[发明专利]一种IPv6攻击溯源方法

说明书

一种IPv6攻击溯源方法，包括信息流分类步骤、报文标记步骤、验证信息生成步骤以及信息判断步骤。本发明提出了更加高效合理的标记概率算法，判断报文的标记概率，将报文以流为对象进行标记，并以带宽占有率分为大流量与小流量。为了避免大流量的标记后的报文过多，标记概率根据带宽占有率进行动态调整，而小流量则以固定概率进行标记，保证对于小流量的标记，最终有助于以较少的标记后的报文对DDoS攻击的溯源。改进了传统的标记流程，将域内溯源与域间溯源相结合，选取接入网路由器与自治域边界路由器进行相关的标记而生成标记后的报文，最大程度上保证了重构路径的完整性，既有利于阻断攻击，也标记了攻击源。

技术领域

本发明涉及网络安全技术领域，具体涉及IPv6攻击溯源方法。

背景技术

伴随着互联网的飞速发展，IPv4协议的弊端日益显现。IP地址严重不足，尽管提出了多种方案暂时缓解了矛盾，但无法长久解决问题。各种网络攻击层出不穷，DDoS攻击自诞生之日起到现在一直是网络无法避免的攻击形式，伪造报文源地址给攻击溯源造成了极大地困难，并给社会带来了极大地破坏。IPv6协议虽然解决了IPv4协议IP地址不足的问题，但仍然面临着安全风险。IPv6协议在世界范围内广泛推广，发展势头迅猛。越来越多的人开始关注IPv6协议的安全性能。其中DDoS攻击在IPv6协议中的风险性受到了广泛的关注。

根据现有的研究文献，目前的DDoS攻击溯源技术大致包括入口调试法、受控洪泛法、ICMP报文法、日志记录法、覆盖网络法以及包标记法。

包标记算法例如，中国专利申请号CN201610290098.8，名称为“一种面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法”，属于计算机网络领域，该发明利用DPM算法标记流量入口信息的功能，受害者通过识别标记内容，反馈于控制器，结合SDN控制器全局拓扑的能力，实现DDoS攻击的溯源操作，并通过获取攻击者处交换机流表信息实现源端过滤。具有追踪准确、负担轻的优点。中国专利申请号CN201210285572.X，名称为“一种针对自治域系统的分布式拒绝服务攻击(DDoS)的攻击源追踪方法”，属于网络安全技术领域，其技术方案是首先入口路由器按一定的概率对数据包进行标记，然后目标主机提取攻击数据包，进行路径重构得到攻击路径经过的AS，最终确认入口路由器。中国专利申请号CN200810080210.0，名称为“基于组合公钥数字签名技术的边缘概率包标记方法”，它涉及通信网络安全领域中通过在数据包中加入标记实现对攻击源进行定位的技术。它对从局域网来的数据包以设定概率进行采样，用边缘路由器ID信息对采样数据包进行标记，并对标记进行基于组合公钥的数字签名保证标记的可信性。

中国专利申请号CN201710791270.2，名称为“一种基于HTTP DNS的DDoS攻击防御及溯源方法”，在攻击到来时，无需大量资源进行防御，迅速通过HTTP DNS切走流量；经过有限次迭代处理，可以迅速发现可疑攻击者并阻断攻击；针对攻击者IP定位准确，极大地减少了合法客户端IP的误拦和误报。

2013年，北京邮电大学齐开诚提出并设计一种可面向IPv4和IPv6共存网络环境的网络攻击溯源系统。系统采用基于网络层数据报文分析方法的网络溯源技术，釆用了零拷贝的技术作为数据报文捕获手段，提取分析并记录流经系统的TCP五元组数据。

2016年，冯波提出提出了一种基于概率包标记的IPv6攻击源追踪方案。该方案在原有IPv4概率包标记方法的基础上进行了有效的改进，重新规划标记区域，分别在IPv6的基本报头和扩展报头上划分合适的标识域和信息域，既解决标记空间不足的问题，又能规范标记信息的存放秩序。

针对DDoS攻击的各种攻击溯源方法，为维护网络的正常运行奠定了基础。主要的方法包括入口调试法、受控洪泛法、ICMP报文法、日志记录法、覆盖网络法以及包标记法。