本申請揭示了一種網絡攻擊溯源方法、裝置和系統，包括：實時檢測當前服務器壓力；若大于壓力閾值，得到第一攻擊溯源結果；判斷第一溯源時間值是否大于溯源時間閾值；若大于，獲取第一通信數據集；獲取第一響應數據集；并為第一數據總集；采用物理手段斷開服務器的網絡連接并持續預設的時間長度，再恢復服務器的網絡連接；獲取第二通信數據集；獲取第二響應數據集；合并為第二數據總集；得到雷同數據；得到第二攻擊溯源結果；進行反制處理；再次檢測服務器承受的服務器壓力；若大于預設的壓力閾值，則得到第三攻擊溯源模型輸出的第三攻擊溯源結果，從而完成層次化的網絡攻擊溯源過程，保證網絡攻擊溯源的順利執行。

技術領域

本申請涉及到計算機領域，特別是涉及到一種網絡攻擊溯源方法、裝置和系統。

背景技術

網絡攻擊，例如采用通過消耗服務器的某種資源，例如消耗計算資源、網絡連接等資源的手段，對服務器進行攻擊。為了防御網絡攻擊，可以采用網絡攻擊溯源方案，以發現攻擊方或攻擊路徑，從而采取針對性反制措施。但是，傳統的網絡攻擊溯源方案存在一個問題，即當遭到的網絡攻擊，使得服務器的資源消耗殆盡時，服務器難以執行網絡攻擊溯源方案。

發明內容

本申請提出一種網絡攻擊溯源方法，應用于服務器，包括：

S1、根據預設的服務器壓力檢測方法，實時檢測服務器承受的當前服務器壓力，并判斷所述當前服務器壓力是否大于預設的壓力閾值；

S2、若所述當前服務器壓力大于預設的壓力閾值，則實時采用預設的第一網絡攻擊溯源策略，對服務器進行第一攻擊溯源處理，以得到第一攻擊溯源結果；

S3、獲取對應于所述第一攻擊溯源結果的第一溯源時間值，并判斷所述第一溯源時間值是否大于預設的溯源時間閾值；其中，所述第一溯源時間值指采用第一網絡攻擊溯源策略從開始一次第一攻擊溯源處理之時，到獲得對應的第一攻擊溯源結果之時的時間窗口長度；

S4、若所述第一溯源時間值大于預設的溯源時間閾值，則對服務器接收到的通信數據進行第一次通信數據采集處理，以獲取第一通信數據集；

S5、根據預設的數據對應關系，獲取與所述第一通信數據集對應第一響應數據集；其中，所述第一響應數據集包括服務器根據所述第一通信數據集的響應數據；

S6、將所述第一通信數據集和所述第一響應數據集合并為第一數據總集；

S7、采用物理手段斷開服務器的網絡連接并持續預設的時間長度，再恢復服務器的網絡連接；

S8、對服務器接收到的通信數據進行第二次通信數據采集處理，以獲取第二通信數據集；

S9、根據預設的數據對應關系，獲取與所述第二通信數據集對應第二響應數據集；其中，所述第二響應數據集包括服務器根據所述第二通信數據集的響應數據；

S10、將所述第二通信數據集和所述第二響應數據集合并為第二數據總集；

S11、根據預設的數據對比方法，對第一數據總集和第二數據總集進行對比處理，以得到雷同數據；

S12、將所述雷同數據輸入預設的第二攻擊溯源模型中進行處理，以得到所述第二攻擊溯源模型輸出的第二攻擊溯源結果；所述第二攻擊溯源模型基于神經網絡模型訓練而成，所述第二攻擊溯源模型采用預先采集的第二訓練數據訓練而成，所述第二訓練數據包括第一模擬數據集、第二模擬數據集、模擬雷同數據和模擬攻擊來源，所述第一模擬數據集指在模擬網絡攻擊的狀態下，在物理斷物理手段斷開服務器的網絡連接之前，對被攻擊的服務器進行模擬數據采集，從而得到的包括通信數據和響應數據的模擬數據集；所述第二模擬數據集指在模擬網絡攻擊的狀態下，在恢復服務器的網絡連接之時，對被攻擊的服務器進行模擬數據采集，從而得到的包括通信數據和響應數據的模擬數據集；所述模擬雷同數據指同時存在于所述第一模擬數據集和所述第二模擬數據集中的數據；