基于流量分析的IPv6网络空间测绘系统及测绘方法与流程

本发明涉及ip地址识别技术领域，具体涉及一种基于流量分析的ipv6网络空间测绘系统及测绘方法。

背景技术：

随着网络用户数的快速增长，目前，ipv4已经出现地址不足的情况。为了解决ipv4地址不足的问题，ipv6地址开始普及应用。近些年，随着物联网技术的快速发展，隐藏在nat设备后面的很多设备都会以独立ip形式存在于ipv6网络中。有时候，学校、政府部门等企事业单位需要对ipv6的存活性进行识别判断，以将未使用的ipv6地址分配给需要的设备，但由于ipv6地址范围非常大，不能采用传统的遍历扫描方式对ipv6资产进行探测。所以需要一种简单、快速的ipv6资产探测方法，以实现对ipv6资产的快速探测。

技术实现要素：

本发明的目的在于提供一种基于流量分析的ipv6网络空间测绘系统及测绘方法，以解决上述技术问题。

为达此目的，本发明采用以下技术方案：

提供一种基于流量分析的ipv6网络空间测绘系统，用于提取并识别网络流量中的ipv6地址，该系统包括：

网络流量捕获模块，用于捕获网络流量包并存储；

流量还原模块，连接所述网络流量捕获模块，用于对所述网络流量包进行流量还原，得到所述网络流量包对应的五元组信息，所述流量还原模块中具体包括：

流量包还原单元，用于将所述网络流量包还原为多个流量文件；

网络连接恢复单元，连接所述流量包还原单元，用于对各所述流量文件进行报文抽取，得到每个所述流量文件对应的报文并存储，并用于根据各所述报文对应的报文类别，将各所述报文进行重组，从而恢复所述网络流量包的网络连接；

五元组信息解析单元，连接所述网络连接恢复单元，用于在网络连接恢复成功后，从各所述报文中解析出所述五元组信息；

目标ip识别模块，连接所述网络还原模块，用于根据所提取的所述五元组信息，识别得到目标ip；

ip地址存活性判断模块，连接所述目标ip识别模块，用于根据所述目标ip确定一ip地址存活性识别范围，并对所述识别范围内的各ip地址进行存活性判断，并将判断为存活的所述ip地址进行存储。

作为本发明的一种优选方案，所述流量还原模块中的所述网络连接恢复单元中具体包括：

报文抽取子单元，用于对各所述流量文件进行报文抽取，得到每个所述流量文件对应的所述报文；

报文分类子单元，连接所述报文抽取子单元，用于对各所述报文进行分类；

报文重组子单元，连接所述报文分类子单元，用于根据各所述报文对应的报文类别，将各所述报文进行重组，以恢复所述网络流量包的网络连接。

作为本发明的一种优选方案，一所述报文对应的源ip地址和另一所述报文对应的源ip地址相同，并且所述报文对应的源端口和另一所述报文对应的源端口相同，则将两个所述报文归为同一个所述报文类别。

作为本发明的一种优选方案，一所述报文对应的源ip地址和另一所述报文对应的目的ip相同，并且所述报文对应的源端口和另一所述报文对应的目的端口相同，则将两个所述报文归为同一个所述报文类别。

作为本发明的一种优选方案，所述流量还原模块中的所述五元组信息解析单元中具体包括：

报头信息提取子单元，用于提取各所述报文对应的报头信息；

报文内容信息提取子单元，用于提取各所述报文对应的报文内容信息；

五元组信息解析子单元，分别连接所述报头信息提取子单元和所述报文内容信息提取子单元，用于从所述报头信息和所述报文内容信息中进一步解析出所述报文对应的所述五元组信息。

作为本发明的一种优选方案，所述ipv6网络空间测绘系统还包括：

协议识别模块，分别连接所述ip地址存活性判断模块和所述流量还原模块，用于根据所述五元组信息，对判断为存活的各所述ip地址进行服务协议识别，得到一服务协议识别结果并存储。

作为本发明的一种优选方案，所述目标ip包括ipv6地址。

本发明还提供了一种基于流量分析的ipv6网络空间测绘方法，通过应用所述ipv6网络空间测绘系统实现，该方法包括如下步骤：

步骤s1，所述ipv6网络空间测绘系统捕获所述网络流量包并存储；

步骤s2，所述ipv6网络空间测绘系统对所述网络流量包进行流量还原，得到所述网络流量包对应的所述五元组信息；

步骤s3，所述ipv6网络空间测绘系统根据所述步骤s2提取的所述五元组信息，识别得到所述目标ip；

步骤s4，所述ipv6网络空间测绘系统根据所述目标ip确定所述ip地址存活性识别范围，并对所述识别范围内的各所述ip地址进行存活性判断，并将判断为存活的所述ip地址进行存储。

作为本发明的一种优选方案，所述步骤s2中，所述ipv6网络空间测绘系统提取所述五元组信息的过程具体包括如下步骤：

步骤s21，所述ipv6网络空间测绘系统将所述网络流量包还原为多个所述流量文件；

步骤s22，所述ipv6网络空间测绘系统对各所述流量文件进行报文抽取，得到每个所述流量文件对应的所述报文并存储；

步骤s23，所述ipv6网络空间测绘系统识别各所述报文对应的所述报文类别；

步骤s24，所述ipv6网络空间测绘系统根据各所述报文对应的所述报文类别，将各所述报文进行重组，以恢复所述网络流量包的网络连接；

步骤s25，所述ipv6网络空间测绘系统在网络连接恢复成功后，从各所述报文中解析出所述五元组信息。

作为本发明的一种优选方案，所述步骤s23中，所述ipv6网络空间测绘系统识别各所述报文对应的所述报文类别的方法为：

当一所述报文对应的源ip地址与另一所述报文对应的源ip地址相同，并且所述报文对应的源端口和另一所述报文对应的源端口相同，则将两个所述报文归为同一个所述报文类别；

或当一所述报文对应的所述源ip地址和另一所述报文对应的目的ip相同，并且所述报文对应的所述源端口和另一所述报文对应的目的端口相同，则将两个所述报文归为同一个所述报文类别。

本发明通过流量分析方式获取ipv6地址，解决了当前无法通过遍历扫描方式探测ipv6资产的技术问题，而且本发明通过验证网络流量包的网络连接状态，提高了所获取的目标ip的真实性和存活率。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明一实施例提供的ipv6网络空间测绘系统的结构示意图；

图2是本发明一实施例提供的ipv6网络空间测绘系统中的流量还原模块的结构示意图；

图3是流量还原模块中的网络连接恢复单元的结构示意图；

图4是流量还原模块中的五元组信息解析单元的结构示意图；

图5是本发明一实施例提供的ipv6网络空间测绘方法的步骤图；

图6是本发明一实施例提供的ipv6网络空间测绘系统提取五元组信息的方法步骤图。

具体实施方式

下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。

其中，附图仅用于示例性说明，表示的仅是示意图，而非实物图，不能理解为对本专利的限制；为了更好地说明本发明的实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；对本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

本发明实施例的附图中相同或相似的标号对应相同或相似的部件；在本发明的描述中，需要理解的是，若出现术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制，对于本领域的普通技术人员而言，可以根据具体情况理解上述术语的具体含义。

在本发明的描述中，除非另有明确的规定和限定，若出现术语“连接”等指示部件之间的连接关系，该术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个部件内部的连通或两个部件的相互作用关系。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

本发明实施例提供的基于流量分析的ipv6网络空间测绘系统，用于提取并识别网络流量中的ipv6地址，请参照图1，该系统包括：

网络流量捕获模块1，用于捕获网络流量包并存储；捕获网络流量包的方法为现有技术，所以对于网络流量包的具体捕获过程在此不作阐述；

流量还原模块2，连接网络流量捕获模块1，用于对网络流量包进行流量还原，得到网络流量包对应的五元组信息，请具体参照图2，流量还原模块2中具体包括：

流量包还原单元21，用于将网络流量包还原为多个流量文件，这里可以使用现有技术中存在的流量还原工具比如tcpxtract将网络流量包还原为多个流量文件，将网络流量包还原为流量文件采用的是现有的流量还原方法，所以具体还原过程在此不作阐述；

为了验证网络流量包的网络连接状态，以确保最终获取的目标ip地址的真实性，请继续参照图2，流量还原模块2中还包括：

网络连接恢复单元22，连接流量包还原单元21，用于对各流量文件进行报文抽取，得到每个流量文件对应的报文并存储，并用于根据各报文对应的报文类别，将各报文进行重组，从而恢复网络流量包的网络连接；

五元组信息解析单元23，连接网络连接恢复单元22，用于在网络连接恢复成功后，从各报文中解析出五元组信息；

目标ip识别模块3，连接网络还原模块2，用于根据所提取的五元组信息，识别得到目标ip；

目标地址存活性判断模块4，连接目标ip识别模块3，用于根据目标ip确定一ip地址存活性识别范围，并对识别范围内的各ip地址进行存活性判断，并将判断为存活的ip地址进行存储。

请参照图3，流量还原模块2中的网络连接恢复单元22中具体包括：

报文抽取子单元221，用于对各流量文件进行报文抽取，得到每个流量文件对应的报文；抽取报文的方法为现有的报文抽取方法，而且由于报文抽取方法也并非本发明要求权利保护的范围，所以报文抽取的具体过程在此不作阐述；

报文分类子单元222，连接报文抽取子单元221，用于对各报文进行分类；

报文重组子单元223，连接报文分类子单元222，用于根据各报文对应的报文类别，将各报文进行重组，以恢复网络流量包的网络连接。

上述技术方案中，系统对报文进行分类的方法如下：

报文中包括五元组信息，五元组信息包括源ip地址、源端口、目的ip地址、目的端口和传输层协议，当一报文对应的源ip地址和另一报文的源ip地址相同，并且该报文对应的源端口和该另一报文对应的源端口相同，系统则认为这两个报文属于同一个连接的会话，然后将这两个报文归为同一个报文类别；

或者，一报文对应的源ip地址和另一报文对应的目的ip相同，并且该报文对应的源端口和另一报文对应的目的端口相同，系统则认为这两个报文属于同一个连接的会话，然后将这两个报文归为同一个报文类别。

系统最终根据各报文对应的报文类别，恢复建立网络连接关系，实现对网络的恢复连接。

请参照图4，流量还原模块2中的五元组信息解析单元23中具体包括：

报头信息提取子单元231，用于提取各报文对应的报头信息；

报文内容信息提取子单元232，用于提取各报文对应的报文内容信息；

五元组信息解析子单元233，分别连接报头信息提取子单元231和报文内容信息提取子单元232，用于从报头信息和报文内容信息中进一步解析出报文对应的五元组信息。

上述技术方案中，系统提取报文对应的报头信息和报文内容信息的方法为现有技术，系统根据报头信息和报文内容信息解析得到五元组信息的方法同样为现有技术，所以报头信息和报文内容信息以及五元组信息的提取和解析过程在此不作阐述。

五元组信息中包括目的ip地址，目的ip地址即为系统所要识别的目标ip。本发明主要用于对ipv6地址的存活性识别判断，所以在得到目标ip后，系统还将利用正则表达式判断目标ip是否为ipv6地址，若是，则进入后续的ip地址存活性判断过程，若否，则终止对目标ip的存活性判断。

系统对于ipv6地址的存活性判断过程简述如下：

由于ipv6地址空间很大无法遍历扫描，所以当系统获取到ipv6地址后，将首先根据该ipv6地址确定一ipv6地址存活性识别范围，系统仅对识别范围内的各ipv6地址进行存活性判断，并将判断为存活的ipv6地址进行存储。识别范围为对获取的ipv6地址向上和/或向下遍历n个ipv6地址。n根据实际需要由用户自行确定。

为了识别存活ip的服务协议，优选地，请参照图1，本实施例提供的ipv6网络空间测绘系统还包括：

协议识别模块5，分别连接ip地址存活性判断模块4和流量还原模块2，用于根据五元组信息，对判断为存活的各ip地址进行服务协议识别，得到一服务协议识别结果并存储。ip服务协议识别依赖于现有的ip服务协议识别方法，而且对于ip服务协议识别的方法也并非本发明要求权利保护的范围，所以，ip服务协议识别的具体过程在此不作阐述。

请参照图5，本发明还提供了一种基于流量分析的ipv6网络空间测绘方法，通过应用上述的ipv6网络空间测绘系统实现，该方法包括如下步骤：

步骤s1，ipv6网络空间测绘系统捕获网络流量包并存储；

步骤s2，ipv6网络空间测绘系统对网络流量包进行流量还原，得到网络流量包对应的五元组信息；

步骤s3，ipv6网络空间测绘系统根据步骤s2提取的五元组信息，识别得到目标ip；

步骤s4，ipv6网络空间测绘系统根据目标ip确定ip地址存活性识别范围，并对识别范围内的各ip地址进行存活性判断，并将判断为存活的ip地址进行存储。

请参照图6，步骤s2中，ipv6网络空间测绘系统提取五元组信息的过程具体包括如下步骤：

步骤s21，ipv6网络空间测绘系统将网络流量包还原为多个流量文件；

步骤s22，ipv6网络空间测绘系统对各流量文件进行报文抽取，得到每个流量文件对应的报文并存储；

步骤s23，ipv6网络空间测绘系统识别各报文对应的报文类别；

步骤s24，ipv6网络空间测绘系统根据各报文对应的报文类别，将各报文进行重组，以恢复网络流量包的网络连接；

步骤s25，ipv6网络空间测绘系统在网络连接恢复成功后，从各报文中解析出五元组信息。

上述技术方案中，步骤s23中，ipv6网络空间测绘系统识别各报文对应的报文类型的方法为：

当一报文对应的源ip地址与另一报文对应的源ip地址相同，并且该报文对应的源端口和另一报文对应的源端口相同，系统则认为该两个报文具有同一个连接的会话，然后将这两个报文归为同一个报文类别；

或者当一报文对应的源ip地址和另一报文对应的目的ip相同，并且该报文对应的源端口和另一个报文对应的目的端口相同，系统则认为该两个报文具有同一个连接的会话，然后将这两个报文归为同一个报文类别。

关于系统对目标ip的识别过程和基于该目标ip对所确定的识别范围的各ip地址进行存活性判断的方法过程如上所述，在此不作赘述。

需要声明的是，上述具体实施方式仅仅为本发明的较佳实施例及所运用技术原理。本领域技术人员应该明白，还可以对本发明做各种修改、等同替换、变化等等。但是，这些变换只要未背离本发明的精神，都应在本发明的保护范围之内。另外，本申请说明书和权利要求书所使用的一些术语并不是限制，仅仅是为了便于描述。