一种网络攻击溯源方法、装置、电子设备和存储介质与流程

本申请涉及计算机网络安全技术领域，提供一种网络攻击溯源方法、装置、电子设备和存储介质。

背景技术：

在反射型ddos(distributeddenialofservice，分布式拒绝服务攻击)中，由于攻击方并不直接攻击目标服务ip(internetprotocol，网际协议)地址，而是利用互联网的某些特殊服务开放的服务器，将这些有开放服务的服务器作为反射源，通过伪造被攻击方的ip地址，向反射源发送构造的请求报文，因此反射源服务器在接收到请求报文后，会将数倍于请求报文的回复数据发送到被攻击方的ip地址。

由于在反射型ddos攻击中，反射源收到的地址是攻击方伪造的被攻击方的ip地址，而被攻击方收到的地址则是反射源的地址，因此无法知道真正发起攻击的攻击方的ip地址，造成反射型ddos攻击的溯源极其困难。目前针对反射型ddos攻击，还没有较好的攻击溯源方法。

技术实现要素：

本申请实施例提供一种网络攻击溯源方法、装置、电子设备和存储介质，用以定位反射型ddos攻击方的ip地址，提高网络数据传输和保存的安全性。

本申请实施例提供的第一种网络攻击溯源方法，包括：

根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求；

接收到攻击方通过所述网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；

根据所述对应关系，将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息，确定为所述攻击方的网络地址信息。

本申请实施例提供的第二种网络攻击溯源方法，包括：

接收发送方发送的扫描请求，并获取所述发送方的网络地址信息；

当发送方的网络地址信息与自身标识信息满足设定匹配关系时，对扫描请求进行应答；

在接收到所述发送方作为攻击方时发送的攻击请求后，向所述攻击请求中发送方网络地址信息对应的被攻击方发送回复数据以实现所述攻击方对所述被攻击方的网络攻击。

本申请实施例提供的第一种网络攻击溯源装置，包括：

关系建立单元，用于根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求；

标识确定单元，用于接收到攻击方通过所述网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；

攻击溯源单元，用于根据所述对应关系，将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息，确定为所述攻击方的网络地址信息。

可选的，所述至少一个网络服务器集合中，每个网络服务器集合包括的网络服务器数量和网络地址信息的二进制编码位数相同，每个网络服务器的标识信息为排序序号；以及

所述每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求，包括：每个网络服务器选择应答网络地址信息的二进制编码中比特值为1的比特位所在位置的排序与自身排序序号对应的扫描请求；或者

每个网络服务器选择应答网络地址信息的二进制编码中比特值为0的比特位所在位置的排序与自身排序序号对应的扫描请求。

本申请实施例提供的第二种网络攻击溯源装置，包括：

接收单元，用于接收发送方发送的扫描请求，并获取所述发送方的网络地址信息；

应答单元，用于当发送方的网络地址信息与自身标识信息满足设定匹配关系时，对扫描请求进行应答；

回复单元，用于在接收到所述发送方作为攻击方时发送的攻击请求后，向所述攻击请求中发送方网络地址信息对应的被攻击方发送回复数据以实现所述攻击方对所述被攻击方的网络攻击。

可选的，所述装置还包括：

记录单元，用于基于扫描请求的应答结果生成用于记录所述扫描请求的网络流量日志。

可选的，所述网络地址信息的二进制编码位数与自身所在的网络服务器集合中网络服务器的数量相同，所述网络服务器集合中每个网络服务器的标识信息为排序序号，所述设定匹配关系包括：

发送方网络地址信息的二进制编码中任意一个比特值为1的比特位所在位置的排序与自身排序序号对应；或者

发送方网络地址信息的二进制编码中任意一个比特值为0的比特位所在位置的排序与自身排序序号对应。

本申请实施例提供的一种电子设备，包括处理器和存储器，其中，所述存储器存储有程序代码，当所述程序代码被所述处理器执行时，使得所述处理器执行上述任意一种网络攻击溯源方法的步骤。

本申请实施例提供一种计算机可读存储介质，其包括程序代码，当所述程序产品在电子设备上运行时，所述程序代码用于使所述电子设备执行上述任意一种网络攻击溯源方法的步骤。

本申请有益效果如下：

本申请实施例提供的网络攻击溯源方法、装置、电子设备和存储介质，由于本申请实施例中设置网络服务器集合作为蜜罐来回复攻击方的攻击请求和扫描请求，并且对攻击方发送的请求进行记录，其中作为蜜罐的网络服务器在对攻击方发送的扫描请求做出应答时，是基于设定匹配关系确定的，根据攻击方的网络地址信息与自身标识信息之间是否满足设定匹配关系来进行应答，不同攻击方的网络地址不同，对应的做出应答的网络服务器也不相同，因而可以基于扫描请求的应答结果建立扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，在被攻击方接收到攻击时，则根据目标网络服务器对其发送的请求报文获得各个目标网络服务器的标识信息，进而确定出目标网络服务器的标识信息所组成的标识信息集合，基于之前建立的对应关系则可确定出与目标网络服务器的标识信息组合的标识信息集合对应的网络地址信息，即本次攻击方的网络地址信息，在生成网络服务器的网络响应数据的前提下，实现对攻击方的网络地址的准确定位，从而保证网络数据传输和保存的安全性。

本申请的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本申请而了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本申请实施例中的一种反射性ddos攻击的示意图；

图2为本申请实施例中的一种应用场景的一个可选的示意图；

图3为本申请实施例中的一种网络攻击溯源方法的流程图；

图4为本申请实施例中的另一种网络攻击溯源方法的流程图；

图5为本申请实施例中的一种对应关系的一个可选的示意图；

图6为本申请实施例中的另一种对应关系的一个可选的示意图；

图7为本申请实施例中的一种网络攻击溯源的完整方法时序图；

图8为本申请实施例中的一种网络攻击溯源装置的组成结构示意图；

图9为本申请实施例中的一种第二网关设备的组成结构示意图；

图10为本申请实施例中的一种电子设备的组成结构示意图；

图11为应用本申请实施例的一种计算装置的一个硬件组成结构示意图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请技术方案的一部分实施例，而不是全部的实施例。基于本申请文件中记载的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请技术方案保护的范围。

下面对本申请实施例中涉及的部分概念进行介绍。

ddos：指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动ddos攻击，从而成倍地提高拒绝服务攻击的威力。

反射型ddos攻击：是ddos攻击的一种。攻击方并不直接攻击目标服务ip，而是利用互联网的某些特殊服务开放的服务器，通过伪造被攻击方的ip地址、向有开放服务的服务器发送构造的请求报文，该服务器会将数倍于请求报文的回复数据发送到被攻击ip，从而对后者间接形成ddos攻击。反射型攻击中，攻击方利用了网络协议的缺陷或者漏洞进行ip欺骗，主要是因为很多协议(典型的如dns(domainnamesystem，域名系统)协议，ntp(networktimeprotocol，网络时间协议)，ssdp(simpleservicediscoveryprotocol，简单服务发现协议))对源ip不进行认证。同时，要达到更好的攻击效果，黑客一般会选择具有放大效果(响应报文长度远远大于请求报文长度)的协议服务进行攻击。根据利用的协议大类，可分为udp(userdatagramprotocol，用户数据报协议)反射攻击(如dns协议，ntp协议，ssdp协议)和tcp(transmissioncontrolprotocol，传输控制协议)反射攻击。

蜜罐技术：本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

网络服务器，是布置在互联网中进行数据处理的一类服务器的总称。在本申请实施例中，网络服务器可以是蜜罐服务器，蜜罐服务器在计算机领域主要指通过模拟真实的计算机环境，来检测以及发现真实的入侵事件，并记录有价值的攻击方资源的一种计算机系统。

发送方：指发送请求的一方，在本申请实施例中发送方主要是指发起反射型ddos攻击的服务器或者是网络服务器。发起反射型ddos攻击的服务器向网络服务器发送的请求主要分为两种类型：攻击请求和扫描请求。当向网络服务器发送扫描请求时，发送方网络地址是发起反射型ddos攻击的服务器真实的ip地址，当向网络服务器发送攻击请求时，发送方网络地址不再是发起反射型ddos攻击的服务器真实的ip地址，而是被伪造的被攻击方的网络地址，此时发起反射型ddos攻击的服务器还可以称作攻击方。当网络服务器接收到攻击方发送的攻击请求后，网络服务器会作为发送方向被攻击方进行回复。

接收方：指接收请求的一方，在本申请实施例中，网络服务器和被攻击方都属于接收方。当发起反射型ddos攻击的服务器向网络服务器发送攻击请求或者扫描请求时，网络服务器属于接收方。当网络服务器接收到攻击方发送的攻击请求后，对被攻击方进行回复时，被攻击方属于接收方。

ntp：是用来使计算机时间同步化的一种协议，它可以使计算机对其服务器或时钟源(如石英钟，gps(globalpositioningsystem，全球定位系统)等等)做同步化，它可以提供高精准度的时间校正(lan(localareanetwork，局域网)上与标准间差小于1毫秒，wan(wideareanetwork，广域网)上几十毫秒)，且可介由加密确认的方式来防止恶毒的协议攻击。时间按ntp服务器的等级传播。按照离外部utc(coordinateduniversaltime，协调世界时)源的远近把所有服务器归入不同的stratum(层)中。

dns：互联网上作为域名和ip地址相互映射的一个分布式数据库，能够使用户更方便的访问互联网，而不用去记住能够被机器直接读取的ip数串。

snmp(simplenetworkmanagementprotocol，简单网络管理协议)，由一组网络管理的标准组成，包含一个应用层协议(applicationlayerprotocol)、数据库模型(databaseschema)和一组资源对象。

肉鸡：也称傀儡机，是指可以被黑客远程控制的机器。比如用"灰鸽子"等诱导客户点击或者电脑被黑客攻破或用户电脑有漏洞被种植了木马，黑客可以随意操纵它并利用它做任何事情，通常被用作ddos攻击。简单的说就是具有最高管理权限的远程电脑，可以是win、unix/linux等各种系统，还可以是一家公司的服务器，一家网站的服务器等。本申请实施例中，攻击方通过扫描从回复扫描请求的网络服务器中选择肉鸡，进而通过肉鸡向被攻击方发起攻击，实现反射型ddos攻击，因此在反射型ddos攻击中，肉鸡也可称作攻击方的反射源。

网络地址：是互联网上的节点在网络中具有的逻辑地址，可对节点进行寻址。ip地址是在互联网上给主机编址的方式，为每个计算机分配一个逻辑地址，这样不但能够对计算机进行识别，还能进行信息共享。常见的ip地址，分为ipv4与ipv6两大类。ipv4采用32位地址长度，而ipv6采用128位地址长度。ipv4就是有4段数字，每一段最大不超过255。本申请实施例中的网络地址是以32位的ip地址为例进行介绍的，ip地址是一个32位的二进制数，通常被分割为4个“8位二进制数”(也就是4个字节)。ip地址通常用“点分十进制”表示成(a.b.c.d)的形式，其中，a，b，c，d都是0～255之间的十进制整数。例：点分十进ip地址(100.4.5.6)，实际上是32位二进制数(01100100.00000100.00000101.00000110)。

iot(theinternetofthings，物联网)：是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术，实时采集任何需要监控、连接、互动的物体或过程，采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息，通过各类可能的网络接入，实现物与物、物与人的泛在连接，实现对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体，它让所有能够被独立寻址的普通物理对象形成互联互通的网络。

云技术(cloudtechnology)：是指在广域网或局域网内将硬件、软件、网络等系列资源统一起来，实现数据的计算、储存、处理和共享的一种托管技术。云技术基于云计算商业模式应用的网络技术、信息技术、整合技术、管理平台技术、应用技术等的总称，可以组成资源池，按需所用，灵活便利。云计算技术将变成重要支撑。技术网络系统的后台服务需要大量的计算、存储资源，如视频网站、图片类网站和更多的门户网站。伴随着互联网行业的高度发展和应用，将来每个物品都有可能存在自己的识别标志，都需要传输到后台系统进行逻辑处理，不同程度级别的数据将会分开处理，各类行业数据皆需要强大的系统后盾支撑，只能通过云计算来实现。

在本申请实施例中，主要涉及云技术中的云物联(cloudiot)领域，云物联旨在将传统物联网中传感设备感知的信息和接受的指令连入互联网中，真正实现网络化，并通过云计算技术实现海量数据存储和运算，由于物联网的特性是物与物相连接，实时感知各个“物体”当前的运行状态，在这个过程中会产生大量的数据信息，如何将这些信息汇总，如何在海量信息中筛取有用信息为后续发展做决策支持，这些已成为影响物联网发展的关键问题，而基于云计算和云存储技术的物联云也因此成为物联网技术和应用的有力支持。

伴随万物互联而来不止有智能化的生活，背后的安全性同样不容忽视，ddos与物联网的关系越来越紧密，物联网设备已经成为大规模ddos攻击中的一个常见目标，随着物联网的爆发，也为攻击者提供了入侵易受攻击连网设备的绝佳机会，尤其是构建僵尸网络(恶意软件感染的连网设备网络，可用于向目标服务器发送大量请求)。本申请实施例则提出了一种对反射型ddos攻击进行溯源的方法，用以定位反射型ddos中攻击方的ip地址，进而提高网络数据传输和保存的安全性。

下面对本申请实施例的设计思想进行简要介绍：

在反射型ddos攻击中，由于攻击方并不直接攻击目标服务ip，而是利用互联网的某些特殊服务开放的服务器，通过伪造被攻击方的ip地址、向有开放服务的服务器发送构造的请求报文，这些有开放服务的服务器则可作为反射型ddos攻击方的反射源，将数倍于请求报文的回复数据发送到被攻击ip。

例如图1所示，为本申请实施例提供的一种反射性ddos攻击的示意图，其中黑客(攻击方)的ip地址为9.9.9.9，在黑客攻击服务器时，会伪造被攻击方的ip地址，也就是3.3.3.3作为源地址，向有开放服务的服务器，也就是图1中的反射源发送构造的请求报文，反射源以自身地址(1.1.1.1，1.1.1.2，1.1.1.3，1.1.1.4)为源地址，以被攻击方(攻击目标)的ip地址为目的地址发出应答报文，攻击目标会收到大量反射源返回的应答报文，导致带宽拥塞。

相关技术都是获取到发起ddos攻击的在黑客控制之下真实肉鸡ip，也就是反射源ip，并获取真实肉鸡的控制权之后，对ddos攻击进行取证和溯源。由于在反射型ddos攻击中，反射源收到的地址是伪造的被攻击ip的地址，而被攻击方收到的地址则是反射源的地址，因此无法知道真正发起攻击的ip，因此对于取证和溯源，完全没有突破口，造成反射型ddos攻击的溯源极其困难。

但是发明人意识到，在发起ddos攻击前，攻击方需要知道对应端口开放服务的反射源列表。通常是通过扫描来实现的。例如黑客在发起ntp反射攻击之前，需要知道互联网上有哪些服务器开放了ntp服务。攻击方需要向某个ip对应的ntp服务端口发一个ntp请求，如果服务器回复了一个应答包，就可以知道这个服务器可以被用于发起ntp反射攻击。

由于在上述扫描过程中，攻击方需要收到真实的应答包，因此需要以真实服务器地址来发起扫描。这个过程的攻击方服务器的真实地址是唯一可以追溯的线索，后续的溯源活动可以通过这个过程的攻击方服务器的真实地址来进行。

有鉴于此，本申请实施例提出一种网络攻击溯源方法、装置、电子设备和存储介质。基于蜜罐技术，通过对发起反射型ddos攻击的服务器进行识别和标记，并对后续由该服务器发起的ddos攻击实现识别，实现对反射型ddos攻击的溯源。具体地，通过部署蜜罐回复攻击方的攻击请求和扫描请求；之后识别出攻击请求和扫描请求，基于网络服务器对扫描请求的应答结果，建立攻击方网络地址信息与网络服务器的标识信息集合之间的对应关系，在被攻击方接收到攻击时，通过分析目标网络服务器的标识信息，根据对比关系确定与分本次攻击方拥有的真实的服务器的ip，以此为突破口，实现攻击溯源。

在本申请实施例中，蜜罐的基础单元可以是一个网络服务器集群，网络服务器集群的个数，根据设定的匹配关系确定，每个网络服务器集群的硬件配置和软件版本完全一致。匹配关系是为了回溯攻击方网络地址的，根据目前的网络技术，网络地址是32位二进制比特位，如果采用32台蜜罐服务器，对这些蜜罐服务器按照0～31进行编号，每个蜜罐服务器都会对应一个排序序号，也可称作标识信息，利用32位二进制比特位中0或1的比特位与标识信息之间的匹配关系，让每个蜜罐服务器自主判定是否回应某个网络地址信息的扫描请求并进行记录，这样就可以建立起网络地址信息与蜜罐服务器的标识信息集合之间的对应关系，从而利用这种对应关系在后续攻击过程中对攻击方的网络地址信息进行定位，实现网络攻击溯源。

以下结合说明书附图对本申请的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本申请，并不用于限定本申请，并且在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

如图2所示，其为本申请实施例的应用场景示意图。该应用场景图中包括攻击方210、网络服务器220和被攻击方230，攻击方210与网络服务器220之间可以通过通信网络进行通信，网络服务器220与被攻击方230之间可以通过通信网络进行通信。

在一种可选的实施方式中，通信网络是有线网络或无线网络。

其中，攻击方210、网络服务器220和被攻击方230都属于服务器，在本申请实施例中，服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、cdn、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等，但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接，本申请在此不做限制。

在本申请实施例中，攻击方210在攻击之前会向网络服务器220发起扫描，根据扫描结果，将对该攻击方210发送的扫描请求做出应答的网络服务器加入到反射源列表里，之后攻击方210则会通过反射源列表中的网络服务器向被攻击方230发起攻击。网络服务器会将数倍于攻击请求的回复数据发送给被攻击方230，造成带宽拥塞。

参阅图3所示，为本申请实施例提供的一种网络攻击溯源方法的实施流程图，应用于网络服务器，该方法的具体实施流程如下：

s31：接收发送方发送的扫描请求，并获取发送方的网络地址信息；

s32：当发送方的网络地址信息与自身标识信息满足设定匹配关系时，对扫描请求进行应答；

在本申请实施例中，任何一个网络服务器都可以被指定为蜜罐服务器，被指定为蜜罐服务器的网络服务器，除了完成自身的业务处理外，还需要根据本申请实施例中提供的技术方案，选择应答特定的扫描请求并记录扫描请求和应答结果，生成网络流量日志。进而被攻击方通过获取网络流量日志，基于日志中记录的网络服务器对扫描请求的应答结果，建立扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，以实现后续攻击过程中，对攻击方网络地址信息的定位。下面叙述中，主要是以蜜罐服务器为例进行介绍，多个蜜罐服务器组成一套蜜罐。其中，可以预先按照不同的地理位置或者不同的互联网环境来部署一套蜜罐或多套相互独立的蜜罐，以便更加准确和全面的感知反射型ddos的威胁。

其中，一套蜜罐的基础单元为硬件配置和软件版本完全一致的多台蜜罐服务器，即网络服务器。本文中主要是以一套蜜罐包含32台网络服务器为例进行详细介绍的，这些网络服务器按照0～31进行编号，因此每个网络服务器都会对应一个排序序号，也可称作标识信息。

需要说明的是，上述实施例中所列举的一个蜜罐包括32台硬件配置和软件版本完全一致的网络服务器只是举例说明，实际上蜜罐中网络服务器的数量可以与网络地址信息的二进制编码位数保持一致，当将ip地址1.1.1.1转换为64位的二进制编码时，则蜜罐包括64台硬件配置和软件版本完全一致的网络服务器也是可以的，在此不做具体限定。

在本申请实施例中作为蜜罐服务器部署的网络服务器主要用于回复攻击者的攻击请求和扫描请求。因此，在网络服务器接收到攻击者发送的扫描请求后，获取发送方的网络地址信息，进而根据发送方的网络地址信息确定是否进行应答。

具体的，判断发送方的网络地址信息与自身标识信息是否满足设定匹配关系，若满足，则对该发送方发送的扫描请求进行应答；否则，则忽略该发送方发送的扫描请求。

在一种可选的实施方式中，网络地址信息的二进制编码位数与自身所在的网络服务器集合中网络服务器的数量相同，网络服务器集合中每个网络服务器的标识信息为排序序号，设定匹配关系可以是下列中的任意一种：

设定匹配关系一、发送方网络地址信息的二进制编码中任意一个比特值为1的比特位所在位置的排序与自身排序序号对应；

即对于排序序号为i的网络服务器，当收到一个请求地址为a.a.a.a的请求时，若(2～i)&inet_ntoa(‘a.a.a.a’)＝＝1时，就对请求做出应答，否则忽略。

其中，inet_ntoa()是编程语言(ip地址转换函数)，功能是将网络地址转换成“.”点隔的字符串格式。

假设该网络服务器所在的网络服务器集合中一共有32个网络服务器，按照0～31进行排序，该网络服务器的排序序号i＝26。下面随机列举几个ip地址进行详细介绍：

1)当发送方的ip地址为1.1.1.1时，转换为32位的二进制编码为：

00000001000000010000000100000001。

假设从右向左数，这32位比特位所在位置的排序分别是第0位～第31位，其中比特值为1的比特位分别是：从右向左数第0位、第8位、第16位、第24位，对应的网络服务器排序序号即：第0号网络服务器、第8号网络服务器、第16号网络服务器、第24号网络服务器。

由于该网络服务器自身排序序号为26，而发送方网络地址信息的二进制编码中比特值为1的比特位所在位置的排序分别为0、8、16、24，与26都不对应，因此该网络服务器对网络地址信息为1.1.1.1的发送方发送的扫描请求不做应答，忽略该扫描请求。

2)当发送方的ip地址为23.9.7.1，转换为32位的二进制编码为：

00010111000010010000011100000001。

其中比特值为1的比特位分别是：从右向左数第0、8～10、16、19、24～26、28位，对应的网络服务器排序序号即：第0号网络服务器、第8号网络服务器、第9号网络服务器、第10号网络服务器、第16号网络服务器、第19号网络服务器、第24号网络服务器、第25号网络服务器、第26号网络服务器、第28号网络服务器。

由于该网络服务器自身排序序号为26，发送方网络地址信息的二进制编码中第26位比特位的比特值为1，与该排序序号对应，因此该网络服务器对网络地址信息为23.9.7.1的发送方发送的扫描请求进行应答。

3)当发送方的ip地址为49.235.7.84，转换为32位的二进制编码为：

00110001111010110000011101010100。

其中比特值为1的比特位分别是：从右向左数第2、4、6、8～10、16、17、19、21～24、28、29位，对应的网络服务器排序序号即：第2号网络服务器、第4号网络服务器、第6号网络服务器、第8号网络服务器、第9号网络服务器、第10号网络服务器、第16号网络服务器、第17号网络服务器、第19号网络服务器、第21号网络服务器、第22号网络服务器、第23号网络服务器、第24号网络服务器、第28号网络服务器和第29号网络服务器。

由于该网络服务器自身排序序号为26，而发送方网络地址信息的二进制编码中比特值为1的比特位所在位置的排序分别为2、4、6、8、9、10、16、17、19、21、22、23、24、28、29，与26都不对应，因此该网络服务器对网络地址信息为49.235.7.84的发送方发送的扫描请求不做应答，忽略该扫描请求。

4)当发送方的ip地址为119.159.246.244，转换为32位的二进制编码为：

01110111100111111111011011110100。

其中比特值为1的比特位分别是：从右向左数第2、4～7、9、10、12～20、23～26、28～30位，对应的网络服务器排序序号即：第2号网络服务器、第4号网络服务器、第5号网络服务器、第6号网络服务器、第7号网络服务器、第9号网络服务器、第10号网络服务器、第12号网络服务器、第13号网络服务器、第14号网络服务器、第15号网络服务器、第16号网络服务器、第17号网络服务器、第18号网络服务器、第19号网络服务器、第20号网络服务器、第23号网络服务器、第24号网络服务器、第25号网络服务器、第26号网络服务器、第28号网络服务器、第29号网络服务器、第30号网络服务器。

由于该网络服务器自身排序序号为26，发送方网络地址信息的二进制编码中第26位比特位的比特值为1，与该排序序号对应，因此该网络服务器对网络地址信息为23.9.7.1的发送方发送的扫描请求进行应答。

设定匹配关系二、发送方网络地址信息的二进制编码中任意一个比特值为0的比特位所在位置的排序与自身排序序号对应。

即：对于排序序号为i的网络服务器，当收到一个请求地址为a.a.a.a的请求时，若(2～i)&inet_ntoa(‘a.a.a.a’)＝＝0时，就对请求做出应答，否则忽略。

假设网络服务器的排序序号i＝26，仍以上述实施例中所列举的几个ip地址为例：

1)当发送方的ip地址为1.1.1.1时，转换为32位的二进制编码为：

00000001000000010000000100000001。

由于发送方网络地址信息的二进制编码中第26位比特位的比特值为0，与该排序序号对应，因此该网络服务器对网络地址信息为1.1.1.1的发送方发送的扫描请求进行应答。

2)当发送方的ip地址为23.9.7.1，转换为32位的二进制编码为：

00010111000000000000011100000001。

由于发送方网络地址信息的二进制编码中比特值为0的比特位不包括第26位比特位，即该网络地址信息的二进制编码中不存在与该排序序号对应的比特位，因此该网络服务器对网络地址信息为23.9.7.1的发送方发送的扫描请求不做应答，忽略该扫描请求。

