本发明专利技术公开了基于时延的IPv6地址信用风险检测方法及装置,该方法包括:聚合IPv6地址集合得到候选第一前缀集合;基于探测候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合,并提取时延测量和聚合后的时延集合特征;将时延集合特征输入至训练好的IPv6移动网络地址识别模型进行特征识别分类,以根据IPv6移动网络识别分类结果得到IPv6移动网络地址的第一前缀集合;基于IPv6移动网络地址的第一前缀信用的风险指标计算第一前缀集合中的每个第一前缀的评分得到不同的信用分数,以根据信用分数得到IPv6移动网络第一前缀信用的风险检测结果。本发明专利技术解决了输入数据的数据偏差和难获取的问题,降低主动探测的开销。降低主动探测的开销。降低主动探测的开销。
【技术实现步骤摘要】
基于时延的IPv6地址信用风险检测方法及装置
[0001]本专利技术涉及移动网络地址识别
,特别是涉及基于时延的IPv6地址信用风险检测方法及装置。
技术介绍
[0002]随着5G、物联网技术的普及,IPv6加速部署,移动网络迅速向IPv6迁移。一方面移动运营商加速部署IPv6。中国电信、中国移动和中国联通完成了全国30个省,333个地级市的LTE网络IPv6改造;另一方面IPv6用户规模巨大。2020年,美国80%的智能手机使用IPv6地址;2021年8月,中国已分配IPv6移动用户数量为13.05亿(80.61%),并且随着LTE(长期演进,Long Term Evolution)网络端到端改造进程的加速,中国IPv6用户数仍将持续增长。
[0003]IPv6端到端特性(end to end transparent)使得移动网络中的用户设备(UE)的IPv6地址暴露在互联网中,用户设备面临暴露在互联网中的风险。研究表明,攻击者可以通过暴力穷举的方式扫描移动网络AS宣告的IPv6前缀,获得移动网络用户设备的IPv6地址。当UE的IPv6地址暴露时,互联网中的设备可以直接通过IPv6地址访问移动网络中的用户设备(UE),UE面临诸多安全风险。例如,一方面UE可能遭受诸如scanning攻击,over
‑
billing攻击,电量消耗攻击等针对移动用户的网络攻击;另一方面,由于安全防护能力有限,用户设备还有可能遭受传统的基于端口的漏洞利用攻击等。移动IP地址暴露,将给移动运营商和移动用户带来隐私泄露或直接经济损失。对IPv6地址暴露在互联网中的风险进行评分(以下称为信用评估),能够量化移动运营商与移动用户设备面临的安全风险,及时进行安全提示,减少可能的损失,具有重要的意义。然而,识别IPv6地址存在挑战。移动网络通常处于混合网络中。混合网络同时存在固定宽带用户和移动宽带用户,移动宽带用户IPv6地址与固定宽带用户IPv6地址混合在一起,难以区分。IPv6地址信用评估的前提是IPv6地址识别。现有移动网络识别技术通常基于公开信息,被动数据或主动探测等数据源识别移动网络AS或IP地址,分别存在识别粒度较粗,依赖用户设备收集被动数据或探测识别开销大等缺点,使得该类技术的使用范围受限。
[0004]现有的移动网络识别技术按照数据来源分为三类:基于公开信息的移动网络AS识别技术、基于被动收集数据的移动网络IP地址识别技术、基于主动测量的移动网络IP地址识别技术。基于公开信息的移动网络AS识别技术。基于公开信息的移动网络AS识别技术是从AS关联的公开信息中提取AS的业务特征,使用分类模型对AS的业务类型进行分类,例如CAIDA基于PeeringDB等数据源,提取AS业务类型特征,将AS分为三类,其中移动网络属于“Transit/Access”类。Ziv等人等人使用Whois、网站主页等数据源,详细分类了AS的业务类型,其中移动网络属于“Phone Provider”类。基于被动收集数据的移动网络IP地址识别技术。基于被动数据的移动网络IP地址识别技术是通过用户设备上的特定应用程序接口收集汇总用户设备使用的IP地址及接入类型等相关数据,并通过数据分析方法识别移动网络IP地址。如Xu等人通过移动应用程序调用操作系统接口获得移动IP地址及网络接入类型,随后通过匹配BPG路由宣告中的最长匹配前缀,作为移动网络IPv4前缀;Rula等人通过移动浏
览器的网络信息接口(Network Information API)获得IP地址及接入类型,并根据IP前缀中接入类型的占比对IP前缀进行了分类,识别了35万移动IPv4/24前缀和2.3万移动IPv6/48前缀。使用该技术需要在一定规模的用户设备上规模部署特定的移动应用程序或拥有巨大的用户群体,采集一定规模的有效用户数据。基于主动测量的移动网络IP地址识别技术。基于主动测量的移动网络IP地址识别技术是根据主动探测目标IP地址的响应数据的特征(如时延等),识别移动网络IP地址。例如,Wang等人利用了处于节能模式(PSM,Power Save Mode)的移动物联网设备(cellular
‑
IoT)在休眠时不响应主动探测的特点,根据目标IP地址对主动探测是否响应以及什么时刻响应,识别了具有PSM机制的cellular
‑
IoT;Lee等人使用反向DNS(reverse DNS,rDNS)中存在的字符串模式对IPv4地址进行聚类,利用移动网络IPv4地址所在聚类的往返时延高的特点,识别了移动网络IPv4地址聚类;Perta等人通过即时通信软件触发目标设备的无线资源控制器(Radio Resource Controller,RRC)状态变化,同时通过监测目标IP地址的往返时延变化,筛选出RRC状态变化的IP地址,从而关联移动用户和移动网络IP地址。
[0005]现有技术的缺点:基于公开数据的移动网络AS识别技术识别粒度太粗。基于公开数据的移动网络AS识别技术只能识别包含有移动网络IP地址的AS,识别粒度较粗。大部分移动网络AS处于混合网络中,且移动运营商出于安全的考虑一般不公开移动网络的地址分配策略,因此公开数据能够提供的用于识别移动网络的信息有限,无法满足更细粒度的识别需求,如进一步从移动网络AS中识别出移动网络IP地址。基于被动收集数据的移动网络IP地址识别技术的数据存在偏差且难获取。基于被动数据的移动网络IP地址识别技术依赖于输入数据。该技术通常需要在一定规模的用户设备上部署移动应用程序收集用户数据,通过大数据量以保证数据较好的统计特征。该类方法对输入数据质量要求高,例如数据量需求大,通常只有CDN等内容提供商或网络服务提供商能够满足条件。对于普通研究者而言,很难获得足够数量的输入数据,限制了该方法的使用范围。同时,被动收集的用户数据受到用户偏好、应用部署规模、终端地理位置分布等因素的影响,往往存在偏差(例如Facebook在中国的使用率较低,微信在中国的使用率高等)。因此该类技术无法识别输入数据之外的移动网络IP地址,识别结果也存在偏差。基于主动测量的移动网络IP地址识别技术的主动识别开销大,对网络丢包敏感。基于主动测量的移动网络IP地址识别技术,通常需要对同一IP地址发送多个探测数据包并收集探测响应。考虑到网络丢包因素影响,现有技术通常对单个IP地址发送10个探测数据包。对于用户规模巨大的IPv6移动网络来说,这将导致主动识别开销过大,甚至是损害目标设备。另外,IPv6移动终端用户IP地址极少关联rDNS,使得现有技术无法完成基于rDNS模式的聚类,也就无法完成移动IPv6地址识别。
技术实现思路
[0006]本专利技术旨在至少在一定程度上解决相关技术中的技术问题之一。
[0007]为此,为解决现有技术中存在的识别粒度太粗,被动数据存在偏差、难获取,主动识别开销大等问题,本专利技术提出了一种基于时延的IPv6地址信用风险检测方法,在不依赖于用户设备收集的被动数据情况下,以较小的主动识别开销,实现IP地址粒度的IPv6地址识别本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于时延的IPv6地址信用风险检测方法,其特征在于,包括以下步骤:聚合IPv6地址集合得到候选第一前缀集合;基于探测所述候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合,并提取时延测量和聚合后的时延集合特征;将所述时延集合特征输入至训练好的IPv6移动网络地址识别模型进行特征识别分类,以根据IPv6移动网络识别分类结果得到IPv6移动网络地址的第一前缀集合;基于IPv6移动网络地址的第一前缀信用的风险指标计算所述第一前缀集合中的每个第一前缀的评分得到不同的信用分数,以根据所述信用分数得到IPv6移动网络第一前缀信用的风险检测结果。2.根据权利要求1所述的方法,其特征在于,所述基于探测所述候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合,并提取时延测量和聚合后的时延集合特征,包括:对所述候选第一前缀集合中的每个第二前缀进行随机探测得到活跃地址第一前缀集合;利用预设协议测量所述活跃地址第一前缀集合中每个活跃地址到测量点的往返时延,并按照第一前缀聚合所述往返时延得到第一前缀时延集合;对所述第一前缀时延集合进行特征提取得到时延集合特征。3.根据权利要求1所述的方法,其特征在于,在所述将所述时延集合特征输入至训练好的IPv6移动网络地址识别模型进行特征识别分类之前,所述方法,还包括:获取时延集合样本;根据所述时延集合样本的前缀类型对所述时延集合特征进行标签标记,以根据标签标记结果得到样本数据集;按照预设比例将所述样本数据集划分训练集和测试集,并利用所述训练集对机器学习模型进行训练,以及利用所述测试集对训练后的机器学习模型进行模型测试,以基于模型测试结果得到训练好的IPv6移动网络地址识别模型。4.根据权利要求3所述的方法,其特征在于,所述风险指标,包括IPv6地址中的特殊IID模式、主动探测活跃用户规模和被动收集活跃用户规模。5.根据权利要求4所述的方法,其特征在于,所述基于IPv6移动网络地址的第一前缀信用的风险指标计算所述第一前缀集合中的每个第一前缀的评分得到不同的信用分数,以根据所述信用分数得到IPv6移动网络第一前缀信用的风险检测结果,包括:获取多种类IPv6地址数量;其中,所述多种类IPv6地址数量,包括第一前缀下满足所述特殊IID模式的IPv6地址数量、探测预设IPv6地址的第一前缀并响应的活跃IPv6地址数量以及被动收集的第一前缀下IPv6地址数量;利用预设函数计算所述多种类IPv6地址数量得到信用分数,并根据所述信用分数得到三维的评分向量;基于所述评分向量进行IPv6第一前...
【专利技术属性】
技术研发人员:王继龙,王明,李亚慧,王会,张晗,洪安伦,何俊,
申请(专利权)人:清华大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。