CN116599780A - 一种IPv6网络数据流监测技术的分析与测试方法 - Google Patents
一种IPv6网络数据流监测技术的分析与测试方法 Download PDFInfo
- Publication number
- CN116599780A CN116599780A CN202310887396.5A CN202310887396A CN116599780A CN 116599780 A CN116599780 A CN 116599780A CN 202310887396 A CN202310887396 A CN 202310887396A CN 116599780 A CN116599780 A CN 116599780A
- Authority
- CN
- China
- Prior art keywords
- data
- ipv6
- protocol
- network data
- text
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 71
- 238000012544 monitoring process Methods 0.000 title claims abstract description 25
- 238000005516 engineering process Methods 0.000 title claims abstract description 20
- 238000010998 test method Methods 0.000 title claims abstract description 12
- 238000012360 testing method Methods 0.000 claims abstract description 26
- 238000004891 communication Methods 0.000 claims abstract description 23
- 238000013100 final test Methods 0.000 claims abstract description 8
- 238000000034 method Methods 0.000 claims description 65
- 230000008569 process Effects 0.000 claims description 43
- 239000013598 vector Substances 0.000 claims description 22
- 239000002245 particle Substances 0.000 claims description 15
- 230000004044 response Effects 0.000 claims description 14
- 230000000007 visual effect Effects 0.000 claims description 9
- 230000011218 segmentation Effects 0.000 claims description 8
- 238000013528 artificial neural network Methods 0.000 claims description 7
- 244000035744 Hura crepitans Species 0.000 claims description 6
- 238000003491 array Methods 0.000 claims description 6
- 238000007781 pre-processing Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 238000004138 cluster model Methods 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 230000002085 persistent effect Effects 0.000 abstract description 5
- 238000003709 image segmentation Methods 0.000 description 2
- 230000002688 persistence Effects 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 235000012907 honey Nutrition 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/30—Semantic analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V10/00—Arrangements for image or video recognition or understanding
- G06V10/70—Arrangements for image or video recognition or understanding using pattern recognition or machine learning
- G06V10/762—Arrangements for image or video recognition or understanding using pattern recognition or machine learning using clustering, e.g. of similar faces in social networks
- G06V10/7625—Hierarchical techniques, i.e. dividing or merging patterns to obtain a tree-like representation; Dendograms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Artificial Intelligence (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种IPv6网络数据流监测技术的分析与测试方法,运用于网络安全技术领域,其方法包括:抓取连续的IPv6网络数据包,对IPv6网络数据包进行拆解得到IPv6载荷数据,判断IPv6载荷数据的完整性;根据组合成完整IPv6载荷数据的IPv6网络数据包的协议类型得到协议树,并分析所述协议树的协议合理性;对IPv6载荷数据的安全性进行分析得到内容分析结果;将所述IPv6载荷数据与所述协议树还原为完整的数据包,发送到IPv6网络数据包的源IP地址进行最终测试;通过将数据包还原并分析协议、发送至源IP地址进行测试防范了针对IPv6网络通信的高级持续性威胁,通过对数据包内容进行分析,保护了网络环境。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种IPv6网络数据流监测技术的分析与测试方法。
背景技术
用户端和服务端将网络从IPv4升级到IPv6的过程中,网络中的数据混杂,同一条线路上同一时间发送或接收的IPv6网络数据包采用了不同的协议;在这种混乱的机制下,一些黑客可以通过伪装的数据包进行网络攻击,窃取其他用户的信息或者窃取服务器中用户的数据,众多网络攻击中一种叫做高级持续性威胁的最具有威胁性,它使网络威胁从散兵游勇式的随机攻击变成有目的、有组织、有预谋的群体式攻击,因此为了保护网络安全,需要对网络流量进行分析,检测网络行为是否包含高级持续性威胁攻击。
发明专利公开号为CN103401863B公开了一种基于云安全的网络数据流分析方法和装置,通过以下方案实现对高级持续性威胁的监测和防范:对抓取的数据包进行组包处理,还原成消息;确定还原成的消息所对应的网络协议;网络协议类型包括如下中的一种或多种:POP3协议、FTP协议、HTTP协议、简单邮件传输协议SMTP协议、域名系统DNS协议;根据还原成的消息所对应的网络协议,对该还原成的消息进行分析处理,包括:从还原成的消息中提取文件,对所提取文件进行分析;其中,所述对所提取的文件进行分析包括以下几种方式中的至少一种:将提取出的文件发送到云安全服务器进行查询;对提取出的文件进行静态安全扫描;提取出的文件导入云安全服务器的蜜罐中进行分析。
但该现有技术不适配IPv6网络数据包,采用IPv6通信的终端仍然面临高级持续性威胁的网络攻击,同时一些网络数据虽然不涉及网络攻击,但其内容可能不宜传播。
为此,本发明提出一种IPv6网络数据流监测技术的分析与测试方法。
发明内容
本发明的目的是提供一种IPv6网络数据流监测技术的分析与测试方法,旨在解决采用IPv6通信的终端仍然面临高级持续性威胁的网络攻击,同时一些网络数据虽然不涉及网络攻击,但其内容可能造成通信不安全的问题。
为实现上述目的,本发明提供如下技术方案:
本发明提供一种IPv6网络数据流监测技术的分析与测试方法,包括:
S1:抓取连续的IPv6网络数据包,对IPv6网络数据包进行拆解得到IPv6载荷数据,判断IPv6载荷数据的完整性,若IPv6载荷数据不完整,则从相邻的IPv6网络数据包中获取所缺IPv6载荷数据;
S2:根据组合成完整IPv6载荷数据的IPv6网络数据包的协议类型得到协议树,并分析所述协议树的协议合理性,所述协议树包括IPv6网络数据包的5层通信协议数据;
S3:对IPv6载荷数据的安全性进行分析得到内容分析结果;
S4:将所述IPv6载荷数据与所述协议树还原为完整的数据包,发送到IPv6网络数据包的源IP地址进行最终测试。
进一步的,在S1中,所述抓取连续的IPv6网络数据包的过程包括:
创建中间人进程;
获取到CA证书,将中间人进程设为完全信任;
将网络数据流导向中间人进程;
中间人进程代理通信双方,在通信线路中抓取通信双方的数据包。
进一步的,在S1中,所述对IPv6网络数据包进行拆解得到IPv6载荷数据,判断IPv6载荷数据的完整性,若IPv6载荷数据不完整,则从相邻的IPv6网络数据包中获取所缺IPv6载荷数据的过程包括:
将IPv6网络数据包的应用层协议字段、传输层协议字段、网络层协议字段、数据链路层协议字段、物理层协议字段按照从上层到下层的顺序剥离得到IPv6载荷数据和各个协议字段,并将各个协议字段按照顺序存入协议数组中;
将IPv6载荷数据转化为原始荷载数据,将原始荷载数据输入到NLP神经网络中进行完整性识别;
若所述完整性识别的结果为不完整,则将相邻的IPv6网络数据包进行上述过程,将IPv6载荷数据进行排列组合后输入NLP神经网络中进行完整性识别,直到识别结果为完整。
进一步的,在S2中,包括:
遍历所述协议数组得到单个IPv6网络数据包的5层通信协议,将验证结果为完整的IPv6载荷数据的所有源IPv6网络数据包的协议数组进行遍历,得到一个完整IPv6载荷数据对应的协议树,所述协议树为一个包括多个协议数组的二维数组;
对所述协议树中的每一层进行合理性判断;
所述合理性判断的过程为:按照下标的顺序获取到第二维所有相同下标的协议字段,若所述协议字段类型一致,且源地址和目标地址相同,则判断该层的协议合理,否则判断该层的协议不合理;
若每一层的协议被判断为合理,则判断整个协议树合理。
进一步的,在S3:对IPv6载荷数据的安全性进行分析得到内容分析结果的步骤中,包括:
将所述IPv6载荷数据逆编码得到原始载荷数据;
将所述原始荷载数据根据数据格式进行分割得到视频数据、图像数据、音频数据、文本数据;
分析文本数据的过程包括:
创建一个独立运行环境,为独立运行环境开启沙箱模式;
将文本数据在独立运行环境中解析,监测是否有其他代码执行,若有,则判定所述IPv6载荷数据不具有安全性,并将对应的网络数据包丢弃,若无,则对文本内容进行文本安全性分析得到第一分析结果;
对所述视频数据、图像数据进行视觉安全性分析得到第二分析结果;
将音频数据转译为文本数据再进行文本安全性分析得到第三分析结果。
若所述第一分析结果、所述第二分析结果、所述第三分析结果中任一个不具有安全性,则将所述IPv6载荷数据对应的网络数据包丢弃,否则,对网络数据包进行最终测试。
进一步的,所述对文本内容进行文本安全性分析的过程包括:
对文本进行预处理,预处理包括:对文本分词,对文本进行特征提取得到文本特征向量,对特征向量输入到预训练的K-Means聚类模型中进行语义识别,识别的过程包括:
将所述分词后的文本进行特征标准化和降维,得到特征向量,公式为;
X=;
X是所述特征向量的集合;
选取初始质点,计算初始质点与所有特征向量之间的欧式距离,将距离最近的特征向量放入一个类簇,公式为:
;
是一个类簇;
不断调整质点,重复上述过程,直到所有特征向量与质点的欧式距离相等,则聚类完成,公式为:
;
是一个聚类的中心,1≤L≤/>,/>是第L个类簇,/>是第L个类簇中第i个对象;
将与文本内容最相似的类簇判定为文本语义,将文本语义与语义库对比得到第一分析结果。
进一步的,在对所述视频数据、图像数据进行视觉安全性分析得到第二分析结果步骤中,包括:
所述视觉安全性分析包括:
获取视频的图像帧,提取图像帧的像素值与像素坐标;
对图像进行分割得到不同的像素区域;
对所述像素区域进行图像识别得到识别结果,当任一识别结果表示所述像素区域不具有安全性,则判定所述视频数据、图像数据不具有安全性,否则判定所述视频数据、图像数据具有安全性,将最终判定结果作为第二分析结果;
所述分割的方式为:将像素值差值在预设范围内的相邻像素对应的坐标相连接。
进一步的,在所述分割的方式为:将像素值差值在预设范围内的相邻像素对应的坐标相连接的步骤中,包括:
计算坐标是否相连接的公式可表示为:
,
其中,R是单位像素的红色值,G是单位像素的绿色值,B是单位像素的蓝色值,下标用于区分不同单位的像素,X是预设值,若公式成立,则判定两个单位像素对应的区域进行连接,否则,判定两个单位像素属于不同区域。
进一步的,在S4中,包括:
从网络层在协议树中对应位置获取到网络数据包的源IP地址;
将步骤S1得到的载荷数据和步骤S2得到的协议树复原为一个完整数据包;
将完整数据包重新分为不同大小的数据段,并对数据段标号;
创建一个查询请求,查询内容为是否包含指定的数据;
将所述查询请求数据段发送到源IP地址指向的终端,根据响应信息得出测试结果,若响应信息表示所述终端中包含对应的数据,则判定测试结果为数据包正常,否则,判定测试结果为数据包异常。
本发明提供了一种IPv6网络数据流监测技术的分析与测试方法,具有以下有益效果:
(1)通过抓取网络数据包,还原成原始荷载数据包,解析网络数据包的5层协议得到一个协议树,对协议树的每一层协议进行一致性判断,测试出网络数据包中是否有恶意数据包,再将原始网络数据包发送至源IP地址进行测试,检查原始荷载数据包的安全性以及是否真的由源IP地址的终端发送,确保了网络数据包的真实性,达到了防护高级持续性威胁的效果;
(2)通过对网络数据包中的载荷数据进行分析,将文本数据在沙箱环境中试运行测试出是否有其他代码,若有将数据包丢弃,再对文本内容进行语义分析,测试文本的语义是否具有安全性,将音频数据转换成文字再作相同的语义分析判断是否具有安全性,对视频数据和图像数据进行图像分割,将分割后的像素区域进行图像识别,根据识别结果判断视频数据和图像数据的安全性,从而分析出网络数据包的安全性,保护了网路环境与社会环境。
附图说明
图1为本发明一实施例的IPv6网络数据流监测技术的分析与测试方法的流程示意图;
本发明为目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1,为本发明提出的IPv6网络数据流监测技术的分析与测试方法的流程示意图;
本发明所提供的IPv6网络数据流监测技术的分析与测试方法,步骤包括:
S1:抓取连续的IPv6网络数据包,对IPv6网络数据包进行拆解得到IPv6载荷数据,判断IPv6载荷数据的完整性,若IPv6载荷数据不完整,则从相邻的IPv6网络数据包中获取所缺IPv6载荷数据;
S2:根据组合成完整IPv6载荷数据的IPv6网络数据包的协议类型得到协议树,并分析所述协议树的协议合理性,所述协议树包括IPv6网络数据包的5层通信协议数据;
S3:对IPv6载荷数据的安全性进行分析得到内容分析结果;
S4:将所述IPv6载荷数据与所述协议树还原为完整的数据包,发送到IPv6网络数据包的源IP地址进行最终测试。
在一个实施例中,对客户端与服务端通信中的网络数据包进行分析与测试,在通信双方的网络线路创建一个抓包程序,对客户端或服务端发送的网络数据包进行抓取,网络数据包从应用层下发后,常常由于内容太大无法一次发送全部,会将其分割为多个数据段,再封装上传输层协议、网络层协议、数据链路层协议、物理层协议成为小的数据包,抓取数据包后,对数据包的各层协议进行检查,组成同一个完整数据包的各个小数据包的协议应当是相同的,通过协议检车可以检测出混在其中的伪装数据包;接着对数据中的载荷数据分析,载荷数据包括多种形式,是通信双方要收发的真实内容,可以为空,网络攻击常常通过在数据包中嵌入其他代码,等接收者收到数据包后对数据包解析完成时,其他代码会立即执行对接收者造成入侵,通过先将文本类型的载荷数据放入沙箱环境,测试是否有其他代码,防止了接收者被数据包中的其他代码入侵;当载荷数据不含其他代码,只是其他形式的内容,则对载荷数据的内容进行分析,音频类型的转为文本类型,文本类型的直接进行分词、提取特征向量、分类、语义分析,分析其安全性;视频数据和图像和数据则先进行图像分割,对分割结果进行图像识别,识别其安全性,当任一步骤安全性识别的结果为不安全,即将该数据包丢弃,防止未来的接收者收到不良影响;若通过了这一系列安全性测试,则将数据包发送至源IP地址进行最终测试,测试内容为,询问发送者该数据包是否由其所发,若是,则数据包安全,否则,将数据包丢弃。
在S1中,所述抓取连续的IPv6网络数据包的过程包括:
创建中间人进程;
获取到CA证书,将中间人进程设为完全信任;
将网络数据流导向中间人进程;
中间人进程代理通信双方,在通信线路中抓取通信双方的数据包。
在具体实施时,中间人进程即为一个抓包程序,通过对通信双方的代理以从中间抓取网络数据包。
在S1中,所述对IPv6网络数据包进行拆解得到IPv6载荷数据,判断IPv6载荷数据的完整性,若IPv6载荷数据不完整,则从相邻的IPv6网络数据包中获取所缺IPv6载荷数据的过程包括:
将IPv6网络数据包的应用层协议字段、传输层协议字段、网络层协议字段、数据链路层协议字段、物理层协议字段按照从上层到下层的顺序剥离得到IPv6载荷数据和各个协议字段,并将各个协议字段按照顺序存入协议数组中;
将IPv6载荷数据转化为原始荷载数据,将原始荷载数据输入到NLP神经网络中进行完整性识别;
若所述完整性识别的结果为不完整,则将相邻的IPv6网络数据包进行上述过程,将IPv6载荷数据进行排列组合后输入NLP神经网络中进行完整性识别,直到识别结果为完整。
在具体实施时,判断数据包完整性的方法为:将载荷数据输入神经网络,若识别为非正常结果,则判定该数据包为不完整的部分数据包,分割后的数据段中的载荷数据在分割时原始载荷数据中对应的位数,若前后数据包的尾首的位数相邻,则它们属于同一个原始荷载数据包。
在S2中,包括:
遍历所述协议数组得到单个IPv6网络数据包的5层通信协议,将验证结果为完整的IPv6载荷数据的所有源IPv6网络数据包的协议数组进行遍历,得到一个完整IPv6载荷数据对应的协议树,所述协议树为一个包括多个协议数组的二维数组;
对所述协议树中的每一层进行合理性判断;
所述合理性判断的过程为:按照下标的顺序获取到第二维所有相同下标的协议字段,若所述协议字段类型一致,且源地址和目标地址相同,则判断该层的协议合理,否则判断该层的协议不合理;
若每一层的协议被判断为合理,则判断整个协议树合理。
在具体实施时,协议树为一个二维数组,二维数组的每一个元素对应一个数据包的5层协议,结构如下:
;
属于同一个网络数据包的协议应当相同,否则判定为一个混入网络数据流的伪装数据包。
在S3:对IPv6载荷数据的安全性进行分析得到内容分析结果的步骤中,包括:
将所述IPv6载荷数据逆编码得到原始载荷数据;
将所述原始荷载数据根据数据格式进行分割得到视频数据、图像数据、音频数据、文本数据;
分析文本数据的过程包括:
创建一个独立运行环境,为独立运行环境开启沙箱模式;
将文本数据在独立运行环境中解析,监测是否有其他代码执行,若有,则判定所述IPv6载荷数据不具有安全性,并将对应的网络数据包丢弃,若无,则对文本内容进行文本安全性分析得到第一分析结果;
对所述视频数据、图像数据进行视觉安全性分析得到第二分析结果;
将音频数据转译为文本数据再进行文本安全性分析得到第三分析结果。
在具体实施时,沙箱模式的运行环境为一个单独的隔离的环境,该环境内部不会访问到外部的任何资源,其他代码在其中自动执行时,不会对其他环境造成危害,若不含其他代码,再对载荷数据的内容进行分析。
若所述第一分析结果、所述第二分析结果、所述第三分析结果中任一个不具有安全性,则将所述IPv6载荷数据对应的网络数据包丢弃,否则,对网络数据包进行最终测试。
所述对文本内容进行文本安全性分析的过程包括:
对文本进行预处理,预处理包括:对文本分词,对文本进行特征提取得到文本特征向量,对特征向量输入到预训练的K-Means聚类模型中进行语义识别,识别的过程包括:
将所述分词后的文本进行特征标准化和降维,得到特征向量,公式为;
X=;
X是所述特征向量的集合;
选取初始质点,计算初始质点与所有特征向量之间的欧式距离,将距离最近的特征向量放入一个类簇,公式为:
;
是一个类簇;
不断调整质点,重复上述过程,直到所有特征向量与质点的欧式距离相等,则聚类完成,公式为:
;
是一个聚类的中心,1≤L≤/>,/>是第L个类簇,/>是第L个类簇中第i个对象;
将与文本内容最相似的类簇判定为文本语义,将文本语义与语义库对比得到第一分析结果。
在具体实施时,选取的第一聚类中心是一个安全数据内容,所述语义库为包括了安全语义和不安全语义,比对结果即为类簇的安全性分析结果。
在对所述视频数据、图像数据进行视觉安全性分析得到第二分析结果步骤中,包括:
所述视觉安全性分析包括:
获取视频的图像帧,提取图像帧的像素值与像素坐标;
对图像进行分割得到不同的像素区域;
对所述像素区域进行图像识别得到识别结果,当任一识别结果表示所述像素区域不具有安全性,则判定所述视频数据、图像数据不具有安全性,否则判定所述视频数据、图像数据具有安全性,将最终判定结果作为第二分析结果;
所述分割的方式为:将像素值差值在预设范围内的相邻像素对应的坐标相连接。
在具体实施时,在图像或图像帧中,不同的图像内容具有不同的像素值,在计算机中,像素值以RGB的形式表示,像素值相差不大的位置可视为同一种画面内容,通过计算像素值的差值的方差,设定一个预设值作为判定是否为同一种画面内容的范围值,超过所述范围,则差值双方不属于同一种画面内容;对分割后的图像或图像帧中不同的像素区域进行图像识别,根据识别结果判断其安全性。
在所述分割的方式为:将像素值差值在预设范围内的相邻像素对应的坐标相连接的步骤中,包括:
计算坐标是否相连接的公式可表示为:
,
其中,R是单位像素的红色值,G是单位像素的绿色值,B是单位像素的蓝色值,下标用于区分不同单位的像素,X是预设值,若公式成立,则判定两个单位像素对应的区域进行连接,否则,判定两个单位像素属于不同区域。
在具体实施时,判断每一个单位像素与周围的4个单位像素进行像素差值计算,然后平方再相加,与预设的范围进行比较,判断像素差值是否过大。
在S4中,包括:
从网络层在协议树中对应位置获取到网络数据包的源IP地址;
将步骤S1得到的载荷数据和步骤S2得到的协议树复原为一个完整数据包;
将完整数据包重新分为不同大小的数据段,并对数据段标号;
创建一个查询请求,查询内容为是否包含指定的数据;
将所述查询请求数据段发送到源IP地址指向的终端,根据响应信息得出测试结果,若响应信息表示所述终端中包含对应的数据,则判定测试结果为数据包正常,否则,判定测试结果为数据包异常。
在具体实施时,最终测试的步骤需要CA证书的参与,服务器响应查询请求之前检查CA证书判断查询者是否可信任,在本实施例中,查询者为S1步骤创建的中间人进程,源IP地址从网络数据包的网络层协议的源IP字段获取,数据包过大时要重新分割,分割的位置与原始荷载数据包的分割位置不同,因此在所述源IP地址的计算机在发送响应后,中间人进程对通过对响应数据包的响应码判断响应数据的真实性与安全性,最后根据响应内容判断原始荷载数据包是否具有异常。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (10)
1.一种IPv6网络数据流监测技术的分析与测试方法,其特征在于,包括:
S1:抓取连续的IPv6网络数据包,对IPv6网络数据包进行拆解得到IPv6载荷数据,判断IPv6载荷数据的完整性,若IPv6载荷数据不完整,则从相邻的IPv6网络数据包中获取所缺IPv6载荷数据;
S2:根据组合成完整IPv6载荷数据的IPv6网络数据包的协议类型得到协议树,并分析所述协议树的协议合理性,所述协议树包括IPv6网络数据包的5层通信协议数据;
S3:对IPv6载荷数据的安全性进行分析得到内容分析结果;
S4:将所述IPv6载荷数据与所述协议树还原为完整的数据包,发送到IPv6网络数据包的源IP地址进行最终测试。
2.根据权利要求1所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,在S1中,所述抓取连续的IPv6网络数据包的过程包括:
创建中间人进程;
获取到CA证书,将中间人进程设为完全信任;
将网络数据流导向中间人进程;
中间人进程代理通信双方,在通信线路中抓取通信双方的数据包。
3.根据权利要求1所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,在S1中,所述对IPv6网络数据包进行拆解得到IPv6载荷数据,判断IPv6载荷数据的完整性,若IPv6载荷数据不完整,则从相邻的IPv6网络数据包中获取所缺IPv6载荷数据的过程包括:
将IPv6网络数据包的应用层协议字段、传输层协议字段、网络层协议字段、数据链路层协议字段、物理层协议字段按照从上层到下层的顺序剥离得到IPv6载荷数据和各个协议字段,并将各个协议字段按照顺序存入协议数组中;
将IPv6载荷数据转化为原始荷载数据,将原始荷载数据输入到NLP神经网络中进行完整性识别;
若所述完整性识别的结果为不完整,则将相邻的IPv6网络数据包进行上述过程,将IPv6载荷数据进行排列组合后输入NLP神经网络中进行完整性识别,直到识别结果为完整。
4.根据权利要求3所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,在S2中,包括:
遍历所述协议数组得到单个IPv6网络数据包的5层通信协议,将验证结果为完整的IPv6载荷数据的所有源IPv6网络数据包的协议数组进行遍历,得到一个完整IPv6载荷数据对应的协议树,所述协议树为一个包括多个协议数组的二维数组;
对所述协议树中的每一层进行合理性判断;
所述合理性判断的过程为:按照下标的顺序获取到第二维所有相同下标的协议字段,若所述协议字段类型一致,且源地址和目标地址相同,则判断该层的协议合理,否则判断该层的协议不合理;
若每一层的协议被判断为合理,则判断整个协议树合理。
5.根据权利要求3所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,在S3:对IPv6载荷数据的安全性进行分析得到内容分析结果的步骤中,包括:
将所述IPv6载荷数据逆编码得到原始载荷数据;
将所述原始荷载数据根据数据格式进行分割得到视频数据、图像数据、音频数据、文本数据;
分析文本数据的过程包括:
创建一个独立运行环境,为独立运行环境开启沙箱模式;
将文本数据在独立运行环境中解析,监测是否有其他代码执行,若有,则判定所述IPv6载荷数据不具有安全性,并将对应的网络数据包丢弃,若无,则对文本内容进行文本安全性分析得到第一分析结果;
对所述视频数据、图像数据进行视觉安全性分析得到第二分析结果;
将音频数据转译为文本数据再进行文本安全性分析得到第三分析结果。
6.根据权利要求5所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,包括:
若所述第一分析结果、所述第二分析结果、所述第三分析结果中任一个不具有安全性,则将所述IPv6载荷数据对应的网络数据包丢弃,否则,对网络数据包进行最终测试。
7.根据权利要求5所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,所述对文本内容进行文本安全性分析的过程中包括:
对文本进行预处理,预处理包括:对文本分词,对文本进行特征提取得到文本特征向量,对特征向量输入到预训练的K-Means聚类模型中进行语义识别,识别的过程包括:
将所述分词后的文本进行特征标准化和降维,得到特征向量,公式为;
X=;
X是所述特征向量的集合;
选取初始质点,计算初始质点与所有特征向量之间的欧式距离,将距离最近的特征向量放入一个类簇,公式为:
;
是一个类簇;
不断调整质点,重复上述过程,直到所有特征向量与质点的欧式距离相等,则聚类完成,公式为:
;
是一个聚类的中心,1≤L≤/>,/>是第L个类簇,/>是第L个类簇中第i个对象;
将与文本内容最相似的类簇判定为文本语义,将文本语义与语义库对比得到第一分析结果。
8.根据权利要求5所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,在对所述视频数据、图像数据进行视觉安全性分析得到第二分析结果步骤中,包括:
所述视觉安全性分析包括:
获取视频的图像帧,提取图像帧的像素值与像素坐标;
对图像进行分割得到不同的像素区域;
对所述像素区域进行图像识别得到识别结果,当任一识别结果表示所述像素区域不具有安全性,则判定所述视频数据、图像数据不具有安全性,否则判定所述视频数据、图像数据具有安全性,将最终判定结果作为第二分析结果;
所述分割的方式为:将像素值差值在预设范围内的相邻像素对应的坐标相连接。
9.根据权利要求5所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,在所述分割的方式为:将像素值差值在预设范围内的相邻像素对应的坐标相连接的步骤中,包括:
计算坐标是否相连接的公式可表示为:
,
其中,R是单位像素的红色值,G是单位像素的绿色值,B是单位像素的蓝色值,下标用于区分不同单位的像素,X是预设值,若公式成立,则判定两个单位像素对应的区域进行连接,否则,判定两个单位像素属于不同区域。
10.根据权利要求1所述的IPv6网络数据流监测技术的分析与测试方法,其特征在于,在S4中,包括:
从网络层在协议树中对应位置获取到网络数据包的源IP地址;
将步骤S1得到的载荷数据和步骤S2得到的协议树复原为一个完整数据包;
将完整数据包重新分为不同大小的数据段,并对数据段标号;
创建一个查询请求,查询内容为是否包含指定的数据;
将所述查询请求数据段发送到源IP地址指向的终端,根据响应信息得出测试结果,若响应信息表示所述终端中包含对应的数据,则判定测试结果为数据包正常,否则,判定测试结果为数据包异常。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310887396.5A CN116599780B (zh) | 2023-07-19 | 2023-07-19 | 一种IPv6网络数据流监测技术的分析与测试方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310887396.5A CN116599780B (zh) | 2023-07-19 | 2023-07-19 | 一种IPv6网络数据流监测技术的分析与测试方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116599780A true CN116599780A (zh) | 2023-08-15 |
CN116599780B CN116599780B (zh) | 2023-10-27 |
Family
ID=87606718
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310887396.5A Active CN116599780B (zh) | 2023-07-19 | 2023-07-19 | 一种IPv6网络数据流监测技术的分析与测试方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116599780B (zh) |
Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101764822A (zh) * | 2010-01-29 | 2010-06-30 | 北京天地互连信息技术有限公司 | 一种IPv6源地址认证测试方法 |
CN101997934A (zh) * | 2009-08-21 | 2011-03-30 | 中国移动通信集团公司 | 地址获取的方法和系统以及移动终端及其应用方法 |
US20120054865A1 (en) * | 2009-05-11 | 2012-03-01 | Zte Corporation | Device and Method for Preventing Internet Protocol Version 6 (IPv6) Address Being Fraudulently Attacked |
CN103023909A (zh) * | 2012-12-24 | 2013-04-03 | 成都科来软件有限公司 | 一种网络数据包协议识别方法及系统 |
CN103248606A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 一种面向IPv4和IPv6的网络病毒检测方法及系统 |
CN103401863A (zh) * | 2013-07-30 | 2013-11-20 | 北京奇虎科技有限公司 | 一种基于云安全的网络数据流分析方法和装置 |
CN105357082A (zh) * | 2014-12-22 | 2016-02-24 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
CN111212089A (zh) * | 2020-02-14 | 2020-05-29 | 重庆邮电大学 | 一种EtherCAT与IPv6网络的协议转换方法 |
CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际系统应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
CN112039904A (zh) * | 2020-09-03 | 2020-12-04 | 福州林科斯拉信息技术有限公司 | 一种网络流量分析与文件提取系统及方法 |
CN112637022A (zh) * | 2020-12-31 | 2021-04-09 | 长扬科技(北京)有限公司 | 一种网络协议合规性检查方法和系统 |
CN112995352A (zh) * | 2019-12-17 | 2021-06-18 | 北京白帽汇科技有限公司 | 基于流量分析的IPv6网络空间测绘系统及测绘方法 |
CN114124467A (zh) * | 2021-10-29 | 2022-03-01 | 中国电子科技集团公司第三十研究所 | 开放网络模式下FreeNet匿名流量检测方法及系统 |
CN116032594A (zh) * | 2022-12-23 | 2023-04-28 | 赛尔网络有限公司 | IPv6网络真实源地址验证的判断方法、装置、设备及介质 |
CN116132187A (zh) * | 2023-02-23 | 2023-05-16 | 北京京航计算通讯研究所 | 一种数据包过滤方法及系统 |
-
2023
- 2023-07-19 CN CN202310887396.5A patent/CN116599780B/zh active Active
Patent Citations (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120054865A1 (en) * | 2009-05-11 | 2012-03-01 | Zte Corporation | Device and Method for Preventing Internet Protocol Version 6 (IPv6) Address Being Fraudulently Attacked |
CN101997934A (zh) * | 2009-08-21 | 2011-03-30 | 中国移动通信集团公司 | 地址获取的方法和系统以及移动终端及其应用方法 |
CN101764822A (zh) * | 2010-01-29 | 2010-06-30 | 北京天地互连信息技术有限公司 | 一种IPv6源地址认证测试方法 |
CN103248606A (zh) * | 2012-02-02 | 2013-08-14 | 哈尔滨安天科技股份有限公司 | 一种面向IPv4和IPv6的网络病毒检测方法及系统 |
CN103023909A (zh) * | 2012-12-24 | 2013-04-03 | 成都科来软件有限公司 | 一种网络数据包协议识别方法及系统 |
CN103401863A (zh) * | 2013-07-30 | 2013-11-20 | 北京奇虎科技有限公司 | 一种基于云安全的网络数据流分析方法和装置 |
CN105357082A (zh) * | 2014-12-22 | 2016-02-24 | 成都科来软件有限公司 | 一种网络流量的识别方法及装置 |
CN112995352A (zh) * | 2019-12-17 | 2021-06-18 | 北京白帽汇科技有限公司 | 基于流量分析的IPv6网络空间测绘系统及测绘方法 |
CN111277570A (zh) * | 2020-01-10 | 2020-06-12 | 中电长城网际系统应用有限公司 | 数据的安全监测方法和装置、电子设备、可读介质 |
CN111212089A (zh) * | 2020-02-14 | 2020-05-29 | 重庆邮电大学 | 一种EtherCAT与IPv6网络的协议转换方法 |
CN112039904A (zh) * | 2020-09-03 | 2020-12-04 | 福州林科斯拉信息技术有限公司 | 一种网络流量分析与文件提取系统及方法 |
CN112637022A (zh) * | 2020-12-31 | 2021-04-09 | 长扬科技(北京)有限公司 | 一种网络协议合规性检查方法和系统 |
CN114124467A (zh) * | 2021-10-29 | 2022-03-01 | 中国电子科技集团公司第三十研究所 | 开放网络模式下FreeNet匿名流量检测方法及系统 |
CN116032594A (zh) * | 2022-12-23 | 2023-04-28 | 赛尔网络有限公司 | IPv6网络真实源地址验证的判断方法、装置、设备及介质 |
CN116132187A (zh) * | 2023-02-23 | 2023-05-16 | 北京京航计算通讯研究所 | 一种数据包过滤方法及系统 |
Non-Patent Citations (1)
Title |
---|
丁佳颖;曹炳尧;顾蔚;殷超;: "IPv6网络中的深度流检测技术应用研究", 电子测量技术, no. 08 * |
Also Published As
Publication number | Publication date |
---|---|
CN116599780B (zh) | 2023-10-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AU2008207930B2 (en) | Multi-dimensional reputation scoring | |
AU2008207926B2 (en) | Correlation and analysis of entity attributes | |
US8561167B2 (en) | Web reputation scoring | |
US9544272B2 (en) | Detecting image spam | |
US8179798B2 (en) | Reputation based connection throttling | |
US7817861B2 (en) | Detection of image spam | |
US7937480B2 (en) | Aggregation of reputation data | |
US8578051B2 (en) | Reputation based load balancing | |
CN111277587A (zh) | 基于行为分析的恶意加密流量检测方法及系统 | |
CN111092902B (zh) | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 | |
US8689326B2 (en) | Device for analyzing and diagnosing network traffic, a system for analyzing and diagnosing network traffic, and a system for tracing network traffic | |
CN107979581B (zh) | 僵尸特征的检测方法和装置 | |
AU2008207924A1 (en) | Web reputation scoring | |
CN108446543B (zh) | 一种邮件处理方法、系统及邮件代理网关 | |
CN116599780B (zh) | 一种IPv6网络数据流监测技术的分析与测试方法 | |
CN112287198B (zh) | 一种基于爬虫技术的垃圾短信检测方法 | |
CN115225301B (zh) | 基于d-s证据理论的混合入侵检测方法和系统 | |
JP3986871B2 (ja) | アンチプロファイリング装置およびアンチプロファイリングプログラム | |
AU2021103735A4 (en) | A honeypot based network security system | |
KR20190041324A (ko) | Ddos 공격 차단 장치 및 방법 | |
EP4254241A1 (en) | Method and device for image-based malware detection, and artificial intelligence-based endpoint detection and response system using same | |
Abdullah | A Proposed Firewall for Viruses and Steganography Image | |
CN117914566A (zh) | 僵尸网络的检测分类方法及系统 | |
CN115967567A (zh) | 安全隐患检测方法、系统、装置、存储介质及电子设备 | |
Haan | Detection of portscans using IP header data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |