CN117395060A - 一种ipv6的地址数据安全检测方法及系统 - Google Patents
一种ipv6的地址数据安全检测方法及系统 Download PDFInfo
- Publication number
- CN117395060A CN117395060A CN202311467348.7A CN202311467348A CN117395060A CN 117395060 A CN117395060 A CN 117395060A CN 202311467348 A CN202311467348 A CN 202311467348A CN 117395060 A CN117395060 A CN 117395060A
- Authority
- CN
- China
- Prior art keywords
- data
- characteristic information
- equipment
- sample
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 54
- 230000005540 biological transmission Effects 0.000 claims abstract description 45
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000012545 processing Methods 0.000 claims description 45
- 238000012549 training Methods 0.000 claims description 23
- 230000006978 adaptation Effects 0.000 claims description 22
- 238000004364 calculation method Methods 0.000 claims description 8
- 238000004519 manufacturing process Methods 0.000 claims description 4
- 238000007689 inspection Methods 0.000 claims 3
- 238000004458 analytical method Methods 0.000 description 8
- 238000013507 mapping Methods 0.000 description 8
- 238000011156 evaluation Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013528 artificial neural network Methods 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 238000009826 distribution Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000003064 k means clustering Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 238000011176 pooling Methods 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000003860 storage Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/21—Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
- G06F18/213—Feature extraction, e.g. by transforming the feature space; Summarisation; Mappings, e.g. subspace methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/23—Clustering techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F18/00—Pattern recognition
- G06F18/20—Analysing
- G06F18/24—Classification techniques
- G06F18/243—Classification techniques relating to the number of classes
- G06F18/2433—Single-class perspective, e.g. one-against-all classification; Novelty detection; Outlier detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/0464—Convolutional networks [CNN, ConvNet]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Life Sciences & Earth Sciences (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Computational Linguistics (AREA)
- Molecular Biology (AREA)
- Software Systems (AREA)
- Biophysics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- Signal Processing (AREA)
- Evolutionary Biology (AREA)
- Bioinformatics & Computational Biology (AREA)
- Bioinformatics & Cheminformatics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPV6的地址数据安全检测方法及系统,属于网络安全领域,该方法包括:划分采集IPV6地址获得设备标识符、地址前缀信息;获取设备物理特征信息、业务特征信息;获取网络数据及数据特征信息,结合设备物理特征信息,计算获得第一风险参数;根据业务特征信息计算获得第二风险参数;分析目标设备接收网络数据的第三风险参数,网络数据发送至目标设备的第四风险参数,分别为1减去数据特征信息在接收数据记录内的占比,以及1减去设备物理特征信息在数据发送记录内的占比;根据所得风险参数,计算获得综合风险系数作为安全检测结果。本申请解决了现有技术中IPV6地址安全检测存在准确性不高、针对性差、检测不全面的技术问题。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种IPV6的地址数据安全检测方法及系统。
背景技术
IPV6网络正处于快速发展阶段,针对IPV6网络环境的数据传输安全性的检测与保障尤为重要。针对IPV6地址的安全检测,现有技术主要采用检查IPV6地址本身特征的方法,即根据IPV6地址包含的信息,判断地址自身是否可疑,这类方法仅根据IPV6地址自身特征进行安全检测,效果并不理想,无法对网络数据的安全传输风险进行准确、全面的针对性判断。
发明内容
本申请通过提供了一种IPV6的地址数据安全检测方法及系统,旨在解决IPV6地址安全检测存在准确性不高、针对性差、检测不全面的技术问题。
鉴于上述问题,本申请提供了一种IPV6的地址数据安全检测方法及系统。
本申请公开的第一个方面,提供了一种IPV6的地址数据安全检测方法,该方法包括:采集目标设备的IPV6地址,对IPV6地址进行划分,获得设备标识符以及核心网为目标设备分配的地址前缀信息;根据设备标识符,识别获取目标设备的设备物理特征信息,根据地址前缀信息,识别获取IPV6地址的业务特征信息;获取发送至IPV6地址的网络数据,获取网络数据的数据特征信息;根据设备物理特征信息和数据特征信息,分析目标设备处理网络数据的适配性,获得设备适配性参数,并计算获得第一风险参数;获取网络数据的业务类型,根据业务特征信息,分析目标设备处理网络数据的适配性,获得业务适配性参数,并计算获得第二风险参数;基于目标设备通过IPV6地址接收数据的接收数据记录,以及调取具有数据特征信息的同族数据发送的数据发送记录,根据接收数据记录和数据发送记录,分析目标设备接收网络数据的第三风险参数,以及网络数据发送至目标设备的第四风险参数,其中,第三风险参数为1减去所述数据特征信息在所述接收数据记录内的占比,第四风险参数为1减去所述设备物理特征信息在所述数据发送记录内的占比;根据第一风险参数、第二风险参数、第三风险参数和第四风险参数,计算获得网络数据传输至目标设备的综合风险系数,作为安全检测结果。
本申请公开的另一个方面,提供了一种IPV6的地址数据安全检测系统,该系统包括:IPV6地址划分模块,用于采集目标设备的IPV6地址,对IPV6地址进行划分,获得设备标识符以及核心网为目标设备分配的地址前缀信息;特征信息识别模块,用于根据设备标识符,识别获取目标设备的设备物理特征信息,根据地址前缀信息,识别获取IPV6地址的业务特征信息;数据特征信息模块,用于获取发送至IPV6地址的网络数据,获取网络数据的数据特征信息;第一风险参数模块,用于根据设备物理特征信息和数据特征信息,分析目标设备处理网络数据的适配性,获得设备适配性参数,并计算获得第一风险参数;第二风险参数模块,用于获取网络数据的业务类型,根据业务特征信息,分析目标设备处理网络数据的适配性,获得业务适配性参数,并计算获得第二风险参数;其余风险参数模块,用于基于目标设备通过IPV6地址接收数据的接收数据记录,以及调取具有数据特征信息的同族数据发送的数据发送记录,根据接收数据记录和数据发送记录,分析目标设备接收网络数据的第三风险参数,以及网络数据发送至目标设备的第四风险参数,其中,第三风险参数为1减去所述数据特征信息在所述接收数据记录内的占比,第四风险参数为1减去所述设备物理特征信息在所述数据发送记录内的占比;安全检测结果模块,用于根据第一风险参数、第二风险参数、第三风险参数和第四风险参数,计算获得网络数据传输至目标设备的综合风险系数,作为安全检测结果。
本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:
由于采用了采集目标设备的IPV6地址,对其进行划分,获得设备标识符和地址前缀信息,以获取设备特征和业务特征相关信息;根据设备标识符识别设备物理特征,根据地址前缀识别业务特征信息,以准确获取设备特征和业务特征;获取发送至该地址的网络数据及数据特征,以获得网络数据特征信息;根据设备特征、数据特征分析设备处理数据的适配性,获得设备适配性参数和第一风险参数,以评估设备风险;根据业务特征分析业务适配性,获得业务适配性参数和第二风险参数,以评估业务风险;根据接收和发送记录分析地址的第三、第四风险参数,以评估历史记录风险;综合多个风险参数,计算网络数据传输的综合风险系数,作为检测结果,以实现准确、全面的安全检测的技术方案,解决了现有技术中IPV6地址安全检测存在准确性不高、针对性差、检测不全面的技术问题,达到了针对IPV6地址进行精确、全面、多维度的安全检测分析的技术效果。
上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。
附图说明
图1为本申请实施例提供了一种IPV6的地址数据安全检测方法的一种流程示意图;
图2为本申请实施例提供了一种IPV6的地址数据安全检测方法中获得设备物理特征信息和业务特征信息的一种流程示意图;
图3为本申请实施例提供了一种IPV6的地址数据安全检测系统的一种结构示意图。
附图标记说明:IPV6地址划分模块11,特征信息识别模块12,数据特征信息模块13,第一风险参数模块14,第二风险参数模块15,其余风险参数模块16,安全检测结果模块17。
具体实施方式
本申请提供的技术方案总体思路如下:
本申请实施例提供了一种IPV6的地址数据安全检测方法及系统,综合考虑多种维度信息,对IPV6地址进行全面、精确的安全风险评估。
首先,准确获取目标地址相关的设备特征信息、业务特征信息以及实际传输的数据特征信息,为后续检测分析奠定基础;其次,从设备适配性和业务适配性两个维度分析IPV6地址在处理具体数据传输时存在的风险,评估设备和业务的安全风险;然后,结合IPV6地址相关的历史通信记录,分析存在的异常情况,评估历史记录反映出的安全风险;最后,综合考虑各个方面和维度的风险因素,采用多参数共同计算,得出最终的安全检测结果。
在介绍了本申请基本原理后,下面将结合说明书附图来具体介绍本申请的各种非限制性的实施方式。
实施例一
如图1所示,本申请实施例提供了一种IPV6的地址数据安全检测方法,该方法应用于一IPV6的地址数据安全检测装置,该装置与目标设备连接。
具体而言,本申请实施例公开了一种IPV6的地址数据安全检测方法,该方法应用于一IPV6的地址数据安全检测装置,该IPV6地址数据安全检测装置用于与目标设备连接,对目标设备的网络通信进行安全检测。通过对地址信息、网络数据、设备特征的全面的分析评估,有效检测出目标设备网络通信的数据安全隐患,保障网络环境安全。
安全检测方法包括:
采集目标设备的IPV6地址,对IPV6地址进行划分,获得设备标识符以及核心网为目标设备分配的地址前缀信息;
进一步的,本步骤具体包括:
采集目标设备当前在网络内的IPV6地址;
将所述IPV6地址内的前64位划分为地址前缀信息,后64位字符划分为设备标识符。
在一种可行的实施方式中,IPV6地址是指互联网协议版本6的128位地址,用于在IPV6网络环境下唯一标识一台网络设备。为获取目标设备的IPV6地址,在目标设备所在的网络中配置数据包捕获设备,例如数据交换机端口镜像,复制目标设备在网络链路上传输的数据报文。其次,在数据包捕获设备上配置网络协议分析软件,对抓取的目标设备的数据报文进行解析,提取报文中的源地址和目的地址信息。过滤出包含目标设备接口地址的IPV6数据报文,解析获取目标设备的IPV6地址。通过非侵入式地获取目标设备在网络内的IPV6地址信息,为安全检测提供基础数据源。
然后,按照IPV6地址定义,将其划分为前后两个64位部分。前64位包含网络标识信息,由核心网根据网络规划为目标设备进行分配,表示目标设备所在的网络范围,为地址前缀信息,携带很多用户信息,如用户的业务类型、业务承载的设备等信息。后64位由目标设备自行生成,用来唯一标识目标设备,为设备标识符。其中,目标设备的设备标识符由目标设备的芯片中集成的PUF单元生成,该单元通过测量芯片中的路径延迟、晶体管参数差异等生成目标设备的唯一响应,进而根据响应生成目标设备的随机且不可克隆的设备标识符。通过分别获取IPV6地址中的网络标识信息和设备标识信息,为后族特征提取和安全分析提供基础信息。
根据所述设备标识符,识别获取目标设备的设备物理特征信息,根据所述地址前缀信息,识别获取所述IPV6地址的业务特征信息;
进一步的,如图2所示,本步骤具体包括:
根据多个样本设备的IPV6地址,获取多个样本设备标识符和多个样本地址前缀信息;
采集多个样本设备的样本设备物理特征信息,样本设备物理特征信息包括设备芯片的生产物理特征信息;
获取多个样本设备的样本业务特征信息,样本业务特征信息包括样本设备在网络内进行的全部业务类型;
采用多个样本设备标识符和多个样本设备物理特征信息,作为训练数据,训练获得设备特征识别分支,采用多个样本地址前缀信息和多个样本业务特征信息,训练获得业务特征识别分支,结合设备特征识别分支,获得地址字符解析器;
基于地址字符解析器,对所述设备标识符和地址前缀信息进行识别,获得所述设备物理特征信息和业务特征信息。
在一种优选的实施方式中,根据从IPV6地址中获取的设备标识符与地址前缀信息,分别识别目标设备的设备物理特征信息和IPV6地址的业务特征信息。首先,收集多个样本设备的IPV6地址,并对多个样本设备的IPV6地址进行解析,将每个地址划分为两个64位部分。其中,前64位作为地址前缀信息,后64位作为设备标识符,通过对全部样本设备的IPV6地址进行处理,获取多个样本设备标识符和多个样本地址前缀信息,以构建样本数据集。其次,采集多个样本设备的技术规格信息,包括处理器架构、内存参数、存储容量、设备芯片的生产物理特征等,得到多个样本设备对应的样本设备物理特征信息。将收集到的多个样本设备的样本设备标识符与样本设备物理特征信息建立映射关系,用于训练设备特征识别分支。同时,在多个样本设备所在网络设置流量探测点,对样本设备的网络流量进行镜像和解析,统计多个样本设备的网络协议类型、传输端口、通信对端等信息,根据协议和端口判断出业务类型,例如HTTP、FTP、数据库等,从而获取多个样本设备的全部业务类型及分布情况,构成多个样本设备的样本业务特征信息。将多个样本设备的样本地址前缀信息与样本业务特征信息进行对应关联,用于训练业务特征识别分支。
然后,选择卷积神经网络CNN作为设备特征识别分支框架,输入层为设备标识符,输出层为设备物理特征信息,通过多层卷积、池化、全连接层建立输入和输出之间的映射;以收集到的多个样本设备的样本设备标识符与样本设备物理特征信息作为构建设备特征识别分支的数据集,并划分数据集为训练集、验证集和测试集,使用训练集训练分支,验证集进行迭代优化,使分支逐步拟合设备标识符与设备物理特征之间的关联模式,在测试集上评估分支的识别性能,得到最终的设备特征识别分支。同时,选择基于LSTM的循环神经网络RNN作为业务特征识别分支框架,输入层为地址前缀信息,输出层为业务特征信息,通过LSTM层建模地址前缀序列,全连接层映射到业务特征;以收集到的多个样本地址前缀信息和多个样本业务特征信息作为构建业务特征识别分支的数据集,并划分数据集为训练集、验证集和测试集,使用训练集训练分支,验证集进行优化,使分支拟合地址前缀和业务特征间的模式,在测试集上评估分支的识别性能,得到最终的业务特征识别分支。接着,将设备特征识别分支和业务特征识别分支集成封装为一个组件,定义统一的接口,接口输入为IPV6地址的设备标识符和地址前缀信息,输出为提取的设备物理特征信息和业务特征信息,该组件即为地址字符解析器,实现对IPV6地址中设备物理特征信息和业务特征信息的识别。
随后,将获取到的目标设备的IPV6地址对应的设备标识符和地址前缀信息,输入地址字符解析器中,地址字符解析器将目标设备的IPV6地址对应的设备标识符输入设备特征识别分支中进行识别,输出设备物理特征信息;地址字符解析器将目标设备的IPV6地址对应的地址前缀信息输入业务特征识别分支中,输出业务特征信息。通过地址解析器实现对目标设备IPV6地址的有效解析,为安全风险分析提供关键信息。
获取发送至所述IPV6地址的网络数据,获取所述网络数据的数据特征信息;
在本申请实施例中,网络数据是指通过IP数据报文发送到目标IPV6地址的各类业务数据。通过在网络中设置流量探测点,对连接目标设备的网络链路进行数据报文的镜像获取,在获取的数据报文目的地址中过滤出与目标设备IPV6地址匹配的流量,得到发送至IPV6地址的网络数据。接着,对获得的网络数据进行协议解析,提取传输层有效负载,获取不同业务的数据内容。同时,分析IP数据报文的头信息,提取数据特征,比如报文大小、标志位、时间戳等特征。综合数据内容和数据特征,获得发送到目标设备的网络数据的数据特征信息。通过获取发送至IPV6地址的网络数据及其数据特征信息,为对IPV6的地址数据进行安全风险分析提供信息。
根据所述设备物理特征信息和数据特征信息,分析所述目标设备处理所述网络数据的适配性,获得设备适配性参数,并计算获得第一风险参数;
进一步的,本步骤具体包括:
基于所述设备物理特征信息,获取对具有不同的多个样本数据特征信息的网络数据进行处理的处理速度,作为多个样本处理速度;
根据多个样本处理速度的大小,分配获得多个样本设备适配性参数,样本设备适配性参数的取值范围为(0,1);
基于多个样本数据特征信息和多个样本设备适配性参数,训练获取设备适配预测器;
采用设备适配预测器,对所述数据特征信息进行识别,获得所述设备适配性参数;
计算1与所述设备适配性参数的差,作为第一风险参数。
在一种优选的实施方式中,评估目标设备对网络数据的处理效率,获得第一风险参数,反映数据积压或溢出的风险,作为安全检测的重要参考之一。首先,准备具有不同的多个样本数据特征信息的网络数据样本,例如不同的报文大小、业务类型等,基于获取的目标设备的设备物理特征信息,分别采集发送各类网络数据样本时的处理时间,例如发送大文件时的平均处理速率,发送视频流时的处理帧率等,反映出目标设备对不同网络数据的处理速度,得到多个样本处理速度。其次,将处理速度最快的样本映射到适配性参数1,表示处理高度适配;处理速度最慢的样本映射到适配性参数0,表示处理不适配;其他样本根据其处理速度大小,线性映射到0到1之间的适配性参数。这样,根据不同的样本处理速度数据,得出多个样本设备适配性参数,参数范围在0到1之间,1表示处理完全适配,0表示不适配。
然后,将多个样本数据特征信息和多个样本设备适配性参数组合为训练样本;选择机器学习算法,如支持向量机、神经网络等;以数据特征信息为输入,设备适配性参数为输出。通过训练样本进行模型训练,学习在目标设备中数据特征之间与处理适配性的关系,得到从数据特征到设备适配性的参数映射预测模型,即设备适配预测器。随后,需要利用训练得到的设备适配预测器,对发送至IPV6地址的网络数据的数据特征信息进行识别,预测目标设备对该网络数据的处理适配性参数,得到设备适配性参数。其中,设备适配性参数的范围为0到1,1表示处理高度适配,0表示不适配。之后,计算1与设备适配性参数的差值,该设备适配性参数越小,说明目标设备处理数据越不流畅,差值就越大,风险越大。将计算得到的差值,作为第一风险参数,直观反映目标设备处理该网络数据的安全隐患,作为IPV6的地址数据安全检测的评估指标之一。
获取所述网络数据的业务类型,根据所述业务特征信息,分析所述目标设备处理所述网络数据的适配性,获得业务适配性参数,并计算获得第二风险参数;
进一步的,本步骤具体包括:
随机调取具有所述业务特征信息的终端设备处理的网络数据的业务类型,获得样本业务类型记录;
对所述样本业务类型记录内的样本业务类型进行聚类,获得多个样本业务类型聚类结果;
根据多个样本业务类型聚类结果内样本业务类型的数量,分别分配获得多个样本业务适配性参数,并构建业务适配对照表;
基于所述网络数据的业务类型,匹配获得所述业务适配性参数,并计算与1的差值,获得所述第二风险参数。
在一种优选的实施方式中,评估目标设备处理某业务数据的适配性,获得第二风险参数,作为安全检测的重要参考之一。首先,调取IPV6地址中地址前缀信息的业务特征信息对应的终端设备,从中随机调取终端设备处理的网络数据的业务类型,作为样本业务类型记录。其次,为了分析样本业务类型的分布情况,采用K-Means聚类算法对样本业务类型进行分析,通过多次聚类运算,获得样本业务被聚到不同类别中的结果,即多个样本业务类型聚类结果。然后,对得到的多个样本业务类型聚类结果,统计每个类别下样本业务的数量,即所占比例。按照预定的适配性参数计算方式,根据不同类别下的样本数,分别映射计算对应的业务适配性参数。例如,样本数最多的类别,映射为适配性参数0.9;样本数最少的类别映射为参数0.1。依此类推,得到全部聚类结果对应的多个样本业务适配性参数。随后,将类别与对应的适配性参数构建为一个对照表,即业务适配对照表。
接着,根据获取的发送至IPV6地址的网络数据,获取其业务类型,如视频流量,在构建好的业务适配对照表中查找对应的适配性参数,例如视频流量对应的适配性参数为0.75。然后计算1与取得适配性参数的差值,作为第二风险参数,作为IPV6的地址数据安全检测的评估指标之一。其中,该差值越大,表示目标设备处理该网络数据越不适配,安全风险越大。
基于所述目标设备通过所述IPV6地址接收数据的接收数据记录,以及调取具有所述数据特征信息的同族数据发送的数据发送记录,根据所述接收数据记录和数据发送记录,分析所述目标设备接收所述网络数据的第三风险参数,以及所述网络数据发送至所述目标设备的第四风险参数,其中,第三风险参数为1减去所述数据特征信息在所述接收数据记录内的占比,第四风险参数为1减去所述设备物理特征信息在所述数据发送记录内的占比;
进一步的,本步骤具体包括:
基于所述目标设备的接收数据记录,并提取数据特征信息,获得数据特征信息记录;
计算所述网络数据的数据特征信息在所述数据特征信息记录内的占比,获得第三风险参数;
调取网络内具有所述数据特征信息的同族数据发生的数据发送记录,调取数据发送记录内接收终端的设备物理特征信息,获得设备物理特征信息记录;
计算所述目标设备的设备物理特征信息在所述设备物理特征信息记录内的占比,获得第四风险参数。示例性地,第三风险参数为1减去数据特征信息在接收数据记录内全部数据的数据特征信息内的占比,第四风险参数为1减去设备物理特征信息在数据发送记录内全部发送设备的设备物理特征信息中的占比。
在一种优选的实施方式中,首先,预先收集目标设备在一段时间内的通过IPV6地址接收的网络数据,构成目标设备的接收数据记录,同时对这些接收数据进行特征提取,分析得到每个数据的属性,获得数据大小、源地址、时间戳等数据特征信息,将所有接收数据的特征信息整理,构建成接收数据的数据特征信息记录。然后,统计计算发送至IPV6的网络数据的数据特征信息在数据特征信息记录中出现的占比,将该占比转换为0-1的第三风险参数,作为IPV6的地址数据安全检测的评估指标之一。例如,发送至IPV6的网络数据的数据特征信息在数据特征信息记录中的占比为10%,映射为第三风险参数0.9。
同时,在整个网络环境中,调取历史传输具有发送至IPV6的网络数据的数据特征信息的同类数据的发送记录。在这些历史发送记录中,提取出接收方设备的特征信息,例如接收数据的服务器或终端设备的CPU、内存等参数。再将不同历史记录中接收端的设备特征信息整理汇总,构建成设备物理特征信息记录。随后,统计目标设备的设备物理特征信息在设备物理特征信息记录中出现的占比,该占比越低,说明目标设备与典型的接收设备越不同,网络数据到目标设备的风险越大。之后,根据占比大小转换为0-1的第四风险参数,作为IPV6的地址数据安全检测的评估指标之一。例如,目标设备的物理特征信息在设备物理特征信息记录中的占比中占比为5%,映射为第四风险参数0.95。
根据所述第一风险参数、第二风险参数、第三风险参数和第四风险参数,计算获得所述网络数据传输至目标设备的综合风险系数,作为安全检测结果。
进一步的,本步骤具体包括:
构建综合风险系数计算函数,如下式:
其中,ris为综合风险参数,T为风险参数的数量,T为4,wi为根据第i种风险参数对数据传输安全影响程度分配的权重,Fi为第i种风险参数。
在一种优选的实施方式中,构建综合风险系数计算函数,以根据获得的多种不同侧面的风险参数对网络数据传输至目标设备的风险进行综合评估,优选的综合风险系数计算函数为:其中,ris为综合风险系数,T为风险参数的个数,本申请实施例中共有4种参数,分别为第一风险参数、第二风险参数、第三风险参数、第四风险参数,wi为第i种参数的权重,根据其对风险的影响程度进行预设,Fi为第i种风险参数。
将第一风险参数、第二风险参数、第三风险参数、第四风险参数带入该综合风险系数计算函数中,综合各个风险参数,计算出最终网络数据传输至目标设备的综合风险系数,作为IPV6的地址数据的安全检测结果,客观全面地反映网络数据到目标设备的安全传输风险。
综上所述,本申请实施例所提供的一种IPV6的地址数据安全检测方法具有如下技术效果:
采集目标设备的IPV6地址,对IPV6地址进行划分,获得设备标识符以及核心网为目标设备分配的地址前缀信息,为获得设备特征和业务特征信息打基础。根据设备标识符,识别获取目标设备的设备物理特征信息,根据地址前缀信息,识别获取IPV6地址的业务特征信息,为适配性分析提供基础。获取发送至IPV6地址的网络数据,获取网络数据的数据特征信息,获得实际传输数据信息,为设备和业务适配性分析提供基础。根据设备物理特征信息和数据特征信息,分析目标设备处理网络数据的适配性,获得设备适配性参数,并计算获得第一风险参数,评估目标设备处理数据的风险。获取网络数据的业务类型,根据业务特征信息,分析目标设备处理网络数据的适配性,获得业务适配性参数,并计算获得第二风险参数,评估业务的安全风险。基于目标设备通过IPV6地址接收数据的接收数据记录,以及调取具有数据特征信息的同族数据发送的数据发送记录,根据接收数据记录和数据发送记录,分析目标设备接收网络数据的第三风险参数,以及网络数据发送至目标设备的第四风险参数,评估历史记录反映的风险。根据第一风险参数、第二风险参数、第三风险参数和第四风险参数,计算获得网络数据传输至目标设备的综合风险系数,作为安全检测结果,实现准确、全面、多维度的安全检测。
实施例二
基于与前述实施例中一种IPV6的地址数据安全检测方法相同的发明构思,如图3所示,本申请实施例提供了一种IPV6的地址数据安全检测系统,该系统应用于一IPV6的地址数据安全检测装置,装置与目标设备连接,该系统包括:
IPV6地址划分模块11,用于采集目标设备的IPV6地址,对IPV6地址进行划分,获得设备标识符以及核心网为目标设备分配的地址前缀信息;
特征信息识别模块12,用于根据所述设备标识符,识别获取目标设备的设备物理特征信息,根据所述地址前缀信息,识别获取所述IPV6地址的业务特征信息;
数据特征信息模块13,用于获取发送至所述IPV6地址的网络数据,获取所述网络数据的数据特征信息;
第一风险参数模块14,用于根据所述设备物理特征信息和数据特征信息,分析所述目标设备处理所述网络数据的适配性,获得设备适配性参数,并计算获得第一风险参数;
第二风险参数模块15,用于获取所述网络数据的业务类型,根据所述业务特征信息,分析所述目标设备处理所述网络数据的适配性,获得业务适配性参数,并计算获得第二风险参数;
其余风险参数模块16,用于基于所述目标设备通过所述IPV6地址接收数据的接收数据记录,以及调取具有所述数据特征信息的同族数据发送的数据发送记录,根据所述接收数据记录和数据发送记录,分析所述目标设备接收所述网络数据的第三风险参数,以及所述网络数据发送至所述目标设备的第四风险参数,其中,第三风险参数为1减去所述数据特征信息在所述接收数据记录内的占比,第四风险参数为1减去所述设备物理特征信息在所述数据发送记录内的占比;
安全检测结果模块17,用于根据所述第一风险参数、第二风险参数、第三风险参数和第四风险参数,计算获得所述网络数据传输至目标设备的综合风险系数,作为安全检测结果。
进一步的,IPV6地址划分模块11包括以下执行步骤:
采集目标设备当前在网络内的IPV6地址;
将所述IPV6地址内的前64位划分为地址前缀信息,后64位字符划分为设备标识符。
进一步的,特征信息识别模块12包括以下执行步骤:
根据多个样本设备的IPV6地址,获取多个样本设备标识符和多个样本地址前缀信息;
采集多个样本设备的样本设备物理特征信息,样本设备物理特征信息包括设备芯片的生产物理特征信息;
获取多个样本设备的样本业务特征信息,样本业务特征信息包括样本设备在网络内进行的全部业务类型;
采用多个样本设备标识符和多个样本设备物理特征信息,作为训练数据,训练获得设备特征识别分支,采用多个样本地址前缀信息和多个样本业务特征信息,训练获得业务特征识别分支,结合设备特征识别分支,获得地址字符解析器;
基于地址字符解析器,对所述设备标识符和地址前缀信息进行识别,获得所述设备物理特征信息和业务特征信息。
进一步的,第一风险参数模块14包括以下执行步骤:
基于所述设备物理特征信息,获取对具有不同的多个样本数据特征信息的网络数据进行处理的处理速度,作为多个样本处理速度;
根据多个样本处理速度的大小,分配获得多个样本设备适配性参数,样本设备适配性参数的取值范围为(0,1);
基于多个样本数据特征信息和多个样本设备适配性参数,训练获取设备适配预测器;
采用设备适配预测器,对所述数据特征信息进行识别,获得所述设备适配性参数;
计算1与所述设备适配性参数的差,作为第一风险参数。
进一步的,第二风险参数模块15包括以下执行步骤:
随机调取具有所述业务特征信息的终端设备处理的网络数据的业务类型,获得样本业务类型记录;
对所述样本业务类型记录内的样本业务类型进行聚类,获得多个样本业务类型聚类结果;
根据多个样本业务类型聚类结果内样本业务类型的数量,分别分配获得多个样本业务适配性参数,并构建业务适配对照表;
基于所述网络数据的业务类型,匹配获得所述业务适配性参数,并计算与1的差值,获得所述第二风险参数。
进一步的,其余风险参数模块16包括以下执行步骤:
基于所述目标设备的接收数据记录,并提取数据特征信息,获得数据特征信息记录;
计算所述网络数据的数据特征信息在所述数据特征信息记录内的占比,获得第三风险参数;
调取网络内具有所述数据特征信息的同族数据发生的数据发送记录,调取数据发送记录内接收终端的设备物理特征信息,获得设备物理特征信息记录;
计算所述目标设备的设备物理特征信息在所述设备物理特征信息记录内的占比,获得第四风险参数。
进一步的,安全检测结果模块17包括以下执行步骤:
构建综合风险系数计算函数,如下式:
其中,ris为综合风险参数,T为风险参数的数量,T为4,wi为根据第i种风险参数对数据传输安全影响程度分配的权重,Fi为第i种风险参数。
综上所述的方法的任意步骤都可作为计算机指令或者程序存储在不设限制的计算机存储器中,并可以被不设限制的计算机处理器调用识别用以实现本申请实施例中的任一项方法,在此不做多余限制。
进一步的,综上所述的第一或第二可能不止代表次序关系,也可能代表某项特指概念,和/或指的是多个元素之间可单独或全部选择。显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的范围。这样,倘若本申请的这些修改和变型属于本申请及其等同技术的范围之内,则本申请意图包括这些改动和变型在内。
Claims (8)
1.一种IPV6的地址数据安全检测方法,其特征在于,所述方法应用于一IPV6的地址数据安全检测装置,所述装置与目标设备连接,所述方法包括:
采集目标设备的IPV6地址,对IPV6地址进行划分,获得设备标识符以及核心网为目标设备分配的地址前缀信息;
根据所述设备标识符,识别获取目标设备的设备物理特征信息,根据所述地址前缀信息,识别获取所述IPV6地址的业务特征信息;
获取发送至所述IPV6地址的网络数据,获取所述网络数据的数据特征信息;
根据所述设备物理特征信息和数据特征信息,分析所述目标设备处理所述网络数据的适配性,获得设备适配性参数,并计算获得第一风险参数;
获取所述网络数据的业务类型,根据所述业务特征信息,分析所述目标设备处理所述网络数据的适配性,获得业务适配性参数,并计算获得第二风险参数;
基于所述目标设备通过所述IPV6地址接收数据的接收数据记录,以及调取具有所述数据特征信息的同族数据发送的数据发送记录,根据所述接收数据记录和数据发送记录,分析所述目标设备接收所述网络数据的第三风险参数,以及所述网络数据发送至所述目标设备的第四风险参数,其中,第三风险参数为1减去所述数据特征信息在所述接收数据记录内的占比,第四风险参数为1减去所述设备物理特征信息在所述数据发送记录内的占比;
根据所述第一风险参数、第二风险参数、第三风险参数和第四风险参数,计算获得所述网络数据传输至目标设备的综合风险系数,作为安全检测结果。
2.根据权利要求1所述的方法,其特征在于,所述方法包括:
采集目标设备当前在网络内的IPV6地址;
将所述IPV6地址内的前64位划分为地址前缀信息,后64位字符划分为设备标识符。
3.根据权利要求1所述的方法,其特征在于,所述方法包括:
根据多个样本设备的IPV6地址,获取多个样本设备标识符和多个样本地址前缀信息;
采集多个样本设备的样本设备物理特征信息,样本设备物理特征信息包括设备芯片的生产物理特征信息;
获取多个样本设备的样本业务特征信息,样本业务特征信息包括样本设备在网络内进行的全部业务类型;
采用多个样本设备标识符和多个样本设备物理特征信息,作为训练数据,训练获得设备特征识别分支,采用多个样本地址前缀信息和多个样本业务特征信息,训练获得业务特征识别分支,结合设备特征识别分支,获得地址字符解析器;
基于地址字符解析器,对所述设备标识符和地址前缀信息进行识别,获得所述设备物理特征信息和业务特征信息。
4.根据权利要求1所述的方法,其特征在于,所述方法包括:
基于所述设备物理特征信息,获取对具有不同的多个样本数据特征信息的网络数据进行处理的处理速度,作为多个样本处理速度;
根据多个样本处理速度的大小,分配获得多个样本设备适配性参数,样本设备适配性参数的取值范围为(0,1);
基于多个样本数据特征信息和多个样本设备适配性参数,训练获取设备适配预测器;
采用设备适配预测器,对所述数据特征信息进行识别,获得所述设备适配性参数;
计算1与所述设备适配性参数的差,作为第一风险参数。
5.根据权利要求1所述的方法,其特征在于,所述方法包括:
随机调取具有所述业务特征信息的终端设备处理的网络数据的业务类型,获得样本业务类型记录;
对所述样本业务类型记录内的样本业务类型进行聚类,获得多个样本业务类型聚类结果;
根据多个样本业务类型聚类结果内样本业务类型的数量,分别分配获得多个样本业务适配性参数,并构建业务适配对照表;
基于所述网络数据的业务类型,匹配获得所述业务适配性参数,并计算与1的差值,获得所述第二风险参数。
6.根据权利要求1所述的方法,其特征在于,所述方法包括:
基于所述目标设备的接收数据记录,并提取数据特征信息,获得数据特征信息记录;
计算所述网络数据的数据特征信息在所述数据特征信息记录内的占比,获得第三风险参数;
调取网络内具有所述数据特征信息的同族数据发生的数据发送记录,调取数据发送记录内接收终端的设备物理特征信息,获得设备物理特征信息记录;
计算所述目标设备的设备物理特征信息在所述设备物理特征信息记录内的占比,获得第四风险参数。
7.根据权利要求1所述的方法,其特征在于,所述方法包括:
构建综合风险系数计算函数,如下式:
其中,ris为综合风险参数,T为风险参数的数量,T为4,wi为根据第i种风险参数对数据传输安全影响程度分配的权重,Fi为第i种风险参数。
8.一种IPV6的地址数据安全检测系统,其特征在于,用于实施权利要求1-7任意一项所述的一种IPV6的地址数据安全检测方法,所述系统应用于一IPV6的地址数据安全检测装置,所述装置与目标设备连接,所述系统包括:
IPV6地址划分模块,所述IPV6地址划分模块用于采集目标设备的IPV6地址,对IPV6地址进行划分,获得设备标识符以及核心网为目标设备分配的地址前缀信息;
特征信息识别模块,所述特征信息识别模块用于根据所述设备标识符,识别获取目标设备的设备物理特征信息,根据所述地址前缀信息,识别获取所述IPV6地址的业务特征信息;
数据特征信息模块,所述数据特征信息模块用于获取发送至所述IPV6地址的网络数据,获取所述网络数据的数据特征信息;
第一风险参数模块,所述第一风险参数模块用于根据所述设备物理特征信息和数据特征信息,分析所述目标设备处理所述网络数据的适配性,获得设备适配性参数,并计算获得第一风险参数;
第二风险参数模块,所述第二风险参数模块用于获取所述网络数据的业务类型,根据所述业务特征信息,分析所述目标设备处理所述网络数据的适配性,获得业务适配性参数,并计算获得第二风险参数;
其余风险参数模块,所述其余风险参数模块用于基于所述目标设备通过所述IPV6地址接收数据的接收数据记录,以及调取具有所述数据特征信息的同族数据发送的数据发送记录,根据所述接收数据记录和数据发送记录,分析所述目标设备接收所述网络数据的第三风险参数,以及所述网络数据发送至所述目标设备的第四风险参数,其中,第三风险参数为1减去所述数据特征信息在所述接收数据记录内的占比,第四风险参数为1减去所述设备物理特征信息在所述数据发送记录内的占比;
安全检测结果模块,所述安全检测结果模块用于根据所述第一风险参数、第二风险参数、第三风险参数和第四风险参数,计算获得所述网络数据传输至目标设备的综合风险系数,作为安全检测结果。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311467348.7A CN117395060A (zh) | 2023-11-07 | 2023-11-07 | 一种ipv6的地址数据安全检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311467348.7A CN117395060A (zh) | 2023-11-07 | 2023-11-07 | 一种ipv6的地址数据安全检测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117395060A true CN117395060A (zh) | 2024-01-12 |
Family
ID=89471824
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311467348.7A Pending CN117395060A (zh) | 2023-11-07 | 2023-11-07 | 一种ipv6的地址数据安全检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117395060A (zh) |
-
2023
- 2023-11-07 CN CN202311467348.7A patent/CN117395060A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106649831B (zh) | 一种数据过滤方法及装置 | |
WO2020078385A1 (zh) | 数据采集方法、装置、存储介质及系统 | |
CN111385297B (zh) | 无线设备指纹识别方法、系统、设备及可读存储介质 | |
CN111526099B (zh) | 基于深度学习的物联网应用流量检测方法 | |
CN110324327B (zh) | 基于特定企业域名数据的用户及服务器ip地址标定装置及方法 | |
CN109474603B (zh) | 数据抓包处理方法及终端设备 | |
CN110198303A (zh) | 威胁情报的生成方法及装置、存储介质、电子装置 | |
CN110648172B (zh) | 一种融合多种移动设备的身份识别方法和系统 | |
CN113706100B (zh) | 配电网物联终端设备实时探测识别方法与系统 | |
CN109698798B (zh) | 一种应用的识别方法、装置、服务器和存储介质 | |
CN112632129A (zh) | 一种码流数据管理方法、装置及存储介质 | |
KR100901696B1 (ko) | 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법 | |
CN102098346B (zh) | 一种在未知流量中识别p2p流媒体流量的方法 | |
CN117395060A (zh) | 一种ipv6的地址数据安全检测方法及系统 | |
CN106789411B (zh) | 一种机房内活跃ip数据的采集方法和装置 | |
CN113157847B (zh) | 森林植物调查数据快速检核方法及装置 | |
CN115051859A (zh) | 情报分析方法、情报分析装置、电子设备及介质 | |
CN114817256A (zh) | 一种物联网快速统一存储系统 | |
CN114153807A (zh) | 报文处理方法、装置、电子设备和计算机可读存储介质 | |
CN111611483A (zh) | 一种对象画像构建方法、装置、设备及存储介质 | |
CN111680286A (zh) | 物联网设备指纹库的精细化方法 | |
CN117097578B (zh) | 一种网络流量的安全监控方法、系统、介质及电子设备 | |
KR100621996B1 (ko) | 인터넷 서비스 트래픽의 분석방법 및 시스템 | |
CN114679394B (zh) | 一种基于网络空间搜索引擎的比特币地址分类验证方法 | |
CN115580490B (zh) | 工业互联网边缘设备行为检测方法、装置、设备及介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |