CN114938308A - 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 - Google Patents

基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 Download PDF

Info

Publication number
CN114938308A
CN114938308A CN202210633386.4A CN202210633386A CN114938308A CN 114938308 A CN114938308 A CN 114938308A CN 202210633386 A CN202210633386 A CN 202210633386A CN 114938308 A CN114938308 A CN 114938308A
Authority
CN
China
Prior art keywords
data packet
sliding windows
entropy
packet
adaptive threshold
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210633386.4A
Other languages
English (en)
Other versions
CN114938308B (zh
Inventor
冯建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cernewtech Beijing Co ltd
Original Assignee
Cernewtech Beijing Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cernewtech Beijing Co ltd filed Critical Cernewtech Beijing Co ltd
Priority to CN202210633386.4A priority Critical patent/CN114938308B/zh
Publication of CN114938308A publication Critical patent/CN114938308A/zh
Application granted granted Critical
Publication of CN114938308B publication Critical patent/CN114938308B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种基于地址熵自适应阈值检测IPv6网络攻击的方法及装置,属于信息安全技术领域,方法包括:通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;对潜在数据集进行过滤,从潜在数据集中过滤出IPv6的RA类型数据包;将RA类型数据包分组成为多组滑动窗口,其中,每组滑动窗口包括预设数量的RA类型数据包;计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;计算第N组滑动窗口的自适应阈值;在第N组滑动窗口的熵值大于自适应阈值的情况下,确定处于异常状态;在连续三组滑动窗口处于异常状态的情况下,发出警告;将自适应阈值调整为保持恒定的固定阈值,直至熵值低于固定阈值,解除警告。能够准确判断是否受到DoS攻击。

Description

基于地址熵自适应阈值检测IPv6网络攻击的方法及装置
技术领域
本申请属于信息安全技术领域,具体涉及一种基于地址熵自适应阈值检测IPv6(Internet Protocol Version 6,互联网协议版本6)网络攻击的方法以及装置。
背景技术
IP地址(Internet Protocol Address,互联网协议地址)是IP协议(InternetProtocol,互联网协议)提供一种地址编码格式,为互联网上的每一个网络设备分配一个地址。目前,全球的互联网服务提供商都受到IPv4(Internet Protocol Version 4,互联网协议版本4)地址的严重限制,IPv4地址资源的枯竭是IPv6发展和全面部署的主要动力。
与当前主要使用的IPv4协议对比,IPv6提供了诸如SLAAC(Stateless addressautoconfiguration,无状态地址自动配置)、邻居不可达检测和重复地址检测等新功能,以及无需NAT(Network Address Translation,网络地址转换)架构即可实现端到端连接的能力。这些新功能在很大程度上依赖于新引入的NDP(Neighbor Discovery Protocol,邻居发现协议)。攻击者可以利用IPv6特有的NDP发送错误的RA(Router Advertisement,路由器宣告)消息和重定向消息等让数据包流向不确定的方向,进而达到DoS(Denial of Service,拒绝服务)、拦截和修改数据包的目的。
因此,发明人在研究过程中发现:IPv6中NDP的实施为IPv6网络引入了产生新的安全漏洞的可能性。针对IPv6网络层的最常见攻击之一是RA数据包的DoS攻击。攻击者可以将大量RA数据包发送到IPv6多播地址,从而导致链路中本地网络内的主机由于数据包处理开销而耗尽CPU(Central Processing Unit,中央处理器)资源。当启动DoS攻击时,攻击者通常会尽力消耗目标受害者的网络带宽和中央处理器资源。这种类型的攻击可以在IPv6网络中通过向本地链路网络简单地发送大量邻居发现协议数据包实现。而且,由于网络中大量的带宽消耗,必然会导致网络拥塞。
发明内容
本申请实施例的目的是提供一种基于地址熵自适应阈值检测IPv6网络攻击的方法及装置,能够解决目前现有IPv6网络易受到DoS攻击导致网络拥塞的技术问题。
为了解决上述技术问题,本申请是这样实现的:
第一方面,本申请实施例提供了一种基于地址熵自适应阈值检测IPv6网络攻击的方法,包括:
通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
对所述潜在数据集进行过滤,从所述潜在数据集中过滤出IPv6的RA类型数据包;
将所述RA类型数据包分组成为多组滑动窗口,其中,每组所述滑动窗口包括预设数量的RA类型数据包;
计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
计算所述第N组滑动窗口的自适应阈值;
在所述第N组滑动窗口的熵值大于所述第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
在连续三组滑动窗口处于所述异常状态的情况下,发出警告;
将所述自适应阈值调整为保持恒定的固定阈值,直至所述熵值低于所述固定阈值,解除所述警告;
其中,N为大于或者等于3的正整数。
可选地,所述潜在数据集包括多个数据包,从所述潜在数据集中过滤出IPv6的RA类型数据包,具体包括:
检测目标数据包是否为IPv6数据包;
在所述目标数据包为IPv6数据包的情况下,检测所述目标数据包是否为ICMPv6(Internet Control Message Protocol Version 6,互联网控制消息协议版本6)数据包;
在所述目标数据包为ICMPv6数据包的情况下,检测所述目标数据包是否为ICMPv6中的RA类型数据包;
在所述目标数据包为RA类型数据包的情况下,检测所述目标数据包是否为RA 134类型数据包;
在所述目标数据包为RA 134类型数据包的情况下,对所述目标数据包进行存储,以用于后续检测。
可选地,所述预设数量为50,每组所述滑动窗口包括50个的RA类型数据包。
可选地,计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值,具体为:
通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
Figure BDA0003679642290000031
其中,所述第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
可选地,计算所述第N组滑动窗口的自适应阈值,具体为:
通过公式2和公式3计算所述第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
第二方面,本申请实施例提供了一种基于地址熵自适应阈值检测IPv6网络攻击的装置,包括:
捕获模块,用于通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
过滤模块,用于对所述潜在数据集进行过滤,从所述潜在数据集中过滤出IPv6的RA类型数据包;
分组模块,用于将所述RA类型数据包分组成为多组滑动窗口,其中,每组所述滑动窗口包括预设数量的RA类型数据包;
第一计算模块,用于计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
第二计算模块,用于计算所述第N组滑动窗口的自适应阈值;
确定模块,用于在所述第N组滑动窗口的熵值大于所述第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
警告模块,用于在连续三组滑动窗口处于所述异常状态的情况下,发出警告;
解除警告模块,用于将所述自适应阈值调整为保持恒定的固定阈值,直至所述熵值低于所述固定阈值,解除所述警告;
其中,N为大于或者等于3的正整数。
可选地,所述潜在数据集包括多个数据包,所述过滤模块具体包括:
第一检测子模块,用于检测目标数据包是否为IPv6数据包;
第二检测子模块,用于在所述目标数据包为IPv6数据包的情况下,检测所述目标数据包是否为ICMPv6数据包;
第三检测子模块,用于在所述目标数据包为ICMPv6数据包的情况下,检测所述目标数据包是否为ICMPv6中的RA类型数据包;
第四检测子模块,用于在所述目标数据包为RA类型数据包的情况下,检测所述目标数据包是否为RA 134类型数据包;
存储子模块,用于在所述目标数据包为RA 134类型数据包的情况下,对所述目标数据包进行存储,以用于后续检测。
可选地,所述预设数量为50,每组所述滑动窗口包括50个的RA类型数据包。
可选地,所述第一计算模块具体用于:通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
Figure BDA0003679642290000051
其中,所述第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
可选地,所述第二计算模块具体用于:通过公式2和公式3计算所述第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
在本申请实施例中,从来自IPv6网络的数据包中过滤出RA类型数据包,将RA类型数据包分组后分别计算熵值与自适应阈值,通过熵值与自适应阈值的比较能够快速准确地判断是否受到DoS攻击,在确定受到DoS攻击时及时发出警告直至网络恢复正常,以避免受到DoS攻击时大量的带宽消耗而导致的网络拥塞。
附图说明
图1是本申请实施例提供的一种基于地址熵自适应阈值检测IPv6网络攻击的方法的流程示意图;
图2是本申请实施例提供的一种RA类型数据包过滤方法的流程示意图;
图3是本申请实施例提供的一种基于地址熵自适应阈值检测IPv6网络攻击的装置的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例、参照附图做进一步说明。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的基于地址熵自适应阈值检测IPv6网络攻击的方法进行详细地说明。
实施例一
参照图1,示出了本申请实施例提供的一种基于地址熵自适应阈值检测IPv6网络攻击的方法的流程示意图。
本申请提供的一种基于地址熵自适应阈值检测IPv6网络攻击的方法,包括:
S101:通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集。
需要说明的是,此时的潜在数据集包括多种多样的数据包,其中可能还会存在有不需要或者不相关的数据包。
S102:对潜在数据集进行过滤,从潜在数据集中过滤出IPv6的RA类型数据包。
通过对数据集进行过滤,可以排除样本中不相关和不需要的数据包的干扰,减少相关数据包的数量,从而提高检测的效率。
需要说明的是,本申请实施例通过对于IPv6的RA这一特定类型数据包进行分析可以确定是否受到网络攻击,因此本步骤仅过滤出IPv6的RA类型数据包以供后续检测。
可选地,S102可以由以下S201至S205完成。
参照图2,示出了本申请实施例提供的一种RA类型数据包过滤方法的流程示意图。
S201:检测目标数据包是否为IPv6数据包。
S202:在目标数据包为IPv6数据包的情况下,检测目标数据包是否为ICMPv6(Internet Control Message Protocol Version 6,互联网控制消息协议版本6)数据包。
S203:在目标数据包为ICMPv6数据包的情况下,检测目标数据包是否为ICMPv6中的RA类型数据包。
S204:在目标数据包为RA类型数据包的情况下,检测目标数据包是否为RA 134类型数据包。
S205:在目标数据包为RA 134类型数据包的情况下,对目标数据包进行存储,以用于后续检测。
应当理解的是,通过对于RA 134这一类型数据包进行分析可以确定是否受到网络攻击,IPv6数据包、ICMPv6数据包、RA类型数据包与RA 134类型数据包是逐级包含的关系,也就是说,IPv6数据包包括ICMPv6数据包,ICMPv6数据包包括RA类型数据包,RA类型数据包包括RA 134类型数据包。
S103:将RA类型数据包分组成为多组滑动窗口。
其中,每组滑动窗口包括预设数量的RA类型数据包。
其中,本领域技术人员可以根据实际需要调整预设数量的大小,本实施例不对具体的数量进行限制。
可选地,每组滑动窗口包括预设时长的RA类型数据包。也就是说,可以基于时间长度或者数据包个数来定义滑动窗口的大小。
可选地,预设数量为50,每组滑动窗口包括50个的RA类型数据包。将预设数量设置为50个,可以实现样本数据集的有效性与检测时间的平衡。由于50个数据包组成一组滑动窗口,相较于成百上千个数据包可以快速的进行计算,同时50个数据包在统计学上也能保证检测的准确性,这样可以更早、更准确地检测到是否受到网络攻击。
S104:计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值。
需要说明的是,一个数据集的熵值可以衡量其包括的数据包的随机性,一个数据集中数据的随机性越高,熵值就越高,反之亦然,进而可以通过熵值判断数据集是否异常。
在实际环境中,较为常见的网络攻击为RA DoS攻击。路由器通过RA消息交换的方式与位于同一网段的主机共享信息。RA消息包含主机可以使用的网络前缀和路由信息等。默认情况下,IPv6链路本地网络中的主机不对IPv6 RA消息的入口或出口进行身份验证。在此基础上,恶意路由器有可能欺骗和模仿链路本地默认网关,然后发送伪装的消息或大量数据包以制造网络拥塞。黑客可能用精心设计的地址前缀信息和默认路由信息冲击网络。由于SLAAC默认是启用的,因此,泛滥的虚假数据包将迫使受害者不断更新其网络信息。这种情况将导致受害者耗尽其CPU资源,直到系统最终变得没有响应。
RA DOS攻击可分为三种类型:缺省攻击、利用IPv6扩展报头的攻击以及涉及将数据包分段为更小的片段的攻击。由于各种RA DOS攻击属于现有技术,此处不再赘述。
