信息逆向溯源方法、装置、设备及存储介质与流程

本技术涉及计算机，尤其涉及一种信息逆向溯源方法、装置、设备及存储介质。

背景技术：

1、在终端/网络受到攻击威胁行为时，可以基于攻击威胁行为对攻击方进行逆向溯源，以确定攻击方的相关信息(例如ip地址、身份信息、位置信息等)，并采取对应的防护措施。

2、但是，目前逆向溯源确定攻击方的相关信息的方式，主要是依托人工操作等手段，并且是在受到攻击威胁行为之后，才能通过人工操作的方式对攻击方的相关信息进行核查。这种情况所得到的溯源结果是非实时处理的，准确率较低、完整性较差，并且对攻击威胁行为的相关信息进行分析的效率较低、网络的安全性较差。

技术实现思路

1、本技术提供一种信息逆向溯源方法、装置、设备及存储介质，用于提高对攻击行为的相关信息进行分析的效率，提升网络安全。

2、为达到上述目的，本技术采用如下技术方案：

3、第一方面，提供了一种信息逆向溯源方法，该方法包括：获取逆向溯源需求信息，逆向溯源需求信息为网络受到攻击行为时确定的攻击信息，逆向溯源需求信息包括以下至少一项：数据流方向、源ip地址、目的ip地址、数据传播状态、下一跳ip地址、攻击时间；将逆向溯源需求信息输入至逆向溯源模型，从溯源数据库中确定逆向溯源需求信息对应的攻击方的ip地址，逆向溯源模型用于对逆向溯源需求信息进行数据分析处理，数据分析处理包括以下至少一项：数据收集、数据过滤、数据清洗、攻击行为检测、ip地址溯源，溯源数据库包括多条字节流，每条字节流包括多个字节数据。

4、在一种可能的实现方式中，将逆向溯源需求信息输入至逆向溯源模型，从溯源数据库中确定逆向溯源需求信息对应的攻击方的ip地址，包括：基于逆向溯源需求信息构建稀疏矩阵，稀疏矩阵用于表示逆向溯源需求信息；将稀疏矩阵输入至逆向溯源模型，从溯源数据库中确定逆向溯源需求信息对应的攻击方的ip地址。

5、在一种可能的实现方式中，将逆向溯源需求信息输入至逆向溯源模型，从溯源数据库中确定逆向溯源需求信息对应的攻击方的ip地址，包括：将逆向溯源需求信息和初始训练参数输入至逆向溯源模型，对逆向溯源模型进行多次迭代训练，每次迭代训练的输出结果包括从溯源数据库中确定的ip地址和迭代训练后的训练参数，初始训练参数包括：初始溯源准确率、初始溯源路径完整率、初始溯源分析效率；在经过预设次数的迭代训练、且每次迭代训练后的训练参数均满足预设条件的情况下，将最后一次迭代训练从溯源数据库中确定的ip地址作为逆向溯源需求信息对应的攻击方的ip地址。

6、在一种可能的实现方式中，将逆向溯源需求信息和初始训练参数输入至逆向溯源模型，对逆向溯源模型进行多次迭代训练，包括：将逆向溯源需求信息进行解析，得到多个地址串，多个地址串中的每个地址串包括多个字节；将多个地址串分别与溯源数据库中包括的多条字节流进行比较，从溯源数据库中确定逆向溯源需求信息对应的ip地址，并基于初始训练参数确定迭代训练后的训练参数。

7、在一种可能的实现方式中，将多个地址串分别与溯源数据库中包括的多条字节流进行比较，从溯源数据库中确定逆向溯源需求信息对应的ip地址，包括：针对任一个地址串和任一条字节流，基于字节比对算法确定任一个地址串和任一条字节流的比对参数；基于每个地址串和每条字节流的比对参数，从溯源数据库中确定逆向溯源需求信息对应的ip地址。

8、在一种可能的实现方式中，初始训练参数包括：当次迭代训练输入的训练参数和历史最大训练参数；基于初始训练参数确定迭代训练后的训练参数，包括：在每次迭代训练的过程中，基于当次迭代训练输入的训练参数和历史最大训练参数，通过半监督学习算法确定当次迭代训练后的训练参数。

9、在一种可能的实现方式中，在经过预设次数的迭代训练、且每次迭代训练后的训练参数均满足预设条件的情况下，将最后一次迭代训练从溯源数据库中确定的ip地址作为逆向溯源需求信息对应的攻击方的ip地址，包括：在每次迭代训练后，通过训练参数评估算法确定迭代训练后的训练参数满足预设条件的情况下，开始下一次的迭代训练，训练参数评估算法用于确定训练参数是否满足训练条件；基于上一次迭代训练后的训练参数对逆向溯源模型进行下一次的迭代训练，并在迭代训练的次数达到预设次数的情况下，将最后一次迭代训练从溯源数据库中确定的ip地址作为逆向溯源需求信息对应的攻击方的ip地址。

10、第二方面，提供了一种信息逆向溯源装置，该信息逆向溯源装置包括：获取单元和处理单元；

11、获取单元，用于获取逆向溯源需求信息，逆向溯源需求信息为网络受到攻击行为时确定的攻击信息，逆向溯源需求信息包括以下至少一项：数据流方向、源ip地址、目的ip地址、数据传播状态、下一跳ip地址、攻击时间；处理单元，用于将逆向溯源需求信息输入至逆向溯源模型，从溯源数据库中确定逆向溯源需求信息对应的攻击方的ip地址，逆向溯源模型用于对逆向溯源需求信息进行数据分析处理，数据分析处理包括以下至少一项：数据收集、数据过滤、数据清洗、攻击行为检测、ip地址溯源，溯源数据库包括多条字节流，每条字节流包括多个字节数据。

12、在一种可能的实现方式中，处理单元，具体用于基于逆向溯源需求信息构建稀疏矩阵，稀疏矩阵用于表示逆向溯源需求信息；处理单元，具体用于将稀疏矩阵输入至逆向溯源模型，从溯源数据库中确定逆向溯源需求信息对应的攻击方的ip地址。

13、在一种可能的实现方式中，处理单元，具体用于将逆向溯源需求信息和初始训练参数输入至逆向溯源模型，对逆向溯源模型进行多次迭代训练，每次迭代训练的输出结果包括从溯源数据库中确定的ip地址和迭代训练后的训练参数，初始训练参数包括：初始溯源准确率、初始溯源路径完整率、初始溯源分析效率；处理单元，具体用于在经过预设次数的迭代训练、且每次迭代训练后的训练参数均满足预设条件的情况下，将最后一次迭代训练从溯源数据库中确定的ip地址作为逆向溯源需求信息对应的攻击方的ip地址。

14、在一种可能的实现方式中，处理单元，具体用于将逆向溯源需求信息进行解析，得到多个地址串，多个地址串中的每个地址串包括多个字节；处理单元，具体用于将多个地址串分别与溯源数据库中包括的多条字节流进行比较，从溯源数据库中确定逆向溯源需求信息对应的ip地址，并基于初始训练参数确定迭代训练后的训练参数。

15、在一种可能的实现方式中，处理单元，具体用于针对任一个地址串和任一条字节流，基于字节比对算法确定任一个地址串和任一条字节流的比对参数；处理单元，具体用于基于每个地址串和每条字节流的比对参数，从溯源数据库中确定逆向溯源需求信息对应的ip地址。

16、在一种可能的实现方式中，初始训练参数包括：当次迭代训练输入的训练参数和历史最大训练参数；处理单元，具体用于在每次迭代训练的过程中，基于当次迭代训练输入的训练参数和历史最大训练参数，通过半监督学习算法确定当次迭代训练后的训练参数。

17、在一种可能的实现方式中，处理单元，具体用于在每次迭代训练后，通过训练参数评估算法确定迭代训练后的训练参数满足预设条件的情况下，开始下一次的迭代训练，训练参数评估算法用于确定训练参数是否满足训练条件；处理单元，具体用于基于上一次迭代训练后的训练参数对逆向溯源模型进行下一次的迭代训练，并在迭代训练的次数达到预设次数的情况下，将最后一次迭代训练从溯源数据库中确定的ip地址作为逆向溯源需求信息对应的攻击方的ip地址。

18、第三方面，一种电子设备，包括：处理器以及存储器；其中，存储器用于存储一个或多个程序，一个或多个程序包括计算机执行指令，当电子设备运行时，处理器执行存储器存储的计算机执行指令，以使电子设备执行如第一方面的一种信息逆向溯源方法。

19、第四方面，提供了一种存储一个或多个程序的计算机可读存储介质，该一个或多个程序包括指令，上述指令当被计算机执行时使计算机执行如第一方面的一种信息逆向溯源方法。

20、本技术提供了一种信息逆向溯源方法、装置、设备及存储介质，应用于网络受到攻击行为时，对攻击信息进行逆向溯源的场景中。在网络受到攻击行为时，获取包括数据流方向、源ip地址、目的ip地址、数据传播状态、下一跳ip地址、攻击时间中至少一项的逆向溯源需求信息，并将逆向溯源需求信息输入至逆向溯源模型中对逆向溯源需求信息进行数据分析处理，以从溯源数据库中确定逆向溯源需求信息对应的攻击方的ip地址。基于上述方案，可以通过逆向溯源模型对获取到的攻击信息进行分析处理，从而基于溯源数据库包括的多条字节流，确定对应的攻击方的ip地址。而无需人工对攻击行为进行核查，可以提高对攻击行为的相关信息进行分析的效率，提升网络安全。