[发明专利]一种基于关联规则的IPv6地址扫描方法

说明书

本发明公开了一种基于关联规则的IPv6地址扫描方法，包括，在IPv6网络中进行子网内扫描，获取包含IPv6地址的数据集，将所有IPv6地址的接口标识符取出，并转换成二进制形式；将接口标识符的每一位看作一项，找出多项之间的关联规则，当一条关联规则中相关联的bit项数量大于等于阈值T时，对该条关联规则外的项进行顺序扫描；根据地址是否连续选择不同的方法进行发现。该方法可以显著缩小IPv6地址扫描空间，基于当前扫描能力范围之内。

技术领域

本发明涉及网络安全技术领域，尤其涉及一种基于关联规则的IPv6地址扫描方法。

背景技术

IP地址扫描广泛应用于漏洞扫描、蠕虫检测等领域，认知系统框架，发现主机漏洞，检测未知服务，在网络安全研究中具有重要意义。相比IPv4协议的32位地址，IPv6协议具有128位的巨大地址空间，传统的地址扫描技术在IPv6网络中无法应用，因此，研究适用于IPv6网络的地址扫描技术，对于防止新型的IPv6扫描攻击、部署安全策略具有重要意义。

地址扫描是网络安全扫描、漏洞扫描的前提，发送探测包到目标主机，如果收到回复，那么说明目标主机是开启的，可以确定目标网络上的主机是否可达，这是信息搜集的初始阶段，它将直接影响到后续的工作。蠕虫在利用漏洞进行传播之前，也需要先对目标节点进行扫描发现，地址扫描对于网络安全具有很重要的意义。

在IPv4网络中常用的基于网络层的顺序扫描、随机扫描。这些扫描策略大多需要对一定子网范围内IP地址全部进行扫描，一个典型的具有8位主机位的IPv4网络，远程攻击者最多只需要探测256个地址，按照每秒扫描一个地址，几分钟就可以完成，在64位的IPv6子网中，可以容纳1.844*10^19个主机比IPv4网络的主机密度更低，扫描一个子网的所有地址就需要数亿年才能完成，即使使用更快的扫描方法，仍然需要无限的时间，加上地址空间稀疏，顺序扫描、随机扫描等扫描方法不能有效的发现活动主机。

如何缩小地址扫描空间，是IPv6地址扫描面临的关键问题，目前已经有研究者在此方面开展了一些工作，文献“Network Reconnaissance in IPv6Networks”中列出了很多可以缩小IPv6地址扫描空间的方法，例如，按照人为配置地址，无状态地址自动配置的规律等等，但是这种方法也存在弊端，比如：受限于发现标准格式之内的地址，对于不符合标准特征的地址，随机地址无法进行有效的扫描；IPv6技术在不断发展，地址配置方式在不断更新，需要不断更新符合新标准的地址格式。利用组播和本地链路地址的本地网络IPv6地址扫描方式，仅能发现与本地网络相关的IPv6地址，不适合大范围的地址扫描应用。文献“IPv6环境下的蠕虫传播研究”中提出网内采用虚假RA探测和网间流量监听结合的方法，仅适用于局部，流量监听属于被动方式，而且扫描速度缓慢。文献“On Reconnaissance withIPv6:A Pattern-Based Scanning Approach”中的方法仅能生成一种模式，在挖掘速度和扫描效率低。

发明内容

本发明的目的就是为了解决上述问题，提供一种基于关联规则的IPv6地址扫描方法，该方法可以显著缩小IPv6地址扫描空间，基于当前扫描能力范围之内。

为了实现上述目的，本发明采用如下技术方案：

一种基于关联规则的IPv6地址扫描方法，包括，

在IPv6网络中进行子网内扫描，获取包含IPv6地址的数据集，将所有IPv6地址的接口标识符取出，并转换成二进制形式；

将接口标识符的每一位看作一项，找出多项之间的关联规则，当一条关联规则中相关联的bit项数量大于等于阈值T时，对该条关联规则外的项进行顺序扫描；

根据地址是否连续选择不同的方法进行发现。

对于连续的地址采用相邻关联规则发现的方法；对于非连续的地址，去掉满足相邻关联规则的地址，对数据集中剩下的地址进行非相邻关联规则发现的方法。