可以预见的是,当受到网络攻击时,源IP地址的熵值会增加,因为攻击者总是会在每次数据包传输时掩盖其源IP地址,因此,不断变化的源IP地址是发生网络攻击的有力证据。
在本申请实施例中,通过计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值,可以判断出源IP地址是否异常。
同时,熵值的计算较为简单,所需成本低。
可选地,通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
Figure BDA0003679642290000091
其中,第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
例如,在50个数据包中,x地址出现了20次,x地址对应的px为0.4,y地址出现了10次,y地址对应的py为0.2。
其中,N为大于或者等于3的正整数。将N限制为大于或者等于3的正整数是因为,为了保证检测结果的准确性,需要连续3次检测异常才会最终判定受到网络攻击。
S105:计算第N组滑动窗口的自适应阈值。
在本申请实施例中,为了获得更加准确的检测结果,阈值应当根据网络流量情况即传输的数据包的数量进行自适应调整。
可选地,通过公式2和公式3计算第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
阈值计算公式根据最近计算的平均值来计算和设置自适应阈值,可以保证阈值的可靠性。
S106:在第N组滑动窗口的熵值大于第N组滑动窗口的自适应阈值的情况下,确定处于异常状态。
可以理解的是,一旦一组滑动窗口中数据集的熵值大于自适应阈值,意味着数据集的随机性超出正常状态,此时的系统处于异常状态。
S107:在连续三组滑动窗口处于异常状态的情况下,发出警告。
可选地,以语音、文字、弹窗等形式进行警告。
通过连续三次的设定,可以避免误判,进一步提高检测的准确性。
S108:将自适应阈值调整为保持恒定的固定阈值,直至熵值低于固定阈值,解除警告。
在发出警告之后需要将自适应阈值调整为保持恒定的固定阈值,保持平稳,直至解除。
本申请实施例,提供了一种实施上述方法的具体算法,如下:
Count=0
Alarm=False
for每个滑动窗口:
计算RA数据包的源IP地址的平均熵Entropy
根据平均熵值计算本窗口期阈值
If Alarm==False then
更新Threshold
end if
If Entropy>=Threshold then
Count=Count+1
else
Count=0
Alarm==False
end if
If Count>=3then
Alarm==True
end if
在本申请实施例中,从来自IPv6网络的数据包中过滤出RA类型数据包,将RA类型数据包分组后分别计算熵值与自适应阈值,通过熵值与自适应阈值的比较能够快速准确地判断是否受到DoS攻击,在确定受到DoS攻击时及时发出警告直至网络恢复正常,以避免受到DoS攻击时大量的带宽消耗而导致的网络拥塞。
实施例二
参照图3,示出了本申请实施例提供的一种基于地址熵自适应阈值检测IPv6网络攻击的装置30的结构示意图。
装置30,包括:
捕获模块301,用于通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
过滤模块302,用于对潜在数据集进行过滤,从潜在数据集中过滤出IPv6的RA类型数据包;
分组模块303,用于将RA类型数据包分组成为多组滑动窗口,其中,每组滑动窗口包括预设数量的RA类型数据包;
第一计算模块304,用于计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
第二计算模块305,用于计算第N组滑动窗口的自适应阈值;
确定模块306,用于在第N组滑动窗口的熵值大于第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
警告模块307,用于在连续三组滑动窗口处于异常状态的情况下,发出警告;
解除警告模块308,用于将自适应阈值调整为保持恒定的固定阈值,直至熵值低于固定阈值,解除警告;
其中,N为大于或者等于3的正整数。
可选地,潜在数据集包括多个数据包,过滤模块302具体包括:
第一检测子模块3021,用于检测目标数据包是否为IPv6数据包;
第二检测子模块3022,用于在目标数据包为IPv6数据包的情况下,检测目标数据包是否为ICMPv6数据包;
第三检测子模块3023,用于在目标数据包为ICMPv6数据包的情况下,检测目标数据包是否为ICMPv6中的RA类型数据包;
第四检测子模块3024,用于在目标数据包为RA类型数据包的情况下,检测目标数据包是否为RA 134类型数据包;
存储子模块3025,用于在目标数据包为RA 134类型数据包的情况下,对目标数据包进行存储,以用于后续检测。
可选地,预设数量为50,每组滑动窗口包括50个的RA类型数据包。
可选地,第一计算模块304具体用于:通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
Figure BDA0003679642290000121
其中,第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
可选地,第二计算模块305具体用于:通过公式2和公式3计算第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
本申请实施例提供的装置30能够实现上述方法实施例中实现的各个过程,为避免重复,这里不再赘述。
在本申请实施例中,从来自IPv6网络的数据包中过滤出RA类型数据包,将RA类型数据包分组后分别计算熵值与自适应阈值,通过熵值与自适应阈值的比较能够快速准确地判断是否受到DoS攻击,在确定受到DoS攻击时及时发出警告直至网络恢复正常,以避免受到DoS攻击时大量的带宽消耗而导致的网络拥塞。
本申请实施例中的虚拟装置可以是装置,也可以是终端中的部件、集成电路、或芯片。
以上所述仅为本发明的实施例而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。

