文 / 交通银行数据中心 高思文 凌晨 黄玮尧 段煜

随着互联网的快速发展，IP地址的需求急剧增加，导致现有IPv4地址空间趋于枯竭，IPv6提供了更大的地址空间（2～128个可能的地址），能够支持更多设备接入互联网，满足未来物联网、移动设备等大量网络元素的接入需求，因此IPv6的推广使用成为大势所趋。

然而IPv6巨大的地址空间虽然解决了IPv4地址匮乏的问题，但也催生出了新型网络攻击手段，使得攻击源更难以追踪和处置。一方面，秒拨IP攻击是利用IPv6网络中可以快速变换网络地址的特性，不断更换源IP地址发起攻击，使得传统的入侵检测系统和防火墙等安全设备很难准确追踪和识别攻击流量，导致攻击流量可以绕过安全检测，对目标网络或服务器造成影响；另一方面，秒拨IP攻击通过大量虚假的请求消耗目标服务器的资源，即进行DDoS攻击（拒绝服务攻击），影响正常用户的访问，这对提供在线服务的企业尤其具有破坏性。同时由于攻击者采用不断变化的IPv6地址，增加了追踪攻击源的难度，使得追溯和责任追究变得复杂。

本文旨在调研IPv6环境新增的网络安全问题，对交通银行现有的网络攻击安全防护体系进行全面评估，识别在IPv6环境下交通银行现有网络安全防护体系的主要短板，并针对IPv6环境下秒拨攻击抑制方案进行研究。

IPv6技术引入的安全风险

经调研，IPv6技术的引入可能带来的安全风险主要包括几类：过渡技术带来的安全风险、协议自身带来的安全风险和协议应用所衍生出的风险。

1.过渡技术的安全隐患

在从 IPv4 向 IPv6 过渡的过程中，使用的各种过渡技术，如双栈、隧道等，可能存在配置不当或漏洞。例如，在双栈环境中，如果对 IPv4 和 IPv6 的访问控制策略配置不一致，可能导致安全漏洞被利用。

2.协议自身带来的安全风险

IPv6技术自身相比IPv4技术具备一些新的特性，比如IPv6支持的NDP邻居发现协议就可能导致受到欺骗攻击。攻击者可以伪造 NDP 消息来误导网络中的节点，从而导致通信中断或数据泄露。比如IPv6引入了多种扩展头，增加了数据包处理的复杂性，如果网络设备对这些扩展头的处理不当，也可能会导致安全漏洞。

3.协议应用所衍生的安全风险

IPv6的地址数量远远超过IPv4，并且支持无状态地址自动配置，这可能导致地址的不可预测性和难以管理。攻击者可能利用这一点进行地址欺骗或发起拒绝服务攻击。比如，恶意用户可以通过随机生成大量的IPv6地址来绕过一些基于地址的防护机制，即秒拨IP攻击。

4.风险分析

在以上风险中，过渡技术的安全风险可以通过加强配置管理来进行规避，协议自身带来的安全风险一般依赖支持IPv6的设备自身的设计以及网络厂商的安全设计来抑制。而协议应用所衍生的安全风险，即秒拨IP攻击的处置方案，将作为本课题研究的重点方向。

现有防护体系如何应对IPv6环境下的新型网络攻击

1.交通银行现有安全防护体系

交通银行现有的安全防护体系中，已经进行了较多种类的安全技术防护工具的应用，这些工具从不同的维度为我行的网络安全防护体系提供能力，主要可分为监测能力、分析能力和处置能力。

安全监测部分，主要采用对应的专用工具来实现，如WAF、全流量监测、终端安全、主机安全、蜜罐、邮件网关等。

安全分析能力部分，一方面依赖各独立安全工具自身的分析能力，如通过WAF对针对HTTP/HTTPS的攻击进行分析，通过终端安全、主机安全对主机层面的攻击行为进行分析等。同时，交通银行安全运营中心会通过SOC平台对系统日志和安全告警进行统一收集，再进行二次分析和研判。

在安全处置部分，一方面通过各类专用工具自身的处置能力来实现实时处置，另一方面，在安全运营中心进行研判后，会通过SOC来调度如防火墙、旁路阻断等设备API，进行自动化攻击IP封禁。

在日常安全运营中，攻击事件的处置流程大致为：安全运营中心对各类安全工具告警和日志信息统一收集后，进行关联分析匹配规则，生成统一格式的安全告警，对需要处置的高风险IP，通过调度防火墙等工具进行一段时间的IP封禁，达到攻击抑制的效果。

2.现有防护体系在IPv6环境下的有效性

随着IPv6技术的应用，需要对现有的防护体系的有效性进行重新评估，以确保现有的技术防护手段在IPv6环境下仍然能够发挥作用。

WAF：WAF主要针对互联网流量中应用层数据进行检测和防护，应用层数据在IPv4和IPv6环境下并无差异，预期WAF不会受到影响。

全流量监测：全流量安全监测系统用于各网络区域边界南北向流量存储和监控，对流量进行实时监测和分析，主要关注网络流量中应用层的威胁。因此不会受到IPv6环境的影响。

终端和主机安全：主要关注在操作系统内发生的各类攻击行为和异常行为，不受IPv6环境的影响。

蜜罐：主要针对攻击者在蜜罐环境中的操作行为进行分析。在IPv6环境下会对攻击溯源增加难度，但蜜罐主要功能并不会受影响。

邮件安全：包括邮件网关和邮件沙箱在内，主要对邮件协议、邮件内容的分析实现垃圾邮件、钓鱼邮件、病毒邮件等威胁的防护。在IPv6环境下，会对现有的邮件信誉功能产生一些挑战，但邮件安全生态中已有一些技术来应对。以Spamhaus为例，虽然 IPv6 拥有大量的地址空间，但 Spamhaus 依然可以通过各种技术和策略来应对垃圾邮件问题。例如，Spamhaus CSS（Composite Spam Score）SBL 列表会自动生成涉及发送低信誉电子邮件的IP地址数据集，其中就包括了IPv6 地址。

安全处置：在交通银行安全处置体系中，针对互联网攻击处置主要通过防火墙来实现，具体为在确定攻击者IP地址之后，在互联网边界对攻击IP进行一段时间的封禁，以达到攻击抑制的效果。然而在IPv6技术广泛应用后，攻击者可以以非常快速、低成本的方式更换IP地址，这将导致现有的安全处置在一定程度上失效。尤其是将IPv6与秒拨技术相结合后，攻击者可以在极短的时间内，更换大量IP地址对目标发起攻击，此时针对IP地址的封禁将会失效。

综上所述，IPv6技术的应用会对现有安全防护体系中不同防护手段产生不同程度的影响，其中，在安全处置环节产生的影响尤其突出，亟需对IPv6环境下秒拨IP的对抗技术展开研究探索。

IPv6环境下秒拨IP技术对抗的研究

1.IPv6环境下秒拨IP技术的原理分析

在很多网络接入场景中，尤其是家庭宽带和部分虚拟专用网络（VPN）服务中，采用动态IP地址分配机制。这意味着每次用户重新连接网络时，都有一定概率被分配到一个不同的IP地址。

利用这个特性，黑产从业者或有特定需求的人会使用专门编写的自动化软件工具。这些工具可以自动检测网络连接状态，一旦发现当前IP地址不符合需求或者被封禁，就会立即触发断开连接并重新拨号或重新连接 VPN的操作。通过不断重复这个过程，在短时间内可以快速切换到不同的IP地址。

攻击者常利用秒拨IP技术进行网络攻击，由于攻击源的IP地址不断变化，使得被攻击方难以有效地进行防御和溯源。

典型的利用秒拨IP实现的攻击有以下几种：

攻击者将Nday漏洞Payload加载到多个秒拨IP上，同时对多个资产目标探测，规避扫描行为检测和IP封禁；

攻击者将5K条口令字典加载到1K个秒拨IP上进行SSH爆破，基于固定IP统计频率的检测封禁策略被轻松绕过；

攻击者确认SQL注入点后，在拖数据库数据阶段，将连续的攻击序列分散在多个源IP上，规避模型检测。

由于IPv6具有海量的地址空间、更复杂的地址分配机制等特性，结合秒拨IP技术后，将使攻击者的成本大幅降低。面对攻击者不断变化的IP地址，传统的基于固定IP地址的封禁策略在面对秒拨IP时，攻击抑制效果大打折扣。

2.对抗的主要目标和思路

由于传统的基于固定IP地址的封禁策略失效，对抗的主要目标应当设定为降低攻击抑制环节中对IP地址的依赖，找到可以通过流量定位攻击者的其他抓手。

IPv6和秒拨技术为攻击者提供了海量的攻击IP，但并没有提供攻击者所需后端资源。因此，虽然攻击者的IP地址可以快速变化，但其所使用的攻击计算资源是相对固定的，如果能够从流量中提取到更细粒度的行为模式、流量特征等作为判定条件，防守方就可以始终识别出海量互联网流量中的攻击者流量，并对其进行有效抑制。

由于攻击者的行为模式种类繁多且瞬息万变，依靠人工进行行为模式提取存在很大的局限性和滞后性，需要考虑利用AI算力+AI算法进行自动化，即时提取网络流量中的行为模式作为指纹特征，动态生成黑指纹库，并基于指纹特征进行攻击者判定。

3．实现方式

（1）解析流量数据

通过流量旁路镜像和解析，将网络包解析出符合TCP、IP协议的数据格式，并将TCP协议网络包按HTTP协议格式组包，并解析对应数据格式。

（2） 网络包特征提取与识别

基于网络包构建已知正常客户端和工具程序标识，例如：对于HTTP协议网络包，提取HTTP Header字段并将键值分离，将键提取并记录原始网络包的出现顺序。实现客户端指纹聚集模型。

基于秒拨IP代理池服务常用的链路层协议，通过解析TCP协议数据包中的MSS、 MTU等字段，计算识别出链路层的通信协议如PPPoE、VPN、PPTP等。实现链路协议识别模型。

基于TCP建立会话过程数据包OS特征（如TTL，TCP窗口大小，TCP报文头选项值等）和HTTP数据包OS特征（如提取User-Agent请求头），以此判定两者匹配性。实现了操作系统指纹差异识别模型。

通过应用层协议网络包的关键字段提取非正常客户端特征，如User-Agent字段及其长度、HTTP头顺序等，由此可识别常见黑客工具、自动化工具。实现了应用层机器特征识别模型。

使用ML算法聚类筛选生成指纹，对CGI解码分离，将CGI简化为短文本聚类，通过AI算法找出共现分词，提取除业务基线项外的数据，生成攻击负载指纹。实现了相似负载指纹模型。

通过收集含连续攻击负载的多个请求，对其预处理、分词，利用AI算法学习每个阶段攻击请求的行为模式，由于其各攻击阶段的包特征相对固定，通过比对常用攻击工具行为指纹库，可最终计算出多IP聚集到1个连续攻击负载。实现了连续攻击负载序列聚集模型。

图1 流量指纹提取来源

（3）置信分值计算与识别结果判定

首先，对第二步内的各个模型输出的置信分值，根据异常程度的优先级定义相应权重系数，计算出流量行为指纹对应的分值。其次，设定一个初始置信度阈值（如60），所有大于阈值的判定为动态IP代理池网络包，写入本地样本库。根据样本库离线训练和运营标注黑白样本，由当前黑样本置信度分布情况生成新的置信度阈值，作为后续系统判定条件。

综上，检测模块对时间窗内收集的流量包生成流量指纹和秒拨IP置信度，6个异常行为维度保证了整体覆盖率和准确率，持续更新黑指纹库。

4.研究成果应用思路

通过以上的检测模块，我们可以获得持续维护更新的秒拨IP指纹黑库。在此基础上，结合我行计划引入的旁路阻断技术，为其增加包指纹计算能力，对入站数据包进行包指纹计算，并与秒拨IP指纹黑库进行比对。一旦发现包指纹与秒拨IP指纹黑库匹配，即可发起阻断。

图2 指纹库与旁路阻断系统对接方式

在这种封禁模式下，通过策略模型从来自秒拨IP的攻击行为中提取出攻击者特征指纹，并以攻击者特征指纹作为封禁依据，而不是依赖的IP维度。即便攻击者频繁更换IP地址，仍然能够通过对比指纹库进行攻击者识别，从而实现攻击抑制。

秒拨IP对抗技术防护效果验证

通过IPv6地址+秒拨IP手法对真实攻击进行模拟。在模拟中，通过海量攻击源IP对模拟站点进行慢速扫描，每个IP只投递1至3个攻击载荷，使IP黑名单、IP画像机制失效，绕过传统自动化IP封禁。

模拟测试中，约用到2000个攻击IP发起漏洞扫描，构造攻击特征中有踩点和目录探测等行为。在传统防护体系中，此类攻击往往只能够通过恶意行为指纹库进行识别和实时阻断，但由于缺乏IP以外的有效的攻击者定位手段，无法实现封堵，无法达到良好的攻击抑制效果。

在测试中发现，在应用IPv6秒拨对抗模型后，这些攻击中的一部分会触发现有安全检测手段的恶意行为特征库，被立即实施了阻断，同时，秒拨IP恶意行为对抗模型会结合告警，通过准实时的聚类算法对这部分攻击流量的攻击者特征进行提取，在攻击发生的1分钟内即可完成2000个IP的攻击者特征的聚类。即使攻击流量未匹配恶意行为特征库，也仍然能够被聚类算法判定为同一攻击者的流量。将聚类后的攻击者指纹输出到指纹黑库，并结合旁路阻断技术，实现了良好的攻击抑制。

图3 攻击者聚类效果

经验总结及展望

近年来，随着网络技术的飞速发展，通过秒拨IP进行攻击的现象日益严重，尤其是在IPv6技术逐步广泛应用的背景下，给金融行业现有的防护体系带来了巨大的安全挑战。为了有效应对这一问题，我行积极投入了对IPv6环境下秒拨IP攻防对抗技术的研究。

在研究过程中，我们深入分析了秒拨IP的工作原理和特点，建立了一套全面的检测与防御体系。通过实时监测网络流量、多维度构建流量指纹特征，使用AI、机器学习等技术构建对抗模型，实现了通过IP以外的特征对攻击流量进行封禁的可能性，为互联网攻击抑制提供了新的思路。

此项研究是交通银行安全实验室取得的阶段性成果之一，也为金融行业提供了经验和借鉴，未来，我们将继续努力，不断完善和拓展这项技术。随着金融行业数字化转型进程的不断深入，新技术的应用在给行业带来新生产力的同时，也带来新的安全挑战，安全工作一定是与各种新型攻击手段持续对抗的过程。金融行业安全从业者必须与时俱进，持续进行新技术的研究和探索，共享研究成果和经验，共同构建更加安全的网络环境，提升整个行业的安全防护水平。