3)当发送方的ip地址为49.235.7.84，转换为32位的二进制编码为：

00110001111010110000011101010100。

由于发送方网络地址信息的二进制编码中第26位比特位的比特值为0，与该排序序号对应，因此该网络服务器对网络地址信息为49.235.7.84的发送方发送的扫描请求进行应答。

4)当发送方的ip地址为119.159.246.244，转换为32位的二进制编码为：

01110111100111111111011011110100。

由于发送方网络地址信息的二进制编码中比特值为0的比特位不包括第26位比特位，即该网络地址信息的二进制编码中不存在与该排序序号对应的比特位，因此该网络服务器对网络地址信息为119.159.246.244的发送方发送的扫描请求不做应答，忽略该扫描请求。

在上述实施方式中，基于网络地址信息与网络服务器的标识信息之间的设定匹配关系，可以达到不同网络地址信息对应不同标识信息集合的效果，因此即可实现对网络地址信息的标记，以便后期对攻击方的网络地址信息进行识别。

需要说明的是，上述实施例中所列举的设定匹配关系只是举例说明，在本申请实施例中，任何一种发送方网络地址信息与标识信息之间的匹配关系都适用于本申请实施例。

在一种可选的实施方式中，网络服务器还需要基于扫描请求的应答结果生成用于记录扫描请求的网络流量日志，又可称作扫描日志。即网络服务器在预设统计时段期间无论是否对该扫描请求做出应答，都生成一条记录，记录源ip，目的ip，扫描请求发送的时间，是否发送应答报文，即日志中记录有发送方的网络地址信息、接收方的网络地址信息，发送请求的时间，以及扫描请求的应答结果。其中，应答结果表示是否对该扫描请求进行应答，即是否发送应答报文。

例如，发送方网络地址信息为1.1.1.1的服务器在t1时刻向网络地址信息为6.6.6.6的网络服务器发送了一个扫描请求，该扫描请求的排序序号为0，则根据设定匹配关系一可知，该网络服务器对该扫描请求做出应答，因此生成一条网络流量日志，日志中的发送方网络地址信息为1.1.1.1，接收方网络地址信息为6.6.6.6，发送请求的时间为t2时刻，请求应答结果为是，表示做出应答。

在上述实施方式中，网络服务器基于设定匹配关系对攻击者发送的扫描请求进行应答，即网络服务器是根据发送扫描请求的网络地址信息进行判断之后，才进行应答，并非对所有发送方发送的扫描请求进行应答，不同攻击方的网络地址不同，对应的做出应答的网络服务器也不相同，因而可以通过记录扫描请求的应答结果对发起反射型ddos攻击的服务器进行识别和标记，以便后续对服务器发起的ddos攻击实现识别，实现对反射型ddos攻击的溯源。

s33：在接收到发送方作为攻击方时发送的攻击请求后，向攻击请求中发送方网络地址信息对应的被攻击方发送回复数据，以实现攻击方对被攻击方的网络攻击。

在一种可选的实施方式中，网络服务器还需要基于攻击请求生成用于记录攻击请求的网络流量日志，又可称作攻击日志，日志中也记录有发送方的网络地址信息、接收方的网络地址信息，发送请求的时间等。

例如，实际网络地址信息为1.1.1.1的攻击方向网络地址信息为3，3，3，3的被攻击方发起网络攻击时，攻击方将自身的网络地址信息伪造为3.3.3.3，在t2时刻向网络地址信息为6.6.6.6的网络服务器发送攻击请求，对应生成的网络流量日志中发送方的网络地址信息为3.3.3.3，接收方的网络地址信息为6.6.6.6，发送请求的时间为t2时刻，此时，该条日志中记录的发送方的网络地址信息并非攻击方真实的网络地址信息，而是被攻击方的网络地址信息。

在网络地址信息为6.6.6.6的网络服务器接收到该攻击请求后，则向网络地址信息为3.3.3.3的被攻击方发送大量的应答报文，导致带宽拥塞。

在上述实施方式中，通过部署蜜罐回复攻击者的攻击请求和扫描请求，以便后期根据扫描请求追溯攻击方的网络地址信息。

参阅图4所示，为本申请实施例提供的一种网络攻击溯源方法的实施流程图，应用于被攻击方，该方法的具体实施流程如下：

s41：根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求。

在本申请实施例中，网络服务器在预设统计时段内接收到攻击方发送的扫描请求或是攻击请求时，都会生成一条网络流量日志，因此在获取各个网络服务器对扫描请求的应答结果时，可通过各个网络服务器记录的网络流量日志来获取，其中网络流量日志用于记录各个发送方在预设统计时段内向网络服务器发送的请求以及应答结果，请求包括扫描请求和攻击请求。从之前的分析可知，只要是发起扫描的攻击者服务器(发送方)，采用的都是真实的源地址，而发起反射型ddos攻击时的源地址，都是伪造的源地址。而蜜罐既会收到扫描请求，也会收到ddos攻击请求，因此需要将攻击者服务器的扫描请求识别出来，以得到攻击者服务器的真实ip，进而建立发送方网络地址信息与网络服务器的标识信息集合之间的对应关系，将ddos攻击事件与黑客拥有的真实服务器ip关联起来，即可实现对反射型ddos攻击的溯源取证。

具体的实施方式为：获取各个网络服务器在预设统计时段内记录的网络流量日志；基于网络流量日志所记载请求的发送频率，筛选出网络流量日志中用于记录扫描请求的扫描日志，进而获取扫描日志中记录的网络服务器对扫描请求的应答结果即可。

其中，在网络流量日志中筛选出扫描日志时，主要是通过请求的频次，也就是请求的发送频率来实现。由于扫描只需要发送很少量的请求，就能判断出服务是否开放。而ddos攻击需要持续进行，所以会不断的请求网络服务器，通过对实际ddos攻击的抓包分析，这个请求频率很容易超过50qps/分钟，其中qps(queries-per-second，每秒查询率)是对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准。

因此，基于网络流量日志所记载请求的发送频率，筛选出网络流量日志中用于记录扫描请求的扫描日志时，一种可选的实施方式为：

获取发送方网络地址信息相同的待分析网络流量日志，若待分析网络流量日志所记载请求的发送频率小于预设频率阈值，则确定待分析网络流量日志为用于记录扫描请求的扫描日志。否则，则确定待分析网络流量日志为用于记录攻击请求的攻击日志。

假设预设统计时段(1分钟)内共有250条网络流量日志，预设频率阈值为50qps/分钟。首先获取这250条网络流量日志中，具有相同的发送方网络地址信息的日志，将这些日志作为待分析流量日志。接下来判断待分析流量日志所记载请求的发送频率是否小于预设频率阈值。

例如，发送方网络地址信息为ip1的网络流量日志有32条，这32条待分网络流量日志所记载请求的发送频率为32qps/分钟，低于预设频率阈值，即ip1在1分钟内请求未超过50次，因此可将这32条待分析网络流量日志认为是记录扫描请求的扫描日志。

其中，发送方网络地址信息为ip2、ip3、ip4的网络流量日志各有32条，则这些待分析网络流量日志也是记录扫描请求的扫描日志。剩余90条网络流量日志的发送方网络地址信息都为ip5，这90条待分网络流量日志所记载请求的发送频率为90qps/分钟，高于预设频率阈值，即ip5在1分钟内请求超过50次，因此可将这90条待分析网络流量日志认为是记录攻击请求的攻击日志。

因此，可分别根据发送方网络地址信息为ip1的32条网络流量日志中所记载的扫描请求的应答结果，确定出网络地址信息ip1对应的网络服务器的标识集合；同理确定出网络地址信息ip2、ip3、ip4对应的网络服务器的标识集合。

假设在发送方网络地址信息分别为ip1、ip2、ip3、ip4的32条网络流量日志中接收方网络地址信息对应的网络服务器为同一个网络服务器集合中的32个网络服务器。

其中，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求时，具体可分为以下两种选择方式，这两种选择方式分别与上文中介绍的设定匹配关系一、设定匹配关系二对应。其中，网络服务器选择应答时的方式不同，对应确定出的网络服务器的标识信息集合也不相同，下面对这两种情况分别进行介绍：

选择方式一、每个网络服务器选择应答网络地址信息的二进制编码中比特值为1的比特位所在位置的排序与自身排序序号对应的扫描请求。该选择方式与设定匹配关系一对应。

假设ip1为1.1.1.1，则在发送方网络地址信息为1.1.1.1的这32条扫描日志中，应答结果为是的，即对该发送方的扫描请求进行应答的网络服务器有4个，标识信息分别为0、8、16、24，则1.1.1.1对应的标识信息集合为{0，8，16，24}。

假设ip2为23.9.7.1，则在发送方网络地址信息为23.9.7.1的这32条网络流量日志中，应答结果为是的网络服务器一共有10个，标识信息分别为0、8、9、10、16、19、24、25、26、28，则23.9.7.1对应的标识信息集合为{0，8，9，10，16，19，24，25，26，28}。

假设ip3为49.235.7.84，则在发送方网络地址信息为49.235.7.84的这32条网络流量日志中，应答结果为是的网络服务器一共有15个，标识信息分别为2、4、6、8、9、10、16、17、19、21、22、23、24、28、29，则49.235.7.84对应的标识信息集合为{2，4，6，8，9，10，16，17，19，21，22，23，24，28，29}。

假设ip4为119.159.246.244，则在发送方网络地址信息为119.159.246.244的这32条网络流量日志中，应答结果为是的网络服务器一共有23个，标识信息分别为2、4、5、6、7、9、10、12、13、14、15、16、17、18、19、20、23、24、25、26、28、29、30，则49.235.7.84对应的标识信息集合为{2，4，5，6，7，9，10，12，13，14，15，16，17，18，19，20，23，24，25，26，28，29，30}。

最终，针对这4个ip地址，建立的网络地址信息与的标识信息集合之间的对应关系如图5中的表格所示，其中id指网络服务器的标识信息，分别为0～31，ip指发送方的网络地址信息，分别为上述列举的4个ip地址，与ip地址对应的一行中标1的网络服务器都会向该发送方做出应答，标0的则不会。

选择方式二、每个网络服务器选择应答网络地址信息的二进制编码中比特值为0的比特位所在位置的排序与自身排序序号对应的扫描请求，该选择方式与设定匹配关系二对应。

仍以上述所列举的四个ip地址为例，假设ip1为1.1.1.1，在发送方网络地址信息为1.1.1.1的这32条扫描日志中，应答结果为是的，即对该发送方的扫描请求进行应答的网络服务器有28个，标识信息分别为1、2、3、4、5、6、7、9、10、11、12、13、14、15、17、18、19、10、21、22、23、25、26、27、28、29、30、31，则1.1.1.1对应的标识信息集合为{1，2，3，4，5，6，7，9，10，11，12，13，14，15，17，18，19，10，21，22，23，25，26，27，28，29，30，31}。

假设ip2为23.9.7.1，则在发送方网络地址信息为23.9.7.1的这32条网络流量日志中，应答结果为是的网络服务器一共有22个，标识信息分别为1、2、3、4、5、6、7、11、12、13、14、15、17、18、20、21、22、23、27、29、30、31，则23.9.7.1对应的标识信息集合为{1，2，3，4，5，6，7，11，12，13，14，15，17，18，20，21，22，23，27，29，30，31}。

假设ip3为49.235.7.84，则在发送方网络地址信息为49.235.7.84的这32条网络流量日志中，应答结果为是的网络服务器一共有17个，标识信息分别为0、1、3、5、7、11、12、13、14、15、18、20、25、26、27、30、31，则49.235.7.84对应的标识信息集合为{0，1，3，5，7，11，12，13，14，15，18，20，25，26，27，30，31}。

假设ip4为119.159.246.244，则在发送方网络地址信息为119.159.246.244的这32条网络流量日志中，应答结果为是的网络服务器一共有9个，标识信息分别为0、1、3、8、11、21、22、27、31，则49.235.7.84对应的标识信息集合为{0，1，3，8，11，21，22，27，31}。

最终，针对这4个ip地址，建立的网络地址信息与的标识信息集合之间的对应关系如图6中的表格所示，其中id指网络服务器的标识信息，分别为0～31，ip指发送方的网络地址信息，分别为上述列举的4个ip地址，与ip地址对应的一行中标0的网络服务器都会向该发送方做出应答，标1的则不会。

需要说明的是，图5和图6仅是列举了几个ip地址与为网络服务器的标识信息集合之间的对应关系示例，当ip地址为图中所示的表格之外的其它ip地址时，同样可基于上述方式来建立足够多的ip地址与标识信息集合之间的对应关系，上述仅是举例说明。

在一种可选的实施方式中，由于抓包过程中可能会丢包，或者频率太低没抓到的情况，该情况下部署单套蜜罐可能会导致无法准确识别攻击者的ip。例如攻击方ip为255.255.255.255时，实际上一套蜜罐中的32个网络服务器都需要对该攻击ip做出应答，加入它的反射源列表中，当出现丢包等情况时，例如统计得到实际上只有31个蜜罐做出了应答，则根据蜜罐确定出的攻击方ip可能为255.255.255.254(该ip地址对应的网络服务器排序序号为1～31)或者是其它ip，而不是255.255.255.255，此时通过溯源得到的攻击方ip则会出现错误。

基于上述情况，本申请实施例考虑部署多套蜜罐，通过多套蜜罐的ip在攻击源的分布情况进行交叉比对，则能提升识别的准确性，排除掉因为抓包丢包等引起误报。

当部署多套蜜罐时，对应有多个网络服务器集合，这些网络服务器集合中的标识信息一一对应，即每个网络服务器集合中网络服务器的排序序号都是0～31。则在建立各个网络地址信息与网络服务器的标识信息集合之间的对应关系时，首先需要根据每个网络服务器集合获得对应关系；进而将各个对应关系中同一网络地址信息对应的标识信息集合进行合并去除重复的标识信息。

例如，一共有3个网络服务器集合，其中通过第一个网络服务器集合获得的与ip1对应的网络标识集合为{0，8，16}，通过第二个网络服务器集合获得的与ip1对应的网络标识集合为{0，8，16，24}，通过第三个网络服务器集合获得的与ip1对应的网络标识集合为{8，16，24}，则基于上述三个对应关系，在确定与ip1对应的网络标识集合时，需要合并去重，首先合并得到标识集合为{0，0，8，8，8，16，16，16，24，24}，去重之后得到的网络标识集合为{0，8，16，24}，最终得到的与ip1对应的网络标识集合为{0，8，16，24}。

在上述实施方式中，通过部署多个网络服务器集合可以提到对应关系的准确性，进而提高网络地址定位的准确性，减少因为抓包丢包等引起的误报。

s42：接收到攻击方通过网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；

s43：根据对应关系，将与各个目标网络服务器的标识信息组成的标识信息集合对应的网络地址信息确定为攻击方的网络地址信息。

具体的，在攻击过程中，抓取各个目标网络服务器发送的回复数据中的源ip，也就是各个目标网络服务器的网络地址信息，进而确定出各个目标网络服务器的标识信息。之后，根据对应关系，将与各个目标网络服务器的标识信息组成的标识信息集合对应的网络地址信息确定为攻击方的网络地址信息。

在本申请实施例中，攻击者在攻击之前发起的扫描，会将对攻击者的服务器发送的扫描请求做出应答的网络服务器加入到反射源列表里，因此在攻击者通过这个反射源列表发起攻击时，做出应答的网络服务器会出现在攻击源中。因此可通过抓取目标网络服务器的网络地址信息，确定各个目标网络服务器的标识信息，例如各个网络服务器的标识信息分别为0、8、16、24，通过查找图5所示的表格中的数据，则可以推断出是黑客用ip地址为1.1.1.1的服务器发起了ddos攻击。

在上述实施方式中，是将与各个目标网络服务器的标识信息所组成的标识信息集合对应的网络地址信息作为了攻击方的网络地址信息，通过简单的方式可以快速实现攻击方的溯源。

在本申请实施例中，考虑到可能存在多个攻击方同时通过目标网络服务器进行攻击的情况，例如各个网络服务器的标识信息分别为0、8、9、10、16、19、24、25、26、28，此时则可确定上述部分或全部目标网络服务器的标识所能组成的标识信息集合的多种可能情况，假设分别有{0、8、9、10、16、19、24、25、26、28}以及{0、8、16、24}两种，通过查图5所示的表格中的数据，则可以推断出是黑客用ip地址为1.1.1.1的服务器和ip地址为23.9.7.1发起了ddos攻击。

在上述实施例方式中，采用快速的转换算法，不依赖其他的数据，定位效率高，并且解决了反射型ddos攻击完全没有突破口，没有黑客控制下的服务器以供取证和溯源的问题。

此外，需要说明的是，本申请实施例中所列举的蜜罐服务器支持各种类型协议的反射场景，根据协议类型具体可分为udp反射场景和tcp反射场景，具有可扩展性。

参阅图7所示，为本申请实施例中的一种网络攻击溯源的完整方法时序图。

该方法的具体实施流程如下：

s71：攻击方在预设统计时段内向网络服务器集合中的各个网络服务器发送扫描请求；

s72：网络服务器集合中的网络服务器向攻击方做出应答；

s73：网络服务器集合中的网络服务器根据应答结果生成用于记录扫描请求的网络流日志；

s74：攻击方伪造被攻击方的网络地址，在预设统计时段内向网络服务器集合中的网络服务器发送攻击请求；

s75：网络服务器集合中的网络服务器根据攻击请求对被攻击方作出应答；

s76：网络服务器集合中的网络服务器生成用于记录攻击请求的网络流量日志；

s77：被攻击方获取网络服务器集合中的各个网络服务器记录的网络流量日志，识别出其中用于记录扫描请求的扫描日志，并根据扫描日志记录的扫描请求的应答结果，建立攻击方的网络地址信息与网络服务器的标识信息集合之间的对应关系；

s78：攻击方向网络服务器集合中的目标网络服务器发送攻击请求；

s79：网络服务器集合中目标网络服务器根据攻击请求向被攻击方作出应答；

s710：被攻击方获取目标网络服务器的网络地址信息，获得目标网络服务器的标识，根据对应关系，将由目标网络服务器的标识信息组合的标识信息集合对应网络地址信息，确定为本次攻击方的网络地址信息。

需要说明的是，图7中的攻击方和被攻击方不一定只有一个，网络服务器集合中也有多个网络服务器，目标网络服务器属于该网络服务器集合中能够作为攻击方反射源的网络服务器。

如图8所示，其为本申请实施例提供的一种网络攻击溯源装置800的结构示意图，可以包括：

关系建立单元801，用于根据至少一个网络服务器集合中的各个网络服务器对扫描请求的应答结果，确定扫描请求发送方的网络地址信息与网络服务器的标识信息集合之间的对应关系，每个标识信息集合包括对同一个网络地址信息的扫描请求做出应答的网络服务器的标识信息，每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求；

标识确定单元802，用于接收到攻击方通过网络服务器集合中的目标网络服务器发起的网络攻击时，获得各个目标网络服务器的标识信息；

攻击溯源单元803，用于根据对应关系，将与各个目标网络服务器的标识信息组成的标识信息集合对应的网络地址信息确定为攻击方的网络地址信息。

可选的，网络服务器集合包括至少两个，每个网络服务器集合中的标识信息一一对应，关系建立单元801具体用于：

分别根据每个网络服务器集合获得对应关系；

将各个对应关系中同一网络地址信息对应的标识信息集合进行合并去除重复的标识信息。

可选的，关系建立单元801还用于通过下列方式获取各个网络服务器对扫描请求的应答结果：

获取各个网络服务器在预设统计时段内记录的网络流量日志，其中网络流量日志用于记录各个发送方在预设统计时段内向网络服务器发送的请求以及应答结果，请求至少包括扫描请求；

基于网络流量日志所记载请求的发送频率，筛选出网络流量日志中用于记录扫描请求的扫描日志；

获取扫描日志中记录的网络服务器对扫描请求的应答结果。

可选的，关系建立单元801具体用于：

获取发送方网络地址信息相同的待分析网络流量日志；

若待分析网络流量日志所记载请求的发送频率小于预设频率阈值，则确定待分析网络流量日志为用于记录扫描请求的扫描日志。

可选的，至少一个网络服务器集合中，每个网络服务器集合包括的网络服务器的数量和网络地址信息的二进制编码位数相同，每个网络服务器的标识信息为排序序号；以及

每个网络服务器选择应答网络地址信息与自身标识信息满足设定匹配关系的扫描请求，包括：每个网络服务器选择应答网络地址信息的二进制编码中比特值为1的比特位所在位置的排序与自身排序序号对应的扫描请求；或者

每个网络服务器选择应答网络地址信息的二进制编码中比特值为0的比特位所在位置的排序与自身排序序号对应的扫描请求。

如图9所示，其为本申请实施例提供的另一种网络攻击溯源装置900的结构示意图，可以包括：

接收单元901，用于接收发送方发送的扫描请求，并获取发送方的网络地址信息；

应答单元902，用于当发送方的网络地址信息与自身标识信息满足设定匹配关系时，对扫描请求进行应答；

回复单元903，用于在接收到发送方作为攻击方时发送的攻击请求后，向攻击请求中发送方网络地址信息对应的被攻击方发送回复数据以实现攻击方对被攻击方的网络攻击。

可选的，装置还包括：

记录单元904，用于基于扫描请求的应答结果生成用于记录扫描请求的网络流量日志。

可选的，设定匹配关系包括：

发送方网络地址信息的二进制编码中任意一个比特值为1的比特位所在位置的排序与自身排序序号对应；或者

发送方网络地址信息的二进制编码中任意一个比特值为0的比特位所在位置的排序与自身排序序号对应。

为了描述的方便，以上各部分按照功能划分为各模块(或单元)分别描述。当然，在实施本申请时可以把各模块(或单元)的功能在同一个或多个软件或硬件中实现。

在介绍了本申请示例性实施方式的网络攻击溯源方法和装置之后，接下来，介绍根据本申请的另一示例性实施方式的电子设备。

所属技术领域的技术人员能够理解，本申请的每个方面可以实现为系统、方法或程序产品。因此，本申请的每个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

在一些可能的实施方式中，本申请实施例还提供一种电子设备，参阅图10所示，电子设备1000可以至少包括至少一个处理器1001、以及至少一个存储器1002。其中，存储器1002存储有程序代码，当程序代码被处理器1001执行时，使得处理器1001执行本说明书上述描述的根据本申请各种示例性实施方式的网络攻击溯源方法中的步骤。例如，处理器1001可以执行如图3中所示的步骤或者图4中所示的步骤。

在一些可能的实施方式中，本申请实施例还提供一种计算装置，可以至少包括至少一个处理单元、以及至少一个存储单元。其中，存储单元存储有程序代码，当程序代码被处理单元执行时，使得处理单元执行本说明书上述描述的根据本申请各种示例性实施方式的服务调用方法中的步骤。例如，处理单元可以执行如图3中所示的步骤或者图4中所示的步骤。

下面参照图11来描述根据本申请的这种实施方式的计算装置110。图11的计算装置110仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图11，计算装置110以通用计算装置的形式表现。计算装置110的组件可以包括但不限于：上述至少一个处理单元111、上述至少一个存储单元112、连接不同系统组件(包括存储单元112和处理单元111)的总线113。

总线113表示几类总线结构中的一种或多种，包括存储器总线或者存储器控制器、外围总线、处理器或者使用多种总线结构中的任意总线结构的局域总线。

存储单元112可以包括易失性存储器形式的可读介质，例如随机存取存储器(ram)1121和/或高速缓存存储单元1122，还可以进一步包括只读存储器(rom)1123。

存储单元112还可以包括具有一组(至少一个)程序模块1124的程序/实用工具1125，这样的程序模块1124包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

计算装置110也可以与一个或多个外部设备114(例如键盘、指向设备等)通信，还可与一个或者多个使得用户能与计算装置110交互的设备通信，和/或与使得该计算装置110能与一个或多个其它计算装置进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口115进行。并且，计算装置110还可以通过网络适配器116与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器116通过总线113与用于计算装置110的其它模块通信。应当理解，尽管图中未示出，可以结合计算装置110使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理器、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。

在一些可能的实施方式中，本申请提供的网络攻击溯源方法的每个方面还可以实现为一种程序产品的形式，其包括程序代码，当程序产品在计算机设备上运行时，程序代码用于使计算机设备执行本说明书上述描述的根据本申请各种示例性实施方式的网络攻击溯源方法中的步骤，例如，计算机设备可以执行如图3中所示的步骤或者图4中所示的步骤。

程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

本申请的实施方式的程序产品可以采用便携式紧凑盘只读存储器(cd-rom)并包括程序代码，并可以在计算装置上运行。然而，本申请的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被命令执行系统、装置或者器件使用或者与其结合使用。

尽管已描述了本申请的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。