同該城市的運(yùn)用商，得到轉(zhuǎn)發(fā)攜帶有該源ip攻擊報(bào)文的第一網(wǎng)關(guān)設(shè)備。其中，圖4是根據(jù)本發(fā)明實(shí)施例一的網(wǎng)絡(luò)攻擊的防控方法中攻擊報(bào)文所屬位置的分布圖。如圖4可知，通過扇形圖分布可以得到，在服務(wù)器側(cè)接收的攻擊報(bào)文中，攻擊來源最大的城市和/或運(yùn)營商，通過知曉攻擊來源最大的城市可以通過協(xié)同該城市設(shè)置的網(wǎng)關(guān)設(shè)備，對該城市區(qū)域中源地址所指示的終端進(jìn)行安全控制，達(dá)到了主動防御的效果。其中，所占攻擊源ip分布百分比最大的城市可以為攻擊來源最大的城市，如圖4所示為11％對應(yīng)的城市，這里需要說明的是，通過獲取運(yùn)營商信息將可以通過利用運(yùn)營商資源更進(jìn)一步的對發(fā)起攻擊報(bào)文的終端匹配對應(yīng)的防控策略，以使得達(dá)到最佳防控效果。具體防控執(zhí)行步驟s206。進(jìn)一步地，可選的，步驟s206中向位置所定位的網(wǎng)關(guān)設(shè)備發(fā)送防控指令包括：step1，依據(jù)攻擊特征生成防控指令；基于上述步驟s204確定的攻擊報(bào)文所屬的位置，本申請上述步驟step1中，由于上述步驟s204中的得到攻擊特征，將生成防控指令。該防控指令可以包括本地防控指令和指示攻擊報(bào)文所屬位置的網(wǎng)關(guān)設(shè)備執(zhí)行的防控指令。其中，本地防控指令為在服務(wù)器側(cè)執(zhí)行的防御操作，該防御操作可以包括：設(shè)置白名單或設(shè)置服務(wù)器側(cè)接收數(shù)據(jù)流量的門限閾值。這里通過設(shè)置白名單，將白名單以外的源ip地址進(jìn)行甄別處理，當(dāng)獲取到攜帶攻擊特征的網(wǎng)絡(luò)報(bào)文時(shí)，將禁止接收處理該攻擊特征對應(yīng)的源ip的網(wǎng)絡(luò)報(bào)文，通過甄別學(xué)習(xí)，擴(kuò)充白名單；同理，黑名單處理方式相同，通過標(biāo)記攜帶攻擊特征的源ip，根據(jù)上述源ip生成黑名單，對來自該源ip地址的網(wǎng)絡(luò)報(bào)文禁止接收處理。在本地防控指令中，當(dāng)定位到城市后，還可以進(jìn)一步分析，攻擊來源的類型和主機(jī)系統(tǒng)的特點(diǎn)，如：nat內(nèi)網(wǎng)ip、偽造爬蟲ip、代理ip、個(gè)人僵尸主機(jī)、服務(wù)器僵尸主機(jī)和3g網(wǎng)關(guān)，對于不同的類型，在服務(wù)器側(cè)(即，近目的端)采用的策略不一樣，根據(jù)不同的ip策略來進(jìn)行本地的防御處理，其中，ip策略可以包括：對于nat內(nèi)網(wǎng)ip和3g網(wǎng)關(guān)可以采取限速策略，對于其他ip則采取封禁策略。在接收數(shù)據(jù)流量上，可以通過設(shè)置門限閾值，將大于當(dāng)前門限閾值的數(shù)據(jù)報(bào)文進(jìn)行丟包，以保障服務(wù)器側(cè)的安全。這里服務(wù)器側(cè)所執(zhí)行的本地防控指令為被動防御，通過生成用于指示攻擊報(bào)文所屬位置的網(wǎng)關(guān)設(shè)備執(zhí)行的防控指令，協(xié)同該攻擊報(bào)文所 屬位置的網(wǎng)關(guān)設(shè)備，達(dá)到主動防御的目的。step2，將防控指令發(fā)送至第一網(wǎng)關(guān)設(shè)備。結(jié)合步驟s206中step1得到的防控指令，并在得到的攻擊報(bào)文所屬的位置對應(yīng)的第一網(wǎng)關(guān)設(shè)備后，本申請上述步驟step2中，將防控指令發(fā)送至第一網(wǎng)關(guān)設(shè)備。其中，該第一網(wǎng)關(guān)設(shè)備為配置有清洗系統(tǒng)的城域網(wǎng)關(guān)設(shè)備，具體的，在每個(gè)城域網(wǎng)出口均部署流量清洗系統(tǒng)，以使得清洗系統(tǒng)與城域網(wǎng)出口的路由器建立邊界網(wǎng)關(guān)協(xié)議(bordergatewayprotocol，簡稱bgp)鄰居關(guān)系。需要說明的是，本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法中，區(qū)別于相關(guān)技術(shù)中在服務(wù)器側(cè)的被動防御，本申請實(shí)施例提供了一種防控網(wǎng)絡(luò)，除在服務(wù)器側(cè)配置清洗系統(tǒng)，在城域設(shè)備側(cè)，同樣配置清洗系統(tǒng)，以達(dá)到當(dāng)服務(wù)器側(cè)檢測到網(wǎng)絡(luò)攻擊時(shí)，通過定位到攻擊報(bào)文的發(fā)起終端所屬的城市，協(xié)同該城市的城域設(shè)備，依據(jù)攻擊報(bào)文的攻擊信息進(jìn)行溯源篩選得到整個(gè)攻擊流程的源頭，即，整個(gè)網(wǎng)絡(luò)攻擊的發(fā)起終端，通過城域設(shè)備的清洗系統(tǒng)對發(fā)起終端執(zhí)行安全控制，達(dá)到消除由該發(fā)起終端組成的攻擊網(wǎng)絡(luò)，杜絕該發(fā)起終端再次發(fā)起的網(wǎng)絡(luò)攻擊，區(qū)別于相關(guān)技術(shù)中盡在服務(wù)器側(cè)的被動防御，本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法，服務(wù)器側(cè)除了常規(guī)防控外，還通過主動獲取攻擊報(bào)文源ip，并進(jìn)行定位，協(xié)同該源ip所屬位置的城域設(shè)備，達(dá)到主動防御的效果，提升了服務(wù)器側(cè)在面對網(wǎng)絡(luò)攻擊時(shí)的防御效率。實(shí)施例2根據(jù)本發(fā)明實(shí)施例，還提供了另一種網(wǎng)絡(luò)攻擊的防控方法的方法實(shí)施例，在城域設(shè)備側(cè)，本申請?zhí)峁┝巳鐖D5所示的網(wǎng)絡(luò)攻擊的防控方法。圖5是根據(jù)本發(fā)明實(shí)施例二的網(wǎng)絡(luò)攻擊的防控方法的流程圖。步驟s502，接收防控指令，其中，防控指令包括：被攻擊服務(wù)器接收到的攻擊報(bào)文的地址信息；本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法可以適用于城域設(shè)備側(cè)，其中，城域設(shè)備可以為每個(gè)城域網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備，在本申請實(shí)施例中該網(wǎng)關(guān)設(shè)備為配置有清洗系統(tǒng)的網(wǎng)關(guān)設(shè)備，其中，清洗系統(tǒng)與城域網(wǎng)出口的路由器建立有邊界網(wǎng)關(guān)協(xié)議(bordergatewayprotocol，簡稱bgp)鄰居關(guān)系。本申請上述步驟s502中，城域設(shè)備接收由服務(wù)器發(fā)送的防控指令，城域設(shè)備通過該防控指令獲取被攻擊服務(wù)器接收到的攻擊報(bào)文的地址信息。步驟s504，依據(jù)地址信息查詢得到發(fā)送攻擊報(bào)文的攻擊終端；基于步驟s502中防控指令中的地址信息，本申請上述步驟s504中，城域設(shè)備依據(jù)該地址信息，查詢得到發(fā)送該攻擊報(bào)文的攻擊終端，其中，根據(jù)攻擊報(bào)文中的地址信息可以查詢得到該地址信息中的源地址，這里根據(jù)源地址將能夠查詢到發(fā)送該攻擊報(bào)文的終端。具體的，基于互聯(lián)網(wǎng)協(xié)議框架，在網(wǎng)絡(luò)報(bào)文進(jìn)行傳輸?shù)倪^程中網(wǎng)絡(luò)報(bào)文會攜帶源地址和目的地址和/或源端口和目的端口，以及該網(wǎng)絡(luò)報(bào)文的協(xié)議類型，由此可知，在城域設(shè)備接收到防控指令后，由于防控指令攜帶攻擊報(bào)文的地址信息，城域設(shè)備將可以通過該地址信息查詢得到發(fā)起攻擊報(bào)文的攻擊終端，即，服務(wù)器接收攻擊報(bào)文，該攻擊報(bào)文的目的地址和目的端口將為服務(wù)器的ip地址和端口，由該攻擊報(bào)文中地址信息中的源地址和源端口可以得到發(fā)送該攻擊報(bào)文的終端的ip地址和端口，城域設(shè)備也是根據(jù)該源地址和源端口得到發(fā)送攻擊報(bào)文的攻擊終端。這里本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法以ddos攻擊為例進(jìn)行說明，以實(shí)現(xiàn)本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法為準(zhǔn)，具體不做限定。步驟s506，獲取攻擊終端的端口信息，并依據(jù)端口信息得到與攻擊終端存在通信連接的計(jì)算設(shè)備；基于步驟s506中查詢得到的攻擊終端，本申請上述步驟s506中，首先獲取該攻擊終端的端口信息，進(jìn)而根據(jù)端口信息獲取與該攻擊終端建立有通信連接的所有計(jì)算設(shè)備，這里計(jì)算設(shè)備可以為具備發(fā)起整個(gè)網(wǎng)絡(luò)攻擊嫌疑的初始終端。具體的，城域設(shè)備通過獲取該攻擊終端的端口信息，將可以得到與該攻擊終端存在通信連接的計(jì)算設(shè)備的個(gè)數(shù)以及分布，即，在互聯(lián)網(wǎng)通信中存在與該攻擊終端具有通信連接的多個(gè)計(jì)算設(shè)備，而發(fā)起整個(gè)網(wǎng)絡(luò)攻擊的初始終端將會存在于與該攻擊終端具有通信連接的眾多計(jì)算設(shè)備之中。其中，本申請實(shí)施例中的計(jì)算設(shè)備可以為與攻擊終端和初始終端一樣的pc機(jī)、筆記本電腦或超級計(jì)算機(jī)等能夠接入通信網(wǎng)絡(luò)的計(jì)算設(shè)備，本申請實(shí)施例僅以pc機(jī)為例進(jìn)行說明，以實(shí)現(xiàn)本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法為準(zhǔn)，具體不做限定。步驟s508，依據(jù)端口信息，篩選與攻擊終端存在通信連接的計(jì)算設(shè)備，得到發(fā)起攻擊報(bào)文的初始終端，其中，攻擊終端依據(jù)初始終端的控制指令發(fā)送攻擊報(bào)文；基于上述步驟s506得到計(jì)算設(shè)備，本申請上述步驟s508中，在城域設(shè)備側(cè)，當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí)，能夠檢測到發(fā)送攻擊報(bào)文的攻擊終端和與該攻擊終端通信連接的計(jì)算設(shè)備存在通信報(bào)文的地方有兩個(gè)，其一，與該攻擊終端通信連接的計(jì)算設(shè)備所在的 城域網(wǎng)出口；其二，發(fā)起攻擊報(bào)文的攻擊終端所在的城域網(wǎng)出口。其中，與該攻擊終端通信連接的終端可以為步驟s506中的計(jì)算設(shè)備，因?yàn)榕c該攻擊終端通信連接的計(jì)算設(shè)備可以為多個(gè)終端，特別是在網(wǎng)絡(luò)攻擊發(fā)起前和發(fā)生時(shí)肯定會存在與該攻擊終端多次通信的計(jì)算設(shè)備。這里如何從多個(gè)計(jì)算設(shè)備中篩選得到初始終端可以包括：以當(dāng)攻擊終端對服務(wù)器發(fā)起攻擊時(shí)，首先要從初始終端獲取攻擊指令(即，本申請實(shí)施例中提到的控制指令)，攻擊指令中可以包含了攻擊類型、攻擊時(shí)長、攻擊流量大小等，由于攻擊前初始終端需要下發(fā)給大量的攻擊終端上述攻擊指令，因此將可以能通過某一段時(shí)間某個(gè)ip同樣端口的流量急劇上升來判斷該初始終端的存在，并定位到該初始終端。步驟s510，通過預(yù)設(shè)方式控制初始終端。本申請上述步驟s510中，城域設(shè)備將可以依據(jù)初始終端的攻擊方式得到該初始終端的設(shè)備類型，進(jìn)而依據(jù)該設(shè)備類型匹配對應(yīng)的安全控制方法，城域設(shè)備通過控制初始終端，執(zhí)行防控策略，其中，控制初始終端可以為該初始終端對應(yīng)的城域設(shè)備對該初始終端的權(quán)限進(jìn)行管制，如，關(guān)閉任何與該初始終端建立有通信連接的攻擊終端，以使得該初始終端與外界隔絕；進(jìn)而通過執(zhí)行防控策略，中斷由初始終端以及多個(gè)發(fā)送攻擊報(bào)文的攻擊終端組成的攻擊網(wǎng)絡(luò)中攻擊終端與攻擊終端之間的通信鏈路，進(jìn)而將初始終端黑洞處理，使得整個(gè)攻擊網(wǎng)絡(luò)失去攻擊能力。具體見圖6，圖6是根據(jù)本發(fā)明實(shí)施例二的一種網(wǎng)絡(luò)攻擊的防控方法的流程圖，其中，如圖6所示，在城域設(shè)備側(cè)，當(dāng)服務(wù)器檢測到網(wǎng)絡(luò)攻擊后，城域設(shè)備接收到服務(wù)器發(fā)送的防控指令，城域設(shè)備對與該發(fā)送攻擊報(bào)文的攻擊終端建立通信連接的計(jì)算設(shè)備進(jìn)行全網(wǎng)近源檢測，通過發(fā)現(xiàn)異常的五元組，進(jìn)而定位整個(gè)網(wǎng)絡(luò)攻擊的初始終端，并通過清洗系統(tǒng)截?cái)嘣摮跏冀K端的通信，從而在城域網(wǎng)出口將該初始終端的ip進(jìn)行封禁(即，黑洞處理)，最終達(dá)到網(wǎng)絡(luò)攻擊被阻斷的效果，以規(guī)避相關(guān)技術(shù)中服務(wù)器的被動防御，進(jìn)而達(dá)到本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法中服務(wù)器與城域設(shè)備通過協(xié)同主動對網(wǎng)絡(luò)攻擊進(jìn)行防御的目的。其中，本申請實(shí)施例提供的五元組可以包括：(1)源ip地址；(2)目的ip地址；(3)源端口；(4)目的端口；(5)協(xié)議類型。遍布于各處的城域設(shè)備通過檢測源ip地址、目的ip地址、源端口和目的端口之間的數(shù)據(jù)流量是否大于預(yù)設(shè)閾值，將可以得到與發(fā)送攻擊報(bào)文的攻擊終端具有通信連接的計(jì)算設(shè)備，進(jìn)而篩選該計(jì)算設(shè)備得到發(fā)起整個(gè)網(wǎng)絡(luò)攻擊的初始終端。由上可知，本申請上述實(shí)施例二所提供的方案，通過接收防控指令，其中，防控指令包括：被攻擊服務(wù)器接收到的攻擊報(bào)文的地址信息；依據(jù)地址信息查詢得到發(fā)送 攻擊報(bào)文的攻擊終端；獲取攻擊終端的端口信息，并依據(jù)端口信息得到與攻擊終端存在通信連接的計(jì)算設(shè)備；依據(jù)端口信息，篩選與攻擊終端存在通信連接的計(jì)算設(shè)備，得到發(fā)起攻擊報(bào)文的初始終端，其中，攻擊終端依據(jù)初始終端的控制指令發(fā)送攻擊報(bào)文；通過預(yù)設(shè)方式控制初始終端。達(dá)到了服務(wù)器和網(wǎng)關(guān)設(shè)備主動對網(wǎng)絡(luò)攻擊進(jìn)行安全控制的目的，從而實(shí)現(xiàn)了提升防御效率的技術(shù)效果，進(jìn)而解決了由于相關(guān)技術(shù)中缺少對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和反制的技術(shù)，導(dǎo)致目標(biāo)服務(wù)器在遭受攻擊時(shí)被動防御，從而導(dǎo)致防御效率低的技術(shù)問題?？蛇x的，步驟s506中依據(jù)端口信息得到與攻擊終端存在通信連接的計(jì)算設(shè)備包括：step1，依據(jù)端口信息查詢在接收防控指令之前與攻擊終端通信的計(jì)算設(shè)備。本申請上述步驟step1中，城域設(shè)備依據(jù)該端口信息查詢在接收防控指令之前，與該攻擊終端具有通信連接的計(jì)算設(shè)備，即，存在發(fā)起整個(gè)網(wǎng)絡(luò)攻擊嫌疑的初始終端。具體的，城域設(shè)備通過該端口信息，將得到曾與發(fā)送攻擊報(bào)文的攻擊終端建立有通信連接的各個(gè)計(jì)算設(shè)備的通信端口信息，進(jìn)而通過標(biāo)記與發(fā)送攻擊報(bào)文的攻擊終端通信連接的計(jì)算設(shè)備，篩選實(shí)際發(fā)起整個(gè)網(wǎng)絡(luò)攻擊的初始終端，而如何獲取該初始終端，執(zhí)行步驟s508?？蛇x的，步驟s508中依據(jù)端口信息，篩選與攻擊終端存在通信連接的計(jì)算設(shè)備，得到發(fā)起攻擊報(bào)文的初始終端包括：step1，在端口信息包括：源地址、目標(biāo)地址、源端口、目標(biāo)端口和協(xié)議類型的情況下，將攻擊終端的地址作為目標(biāo)地址，并檢測在預(yù)設(shè)時(shí)間內(nèi)與目標(biāo)地址通信次數(shù)大于預(yù)設(shè)安全值的源地址；基于步驟s506中的step1，本申請上述步驟step1中，在本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防護(hù)方法中，提出了一個(gè)五元組的概念，即，五元組包括：(1)源ip地址；(2)目的ip地址；(3)源端口；(4)目的端口；(5)協(xié)議類型。城域設(shè)備獲取該攻擊終端與各個(gè)計(jì)算設(shè)備之間的端口信息，即，五元組信息。具體的，城域設(shè)備檢測以該攻擊終端的地址為目標(biāo)地址，在預(yù)設(shè)時(shí)間內(nèi)與該目標(biāo)地址通信次數(shù)大于預(yù)設(shè)安全值的源地址，如表2所示，表2為在一次攻擊發(fā)生前在城域網(wǎng)出口捕獲到的發(fā)送攻擊報(bào)文的攻擊終端跟各個(gè)計(jì)算設(shè)備建立通信的五元組信息。其中，本申請實(shí)施例中的源地址和目標(biāo)地址以ip地址為例。表2源ip目標(biāo)ip源端口目的端口協(xié)議類型211.21.21.2119.20.20.206540350000tcp211.21.21.3119.20.20.206212350000tcp211.21.21.4119.20.20.206323450000tcp211.21.21.5119.20.20.206111150000tcp211.21.21.6119.20.20.205432150000tcp211.21.21.7119.20.20.201234550000tcp211.21.21.8119.20.20.202234550000tcp其中，如表2所示，若城域設(shè)備在接收防控指令之前，檢測到在短時(shí)間內(nèi)表2中的一個(gè)源ip存在與目標(biāo)ip一直存在通信，且端口固定，則可以確定該源ip為發(fā)起整個(gè)網(wǎng)絡(luò)攻擊的初始終端的ip。這里短時(shí)間可以為在預(yù)設(shè)的通信周期內(nèi)，其中，該通信周期可以依據(jù)實(shí)際通信環(huán)境決定。step2，將通信次數(shù)大于預(yù)設(shè)安全值的源地址對應(yīng)的計(jì)算設(shè)備，作為初始終端?；诓襟Estep1中對預(yù)設(shè)時(shí)間內(nèi)檢測到的源地址，本申請上述step2中，由于若發(fā)起一場網(wǎng)絡(luò)攻擊，初始終端需要與發(fā)送攻擊報(bào)文的攻擊終端頻繁通信，以告知該攻擊終端攻擊指令，進(jìn)而通過將短時(shí)間內(nèi)通信次數(shù)大于安全至的源地址對應(yīng)的計(jì)算設(shè)備作為初始終端，即，完成了對初始終端的定位。進(jìn)一步地，可選的，在防控指令還包括攻擊特征的情況下，步驟s510中通過預(yù)設(shè)方式控制初始終端包括：step1，獲取初始終端的設(shè)備類型；基于步驟s508中得到的初始終端，本申請上述步驟step1中，由于城域設(shè)備側(cè)配置有清洗系統(tǒng)以及流量檢測系統(tǒng)，城域設(shè)備獲取初始終端的設(shè)備類型。step2，在攻擊特征為預(yù)設(shè)的單位時(shí)間內(nèi)攻擊報(bào)文由地址信息對服務(wù)器的流量沖擊方式的情況下，依據(jù)攻擊特征和設(shè)備類型在預(yù)設(shè)數(shù)據(jù)庫中匹配對應(yīng)的防控策略。基于步驟step1中獲取的設(shè)備類型，本申請上述步驟step2中，城域設(shè)備依據(jù)預(yù)先配置的清洗系統(tǒng)，根據(jù)攻擊特征和設(shè)備類型，由清洗系統(tǒng)(即，本申請中的預(yù)設(shè)數(shù)據(jù)庫)匹配對應(yīng)該初始終端的防控策略。step3，中斷攻擊終端與初始終端之間的通信鏈路；本申請上述步驟step3中，城域設(shè)備將中斷發(fā)送攻擊報(bào)文的攻擊終端與初始終端之間的通信連接，從而達(dá)到令由多個(gè)攻擊終端組成的攻擊網(wǎng)絡(luò)與攻擊源頭的初始終端斷絕通信連接的效果，由于攻擊網(wǎng)絡(luò)與攻擊源頭斷絕了通信連接，由此攻擊網(wǎng)絡(luò)將無法繼續(xù)接收初始終端發(fā)送的攻擊指令，進(jìn)而攻擊網(wǎng)絡(luò)將在執(zhí)行攻擊行為時(shí)癱瘓，從而土崩瓦解，消除了當(dāng)前ddos攻擊這一現(xiàn)象。step4，依據(jù)防控策略鎖禁初始終端。本申請上述步驟step4中，在中斷攻擊終端與初始終端之間的通信鏈路的同時(shí)，可以通過鎖禁初始終端，具體的，通過封禁初始終端的ip地址，使該ip地址成為無效地址，進(jìn)而斷絕初始終端與任一攻擊終端的通信可能。需要說明的是，結(jié)合實(shí)施例1和實(shí)施例2，通過服務(wù)器側(cè)和城域設(shè)備側(cè)兩側(cè)合作協(xié)同防御，避免了相關(guān)技術(shù)中服務(wù)器只能被動防御的現(xiàn)狀，進(jìn)而在本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法下，服務(wù)器和城域設(shè)備主動對網(wǎng)絡(luò)攻擊進(jìn)行安全控制，提升了防御效率。具體的，本申請?zhí)岢隽艘环N防御架構(gòu)，如圖7所示，圖7是根據(jù)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控系統(tǒng)的結(jié)構(gòu)示意圖。圖7中，每個(gè)城域往出口均配置有清洗系統(tǒng)，以使得該清洗系統(tǒng)與城域網(wǎng)出口的路由器建立bgp鄰居關(guān)系，且，每個(gè)城域網(wǎng)均配置流量檢測系統(tǒng)，其中，城域網(wǎng)將出口路由器的流量信息均發(fā)送到流量檢測系統(tǒng)，以使得在網(wǎng)絡(luò)攻擊發(fā)生時(shí)，能夠有效根據(jù)端口信息(即，五元組)檢測出初始終端。結(jié)合圖7，基于實(shí)施例1和實(shí)施例2，圖8是根據(jù)本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控系統(tǒng)執(zhí)行防控方法的流程示意圖，如圖8所示，該網(wǎng)絡(luò)攻擊的防控系統(tǒng)的處理流程具體如下：首先，在服務(wù)器側(cè)，當(dāng)檢測到ddos攻擊時(shí)，啟動清洗，協(xié)同聯(lián)動城域設(shè)備(即，防控指令的下達(dá))；其次，城域設(shè)備側(cè)獲取五元組(源地址、源端口、目標(biāo)地址、目標(biāo)端口和協(xié)議類型)；第三，城域設(shè)備側(cè)執(zhí)行反向溯源分析，提交ip通信的關(guān)聯(lián)ip、關(guān)聯(lián)區(qū)域、可疑機(jī)器以及可以操作者(即，本申請實(shí)施例中提到的攻擊終端和初始終端)；第四，定位發(fā)起整個(gè)ddos攻擊的初始終端，執(zhí)行防控策略。本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法中，以ddos攻擊為例進(jìn)行說明，在執(zhí) 行ddos攻擊的過程中，由發(fā)送攻擊報(bào)文的攻擊終端組成的僵尸網(wǎng)絡(luò)，為危害服務(wù)器側(cè)的主要攻擊源頭，其中，僵尸網(wǎng)絡(luò)的檢測和清除是解決運(yùn)營商面臨的dos、ddos攻擊的源頭防御方案，本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法解決了僵尸網(wǎng)絡(luò)的問題，運(yùn)營商受dos和ddos攻擊的威脅將得到最大程度的降低，在上述通信架構(gòu)下，ddos解決方案從只是被動的檢測、封堵、清洗等，到一個(gè)源頭解決方案的過渡。本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法可以為以后作為ddos的源頭解決方案真正解決運(yùn)營商網(wǎng)絡(luò)的ddos攻擊問題。需要說明的是，對于前述的各方法實(shí)施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領(lǐng)域技術(shù)人員應(yīng)該知悉，本發(fā)明并不受所描述的動作順序的限制，因?yàn)橐罁?jù)本發(fā)明，某些步驟可以采用其他順序或者同時(shí)進(jìn)行。其次，本領(lǐng)域技術(shù)人員也應(yīng)該知悉，說明書中所描述的實(shí)施例均屬于優(yōu)選實(shí)施例，所涉及的動作和模塊并不一定是本發(fā)明所必須的。通過以上的實(shí)施方式的描述，本領(lǐng)域的技術(shù)人員可以清楚地了解到根據(jù)上述實(shí)施例的網(wǎng)絡(luò)攻擊的防控方法可借助軟件加必需的通用硬件平臺的方式來實(shí)現(xiàn)，當(dāng)然也可以通過硬件，但很多情況下前者是更佳的實(shí)施方式?；谶@樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲在一個(gè)存儲介質(zhì)(如rom/ram、磁碟、光盤)中，包括若干指令用以使得一臺終端設(shè)備(可以是手機(jī)，計(jì)算機(jī)，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述的方法。實(shí)施例3根據(jù)本發(fā)明實(shí)施例，還提供了一種用于實(shí)施上述方法實(shí)施例的網(wǎng)絡(luò)攻擊的防控裝置實(shí)施例，本申請上述實(shí)施例所提供的裝置可以在服務(wù)器上運(yùn)行。圖9是根據(jù)本發(fā)明實(shí)施例三的網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖。如圖9所示，該網(wǎng)絡(luò)攻擊的防控裝置包括：解析模塊92、定位模塊94和發(fā)送模塊96。其中，解析模塊92，用于當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，解析攻擊報(bào)文，其中，攻擊報(bào)文包含：地址信息；定位模塊94，用于依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備；發(fā)送模塊96，用于向第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令，其中，防控指令用于指示第一網(wǎng)關(guān)設(shè)備對攻擊報(bào)文所屬的終端執(zhí)行安全控制。由上可知，本申請上述實(shí)施例三所提供的方案，通過當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，解析攻擊報(bào)文，其中，攻擊報(bào)文包含：地址信息；依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備；向第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令，其中，防控指令用于指示第一網(wǎng)關(guān)設(shè)備對攻擊報(bào)文所屬的終端執(zhí)行安全控制，達(dá)到了服務(wù)器和網(wǎng)關(guān)設(shè)備主動對網(wǎng)絡(luò)攻擊進(jìn)行安全控制的目的，從而實(shí)現(xiàn)了提升防御效率的技術(shù)效果，進(jìn)而解決了由于相關(guān)技術(shù)中缺少對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和反制的技術(shù)，導(dǎo)致目標(biāo)服務(wù)器在遭受攻擊時(shí)被動防御，從而導(dǎo)致防御效率低的技術(shù)問題。此處需要說明的是，上述解析模塊92、定位模塊94和發(fā)送模塊96對應(yīng)于實(shí)施例一中的步驟s202至步驟s206，三個(gè)模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的服務(wù)器10中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。可選的，圖10是根據(jù)本發(fā)明實(shí)施例三的一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖，如圖10所示，解析模塊92包括：采集單元921、解析單元922和獲取單元923。其中，采集單元921，用于在預(yù)設(shè)的單位時(shí)間內(nèi)，采集攻擊報(bào)文；解析單元922，用于解析攻擊報(bào)文，得到攻擊報(bào)文的地址信息和流量信息；獲取單元923，用于依據(jù)流量信息和地址信息得到攻擊報(bào)文的攻擊特征，其中，攻擊特征為在預(yù)設(shè)的單位時(shí)間內(nèi)攻擊報(bào)文由地址信息對服務(wù)器的流量沖擊方式。此處需要說明的是，上述采集單元921、解析單元922和獲取單元923對應(yīng)于實(shí)施例一中的步驟s202的step1至step3，三個(gè)模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的服務(wù)器10中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。進(jìn)一步地，可選的，圖11是根據(jù)本發(fā)明實(shí)施例三的另一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖，如圖11所示，定位模塊94包括：信息解析單元941、定位單元942和查詢單元943。其中，信息解析單元941，用于解析地址信息，得到攻擊報(bào)文的源地址；定位單元942，用于在預(yù)先設(shè)置的數(shù)據(jù)庫中匹配源地址對應(yīng)的位置，得到攻擊報(bào)文所屬的位置；查詢單元943，用于在數(shù)據(jù)庫中查詢位置對應(yīng)的網(wǎng)關(guān)設(shè)備，得到攻擊報(bào)文所屬的位置對應(yīng)的第一網(wǎng)關(guān)設(shè)備。此處需要說明的是，上述信息解析單元941、定位單元942和查詢單元943對應(yīng)于實(shí)施例一中的步驟s204的step1至step3，三個(gè)模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和 應(yīng)用場景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的服務(wù)器10中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。進(jìn)一步地，可選的，圖12是根據(jù)本發(fā)明實(shí)施例三的又一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖，如圖12所示，發(fā)送模塊96包括：指令生成單元961和發(fā)送單元962。其中，指令生成單元961，用于依據(jù)攻擊特征生成防控指令；發(fā)送單元962，用于將防控指令發(fā)送至第一網(wǎng)關(guān)設(shè)備。此處需要說明的是，上述指令生成單元961和發(fā)送單元962對應(yīng)于實(shí)施例一中的步驟s206的step1和step2，兩個(gè)模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例一提供的服務(wù)器10中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控裝置中，區(qū)別于相關(guān)技術(shù)中在服務(wù)器側(cè)的被動防御，本申請實(shí)施例提供了一種防控網(wǎng)絡(luò)，除在服務(wù)器側(cè)配置清洗系統(tǒng)，在城域設(shè)備側(cè)，同樣配置清洗系統(tǒng)，以達(dá)到當(dāng)服務(wù)器側(cè)檢測到網(wǎng)絡(luò)攻擊時(shí)，通過定位到攻擊報(bào)文的發(fā)起終端所屬的城市，協(xié)同該城市的城域設(shè)備，依據(jù)攻擊報(bào)文的攻擊信息進(jìn)行溯源篩選得到整個(gè)攻擊流程的源頭，即，整個(gè)網(wǎng)絡(luò)攻擊的發(fā)起終端，通過城域設(shè)備的清洗系統(tǒng)對發(fā)起終端執(zhí)行安全控制，達(dá)到消除由該發(fā)起終端組成的攻擊網(wǎng)絡(luò)，杜絕該發(fā)起終端再次發(fā)起的網(wǎng)絡(luò)攻擊，區(qū)別于相關(guān)技術(shù)中盡在服務(wù)器側(cè)的被動防御，本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法，服務(wù)器側(cè)除了常規(guī)防控外，還通過主動獲取攻擊報(bào)文源ip，并進(jìn)行定位，協(xié)同該源ip所屬位置的城域設(shè)備，達(dá)到主動防御的效果，提升了服務(wù)器側(cè)在面對網(wǎng)絡(luò)攻擊時(shí)的防御效率。實(shí)施例4根據(jù)本發(fā)明實(shí)施例，還提供了一種用于實(shí)施上述方法實(shí)施例的網(wǎng)絡(luò)攻擊的防控裝置實(shí)施例，本申請上述實(shí)施例所提供的裝置可以在城域設(shè)備上運(yùn)行。圖13是根據(jù)本發(fā)明實(shí)施例四的網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖。如圖13所示，該網(wǎng)絡(luò)攻擊的防控裝置包括：接收模塊1302、查詢模塊1304、獲取模塊1306、篩選模塊1308和防控模塊1310。其中，接收模塊1302，用于接收防控指令，其中，防控指令包括：被攻擊服務(wù)器接收到的攻擊報(bào)文的地址信息；查詢模塊1304，用于依據(jù)地址信息查詢得到發(fā)送攻擊 報(bào)文的攻擊終端；獲取模塊1306，用于獲取攻擊終端的端口信息，并依據(jù)端口信息得到與攻擊終端存在通信連接的計(jì)算設(shè)備；篩選模塊1308，用于依據(jù)端口信息，篩選與攻擊終端存在通信連接的計(jì)算設(shè)備，得到發(fā)起攻擊報(bào)文的初始終端，其中，攻擊終端依據(jù)初始終端的控制指令發(fā)送攻擊報(bào)文；防控模塊1310，用于通過預(yù)設(shè)方式控制初始終端。由上可知，本申請上述實(shí)施例四所提供的方案，通過接收防控指令，其中，防控指令包括：被攻擊服務(wù)器接收到的攻擊報(bào)文的地址信息；依據(jù)地址信息查詢得到發(fā)送攻擊報(bào)文的攻擊終端；獲取攻擊終端的端口信息，并依據(jù)端口信息得到與攻擊終端存在通信連接的計(jì)算設(shè)備；依據(jù)端口信息，篩選與攻擊終端存在通信連接的計(jì)算設(shè)備，得到發(fā)起攻擊報(bào)文的初始終端，其中，攻擊終端依據(jù)初始終端的控制指令發(fā)送攻擊報(bào)文；通過預(yù)設(shè)方式控制初始終端。達(dá)到了服務(wù)器和網(wǎng)關(guān)設(shè)備主動對網(wǎng)絡(luò)攻擊進(jìn)行安全控制的目的，從而實(shí)現(xiàn)了提升防御效率的技術(shù)效果，進(jìn)而解決了由于相關(guān)技術(shù)中缺少對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和反制的技術(shù)，導(dǎo)致目標(biāo)服務(wù)器在遭受攻擊時(shí)被動防御，從而導(dǎo)致防御效率低的技術(shù)問題。此處需要說明的是，上述接收模塊1302、查詢模塊1304、獲取模塊1306、篩選模塊1308和防控模塊1310對應(yīng)于實(shí)施例二中的步驟s502至步驟s510，五個(gè)模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例二提供的城域設(shè)備中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)?？蛇x的，圖14是根據(jù)本發(fā)明實(shí)施例四的一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖，如圖14所示，獲取模塊1306包括：查詢單元13061。其中，查詢單元13061，用于依據(jù)端口信息查詢在接收防控指令之前與攻擊終端通信的計(jì)算設(shè)備。此處需要說明的是，上述查詢單元13061對應(yīng)于實(shí)施例二中的步驟s506中的step1，該模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例二提供的城域設(shè)備中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)?？蛇x的，圖15是根據(jù)本發(fā)明實(shí)施例四的另一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖，如圖15所示，篩選模塊1308包括：檢測單元13081和篩選單元13082。其中，檢測單元13081，用于在端口信息包括：源地址、目標(biāo)地址、源端口、目標(biāo)端口和協(xié)議類型的情況下，將攻擊終端的地址作為目標(biāo)地址，并檢測在預(yù)設(shè)時(shí)間內(nèi) 與目標(biāo)地址通信次數(shù)大于預(yù)設(shè)安全值的源地址；篩選單元13082，用于將通信次數(shù)大于預(yù)設(shè)安全值的源地址對應(yīng)的計(jì)算設(shè)備，作為初始終端。此處需要說明的是，上述檢測單元13081和篩選單元13082對應(yīng)于實(shí)施例二中的步驟s508中的step1和step2，兩個(gè)模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例二提供的城域設(shè)備中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。進(jìn)一步地，可選的，圖16是根據(jù)本發(fā)明實(shí)施例四的又一種網(wǎng)絡(luò)攻擊的防控裝置的結(jié)構(gòu)示意圖，如圖16所示，防控模塊1310包括：類型獲取單元13101、匹配單元13102、執(zhí)行單元13103和鎖禁單元13104。其中，類型獲取單元13101，用于獲取初始終端的設(shè)備類型；匹配單元13102，用于在攻擊特征為預(yù)設(shè)的單位時(shí)間內(nèi)攻擊報(bào)文由地址信息對服務(wù)器的流量沖擊方式的情況下，依據(jù)攻擊特征和設(shè)備類型在預(yù)設(shè)數(shù)據(jù)庫中匹配對應(yīng)的防控策略；執(zhí)行單元13103，用于中斷攻擊終端與初始終端之間的通信鏈路；鎖禁單元13104，用于依據(jù)防控策略鎖禁初始終端。。此處需要說明的是，上述類型獲取單元13101、匹配單元13102、執(zhí)行單元13103和鎖禁單元13104對應(yīng)于實(shí)施例二中的步驟s510中的step1至step4，四個(gè)模塊與對應(yīng)的步驟所實(shí)現(xiàn)的示例和應(yīng)用場景相同，但不限于上述實(shí)施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運(yùn)行在實(shí)施例二提供的城域設(shè)備中，可以通過軟件實(shí)現(xiàn)，也可以通過硬件實(shí)現(xiàn)。本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控裝置中，以ddos攻擊為例進(jìn)行說明，在執(zhí)行ddos攻擊的過程中，由發(fā)送攻擊報(bào)文的終端組成的僵尸網(wǎng)絡(luò)，為危害服務(wù)器側(cè)的主要攻擊源頭，其中，僵尸網(wǎng)絡(luò)的檢測和清除是解決運(yùn)營商面臨的dos、ddos攻擊的源頭防御方案，本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法解決了僵尸網(wǎng)絡(luò)的問題，運(yùn)營商受dos和ddos攻擊的威脅將得到最大程度的降低，在上述通信架構(gòu)下，ddos解決方案從只是被動的檢測、封堵、清洗等，到一個(gè)源頭解決方案的過渡。本申請實(shí)施例提供的網(wǎng)絡(luò)攻擊的防控方法可以為以后作為ddos的源頭解決方案真正解決運(yùn)營商網(wǎng)絡(luò)的ddos攻擊問題。實(shí)施例5根據(jù)本發(fā)明實(shí)施例，還提供了一種用于實(shí)施上述網(wǎng)絡(luò)攻擊的防控方法實(shí)施例的系統(tǒng)實(shí)施例，圖17是本發(fā)明實(shí)施例五的網(wǎng)絡(luò)攻擊的防控系統(tǒng)的結(jié)構(gòu)示意圖。如圖17所示，該網(wǎng)絡(luò)攻擊的防控系統(tǒng)包括：服務(wù)器1702和城域設(shè)備1704，服務(wù)器1702與城域設(shè)備1704通信連接，其中，服務(wù)器1702為上述圖9至圖12中的任一項(xiàng)的網(wǎng)絡(luò)攻擊的防控裝置；城域設(shè)備1704為上述圖13至圖16中的任一項(xiàng)的網(wǎng)絡(luò)攻擊的防控裝置。實(shí)施例6本發(fā)明的實(shí)施例還提供了一種存儲介質(zhì)?？蛇x地，在本實(shí)施例中，上述存儲介質(zhì)可以用于保存上述實(shí)施例一所提供的網(wǎng)絡(luò)攻擊的防控方法所執(zhí)行的程序代碼。可選地，在本實(shí)施例中，上述存儲介質(zhì)可以位于計(jì)算機(jī)網(wǎng)絡(luò)中計(jì)算機(jī)終端群中的任意一個(gè)計(jì)算機(jī)終端中，或者位于移動終端群中的任意一個(gè)移動終端中?？蛇x地，在本實(shí)施例中，存儲介質(zhì)被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：當(dāng)檢測到網(wǎng)絡(luò)攻擊時(shí)，解析攻擊報(bào)文的攻擊報(bào)文，其中，攻擊報(bào)文包含：地址信息；依據(jù)地址信息定位第一網(wǎng)關(guān)設(shè)備；向第一網(wǎng)關(guān)設(shè)備發(fā)送防控指令，其中，防控指令用于指示第一網(wǎng)關(guān)設(shè)備對攻擊報(bào)文所屬的終端執(zhí)行安全控制?？蛇x地，在本實(shí)施例中，存儲介質(zhì)被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：在預(yù)設(shè)的單位時(shí)間內(nèi)，采集攻擊報(bào)文；解析攻擊報(bào)文，得到攻擊報(bào)文的地址信息和流量信息；依據(jù)流量信息和地址信息得到攻擊報(bào)文的攻擊特征，其中，攻擊特征為在預(yù)設(shè)的單位時(shí)間內(nèi)攻擊報(bào)文由地址信息對服務(wù)器的流量沖擊方式?？蛇x地，在本實(shí)施例中，存儲介質(zhì)被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：解析地址信息，得到攻擊報(bào)文的源地址；在預(yù)先設(shè)置的數(shù)據(jù)庫中匹配源地址對應(yīng)的位置，得到攻擊報(bào)文所屬的位置；在數(shù)據(jù)庫中查詢位置對應(yīng)的網(wǎng)關(guān)設(shè)備，得到攻擊報(bào)文所屬的位置對應(yīng)的第一網(wǎng)關(guān)設(shè)備。可選地，在本實(shí)施例中，存儲介質(zhì)被設(shè)置為存儲用于執(zhí)行以下步驟的程序代碼：依據(jù)攻擊特征生成防控指令；將防控指令發(fā)送至第一網(wǎng)關(guān)設(shè)備?？蛇x地，在本實(shí)施例中，上述存儲介質(zhì)可以包括但不限于：u盤、只讀存儲器(rom，read-onlymemory)、隨機(jī)存取存儲器(ram，randomaccessmemory)、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)?？蛇x地，本實(shí)施例中的具體示例可以參考上述實(shí)施例1中所描述的示例，本實(shí)施例在此不再贅述。上述本發(fā)明實(shí)施例序號僅僅為了描述，不代表實(shí)施例的優(yōu)劣。在本發(fā)明的上述實(shí)施例中，對各個(gè)實(shí)施例的描述都各有側(cè)重，某個(gè)實(shí)施例中沒有詳述的部分，可以參見其他實(shí)施例的相關(guān)描述。在本申請所提供的幾個(gè)實(shí)施例中，應(yīng)該理解到，所揭露的技術(shù)內(nèi)容，可通過其它的方式實(shí)現(xiàn)。其中，以上所描述的裝置實(shí)施例僅僅是示意性的，例如所述單元的劃分，僅僅為一種邏輯功能劃分，實(shí)際實(shí)現(xiàn)時(shí)可以有另外的劃分方式，例如多個(gè)單元或組件可以結(jié)合或者可以集成到另一個(gè)系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點(diǎn)，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，單元或模塊的間接耦合或通信連接，可以是電性或其它的形式。所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個(gè)地方，或者也可以分布到多個(gè)網(wǎng)絡(luò)單元上?？梢愿鶕?jù)實(shí)際的需要選擇其中的部分或者全部單元來實(shí)現(xiàn)本實(shí)施例方案的目的。另外，在本發(fā)明各個(gè)實(shí)施例中的各功能單元可以集成在一個(gè)處理單元中，也可以是各個(gè)單元單獨(dú)物理存在，也可以兩個(gè)或兩個(gè)以上單元集成在一個(gè)單元中。上述集成的單元既可以采用硬件的形式實(shí)現(xiàn)，也可以采用軟件功能單元的形式實(shí)現(xiàn)。所述集成的單元如果以軟件功能單元的形式實(shí)現(xiàn)并作為獨(dú)立的產(chǎn)品銷售或使用時(shí)，可以存儲在一個(gè)計(jì)算機(jī)可讀取存儲介質(zhì)中。基于這樣的理解，本發(fā)明的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻(xiàn)的部分或者該技術(shù)方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計(jì)算機(jī)軟件產(chǎn)品存儲在一個(gè)存儲介質(zhì)中，包括若干指令用以使得一臺計(jì)算機(jī)設(shè)備(可為個(gè)人計(jì)算機(jī)、服務(wù)器或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、只讀存儲器(rom，read-onlymemory)、隨機(jī)存取存儲器(ram，randomaccessmemory)、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式，應(yīng)當(dāng)指出，對于本
技術(shù)領(lǐng)域：
的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進(jìn)和潤飾，這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。當(dāng)前第1頁12