一種IPv6攻擊溯源方法，包括信息流分類步驟、報(bào)文標(biāo)記步驟、驗(yàn)證信息生成步驟以及信息判斷步驟。本發(fā)明提出了更加高效合理的標(biāo)記概率算法，判斷報(bào)文的標(biāo)記概率，將報(bào)文以流為對(duì)象進(jìn)行標(biāo)記，并以帶寬占有率分為大流量與小流量。為了避免大流量的標(biāo)記后的報(bào)文過(guò)多，標(biāo)記概率根據(jù)帶寬占有率進(jìn)行動(dòng)態(tài)調(diào)整，而小流量則以固定概率進(jìn)行標(biāo)記，保證對(duì)于小流量的標(biāo)記，最終有助于以較少的標(biāo)記后的報(bào)文對(duì)DDoS攻擊的溯源。改進(jìn)了傳統(tǒng)的標(biāo)記流程，將域內(nèi)溯源與域間溯源相結(jié)合，選取接入網(wǎng)路由器與自治域邊界路由器進(jìn)行相關(guān)的標(biāo)記而生成標(biāo)記后的報(bào)文，最大程度上保證了重構(gòu)路徑的完整性，既有利于阻斷攻擊，也標(biāo)記了攻擊源。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，具體涉及IPv6攻擊溯源方法。

背景技術(shù)

伴隨著互聯(lián)網(wǎng)的飛速發(fā)展，IPv4協(xié)議的弊端日益顯現(xiàn)。IP地址嚴(yán)重不足，盡管提出了多種方案暫時(shí)緩解了矛盾，但無(wú)法長(zhǎng)久解決問題。各種網(wǎng)絡(luò)攻擊層出不窮，DDoS攻擊自誕生之日起到現(xiàn)在一直是網(wǎng)絡(luò)無(wú)法避免的攻擊形式，偽造報(bào)文源地址給攻擊溯源造成了極大地困難，并給社會(huì)帶來(lái)了極大地破壞。IPv6協(xié)議雖然解決了IPv4協(xié)議IP地址不足的問題，但仍然面臨著安全風(fēng)險(xiǎn)。IPv6協(xié)議在世界范圍內(nèi)廣泛推廣，發(fā)展勢(shì)頭迅猛。越來(lái)越多的人開始關(guān)注IPv6協(xié)議的安全性能。其中DDoS攻擊在IPv6協(xié)議中的風(fēng)險(xiǎn)性受到了廣泛的關(guān)注。

根據(jù)現(xiàn)有的研究文獻(xiàn)，目前的DDoS攻擊溯源技術(shù)大致包括入口調(diào)試法、受控洪泛法、ICMP報(bào)文法、日志記錄法、覆蓋網(wǎng)絡(luò)法以及包標(biāo)記法。

包標(biāo)記算法例如，中國(guó)專利申請(qǐng)?zhí)朇N201610290098.8，名稱為“一種面向SDN的基于OpenFlow-DPM的DDoS溯源與源端過(guò)濾方法”，屬于計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域，該發(fā)明利用DPM算法標(biāo)記流量入口信息的功能，受害者通過(guò)識(shí)別標(biāo)記內(nèi)容，反饋于控制器，結(jié)合SDN控制器全局拓?fù)涞哪芰?，?shí)現(xiàn)DDoS攻擊的溯源操作，并通過(guò)獲取攻擊者處交換機(jī)流表信息實(shí)現(xiàn)源端過(guò)濾。具有追蹤準(zhǔn)確、負(fù)擔(dān)輕的優(yōu)點(diǎn)。中國(guó)專利申請(qǐng)?zhí)朇N201210285572.X，名稱為“一種針對(duì)自治域系統(tǒng)的分布式拒絕服務(wù)攻擊(DDoS)的攻擊源追蹤方法”，屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，其技術(shù)方案是首先入口路由器按一定的概率對(duì)數(shù)據(jù)包進(jìn)行標(biāo)記，然后目標(biāo)主機(jī)提取攻擊數(shù)據(jù)包，進(jìn)行路徑重構(gòu)得到攻擊路徑經(jīng)過(guò)的AS，最終確認(rèn)入口路由器。中國(guó)專利申請(qǐng)?zhí)朇N200810080210.0，名稱為“基于組合公鑰數(shù)字簽名技術(shù)的邊緣概率包標(biāo)記方法”，它涉及通信網(wǎng)絡(luò)安全領(lǐng)域中通過(guò)在數(shù)據(jù)包中加入標(biāo)記實(shí)現(xiàn)對(duì)攻擊源進(jìn)行定位的技術(shù)。它對(duì)從局域網(wǎng)來(lái)的數(shù)據(jù)包以設(shè)定概率進(jìn)行采樣，用邊緣路由器ID信息對(duì)采樣數(shù)據(jù)包進(jìn)行標(biāo)記，并對(duì)標(biāo)記進(jìn)行基于組合公鑰的數(shù)字簽名保證標(biāo)記的可信性。

中國(guó)專利申請(qǐng)?zhí)朇N201710791270.2，名稱為“一種基于HTTP DNS的DDoS攻擊防御及溯源方法”，在攻擊到來(lái)時(shí)，無(wú)需大量資源進(jìn)行防御，迅速通過(guò)HTTP DNS切走流量；經(jīng)過(guò)有限次迭代處理，可以迅速發(fā)現(xiàn)可疑攻擊者并阻斷攻擊；針對(duì)攻擊者IP定位準(zhǔn)確，極大地減少了合法客戶端IP的誤攔和誤報(bào)。

2013年，北京郵電大學(xué)齊開誠(chéng)提出并設(shè)計(jì)一種可面向IPv4和IPv6共存網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)攻擊溯源系統(tǒng)。系統(tǒng)采用基于網(wǎng)絡(luò)層數(shù)據(jù)報(bào)文分析方法的網(wǎng)絡(luò)溯源技術(shù)，釆用了零拷貝的技術(shù)作為數(shù)據(jù)報(bào)文捕獲手段，提取分析并記錄流經(jīng)系統(tǒng)的TCP五元組數(shù)據(jù)。

2016年，馮波提出提出了一種基于概率包標(biāo)記的IPv6攻擊源追蹤方案。該方案在原有IPv4概率包標(biāo)記方法的基礎(chǔ)上進(jìn)行了有效的改進(jìn)，重新規(guī)劃標(biāo)記區(qū)域，分別在IPv6的基本報(bào)頭和擴(kuò)展報(bào)頭上劃分合適的標(biāo)識(shí)域和信息域，既解決標(biāo)記空間不足的問題，又能規(guī)范標(biāo)記信息的存放秩序。

針對(duì)DDoS攻擊的各種攻擊溯源方法，為維護(hù)網(wǎng)絡(luò)的正常運(yùn)行奠定了基礎(chǔ)。主要的方法包括入口調(diào)試法、受控洪泛法、ICMP報(bào)文法、日志記錄法、覆蓋網(wǎng)絡(luò)法以及包標(biāo)記法。