CN114938308A - 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 - Google Patents
基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 Download PDFInfo
- Publication number
- CN114938308A CN114938308A CN202210633386.4A CN202210633386A CN114938308A CN 114938308 A CN114938308 A CN 114938308A CN 202210633386 A CN202210633386 A CN 202210633386A CN 114938308 A CN114938308 A CN 114938308A
- Authority
- CN
- China
- Prior art keywords
- data packet
- sliding windows
- entropy
- packet
- adaptive threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种基于地址熵自适应阈值检测IPv6网络攻击的方法及装置,属于信息安全技术领域,方法包括:通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;对潜在数据集进行过滤,从潜在数据集中过滤出IPv6的RA类型数据包;将RA类型数据包分组成为多组滑动窗口,其中,每组滑动窗口包括预设数量的RA类型数据包;计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;计算第N组滑动窗口的自适应阈值;在第N组滑动窗口的熵值大于自适应阈值的情况下,确定处于异常状态;在连续三组滑动窗口处于异常状态的情况下,发出警告;将自适应阈值调整为保持恒定的固定阈值,直至熵值低于固定阈值,解除警告。能够准确判断是否受到DoS攻击。
Description
技术领域
本申请属于信息安全技术领域,具体涉及一种基于地址熵自适应阈值检测IPv6(Internet Protocol Version 6,互联网协议版本6)网络攻击的方法以及装置。
背景技术
IP地址(Internet Protocol Address,互联网协议地址)是IP协议(InternetProtocol,互联网协议)提供一种地址编码格式,为互联网上的每一个网络设备分配一个地址。目前,全球的互联网服务提供商都受到IPv4(Internet Protocol Version 4,互联网协议版本4)地址的严重限制,IPv4地址资源的枯竭是IPv6发展和全面部署的主要动力。
与当前主要使用的IPv4协议对比,IPv6提供了诸如SLAAC(Stateless addressautoconfiguration,无状态地址自动配置)、邻居不可达检测和重复地址检测等新功能,以及无需NAT(Network Address Translation,网络地址转换)架构即可实现端到端连接的能力。这些新功能在很大程度上依赖于新引入的NDP(Neighbor Discovery Protocol,邻居发现协议)。攻击者可以利用IPv6特有的NDP发送错误的RA(Router Advertisement,路由器宣告)消息和重定向消息等让数据包流向不确定的方向,进而达到DoS(Denial of Service,拒绝服务)、拦截和修改数据包的目的。
因此,发明人在研究过程中发现:IPv6中NDP的实施为IPv6网络引入了产生新的安全漏洞的可能性。针对IPv6网络层的最常见攻击之一是RA数据包的DoS攻击。攻击者可以将大量RA数据包发送到IPv6多播地址,从而导致链路中本地网络内的主机由于数据包处理开销而耗尽CPU(Central Processing Unit,中央处理器)资源。当启动DoS攻击时,攻击者通常会尽力消耗目标受害者的网络带宽和中央处理器资源。这种类型的攻击可以在IPv6网络中通过向本地链路网络简单地发送大量邻居发现协议数据包实现。而且,由于网络中大量的带宽消耗,必然会导致网络拥塞。
发明内容
本申请实施例的目的是提供一种基于地址熵自适应阈值检测IPv6网络攻击的方法及装置,能够解决目前现有IPv6网络易受到DoS攻击导致网络拥塞的技术问题。
为了解决上述技术问题,本申请是这样实现的:
第一方面,本申请实施例提供了一种基于地址熵自适应阈值检测IPv6网络攻击的方法,包括:
通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
对所述潜在数据集进行过滤,从所述潜在数据集中过滤出IPv6的RA类型数据包;
将所述RA类型数据包分组成为多组滑动窗口,其中,每组所述滑动窗口包括预设数量的RA类型数据包;
计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
计算所述第N组滑动窗口的自适应阈值;
在所述第N组滑动窗口的熵值大于所述第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
在连续三组滑动窗口处于所述异常状态的情况下,发出警告;
将所述自适应阈值调整为保持恒定的固定阈值,直至所述熵值低于所述固定阈值,解除所述警告;
其中,N为大于或者等于3的正整数。
可选地,所述潜在数据集包括多个数据包,从所述潜在数据集中过滤出IPv6的RA类型数据包,具体包括:
检测目标数据包是否为IPv6数据包;
在所述目标数据包为IPv6数据包的情况下,检测所述目标数据包是否为ICMPv6(Internet Control Message Protocol Version 6,互联网控制消息协议版本6)数据包;
在所述目标数据包为ICMPv6数据包的情况下,检测所述目标数据包是否为ICMPv6中的RA类型数据包;
在所述目标数据包为RA类型数据包的情况下,检测所述目标数据包是否为RA 134类型数据包;
在所述目标数据包为RA 134类型数据包的情况下,对所述目标数据包进行存储,以用于后续检测。
可选地,所述预设数量为50,每组所述滑动窗口包括50个的RA类型数据包。
可选地,计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值,具体为:
通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
其中,所述第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
可选地,计算所述第N组滑动窗口的自适应阈值,具体为:
通过公式2和公式3计算所述第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
第二方面,本申请实施例提供了一种基于地址熵自适应阈值检测IPv6网络攻击的装置,包括:
捕获模块,用于通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
过滤模块,用于对所述潜在数据集进行过滤,从所述潜在数据集中过滤出IPv6的RA类型数据包;
分组模块,用于将所述RA类型数据包分组成为多组滑动窗口,其中,每组所述滑动窗口包括预设数量的RA类型数据包;
第一计算模块,用于计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
第二计算模块,用于计算所述第N组滑动窗口的自适应阈值;
确定模块,用于在所述第N组滑动窗口的熵值大于所述第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
警告模块,用于在连续三组滑动窗口处于所述异常状态的情况下,发出警告;
解除警告模块,用于将所述自适应阈值调整为保持恒定的固定阈值,直至所述熵值低于所述固定阈值,解除所述警告;
其中,N为大于或者等于3的正整数。
可选地,所述潜在数据集包括多个数据包,所述过滤模块具体包括:
第一检测子模块,用于检测目标数据包是否为IPv6数据包;
第二检测子模块,用于在所述目标数据包为IPv6数据包的情况下,检测所述目标数据包是否为ICMPv6数据包;
第三检测子模块,用于在所述目标数据包为ICMPv6数据包的情况下,检测所述目标数据包是否为ICMPv6中的RA类型数据包;
第四检测子模块,用于在所述目标数据包为RA类型数据包的情况下,检测所述目标数据包是否为RA 134类型数据包;
存储子模块,用于在所述目标数据包为RA 134类型数据包的情况下,对所述目标数据包进行存储,以用于后续检测。
可选地,所述预设数量为50,每组所述滑动窗口包括50个的RA类型数据包。
可选地,所述第一计算模块具体用于:通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
其中,所述第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
可选地,所述第二计算模块具体用于:通过公式2和公式3计算所述第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
在本申请实施例中,从来自IPv6网络的数据包中过滤出RA类型数据包,将RA类型数据包分组后分别计算熵值与自适应阈值,通过熵值与自适应阈值的比较能够快速准确地判断是否受到DoS攻击,在确定受到DoS攻击时及时发出警告直至网络恢复正常,以避免受到DoS攻击时大量的带宽消耗而导致的网络拥塞。
附图说明
图1是本申请实施例提供的一种基于地址熵自适应阈值检测IPv6网络攻击的方法的流程示意图;
图2是本申请实施例提供的一种RA类型数据包过滤方法的流程示意图;
图3是本申请实施例提供的一种基于地址熵自适应阈值检测IPv6网络攻击的装置的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例、参照附图做进一步说明。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象,而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施,且“第一”、“第二”等所区分的对象通常为一类,并不限定对象的个数,例如第一对象可以是一个,也可以是多个。
下面结合附图,通过具体的实施例及其应用场景对本申请实施例提供的基于地址熵自适应阈值检测IPv6网络攻击的方法进行详细地说明。
实施例一
参照图1,示出了本申请实施例提供的一种基于地址熵自适应阈值检测IPv6网络攻击的方法的流程示意图。
本申请提供的一种基于地址熵自适应阈值检测IPv6网络攻击的方法,包括:
S101:通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集。
需要说明的是,此时的潜在数据集包括多种多样的数据包,其中可能还会存在有不需要或者不相关的数据包。
S102:对潜在数据集进行过滤,从潜在数据集中过滤出IPv6的RA类型数据包。
通过对数据集进行过滤,可以排除样本中不相关和不需要的数据包的干扰,减少相关数据包的数量,从而提高检测的效率。
需要说明的是,本申请实施例通过对于IPv6的RA这一特定类型数据包进行分析可以确定是否受到网络攻击,因此本步骤仅过滤出IPv6的RA类型数据包以供后续检测。
可选地,S102可以由以下S201至S205完成。
参照图2,示出了本申请实施例提供的一种RA类型数据包过滤方法的流程示意图。
S201:检测目标数据包是否为IPv6数据包。
S202:在目标数据包为IPv6数据包的情况下,检测目标数据包是否为ICMPv6(Internet Control Message Protocol Version 6,互联网控制消息协议版本6)数据包。
S203:在目标数据包为ICMPv6数据包的情况下,检测目标数据包是否为ICMPv6中的RA类型数据包。
S204:在目标数据包为RA类型数据包的情况下,检测目标数据包是否为RA 134类型数据包。
S205:在目标数据包为RA 134类型数据包的情况下,对目标数据包进行存储,以用于后续检测。
应当理解的是,通过对于RA 134这一类型数据包进行分析可以确定是否受到网络攻击,IPv6数据包、ICMPv6数据包、RA类型数据包与RA 134类型数据包是逐级包含的关系,也就是说,IPv6数据包包括ICMPv6数据包,ICMPv6数据包包括RA类型数据包,RA类型数据包包括RA 134类型数据包。
S103:将RA类型数据包分组成为多组滑动窗口。
其中,每组滑动窗口包括预设数量的RA类型数据包。
其中,本领域技术人员可以根据实际需要调整预设数量的大小,本实施例不对具体的数量进行限制。
可选地,每组滑动窗口包括预设时长的RA类型数据包。也就是说,可以基于时间长度或者数据包个数来定义滑动窗口的大小。
可选地,预设数量为50,每组滑动窗口包括50个的RA类型数据包。将预设数量设置为50个,可以实现样本数据集的有效性与检测时间的平衡。由于50个数据包组成一组滑动窗口,相较于成百上千个数据包可以快速的进行计算,同时50个数据包在统计学上也能保证检测的准确性,这样可以更早、更准确地检测到是否受到网络攻击。
S104:计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值。
需要说明的是,一个数据集的熵值可以衡量其包括的数据包的随机性,一个数据集中数据的随机性越高,熵值就越高,反之亦然,进而可以通过熵值判断数据集是否异常。
在实际环境中,较为常见的网络攻击为RA DoS攻击。路由器通过RA消息交换的方式与位于同一网段的主机共享信息。RA消息包含主机可以使用的网络前缀和路由信息等。默认情况下,IPv6链路本地网络中的主机不对IPv6 RA消息的入口或出口进行身份验证。在此基础上,恶意路由器有可能欺骗和模仿链路本地默认网关,然后发送伪装的消息或大量数据包以制造网络拥塞。黑客可能用精心设计的地址前缀信息和默认路由信息冲击网络。由于SLAAC默认是启用的,因此,泛滥的虚假数据包将迫使受害者不断更新其网络信息。这种情况将导致受害者耗尽其CPU资源,直到系统最终变得没有响应。
RA DOS攻击可分为三种类型:缺省攻击、利用IPv6扩展报头的攻击以及涉及将数据包分段为更小的片段的攻击。由于各种RA DOS攻击属于现有技术,此处不再赘述。
可以预见的是,当受到网络攻击时,源IP地址的熵值会增加,因为攻击者总是会在每次数据包传输时掩盖其源IP地址,因此,不断变化的源IP地址是发生网络攻击的有力证据。
在本申请实施例中,通过计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值,可以判断出源IP地址是否异常。
同时,熵值的计算较为简单,所需成本低。
可选地,通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
其中,第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
例如,在50个数据包中,x地址出现了20次,x地址对应的px为0.4,y地址出现了10次,y地址对应的py为0.2。
其中,N为大于或者等于3的正整数。将N限制为大于或者等于3的正整数是因为,为了保证检测结果的准确性,需要连续3次检测异常才会最终判定受到网络攻击。
S105:计算第N组滑动窗口的自适应阈值。
在本申请实施例中,为了获得更加准确的检测结果,阈值应当根据网络流量情况即传输的数据包的数量进行自适应调整。
可选地,通过公式2和公式3计算第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
阈值计算公式根据最近计算的平均值来计算和设置自适应阈值,可以保证阈值的可靠性。
S106:在第N组滑动窗口的熵值大于第N组滑动窗口的自适应阈值的情况下,确定处于异常状态。
可以理解的是,一旦一组滑动窗口中数据集的熵值大于自适应阈值,意味着数据集的随机性超出正常状态,此时的系统处于异常状态。
S107:在连续三组滑动窗口处于异常状态的情况下,发出警告。
可选地,以语音、文字、弹窗等形式进行警告。
通过连续三次的设定,可以避免误判,进一步提高检测的准确性。
S108:将自适应阈值调整为保持恒定的固定阈值,直至熵值低于固定阈值,解除警告。
在发出警告之后需要将自适应阈值调整为保持恒定的固定阈值,保持平稳,直至解除。
本申请实施例,提供了一种实施上述方法的具体算法,如下:
Count=0
Alarm=False
for每个滑动窗口:
计算RA数据包的源IP地址的平均熵Entropy
根据平均熵值计算本窗口期阈值
If Alarm==False then
更新Threshold
end if
If Entropy>=Threshold then
Count=Count+1
else
Count=0
Alarm==False
end if
If Count>=3then
Alarm==True
end if
在本申请实施例中,从来自IPv6网络的数据包中过滤出RA类型数据包,将RA类型数据包分组后分别计算熵值与自适应阈值,通过熵值与自适应阈值的比较能够快速准确地判断是否受到DoS攻击,在确定受到DoS攻击时及时发出警告直至网络恢复正常,以避免受到DoS攻击时大量的带宽消耗而导致的网络拥塞。
实施例二
参照图3,示出了本申请实施例提供的一种基于地址熵自适应阈值检测IPv6网络攻击的装置30的结构示意图。
装置30,包括:
捕获模块301,用于通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
过滤模块302,用于对潜在数据集进行过滤,从潜在数据集中过滤出IPv6的RA类型数据包;
分组模块303,用于将RA类型数据包分组成为多组滑动窗口,其中,每组滑动窗口包括预设数量的RA类型数据包;
第一计算模块304,用于计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
第二计算模块305,用于计算第N组滑动窗口的自适应阈值;
确定模块306,用于在第N组滑动窗口的熵值大于第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
警告模块307,用于在连续三组滑动窗口处于异常状态的情况下,发出警告;
解除警告模块308,用于将自适应阈值调整为保持恒定的固定阈值,直至熵值低于固定阈值,解除警告;
其中,N为大于或者等于3的正整数。
可选地,潜在数据集包括多个数据包,过滤模块302具体包括:
第一检测子模块3021,用于检测目标数据包是否为IPv6数据包;
第二检测子模块3022,用于在目标数据包为IPv6数据包的情况下,检测目标数据包是否为ICMPv6数据包;
第三检测子模块3023,用于在目标数据包为ICMPv6数据包的情况下,检测目标数据包是否为ICMPv6中的RA类型数据包;
第四检测子模块3024,用于在目标数据包为RA类型数据包的情况下,检测目标数据包是否为RA 134类型数据包;
存储子模块3025,用于在目标数据包为RA 134类型数据包的情况下,对目标数据包进行存储,以用于后续检测。
可选地,预设数量为50,每组滑动窗口包括50个的RA类型数据包。
可选地,第一计算模块304具体用于:通过公式1计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
其中,第N组滑动窗口中包括n个RA类型数据包,pi为某一源IP地址出现的概率。
可选地,第二计算模块305具体用于:通过公式2和公式3计算第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
本申请实施例提供的装置30能够实现上述方法实施例中实现的各个过程,为避免重复,这里不再赘述。
在本申请实施例中,从来自IPv6网络的数据包中过滤出RA类型数据包,将RA类型数据包分组后分别计算熵值与自适应阈值,通过熵值与自适应阈值的比较能够快速准确地判断是否受到DoS攻击,在确定受到DoS攻击时及时发出警告直至网络恢复正常,以避免受到DoS攻击时大量的带宽消耗而导致的网络拥塞。
本申请实施例中的虚拟装置可以是装置,也可以是终端中的部件、集成电路、或芯片。
以上所述仅为本发明的实施例而已,并不用于限制本发明。对于本领域技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的权利要求范围之内。
Claims (10)
1.一种基于地址熵自适应阈值检测IPv6网络攻击的方法,其特征在于,包括:
通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
对所述潜在数据集进行过滤,从所述潜在数据集中过滤出IPv6的路由器宣告RA类型数据包;
将所述RA类型数据包分组成为多组滑动窗口,其中,每组所述滑动窗口包括预设数量的RA类型数据包;
计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
计算所述第N组滑动窗口的自适应阈值;
在所述第N组滑动窗口的熵值大于所述第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
在连续三组滑动窗口处于所述异常状态的情况下,发出警告;
将所述自适应阈值调整为保持恒定的固定阈值,直至所述熵值低于所述固定阈值,解除所述警告;
其中,N为大于或者等于3的正整数。
2.根据权利要求1所述的方法,其特征在于,所述潜在数据集包括多个数据包,从所述潜在数据集中过滤出IPv6的RA类型数据包,具体包括:
检测目标数据包是否为IPv6数据包;
在所述目标数据包为IPv6数据包的情况下,检测所述目标数据包是否为互联网控制消息协议版本6ICMPv6数据包;
在所述目标数据包为ICMPv6数据包的情况下,检测所述目标数据包是否为ICMPv6中的RA类型数据包;
在所述目标数据包为RA类型数据包的情况下,检测所述目标数据包是否为RA 134类型数据包;
在所述目标数据包为RA134类型数据包的情况下,对所述目标数据包进行存储,以用于后续检测。
3.根据权利要求1所述的方法,其特征在于,所述预设数量为50,每组所述滑动窗口包括50个的RA类型数据包。
5.根据权利要求1所述的方法,其特征在于,计算所述第N组滑动窗口的自适应阈值,具体为:
通过公式2和公式3计算所述第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
6.一种基于地址熵自适应阈值检测IPv6网络攻击的装置,其特征在于,包括:
捕获模块,用于通过流量捕获引擎捕获来自网络的数据包,并存储为潜在数据集;
过滤模块,用于对所述潜在数据集进行过滤,从所述潜在数据集中过滤出IPv6的RA类型数据包;
分组模块,用于将所述RA类型数据包分组成为多组滑动窗口,其中,每组所述滑动窗口包括预设数量的RA类型数据包;
第一计算模块,用于计算第N组滑动窗口所包括的RA类型数据包的源IP地址的熵值;
第二计算模块,用于计算所述第N组滑动窗口的自适应阈值;
确定模块,用于在所述第N组滑动窗口的熵值大于所述第N组滑动窗口的自适应阈值的情况下,确定处于异常状态;
警告模块,用于在连续三组滑动窗口处于所述异常状态的情况下,发出警告;
解除警告模块,用于将所述自适应阈值调整为保持恒定的固定阈值,直至所述熵值低于所述固定阈值,解除所述警告;
其中,N为大于或者等于3的正整数。
7.根据权利要求6所述的装置,其特征在于,所述潜在数据集包括多个数据包,所述过滤模块具体包括:
第一检测子模块,用于检测目标数据包是否为IPv6数据包;
第二检测子模块,用于在所述目标数据包为IPv6数据包的情况下,检测所述目标数据包是否为ICMPv6数据包;
第三检测子模块,用于在所述目标数据包为ICMPv6数据包的情况下,检测所述目标数据包是否为ICMPv6中的RA类型数据包;
第四检测子模块,用于在所述目标数据包为RA类型数据包的情况下,检测所述目标数据包是否为RA 134类型数据包;
存储子模块,用于在所述目标数据包为RA 134类型数据包的情况下,对所述目标数据包进行存储,以用于后续检测。
8.根据权利要求6所述的装置,其特征在于,所述预设数量为50,每组所述滑动窗口包括50个的RA类型数据包。
10.根据权利要求6所述的装置,其特征在于,所述第二计算模块具体用于:通过公式2和公式3计算所述第N组滑动窗口的自适应阈值;
Xn=(α+1)·μn-1 公式2
μn=λ·μn-1+(1-λ)·Xn 公式3
其中,Xn为第N组滑动窗口的自适应阈值,μn-1为根据前n-1次的熵值测量值计算的平均熵值,α为高于平均熵值的百分比参数,λ为加权移动平均计算因子。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210633386.4A CN114938308B (zh) | 2022-06-06 | 2022-06-06 | 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210633386.4A CN114938308B (zh) | 2022-06-06 | 2022-06-06 | 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114938308A true CN114938308A (zh) | 2022-08-23 |
CN114938308B CN114938308B (zh) | 2023-01-13 |
Family
ID=82866063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210633386.4A Active CN114938308B (zh) | 2022-06-06 | 2022-06-06 | 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114938308B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11888648B1 (en) * | 2022-09-29 | 2024-01-30 | Amazon Technologies, Inc. | Software-enabled access point (SoftAP) based bridging of devices in two wireless networks |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
US20170264600A1 (en) * | 2016-03-08 | 2017-09-14 | Qualcomm Incorporated | System, apparatus and method for generating dynamic ipv6 addresses for secure authentication |
US20200322224A1 (en) * | 2019-04-05 | 2020-10-08 | Cisco Technology, Inc. | Establishing trust relationships of ipv6 neighbors using attestation-based methods in ipv6 neighbor discovery |
CN114006858A (zh) * | 2020-07-13 | 2022-02-01 | 中国移动通信有限公司研究院 | IPv6信息的发现方法、装置、网络节点及存储介质 |
CN114024933A (zh) * | 2020-07-17 | 2022-02-08 | 中国移动通信有限公司研究院 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
-
2022
- 2022-06-06 CN CN202210633386.4A patent/CN114938308B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170264600A1 (en) * | 2016-03-08 | 2017-09-14 | Qualcomm Incorporated | System, apparatus and method for generating dynamic ipv6 addresses for secure authentication |
CN106357673A (zh) * | 2016-10-19 | 2017-01-25 | 中国科学院信息工程研究所 | 一种多租户云计算系统DDoS攻击检测方法及系统 |
US20200322224A1 (en) * | 2019-04-05 | 2020-10-08 | Cisco Technology, Inc. | Establishing trust relationships of ipv6 neighbors using attestation-based methods in ipv6 neighbor discovery |
CN114006858A (zh) * | 2020-07-13 | 2022-02-01 | 中国移动通信有限公司研究院 | IPv6信息的发现方法、装置、网络节点及存储介质 |
CN114024933A (zh) * | 2020-07-17 | 2022-02-08 | 中国移动通信有限公司研究院 | 一种地址保护方法、装置、网络设备和计算机存储介质 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11888648B1 (en) * | 2022-09-29 | 2024-01-30 | Amazon Technologies, Inc. | Software-enabled access point (SoftAP) based bridging of devices in two wireless networks |
Also Published As
Publication number | Publication date |
---|---|
CN114938308B (zh) | 2023-01-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8201252B2 (en) | Methods and devices for providing distributed, adaptive IP filtering against distributed denial of service attacks | |
Abdelsayed et al. | An efficient filter for denial-of-service bandwidth attacks | |
CN107710680B (zh) | 网络攻击防御策略发送、网络攻击防御的方法和装置 | |
KR102016461B1 (ko) | SDN 기반의 Slow HTTP DDoS 공격의 방어 시스템 및 그 방법 | |
EP2549694B1 (en) | Method and data communication device for building a flow forwarding table item | |
CN112055956B (zh) | 用于网络安全性的装置和方法 | |
CN106534068B (zh) | 一种ddos防御系统中清洗伪造源ip的方法和装置 | |
CN112134894A (zh) | 一种DDoS攻击的移动目标防御方法 | |
US11153342B2 (en) | Method and system for providing ddos protection by detecting changes in a preferred set of hierarchically structured items in stream data | |
Shah et al. | Hybridizing entropy based mechanism with adaptive threshold algorithm to detect RA flooding attack in IPv6 networks | |
CN106487790B (zh) | 一种ack flood攻击的清洗方法及系统 | |
Cai et al. | ADAM: an adaptive DDoS attack mitigation scheme in software-defined cyber-physical system | |
CN114938308B (zh) | 基于地址熵自适应阈值检测IPv6网络攻击的方法及装置 | |
US20110197282A1 (en) | Method and apparatus for detecting scans in real-time | |
Mopari et al. | Detection and defense against DDoS attack with IP spoofing | |
Noh et al. | Protection against flow table overflow attack in software defined networks | |
WO2009064114A2 (en) | Protection method and system for distributed denial of service attack | |
Yi et al. | Source-based filtering scheme against DDOS attacks | |
Satrya et al. | The detection of DDOS flooding attack using hybrid analysis in IPv6 networks | |
Nashat et al. | Detecting syn flooding agents under any type of ip spoofing | |
US8281400B1 (en) | Systems and methods for identifying sources of network attacks | |
WO2019159989A1 (ja) | 監視システム、監視方法及び監視プログラム | |
Bahashwan et al. | Propose a flow-based approach for detecting abnormal behavior in neighbor discovery protocol (NDP) | |
EP2109281A1 (en) | Method and system for server-load and bandwidth dependent mitigation of distributed denial of service attacks | |
Yim et al. | Probabilistic route selection algorithm to trace DDoS attack traffic source |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |