基于时延的IPv6地址信用风险检测方法及装置

基于时延的ipv6地址信用风险检测方法及装置
技术领域
1.本发明涉及移动网络地址识别技术领域，特别是涉及基于时延的ipv6地址信用风险检测方法及装置。


背景技术：

2.随着5g、物联网技术的普及，ipv6加速部署，移动网络迅速向ipv6迁移。一方面移动运营商加速部署ipv6。中国电信、中国移动和中国联通完成了全国30个省，333个地级市的lte网络ipv6改造；另一方面ipv6用户规模巨大。2020年，美国80％的智能手机使用ipv6地址；2021年8月，中国已分配ipv6移动用户数量为13.05亿(80.61％)，并且随着lte(长期演进，long term evolution)网络端到端改造进程的加速，中国ipv6用户数仍将持续增长。
3.ipv6端到端特性(end to end transparent)使得移动网络中的用户设备(ue)的ipv6地址暴露在互联网中，用户设备面临暴露在互联网中的风险。研究表明，攻击者可以通过暴力穷举的方式扫描移动网络as宣告的ipv6前缀，获得移动网络用户设备的ipv6地址。当ue的ipv6地址暴露时，互联网中的设备可以直接通过ipv6地址访问移动网络中的用户设备(ue)，ue面临诸多安全风险。例如，一方面ue可能遭受诸如scanning攻击，over-billing攻击，电量消耗攻击等针对移动用户的网络攻击；另一方面，由于安全防护能力有限，用户设备还有可能遭受传统的基于端口的漏洞利用攻击等。移动ip地址暴露，将给移动运营商和移动用户带来隐私泄露或直接经济损失。对ipv6地址暴露在互联网中的风险进行评分(以下称为信用评估)，能够量化移动运营商与移动用户设备面临的安全风险，及时进行安全提示，减少可能的损失，具有重要的意义。然而，识别ipv6地址存在挑战。移动网络通常处于混合网络中。混合网络同时存在固定宽带用户和移动宽带用户，移动宽带用户ipv6地址与固定宽带用户ipv6地址混合在一起，难以区分。ipv6地址信用评估的前提是ipv6地址识别。现有移动网络识别技术通常基于公开信息，被动数据或主动探测等数据源识别移动网络as或ip地址，分别存在识别粒度较粗，依赖用户设备收集被动数据或探测识别开销大等缺点，使得该类技术的使用范围受限。
4.现有的移动网络识别技术按照数据来源分为三类：基于公开信息的移动网络as识别技术、基于被动收集数据的移动网络ip地址识别技术、基于主动测量的移动网络ip地址识别技术。基于公开信息的移动网络as识别技术。基于公开信息的移动网络as识别技术是从as关联的公开信息中提取as的业务特征，使用分类模型对as的业务类型进行分类，例如caida基于peeringdb等数据源，提取as业务类型特征，将as分为三类，其中移动网络属于“transit/access”类。ziv等人等人使用whois、网站主页等数据源，详细分类了as的业务类型，其中移动网络属于“phone provider”类。基于被动收集数据的移动网络ip地址识别技术。基于被动数据的移动网络ip地址识别技术是通过用户设备上的特定应用程序接口收集汇总用户设备使用的ip地址及接入类型等相关数据，并通过数据分析方法识别移动网络ip地址。如xu等人通过移动应用程序调用操作系统接口获得移动ip地址及网络接入类型，随后通过匹配bpg路由宣告中的最长匹配前缀，作为移动网络ipv4前缀；rula等人通过移动浏
览器的网络信息接口(network information api)获得ip地址及接入类型，并根据ip前缀中接入类型的占比对ip前缀进行了分类，识别了35万移动ipv4/24前缀和2.3万移动ipv6/48前缀。使用该技术需要在一定规模的用户设备上规模部署特定的移动应用程序或拥有巨大的用户群体，采集一定规模的有效用户数据。基于主动测量的移动网络ip地址识别技术。基于主动测量的移动网络ip地址识别技术是根据主动探测目标ip地址的响应数据的特征(如时延等)，识别移动网络ip地址。例如，wang等人利用了处于节能模式(psm,power save mode)的移动物联网设备(cellular-iot)在休眠时不响应主动探测的特点，根据目标ip地址对主动探测是否响应以及什么时刻响应，识别了具有psm机制的cellular-iot；lee等人使用反向dns(reverse dns，rdns)中存在的字符串模式对ipv4地址进行聚类，利用移动网络ipv4地址所在聚类的往返时延高的特点，识别了移动网络ipv4地址聚类；perta等人通过即时通信软件触发目标设备的无线资源控制器(radio resource controller，rrc)状态变化，同时通过监测目标ip地址的往返时延变化，筛选出rrc状态变化的ip地址，从而关联移动用户和移动网络ip地址。
5.现有技术的缺点：基于公开数据的移动网络as识别技术识别粒度太粗。基于公开数据的移动网络as识别技术只能识别包含有移动网络ip地址的as，识别粒度较粗。大部分移动网络as处于混合网络中，且移动运营商出于安全的考虑一般不公开移动网络的地址分配策略，因此公开数据能够提供的用于识别移动网络的信息有限，无法满足更细粒度的识别需求，如进一步从移动网络as中识别出移动网络ip地址。基于被动收集数据的移动网络ip地址识别技术的数据存在偏差且难获取。基于被动数据的移动网络ip地址识别技术依赖于输入数据。该技术通常需要在一定规模的用户设备上部署移动应用程序收集用户数据，通过大数据量以保证数据较好的统计特征。该类方法对输入数据质量要求高，例如数据量需求大，通常只有cdn等内容提供商或网络服务提供商能够满足条件。对于普通研究者而言，很难获得足够数量的输入数据，限制了该方法的使用范围。同时，被动收集的用户数据受到用户偏好、应用部署规模、终端地理位置分布等因素的影响，往往存在偏差(例如facebook在中国的使用率较低，微信在中国的使用率高等)。因此该类技术无法识别输入数据之外的移动网络ip地址，识别结果也存在偏差。基于主动测量的移动网络ip地址识别技术的主动识别开销大，对网络丢包敏感。基于主动测量的移动网络ip地址识别技术，通常需要对同一ip地址发送多个探测数据包并收集探测响应。考虑到网络丢包因素影响，现有技术通常对单个ip地址发送10个探测数据包。对于用户规模巨大的ipv6移动网络来说，这将导致主动识别开销过大，甚至是损害目标设备。另外，ipv6移动终端用户ip地址极少关联rdns，使得现有技术无法完成基于rdns模式的聚类，也就无法完成移动ipv6地址识别。


技术实现要素：

6.本发明旨在至少在一定程度上解决相关技术中的技术问题之一。
7.为此，为解决现有技术中存在的识别粒度太粗，被动数据存在偏差、难获取，主动识别开销大等问题，本发明提出了一种基于时延的ipv6地址信用风险检测方法，在不依赖于用户设备收集的被动数据情况下，以较小的主动识别开销，实现ip地址粒度的ipv6地址识别。
8.本发明的另一个目的在于提出一种基于时延的ipv6地址信用风险检测装置。
9.为达上述目的，本发明一方面提出一种基于时延的ipv6地址信用风险检测方法，包括：
10.聚合ipv6地址集合得到候选第一前缀集合；
11.基于探测所述候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征；
12.将所述时延集合特征输入至训练好的ipv6移动网络地址识别模型进行特征识别分类，以根据ipv6移动网络识别分类结果得到ipv6移动网络地址的第一前缀集合；
13.基于ipv6移动网络地址的第一前缀信用的风险指标计算所述第一前缀集合中的每个第一前缀的评分得到不同的信用分数，以根据所述信用分数得到ipv6移动网络第一前缀信用的风险检测结果。
14.另外，根据本发明上述实施例的基于时延的ipv6地址信用风险检测方法还可以具有以下附加的技术特征：
15.进一步地，在本发明的一个实施例中，所述基于探测所述候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征，包括：
16.对所述候选第一前缀集合中的每个第二前缀进行随机探测得到活跃地址第一前缀集合；
17.利用预设协议测量所述活跃地址第一前缀集合中每个活跃地址到测量点的往返时延，并按照第一前缀聚合所述往返时延得到第一前缀时延集合；
18.对所述第一前缀时延集合进行特征提取得到时延集合特征。
19.进一步地，在本发明的一个实施例中，在所述将所述时延集合特征输入至训练好的ipv6移动网络地址识别模型进行特征识别分类之前，所述方法，还包括：
20.获取时延集合样本；
