一种实现应用云安全托管的IPv6安全防护方法技术

本发明专利技术提供了一种实现应用云安全托管的IPv6安全防护方法，运用于网络安全技术领域，其方法包括：计算业务数据包的数据包签名，将数据包签名插入业务数据包的应用层载荷数据；创建路径计算程序，将所述路径计算程序创建为验证数据包；将所述业务数据包重新封装再切片与所述验证数据包一起发送向目标节点；对接收到的访问数据包进行关键要素提取，根据所述关键要素创建安全防护模型，将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成；数据包签名和路径计算程序确保了接收端接收的数据包就是应用发送的数据包，安全防护程序过滤掉非正常的访问数据包完成对应用的防护。应用的防护。应用的防护。

【技术实现步骤摘要】
一种实现应用云安全托管的IPv6安全防护方法


[0001]本专利技术涉及网络安全
，特别涉及一种实现应用云安全托管的IPv6安全防护方法。

技术介绍

[0002]在当下的互联网生态中，网络层协议逐渐从IPv4向IPv6过渡，基于IPv6的诸多特点，衍生出了新的网络攻击方式，例如，IPv6集成了IPSec通过对IP报文进行加密和认证，实现了端对端的安全通信,但在部分计算机未支持IPv4，在网络中进行通信时，需借助第三方的协议转换技术，在IPv4向IPv6转换的节点，IPSec的安全性不能发挥作用。
[0003]部分企业提供云托管服务，可以将客户的应用部署在云端，为客户提供可扩展的计算设施、网络设施、存储设施、安全维护，同时为不支持IPv6的客户的应用提供向IPv6转换的服务，IPv4向IPv6转换的过程以及IPv6本身的特点为云托管应用的安全带来了潜在危险，使之容易收到新型网络攻击。
[0004]在现有技术CN112738138A云安全托管方法、装置、设备及存储介质中，通过云安全服务内容调用对应的执行工具，执行云安全处理，实现了云安全托管的自动化，但该技术没有针对IPv4向IPv6转换时对应的云安全的处理方法，在数据包的网络层协议字段被转换前后，接收和发送该报文的设备无法确定该数据包是否被篡改过或替换过。
[0005]为此本专利技术提出一种实现应用云安全托管的IPv6安全防护方法，为托管在云平台的应用提供IPv4向IPv6转换时的安全防护。

技术实现思路

[0006]本专利技术的目的是提供一种实现应用云安全托管的IPv6安全防护方法，旨在解决现有技术未能满足数据包网络层协议字段IPv4向IPv6转换时的安全防护的问题。
[0007]为实现上述目的，本专利技术提供如下技术方案：本专利技术提供一种实现应用云安全托管的IPv6安全防护方法，包括：S1：将应用发送的业务数据包解封装，根据应用层协议字段、网络层协议字段、网络层载荷数据、业务数据包发送时间计算数据包签名，将所述数据包签名插入所述业务数据包的应用层载荷数据；S2：创建路径计算程序，采用与所述数据包相同的网络层协议、传输层协议、应用层协议将所述路径计算程序创建为验证数据包；S3：将所述业务数据包重新封装再切片与所述验证数据包一起发送向目标节点；S4：对接收到的访问数据包进行关键要素提取，根据所述关键要素创建安全防护模型，将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成；S5：所述安全防护模型开始对访问数据包进行智能筛查。
[0008]进一步的，在S1的步骤中，包括：所述计算数据包签名的过程为：
随机选取英文字母并获取对应的ASCII编码，与所述应用层协议字段的值一起计算哈希值得到应用层哈希值；将所述网络层协议字段、网络层载荷数据、业务数据包发送时间执行上述过程分别得到网络层哈希值、载荷数据哈希值、发送时间哈希值；将所述应用层哈希值、所述网络层哈希值、所述载荷数据哈希值、所述发送时间哈希值一起通过MD5算法计算出数据包签名。
[0009]进一步的，所述计算哈希值的算法包括：，其中，n是所述随机选取英文字母的ASCII编码换算成的十进制数字，f是所述随机选取英文字母在字母表的序号，k是哈希值计算目标的字段值换算成的二进制数字，byte是所述协议字段在内存中占用的比特位。
[0010]进一步的，在S2的步骤中，包括：所述路径计算程序采用JavaScipt实现，其逻辑包括：记录所述业务数据包发送跳数以及当前节点的IPv6地址得到路径记录，将所述路径记录保存在路径数组中；记录当前节点对所述业务数据包处理的协议深度以及处理过程得到操作记录，将所述操作记录保存在操作对象中，所述协议深度包括当前节点对所述业务数据包的进行过操作的协议字段；根据所述路径记录和所述操作记录计算出可逆签名，将所述可逆签名作为输出结果返回，所述可逆签名可以倒推出所述路径记录和所述操作记录。
[0011]进一步的，在根据所述路径记录和所述操作记录计算出可逆签名，所述可逆签名可以倒推出所述路径记录和所述操作记录的步骤中，包括：所述可逆签名的计算过程包括：遍历所述路径数组，将所述路径记录中的跳数和每个节点的IPv6地址压缩为一个路径浮点数，所述路径浮点数的格式为：；其中S表示跳数，ABCDEFGH分别对应当前节点的IPv6地址的每一段。
[0012]进一步的，在遍历所述路径数组，将所述路径记录中的跳数和每个节点的IPv6地址压缩为一个路径浮点数的步骤中，包括：所述压缩过程为：将IPv6地址的每一段由16进制转化为10进制，将每一段的转化结果与跳数相乘再求和。
[0013]进一步的，在S4的步骤中，包括：对接收到的访问数据包进行关键要素提取，根据所述关键要素创建安全防护模型，将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成。
[0014]所述关键要素包括：源IP地址、数据包大小、数据包类型、数据包重复度、载荷数据摘要、访问目的。
[0015]进一步的，在S4的步骤中，包括：所述安全防护模型可表示为：，是输入层，是计算层，是反射层，是输出层，是表示关键要素，其中，，T表示转置，关键要素从输入层输入，经计算层计算得到初步结果，经过反射层的反馈调节，同时反射层根据关键要素进行收敛成为更准确的反馈网络。
[0016]进一步的，在S4的步骤中，包括：所述安全防护模型的结构包括输入层、计算层、反射层网络、输出层；所述输入层接收所述访问数据包的关键要素；所述计算层计算所述关键要素与正常访问数据包的关键要素的关联度；所述反射层网络根据所述关联度对所述安全防护模型进行收敛；所述安全防护模型收敛后计算新的关联度，根据预设的关联阈值判定所述访问数据包的安全性。
[0017]进一步的，在S4的步骤中，包括：所述训练过程包括：将所述关键要素进行人工标注后输入到所述安全防护模型；根据收敛过程对所述安全防护模型的反射层网络进行调整；根据所述输出层的判定结果调整反射层网络节点的权重。
[0018]本专利技术提供了一种实现应用云安全托管的IPv6安全防护方法，具有以下有益效果：（1）针对应用发出的业务数据包，通过计算一个唯一的数据包签名并插入应用层的载荷数据，防止了业务数据包被窜改；（2）在发送业务数据包时，通过创建一个路径计算程序并为其创建一个验证数据包，将验证数据包与业务数据包一起发送，若业务数据包被问题主机操作，验证数据包也会被操作，并记录下操作者的信息，接收端通过查看路径计算程序的返回结果，可以重现业务数据包的发送过程判断数据包是否被替换，判断接收到的业务数据包的真实来源；（3）对于应用接收的数据，根据访问数据包创建一个针对性的安全防护模型，所述安全防护模型使用正常访问数据包和攻击数据包进行训练，使能够自动识别攻击数据包，在应用接收访问数据包前对数据包进行智能筛查，完成对托管在云上的应用得安全防护。
附图说明
[0019]图1为本专利技术一实施例的实现应用云安全托管的IPv6安全防护方法的流程示意图本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种实现应用云安全托管的IPv6安全防护方法，其特征在于，包括：S1：将应用发送的业务数据包解封装，根据应用层协议字段、网络层协议字段、网络层载荷数据、业务数据包发送时间计算数据包签名，将所述数据包签名插入所述业务数据包的应用层载荷数据；S2：创建路径计算程序，采用与所述数据包相同的网络层协议、传输层协议、应用层协议将所述路径计算程序创建为验证数据包；S3：将所述业务数据包重新封装再切片与所述验证数据包一起发送向目标节点；S4：对接收到的访问数据包进行关键要素提取，根据所述关键要素创建安全防护模型，将攻击数据包和访问数据包输入到所述安全防护模型进行模型训练至训练完成；S5：所述安全防护模型开始对访问数据包进行智能筛查。2.根据权利要求1所述的实现应用云安全托管的IPv6安全防护方法，其特征在于，在S1的步骤中，包括：所述计算数据包签名的过程为：随机选取英文字母并获取对应的ASCII编码，与所述应用层协议字段的值一起计算哈希值得到应用层哈希值；将所述网络层协议字段、网络层载荷数据、业务数据包发送时间执行上述过程分别得到网络层哈希值、载荷数据哈希值、发送时间哈希值；将所述应用层哈希值、所述网络层哈希值、所述载荷数据哈希值、所述发送时间哈希值一起通过MD5算法计算出数据包签名。3.根据权利要求2所述的实现应用云安全托管的IPv6安全防护方法，其特征在于，计算哈希值的算法包括：，其中，n是所述随机选取英文字母的ASCII编码换算成的十进制数字，f是所述随机选取英文字母在字母表的序号，k是哈希值计算目标的字段值换算成的二进制数字，byte是所述协议字段在内存中占用的比特位。4.根据权利要求1所述的实现应用云安全托管的IPv6安全防护方法，其特征在于，在S2的步骤中，包括：所述路径计算程序采用JavaScipt实现，其逻辑包括：记录所述业务数据包发送跳数以及当前节点的IPv6地址得到路径记录，将所述路径记录保存在路径数组中；记录当前节点对所述业务数据包处理的协议深度以及处理过程得到操作记录，将所述操作记录保存在操作对象中，所述协议深度包括当前节点对所述业务数据包的进行过操作的协议字段；根据所述路径记录和所述操作记录计算出可逆签名，将所述可逆签名作为输出结果返回，所述可逆签名可以倒推出所述路径记录和所述操作记录。5.根据权利要求4所述的实现应用云安全托管的IPv6安全防护...

【专利技术属性】
技术研发人员：傅小兵，宗春鸿，严寒冰，周涛华，冯波，
申请(专利权)人：国家计算机网络与信息安全管理中心江西分中心，
类型：发明
国别省市：