1.一种网络攻击溯源方法,其特征在于,应用于服务器,包括:
s1、根据预设的服务器压力检测方法,实时检测服务器承受的当前服务器压力,并判断所述当前服务器压力是否大于预设的压力阈值;
s2、若所述当前服务器压力大于预设的压力阈值,则实时采用预设的第一网络攻击溯源策略,对服务器进行第一攻击溯源处理,以得到第一攻击溯源结果;
s3、获取对应于所述第一攻击溯源结果的第一溯源时间值,并判断所述第一溯源时间值是否大于预设的溯源时间阈值;其中,所述第一溯源时间值指采用第一网络攻击溯源策略从开始一次第一攻击溯源处理之时,到获得对应的第一攻击溯源结果之时的时间窗口长度;
s4、若所述第一溯源时间值大于预设的溯源时间阈值,则对服务器接收到的通信数据进行第一次通信数据采集处理,以获取第一通信数据集;
s5、根据预设的数据对应关系,获取与所述第一通信数据集对应第一响应数据集;其中,所述第一响应数据集包括服务器根据所述第一通信数据集的响应数据;
s6、将所述第一通信数据集和所述第一响应数据集合并为第一数据总集;
s7、采用物理手段断开服务器的网络连接并持续预设的时间长度,再恢复服务器的网络连接;
s8、对服务器接收到的通信数据进行第二次通信数据采集处理,以获取第二通信数据集;
s9、根据预设的数据对应关系,获取与所述第二通信数据集对应第二响应数据集;其中,所述第二响应数据集包括服务器根据所述第二通信数据集的响应数据;
s10、将所述第二通信数据集和所述第二响应数据集合并为第二数据总集;
s11、根据预设的数据对比方法,对第一数据总集和第二数据总集进行对比处理,以得到雷同数据;
s12、将所述雷同数据输入预设的第二攻击溯源模型中进行处理,以得到所述第二攻击溯源模型输出的第二攻击溯源结果;所述第二攻击溯源模型基于神经网络模型训练而成,所述第二攻击溯源模型采用预先采集的第二训练数据训练而成,所述第二训练数据包括第一模拟数据集、第二模拟数据集、模拟雷同数据和模拟攻击来源,所述第一模拟数据集指在模拟网络攻击的状态下,在物理断物理手段断开服务器的网络连接之前,对被攻击的服务器进行模拟数据采集,从而得到的包括通信数据和响应数据的模拟数据集;所述第二模拟数据集指在模拟网络攻击的状态下,在恢复服务器的网络连接之时,对被攻击的服务器进行模拟数据采集,从而得到的包括通信数据和响应数据的模拟数据集;所述模拟雷同数据指同时存在于所述第一模拟数据集和所述第二模拟数据集中的数据;
s13、根据预设的反制策略,对所述第二攻击溯源结果中的攻击源进行反制处理;
s14、根据所述服务器压力检测方法,再次检测服务器承受的服务器压力,并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值;
s15、若再次检测得到的服务器承受的服务器压力大于预设的压力阈值,则将所述第二数据总集输入预设的第三攻击溯源模型中进行处理,以得到所述第三攻击溯源模型输出的第三攻击溯源结果,从而完成层次化的网络攻击溯源过程;所述第三攻击溯源模型基于神经网络模型并采用第三训练数据训练而成;所述第三训练数据包括预先收集的训练用通信数据、训练用响应数据和训练用攻击源,并且所述第三训练数据是在断开网络连接之后重新恢复网络时采集的。
2.根据权利要求1所述的网络攻击溯源方法,其特征在于,所述采用物理手段断开服务器的网络连接并持续预设的时间长度,再恢复服务器的网络连接的步骤s7之前,包括:
s611、在断开第一样本服务器的网络连接前,对第一样本服务器进行样本数据采集处理,以得到样本通信数据和对应的样本响应数据;并且,所述第一样本服务器承受的服务器压力大于预设的压力阈值;
s612、断开第一样本服务器的网络连接持续第一训练用时间长度后,再恢复第一样本服务器的网络连接;
s613、实时检测以获取第一样本服务器承受的服务器压力,以获取第一压力数值序列;
s614、形成第一训练数据包,所述第一训练数据包由第一训练用时间长度和第一压力数值序列构成;
s615、将第一样本服务器恢复至进行第一样本数据采集处理之时的状态,断开第一样本服务器的网络连接持续第二训练用时间长度后,再恢复第一样本服务器的网络连接;所述第二训练用时间长度与所述第一训练用时间长度不同;
s616、实时检测以获取第一样本服务器承受的服务器压力,以获取第二压力数值序列;
s617、形成第二训练数据包,所述第二训练数据包由第二训练用时间长度和第二压力数值序列构成;
s618、依次形成第三训练数据包、第四训练数据包、…、和第n训练数据包;其中,所述第三训练数据包由第三训练用时间长度和第三压力数值序列构成,所述第四训练数据包由第四训练用时间长度和第四压力数值序列构成,所述第n训练数据包由第n训练用时间长度和第n压力数值序列构成;所述第三压力数据序列,是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态,断开第一样本服务器的网络连接持续第三训练用时间长度后,再恢复第一样本服务器的网络连接,实时检测以获取第一样本服务器承受的服务器压力的情况下获得到;所述第四压力数据序列,是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态,断开第一样本服务器的网络连接持续第四训练用时间长度后,再恢复第一样本服务器的网络连接,实时检测以获取第一样本服务器承受的服务器压力的情况下获得到;所述第n压力数据序列,是在将第一样本服务器恢复至进行第一样本数据采集处理之时的状态,断开第一样本服务器的网络连接持续第n训练用时间长度后,再恢复第一样本服务器的网络连接,实时检测以获取第一样本服务器承受的服务器压力的情况下获得到;
s619、根据预设的数据包筛选方法,从所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包中筛选出指定训练数据包,并对所述指定训练数据包中的训练用时间长度标记上优选时间标签;
s620、将所述样本通信数据、所述样本响应数据和所述指定训练数据包共同构成第一训练集合;
s621、对预设的第二样本服务器、第三样本服务器、…、和第m样本服务器分别进行训练集合获取处理,从而对应得到第二训练集合、第三训练集合、…、和第m训练集合;其中,m为大于3的整数;
s622、调用预设的决策树模型,并采用所述第一训练集合、第二训练集合、第三训练集合、…、和第m训练集合对所述决策树模型进行训练,从而得到时间长度预测模型;
s623、将所述第一通信数据集和所述第一响应数据集输入所述时间长度预测模型中进行处理,从而得到所述时间长度预测模型输出的预测时间长度;
s624、生成断开网络连接指令,所述断开网络连接指令用于指示采用物理手段断开服务器的网络连接并持续预测时间长度,再恢复服务器的网络连接。
3.根据权利要求2所述的网络攻击溯源方法,其特征在于,所述根据预设的数据包筛选方法,从所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包中筛选出指定训练数据包,并对所述指定训练数据包中的训练用时间长度标记上优选时间标签的步骤s619,包括:
s6191、根据训练数据包中的压力数值序列,绘制与时间相关的压力数值曲线,从而得到与所述第一训练数据包、第二训练数据包、第三训练数据包、第四训练数据包、…、和第n训练数据包分别对应的第一压力数值曲线、第二压力数值曲线、第三压力数值曲线、第四压力数值曲线、…、和第n压力数值曲线;
s6192、采用均值拟合的方式对压力数值曲线进行拟合处理,从而对应得到第一拟合曲线、第二拟合曲线、第三拟合曲线、第四拟合曲线、…、和第n拟合曲线;
s6193、调取预设的阶梯上升曲线,并根据预设的相似度计算方法,计算拟合曲线与阶梯上升曲线之间的相似度,从而对应得到第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值;所述阶梯上升曲线至少包括第一阶梯和第二阶梯,所述第一阶梯出现的时间早于所述第二阶梯,并且所述第一阶梯的梯度大于所述第二阶梯的梯度;
s6194、判断所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值是否均大于预设的相似度阈值;
s6195、若所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值不均大于预设的相似度阈值,则进行相似度值筛选处理,以从所述第一相似度值、第二相似度值、第三相似度值、第四相似度值、…、和第n相似度值中筛选出p个相似度值;其中,所述p个相似度值均大于所述相似度阈值;
s6196、从所述p个相似度值中选出出现时间最早的指定相似度值,并将与所述指定相似度值对应的训练数据包记为指定训练数据包,对所述指定训练数据包中的训练用时间长度标记上优选时间标签。
4.根据权利要求2所述的网络攻击溯源方法,其特征在于,所述采用物理手段断开服务器的网络连接并持续预设的时间长度,再恢复服务器的网络连接的步骤s7,包括:
s701、获取路由器的重启时间长度,并根据公式:关闭时间长度=所述预测时间长度-所述重启时间长度,计算出关闭时间长度;
s702、控制预设的机械手关闭路由器的电源,并在所述关闭时间长度后,控制所述机械手开启路由器的电源。
5.根据权利要求1所述的网络攻击溯源方法,其特征在于,所述根据所述服务器压力检测方法,再次检测服务器承受的服务器压力,并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值的步骤s14之后,包括:
s141、若再次检测得到的服务器承受的服务器压力不大于预设的压力阈值,则采用所述第一网络攻击溯源策略,对服务器进行第四攻击溯源处理,以得到第四攻击溯源结果。
6.一种网络攻击溯源装置,其特征在于,应用于服务器,包括:
当前服务器压力检测单元,用于根据预设的服务器压力检测方法,实时检测服务器承受的当前服务器压力,并判断所述当前服务器压力是否大于预设的压力阈值;
第一攻击溯源单元,用于若所述当前服务器压力大于预设的压力阈值,则实时采用预设的第一网络攻击溯源策略,对服务器进行第一攻击溯源处理,以得到第一攻击溯源结果;
第一溯源时间值判断单元,用于获取对应于所述第一攻击溯源结果的第一溯源时间值,并判断所述第一溯源时间值是否大于预设的溯源时间阈值;其中,所述第一溯源时间值指采用第一网络攻击溯源策略从开始一次第一攻击溯源处理之时,到获得对应的第一攻击溯源结果之时的时间窗口长度;
第一通信数据集获取单元,用于若所述第一溯源时间值大于预设的溯源时间阈值,则对服务器接收到的通信数据进行第一次通信数据采集处理,以获取第一通信数据集;
第一响应数据集获取单元,用于根据预设的数据对应关系,获取与所述第一通信数据集对应第一响应数据集;其中,所述第一响应数据集包括服务器根据所述第一通信数据集的响应数据;
第一数据总集合并单元,用于将所述第一通信数据集和所述第一响应数据集合并为第一数据总集;
网络连接断开单元,用于采用物理手段断开服务器的网络连接并持续预设的时间长度,再恢复服务器的网络连接;
第二通信数据集获取单元,用于对服务器接收到的通信数据进行第二次通信数据采集处理,以获取第二通信数据集;
第二响应数据集获取单元,用于根据预设的数据对应关系,获取与所述第二通信数据集对应第二响应数据集;其中,所述第二响应数据集包括服务器根据所述第二通信数据集的响应数据;
第二数据总集合并单元,用于将所述第二通信数据集和所述第二响应数据集合并为第二数据总集;
数据对比单元,用于根据预设的数据对比方法,对第一数据总集和第二数据总集进行对比处理,以得到雷同数据;
第二攻击溯源结果获取单元,用于将所述雷同数据输入预设的第二攻击溯源模型中进行处理,以得到所述第二攻击溯源模型输出的第二攻击溯源结果;所述第二攻击溯源模型基于神经网络模型训练而成,所述第二攻击溯源模型采用预先采集的第二训练数据训练而成,所述第二训练数据包括第一模拟数据集、第二模拟数据集、模拟雷同数据和模拟攻击来源,所述第一模拟数据集指在模拟网络攻击的状态下,在物理断物理手段断开服务器的网络连接之前,对被攻击的服务器进行模拟数据采集,从而得到的包括通信数据和响应数据的模拟数据集;所述第二模拟数据集指在模拟网络攻击的状态下,在恢复服务器的网络连接之时,对被攻击的服务器进行模拟数据采集,从而得到的包括通信数据和响应数据的模拟数据集;所述模拟雷同数据指同时存在于所述第一模拟数据集和所述第二模拟数据集中的数据;
反制处理单元,用于根据预设的反制策略,对所述第二攻击溯源结果中的攻击源进行反制处理;
服务器压力再次检测单元,用于根据所述服务器压力检测方法,再次检测服务器承受的服务器压力,并判断再次检测得到的服务器承受的服务器压力是否大于预设的压力阈值;
第三攻击溯源结果获取单元,用于若再次检测得到的服务器承受的服务器压力大于预设的压力阈值,则将所述第二数据总集输入预设的第三攻击溯源模型中进行处理,以得到所述第三攻击溯源模型输出的第三攻击溯源结果,从而完成层次化的网络攻击溯源过程;所述第三攻击溯源模型基于神经网络模型并采用第三训练数据训练而成;所述第三训练数据包括预先收集的训练用通信数据、训练用响应数据和训练用攻击源,并且所述第三训练数据是在断开网络连接之后重新恢复网络时采集的。
7.一种基于计算机取证的数据证据防篡改系统,其特征在于,包括计算机终端,所述计算机终端用于执行权利要求1至5中任一项所述方法的步骤。
8.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述方法的步骤。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5中任一项所述的方法的步骤。