21.根据所述时延集合样本的前缀类型对所述时延集合特征进行标签标记，以根据标签标记结果得到样本数据集；
22.按照预设比例将所述样本数据集划分训练集和测试集，并利用所述训练集对机器学习模型进行训练，以及利用所述测试集对训练后的机器学习模型进行模型测试，以基于模型测试结果得到训练好的ipv6移动网络地址识别模型。
23.进一步地，在本发明的一个实施例中，所述风险指标，包括ipv6地址中的特殊iid模式、主动探测活跃用户规模和被动收集活跃用户规模。
24.进一步地，在本发明的一个实施例中，所述基于ipv6移动网络地址的第一前缀信用的风险指标计算所述第一前缀集合中的每个第一前缀的评分得到不同的信用分数，以根据所述信用分数得到ipv6移动网络第一前缀信用的风险检测结果，包括：
25.获取多种类ipv6地址数量；其中，所述多种类ipv6地址数量，包括第一前缀下满足所述特殊iid模式的ipv6地址数量、探测预设ipv6地址的第一前缀并响应的活跃ipv6地址数量以及被动收集的第一前缀下ipv6地址数量；
26.利用预设函数计算所述多种类ipv6地址数量得到信用分数，并根据所述信用分数得到三维的评分向量；
27.基于所述评分向量进行ipv6第一前缀信用的风险检测，以根据评分向量的数值大
小判断得到ipv6第一前缀信用风险值大小的风险检测结果。
28.为达上述目的，本发明另一方面提出一种基于时延的ipv6地址信用风险检测装置，包括：
29.候选集合获取模块，用于聚合ipv6地址集合得到候选第一前缀集合；
30.时延探测聚合模块，用于基于探测所述候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征；
31.特征识别分类模块，用于将所述时延集合特征输入至训练好的ipv6地址识别模型进行特征识别分类，以根据ipv6移动网络识别分类结果得到ipv6移动网络地址的第一前缀集合；
32.信用评分检测模块，基于ipv6移动网络地址的第一前缀信用的风险指标计算所述第一前缀集合中的每个第一前缀的评分得到不同的第一前缀的信用分数，以根据所述信用分数得到ipv6移动网络第一前缀信用的风险检测结果。
33.本发明实施例的基于时延的ipv6地址信用风险检测方法和装置，根据移动网络中的无线资源控制器(radio resource controller，rrc)在状态转换时引入额外的往返时延的特点，利用主动探测触发用户设备rrc状态变化和往返时延变化。本发明通过机器学习算法学习不同类型网络/48前缀的时延特征，识别ipv6/48前缀及其包含的ipv6地址。针对基于公开数据的移动网络as识别技术识别粒度太粗的问题，本发明通过识别移动ipv6地址前缀，实现ip地址粒度的移动网络识别。针对基于被动收集数据的移动网络ip地址识别技术数据存在偏差且难获取的问题，本发明通过主动探测获得用户设备ipv6地址的往返时延数据作为输入，不依赖用户设备的特定应用程序接口收集数据，解决了输入数据的数据偏差和难获取的问题。针对基于主动测量的移动网络ip地址识别技术的主动识别开销大的问题，本发明通过探测ipv6/48前缀，计算/48前缀的时延差，降低主动探测的开销，增强了对网络丢包的鲁棒性，提升了识别效率。本发明不依赖于rdns实现聚类。本发明利用ipv6/48前缀内的ipv6地址在地址空间、地理位置等上的同质性聚类ipv6地址。
34.本发明附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。
附图说明
35.本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
36.图1是根据本发明实施例的基于时延的ipv6地址信用风险检测方法的流程图；
37.图2是根据本发明实施例的探测开销评估示意图；
38.图3是根据本发明实施例的网络丢包性能评估示意图；
39.图4是根据本发明实施例的基于时延的ipv6地址信用风险检测装置的结构示意图。
具体实施方式
40.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本发明。
41.为了使本发明领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。
42.下面参照附图描述根据本发明实施例提出的基于时延的ipv6地址信用风险检测方法和装置。
43.本发明的术语：移动网络/蜂窝网络：通过无线接入网(radio access network)，核心网(packet core network)为移动用户，固定无线接入(fixed wireless access(fwa))，机器通信(machine-to-machine communication(m2m))等提供无线接入互联网能力的运营商网络，例如为智能手机、物联网设备等使用用户识别卡模块(sim)提供蜂窝通信的中国电信的移动宽带网络。
44.用户设备(ue，user equipment)：指的是使用用户标识卡(sim，subscriber identity module)接入移动网络的用户终端设备，包括智能手机、4g/5g用户终端设备(cpe，customer premise equipment)，移动物联网设备(cellular-iot)等。
45.ipv6地址：指移动网络分配给用户设备(user equipment，ue)使用的ipv6地址，一般由运营商动态分配的/64前缀拼接ue随机生成的接口标识(interface identifier)构成。
46.图1是本发明实施例的基于时延的ipv6地址信用风险检测方法的流程图。
47.如图1所示，该方法包括但不限于以下步骤：
48.s1，聚合ipv6地址集合得到候选第一前缀集合。
49.可以理解的是，本发明实施例获得候选ipv6地址集合，对候选ipv6地址集合聚合得到候选/48前缀集合。
50.可以理解的是，ipv6地址空间巨大且稀疏，为避免盲目探测ipv6地址空间，本发明首先收集存在活跃地址的/48前缀。活跃地址指的是过去或现在在互联网中出现的ip地址，包括被动收集和主动探测获得的地址。
51.作为本发明的一些实施例，可以通过相关技术中的各种收集ipv6地址的方案获取ipv6地址集合，如被动采集、随机探测、hitlist等，此处不进行赘述。
52.进一步地，对上述活跃ipv6地址，按照/48前缀进行聚合，得到可能存在ipv6地址的候选/48前缀集合。一个/48前缀中应至少包含一个活跃的ipv6地址。
53.s2，基于探测候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征。
54.作为本发明的一些实施例，对候选/48前缀集合中的每个/64前缀随机探测一次，获得ipv6移动网络活跃地址集合；对每个活跃ipv6地址测量往返时延，按照/48前缀聚合往返时延，得到/48前缀的时延集合；提取/48前缀时延集合的特征。
55.具体地，对候选/48前缀集合中的65536个/64前缀，使用icmpv6、tcp6或udp6协议随机探测一次，获得该/48前缀下的ipv6移动网络活跃地址集合。对活跃ipv6地址，使用icmpv6、tcp6或udp6协议测量一次往返时延。按照/48前缀聚合往返时延，得到/48前缀的下所有活跃地址的时延集合。随后对时延集合提取特征。
56.其中，获得活跃地址集合的方法如下：本发明通过拼接64比特前缀和64比特接口标识(iid)生成/48前缀下的65536个随机地址。具体为：生成/48前缀下的65536个/64前缀；对每个/64前缀，拼接一个随机的64比特或全零的接口标识，构成完整的ipv6地址。对上述65536个随机ipv6地址进行一次探测(记为数据包p0)。从探测响应的错误消息中筛选请求和响应/64前缀相同的ipv6地址，获得/48前缀下的n个活跃ipv6地址。
57.其中，测量往返时延集合的方法如下：对上述/48前缀下的m(m《＝n)个活跃ipv6地址发送一个探测数据包(数据包p1)测量往返时延，并将时延测量结果按照/48前缀进行聚合，构成/48前缀的时延集合。本发明无需对n个活跃ipv6地址均测量时延，只需测量其中的m个即可，减少了测量开销，时延测量的方法对网络丢包鲁棒。
58.在上述探测过程中，p0的作用为发现活跃的ipv6地址并触发目标rrc状态转换，p1的作用为测量目标包含rrc状态转化时延的往返时延。
59.其中，提取/48前缀的时延集合的特征的方法如下：设某个/48前缀的时延集合为r＝{ti},i≤65536，其中i表示时延集合r中第i个时延。
60.具体地，提取该/48前缀的时延特征的方法如下：
61.计算r的方差和时延区间范围(最大值减最小值)，共计2维特征；
62.时延差的分布。记时延差集合为提取dr的方差，最大值，最小值，第95分位点，第5分位点和均值，共计6维特征；
63.时延差集合dr在不同的百分位点的分布。选择dr的100个百分位点的时延差{p1,
…
,p
100
}，计算百分位点之间的差s＝{p
1-p2,
…
,p
99-p
100
}，计算s的方差，最大值，最小值，第95分位点，第5分位点和均值，共计6维特征；
64.时延差集合dr在不同的时延差区间的分布。设g
t
＝{-t＜dr≤t}表示dr中在时延区间(-t,t]之间的时延差。计算其中g为时延差的上限，例如可选1000ms。计算g的方差，最大值，最小值，第95分位点，第5分位点和均值，共计6维特征。
65.s3，将时延集合特征输入至训练好的ipv6移动网络地址识别模型进行特征识别分类，以根据ipv6移动网络识别分类结果得到ipv6移动网络地址的第一前缀集合。
66.具体地，训练与测试ipv6/48前缀识别模型。选择已知的移动运营商的ipv6前缀的时延集合(本发明的一个实施例的已知移动运营商的前缀集合如表1所示)，提取步骤2中描述的/48前缀的时延特征。根据已知运营商前缀的类型对上述提取的特征标记标签，标签类型为移动网络mobile或固定网络fixed。按照一定比例将数据集划分训练集和测试集，如7:3，并使用机器学习模型(如随机森林等)，训练并测试ipv6识别模型的性能。选择性能最优的模型得到ipv6识别模型。由此，通过基于时延的ipv6地址识别模型，对/48前缀的时延集合的特征进行识别分类，获得ipv6/48前缀集合。
67.表1
[0068][0069]
s4，基于ipv6移动网络地址的/48前缀信用的风险指标计算/48前缀集合中的每个/48前缀的评分得到不同的信用分数，以根据信用分数得到ipv6/48前缀信用的风险检测结果。
[0070]
具体地，对候选/48前缀的时延集合提取特征，并使用ipv6地址识别模型对候选/48前缀分类，获得ipv6/48前缀集合。其中ipv6地址识别模型从步骤s3中获得。候选/48前缀为除了表1中已知的移动网络前缀外的其他候选/48前缀。
[0071]
进一步地，对ipv6/48前缀集合中的每个/48前缀评分，计算不同/48前缀的信用分数。ipv6地址信用分数表示的是ipv6地址被发现和暴露在互联网中的风险。
[0072]
作为本发明的一些实施例，本发明通过影响移动网络/48前缀信用的三方面因素指标计算ipv6/48前缀的信用分数：
[0073]
因素指标1：ipv6地址中的特殊iid模式。
[0074]
特殊iid模式指的是移动/48前缀中的ipv6地址iid部分存在如表2所示的iid模式。表2中每一行代表一种iid模式，列代表ipv6地址中第9字节至第16字节在该模式下的具体取值范围(即ipv6地址的iid部分)，使用十六进制表示，如1f表示十进制的31。“x”表示取值范围为[0-f]中的任意值。其中模式1包含模式2。
[0075]
通过模式1识别移动网络/48前缀。在主动探测的移动/48前缀的响应地址中存在模式1的ip地址时，该前缀是移动网络/48前缀的准确率为98.83％，说明模式1能够准确识别移动网络/48前缀，因此存在模式1的/48前缀的暴露风险大，信用评分高。
[0076]
根据/48前缀下满足特殊iid模式1的ipv6地址数量，本发明使用函数a(x,t)计算信用分数score1。其中a(x,t)函数为：：
[0077]
表2
[0078]
iid模式9th10th11th12th13th14th15th16th模式1000[0-2]00[00-77]xxxxxxxx模式2000[0-2]00[00-77]xxxxxx01
[0079]
因素指标2：主动探测活跃用户规模。
[0080]
用户规模越大，被随机主动探测到的概率也就越大，也越容易暴露在互联网中，因此信用分数高。
[0081]
本发明对已知的移动网络/48前缀，进行主动探测，根据响应的活跃ipv6地址数量，使用函数a(x,t)计算信用分数score2。其中a(x,t)函数为：
[0082]
因素指标3：被动收集活跃用户规模。
[0083]
当用户规模越大时，移动ip地址的使用痕迹被互联网记录的可能性也就越大。根据不同的移动前缀在互联网中被动数据中出现的数量，评估移动网络暴露的风险。
[0084]
根据被动采集的/48前缀下ipv6地址的数量，使用函数a(x,t)计算信用分数score3。其中a(x,t)函数为：其中被动采集数据可以使用诸如domain lists，fdns，ct，bitnodes，ripe atlas和scamper主动探测获得，不再赘述。
[0085]
针对每个/48前缀，将获得一个三维的评分向量{score1,score2，score3}，分别代表移动网络/48前缀在三个维度的暴露风险。计算得到的移动网络/48前缀的信用分数越高，暴露的风险越大。
[0086]
综上，本发明仅通过主动探测实现ipv6地址粒度的识别，不依赖于用户数据采集的被动数据，为识别ipv6地址提供了一种快速、高效、主动的识别方法。本发明降低了移动网络的识别难度，识别开销相对现有主动识别技术更小，对网络丢包更加鲁棒。ipv6/48前缀信用评分能够量化/48前缀面临的暴露风险，为移动运营商和移动用户提供风险提示，为运营商更新安全策略提供数据支持。
[0087]
进一步地，本发明实现了ip前缀/地址粒度的ipv6地址识别，目前为止识别移动网络/48前缀4.3万个，分布于126个移动网络as，如表3所示。相比于rula等人发现的2.3万个移动网络/48前缀增加了近一倍。说明本发明提出的主动探测具有优势。
[0088]
表3
[0089][0090]
由此，本发明探测开销小，识别准确度高，能够达到较好的ipv6移动网络识别性能。图2展示了本发明在探测开销方面的性能，结果显示本发明对单个ipv6地址的探测数据包开销最多为2个(p0和p1)，相比一般方法的探测开销更小，本发明的方法的测量开销减少为原来的十分之一。图2中横坐标为对单个ipv6地址发送数据包的数量，纵坐标为/48前缀的识别准确率和召回率。这表明本发明提出的基于时延的ipv6识别方法在对单个ipv6地址发送数据包数量为1(p1)的情况下，能够分别达到99.95％和99.62％的准确率和召回率。
[0091]
通过控制有效往返时延的数量模拟网络丢包，结果显示本发明的准确率几乎不受网络丢包影响；尽管存在网络丢包，但只需要少量有效时延(如125个)，即可达到较高的召回率(如96.08％)。图3展示了本发明在抵抗网络丢包方面的性能，其中横坐标为模拟单个/48前缀中网络丢包发生时能够获得有效往返时延的数量，纵坐标为/48前缀的识别准确率和召回率。结果显示本发明的准确率基本不受网络丢包的影响，准确率保持在99.8％左右；在网络丢包发生时，仅需125个有效时延，就能够达到96.08％的召回率；当有效时延数量达
到400时，召回率达到97.06％，且随着有效时延数量的增加，召回率基本不发生变化。通过人工模拟丢包，还能够进一步降低对/48前缀的测量开销。因此本发明的测量开销至少降低为已有方法的十分之一。
[0092]
根据本发明实施例的基于时延的ipv6地址信用风险检测方法，通过识别移动ipv6地址前缀，实现ip地址粒度的移动网络识别，通过主动探测获得用户设备ipv6地址的往返时延数据作为输入，不依赖用户设备的特定应用程序接口收集数据，解决了输入数据的数据偏差和难获取的问题，降低主动探测的开销，增强了对网络丢包的鲁棒性，提升了识别效率。
[0093]
为了实现上述实施例，如图4所示，本实施例中还提供了基于时延的ipv6地址信用风险检测装置10，该装置10包括，候选集合获取模块100、时延探测聚合模块200、特征识别分类模块300和信用评分检测模块400。
[0094]
候选集合获取模块100，用于聚合ipv6地址集合得到候选第一前缀集合；
[0095]
时延探测聚合模块200，用于基于探测候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征；
[0096]
特征识别分类模块300，用于将时延集合特征输入至训练好的ipv6地址识别模型进行特征识别分类，以根据ipv6移动网络识别分类结果得到ipv6移动网络地址的第一前缀集合；
[0097]
信用评分检测模块400，基于ipv6移动网络地址的第一前缀信用的风险指标计算第一前缀集合中的每个第一前缀的评分得到不同的第一前缀的信用分数，以根据信用分数得到ipv6移动网络第一前缀信用的风险检测结果。
[0098]
进一步地，上述时延探测聚合模块200，还用于：
[0099]
对候选第一前缀集合中的每个第二前缀进行随机探测得到活跃地址第一前缀集合；
[0100]
利用预设协议测量活跃地址第一前缀集合中每个活跃地址到测量点的往返时延，并按照第一前缀聚合往返时延得到第一前缀时延集合；
[0101]
对第一前缀时延集合进行特征提取得到时延集合特征。
[0102]
进一步地，在上述特征识别分类模块300之前，还包括：模型训练模块，用于：
[0103]
获取时延集合样本；
[0104]
根据所述时延集合样本的前缀类型对所述时延集合特征进行标签标记，以根据标签标记结果得到样本数据集；
[0105]
按照预设比例将所述样本数据集划分训练集和测试集，并利用所述训练集对机器学习模型进行训练，以及利用所述测试集对训练后的机器学习模型进行模型测试，以基于模型测试结果得到训练好的ipv6移动网络地址识别模型。
[0106]
进一步地，风险指标，包括ipv6地址中的特殊iid模式、主动探测活跃用户规模和被动收集活跃用户规模。
[0107]
进一步地，上述信用评分检测模块400，还用于：
[0108]
获取多种类ipv6地址数量；其中，所述多种类ipv6地址数量，包括第一前缀下满足所述特殊iid模式的ipv6地址数量、探测预设ipv6地址的第一前缀并响应的活跃ipv6地址数量以及被动收集的第一前缀下ipv6地址数量；
[0109]
利用预设函数计算所述多种类ipv6地址数量得到信用分数，并根据所述信用分数得到三维的评分向量；
[0110]
基于所述评分向量进行ipv6第一前缀信用的风险检测，以根据评分向量的数值大小判断得到ipv6第一前缀信用风险值大小的风险检测结果。
[0111]
根据本发明实施例的基于时延的ipv6地址信用风险检测装置，通过识别移动ipv6地址前缀，实现ip地址粒度的移动网络识别，通过主动探测获得用户设备ipv6地址的往返时延数据作为输入，不依赖用户设备的特定应用程序接口收集数据，解决了输入数据的数据偏差和难获取的问题，降低主动探测的开销，增强了对网络丢包的鲁棒性，提升了识别效率。
[0112]
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0113]
此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

技术特征：
1.一种基于时延的ipv6地址信用风险检测方法，其特征在于，包括以下步骤：聚合ipv6地址集合得到候选第一前缀集合；基于探测所述候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征；将所述时延集合特征输入至训练好的ipv6移动网络地址识别模型进行特征识别分类，以根据ipv6移动网络识别分类结果得到ipv6移动网络地址的第一前缀集合；基于ipv6移动网络地址的第一前缀信用的风险指标计算所述第一前缀集合中的每个第一前缀的评分得到不同的信用分数，以根据所述信用分数得到ipv6移动网络第一前缀信用的风险检测结果。2.根据权利要求1所述的方法，其特征在于，所述基于探测所述候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征，包括：对所述候选第一前缀集合中的每个第二前缀进行随机探测得到活跃地址第一前缀集合；利用预设协议测量所述活跃地址第一前缀集合中每个活跃地址到测量点的往返时延，并按照第一前缀聚合所述往返时延得到第一前缀时延集合；对所述第一前缀时延集合进行特征提取得到时延集合特征。3.根据权利要求1所述的方法，其特征在于，在所述将所述时延集合特征输入至训练好的ipv6移动网络地址识别模型进行特征识别分类之前，所述方法，还包括：获取时延集合样本；根据所述时延集合样本的前缀类型对所述时延集合特征进行标签标记，以根据标签标记结果得到样本数据集；按照预设比例将所述样本数据集划分训练集和测试集，并利用所述训练集对机器学习模型进行训练，以及利用所述测试集对训练后的机器学习模型进行模型测试，以基于模型测试结果得到训练好的ipv6移动网络地址识别模型。4.根据权利要求3所述的方法，其特征在于，所述风险指标，包括ipv6地址中的特殊iid模式、主动探测活跃用户规模和被动收集活跃用户规模。5.根据权利要求4所述的方法，其特征在于，所述基于ipv6移动网络地址的第一前缀信用的风险指标计算所述第一前缀集合中的每个第一前缀的评分得到不同的信用分数，以根据所述信用分数得到ipv6移动网络第一前缀信用的风险检测结果，包括：获取多种类ipv6地址数量；其中，所述多种类ipv6地址数量，包括第一前缀下满足所述特殊iid模式的ipv6地址数量、探测预设ipv6地址的第一前缀并响应的活跃ipv6地址数量以及被动收集的第一前缀下ipv6地址数量；利用预设函数计算所述多种类ipv6地址数量得到信用分数，并根据所述信用分数得到三维的评分向量；基于所述评分向量进行ipv6第一前缀信用的风险检测，以根据评分向量的数值大小判断得到ipv6第一前缀信用风险值大小的风险检测结果。6.一种基于时延的ipv6地址信用风险检测装置，其特征在于，包括：候选集合获取模块，用于聚合ipv6地址集合得到候选第一前缀集合；
时延探测聚合模块，用于基于探测所述候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征；特征识别分类模块，用于将所述时延集合特征输入至训练好的ipv6地址识别模型进行特征识别分类，以根据ipv6移动网络识别分类结果得到ipv6移动网络地址的第一前缀集合；信用评分检测模块，基于ipv6移动网络地址的第一前缀信用的风险指标计算所述第一前缀集合中的每个第一前缀的评分得到不同的第一前缀的信用分数，以根据所述信用分数得到ipv6移动网络第一前缀信用的风险检测结果。7.根据权利要求6所述的装置，其特征在于，所述时延探测聚合模块，还用于：对所述候选第一前缀集合中的每个第二前缀进行随机探测得到活跃地址第一前缀集合；利用预设协议测量所述活跃地址第一前缀集合中每个活跃地址到测量点的往返时延，并按照第一前缀聚合所述往返时延得到第一前缀时延集合；对所述第一前缀时延集合进行特征提取得到时延集合特征。8.根据权利要求6所述的装置，其特征在于，在所述特征识别分类模块之前，还包括：模型训练模块，用于：获取时延集合样本；根据所述时延集合样本的前缀类型对所述时延集合特征进行标签标记，以根据标签标记结果得到样本数据集；按照预设比例将所述样本数据集划分训练集和测试集，并利用所述训练集对机器学习模型进行训练，以及利用所述测试集对训练后的机器学习模型进行模型测试，以基于模型测试结果得到训练好的ipv6移动网络地址识别模型。9.根据权利要求6所述的装置，其特征在于，所述风险指标，包括ipv6地址中的特殊iid模式、主动探测活跃用户规模和被动收集活跃用户规模。10.根据权利要求9所述的装置，其特征在于，所述信用评分检测模块，还用于：获取多种类ipv6地址数量；其中，所述多种类ipv6地址数量，包括第一前缀下满足所述特殊iid模式的ipv6地址数量、探测预设ipv6地址的第一前缀并响应的活跃ipv6地址数量以及被动收集的第一前缀下ipv6地址数量；利用预设函数计算所述多种类ipv6地址数量得到信用分数，并根据所述信用分数得到三维的评分向量；基于所述评分向量进行ipv6第一前缀信用的风险检测，以根据评分向量的数值大小判断得到ipv6第一前缀信用风险值大小的风险检测结果。

技术总结
本发明公开了基于时延的IPv6地址信用风险检测方法及装置，该方法包括：聚合IPv6地址集合得到候选第一前缀集合；基于探测候选第一前缀集合得到的活跃地址第一前缀集合进行时延测量和聚合，并提取时延测量和聚合后的时延集合特征；将时延集合特征输入至训练好的IPv6移动网络地址识别模型进行特征识别分类，以根据IPv6移动网络识别分类结果得到IPv6移动网络地址的第一前缀集合；基于IPv6移动网络地址的第一前缀信用的风险指标计算第一前缀集合中的每个第一前缀的评分得到不同的信用分数，以根据信用分数得到IPv6移动网络第一前缀信用的风险检测结果。本发明解决了输入数据的数据偏差和难获取的问题，降低主动探测的开销。降低主动探测的开销。降低主动探测的开销。


技术研发人员：王继龙 王明 李亚慧 王会 张晗 洪安伦 何俊
受保护的技术使用者：清华大学
技术研发日：2023.05.12
技术公布日：2023/8/4