Claims (10)

1.一种基于地址熵自适应阈值检测IPv6网络攻击的方法,其特征在于,包括:
通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
对所述潜在数据集进行过滤,从所述潜在数据集中过滤出IPv6的路由器宣告RA类型数据包;
将所述RA类型数据包分组成为多组滑动窗口,其中,每组所述滑动窗口包括预设数量的RA类型数据包;
计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
计算所述第N组滑动窗口的自适应阈值;
在所述第N组滑动窗口的熵值大于所述第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
在连续三组滑动窗口处于所述异常状态的情况下,发出警告;
将所述自适应阈值调整为保持恒定的固定阈值,直至所述熵值低于所述固定阈值,解除所述警告;
其中,N为大于或者等于3的正整数。
2.根据权利要求1所述的方法,其特征在于,所述潜在数据集包括多个数据包,从所述潜在数据集中过滤出IPv6的RA类型数据包,具体包括:
检测目标数据包是否为IPv6数据包;
在所述目标数据包为IPv6数据包的情况下,检测所述目标数据包是否为互联网控制消息协议版本6ICMPv6数据包;
在所述目标数据包为ICMPv6数据包的情况下,检测所述目标数据包是否为ICMPv6中的RA类型数据包;
在所述目标数据包为RA类型数据包的情况下,检测所述目标数据包是否为RA 134类型数据包;
在所述目标数据包为RA134类型数据包的情况下,对所述目标数据包进行存储,以用于后续检测。
3.根据权利要求1所述的方法,其特征在于,所述预设数量为50,每组所述滑动窗口包括50个的RA类型数据包。
4.根据权利要求1所述的方法,其特征在于,计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值,具体为:
通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
Figure FDA0003679642280000021
其中,所述第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
5.根据权利要求1所述的方法,其特征在于,计算所述第N组滑动窗口的自适应阈值,具体为:
通过公式2和公式3计算所述第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
6.一种基于地址熵自适应阈值检测IPv6网络攻击的装置,其特征在于,包括:
捕获模块,用于通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
过滤模块,用于对所述潜在数据集进行过滤,从所述潜在数据集中过滤出IPv6的RA类型数据包;
分组模块,用于将所述RA类型数据包分组成为多组滑动窗口,其中,每组所述滑动窗口包括预设数量的RA类型数据包;
第一计算模块,用于计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
第二计算模块,用于计算所述第N组滑动窗口的自适应阈值;
确定模块,用于在所述第N组滑动窗口的熵值大于所述第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
警告模块,用于在连续三组滑动窗口处于所述异常状态的情况下,发出警告;
解除警告模块,用于将所述自适应阈值调整为保持恒定的固定阈值,直至所述熵值低于所述固定阈值,解除所述警告;
其中,N为大于或者等于3的正整数。
7.根据权利要求6所述的装置,其特征在于,所述潜在数据集包括多个数据包,所述过滤模块具体包括:
第一检测子模块,用于检测目标数据包是否为IPv6数据包;
第二检测子模块,用于在所述目标数据包为IPv6数据包的情况下,检测所述目标数据包是否为ICMPv6数据包;
第三检测子模块,用于在所述目标数据包为ICMPv6数据包的情况下,检测所述目标数据包是否为ICMPv6中的RA类型数据包;
第四检测子模块,用于在所述目标数据包为RA类型数据包的情况下,检测所述目标数据包是否为RA 134类型数据包;
存储子模块,用于在所述目标数据包为RA 134类型数据包的情况下,对所述目标数据包进行存储,以用于后续检测。
8.根据权利要求6所述的装置,其特征在于,所述预设数量为50,每组所述滑动窗口包括50个的RA类型数据包。
9.根据权利要求6所述的装置,其特征在于,所述第一计算模块具体用于:通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
Figure FDA0003679642280000031
其中,所述第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
10.根据权利要求6所述的装置,其特征在于,所述第二计算模块具体用于:通过公式2和公式3计算所述第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
CN202210633386.4A 2022-06-06 2022-06-06 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 Active CN114938308B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210633386.4A CN114938308B (zh) 2022-06-06 2022-06-06 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210633386.4A CN114938308B (zh) 2022-06-06 2022-06-06 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置

Publications (2)

Publication Number Publication Date
CN114938308A true CN114938308A (zh) 2022-08-23
CN114938308B CN114938308B (zh) 2023-01-13

Family

ID=82866063

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210633386.4A Active CN114938308B (zh) 2022-06-06 2022-06-06 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置

Country Status (1)

Country Link
CN (1) CN114938308B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11888648B1 (en) * 2022-09-29 2024-01-30 Amazon Technologies, Inc. Software-enabled access point (SoftAP) based bridging of devices in two wireless networks

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106357673A (zh) * 2016-10-19 2017-01-25 中国科学院信息工程研究所 一种多租户云计算系统DDoS攻击检测方法及系统
US20170264600A1 (en) * 2016-03-08 2017-09-14 Qualcomm Incorporated System, apparatus and method for generating dynamic ipv6 addresses for secure authentication
US20200322224A1 (en) * 2019-04-05 2020-10-08 Cisco Technology, Inc. Establishing trust relationships of ipv6 neighbors using attestation-based methods in ipv6 neighbor discovery
CN114006858A (zh) * 2020-07-13 2022-02-01 中国移动通信有限公司研究院 IPv6信息的发现方法、装置、网络节点及存储介质
CN114024933A (zh) * 2020-07-17 2022-02-08 中国移动通信有限公司研究院 一种地址保护方法、装置、网络设备和计算机存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170264600A1 (en) * 2016-03-08 2017-09-14 Qualcomm Incorporated System, apparatus and method for generating dynamic ipv6 addresses for secure authentication
CN106357673A (zh) * 2016-10-19 2017-01-25 中国科学院信息工程研究所 一种多租户云计算系统DDoS攻击检测方法及系统
US20200322224A1 (en) * 2019-04-05 2020-10-08 Cisco Technology, Inc. Establishing trust relationships of ipv6 neighbors using attestation-based methods in ipv6 neighbor discovery
CN114006858A (zh) * 2020-07-13 2022-02-01 中国移动通信有限公司研究院 IPv6信息的发现方法、装置、网络节点及存储介质
CN114024933A (zh) * 2020-07-17 2022-02-08 中国移动通信有限公司研究院 一种地址保护方法、装置、网络设备和计算机存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11888648B1 (en) * 2022-09-29 2024-01-30 Amazon Technologies, Inc. Software-enabled access point (SoftAP) based bridging of devices in two wireless networks

Also Published As

Publication number Publication date
CN114938308B (zh) 2023-01-13

Similar Documents

Publication Publication Date Title
US8201252B2 (en) Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks
Abdelsayed et al. An efficient filter for denial-of-service bandwidth attacks
CN107710680B (zh) 网络攻击防御策略发送、网络攻击防御的方法和装置
KR102016461B1 (ko) SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법
EP2549694B1 (en) Method and data communication device for building a flow forwarding table item
CN112055956B (zh) 用于网络安全性的装置和方法
CN106534068B (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
CN112134894A (zh) 一种DDoS攻击的移动目标防御方法
US11153342B2 (en) Method and system for providing ddos protection by detecting changes in a preferred set of hierarchically structured items in stream data
Shah et al. Hybridizing entropy based mechanism with adaptive threshold algorithm to detect RA flooding attack in IPv6 networks
CN106487790B (zh) 一种ack flood攻击的清洗方法及系统
Cai et al. ADAM: an adaptive DDoS attack mitigation scheme in software-defined cyber-physical system
CN114938308B (zh) 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置
US20110197282A1 (en) Method and apparatus for detecting scans in real-time
Mopari et al. Detection and defense against DDoS attack with IP spoofing
Noh et al. Protection against flow table overflow attack in software defined networks
WO2009064114A2 (en) Protection method and system for distributed denial of service attack
Yi et al. Source-based filtering scheme against DDOS attacks
Satrya et al. The detection of DDOS flooding attack using hybrid analysis in IPv6 networks
Nashat et al. Detecting syn flooding agents under any type of ip spoofing
US8281400B1 (en) Systems and methods for identifying sources of network attacks
WO2019159989A1 (ja) 監視システム、監視方法及び監視プログラム
Bahashwan et al. Propose a flow-based approach for detecting abnormal behavior in neighbor discovery protocol (NDP)
EP2109281A1 (en) Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks
Yim et al. Probabilistic route selection algorithm to trace DDoS attack traffic source

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant