CN116614315A - 一种实现应用云安全托管的IPv6安全防护方法 - Google Patents

一种实现应用云安全托管的IPv6安全防护方法 Download PDF

Info

Publication number
CN116614315A
CN116614315A CN202310887541.XA CN202310887541A CN116614315A CN 116614315 A CN116614315 A CN 116614315A CN 202310887541 A CN202310887541 A CN 202310887541A CN 116614315 A CN116614315 A CN 116614315A
Authority
CN
China
Prior art keywords
data packet
layer
path
security
ipv6
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310887541.XA
Other languages
English (en)
Other versions
CN116614315B (zh
Inventor
傅小兵
宗春鸿
严寒冰
周涛华
冯波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangxi Branch Of National Computer Network And Information Security Management Center
Original Assignee
Jiangxi Branch Of National Computer Network And Information Security Management Center
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangxi Branch Of National Computer Network And Information Security Management Center filed Critical Jiangxi Branch Of National Computer Network And Information Security Management Center
Priority to CN202310887541.XA priority Critical patent/CN116614315B/zh
Publication of CN116614315A publication Critical patent/CN116614315A/zh
Application granted granted Critical
Publication of CN116614315B publication Critical patent/CN116614315B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明提供了一种实现应用云安全托管的IPv6安全防护方法,运用于网络安全技术领域,其方法包括:计算业务数据包的数据包签名,将数据包签名插入业务数据包的应用层载荷数据;创建路径计算程序,将所述路径计算程序创建为验证数据包;将所述业务数据包重新封装再切片与所述验证数据包一起发送向目标节点;对接收到的访问数据包进行关键要素提取,根据所述关键要素创建安全防护模型,将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成;数据包签名和路径计算程序确保了接收端接收的数据包就是应用发送的数据包,安全防护程序过滤掉非正常的访问数据包完成对应用的防护。

Description

一种实现应用云安全托管的IPv6安全防护方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种实现应用云安全托管的IPv6安全防护方法。
背景技术
在当下的互联网生态中,网络层协议逐渐从IPv4向IPv6过渡,基于IPv6的诸多特点,衍生出了新的网络攻击方式,例如,IPv6集成了IPSec通过对IP报文进行加密和认证,实现了端对端的安全通信,但在部分计算机未支持IPv4,在网络中进行通信时,需借助第三方的协议转换技术,在IPv4向IPv6转换的节点,IPSec的安全性不能发挥作用。
部分企业提供云托管服务,可以将客户的应用部署在云端,为客户提供可扩展的计算设施、网络设施、存储设施、安全维护,同时为不支持IPv6的客户的应用提供向IPv6转换的服务,IPv4向IPv6转换的过程以及IPv6本身的特点为云托管应用的安全带来了潜在危险,使之容易收到新型网络攻击。
在现有技术CN112738138A云安全托管方法、装置、设备及存储介质中,通过云安全服务内容调用对应的执行工具,执行云安全处理,实现了云安全托管的自动化,但该技术没有针对IPv4向IPv6转换时对应的云安全的处理方法,在数据包的网络层协议字段被转换前后,接收和发送该报文的设备无法确定该数据包是否被篡改过或替换过。
为此本发明提出一种实现应用云安全托管的IPv6安全防护方法,为托管在云平台的应用提供IPv4向IPv6转换时的安全防护。
发明内容
本发明的目的是提供一种实现应用云安全托管的IPv6安全防护方法,旨在解决现有技术未能满足数据包网络层协议字段IPv4向IPv6转换时的安全防护的问题。
为实现上述目的,本发明提供如下技术方案:
本发明提供一种实现应用云安全托管的IPv6安全防护方法,包括:
S1:将应用发送的业务数据包解封装,根据应用层协议字段、网络层协议字段、网络层载荷数据、业务数据包发送时间计算数据包签名,将所述数据包签名插入所述业务数据包的应用层载荷数据;
S2:创建路径计算程序,采用与所述数据包相同的网络层协议、传输层协议、应用层协议将所述路径计算程序创建为验证数据包;
S3:将所述业务数据包重新封装再切片与所述验证数据包一起发送向目标节点;
S4:对接收到的访问数据包进行关键要素提取,根据所述关键要素创建安全防护模型,将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成;
S5:所述安全防护模型开始对访问数据包进行智能筛查。
进一步的,在S1的步骤中,包括:
所述计算数据包签名的过程为:
随机选取英文字母并获取对应的ASCII编码,与所述应用层协议字段的值一起计算哈希值得到应用层哈希值;
将所述网络层协议字段、网络层载荷数据、业务数据包发送时间执行上述过程分别得到网络层哈希值、载荷数据哈希值、发送时间哈希值;
将所述应用层哈希值、所述网络层哈希值、所述载荷数据哈希值、所述发送时间哈希值一起通过MD5算法计算出数据包签名。
进一步的,所述计算哈希值的算法包括:
其中,n是所述随机选取英文字母的ASCII编码换算成的十进制数字,f是所述随机选取英文字母在字母表的序号,k是哈希值计算目标的字段值换算成的二进制数字,byte是所述协议字段在内存中占用的比特位。
进一步的,在S2的步骤中,包括:
所述路径计算程序采用JavaScipt实现,其逻辑包括:
记录所述业务数据包发送跳数以及当前节点的IPv6地址得到路径记录,将所述路径记录保存在路径数组中;
记录当前节点对所述业务数据包处理的协议深度以及处理过程得到操作记录,将所述操作记录保存在操作对象中,所述协议深度包括当前节点对所述业务数据包的进行过操作的协议字段;
根据所述路径记录和所述操作记录计算出可逆签名,将所述可逆签名作为输出结果返回,所述可逆签名可以倒推出所述路径记录和所述操作记录。
进一步的,在根据所述路径记录和所述操作记录计算出可逆签名,所述可逆签名可以倒推出所述路径记录和所述操作记录的步骤中,包括:
所述可逆签名的计算过程包括:
遍历所述路径数组,将所述路径记录中的跳数和每个节点的IPv6地址压缩为一个路径浮点数,所述路径浮点数的格式为:
其中S表示跳数,ABCDEFGH分别对应当前节点的IPv6地址的每一段。
进一步的,在遍历所述路径数组,将所述路径记录中的跳数和每个节点的IPv6地址压缩为一个路径浮点数的步骤中,包括:
所述压缩过程为:
将IPv6地址的每一段由16进制转化为10进制,将每一段的转化结果与跳数相乘再求和。
进一步的,在S4的步骤中,包括:
对接收到的访问数据包进行关键要素提取,根据所述关键要素创建安全防护模型,将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成。
所述关键要素包括:源IP地址、数据包大小、数据包类型、数据包重复度、载荷数据摘要、访问目的。
进一步的,在S4的步骤中,包括:
所述安全防护模型可表示为:
是输入层,/>是计算层,/>是反射层,/>是输出层,/>是表示关键要素,其中/>,/>,T表示转置,关键要素从输入层输入,经计算层计算得到初步结果,经过反射层的反馈调节,同时反射层根据关键要素进行收敛成为更准确的反馈网络。
进一步的,在S4的步骤中,包括:
所述安全防护模型的结构包括输入层、计算层、反射层网络、输出层;
所述输入层接收所述访问数据包的关键要素;
所述计算层计算所述关键要素与正常访问数据包的关键要素的关联度;
所述反射层网络根据所述关联度对所述安全防护模型进行收敛;
所述安全防护模型收敛后计算新的关联度,根据预设的关联阈值判定所述访问数据包的安全性。
进一步的,在S4的步骤中,包括:
所述训练过程包括:
将所述关键要素进行人工标注后输入到所述安全防护模型;
根据收敛过程对所述安全防护模型的反射层网络进行调整;
根据所述输出层的判定结果调整反射层网络节点的权重。
本发明提供了一种实现应用云安全托管的IPv6安全防护方法,具有以下有益效果:
(1)针对应用发出的业务数据包,通过计算一个唯一的数据包签名并插入应用层的载荷数据,防止了业务数据包被窜改;
(2)在发送业务数据包时,通过创建一个路径计算程序并为其创建一个验证数据包,将验证数据包与业务数据包一起发送,若业务数据包被问题主机操作,验证数据包也会被操作,并记录下操作者的信息,接收端通过查看路径计算程序的返回结果,可以重现业务数据包的发送过程判断数据包是否被替换,判断接收到的业务数据包的真实来源;
(3)对于应用接收的数据,根据访问数据包创建一个针对性的安全防护模型,所述安全防护模型使用正常访问数据包和攻击数据包进行训练,使能够自动识别攻击数据包,在应用接收访问数据包前对数据包进行智能筛查,完成对托管在云上的应用得安全防护。
附图说明
图1为本发明一实施例的实现应用云安全托管的IPv6安全防护方法的流程示意图;
本发明为目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参考图1,为本发明提出的实现应用云安全托管的IPv6安全防护方法的流程示意图;
本发明所提供的实现应用云安全托管的IPv6安全防护方法,步骤包括:
S1:将应用发送的业务数据包解封装,根据应用层协议字段、网络层协议字段、网络层载荷数据、业务数据包发送时间计算数据包签名,将所述数据包签名插入所述业务数据包的应用层载荷数据;
S2:创建路径计算程序,采用与所述数据包相同的网络层协议、传输层协议、应用层协议将所述路径计算程序创建为验证数据包;
S3:将所述业务数据包重新封装再切片与所述验证数据包一起发送向目标节点;
S4:对接收到的访问数据包进行关键要素提取,根据所述关键要素创建安全防护模型,将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成;
S5:所述安全防护模型开始对访问数据包进行智能筛查。
在一个实施例中,托管在云平台的应用向其他终端发送数据包时,将载荷数据打包如数据包,按照应用层协议对数据包进行封装,再下发到传输层进行传输层的封装,传输层的协议一般采用TCP或UDP,本发明采用TCP来保证传输层的数据安全,再下发到网络层、数据链路层进行数据包的封装最后转化成光信号通过光模块发送出去;由于应用托管在云平台上,云平台对应用发出的数据包进行安全加工,安全加工的过程是,解封装每一层协议,计算每层协议字段的哈希值,最后一起计算出一个唯一的数据包签名,将数据包签名插入到应用层的载荷数据,将业务数据包发送到接收端,所述唯一的数据包签名供接收端对数据包进行验证;在发送业务数据包的同时,发送一个包含路径计算程序的验证数据包,验证数据包与业务数据包沿相同的路径,按照相同的顺序经过相同的路由器和交换机,对经过的路由器和交换机进行记录,当一个路由器查看了业务数据包的网络层协议内容,例如源IP地址、目标IP地址、协议版本等信息,验证数据包也会经历相同的操作,当有问题计算机或是被入侵了的路由器或交换机或中间服务器对业务数据包进行了非正常操作,验证数据包也会经历被非正常操作的过程,接收端接收到验证数据包后,查看验证数据包中的路径计算程序返回的结果,就能知道业务数据包是否遭到了入侵;对于应用接收的访问数据包,发送端可能并未做出任何保护措施,因此数据包可能是问题计算机发出的网络攻击,可能在发送的途中被篡改,被植入非正常的代码,因此对于接收到的数据包,需要先进行筛选再发送给应用,本发明通过对业务数据包进行关键要素提取和分析,设计一种自收敛的网络模型,通过使用正常的业务数据包的关键要素和攻击数据包的关键要素对所述网络模型进行训练,通过人工标注输入的关键要素和人工监督网络模型的决策结果、对网络模型的计算层和反射层的参数进行调整,至网络模型能够自主正确判断数据包是否安全视为训练完成,所述网络模型工作在应用接收数据包之前,云平台凭借其计算能力,完成对托关于云平台的应用的防护。
在S1的步骤中,包括:
所述计算数据包签名的过程为:
随机选取英文字母并获取对应的ASCII编码,与所述应用层协议字段的值一起计算哈希值得到应用层哈希值;
将所述网络层协议字段、网络层载荷数据、业务数据包发送时间执行上述过程分别得到网络层哈希值、载荷数据哈希值、发送时间哈希值;
将所述应用层哈希值、所述网络层哈希值、所述载荷数据哈希值、所述发送时间哈希值一起通过MD5算法计算出数据包签名。
在具体实施时,A的ASCII编码为A,应用层协议的头部字段的值在数据包中以二进制形式存在,根据其二进制数字的字符串形式计算出的哈希值为005cca8d4c6011770da02bd48139df1e,对网络层协议字段、网络层载荷数据、业务数据包发送时间执行计算哈希值的过程分别得到对应的哈希值,最后计算出数据包签名b653ce5334c36f4f4751562b71ae099d99ead3d7c45ded20caeffb4a,接收端按照相同的过程可以计算出相同的数字签名,若接收端接收的数字签名与发送端的不一致,则证明数据包中的内容被篡改了。
所述计算哈希值的算法包括:
其中,n是所述随机选取英文字母的ASCII编码换算成的十进制数字,f是所述随机选取英文字母在字母表的序号,k是哈希值计算目标的字段值换算成的二进制数字,byte是所述协议字段在内存中占用的比特位。
在S2的步骤中,包括:
所述路径计算程序采用JavaScript实现,其逻辑包括:
记录所述业务数据包发送跳数以及当前节点的IPv6地址得到路径记录,将所述路径记录保存在路径数组中;
记录当前节点对所述业务数据包处理的协议深度以及处理过程得到操作记录,将所述操作记录保存在操作对象中,所述协议深度包括当前节点对所述业务数据包的进行过操作的协议字段;
根据所述路径记录和所述操作记录计算出可逆签名,将所述可逆签名作为输出结果返回,所述可逆签名可以倒推出所述路径记录和所述操作记录。
在具体实施时,所述路径数组表示如下[1,IP1],[2,IP2],[3,IP3],...,[n,IPn],第一个子数组表示数据包在云平台时,IP1表示云平台的IP地址,云平台对其进行解封装和计算数据包签名的过程,涉及了网络模型的第五层应用层,第四层传输层,第三层网络层,操作深度为12,第二个子数组为第二次将数据包转发的节点,跳数为2,只查看了目标IP地址,所以只涉及第三层网络层,操作深度为3;操作记录为日志形式,以字符串的格式进行记录。
在根据所述路径记录和所述操作记录计算出可逆签名,所述可逆签名可以倒推出所述路径记录和所述操作记录的步骤中,包括:
所述可逆签名的计算过程包括:
遍历所述路径数组,将所述路径记录中的跳数和每个节点的IPv6地址压缩为一个路径浮点数,所述路径浮点数的格式为:
其中S表示跳数,ABCDEFGH分别对应当前节点的IPv6地址的每一段。
在具体实施时,按照上述路径浮点数的格式,例如所述云平台的IPv6地址为2001:0D12:0000:0000:02AA:0987:FE29:9871,跳数为1,压缩后的结果为1.73452800,根据数据包经过的每一个节点的路径浮点数计算出一个可逆签名,接收端可以将可逆签名解析为路径浮点数,在根据路径浮点数还原出节点的IP地址和跳数,重现数据包在网络中发送的完整路径,以此确认该数据包的真实来源以及是否被篡改。
在遍历所述路径数组,将所述路径记录中的跳数和每个节点的IPv6地址压缩为一个路径浮点数的步骤中,包括:
所述压缩过程为:
将IPv6地址的每一段由16进制转化为10进制,将每一段的转化结果与跳数相乘再求和。
在S4的步骤中,包括:
对接收到的访问数据包进行关键要素提取,根据所述关键要素创建安全防护模型,将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成。
所述关键要素包括:源IP地址、数据包大小、数据包类型、数据包重复度、载荷数据摘要、访问目的。
在具体实施时,例如数据包大小为28742byte,数据包类型为SYN数据包,数据包重复度为40%,源IP地址为2101:0D12:0EF0:0000:02AA:0aa7:FE29:9871,载荷数据摘要为“amsbhdoddbbubdjdj”,访问目的为建立TCP连接。
在S4的步骤中,包括:
所述安全防护模型可表示为:
是输入层,/>是计算层,/>是反射层,/>是输出层,/>是表示关键要素,其中/>,/>,T表示转置,关键要素从输入层输入,经计算层计算得到初步结果,经过反射层的反馈调节,同时反射层根据关键要素进行收敛成为更准确的反馈网络。
在具体实施时,安全防护模型包含了一个输入层、一个计算层和一个输出层以及多个反射层,在训练前,每一个反射层的所有节点的初始值是相同的,在训练的过程中,根据人工对训练数据包的关键要素的标注和训练结果的反馈,反射层进行收敛,每个节点的值随着训练发生变化,每个节点的权重由人工不断调节,例如其中第二各输入层的第3个节点是数据包大小对应的特征向量,数据包大小对数据包是否判别的影响力用数字记为4,该节点的权重即设为4。
在S4的步骤中,包括:
所述安全防护模型的结构包括输入层、计算层、反射层网络、输出层;
所述输入层接收所述访问数据包的关键要素;
所述计算层计算所述关键要素与正常访问数据包的关键要素的关联度;
所述反射层网络根据所述关联度对所述安全防护模型进行收敛;
所述安全防护模型收敛后计算新的关联度,根据预设的关联阈值判定所述访问数据包的安全性。
在具体实施时,将关键要素从输入层输入安全防护模型,例如是输入的源IP地址:2101:0D12:0EF0:0000:02AA:0aa7:FE29:9871,/>是数据包的大小:28742byte,/>是数据包的类型:ACK+SYN数据包,以此类推,安全防护模型的输入层的每个节点对应一个关键要素,计算层从输入层获取关键要素的原始数据,将其加工为适合网络模型的数据,例如关键要素中的IP地址为字符串类型的数据,数据包大小为整数型数据,在计算层统一加工为二维特征向量,例如,数据包类型为ACK+SYN对应的特征向量为(-3.2,7.16),再将各个关键要素对应的特征向量从计算层输入到反射层,反射层的每个节点存储了训练时提供的关键要素,以及人工标注的权重,权重大小为大于0小于10的数字,输入的关键要素经过一个反射层的比对和判别,判别结果中包含了该节点的权重,一个反射层比对和判别结束后将判别结果融合在关键要素对应的特征向量中,再反射给下一个反射层,直到经过所有的反射层后,再输入到输出层,输出层根据所述征向量与训练用的数据包的特征向量比对,如果与攻击数据包对应的特征向量欧式距离大于与正常数据包对应的特征向量的欧式距离,则判定该数据包为攻击数据包并将其丢弃,否则判定该数据包为正常数据包并将其交给被防护的应用。
在S4的步骤中,包括:
所述训练过程包括:
将所述关键要素进行人工标注后输入到所述安全防护模型;
根据收敛过程对所述安全防护模型的反射层网络进行调整;
根据所述输出层的判定结果调整反射层网络节点的权重。
在具体实施时,安全防护模型的训练过程与工作过程是一致的,区别在于训练过程发生在开始工作之前,训练过程会有意输入攻击数据包和人工标注过程,例如,使用一个100个DDoS攻击数据包进行关键要素提取,数据包的大小普遍小于正常的数据包的大小,数据包的类型多为post请求或put请求,目的在于消耗应用服务器的计算资源,使之无法对正常的请求发出回应,训练人员将攻击数据包对应的关键要素标注出代表攻击数据包的符号,根据输出层的输出结果的正确率,调整各个关键要素在影响决策结果的过程中所占的权重。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种实现应用云安全托管的IPv6安全防护方法,其特征在于,包括:
S1:将应用发送的业务数据包解封装,根据应用层协议字段、网络层协议字段、网络层载荷数据、业务数据包发送时间计算数据包签名,将所述数据包签名插入所述业务数据包的应用层载荷数据;
S2:创建路径计算程序,采用与所述数据包相同的网络层协议、传输层协议、应用层协议将所述路径计算程序创建为验证数据包;
S3:将所述业务数据包重新封装再切片与所述验证数据包一起发送向目标节点;
S4:对接收到的访问数据包进行关键要素提取,根据所述关键要素创建安全防护模型,将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成;
S5:所述安全防护模型开始对访问数据包进行智能筛查。
2.根据权利要求1所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,在S1的步骤中,包括:
所述计算数据包签名的过程为:
随机选取英文字母并获取对应的ASCII编码,与所述应用层协议字段的值一起计算哈希值得到应用层哈希值;
将所述网络层协议字段、网络层载荷数据、业务数据包发送时间执行上述过程分别得到网络层哈希值、载荷数据哈希值、发送时间哈希值;
将所述应用层哈希值、所述网络层哈希值、所述载荷数据哈希值、所述发送时间哈希值一起通过MD5算法计算出数据包签名。
3.根据权利要求2所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,计算哈希值的算法包括:
其中,n是所述随机选取英文字母的ASCII编码换算成的十进制数字,f是所述随机选取英文字母在字母表的序号,k是哈希值计算目标的字段值换算成的二进制数字,byte是所述协议字段在内存中占用的比特位。
4.根据权利要求1所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,在S2的步骤中,包括:
所述路径计算程序采用JavaScipt实现,其逻辑包括:
记录所述业务数据包发送跳数以及当前节点的IPv6地址得到路径记录,将所述路径记录保存在路径数组中;
记录当前节点对所述业务数据包处理的协议深度以及处理过程得到操作记录,将所述操作记录保存在操作对象中,所述协议深度包括当前节点对所述业务数据包的进行过操作的协议字段;
根据所述路径记录和所述操作记录计算出可逆签名,将所述可逆签名作为输出结果返回,所述可逆签名可以倒推出所述路径记录和所述操作记录。
5.根据权利要求4所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,在根据所述路径记录和所述操作记录计算出可逆签名,所述可逆签名可以倒推出所述路径记录和所述操作记录的步骤中,包括:
所述可逆签名的计算过程包括:
遍历所述路径数组,将所述路径记录中的跳数和每个节点的IPv6地址压缩为一个路径浮点数,所述路径浮点数的格式为:
其中S表示跳数,ABCDEFGH分别对应当前节点的IPv6地址的每一段。
6.根据权利要求5所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,在遍历所述路径数组,将所述路径记录中的跳数和每个节点的IPv6地址压缩为一个路径浮点数的步骤中,包括:
压缩过程为:
将IPv6地址的每一段由16进制转化为10进制,将每一段的转化结果与跳数相乘再求和。
7.根据权利要求1所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,在S4的步骤中,包括:
对接收到的访问数据包进行关键要素提取,根据所述关键要素创建安全防护模型,将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成;
所述关键要素包括:源IP地址、数据包大小、数据包类型、数据包重复度、载荷数据摘要、访问目的。
8.根据权利要求1所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,在S4的步骤中,包括:
所述安全防护模型可表示为:
是输入层,/>是计算层,/>是反射层,/>是输出层,/>是表示关键要素,其中/>,/>,T表示转置,关键要素从输入层输入,经计算层计算得到初步结果,经过反射层的反馈调节,同时反射层根据关键要素进行收敛成为更准确的反馈网络。
9.根据权利要求1所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,在S4的步骤中,包括:
所述安全防护模型的结构包括输入层、计算层、反射层网络、输出层;
所述输入层接收所述访问数据包的关键要素;
所述计算层计算所述关键要素与正常访问数据包的关键要素的关联度;
所述反射层网络根据所述关联度对所述安全防护模型进行收敛;
所述安全防护模型收敛后计算新的关联度,根据预设的关联阈值判定所述访问数据包的安全性。
10.根据权利要求1所述的实现应用云安全托管的IPv6安全防护方法,其特征在于,在S4的步骤中,包括:
所述训练过程包括:
将所述关键要素进行人工标注后输入到所述安全防护模型;
根据收敛过程对所述安全防护模型的反射层网络进行调整;
根据所述输出层的判定结果调整反射层网络节点的权重。
CN202310887541.XA 2023-07-19 2023-07-19 一种实现应用云安全托管的IPv6安全防护方法 Active CN116614315B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310887541.XA CN116614315B (zh) 2023-07-19 2023-07-19 一种实现应用云安全托管的IPv6安全防护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310887541.XA CN116614315B (zh) 2023-07-19 2023-07-19 一种实现应用云安全托管的IPv6安全防护方法

Publications (2)

Publication Number Publication Date
CN116614315A true CN116614315A (zh) 2023-08-18
CN116614315B CN116614315B (zh) 2023-10-27

Family

ID=87676873

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310887541.XA Active CN116614315B (zh) 2023-07-19 2023-07-19 一种实现应用云安全托管的IPv6安全防护方法

Country Status (1)

Country Link
CN (1) CN116614315B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
CN1529481A (zh) * 2003-10-14 2004-09-15 �й���ѧԺ�����о��� 网络处理器内部实现分布式应用层转换网关的方法
US20100118869A1 (en) * 2008-11-13 2010-05-13 Blue Coat Systems Inc. Facilitating Transition of Network Operations from IP Version 4 to IP Version 6
WO2011110096A1 (zh) * 2010-03-10 2011-09-15 上海通用化工技术研究所 通过路由器或交换机实现可信网络连接的方法和装置
US20140157405A1 (en) * 2012-12-04 2014-06-05 Bill Joll Cyber Behavior Analysis and Detection Method, System and Architecture
CN105763334A (zh) * 2016-03-31 2016-07-13 北京匡恩网络科技有限责任公司 一种动态生成和部署签名的方法
WO2020073685A1 (zh) * 2018-10-11 2020-04-16 平安科技(深圳)有限公司 转发路径确定方法、装置、系统、计算机设备及存储介质
CN113114616A (zh) * 2021-01-18 2021-07-13 北京信息科技大学 一种终端协议栈构建和解析方法、装置及终端
CN114125080A (zh) * 2021-09-29 2022-03-01 北京信息科技大学 一种报文链终端协议栈构建方法和解析方法、装置及终端
CN115460021A (zh) * 2022-11-11 2022-12-09 成都卫士通信息产业股份有限公司 一种保护数据传输的方法、装置、设备及介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6055236A (en) * 1998-03-05 2000-04-25 3Com Corporation Method and system for locating network services with distributed network address translation
CN1529481A (zh) * 2003-10-14 2004-09-15 �й���ѧԺ�����о��� 网络处理器内部实现分布式应用层转换网关的方法
US20100118869A1 (en) * 2008-11-13 2010-05-13 Blue Coat Systems Inc. Facilitating Transition of Network Operations from IP Version 4 to IP Version 6
WO2011110096A1 (zh) * 2010-03-10 2011-09-15 上海通用化工技术研究所 通过路由器或交换机实现可信网络连接的方法和装置
US20140157405A1 (en) * 2012-12-04 2014-06-05 Bill Joll Cyber Behavior Analysis and Detection Method, System and Architecture
CN105763334A (zh) * 2016-03-31 2016-07-13 北京匡恩网络科技有限责任公司 一种动态生成和部署签名的方法
WO2020073685A1 (zh) * 2018-10-11 2020-04-16 平安科技(深圳)有限公司 转发路径确定方法、装置、系统、计算机设备及存储介质
CN113114616A (zh) * 2021-01-18 2021-07-13 北京信息科技大学 一种终端协议栈构建和解析方法、装置及终端
CN114125080A (zh) * 2021-09-29 2022-03-01 北京信息科技大学 一种报文链终端协议栈构建方法和解析方法、装置及终端
CN115460021A (zh) * 2022-11-11 2022-12-09 成都卫士通信息产业股份有限公司 一种保护数据传输的方法、装置、设备及介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
J SCHAAD; SOARING HAWK CONSULTING;: "Enhanced Security Services for S/MIME draft-ietf-smime-rfc2634-update-00.txt", IETF *
任伟嘉: "关于计算机网络通信协议安全性与系统验证的分析", 电子测试 *

Also Published As

Publication number Publication date
CN116614315B (zh) 2023-10-27

Similar Documents

Publication Publication Date Title
US8539224B2 (en) Obscuring form data through obfuscation
CN112019575B (zh) 数据包处理方法、装置、计算机设备以及存储介质
US8826018B2 (en) Stateless human detection for real-time messaging systems
US20100251367A1 (en) Method and apparatus for providing information assurance attributes through a data providence architecture
JP7381341B2 (ja) 悪性url検出のための、最適走査パラメータ計算方法、デバイス、およびシステム
US10708303B2 (en) Methods, systems and devices to mitigate the effects of side effect URLs in legitimate and phishing electronic messages
CN103117897B (zh) 一种检测包含Cookie信息的消息的方法及相关装置
CN111064755B (zh) 一种数据保护方法、装置、计算机设备和存储介质
CN113676348A (zh) 一种网络通道破解方法、装置、服务器及存储介质
CN111147524B (zh) 报文发送端的识别方法、装置和计算机可读存储介质
CN113726818B (zh) 一种失陷主机检测方法及装置
CN116614315B (zh) 一种实现应用云安全托管的IPv6安全防护方法
KR102011603B1 (ko) 탐지 규칙 검증을 위한 패킷 생성 방법 및 장치
Van Hove et al. Rpkiller: Threat analysis from an RPKI relying party perspective
CN113162885B (zh) 一种工业控制系统的安全防护方法及装置
CN115051874B (zh) 一种多特征的cs恶意加密流量检测方法和系统
Kanemoto et al. Detecting successful attacks from IDS alerts based on emulation of remote shellcodes
CN114513331B (zh) 基于应用层通信协议的挖矿木马检测方法、装置及设备
US7475095B2 (en) Unread mark replication bounce-back prevention
CN115412271A (zh) 数据水印添加方法及数据安全分析方法、装置
CN112422474B (zh) 一种加密数据流的监测方法、第一电子设备和存储介质
CN113965418A (zh) 一种攻击成功判定方法及装置
Su et al. Privacy preserving IP traceback
KR20100014995A (ko) 전송데이타 암호화에 의한 네트워크 보안기술
CN105471839A (zh) 一种判断路由器数据是否被窜改的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant