一种网络攻击溯源方法、装置和系统与流程

本申请涉及到计算机领域，特别是涉及到一种网络攻击溯源方法、装置和系统。

背景技术：

网络攻击，例如采用通过消耗服务器的某种资源，例如消耗计算资源、网络连接等资源的手段，对服务器进行攻击。为了防御网络攻击，可以采用网络攻击溯源方案，以发现攻击方或攻击路径，从而采取针对性反制措施。但是，传统的网络攻击溯源方案存在一个问题，即当遭到的网络攻击，使得服务器的资源消耗殆尽时，服务器难以执行网络攻击溯源方案。

技术实现要素：

本申请提出一种网络攻击溯源方法，应用于服务器，包括：

s1、根据预设的服务器压力检测方法，实时检测服务器承受的当前服务器压力，并判断所述当前服务器压力是否大于预设的压力阈值；

s2、若所述当前服务器压力大于预设的压力阈值，则实时采用预设的第一网络攻击溯源策略，对服务器进行第一攻击溯源处理，以得到第一攻击溯源结果；

s3、获取对应于所述第一攻击溯源结果的第一溯源时间值，并判断所述第一溯源时间值是否大于预设的溯源时间阈值；其中，所述第一溯源时间值指采用第一网络攻击溯源策略从开始一次第一攻击溯源处理之时，到获得对应的第一攻击溯源结果之时的时间窗口长度；

s4、若所述第一溯源时间值大于预设的溯源时间阈值，则对服务器接收到的通信数据进行第一次通信数据采集处理，以获取第一通信数据集；

s5、根据预设的数据对应关系，获取与所述第一通信数据集对应第一响应数据集；其中，所述第一响应数据集包括服务器根据所述第一通信数据集的响应数据；

s6、将所述第一通信数据集和所述第一响应数据集合并为第一数据总集；

s7、采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接；

s8、对服务器接收到的通信数据进行第二次通信数据采集处理，以获取第二通信数据集；

s9、根据预设的数据对应关系，获取与所述第二通信数据集对应第二响应数据集；其中，所述第二响应数据集包括服务器根据所述第二通信数据集的响应数据；

s10、将所述第二通信数据集和所述第二响应数据集合并为第二数据总集；

s11、根据预设的数据对比方法，对第一数据总集和第二数据总集进行对比处理，以得到雷同数据；

s12、将所述雷同数据输入预设的第二攻击溯源模型中进行处理，以得到所述第二攻击溯源模型输出的第二攻击溯源结果；所述第二攻击溯源模型基于神经网络模型训练而成，所述第二攻击溯源模型采用预先采集的第二训练数据训练而成，所述第二训练数据包括第一模拟数据集、第二模拟数据集、模拟雷同数据和模拟攻击来源，所述第一模拟数据集指在模拟网络攻击的状态下，在物理断物理手段断开服务器的网络连接之前，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述第二模拟数据集指在模拟网络攻击的状态下，在恢复服务器的网络连接之时，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述模拟雷同数据指同时存在于所述第一模拟数据集和所述第二模拟数据集中的数据；

s13、根据预设的反制策略，对所述第二攻击溯源结果中的攻击源进行反制处理；

s14、根据所述服务器压力检测方法，再次检测服务器承受的服务器压力，并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值；

s15、若再次检测得到的服务器承受的服务器压力大于预设的压力阈值，则将所述第二数据总集输入预设的第三攻击溯源模型中进行处理，以得到所述第三攻击溯源模型输出的第三攻击溯源结果，从而完成层次化的网络攻击溯源过程；所述第三攻击溯源模型基于神经网络模型并采用第三训练数据训练而成；所述第三训练数据包括预先收集的训练用通信数据、训练用响应数据和训练用攻击源，并且所述第三训练数据是在断开网络连接之后重新恢复网络时采集的。

进一地，所述采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接的步骤s7之前，包括：

s611、在断开第一样本服务器的网络连接前，对第一样本服务器进行样本数据采集处理，以得到样本通信数据和对应的样本响应数据；并且，所述第一样本服务器承受的服务器压力大于预设的压力阈值；

s612、断开第一样本服务器的网络连接持续第一训练用时间长度后，再恢复第一样本服务器的网络连接；

s613、实时检测以获取第一样本服务器承受的服务器压力，以获取第一压力数值序列；

s614、形成第一训练数据包，所述第一训练数据包由第一训练用时间长度和第一压力数值序列构成；

s615、将第一样本服务器恢复至进行第一样本数据采集处理之时的状态，断开第一样本服务器的网络连接持续第二训练用时间长度后，再恢复第一样本服务器的网络连接；所述第二训练用时间长度与所述第一训练用时间长度不同；

s616、实时检测以获取第一样本服务器承受的服务器压力，以获取第二压力数值序列；

s617、形成第二训练数据包，所述第二训练数据包由第二训练用时间长度和第二压力数值序列构成；

s618、依次形成第三训练数据包、第四训练数据包、…、和第n训练数据包；其中，所述第三训练数据包由第三训练用时间长度和第三压力数值序列构成，所述第四训练数据包由第四训练用时间长度和第四压力数值序列构成，所述第n训练数据包由第n训练用时间长度和第n压力数值序列构成；所述第三压力数据序列，是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态，断开第一样本服务器的网络连接持续第三训练用时间长度后，再恢复第一样本服务器的网络连接，实时检测以获取第一样本服务器承受的服务器压力的情况下获得到；所述第四压力数据序列，是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态，断开第一样本服务器的网络连接持续第四训练用时间长度后，再恢复第一样本服务器的网络连接，实时检测以获取第一样本服务器承受的服务器压力的情况下获得到；所述第n压力数据序列，是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态，断开第一样本服务器的网络连接持续第n训练用时间长度后，再恢复第一样本服务器的网络连接，实时检测以获取第一样本服务器承受的服务器压力的情况下获得到；

s619、根据预设的数据包筛选方法，从所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包中筛选出指定训练数据包，并对所述指定训练数据包中的训练用时间长度标记上优选时间标签；

s620、将所述样本通信数据、所述样本响应数据和所述指定训练数据包共同构成第一训练集合；

s621、对预设的第二样本服务器、第三样本服务器、…、和第m样本服务器分别进行训练集合获取处理，从而对应得到第二训练集合、第三训练集合、…、和第m训练集合；其中，m为大于3的整数；

s622、调用预设的决策树模型，并采用所述第一训练集合、第二训练集合、第三训练集合、…、和第m训练集合对所述决策树模型进行训练，从而得到时间长度预测模型；

s623、将所述第一通信数据集和所述第一响应数据集输入所述时间长度预测模型中进行处理，从而得到所述时间长度预测模型输出的预测时间长度；

s624、生成断开网络连接指令，所述断开网络连接指令用于指示采用物理手段断开服务器的网络连接并持续预测时间长度，再恢复服务器的网络连接。

进一地，所述根据预设的数据包筛选方法，从所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包中筛选出指定训练数据包，并对所述指定训练数据包中的训练用时间长度标记上优选时间标签的步骤s619，包括：

s6191、根据训练数据包中的压力数值序列，绘制与时间相关的压力数值曲线，从而得到与所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包分别对应的第一压力数值曲线、第二压力数值曲线、第三压力数值曲线、第四压力数值曲线、…、和第n压力数值曲线；

s6192、采用均值拟合的方式对压力数值曲线进行拟合处理，从而对应得到第一拟合曲线、第二拟合曲线、第三拟合曲线、第四拟合曲线、…、和第n拟合曲线；

s6193、调取预设的阶梯上升曲线，并根据预设的相似度计算方法，计算拟合曲线与阶梯上升曲线之间的相似度，从而对应得到第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值；所述阶梯上升曲线至少包括第一阶梯和第二阶梯，所述第一阶梯出现的时间早于所述第二阶梯，并且所述第一阶梯的梯度大于所述第二阶梯的梯度；

s6194、判断所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值是否均大于预设的相似度阈值；

s6195、若所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值不均大于预设的相似度阈值，则进行相似度值筛选处理，以从所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值中筛选出p个相似度值；其中，所述p个相似度值均大于所述相似度阈值；

s6196、从所述p个相似度值中选出出现时间最早的指定相似度值，并将与所述指定相似度值对应的训练数据包记为指定训练数据包，对所述指定训练数据包中的训练用时间长度标记上优选时间标签。

进一地，所述采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接的步骤s7，包括：

s701、获取路由器的重启时间长度，并根据公式：关闭时间长度＝所述预测时间长度-所述重启时间长度，计算出关闭时间长度；

s702、控制预设的机械手关闭路由器的电源，并在所述关闭时间长度后，控制所述机械手开启路由器的电源。

进一地，所述根据所述服务器压力检测方法，再次检测服务器承受的服务器压力，并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值的步骤s14之后，包括：

s141、若再次检测得到的服务器承受的服务器压力不大于预设的压力阈值，则采用所述第一网络攻击溯源策略，对服务器进行第四攻击溯源处理，以得到第四攻击溯源结果。

本申请提供一种网络攻击溯源装置，应用于服务器，包括：

当前服务器压力检测单元，用于根据预设的服务器压力检测方法，实时检测服务器承受的当前服务器压力，并判断所述当前服务器压力是否大于预设的压力阈值；

第一攻击溯源单元，用于若所述当前服务器压力大于预设的压力阈值，则实时采用预设的第一网络攻击溯源策略，对服务器进行第一攻击溯源处理，以得到第一攻击溯源结果；

第一溯源时间值判断单元，用于获取对应于所述第一攻击溯源结果的第一溯源时间值，并判断所述第一溯源时间值是否大于预设的溯源时间阈值；其中，所述第一溯源时间值指采用第一网络攻击溯源策略从开始一次第一攻击溯源处理之时，到获得对应的第一攻击溯源结果之时的时间窗口长度；

第一通信数据集获取单元，用于若所述第一溯源时间值大于预设的溯源时间阈值，则对服务器接收到的通信数据进行第一次通信数据采集处理，以获取第一通信数据集；

第一响应数据集获取单元，用于根据预设的数据对应关系，获取与所述第一通信数据集对应第一响应数据集；其中，所述第一响应数据集包括服务器根据所述第一通信数据集的响应数据；

第一数据总集合并单元，用于将所述第一通信数据集和所述第一响应数据集合并为第一数据总集；

网络连接断开单元，用于采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接；

第二通信数据集获取单元，用于对服务器接收到的通信数据进行第二次通信数据采集处理，以获取第二通信数据集；

第二响应数据集获取单元，用于根据预设的数据对应关系，获取与所述第二通信数据集对应第二响应数据集；其中，所述第二响应数据集包括服务器根据所述第二通信数据集的响应数据；

第二数据总集合并单元，用于将所述第二通信数据集和所述第二响应数据集合并为第二数据总集；

数据对比单元，用于根据预设的数据对比方法，对第一数据总集和第二数据总集进行对比处理，以得到雷同数据；

第二攻击溯源结果获取单元，用于将所述雷同数据输入预设的第二攻击溯源模型中进行处理，以得到所述第二攻击溯源模型输出的第二攻击溯源结果；所述第二攻击溯源模型基于神经网络模型训练而成，所述第二攻击溯源模型采用预先采集的第二训练数据训练而成，所述第二训练数据包括第一模拟数据集、第二模拟数据集、模拟雷同数据和模拟攻击来源，所述第一模拟数据集指在模拟网络攻击的状态下，在物理断物理手段断开服务器的网络连接之前，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述第二模拟数据集指在模拟网络攻击的状态下，在恢复服务器的网络连接之时，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述模拟雷同数据指同时存在于所述第一模拟数据集和所述第二模拟数据集中的数据；

反制处理单元，用于根据预设的反制策略，对所述第二攻击溯源结果中的攻击源进行反制处理；

服务器压力再次检测单元，用于根据所述服务器压力检测方法，再次检测服务器承受的服务器压力，并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值；

第三攻击溯源结果获取单元，用于若再次检测得到的服务器承受的服务器压力大于预设的压力阈值，则将所述第二数据总集输入预设的第三攻击溯源模型中进行处理，以得到所述第三攻击溯源模型输出的第三攻击溯源结果，从而完成层次化的网络攻击溯源过程；所述第三攻击溯源模型基于神经网络模型并采用第三训练数据训练而成；所述第三训练数据包括预先收集的训练用通信数据、训练用响应数据和训练用攻击源，并且所述第三训练数据是在断开网络连接之后重新恢复网络时采集的。

本申请提供一种基于计算机取证的数据证据防篡改系统，包括计算机终端，所述计算机终端用于执行上述任一项所述方法的步骤。

本申请提供一种计算机设备，包括存储器和处理器，所述存储器存储有计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述方法的步骤。

本申请提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述任一项所述的方法的步骤。

本申请的网络攻击溯源方法、装置和系统，采用了层次化的网络攻击溯源方案，以避免服务器的资源消耗殆尽时，服务器难以执行网络攻击溯源方案的困境。具体地，本申请的层次化的网络攻击溯源方案大致分为三个层次：第一层次，在普通状况下采用第一网络攻击溯源策略；第二层次，根据雷同数据并利用了第二攻击溯源模型；第三层次，根据第二数据总集并利用了第三攻击溯源模型。从而采用层次化的网络攻击溯源方案，能够保证网络攻击溯源的顺利执行、效率与准确性。

其中，最值得注意的是第二层次的网络攻击溯源。第二层次是利用了攻击方与正常客户端在连接服务器时的不同反应：采用消耗服务器的资源的攻击方，其例如会持续发起访问请求以占用计算资源或网络连接资源；而正常客户端，由于是人为发起访问请求，因此不会发起访问请求，或者不会在较长时间内持续发起访问请求(这是人的自然属性所决定的)。因此，当服务器在采用物理手段断开连接一定时间的前后，攻击方仍会继续攻击，并且由于采用的是消耗资源的策略，因此其ip地址、攻击方式等信息一般也不会发生改变；而正常客户端会停止发起访问请求，或者暂停一段时间再发起访问请求。据此，采用第二层次的根据雷同数据并利用第二攻击溯源模型时，能够提高溯源的效率与准确性，并且能够在服务器具有足够资源时执行。

附图说明

图1-2为本申请一实施例的网络攻击溯源方法的流程示意图；

图3为本申请一实施例的计算机设备的结构示意框图。

本申请目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

参照图1-2，本申请实施例提供一种网络攻击溯源方法，应用于服务器，包括：

s1、根据预设的服务器压力检测方法，实时检测服务器承受的当前服务器压力，并判断所述当前服务器压力是否大于预设的压力阈值；

s2、若所述当前服务器压力大于预设的压力阈值，则实时采用预设的第一网络攻击溯源策略，对服务器进行第一攻击溯源处理，以得到第一攻击溯源结果；

s3、获取对应于所述第一攻击溯源结果的第一溯源时间值，并判断所述第一溯源时间值是否大于预设的溯源时间阈值；其中，所述第一溯源时间值指采用第一网络攻击溯源策略从开始一次第一攻击溯源处理之时，到获得对应的第一攻击溯源结果之时的时间窗口长度；

s4、若所述第一溯源时间值大于预设的溯源时间阈值，则对服务器接收到的通信数据进行第一次通信数据采集处理，以获取第一通信数据集；

s5、根据预设的数据对应关系，获取与所述第一通信数据集对应第一响应数据集；其中，所述第一响应数据集包括服务器根据所述第一通信数据集的响应数据；

s6、将所述第一通信数据集和所述第一响应数据集合并为第一数据总集；

s7、采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接；

s8、对服务器接收到的通信数据进行第二次通信数据采集处理，以获取第二通信数据集；

s9、根据预设的数据对应关系，获取与所述第二通信数据集对应第二响应数据集；其中，所述第二响应数据集包括服务器根据所述第二通信数据集的响应数据；

s10、将所述第二通信数据集和所述第二响应数据集合并为第二数据总集；

s11、根据预设的数据对比方法，对第一数据总集和第二数据总集进行对比处理，以得到雷同数据；

s12、将所述雷同数据输入预设的第二攻击溯源模型中进行处理，以得到所述第二攻击溯源模型输出的第二攻击溯源结果；所述第二攻击溯源模型基于神经网络模型训练而成，所述第二攻击溯源模型采用预先采集的第二训练数据训练而成，所述第二训练数据包括第一模拟数据集、第二模拟数据集、模拟雷同数据和模拟攻击来源，所述第一模拟数据集指在模拟网络攻击的状态下，在物理断物理手段断开服务器的网络连接之前，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述第二模拟数据集指在模拟网络攻击的状态下，在恢复服务器的网络连接之时，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述模拟雷同数据指同时存在于所述第一模拟数据集和所述第二模拟数据集中的数据；

s13、根据预设的反制策略，对所述第二攻击溯源结果中的攻击源进行反制处理；

s14、根据所述服务器压力检测方法，再次检测服务器承受的服务器压力，并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值；

s15、若再次检测得到的服务器承受的服务器压力大于预设的压力阈值，则将所述第二数据总集输入预设的第三攻击溯源模型中进行处理，以得到所述第三攻击溯源模型输出的第三攻击溯源结果，从而完成层次化的网络攻击溯源过程；所述第三攻击溯源模型基于神经网络模型并采用第三训练数据训练而成；所述第三训练数据包括预先收集的训练用通信数据、训练用响应数据和训练用攻击源，并且所述第三训练数据是在断开网络连接之后重新恢复网络时采集的。

如上述步骤s1-s6所述，根据预设的服务器压力检测方法，实时检测服务器承受的当前服务器压力，并判断所述当前服务器压力是否大于预设的压力阈值；若所述当前服务器压力大于预设的压力阈值，则实时采用预设的第一网络攻击溯源策略，对服务器进行第一攻击溯源处理，以得到第一攻击溯源结果；获取对应于所述第一攻击溯源结果的第一溯源时间值，并判断所述第一溯源时间值是否大于预设的溯源时间阈值；其中，所述第一溯源时间值指采用第一网络攻击溯源策略从开始一次第一攻击溯源处理之时，到获得对应的第一攻击溯源结果之时的时间窗口长度；若所述第一溯源时间值大于预设的溯源时间阈值，则对服务器接收到的通信数据进行第一次通信数据采集处理，以获取第一通信数据集；根据预设的数据对应关系，获取与所述第一通信数据集对应第一响应数据集；其中，所述第一响应数据集包括服务器根据所述第一通信数据集的响应数据；将所述第一通信数据集和所述第一响应数据集合并为第一数据总集。所述服务器压力检测方法可为任意可行方法，例如采用检测服务器的内存占用比例或者cpu占用比例，作为服务器承受的当前服务器压力的衡量方法。进一步地，还可以采用检测物理参数的方式，作为服务器承受的当前服务器压力的衡量方法，例如检测cpu温度，并将其与标准的cpu温度进行对比，以确定当前服务器压力。所述压力阈值根据不同的服务器压力检测方法，设置不同的数值，例如采用数值比例的方式时，所述压力阈值例如为80％、90％或者95％。若所述当前服务器压力大于预设的压力阈值，则实时采用预设的第一网络攻击溯源策略，对服务器进行第一攻击溯源处理，以得到第一攻击溯源结果。当前服务器压力较大时，即所述当前服务器压力大于预设的压力阈值，表明服务器可能承受较严重的网络攻击，因此，再以第一攻击溯源处理的相关信息来进一步确认。进一步地，若所述当前服务器压力不大于预设的压力阈值，同样实时采用预设的第一网络攻击溯源策略，对服务器进行第一攻击溯源处理，以得到第一攻击溯源结果，但是此时无需再判断是否需要进行第二层次的攻击溯源处理了。所述第一网络攻击溯源策略，实际上是服务器的常驻网络攻击溯源策略，即在默认状况下均先采用第一网络攻击溯源策略进行溯源，以构成第一层次的网络攻击溯源。其中，第一网络攻击溯源策略也可称之为第一网络攻击溯源方法。第一网络攻击溯源策略相当于传统的网络攻击溯源方案，其例如通过常见的链路测试技术、日志记录技术、基于icmp的报文技术和概率包标记技术来实现，其中可能需要对路由器的数据进行采集，对报文信息进行分析，对日志信息的调用等等，由于这些技术已经是成熟的技术，因此在此不再赘述。

再获取对应于所述第一攻击溯源结果的第一溯源时间值，并判断所述第一溯源时间值是否大于预设的溯源时间阈值；其中，所述第一溯源时间值指采用第一网络攻击溯源策略从开始一次第一攻击溯源处理之时，到获得对应的第一攻击溯源结果之时的时间窗口长度。一般而言，在计算资源充分的情况下，从开始溯源到得到溯源结果，其耗费的时间是大致相同的；而在遭受过量的网络攻击的情况下，从开始溯源到得到溯源结果，其耗费的时间会大大增加，因此本申请采用判断所述第一溯源时间值是否大于预设的溯源时间阈值，来进一步确定承受的网络攻击的规模。之所以采用这种多次确定的方式，是为了确保有断开服务器的网络连接的必要性。由于服务器在断开网络连接下不可避免的会带来损失，因此确定是否应当断开服务器的网络连接应当是慎重考虑的。若所述第一溯源时间值大于预设的溯源时间阈值，则对服务器接收到的通信数据进行第一次通信数据采集处理，以获取第一通信数据集；根据预设的数据对应关系，获取与所述第一通信数据集对应第一响应数据集；其中，所述第一响应数据集包括服务器根据所述第一通信数据集的响应数据。若所述第一溯源时间值大于预设的溯源时间阈值，表明服务器应当执行第二层次的网络攻击溯源方案。所述第一通信数据集中例如包括请求报文等，所述第一响应数据集例如包括响应请求报文的返回报文等；数据采集可包括对日志、进程、线程、交换机、路由的数据进行的采集。再将所述第一通信数据集和所述第一响应数据集合并为第一数据总集。此时，所述第一通信数据集和所述第一响应数据集，包括的数据来自于攻击方，也包括来自于正常客户端。

如上述步骤s7-s10所述，采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接；对服务器接收到的通信数据进行第二次通信数据采集处理，以获取第二通信数据集；根据预设的数据对应关系，获取与所述第二通信数据集对应第二响应数据集；其中，所述第二响应数据集包括服务器根据所述第二通信数据集的响应数据；将所述第二通信数据集和所述第二响应数据集合并为第二数据总集。其中，采用物理手段断开服务器的网络连接可采用任意可行方式，例如采用断开与服务器连接的路由器的电源的方式，从而在物理层面上断开网络连接，以保证彻底断开连接。另外，网络连接的断开必须持续预设的时间长度，这是保证本申请的方案顺利实现的重要内容，这是因为若断开网络连接再立刻恢复的话，由于人类的行为惯性，很可能在访问服务器失败后再继续发送访问服务器的申请，这样就无法将正常客户端与攻击方快速区分出来。再对服务器接收到的通信数据进行第二次通信数据采集处理，以获取第二通信数据集；根据预设的数据对应关系，获取与所述第二通信数据集对应第二响应数据集；其中，所述第二响应数据集包括服务器根据所述第二通信数据集的响应数据；将所述第二通信数据集和所述第二响应数据集合并为第二数据总集。此时的第二数据总集的数据，大多是攻击方的数据，因为攻击方有保持网络攻击的趋势，而正常客户端不会持续发出访问请求。其中，所述第二通信数据集和所述第二响应数据集合的采集方式可为任意可行方式，优选与所述第一通信数据集和所述第一响应数据集合的采集方式相同。

进一步地，所述采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接的步骤s7之前，包括：

s611、在断开第一样本服务器的网络连接前，对第一样本服务器进行样本数据采集处理，以得到样本通信数据和对应的样本响应数据；并且，所述第一样本服务器承受的服务器压力大于预设的压力阈值；

s612、断开第一样本服务器的网络连接持续第一训练用时间长度后，再恢复第一样本服务器的网络连接；

s613、实时检测以获取第一样本服务器承受的服务器压力，以获取第一压力数值序列；

s614、形成第一训练数据包，所述第一训练数据包由第一训练用时间长度和第一压力数值序列构成；

s615、将第一样本服务器恢复至进行第一样本数据采集处理之时的状态，断开第一样本服务器的网络连接持续第二训练用时间长度后，再恢复第一样本服务器的网络连接；所述第二训练用时间长度与所述第一训练用时间长度不同；

s616、实时检测以获取第一样本服务器承受的服务器压力，以获取第二压力数值序列；

s617、形成第二训练数据包，所述第二训练数据包由第二训练用时间长度和第二压力数值序列构成；

s618、依次形成第三训练数据包、第四训练数据包、…、和第n训练数据包；其中，所述第三训练数据包由第三训练用时间长度和第三压力数值序列构成，所述第四训练数据包由第四训练用时间长度和第四压力数值序列构成，所述第n训练数据包由第n训练用时间长度和第n压力数值序列构成；所述第三压力数据序列，是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态，断开第一样本服务器的网络连接持续第三训练用时间长度后，再恢复第一样本服务器的网络连接，实时检测以获取第一样本服务器承受的服务器压力的情况下获得到；所述第四压力数据序列，是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态，断开第一样本服务器的网络连接持续第四训练用时间长度后，再恢复第一样本服务器的网络连接，实时检测以获取第一样本服务器承受的服务器压力的情况下获得到；所述第n压力数据序列，是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态，断开第一样本服务器的网络连接持续第n训练用时间长度后，再恢复第一样本服务器的网络连接，实时检测以获取第一样本服务器承受的服务器压力的情况下获得到；

s619、根据预设的数据包筛选方法，从所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包中筛选出指定训练数据包，并对所述指定训练数据包中的训练用时间长度标记上优选时间标签；

s620、将所述样本通信数据、所述样本响应数据和所述指定训练数据包共同构成第一训练集合；

s621、对预设的第二样本服务器、第三样本服务器、…、和第m样本服务器分别进行训练集合获取处理，从而对应得到第二训练集合、第三训练集合、…、和第m训练集合；其中，m为大于3的整数；

s622、调用预设的决策树模型，并采用所述第一训练集合、第二训练集合、第三训练集合、…、和第m训练集合对所述决策树模型进行训练，从而得到时间长度预测模型；

s623、将所述第一通信数据集和所述第一响应数据集输入所述时间长度预测模型中进行处理，从而得到所述时间长度预测模型输出的预测时间长度；

s624、生成断开网络连接指令，所述断开网络连接指令用于指示采用物理手段断开服务器的网络连接并持续预测时间长度，再恢复服务器的网络连接。

本申请的一个重点在于采用物理手段断开服务器的网络连接并持续预设的时间长度，其中持续的时间长度对本申请的源溯结果有着重要的影响，这是因为持续时间长度过短会难以区分攻击方和正常客户端，持续时间长度过长损失过大。而本申请基于决策树模型训练出时间长度预测模型，以预测出适宜的预测时间长度，以保证本申请方案的顺利进行。本申请中，决策树模型的训练数据是特制的，即训练数据是对多个样本服务器进行采集得到的，并且对每个样本服务器均进行了多次采集，而每次采集分为网络连接断开前采集和网络连接断开后采集，并且网络连接断开前采集之初样本服务器均处于相同的状态，再由后反馈得到的数据以确定较佳的断开时间(即从网络连接断开后采集来反应)，从而得到指定训练数据包，再将样本通信数据、样本响应数据和指定训练数据包共同构成训练集合，这样一来，实际训练时由显性的数据(即断开网络连接前的数据，这是相对于断开网络连接后的数据而言，可称为显性数据)即可预测出适宜的断开时间，其中的逻辑在于，显性的数据与断开时间有直接关联关系，例如显性的数据表明访问申请量中有大量来自于常用的ip地址(例如被识别为常用客户端对应的ip地址)，那么对应的断开时间应当较长，若这些ip地址对应的客户端的访问频率以及访问时长较大，那么对应的断开时间还应当再加增加。据此，构建出的特别的训练数据，即所述第一训练集合、第二训练集合、第三训练集合、…、和第m训练集合，适宜对决策树模型进行训练，以得到能够胜任时间长度预测的模型，因此能够采用显性的数据来预测适宜的断开时间，但具体的断开时间需要隐性数据来进一步确认，这也是采集断开网络连接后的数据的目的所在。其中，标记上优选时间标签的指定训练数据包即为最适宜的断开时间对应的数据包。进一步地，在步骤s624之前，还包括采用验证数据对所述时间长度预测模型进行验证，并在验证通过后才生成断开网络连接指令，其中所述验证数据与所述第一训练集合具有相同的数据结构。其中，符号…代表省略的意思，这是常用的数学符号，是本领域的惯常用法。

进一步地，所述根据预设的数据包筛选方法，从所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包中筛选出指定训练数据包，并对所述指定训练数据包中的训练用时间长度标记上优选时间标签的步骤s619，包括：

s6191、根据训练数据包中的压力数值序列，绘制与时间相关的压力数值曲线，从而得到与所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包分别对应的第一压力数值曲线、第二压力数值曲线、第三压力数值曲线、第四压力数值曲线、…、和第n压力数值曲线；

s6192、采用均值拟合的方式对压力数值曲线进行拟合处理，从而对应得到第一拟合曲线、第二拟合曲线、第三拟合曲线、第四拟合曲线、…、和第n拟合曲线；

s6193、调取预设的阶梯上升曲线，并根据预设的相似度计算方法，计算拟合曲线与阶梯上升曲线之间的相似度，从而对应得到第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值；所述阶梯上升曲线至少包括第一阶梯和第二阶梯，所述第一阶梯出现的时间早于所述第二阶梯，并且所述第一阶梯的梯度大于所述第二阶梯的梯度；

s6194、判断所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值是否均大于预设的相似度阈值；

s6195、若所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值不均大于预设的相似度阈值，则进行相似度值筛选处理，以从所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值中筛选出p个相似度值；其中，所述p个相似度值均大于所述相似度阈值；

s6196、从所述p个相似度值中选出出现时间最早的指定相似度值，并将与所述指定相似度值对应的训练数据包记为指定训练数据包，对所述指定训练数据包中的训练用时间长度标记上优选时间标签。

从而实现了从所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包中筛选出指定训练数据包。本申请通过压力数值曲线的绘制、曲线拟合、曲线相似度计算、相似度筛选的过程，以确定出最适宜的训练用时间长度对应的数据包。具体地，服务器在恢复网络连接后，按预计的情景，攻击方的造成的服务器压力应占绝大部分，此时应当形成第一阶梯，随后其他正常客户端的访问会带来进一步的压力，由于其中存在部分正常客户端是在网络断开前后持续进行访问的，因此应当形成第二阶梯，而所述第一阶梯出现的时间早于所述第二阶梯，并且所述第一阶梯的梯度大于所述第二阶梯的梯度，据此能够得到标准的阶梯上升曲线(该曲线的细节根据服务器的不同会有差异，但阶梯特点仍会存在)，并且标准的阶梯上升曲线可以通过模拟服务器被攻击的前后预先绘制而成。所述预设的相似度计算方法是用于计算曲线间的相似度，其可采用任意可行算法，在此不再赘述。再从所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值中筛选出p个相似度值；其中，所述p个相似度值均大于所述相似度阈值，从而p个相似度值对应的训练用时间长度均可作为服务器断开时间。再出于对减少损失的考量，因此从所述p个相似度值中选出出现时间最早的指定相似度值，并将与所述指定相似度值对应的训练数据包记为指定训练数据包，对所述指定训练数据包中的训练用时间长度标记上优选时间标签，从而实现训练数据的筛选，以保证时间预测模型的预测准确性。

进一步地，所述采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接的步骤s7，包括：

s701、获取路由器的重启时间长度，并根据公式：关闭时间长度＝所述预测时间长度-所述重启时间长度，计算出关闭时间长度；

s702、控制预设的机械手关闭路由器的电源，并在所述关闭时间长度后，控制所述机械手开启路由器的电源。

从而实现了采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接。其中，本申请采用机械手关闭路由器的电源的方式，来保证服务器的网络连接彻底断开，并通过获取路由器的重启时间长度，并根据公式：关闭时间长度＝所述预测时间长度-所述重启时间长度，计算出关闭时间长度，控制预设的机械手关闭路由器的电源，并在所述关闭时间长度后，控制所述机械手开启路由器的电源，以保证网络连接断开的总时间为所述预测时间长度。

如上述步骤s11-s15所述，根据预设的数据对比方法，对第一数据总集和第二数据总集进行对比处理，以得到雷同数据；将所述雷同数据输入预设的第二攻击溯源模型中进行处理，以得到所述第二攻击溯源模型输出的第二攻击溯源结果；所述第二攻击溯源模型基于神经网络模型训练而成，所述第二攻击溯源模型采用预先采集的第二训练数据训练而成，所述第二训练数据包括第一模拟数据集、第二模拟数据集、模拟雷同数据和模拟攻击来源，所述第一模拟数据集指在模拟网络攻击的状态下，在物理断物理手段断开服务器的网络连接之前，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述第二模拟数据集指在模拟网络攻击的状态下，在恢复服务器的网络连接之时，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述模拟雷同数据指同时存在于所述第一模拟数据集和所述第二模拟数据集中的数据；根据预设的反制策略，对所述第二攻击溯源结果中的攻击源进行反制处理；根据所述服务器压力检测方法，再次检测服务器承受的服务器压力，并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值；若再次检测得到的服务器承受的服务器压力大于预设的压力阈值，则将所述第二数据总集输入预设的第三攻击溯源模型中进行处理，以得到所述第三攻击溯源模型输出的第三攻击溯源结果，从而完成层次化的网络攻击溯源过程；所述第三攻击溯源模型基于神经网络模型并采用第三训练数据训练而成；所述第三训练数据包括预先收集的训练用通信数据、训练用响应数据和训练用攻击源，并且所述第三训练数据是在断开网络连接之后重新恢复网络时采集的。

所述数据对比方法可采用任意可行方法，其目的在于找出第一数据总集和第二数据总集中的相同或者相似数据。而找出相同或者相似数据，即得到雷同数据，其目的在于排除正常客户端以确定攻击方的数据。具体的，得到雷同数据例如为，判断第一数据总集和第二数据总集是否均包括相同的数据(当然，相同的数据来自于同一ip地址)，在判断完是否包括相同的数据后，再根据预设的相似数据对比方法，对第一数据总集和第二数据总集进行数据对比处理，并判断第一数据总集和第二数据总集是否均包括相似数据。而相似数据的对比、判断可采用任意可行方式，例如根据攻击方式的类型、涉及的ip地址、涉及的报文头信息等等，而相似数据的判断是成熟的数据分析技术，在此不再赘述。进一步地，为了提高速度，还可以采用将雷同数据替换为相同数据的方式来完成本申请的方案。由于雷同数据相较于第一数据总集要小的多，因此根据雷同数据进行网络攻击溯源的速度也更快，从而更容易完成第二层次的攻击溯源。因此，将所述雷同数据输入预设的第二攻击溯源模型中进行处理，以得到所述第二攻击溯源模型输出的第二攻击溯源结果。其中，所述第二攻击溯源模型基于神经网络模型训练而成，所述神经网络模型可以为任意可行模型，例如为卷积神经网络模型、bp神经网络模型等，或者也可以被替换为决策树模型。并且，所述第二攻击溯源模型采用预先采集的第二训练数据训练而成，所述第二训练数据包括第一模拟数据集、第二模拟数据集、模拟雷同数据和模拟攻击来源，所述第一模拟数据集指在模拟网络攻击的状态下，在物理断物理手段断开服务器的网络连接之前，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述第二模拟数据集指在模拟网络攻击的状态下，在恢复服务器的网络连接之时，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述模拟雷同数据指同时存在于所述第一模拟数据集和所述第二模拟数据集中的数据。从而实现有监督的训练学习以得到第二攻击溯源模型。需要注意的，本申请采用获取雷同数据，以实现第二层次的攻击溯源过程是本申请的一个特点。进一步地，采用第二攻击溯源模型进行第二层次攻击溯源的过程，可被替换为，将雷同数据中涉及的攻击方的ip地址直接作为第二层次的攻击溯源结果予以输出，这种替换方案尤其适合服务器恢复网络连接后，服务器承受压力很快上升的场景。

再根据预设的反制策略，对所述第二攻击溯源结果中的攻击源进行反制处理。而反制策略可采用任意可行方式进行，例如通过禁止ip地址的方式，禁止第二攻击溯源结果中的ip地址的访问申请；或者采用反向攻击的手段，例如采用dos攻击对第二攻击溯源结果中的ip地址对应的终端进行反向攻击(此时可采用其他服务器或终端来执行攻击任务)。根据所述服务器压力检测方法，再次检测服务器承受的服务器压力，并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值。从而确定前述步骤中的第二层次的第二攻击溯源结果是否准确，以及确定反制处理是否奏效。若再次检测得到的服务器承受的服务器压力大于预设的压力阈值，则将所述第二数据总集输入预设的第三攻击溯源模型中进行处理，以得到所述第三攻击溯源模型输出的第三攻击溯源结果，从而完成层次化的网络攻击溯源过程；所述第三攻击溯源模型基于神经网络模型并采用第三训练数据训练而成；所述第三训练数据包括预先收集的训练用通信数据、训练用响应数据和训练用攻击源，并且所述第三训练数据是在断开网络连接之后重新恢复网络时采集的。第三层次的第三攻击溯源模型，是在第二层次的攻击溯源过程以及对应的反制处理过程之后才使用的，一般而言，进行反制处理后，服务器压力应当有效降低，而若再次检测得到的服务器承受的服务器压力大于预设的压力阈值，则很可能是出现了后续的网络攻击，因此需要更全面的攻击溯源，因此，将所述第二数据总集输入预设的第三攻击溯源模型中进行处理，以得到所述第三攻击溯源模型输出的第三攻击溯源结果。其中，攻击溯源结果例如包括攻击方的ip地址、组织信息(家族攻击时)等数据。进一步地，服务器中可预留计算资源，以作为第三层次的攻击溯源过程中所使用，此时的计算资源的预留，仅出现在服务器断开网络连接之后的一段时间内(例如为所述预测时间长度的2-10倍)，而在一般时间内，无需预留计算资源。

进一步地，所述根据所述服务器压力检测方法，再次检测服务器承受的服务器压力，并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值的步骤s14之后，包括：

s141、若再次检测得到的服务器承受的服务器压力不大于预设的压力阈值，则采用所述第一网络攻击溯源策略，对服务器进行第四攻击溯源处理，以得到第四攻击溯源结果。

从而实现了采用第一网络攻击溯源策略，以维持常规的攻击溯源的过程。由于再次检测得到的服务器承受的服务器压力不大于预设的压力阈值，则第二层次的攻击溯源及对应的反制策略奏效了，因此无需再采用第三攻击溯源模型进行溯源，而返回常规的网络攻击溯源方案即可，因此采用所述第一网络攻击溯源策略，对服务器进行第四攻击溯源处理，以得到第四攻击溯源结果。

本申请的网络攻击溯源方法，采用了层次化的网络攻击溯源方案，以避免服务器的资源消耗殆尽时，服务器难以执行网络攻击溯源方案的困境。具体地，本申请的层次化的网络攻击溯源方案大致分为三个层次：第一层次，在普通状况下采用第一网络攻击溯源策略；第二层次，根据雷同数据并利用了第二攻击溯源模型；第三层次，根据第二数据总集并利用了第三攻击溯源模型。从而采用层次化的网络攻击溯源方案，能够保证网络攻击溯源的顺利执行、效率与准确性。

本申请实施例提供一种网络攻击溯源装置，应用于服务器，包括：

当前服务器压力检测单元，用于根据预设的服务器压力检测方法，实时检测服务器承受的当前服务器压力，并判断所述当前服务器压力是否大于预设的压力阈值；

第一攻击溯源单元，用于若所述当前服务器压力大于预设的压力阈值，则实时采用预设的第一网络攻击溯源策略，对服务器进行第一攻击溯源处理，以得到第一攻击溯源结果；

第一溯源时间值判断单元，用于获取对应于所述第一攻击溯源结果的第一溯源时间值，并判断所述第一溯源时间值是否大于预设的溯源时间阈值；其中，所述第一溯源时间值指采用第一网络攻击溯源策略从开始一次第一攻击溯源处理之时，到获得对应的第一攻击溯源结果之时的时间窗口长度；

第一通信数据集获取单元，用于若所述第一溯源时间值大于预设的溯源时间阈值，则对服务器接收到的通信数据进行第一次通信数据采集处理，以获取第一通信数据集；

第一响应数据集获取单元，用于根据预设的数据对应关系，获取与所述第一通信数据集对应第一响应数据集；其中，所述第一响应数据集包括服务器根据所述第一通信数据集的响应数据；

第一数据总集合并单元，用于将所述第一通信数据集和所述第一响应数据集合并为第一数据总集；

网络连接断开单元，用于采用物理手段断开服务器的网络连接并持续预设的时间长度，再恢复服务器的网络连接；

第二通信数据集获取单元，用于对服务器接收到的通信数据进行第二次通信数据采集处理，以获取第二通信数据集；

第二响应数据集获取单元，用于根据预设的数据对应关系，获取与所述第二通信数据集对应第二响应数据集；其中，所述第二响应数据集包括服务器根据所述第二通信数据集的响应数据；

第二数据总集合并单元，用于将所述第二通信数据集和所述第二响应数据集合并为第二数据总集；

数据对比单元，用于根据预设的数据对比方法，对第一数据总集和第二数据总集进行对比处理，以得到雷同数据；

第二攻击溯源结果获取单元，用于将所述雷同数据输入预设的第二攻击溯源模型中进行处理，以得到所述第二攻击溯源模型输出的第二攻击溯源结果；所述第二攻击溯源模型基于神经网络模型训练而成，所述第二攻击溯源模型采用预先采集的第二训练数据训练而成，所述第二训练数据包括第一模拟数据集、第二模拟数据集、模拟雷同数据和模拟攻击来源，所述第一模拟数据集指在模拟网络攻击的状态下，在物理断物理手段断开服务器的网络连接之前，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述第二模拟数据集指在模拟网络攻击的状态下，在恢复服务器的网络连接之时，对被攻击的服务器进行模拟数据采集，从而得到的包括通信数据和响应数据的模拟数据集；所述模拟雷同数据指同时存在于所述第一模拟数据集和所述第二模拟数据集中的数据；

反制处理单元，用于根据预设的反制策略，对所述第二攻击溯源结果中的攻击源进行反制处理；

服务器压力再次检测单元，用于根据所述服务器压力检测方法，再次检测服务器承受的服务器压力，并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值；

第三攻击溯源结果获取单元，用于若再次检测得到的服务器承受的服务器压力大于预设的压力阈值，则将所述第二数据总集输入预设的第三攻击溯源模型中进行处理，以得到所述第三攻击溯源模型输出的第三攻击溯源结果，从而完成层次化的网络攻击溯源过程；所述第三攻击溯源模型基于神经网络模型并采用第三训练数据训练而成；所述第三训练数据包括预先收集的训练用通信数据、训练用响应数据和训练用攻击源，并且所述第三训练数据是在断开网络连接之后重新恢复网络时采集的。

其中上述单元分别用于执行的操作与前述实施方式的网络攻击溯源方法的步骤一一对应,在此不再赘述。

本申请的网络攻击溯源装置，采用了层次化的网络攻击溯源方案，以避免服务器的资源消耗殆尽时，服务器难以执行网络攻击溯源方案的困境。具体地，本申请的层次化的网络攻击溯源方案大致分为三个层次：第一层次，在普通状况下采用第一网络攻击溯源策略；第二层次，根据雷同数据并利用了第二攻击溯源模型；第三层次，根据第二数据总集并利用了第三攻击溯源模型。从而采用层次化的网络攻击溯源方案，能够保证网络攻击溯源的顺利执行、效率与准确性。

本申请实施例提供一种网络攻击溯源系统，包括计算机终端，所述计算机终端用于执行前述任一项所述方法的步骤。

本申请的网络攻击溯源系统，采用了层次化的网络攻击溯源方案，以避免服务器的资源消耗殆尽时，服务器难以执行网络攻击溯源方案的困境。具体地，本申请的层次化的网络攻击溯源方案大致分为三个层次：第一层次，在普通状况下采用第一网络攻击溯源策略；第二层次，根据雷同数据并利用了第二攻击溯源模型；第三层次，根据第二数据总集并利用了第三攻击溯源模型。从而采用层次化的网络攻击溯源方案，能够保证网络攻击溯源的顺利执行、效率与准确性。

参照图3，本发明实施例中还提供一种计算机设备，该计算机设备可以是服务器，其内部结构可以如图所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中，该计算机设计的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络攻击溯源方法所用数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络攻击溯源方法。

上述处理器执行上述网络攻击溯源方法，其中所述方法包括的步骤分别与执行前述实施方式的网络攻击溯源方法的步骤一一对应,在此不再赘述。

本领域技术人员可以理解，图中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定。

本申请的计算机设备，采用了层次化的网络攻击溯源方案，以避免服务器的资源消耗殆尽时，服务器难以执行网络攻击溯源方案的困境。具体地，本申请的层次化的网络攻击溯源方案大致分为三个层次：第一层次，在普通状况下采用第一网络攻击溯源策略；第二层次，根据雷同数据并利用了第二攻击溯源模型；第三层次，根据第二数据总集并利用了第三攻击溯源模型。从而采用层次化的网络攻击溯源方案，能够保证网络攻击溯源的顺利执行、效率与准确性。

本申请一实施例还提供一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现网络攻击溯源方法，其中所述方法包括的步骤分别与执行前述实施方式的网络攻击溯源方法的步骤一一对应,在此不再赘述。

本申请的计算机可读存储介质，采用了层次化的网络攻击溯源方案，以避免服务器的资源消耗殆尽时，服务器难以执行网络攻击溯源方案的困境。具体地，本申请的层次化的网络攻击溯源方案大致分为三个层次：第一层次，在普通状况下采用第一网络攻击溯源策略；第二层次，根据雷同数据并利用了第二攻击溯源模型；第三层次，根据第二数据总集并利用了第三攻击溯源模型。从而采用层次化的网络攻击溯源方案，能够保证网络攻击溯源的顺利执行、效率与准确性。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序或指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的和实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可以包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双速据率sdram(ssrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。

以上所述仅为本申请的优选实施例，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。