(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111573027.6 (22)申请日 2021.12.21 (71)申请人 中国科学院信息 工程研究所 地址 100093 北京市海淀区闵庄路甲89号 (72)发明人 杨威　李玉冰　周舟　刘庆云　 李钊　李舒　 (74)专利代理 机构 北京君尚知识产权代理有限 公司 11200 代理人 余长江 (51)Int.Cl. H04L 9/00(2022.01) H04L 9/40(2022.01) (54)发明名称 面向ICMPv6 DoS攻击与DDoS攻击的检测方 法及系统 (57)摘要 本发明公开一种面向ICMPv6  DoS攻击与 DDoS攻击 的检测方法及系统， 包括： 获取ICMPv6 数据包S的数据包类型与所述ICMPv6数据包S进 入交换机的端口类型； 对数据包类型为邻居请求 数据包的ICMPv6数据包或端口类型为连接三层 转发设备的ICMP v6数据包， 进行防止泛洪攻击检 测； 对数据包类型为非邻居请求数据包， 且端口 类型为连接一台主机或连接多台主机的ICMPv6 数据包， 基于源IP v6地址进行源地址欺骗攻击检 测， 并对通过源地址欺骗攻击检测的ICMP v6数据 包进行防止泛洪攻击检测。 本发明对 ICMPv6 DoS 和DDoS重新分类， 对分类的攻击， 提出解决 ICMPv6 DoS和DDoS攻击检测方法， 保护IPv6网络 安全。 权利要求书2页 说明书4页 附图3页 CN 114268426 A 2022.04.01 CN 114268426 A 1.一种面向IC MPv6 DoS攻击与D DoS攻击的检测方法， 其 步骤包括： 获取ICMPv6数据包S的数据包类型与所述ICMPv6数据包S进入 交换机的端口类型， 其 中 数据包类型包括： 邻居请求数据包或非邻居请求数据包， 所述端口类型包括： 连接一台主 机、 连接多台主机或连接三层转发设备； 对数据包类 型为邻居请求数据包的ICMPv6 数据包S1或端口类型为连接三层转发设备的 ICMPv6数据包S2， 进行防止泛洪攻击检测； 对数据包类型为非邻居请求数据包， 且端口类型为连接一台主机或连接多台主机的 ICMPv6数据包S3， 基于源IPv6地址进行源地址欺骗攻击检测， 并对通过源地址欺骗攻击检 测的ICMPv6数据包S3进行防止泛洪攻击检测。 2.如权利要求1所述的方法， 其特 征在于， 通过以下步骤获取 所述端口类型： 1)构建一个包括端口号与端口类型的端口类型表； 2)使用IC MPv6数据包S进入交换机的端口匹配所述端口类型表， 得到所述端口类型。 3.如权利要求1所述的方法， 其特 征在于， 通过以下步骤获取源IPv6地址： 1)使用可编程数据平面上的解析器提取IC MPv6数据S3包的头部字段； 3)基于所述头 部字段， 获取 所述源IPv6地址 。 4.如权利要求1所述的方法， 其特 征在于， 通过以下步骤进行源地址欺骗攻击检测： 1)构建连接表， 其中所述连接表包括： 根据IPv6地址与交换机端 口之间绑定关系构建 的单连接表和根据基于IPv6地址、 IPv6设备MAC地址与交换机端口之间绑定关系构建 的多 连接表； 2)在连接表内查找所述源IPv6地址： 若查找成功， 则通过源地址欺骗攻击检测； 若查找未成功， 则未通过源地址欺骗攻击检测， 并丢弃 该ICMPv6数据包S3。 5.如权利要求 4所述的方法， 其特 征在于， 通过以下步骤 对连接表进行 更新： 1)提取IC MPv6数据包S1中邻居请求报文Opti on选项的IPv6地址； 2)在连接表内查找邻居请求报文Opti on选项的IPv6地址： 若查找成功， 则所述连接表不更新； 若查找未成功， 则检查布隆过滤器中是否已经存在 该邻居请求报文Option选项的IPv6 地址： 若存在， 则所述连接表不更新； 若不存在， 则将该邻居请求报 文Option选项的IPv6地址、 ICMPv6数据包S1进入交换机的 端口或该邻居请求报文 Option选项的IPv6地址、 ICMPv6数据 包S1进入交换机的端口、 MAC地 址送入一控制器， 并由该控制器判断是否将该Opti on选项的IPv6地址插 入所述连接表。 6.如权利 要求5所述的方法， 其特征在于， 控制器通过以下策略判断是否将该Option选 项的IPv6地址插 入所述连接表： 设定时间内没有收到邻居公告数据包时， 则将该Option选项的IPv6地址插入所述连接 表后， 清空布隆过 滤器的值； 设定时间内收到邻居公告数据包时， 清空布隆过 滤器的值。 7.如权利要求1所述的方法， 其特 征在于， 通过以下步骤进行防止泛洪攻击检测： 1)对ICMPv6数据包的目的IPv6地址进行计数；权　利　要　求　书 1/2 页 2 CN 114268426 A 22)在任一时间窗口内， 若同一目的IPv6地址的数量超过阈值， 则丢弃 该CMPv6数据包。 8.一种存储介质， 所述存储介质中存储有计算机程序， 其中， 所述计算机程序被设置为 运行时执 行如权利要求1 ‑7中任一所述方法。 9.一种电子设备， 包括存储器和处理器， 所述存储器中存储有计算机程序， 所述处理器 被设置为 运行所述计算机程序以执 行如权利要求1 ‑7中任一所述方法。 10.一种面向IC MPv6 DoS攻击与D DoS攻击的检测系统， 包括： 类型获取模块， 用以获取ICMPv6数据包S的数据包类型与所述ICMPv6数据包S进入 交换 机的端口类型， 其中数据包类型包括： 邻居请求数据包或非邻居请求数据包， 所述端口类型 包括： 连接一台主机、 连接多台主机或连接三层转发设备； 源地址欺骗攻击检测模块， 用以对数据包类型为非邻居请求数据包， 且端口类型为连 接一台主机或连接多台主机的ICMPv6数据包S3， 基于源IPv6地址进行源地址欺骗攻击检 测； 防止泛洪攻击检测模块， 用以对数据包类 型为邻居请求数据包的ICMPv6 数据包S1、 端口 类型为连接三层转发设备的ICMPv6数据包S2或通过源地址欺骗攻击检测的ICMPv6数据包 S3， 进行防止泛洪攻击检测。权　利　要　求　书 2/2 页 3 CN 114268426 A 3