CN111343295B - 用于确定IPv6地址的风险的方法及装置 - Google Patents
用于确定IPv6地址的风险的方法及装置 Download PDFInfo
- Publication number
- CN111343295B CN111343295B CN202010099367.9A CN202010099367A CN111343295B CN 111343295 B CN111343295 B CN 111343295B CN 202010099367 A CN202010099367 A CN 202010099367A CN 111343295 B CN111343295 B CN 111343295B
- Authority
- CN
- China
- Prior art keywords
- ipv4
- ipv6
- address
- risk
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/686—Types of network addresses using dual-stack hosts, e.g. in Internet protocol version 4 [IPv4]/Internet protocol version 6 [IPv6] networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/133—Protocols for remote procedure calls [RPC]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书的实施例提供了一种用于确定IPv6地址的风险的方法及装置。在该方法中,获取基于客户端与服务端之间通过双协议栈通信而生成的IPv4报文集和IPv6报文集,IP报文包括客户端设备信息、IP地址和报文时间戳,进而在相同客户端设备信息的各组IPv4报文和IPv6报文中筛选对应相近报文时间戳的相关联的IPv4地址和IPv6地址,判断IPv4报文集中各个IPv4地址是否存在黑产风险行为,这样当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为,可以有效地识别出IPv6地址的可信性。
Description
技术领域
本说明书的实施例涉及互联网安全领域,具体地,涉及一种用于确定IPv6地址的风险的方法及装置。
背景技术
随着移动互联网技术的更新迭代,越来越多的终端设备需要接入网络而导致IPv4地址逐渐枯竭,使得利用IPv6提供网络接入成为了下一代互联网通信的趋势。
虽然IPv6协议发布已有多年,但一直没有得到大规模部署应用,尤其随着IOT(Internet of Things,物联网)的迅猛发展及国内推进IPv6规模部署的要求,各大公司及应用开始进行IPv6部署工作。
目前,IPv6的安全风控策略尚不完善,一些不法分子会通过IPv6实施黑产行为。然而,互联网运营商无法知晓IPv6地址的风险或可信性,对网络的安全运营管理和IPv6通信的推广应用形成了障碍。
针对上述问题,目前业界暂无较佳的解决方案。
发明内容
鉴于上述问题,本说明书的实施例提供了一种用于确定IPv6地址的风险的方法及装置。利用该方法及装置,将IPv4地址与IPv6地址进行关联,并将确定IPv4地址的黑产风险的策略等同地应用于IPv6地址,能够有效识别出IPv6地址的可信性。
根据本说明书实施例的一个方面,提供了一种用于确定IPv6地址的风险的方法,包括:获取IPv4报文集和IPv6报文集,所述IPv4报文集和IPv6报文集是基于客户端与服务端之间通过双协议栈通信而生成的,IP报文包括客户端设备信息、IP地址和报文时间戳;针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址;判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为;针对所述至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。
可选地,在上述方面的一个示例中,所述针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址可以包括:在具有对应相同客户端设备信息的各组IPv4报文和IPv6报文中,筛选具有对应相同报文时段的IPv4报文和IPv6报文;根据所筛选的IPv4报文和IPv6报文中的IP地址,确定相关联的IPv4地址和IPv6地址。
可选地,在上述方面的一个示例中,所述判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为可以包括:针对所述各个IPv4地址,基于IPv4风险数据库确定该IPv4地址是否存在黑产风险行为,所述IPv4风险数据库存储了至少一个具有黑产风险的IPv4地址。
可选地,在上述方面的一个示例中,该方法还可以包括:根据存在黑产风险行为的IPv6地址构建IPv6风险数据库,所述IPv6风险数据库用于存储至少一个具有黑产风险的IPv6地址。
可选地,在上述方面的一个示例中,所述判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为可以包括:确定针对所述各个IPv4地址的IP附加信息;将所述IP附加信息作为确定所述IPv4地址是否存在黑产风险行为的维度。
可选地,在上述方面的一个示例中,所述IP附加信息可以包括以下中的至少一种:IP运营商信息、IP地理位置信息、网络类型信息和网络基站信息。
可选地,在上述方面的一个示例中,所述获取IPv4报文集和IPv6报文集可以包括:从第一服务端获取所述IPv4报文集;以及从第二服务端获取所述IPv6报文集,所述第一服务端和所述第二服务端分别包括独立部署的服务器集群。
可选地,在上述方面的一个示例中,该方法还可以包括:获取针对存在黑产风险行为的IPv4地址的第一安全风控策略;将所获取的第一安全风控策略确定为针对与所述存在黑产风险行为的IPv4地址相关联的IPv6地址的第二安全风控策略。
根据本说明书的实施例的另一方面,还提供一种用于确定IPv6地址的风险的装置,包括:IP报文集获取单元,获取IPv4报文集和IPv6报文集,所述IPv4报文集和IPv6报文集是基于客户端与服务端之间通过双协议栈通信而生成的,IP报文包括客户端设备信息、IP地址和报文时间戳;关联IP组确定单元,针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址;风险行为判断单元,判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为;IPv6地址风险确定单元,针对所述至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。
可选地,在上述方面的一个示例中,所述关联IP组确定单元可以包括:报文筛选模块,在具有对应相同客户端设备信息的各组IPv4报文和IPv6报文中,筛选具有对应相同报文时段的IPv4报文和IPv6报文;关联IP确定模块,根据所筛选的IPv4报文和IPv6报文中的IP地址,确定相关联的IPv4地址和IPv6地址。
可选地,在上述方面的一个示例中,针对所述各个IPv4地址,所述风险行为判断单元可以基于风险IPv4数据库确定该IPv4地址是否存在黑产风险行为,所述风险IPv4数据库存储了至少一个具有黑产风险的IPv4地址。
可选地,在上述方面的一个示例中,所述装置还可以包括:IPv6风险数据库构建单元,根据存在黑产风险行为的IPv6地址构建IPv6风险数据库,所述IPv6风险数据库用于存储至少一个具有黑产风险的IPv6地址。
可选地,在上述方面的一个示例中,所述风险行为判断单元可以包括:IP附加信息确定模块,确定针对所述各个IPv4地址的IP附加信息;风险行为确定模块,将所述IP附加信息作为确定所述IPv4地址是否存在黑产风险行为的维度。
可选地,在上述方面的一个示例中,所述IP附加信息可以包括以下中的至少一种:IP运营商信息、IP地理位置信息、网络类型信息和网络基站信息。
可选地,在上述方面的一个示例中,所述IP报文集获取单元:从第一服务端获取所述IPv4报文集;以及,从第二服务端获取所述IPv6报文集,所述第一服务端和所述第二服务端分别包括独立部署的服务器集群。
可选地,在上述方面的一个示例中,所述装置还可以包括:IPv4风控策略获取单元,获取针对存在黑产风险行为的IPv4地址的第一安全风控策略;IPv6风控策略确定单元,将所获取的第一安全风控策略确定为针对与所述存在黑产风险行为的IPv4地址相关联的IPv6地址的第二安全风控策略。
根据本说明书的实施例的另一方面,还提供一种电子设备,包括:至少一个处理器;以及存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如上所述的用于确定IPv6地址的风险的方法。
根据本说明书的实施例的另一方面,还提供一种机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如上所述的用于确定IPv6地址的风险的方法。
附图说明
通过参照下面的附图,可以实现对于本说明书的实施例内容的本质和优点的进一步理解。在附图中,类似组件或特征可以具有相同的附图标记。附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本说明书的实施例,但并不构成对本说明书的实施例的限制。在附图中:
图1示出了根据本说明书实施例的用于确定IPv6地址的风险的方法的一示例的流程图;
图2示出了根据本说明书实施例的IPV6地址风险确定方法的一示例的流程图;
图3示出了根据本说明书实施例的IPV6地址风险确定方法的一示例的流程图;
图4示出了适于应用本说明书实施例的IPv6地址风险确定方法的一示例的架构示意图;
图5示出了根据图4所示的本说明书实施例的IPv6地址风险确定方法的一示例的信号交互流程图;
图6示出了根据本说明书的实施例的用于确定IPv6地址的风险的装置一示例的方框图;和
图7示出了根据本说明书的实施例的用于确定IPv6地址的风险的电子设备的一示例的硬件结构图。
具体实施方式
以下将参考示例实施方式讨论本文描述的主题。应该理解,讨论这些实施方式只是为了使得本领域技术人员能够更好地理解从而实现本文描述的主题,并非是对权利要求书中所阐述的保护范围、适用性或者示例的限制。可以在不脱离本说明书的实施例内容的保护范围的情况下,对所讨论的元素的功能和排列进行改变。各个示例可以根据需要,省略、替代或者添加各种过程或组件。另外,相对一些示例所描述的特征在其它例子中也可以进行组合。
如本文中使用的,术语“包括”及其变型表示开放的术语,含义是“包括但不限于”。术语“基于”表示“至少部分地基于”。术语“一个实施例”和“一实施例”表示“至少一个实施例”。术语“另一个实施例”表示“至少一个其他实施例”。术语“第一”、“第二”等可以指代不同的或相同的对象。下面可以包括其他的定义,无论是明确的还是隐含的。除非上下文中明确地指明,否则一个术语的定义在整个说明书中是一致的。
在本文中,术语“报文”(message)是网络中交换与传输的数据单元,即设备一次性要发送的数据块,也就是说,在报文中包含了将要发送的完整的数据信息。术语“双协议栈”表示在设备上同时启用IPv4协议栈和IPv6协议栈,使得该设备能同时与IPv4网络和IPv6网络的服务端进行通信,并在服务端相应地产生IPv4报文和IPv6报文。
另外,术语“黑产风险行为”表示以互联网为媒介,以网络技术为主要手段,为计算机信息***安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁的非法行为。术语“可信性”指的是一个IP是否可信任,例如在互联网中不可信的黑产IP被利用来对网络服务商发动诸如恶意刷单和Ddos(Distributed denial of service,分布式拒绝服务)攻击的风险行为。
现在结合附图来描述本说明书实施例的用于确定IPv6地址的风险的方法及装置。
图1示出了根据本说明书实施例的用于确定IPv6地址的风险的方法(下文中也被称为,IPv6地址风险确定方法)的一示例的流程图。
如图1所示的流程100,可以是由服务端(例如服务器或服务器集群)来执行的,也可以是由第三方电子设备来进行的。在块110中,获取IPv4报文集和IPv6报文集。这里,IPv4报文集和IPv6报文集可以是基于客户端与服务端之间通过双协议栈通信而生成的,IP报文包括客户端设备信息、IP地址和报文时间戳,报文时间戳可以用来标识IP报文开始进行传输(或完成通信连接的建立时)的时刻。例如,在服务端与客户端进行双协议栈通信时,服务端将通信所产生的IPv4报文集和IPv6报文集进行存储,此时服务端可以通过本地调用来获得IPv4报文集和IPv6报文集,进而确定IPv6地址的风险。可附加或可替换地,服务端还可以将上述的IPv4报文集和IPv6报文集发送给第三方电子设备,并由第三方电子设备来确定IPv6地址的风险。
需说明的是,服务端可以是表示一个或多个服务器集群。在一个示例中,至少一个服务器集群(或各个服务器集群)被配置成启动双协议栈,从而实现服务端与客户端之间进行双协议栈通信。在另一示例中,多个服务器集群下的不同服务器集群分别被配置成仅启动IPv4协议栈或IPv6协议栈的单协议栈,从而在不同的服务器集群(例如第一服务端和第二服务端)上分别落盘存储IPv4报文集或IPv6报文集。在一些实施方式中,第三方电子设备可以从第一服务端获取IPv4报文集,并从第二服务端获取IPv6报文集,第一服务端和第二服务端分别包括独立部署的服务器集群。
在块120中,针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,可以基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址。这里,IPv4报文集和IPv6报文集中存在多个客户端与服务端进行双协议栈通信时所产生的IP报文,并且一个客户端在基于双协议栈访问服务端时所产生的IPv4报文和IPv6报文中应当是具有相同或相近的报文时间戳的。因此,可以依据报文时间戳从具有对应相同客户端的各组IPv4报文和IPv6报文中确定相关联的IPv4地址和IPv6地址。
具体地,可以在具有对应相同客户端设备信息的各组IPv4报文和IPv6报文中,筛选具有对应相同报文时段的IPv4报文和IPv6报文,并根据所筛选的IPv4报文和IPv6报文中的IP地址来确定相关联的IPv4地址和IPv6地址,其中针对该相同报文时段所对应的时间长度可以是预先设置的。
在块130中,判断IPv4报文集中各个IPv4地址是否存在黑产风险行为。目前,针对IPv4的黑产风险行为的检测方案已经较为成熟,这里可以利用现有的各种检测方案来确定IPv4地址是否存在黑产风险行为。另外,本说明书实施例也可以使用新颖的方案来检测针对IPV4地址的黑产风险行为,更多细节将在下文中展开描述。
接着,在块141中,针对至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。另外,在块142中,针对至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址不存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址不存在黑产风险行为。
应理解的是,因为客户端需要被作为载体来在互联网上进行黑产风险行为,所以当客户端所对应的IPv4地址被认定为存在或不存在黑产风险行为时,该客户端所对应的IPv6地址也可被相应地认定为存在或不存在黑产风险行为。
在一些实施方式中,还可以根据IPv6地址针对黑产风险行为的识别结果,确定各个IPv6地址是否为黑产惯用IP。例如,如果IPv6地址被多次识别出存在黑产风险行为,则可以将该IPv6地址确定为黑产惯用IP。
在本说明书的实施例中,利用双协议栈通信所产生的IPv4报文集和IPv6报文集来确定相关联的IPv4地址和IPv6地址,并通过识别IPv4地址的黑产风险行为来确定各个相关联的IPv6地址是否存在黑产风险行为,能够有效识别IPv6地址的黑产风险。
图2示出了根据本说明书实施例的IPV6地址风险确定方法的一示例的流程图。
如图2所示,在块210中,确定相关联的IPv4地址和IPv6地址。关于块210的具体细节,可以参考上面参照图1中的块110和块120的操作。
接着,在块220中,针对IPv4报文集中的各个IPv4地址,基于IPv4风险数据库确定该IPv4地址是否存在黑产风险行为,IPv4风险数据库存储了至少一个具有黑产风险的IPv4地址。应理解的是,IPv4通信业务已经运行多年,业已确定各个黑产惯用IP地址(或被标记为不可信的IP地址),并将这些黑产惯用IP地址整理在IPv4风险数据库中。应理解的是,针对IPv4风险数据库中的这些IP,服务端可以严格控制各种业务服务,例如不向这些IP开放某些业务服务或者额外进行更多的核身过程。
示例性地,如果IPv4报文集中的IPv4地址存在于IPv4风险数据库中,则可以确定该IPv4地址存在黑产风险行为。以及,如果该IPv4地址不存在于IPv4风险数据库中,则可以确定该IPv4地址不存在黑产风险行为。
接着,在块231中,针对至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。另外,在块232中,当该IPv4不存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址不存在黑产风险行为。关于块231的操作,可以参考上面参照图1中的块141的描述。
接着,在块240中,根据存在黑产风险行为的IPv6地址构建IPv6风险数据库。这里,IPv6风险数据库用于存储至少一个具有黑产风险的IPv6地址。进一步地,在将来正式采用IPv6进行正式通信时,服务端可以对IPv6风险数据库中的IPv6地址进行有针对性的严格风控,从而有利于IPv6协议应用的全面推广。
图3示出了根据本说明书实施例的IPv6地址风险确定方法的一示例的流程图。
如图3所示,在块310中,确定相关联的IPv4地址和IPv6地址。关于块310的具体细节,可以参考上面参照图1中的块110和块120的操作。
接着,在块320中,确定针对各个IPv4地址的IP附加信息。这里,IP附加信息包括以下中的至少一种:IP运营商信息、IP地理位置信息、网络类型信息和网络基站信息。针对这些IP附加信息的确定过程,可以参照目前相关技术的描述,在此便不赘述。示例性地,依据IPv4地址所对应的IP分段,就能够确定与其相对应的地理位置信息和通信运营商信息,等等。
在本说明书实施例的一个示例中,可以将所确定的各个IPv4地址的IP附加信息附加到相关联的的IPv6地址上。例如,将IPv4的地理位置信息和通信运营商信息等同地应用到相关联的IPv6地址上。由此,实现了对IPv6地址的附加信息的填充,为将来正式使用IPv6通信服务提供了条件。
接着,在块330中,基于IP附加信息确定IPv4地址是否存在黑产风险行为。这里,可以将IP附加信息作为确定IPv4地址是否存在黑产风险行为的维度。示例性地,在转账业务场景中,如果连续两次转账操作所对应的IP地理位置偏移很大,则可以确定这两次转账操作所对应的IPv4地址是存在黑产风险的。
接着,在块341中,针对至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。另外,在块342中,当该IPv4不存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址不存在黑产风险行为。关于块341的操作,可以参考上面参照图1中的块141的描述。
接着,在块350中,获取针对存在黑产风险行为的IPv4地址的第一安全风控策略。应理解的是,不同的黑产风险行为(和其所对应的IPv4地址)分别适于使用不同的安全风控策略进行处理。示例性地,针对恶意刷单、发起DDos攻击行为所采用的安全风控策略(例如,生物特征认证或直接拒绝访问)是不一样的。
接着,在块360中,将所获取的第一安全风控策略确定为针对与存在黑产风险行为的IPv4地址相关联的IPv6地址的第二安全风控策略。这里,将针对IPv4地址的第一安全风控策略应用于相关联的IPv6,作为针对关联的IPv6地址的第二安全风控策略,这样能够有效地对该IPv6地址的黑产风险行为进行风控处理。
在本说明书实施例中,按照同一客户端所进行的黑产风险行为相同的基本原理,将针对客户端的IPv4地址的安全风控策略应用至与该IPv4地址相关联的IPv6地址,使得在将来使用IPv6进行正式通信服务时能够有效依据第二安全风控策略控制IPv6地址的黑产风险。
在本说明书实施例的一个示例中,IPv4报文集是基于服务端为客户端提供业务服务而产生的,以及IPv6报文集是基于服务端为客户端提供IPv6探测服务而产生的。需说明的是,IPv6探测服务可以包括获取客户端所对应的IPv6支持度、IPv6网络连接质量和IPv6的RPC成功率等,其目的是为将来使用IPv6通信正式作为可靠可信的服务进行的测试、验证和摸底的过程。例如,在服务端与客户端进行双协议栈通信的过程中,服务端利用IPv4协议通信来为客户端提供业务服务(例如,转账或播放音乐等),并且服务端利用IPv6协议通信来探测客户端所对应的IPv6信息,使得IPv6探测服务和正式的IPv4业务服务能够独立进行。
图4示出了适于应用本说明书实施例的IPv6地址风险确定方法的一示例的架构示意图。
如图4所示,架构400包括IP调度装置410、客户端420、第一服务器集群(或第一服务端)430、第二服务器集群(或第二服务端)440和用于确定IPv6地址的风险的装置(下文中也被称为“IPv6地址风险确定装置”)600。这里,IP调度装置410能够提供IP调度服务,其能够取代传统运营商的本地DNS功能,从而进行IP的灵活调度。另外,第一服务器集群430和第二服务器集群440是独立部署的两个服务器集群,其中第一服务器集群430可用于提供IPv4接入服务,而第二服务器集群440可用于提供IPv6接入服务。例如,第一服务器集群430所对应的互联网域名为A.com,而第二服务器集群430所对应的互联网域名为B.com,而IP调度装置410被配置成针对域名A.com下发IPv4地址,使得第一服务器集群能够进行IPv4通信,以及针对域名B.com下发IPv6地址,使得第二服务器集群能够进行IPv6通信。这里,客户端420是可以启动双协议栈通信的设备,例如既可以通过IPv4协议栈与第一服务器集群430通信连接,也可以通过IPv6协议栈与第二服务器集群440通信连接,第一服务器集群430会将因IPv4协议栈通信所产生的IPv4报文进行存储,第二服务器集群440会将因IPv6协议栈通信所产生的IPv6报文进行存储。进而,IPv6地址风险确定装置600可以分别从第一服务器集群430和第二服务器集群440来获取IPv4报文集和IPv6报文集,进而通过执行计算处理过程来确定IPv6地址是否存在黑产风险。
图5示出了根据图4所示的本说明书实施例的IPv6地址风险确定方法的一示例的信号交互流程图。
如图5所示,在块501中,客户端420检测当前设备和当前网络是否支持双协议栈。如果确定客户端420支持双协议栈,则在相同的时间发起两条TCP(Transmission ControlProtocol,传输控制协议)连接。
在块5021中,客户端420使用IPv4地址与第一服务器集群430请求建立连接。同时,在块5022中,客户端420使用IPv6地址与第二服务器集群440请求建立连接。
接着,在块5031中,当IPv4连接建立完成时,第一服务器集群生成IPv4报文,IPv4报文中包括客户端的设备信息、报文时间戳和IPv4公网IP。在块5032中,当IPv4连接建立完成时,第二服务器集群生成IPv6报文,IPv6报文中包括客户端的设备信息、报文时间戳和IPv6公网IP。
接着,在块5041中,第一服务器集群430提供IPv4接入服务,并会承担生产任务,以向客户端420提供业务服务,例如进行游戏、转账等功能操作。在块5042中,第二服务器集群440提供IPv6接入服务,并且第二服务器集群并不承担生产任务,只提供IPv6探测接入服务。也就是说,IPv4报文集是基于服务端为客户端提供业务服务而产生的,以及IPv6报文集是基于服务端为客户端提供IPv6探测服务而产生的。此外,第一服务器集群430和第二服务器集群440是在物理层面上隔离部署的服务器集群,能够有效防止IPv6通信不稳定或安全风险问题而对基于IPv4通信的正常业务服务所造成的影响。
接着,在块5051中,第一服务器集群430会将IPv4报文集发送至IPv6地址风险确定装置600。以及,在块5052中,第二服务器集群440会将IPv6报文集发送至IPv6地址风险确定装置600。这里,IPv4报文集和IPv6报文集包括针对多个客户端设备的IP报文。
接着,在块506中,IPv6地址风险确定装置600可以根据IPv4报文集和IPv6报文集来确定IPv6报文集中的各个IPv6地址是否存在黑产风险。例如,IPv6地址风险确定装置600可以根据对应相同设备的相同报文时间段的IPv4报文和IPv6报文,确定相关联的IPv4地址和IPv6地址。并且,由于同一客户端设备在同一时间的真实地理位置信息和真实使用用户是一致的,因此可以将IPv4的可信信息、安全策略等同地运用到相关联的IPv6地址上去,从而解决IPv6地址可信问题。
在本说明书实施例中,将IPv4生产集群和IPv6探测集群独立部署,能够规避IPv6安全风险。另外,利用IPv4成熟的IP地址附加信息和安全策略,精准识别验证IPv6地址的可信度,具有极高的准确度,为IPv6通信的推广应用提供了安全保障。
图6示出了根据本说明书的实施例的IPv6地址风险确定装置的一示例的方框图。
如图6所示,IPv6地址风险确定装置600包括IP报文集获取单元610、关联IP组确定单元620、风险行为判断单元630和IPv6地址风险确定单元640、IPv6风险数据库构建单元650、IPv4风控策略获取单元660和IPv6风控策略确定单元670。
IP报文集获取单元610获取IPv4报文集和IPv6报文集,所述IPv4报文集和IPv6报文集是基于客户端与服务端之间通过双协议栈通信而生成的,IP报文包括客户端设备信息、IP地址和报文时间戳。IP报文集获取单元610的操作可以参照上面参考图1描述的块110的操作。
关联IP组确定单元620,针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址。关联IP组确定单元620的操作可以参照上面参考图1描述的块120的操作。
风险行为判断单元630判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为。风险行为判断单元630的操作可以参照上面参考图1描述的块130的操作。
IPv6地址风险确定单元640针对所述至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。IPv6地址风险确定单元640的操作可以参照上面参考图1描述的块141的操作。
IPv6风险数据库构建单元650根据存在黑产风险行为的IPv6地址构建IPv6风险数据库,所述IPv6风险数据库用于存储至少一个具有黑产风险的IPv6地址。IPv6风险数据库构建单元650的操作可以参照上面参考图2描述的块240的操作。
IPv4风控策略获取单元660获取针对存在黑产风险行为的IPv4地址的第一安全风控策略。IPv4风控策略获取单元660的操作可以参照上面参考图3描述的块350的操作。
IPv6风控策略确定单元670将所获取的第一安全风控策略确定为针对与所述存在黑产风险行为的IPv4地址相关联的IPv6地址的第二安全风控策略。IPv6风控策略确定单元670的操作可以参照上面参考图3描述的块360的操作。
进一步地,所述IPv4报文集是基于服务端为客户端提供业务服务而产生的,以及所述IPv6报文集是基于服务端为客户端提供IPv6探测服务而产生的。
在一些实施方式中,风险行为判断单元630包括IP附加信息确定模块(未示出)和风险行为确定模块(未示出)。这里,IP附加信息确定模块确定针对所述各个IPv4地址的IP附加信息。此外,风险行为确定模块将所述IP附加信息作为确定所述IPv4地址是否存在黑产风险行为的维度。
进一步地,所述IP附加信息包括以下中的至少一种:IP运营商信息、IP地理位置信息、网络类型信息和网络基站信息。
进一步地,针对所述各个IPv4地址,风险行为判断单元630基于风险IPv4数据库确定该IPv4地址是否存在黑产风险行为,所述风险IPv4数据库存储了至少一个具有黑产风险的IPv4地址。
在一些实施方式中,关联IP组确定单元620包括报文筛选模块(未示出)和关联IP确定模块(未示出)。这里,报文筛选模块在具有对应相同客户端设备信息的各组IPv4报文和IPv6报文中,筛选具有对应相同报文时段的IPv4报文和IPv6报文。关联IP确定模块根据所筛选的IPv4报文和IPv6报文中的IP地址,确定相关联的IPv4地址和IPv6地址。
在一些实施方式中,IP报文集获取单元610从第一服务端获取所述IPv4报文集,并从第二服务端获取所述IPv6报文集,所述第一服务端和所述第二服务端分别包括独立部署的服务器集群。
需说明的是,如上所描述的IPv6地址风险确定装置600中的部分单元在一些应用场景下是非必需的或可选的。具体地,在一些实施方式中,IPv6风险数据库构建单元650、IPv4风控策略获取单元660和IPv6风控策略确定单元670中的一者或多者可以不被保留。但需说明的是,在IPv6地址风险确定装置600中不存在IPv6风控策略确定单元670时,对应的IPv4风控策略获取单元660也应不被保留。
如上参照图1到图6,对根据本说明书的实施例的用于确定IPv6地址的风险的方法及装置的实施例进行了描述。在以上对方法实施例的描述中所提及的细节,同样适用于本说明书的装置的实施例。上面的用于确定IPv6地址的风险的装置可以采用硬件实现,也可以采用软件或者硬件和软件的组合来实现。
图7示出了根据本说明书的实施例的用于确定IPv6地址的风险的电子设备700的一示例的硬件结构图。如图7所示,电子设备700可以包括至少一个处理器710、存储器(例如非易失性存储器)720、内存730和通信接口740,并且至少一个处理器710、存储器720、内存730和通信接口740经由总线760连接在一起。至少一个处理器710执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器710:获取IPv4报文集和IPv6报文集,所述IPv4报文集和IPv6报文集是基于客户端与服务端之间通过双协议栈通信而生成的,IP报文包括客户端设备信息、IP地址和报文时间戳;针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址;判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为;针对所述至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。
应该理解,在存储器720中存储的计算机可执行指令当执行时使得至少一个处理器710进行本说明书的各个实施例中以上结合图1-6描述的各种操作和功能。
在本说明书中,电子设备700可以包括但不限于:个人计算机、服务器计算机、工作站、桌面型计算机、膝上型计算机、笔记本计算机、移动电子设备、智能电话、平板计算机、蜂窝电话、个人数字助理(PDA)、手持装置、消息收发设备、可佩戴电子设备、消费电子设备等等。
根据一个实施例,提供了一种比如机器可读介质的程序产品。机器可读介质可以具有指令(即,上述以软件形式实现的元素),该指令当被机器执行时,使得机器执行本说明书的各个实施例中以上结合图1-6描述的各种操作和功能。具体地,可以提供配有可读存储介质的***或者装置,在该可读存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该***或者装置的计算机或处理器读出并执行存储在该可读存储介质中的指令。
在这种情况下,从可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此机器可读代码和存储机器可读代码的可读存储介质构成了本发明的一部分。
可读存储介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD-RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上或云上下载程序代码。
本领域技术人员应当理解,上面说明书的各个实施例可以在不偏离发明实质的情况下做出各种变形和修改。因此,本发明的保护范围应当由所附的权利要求书来限定。
需要说明的是,上述各流程和各***结构图中不是所有的步骤和单元都是必须的,可以根据实际的需要忽略某些步骤或单元。各步骤的执行顺序不是固定的,可以根据需要进行确定。上述各实施例中描述的装置结构可以是物理结构,也可以是逻辑结构,即,有些单元可能由同一物理实体实现,或者,有些单元可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上各实施例中,硬件单元或模块可以通过机械方式或电气方式实现。例如,一个硬件单元、模块或处理器可以包括永久性专用的电路或逻辑(如专门的处理器,FPGA或ASIC)来完成相应操作。硬件单元或处理器还可以包括可编程逻辑或电路(如通用处理器或其它可编程处理器),可以由软件进行临时的设置以完成相应操作。具体的实现方式(机械方式、或专用的永久性电路、或者临时设置的电路)可以基于成本和时间上的考虑来确定。
上面结合附图阐述的具体实施方式描述了示例性实施例,但并不表示可以实现的或者落入权利要求书的保护范围的所有实施例。在整个本说明书中使用的术语“示例性”意味着“用作示例、实例或例示”,并不意味着比其它实施例“优选”或“具有优势”。出于提供对所描述技术的理解的目的,具体实施方式包括具体细节。然而,可以在没有这些具体细节的情况下实施这些技术。在一些实例中,为了避免对所描述的实施例的概念造成难以理解,公知的结构和装置以框图形式示出。
本公开内容的上述描述被提供来使得本领域任何普通技术人员能够实现或者使用本公开内容。对于本领域普通技术人员来说,对本公开内容进行的各种修改是显而易见的,并且,也可以在不脱离本公开内容的保护范围的情况下,将本文所定义的一般性原理应用于其它变型。因此,本公开内容并不限于本文所描述的示例和设计,而是与符合本文公开的原理和新颖性特征的最广范围相一致。
Claims (18)
1.一种用于确定IPv6地址的风险的方法,包括:
获取IPv4报文集和IPv6报文集,所述IPv4报文集和IPv6报文集是基于客户端与服务端之间通过双协议栈通信而生成的,IP报文包括客户端设备信息、IP地址和报文时间戳;
针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址;
判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为;
针对所述至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。
2.如权利要求1所述的方法,其中,所述针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址包括:
在具有对应相同客户端设备信息的各组IPv4报文和IPv6报文中,筛选具有对应相同报文时段的IPv4报文和IPv6报文;
根据所筛选的IPv4报文和IPv6报文中的IP地址,确定相关联的IPv4地址和IPv6地址。
3.如权利要求1所述的方法,其中,所述判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为包括:
针对所述各个IPv4地址,基于IPv4风险数据库确定该IPv4地址是否存在黑产风险行为,所述IPv4风险数据库存储了至少一个具有黑产风险的IPv4地址。
4.如权利要求1所述的方法,还包括:
根据存在黑产风险行为的IPv6地址构建IPv6风险数据库,所述IPv6风险数据库用于存储至少一个具有黑产风险的IPv6地址。
5.如权利要求1所述的方法,其中,所述判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为包括:
确定针对所述各个IPv4地址的IP附加信息;
将所述IP附加信息作为确定所述IPv4地址是否存在黑产风险行为的维度。
6.如权利要求5所述的方法,其中,所述IP附加信息包括以下中的至少一种:IP运营商信息、IP地理位置信息、网络类型信息和网络基站信息。
7.如权利要求1所述的方法,其中,所述获取IPv4报文集和IPv6报文集包括:
从第一服务端获取所述IPv4报文集;以及
从第二服务端获取所述IPv6报文集,所述第一服务端和所述第二服务端分别包括独立部署的服务器集群。
8.如权利要求1所述的方法,还包括:
获取针对存在黑产风险行为的IPv4地址的第一安全风控策略;
将所获取的第一安全风控策略确定为针对与所述存在黑产风险行为的IPv4地址相关联的IPv6地址的第二安全风控策略。
9.一种用于确定IPv6地址的风险的装置,包括:
IP报文集获取单元,获取IPv4报文集和IPv6报文集,所述IPv4报文集和IPv6报文集是基于客户端与服务端之间通过双协议栈通信而生成的,IP报文包括客户端设备信息、IP地址和报文时间戳;
关联IP组确定单元,针对具有对应相同客户端设备信息的各组IPv4报文和IPv6报文,基于报文时间戳确定至少一组相关联的IPv4地址和IPv6地址;
风险行为判断单元,判断所述IPv4报文集中各个IPv4地址是否存在黑产风险行为;
IPv6地址风险确定单元,针对所述至少一组相关联的IPv4地址和IPv6地址,当该IPv4地址存在黑产风险行为时,确定与该IPv4地址相关联的IPv6地址也存在黑产风险行为。
10.如权利要求9所述的装置,其中,所述关联IP组确定单元包括:
报文筛选模块,在具有对应相同客户端设备信息的各组IPv4报文和IPv6报文中,筛选具有对应相同报文时段的IPv4报文和IPv6报文;
关联IP确定模块,根据所筛选的IPv4报文和IPv6报文中的IP地址,确定相关联的IPv4地址和IPv6地址。
11.如权利要求9所述的装置,其中,针对所述各个IPv4地址,所述风险行为判断单元基于风险IPv4数据库确定该IPv4地址是否存在黑产风险行为,所述风险IPv4数据库存储了至少一个具有黑产风险的IPv4地址。
12.如权利要求9所述的装置,还包括:
IPv6风险数据库构建单元,根据存在黑产风险行为的IPv6地址构建IPv6风险数据库,所述IPv6风险数据库用于存储至少一个具有黑产风险的IPv6地址。
13.如权利要求9所述的装置,其中,所述风险行为判断单元包括:
IP附加信息确定模块,确定针对所述各个IPv4地址的IP附加信息;
风险行为确定模块,将所述IP附加信息作为确定所述IPv4地址是否存在黑产风险行为的维度。
14.如权利要求13所述的装置,其中,所述IP附加信息包括以下中的至少一种:IP运营商信息、IP地理位置信息、网络类型信息和网络基站信息。
15.如权利要求9所述的装置,其中,所述IP报文集获取单元:
从第一服务端获取所述IPv4报文集;以及
从第二服务端获取所述IPv6报文集,所述第一服务端和所述第二服务端分别包括独立部署的服务器集群。
16.如权利要求9所述的装置,还包括:
IPv4风控策略获取单元,获取针对存在黑产风险行为的IPv4地址的第一安全风控策略;
IPv6风控策略确定单元,将所获取的第一安全风控策略确定为针对与所述存在黑产风险行为的IPv4地址相关联的IPv6地址的第二安全风控策略。
17.一种电子设备,包括:
至少一个处理器;以及
存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如权利要求1到8中任一所述的方法。
18.一种机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如权利要求1到8中任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010099367.9A CN111343295B (zh) | 2020-02-18 | 2020-02-18 | 用于确定IPv6地址的风险的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010099367.9A CN111343295B (zh) | 2020-02-18 | 2020-02-18 | 用于确定IPv6地址的风险的方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111343295A CN111343295A (zh) | 2020-06-26 |
CN111343295B true CN111343295B (zh) | 2022-09-27 |
Family
ID=71183476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010099367.9A Active CN111343295B (zh) | 2020-02-18 | 2020-02-18 | 用于确定IPv6地址的风险的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111343295B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115604219A (zh) * | 2021-07-09 | 2023-01-13 | ***通信有限公司研究院(Cn) | 一种策略分析方法、装置、设备及可读存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101938386A (zh) * | 2010-09-02 | 2011-01-05 | 中兴通讯股份有限公司 | 一种会话监控方法及服务节点设备 |
CN102546429A (zh) * | 2012-02-03 | 2012-07-04 | 神州数码网络(北京)有限公司 | 基于dhcp监听的isatap隧道的认证方法和*** |
CN102611586A (zh) * | 2011-01-18 | 2012-07-25 | 中兴通讯股份有限公司 | 支持双栈的ip-can会话实现应用检测和控制的方法及*** |
CN103023797A (zh) * | 2011-09-23 | 2013-04-03 | 百度在线网络技术(北京)有限公司 | 数据中心***及装置和提供服务的方法 |
CN110392129A (zh) * | 2019-08-20 | 2019-10-29 | 清华大学 | IPv6客户机以及IPv6客户机与服务器通信的方法 |
CN110572416A (zh) * | 2019-10-15 | 2019-12-13 | 赛尔网络有限公司 | 黑名单生成方法、装置、电子设备及介质 |
CN110677379A (zh) * | 2018-07-02 | 2020-01-10 | 瞻博网络公司 | 用于阻止、检测和/或防止恶意流量的方法和设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101692674B (zh) * | 2009-10-30 | 2012-10-17 | 杭州华三通信技术有限公司 | 双栈接入的方法和设备 |
-
2020
- 2020-02-18 CN CN202010099367.9A patent/CN111343295B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101938386A (zh) * | 2010-09-02 | 2011-01-05 | 中兴通讯股份有限公司 | 一种会话监控方法及服务节点设备 |
CN102611586A (zh) * | 2011-01-18 | 2012-07-25 | 中兴通讯股份有限公司 | 支持双栈的ip-can会话实现应用检测和控制的方法及*** |
CN103023797A (zh) * | 2011-09-23 | 2013-04-03 | 百度在线网络技术(北京)有限公司 | 数据中心***及装置和提供服务的方法 |
CN102546429A (zh) * | 2012-02-03 | 2012-07-04 | 神州数码网络(北京)有限公司 | 基于dhcp监听的isatap隧道的认证方法和*** |
CN110677379A (zh) * | 2018-07-02 | 2020-01-10 | 瞻博网络公司 | 用于阻止、检测和/或防止恶意流量的方法和设备 |
CN110392129A (zh) * | 2019-08-20 | 2019-10-29 | 清华大学 | IPv6客户机以及IPv6客户机与服务器通信的方法 |
CN110572416A (zh) * | 2019-10-15 | 2019-12-13 | 赛尔网络有限公司 | 黑名单生成方法、装置、电子设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111343295A (zh) | 2020-06-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10958662B1 (en) | Access proxy platform | |
US11134058B1 (en) | Network traffic inspection | |
US11457040B1 (en) | Reverse TCP/IP stack | |
Liu et al. | Who is answering my queries: Understanding and characterizing interception of the {DNS} resolution path | |
US10903999B1 (en) | Protecting PII data from man-in-the-middle attacks in a network | |
Chan et al. | Modeling adoptability of secure BGP protocol | |
JP2019526993A (ja) | ネットワーク機能仮想化システム及び検証方法 | |
Hijazi et al. | Address resolution protocol spoofing attacks and security approaches: A survey | |
WO2011035684A1 (zh) | 一种基于多连接的网络选择方法及装置 | |
US10673878B2 (en) | Computer security apparatus | |
WO2014000303A1 (zh) | 一种报文接收方法、深度包检测设备及*** | |
US20170237572A1 (en) | Method and apparatus for bulk authentication and load balancing of networked devices | |
Damopoulos et al. | User privacy and modern mobile services: are they on the same path? | |
Rodrigues et al. | Evaluating a blockchain-based cooperative defense | |
Tian et al. | Securing ARP/NDP from the ground up | |
AlSa’deh et al. | IPv6 stateless address autoconfiguration: balancing between security, privacy and usability | |
CN111343295B (zh) | 用于确定IPv6地址的风险的方法及装置 | |
CN113301028A (zh) | 网关防护方法和数据打标签方法 | |
CN110311785B (zh) | 一种内网访问方法及相关装置 | |
Jakobsson et al. | Server-side detection of malware infection | |
Sunitha et al. | Key Observation to Prevent IP Spoofing in DDoS Attack on Cloud Environment | |
CN101610509B (zh) | 一种保护通信安全的方法、装置及*** | |
CN110401646A (zh) | IPv6安全邻居发现过渡环境中CGA参数探测方法及装置 | |
Chau et al. | Adaptive deterrence of dns cache poisoning | |
Singh et al. | Performance analysis of emm an edos mitigation technique in cloud computing environment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |