基于IPv6地址驱动的云网络内生安全防御方法和装置

技术领域

本发明属于云网络安全技术领域，更具体地，涉及一种基于IPv6地址驱动的云网络内生安全防御方法和装置。

背景技术

云网络是构成云平台的重要基础设施，可以为不同业务场景提供虚拟网络资源，用户可以依据不同业务需求，对网络资源进行动态调整，从而更好地满足业务发展的需要。但云网络仍存在着许多安全问题，与传统网络相比，云网络受到攻击后的影响更加广泛。因此，如何更好地保障云网络的安全，已成为当前网络安全领域备受关注的焦点问题。其中，云平台中的租户子网因其不透明的黑盒特性增大了对于云内攻击行为的防御难度和对租户的管控难度。

对相关研究分析后发现，现有云网络安全解决方案中对不同租户网络流量的追溯能力差。目前在云网络中尚未有一套完整易部署的内生安全解决方案，现有内生安全方案大部分都需要通过构建异构体以提高攻击者攻击成本的方式进行拟态防御，或者需要对现有网络基础架构进行修改从而提供内生安全能力，这两种方式都需要增加额外的部署开销，可拓展性不强且实际落地难度较大。

现有源地址验证技术以现在的真实源地址验证体系结构为基础，通过构建绑定表来进行源地址验证。但是静态的源地址验证方案会造成云网络中存在大量的冗余验证，增大控制器负责，显著降低网络服务质量，同时现有动态源地址验证方法中对可疑主机的追溯定位不够准确。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种基于IPv6地址驱动的云网络内生安全防御方法和装置，其目的在于将动态源地址验证方法和IPv6真实地址生成与溯源方法结合，提供端设备地址真实可信，便于验证和身份溯源，在最基础的底层设施层面为云网络提供内生安全能力，由此解决现有云网络安全防御方法对不同租户网络流量的防御和追溯能力差的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种基于IPv6地址驱动的云网络内生安全防御方法，所述基于IPv6地址驱动的云网络包括依次通信的：地址生成层、地址验证层和地址利用层，所述云网络内生安全防御方法包括：

S1：在所述地址生成层，将云网络中的租户身份信息转换为网络唯一标识，将所述网络唯一标识与时间信息进行拼接、加密生成IPv6接口标识；将所述IPv6接口标识与网络前缀进行组合得到IPv6真实地址；

S2：在所述地址验证层，实时监测各个所述网络主机端口的流量和流表项数据，以确定每个所述网络主机端口的状态转移情况，所述网络主机端口划分为正常端口、待观察端口和异常端口；针对不同状态转移情况的网络主机端口，采用差异化的验证策略验证所述IPv6真实地址的合法性；

S3：在所述地址利用层，当监测到异常流量时，从所述地址验证层获得所述异常流量对应的当前IPv6真实地址，对所述当前IPv6真实地址进行身份追溯。

在其中一个实施例中，所述S1包括在所述地址生成层：

S11：将组织部分、分割部分与云网络中所述租户身份信息对应的用户标识进行拼接生成所述网络唯一标识；

S12：将时间信息与所述网络唯一标识进行拼接，进而加密得到前置接口标识；对密钥更新时刻的时间戳进行哈希运算得到时间哈希值；对所述时间哈希值与所述前置接口标识进行异或运算生成所述IPv6接口标识；

S13：将所述IPv6接口标识与网络前缀进行拼接组合得到所述IPv6真实地址。

在其中一个实施例中，所述时间信息为IPv6真实地址生成的时间区间，定义为当前时刻时间戳与当前时刻所在年份的1月1日0时0分0秒时刻时间戳的差值。

在其中一个实施例中，所述S3包括：在所述地址利用层：

S31：当监测到异常流量时，从所述地址验证层获得所述异常流量对应的当前IPv6真实地址；

S32：根据所述当前IPv6真实地址中网络前缀定位所属的当前租户网络，提取所述当前IPv6真实地址中的当前IPv6接口标识；向所述当前租户网络中的地址生成服务器发送携带所述当前IPv6接口标识的解析请求；

S33：利用所述地址生成服务器解析所述IPv6接口标识，以对所述当前IPv6真实地址进行身份追溯。

在其中一个实施例中，所述S33包括：

所述地址生成服务器在数据库中查询所述当前IPv6接口标识对应的当前前置接口标识，利用所述当前IPv6接口标识和所述当前前置接口标识异或获得对应的当前时间哈希值，地址生成服务器根据当前时间哈希值在密钥库查找到其对应的密钥，利用所述当前前置接口标识和所述密钥进行解密得到当前网络唯一标识，对所述当前网络唯一标识进行解析得到当前用户身份信息。

在其中一个实施例中，所述S2包括在所述地址验证层：

S21：利用定时任务采集正常端口、待观察端口和异常端口的流量统计信息进行采集；

S22：对所述正常端口的流量统计信息进行流量特征熵值分析，对所述待观察端口的流量统计信息采用丢包阈值分析方法进行异常状态检测，对所述异常端口的流量统计信息进行持续丢包阈值分析检测；

S23：根据分析结果确定各个所述网络主机端口的状态转移情况；所述状态转移情况包括：正常端口与待观察端口之间的互相转换和待观察端口与异常端口之间的互相转换；

S24：针对不同状态转移情况的网络主机端口，采用差异化的验证策略验证所述IPv6真实地址的合法性。

在其中一个实施例中，所述S23包括：

若所述分析结果表示所述正常端口的流量特征熵值超过第一阈值，则视为所述正常端口向所述待观察端口转换；

若所述分析结果表示所述待观察端口流量特征熵值低于第二阈值时，视为所述待观察端口向所述正常端口转换；

若所述分析结果表示所述待观察端口的丢包率超过第三阈值，则视为所述待观察端口向所述异常端口转换；

若所述分析结果表示所述异常端口的丢包率低于第四阈值，则视为所述异常端口向所述待观察端口转换。

在其中一个实施例中，所述S24包括：

当检测到所述正常端口转换为所述待观察端口时，向所述待观察端口对应主机下发验证规则和通配规则；

当检测到所述待观察端口转换为所述正常端口时，撤销所述待观察端口对应主机的验证规则和通配规则；

当检测到所述待观察端口转换为所述异常端口时，维持当前验证规则和通配规则；

当检测到所述异常端口转换为所述待观察端口时，维持当前验证规则和通配规则。

按照本发明的另一个方面，提供了一种基于IPv6地址驱动的云网络内生安全防御装置，包括：

地址生成模块，用于将云网络中的租户身份信息转换为网络唯一标识，将所述网络唯一标识与信息进行拼接、加密生成IPv6接口标识；将所述IPv6接口标识与网络前缀进行组合得到IPv6真实地址；

地址验证模块，用于实时监测各个所述网络主机端口的流量和流表项数据，以确定每个所述网络主机端口的状态转移情况，所述网络主机端口划分为正常端口、待观察端口和异常端口；针对不同状态转移情况的网络主机端口，采用差异化的验证策略验证所述IPv6真实地址的合法性；

地址利用模块，用于当监测到异常流量时，从所述地址验证层获得所述异常流量对应的当前IPv6真实地址，对所述当前IPv6真实地址进行身份追溯。

在其中一个实施例中，所述地址验证模块包括：

信息采集模块，用于利用定时任务采集正常端口、待观察端口和异常端口的流量和流表项统计信息进行采集；

端口状态检测模块，用于对所述正常端口的流量统计信息进行流量特征熵值分析，对所述待观察端口的流量统计信息采用丢包阈值分析方法进行异常状态检测，对所述异常端口的流量统计信息进行持续丢包阈值分析检测；

端口状态维护模块，用于根据分析结果确定各个所述网络主机端口的状态转移情况；所述状态转移情况包括：正常端口与待观察端口之间的互相转换和待观察端口与异常端口之间的互相转换；

流表项部署模块，用于针对不同状态转移情况的网络主机端口，采用差异化的验证策略验证所述IPv6真实地址的合法性。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

（1）本发明在地址生成层能够生成携带用户身份信息的真实IPv6地址、对真实地址的生成和分配进行管理，在地址验证层能够对网络中的主机进行灵活的源地址验证，在地址利用层利用真实IPv6地址特性对报文进行快速溯源，同时提供了安全管控服务，利用源地址验证过滤掉伪造报文。利用真实IPv6地址特性实现租户身份信息的快速溯源，同时结合动态源地址验证方法，提高了云网络的内生安全防御能力。

（2）本实施例中将时间信息与租户身份信息对应的网络唯一标识进行拼接，进而加密得到前置接口标识；对密钥更新时刻的时间戳进行哈希运算得到时间哈希值，对所述时间哈希值与所述前置接口标识进行加密生成所述IPv6接口标识，最终与网络前缀进行拼接组合得到所述IPv6真实地址；利用动态时间信息和租户身份信息实现了云网络中的IPv6真实地址生成，优化了地址编码方式，提高了身份信息溯源效率，为云网络中的多租户网络管理与溯源打下了基础。

（3）本实施例中所述时间信息为IPv6真实地址生成的时间区间，表明了该真实地址生成的时间区间，有利于后续的密钥查找和流量溯源管理；可以以10秒、15秒、30秒等精度将该时间戳差值进一步缩小，保证其长度维持在24位，克服了长度限制给对称加密带来的不便。

（4）本实施例在所述地址利用层，根据异常流量对应的当前IPv6真实地址中网络前缀定位所属的当前租户网络，向所述当前租户网络中的地址生成服务器发送携带所述当前IPv6接口标识的解析请求；以对所述当前IPv6真实地址进行身份追溯。实现了根据IPv6地址快速解析出身份信息，能够对异常流量进行精准定位追踪。

（5）本实施例中在所述地址生成服务器采用对称算法进行解密，从当前IPv6接口标识逐步解析出当前身份信息和当前时间信息，计算复杂度低，可以提升整个云网络内生安全防御方法计算效率，从而降低防御难度。

（6）本实施例对所述正常端口的流量统计信息进行流量特征熵值分析，对所述待观察端口的流量统计信息采用丢包阈值分析方法进行异常状态检测，对所述异常端口的流量统计信息进行持续丢包阈值分析检测；实现了根据不同网络安全状态进行差异化源地址验证，能够对云网络下不同主机进行灵活的源地址验证安全管控。

（7）本实施例利用流量特征熵值的大小确定所述正常端口与所述待观察端口之间的转换，利用丢包率的大小确定所述异常端口与所述待观察端口之间的转换，计算复杂度低，可以提升整个云网络内生安全防御方法计算效率，从而降低防御难度。

（8）本实施例中当检测到所述正常端口或异常端口转换为所述待观察端口时，向所述待观察端口对应主机下发验证规则和通配规则；当检测到所述待观察端口转换为所述正常端口时，撤销验证规则和通配规则；当检测到所述待观察端口转换为所述异常端口时，维持当前验证规则；可以对不同网络安全状态下的主机实施针对性的源地址验证策略，在降低流表存储开销的同时增加了源地址验证的灵活性。

附图说明

图1是本发明一实施例中基于IPv6地址驱动的云网络内生安全防御方法的流程图。

图2是本发明一实施例中基于IPv6地址驱动的云网络的结构示意图。

图3是本发明一实施例中基于IPv6地址驱动的云网络内生安全防御方法中IPv6真实地址生成过程的示意图。

图4是本发明一实施例中基于IPv6地址驱动的云网络中地址验证层的整体框架图。

图5是本发明一实施例中端口状态维护模块中各状态之间的转移关系示意图。

图6是本发明一实施例中云网络下IPv6真实地址溯源过程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

如图1所示，本发明提供了一种基于IPv6地址驱动的云网络内生安全防御方法，图2中出了基于IPv6地址驱动的云网络包括依次通信的：地址生成层、地址验证层和地址利用层，云网络内生安全防御方法包括：

S1：在地址生成层，将云网络中的租户身份信息转换为网络唯一标识，将网络唯一标识与时间信息进行拼接、加密生成IPv6接口标识。将IPv6接口标识与网络前缀进行组合得到IPv6真实地址。

具体的，对软件定义的云网络环境中网络标识的规范进行了进一步确定，将云网络中的用户信息转化为网络唯一标识。如利用对称加密算法，根据网络唯一标识与时间信息组合生成IPv6接口标识，与网络拼接生成IPv6真实地址。

S2：在地址验证层，实时监测各个网络主机端口的流量和流表项数据，以确定每个网络主机端口的状态转移情况，网络主机端口划分为正常端口、待观察端口和异常端口。针对不同状态转移情况的网络主机端口，采用差异化的验证策略验证IPv6真实地址的合法性。

具体的，设计并实现云网络动态源地址验证状态转移模型，对网络主机端口进行状态划分，将其状态划分为正常端口、待观察端口、异常端口三类状态。设计并实现多级端口状态转移情况分析方法，如包括基于流量特征熵值的检测方法和丢包分析方法，对处于不同状态转移情况的端口实施差异化的安全策略。

S3：在地址利用层，当监测到异常流量时，从地址验证层获得异常流量对应的当前IPv6真实地址，对当前IPv6真实地址进行身份追溯。

具体的，当云网络环境中攻击发生时，如利用对称解密算法，管理者可以根据真实IPv6地址解析出用户信息，对用户的身份信息进行查询和溯源。

在其中一个实施例中，S1包括在地址生成层：

S11：将组织部分、分割部分与云网络中租户身份信息对应的用户标识进行拼接生成网络唯一标识。

S12：将时间信息与网络唯一标识进行拼接，进而加密得到前置接口标识。对密钥更新时刻的时间戳进行哈希运算得到时间哈希值。对时间哈希值与前置接口标识进行异或生成IPv6接口标识。

S13：将IPv6接口标识与网络前缀进行拼接组合得到IPv6真实地址。

如图3所示，可以采用哈希算法、对称加密、拼接等算法将用户身份信息与源地址结合生成IPv6真实地址。具体如下：

将云网络中租户身份信息进行拼接得到拼接字符串；对拼接字符串进行加盐哈希运算得到长度为256位的摘要，取其前16位作为用户标识； 将用户标识与组织部分、分割部分进行拼接得到网络唯一标识。需要计算出地址生成时刻的时间信息，时间信息表明了该真实地址生成的时间区间；将生成的网络唯一标识与时间信息拼接；将拼接的结果使用国际数据加密算法进行加密得到前置接口标识。动态密钥提高了安全性，但同时也加大对地址进行解析的难度。利用密钥定时更新的特性，这里将密钥更新时刻的时间戳进行哈希运算得到时间哈希值；将时间哈希值与前置接口标识进行异或运算得到最后的接口标识；将接口标识进行保存，并将接口标识与网络前缀组合得到最终的真实IPv6地址。

在其中一个实施例中，时间信息为IPv6真实地址生成的时间区间，定义为当前时刻时间戳与当前时刻所在年份的1月1日0时0分0秒时刻时间戳的差值。

具体的，时间信息表明了该真实地址生成的时间区间，有利于后续的密钥查找和流量溯源管理。这里的时间信息定义为该时刻时间戳与当前时刻所在年份的1月1日0时0分0秒时刻时间戳的差值，同时可以以10秒、15秒、30秒等精度将该时间戳差值进一步缩小，保证其长度维持在24位。

在其中一个实施例中，S3包括：在地址利用层：

S31：当监测到异常流量时，从地址验证层获得异常流量对应的当前IPv6真实地址。

S32：根据当前IPv6真实地址中网络前缀定位所属的当前租户网络，提取当前IPv6真实地址中的当前IPv6接口标识。向当前租户网络中的地址生成服务器发送携带当前IPv6接口标识的解析请求。

S33：利用地址生成服务器解析IPv6接口标识，以对当前IPv6真实地址进行身份追溯。

在其中一个实施例中，S33包括：

地址生成服务器在数据库中查询当前IPv6接口标识对应的当前前置接口标识，利用当前IPv6接口标识和当前前置接口标识获得对应的当前时间哈希值，地址生成服务器根据时间哈希值在密钥库查找到其对应的密钥，利用当前前置接口标识和密钥进行解密得到当前网络唯一标识，对当前网络唯一标识进行解析得到当前用户身份信息。

具体的，当复杂的云网络中检测到异常流量时，需要对其进行溯源分析，地址利用层提供了对地址生成层生成的真实地址进行溯源和管理的服务。图6是真实地址溯源的过程，溯源查询一般在某条问题流量被拦截时由目的应用服务器发起，基本上是地址生成的逆过程，具体流程如下：

当网络中需要对某个地址进行身份溯源时，首先根据网络前缀信息定位该地址所属的租户网络，然后将待溯源的IPv6地址的后64位提取作为接口标识，向该租户网络的地址溯源服务器发送解析请求；每个租户子网内都部署有地址溯源服务器和地址生成服务器，地址溯源服务器会接受解析请求，同时进行本租户子网密钥的存储与管理。地址溯源服务器会将接口标识发送给地址生成服务器做进一步解析。

地址生成服务器相当于网络中的动态主机配置服务器角色，负责进行地址的生成与管理，并存储地址生成过程中的几个重要库表。地址生成服务器在数据库中查询接口标识对应的前置接口标识，两者异或得到时间哈希值；地址生成服务器根据时间哈希值在密钥库查找到其对应的密钥，并使用该密钥对前置接口标识进行解密；地址生成服务器根据解密后数据的前40位得到网络唯一标识后24位，从而得到时间信息；最后对网络唯一标识进行解析，查找到对应的用户身份信息，同时由时间信息进行格式转换得到标准格式的地址生成时间，真实IPv6地址溯源至此完成。

此外，当云网络中存在伪造源地址攻击时，地址利用层也会利用动态源地址验证方法，对伪造源地址的攻击流量进行过滤，结合地址溯源方法为云网络提供更灵活完善的流量安全管控服务，从而提高整个云网络的内生安全防御能力。

在其中一个实施例中，S2包括在地址验证层：

S21：利用定时任务采集正常端口、待观察端口和异常端口的流量和流表项统计信息进行采集。

S22：对正常端口的流量统计信息进行流量特征熵值分析，对待观察端口的流量统计信息采用丢包阈值分析方法进行异常状态检测，对异常端口的流量统计信息进行持续丢包阈值分析检测。

S23：根据分析结果确定各个网络主机端口的状态转移情况。状态转移情况包括：正常端口与待观察端口之间的互相转换和待观察端口与异常端口之间的互相转换。

S24：针对不同状态转移情况的网络主机端口，采用差异化的验证策略验证IPv6真实地址的合法性。

在其中一个实施例中，S23包括：

若分析结果表示正常端口的流量特征熵值超过第一阈值，则视为正常端口向待观察端口转换。

若分析结果表示待观察端口流量特征熵值低于第二阈值时，视为待观察端口向正常端口转换。

若分析结果表示待观察端口的丢包率超过第三阈值，则视为待观察端口向异常端口转换。

若分析结果表示异常端口的丢包率低于第四阈值，则视为异常端口向待观察端口转换。

在其中一个实施例中，S24包括：

当检测到正常端口转换为待观察端口时，向待观察端口对应主机下发验证规则和通配规则。

当检测到待观察端口转换为正常端口时，撤销待观察端口对应主机的验证规则和通配规则。

当检测到待观察端口转换为异常端口时，维持当前验证规则和通配规则。

当检测到异常端口转换为待观察端口时，维持当前验证规则和通配规则。

按照本发明的另一个方面，提供了一种基于IPv6地址驱动的云网络内生安全防御装置，包括：

地址生成模块，用于将云网络中的租户身份信息转换为网络唯一标识，将网络唯一标识与信息进行拼接、加密生成IPv6接口标识。将IPv6接口标识与网络前缀进行组合得到IPv6真实地址。

地址验证模块，用于实时监测各个网络主机端口的流量和流表项数据，以确定每个网络主机端口的状态转移情况，网络主机端口划分为正常端口、待观察端口和异常端口。针对不同状态转移情况的网络主机端口，采用差异化的验证策略验证IPv6真实地址的合法性。

地址利用模块，用于当监测到异常流量时，从地址验证层获得异常流量对应的当前IPv6真实地址，对当前IPv6真实地址进行身份追溯。

具体的，对于地址生成模块，以对称加密算法为基础，将租户身份信息嵌入到IPv6地址后64位，修改IPv6动态主机配置协议的地址分配策略，并基于现有云平台的网络服务组件进行实现。

对于地址验证模块，针对不同端口状态转移情况设计针对性转移方法和安全验证策略，通过流量特征熵检测分析和丢包分析，实现更加精准地IPv6源地址验证规则下发，对云网络中主机进行更灵活的源地址验证。

对于地址利用模块，利用下层IPv6真实地址的特性，实现了基于IPv6地址的租户身份信息溯源，以及基于动态源地址验证的流量安全管控。

在其中一个实施例中，地址验证模块包括：

信息采集模块，用于利用定时任务采集正常端口、待观察端口和异常端口的流量和流表项统计信息进行采集。

端口状态检测模块，用于对正常端口的流量统计信息进行流量特征熵值分析，对待观察端口的流量统计信息采用丢包阈值分析方法进行异常状态检测，对异常端口的流量统计信息进行丢包阈值分析检测。

端口状态维护模块，用于根据分析结果确定各个网络主机端口的状态转移情况。状态转移情况包括：正常端口与待观察端口之间的互相转换和待观察端口与异常端口之间的互相转换。

流表项部署模块，用于针对不同状态转移情况的网络主机端口，采用差异化的验证策略验证IPv6真实地址的合法性。

图4是本发明中动态源地址验证方法整体框架图，主要包含四个模块：信息采集模块、端口状态维护模块、端口状态检测模块、流表项部署模块，下面对各模块进行介绍：

信息采集模块主要负责对流量、流表项等数据进行定期收集，为其他模块所用。信息采集模块会通过定时任务对正常端口、待观察端口和异常端口采集不同的统计信息。

端口状态维护模块负责维护端口状态转移情况的变化，该状态转移情况是进行信息采集、流表下发等操作的核心依据，考虑到系统的健壮性，这里单独用一个模块对该集合进行管理。

端口状态检测模块是在端口状态维护模块的基础上，主要包含三个线程，线程1读取正常端口的统计信息进行流量特征熵值分析，线程2读取待观察端口的统计信息进行异常状态检测；线程3读取异常端口的统计信息进行丢包阈值分析。

流表项部署模块主要负责更新绑定表，并且向异常端口中的主机下发验证规则，对伪造源地址报文进行过滤。

图5展示了端口状态维护模块中各状态之间的转移关系，系统针对处于不同状态转移情况的端口采取不同的处理，下面对动态源地址验证的各个状态之间的转移方法以及对不同状态端口的处理手段进行描述：

正常端口与待观察端口转换。首先正常网络状态下，主机会处于正常端口。依靠流量特征的熵值判断正常端口是否需要移动至待观察端口，当某个交换机的端口流量特征熵值超过阈值时，则将该交换机端口相连的端口移入待观察端口中，同时为了进一步观察分析会向待观察端口下发验证规则和通配规则；当检测到待观察端口流量特征熵值低于阈值时，会将该端口移入正常端口中，并撤销验证规则和通配规则。

待观察端口与异常端口转换。经过基于流量特征熵值判断后，大概率可以将待观察端口归类为发出了伪造源地址的大流量数据包端口。但依据流量特征熵值进行判断依然存在一些误判，因此需要进一步检测。待观察端口中的主机已下发通配规则和验证规则，可以依据验证规则和通配规则计算端口丢包率。将验证规则匹配成功的数据包数记为正常数据包，将通配规则匹配成功的数据包数记为丢失数据包，通过计算丢包率作为检测端口是否存在异常流量的主要判断依据，当丢包率大于阈值时，可判断该流量对应主机异常，将其从待观察集合移入异常端口，并维持当前验证规则；当丢包率低于阈值时，异常端口会被转入待观察集合中。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。