论文部分内容阅读
摘要:IPv6协议是针对IPv4协议局限的基础上设计的,目前已经得到广泛的研究和应用,因此基于IPv6的网络安全问题也显得日益重要。入侵检测技术是一种有效的网络内部安全防护技术,该文通过分析IPv6的网络安全协议特点,对IPv6环境下的入侵检测系统进行了深入的研究与设计。
关键词:IPv6;入侵检测系统;snort
中图分类号:TP271文献标识码:A文章编号:1009-3044(2012)10-2182-02
入侵检测技术是目前流行的网络安全核心技术。入侵检测系统的原理就是一个监听器。它接收网段上或计算机系统中的数据包,对其进行分析,从而发现网络或系统中是否存在危害网络安全的行为,并实施相应的响应策略。目前针对IPv4的入侵检测系统已经非常成熟,但对于IPv6入侵检测系统还处于研究阶段。该文以SNORT为基础,通过对IPv6深入的分析和研究,实现了一个基于IPv6的入侵檢测系统。
1IPv6下的网络安全
1.1 IPv4的局限性
目前互联网中广泛使用的IPv4协议,也就是人们常说的IP协议,已经有近20年的历史了,随着internet技术的迅猛发展和规模的不断扩大,IPv4已经暴露出来了许多问题。
地址空间的局限性:IP地址空间的匮乏制约了网络的发展,为解决地址空间不够的问题,可以采用子网划分、无类域间路由(cidr)等方法,但这些方法不能从根本上解决这一问题,只能在一定程度上缓解地址短缺的矛盾。
IP协议的性能问题:IP协议的主要目标是为保证网络数据可靠的、高效传输提供有效机制,但在性能上还需改进。
自动配置问题:在IP协议设计的初期,没有考虑自动配置问题。后来最优DHCP(动态主机配置协议)在一定程度上解决了地址自动配置问题,但需要设置DHCP服务器,对于网络管理带来的不便。
服务质量(QoS)保证问题:当网络过载或者拥塞时,QoS能确保重要业务量不受延迟或者丢弃,从而保证网络的高效运行,但IP的QoS保证主要依赖协议头中的服务类型,其功能有限。互联网要求提供有效的QoS机制,保证实时数据的传输质量。
1.2 IPv6协议
IPv6协议具有巨大的地址空间,地址位数从IPv4的32位扩充到了128位,从数字上来说,IPv6所拥有的地址容量是IPv4的约8×1028倍,达到2128个。这不但解决了网络地址空间匮乏的问题,同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。
1.3 IPv6下的网络安全问题
IPv6协议相对于IPv4在安全方面做了很大的改进,在IPv4网络中常见的一些例如网络侦察、ICMP攻击、首部(报头)攻击、假冒地址、碎片攻击等攻击方式在IPv6网络中无法实施。但是IPv6同样存在各种安全问题,因此IPv6的可靠性是否如最初所设想的那样,也有待时间的考验
IPv6实质上并不会比IPv4更加安全,IPv6从根本上说知识改变了IP地址的协议包,并不能解决现在IPv4中的安全问题,但是IPv6强制使用的IPSec协议,所以采用IPv6安全性会更加简便和一致。IPv6协议目前本身仍处于实践当中,很少专门针对IPv6的网管设备和网管软件,缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围网络故障定位和性能分析的手段,以及IPv6下网络安全设备的不完善等特征,使得IPv6网络存在很多潜在的安全问题
2基于IPv6的入侵检测系统的设计
在IPv6环境中,使用IPSec协议使得我们将网络转换到这种新型协议的同时发展端到端的安全,端到端之间可以采用加密数据进行会话。此时,IPv4网中现有的一些网络安全设备就不能在IPv6网中直接使用,因此传统的网络入侵检测系统将无法检测出所有攻击。为了适应IPv6环境的需要,结合Snort的检测流程和框架,该文设计了一个基于IPv6的入侵检测系统。(如图1所示)
2.1数据包捕获模块
数据包捕获模块的作用是捕获网络上的数据包,将捕获的原始包交给数据包解析模块进行处理。数据包捕获模块使用WinPcap(windows packet capture)来实现。winpcap是windows平台下一个免费,公共的网络访问系统。IPv6是网络层协议,可以直接捕获IPv6数据包,得到完整的数据信息。
2.2数据包解析模块
由于IPv6相对于IPv4在数据报头上有了很大的改变,所以原来的IDS在IPv6网络上不能直接使用。数据包解析模块的主要功能是实现对捕获数据的多层次解码工作。
数据包的解码是入侵检测系统分析数据的基础,通过协议的结构以及属性对数据包进行分析,提取协议元素,存放在设计好的数据结构中。协议分析使用解码器对传输层、网络层、数据链路层的数据包进行解码。此模块结合TCP/IP协议栈和捕获到的数据包的有序性,能够实现对网络中绝大部分协议的解码和分析。针对基于IPv6的入侵检测系统,在此模块中加入的解析与处理元素有ICMPv6、IPv6及各扩展报头。
2.3预处理模块
预处理模块主要完成经过数据解析模块解码产生的IPv6数据包的重组和规范化处理,预处理模块由预处理函数构成,用户可以在配置文件中指定配置参数来调用这些函数。鉴于IPv6与IPv4有着不同的分片重组机制,通过编写IPv6分片重组插件,使系统可以对IPv6分片攻击进行的检测。
2.4入侵检测模块
本模块是基于IPv6入侵检测系统的核心模块,包括检测引擎、检测插件和规则文件三部分,也是Snort的核心模块。该模块将预处理模块处理的数据同预先设定的规则数据库进行匹配,若匹配成功,就认定该IPv6数据包具有入侵行为,将该数据包各字段按照规定的数据结构格式输出至响应模块;如果没有匹配成功,则认为该数据包是正常的,直接对下一个数据包进行处理。该模块的设计和实现是基于Snort的,并添加了可变特征库模块,使得入侵检测系统能更快的检测到某些网络入侵,提高入侵检测效率。
2.5响应模块
响应模块的主要功能是对检测到的各种网络入侵行为做出及时的响应,包括启动防火墙、自动断网以及向系统管理员报警等不同级别的响应。报警信息以数据形式存入数据库,常用的数据库有MySQL或oracle等。
图1基于IPv6的入侵检测系统
3结束语
在IPv6下我们将放弃以往的网络监控技术,通过对基于IPv6的入侵检测系统的研究和构建,实现了网络中入侵行为的有效检测,为入侵检测系统的发展积累了一定的经验,对IPv6的发展具有一定的研究意义和应用价值。
参考文献:
[1]甘勇.基于动态规则的IPv6入侵检测系统研究[J].微计算机信息,2008(24)
[2]陈建锐.基于协议分析的IPv6入侵检测系统研究[J].计算机与数字工程,2011(9).
关键词:IPv6;入侵检测系统;snort
中图分类号:TP271文献标识码:A文章编号:1009-3044(2012)10-2182-02
入侵检测技术是目前流行的网络安全核心技术。入侵检测系统的原理就是一个监听器。它接收网段上或计算机系统中的数据包,对其进行分析,从而发现网络或系统中是否存在危害网络安全的行为,并实施相应的响应策略。目前针对IPv4的入侵检测系统已经非常成熟,但对于IPv6入侵检测系统还处于研究阶段。该文以SNORT为基础,通过对IPv6深入的分析和研究,实现了一个基于IPv6的入侵檢测系统。
1IPv6下的网络安全
1.1 IPv4的局限性
目前互联网中广泛使用的IPv4协议,也就是人们常说的IP协议,已经有近20年的历史了,随着internet技术的迅猛发展和规模的不断扩大,IPv4已经暴露出来了许多问题。
地址空间的局限性:IP地址空间的匮乏制约了网络的发展,为解决地址空间不够的问题,可以采用子网划分、无类域间路由(cidr)等方法,但这些方法不能从根本上解决这一问题,只能在一定程度上缓解地址短缺的矛盾。
IP协议的性能问题:IP协议的主要目标是为保证网络数据可靠的、高效传输提供有效机制,但在性能上还需改进。
自动配置问题:在IP协议设计的初期,没有考虑自动配置问题。后来最优DHCP(动态主机配置协议)在一定程度上解决了地址自动配置问题,但需要设置DHCP服务器,对于网络管理带来的不便。
服务质量(QoS)保证问题:当网络过载或者拥塞时,QoS能确保重要业务量不受延迟或者丢弃,从而保证网络的高效运行,但IP的QoS保证主要依赖协议头中的服务类型,其功能有限。互联网要求提供有效的QoS机制,保证实时数据的传输质量。
1.2 IPv6协议
IPv6协议具有巨大的地址空间,地址位数从IPv4的32位扩充到了128位,从数字上来说,IPv6所拥有的地址容量是IPv4的约8×1028倍,达到2128个。这不但解决了网络地址空间匮乏的问题,同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。
1.3 IPv6下的网络安全问题
IPv6协议相对于IPv4在安全方面做了很大的改进,在IPv4网络中常见的一些例如网络侦察、ICMP攻击、首部(报头)攻击、假冒地址、碎片攻击等攻击方式在IPv6网络中无法实施。但是IPv6同样存在各种安全问题,因此IPv6的可靠性是否如最初所设想的那样,也有待时间的考验
IPv6实质上并不会比IPv4更加安全,IPv6从根本上说知识改变了IP地址的协议包,并不能解决现在IPv4中的安全问题,但是IPv6强制使用的IPSec协议,所以采用IPv6安全性会更加简便和一致。IPv6协议目前本身仍处于实践当中,很少专门针对IPv6的网管设备和网管软件,缺乏对IPv6网络进行监测和管理的手段,缺乏对大范围网络故障定位和性能分析的手段,以及IPv6下网络安全设备的不完善等特征,使得IPv6网络存在很多潜在的安全问题
2基于IPv6的入侵检测系统的设计
在IPv6环境中,使用IPSec协议使得我们将网络转换到这种新型协议的同时发展端到端的安全,端到端之间可以采用加密数据进行会话。此时,IPv4网中现有的一些网络安全设备就不能在IPv6网中直接使用,因此传统的网络入侵检测系统将无法检测出所有攻击。为了适应IPv6环境的需要,结合Snort的检测流程和框架,该文设计了一个基于IPv6的入侵检测系统。(如图1所示)
2.1数据包捕获模块
数据包捕获模块的作用是捕获网络上的数据包,将捕获的原始包交给数据包解析模块进行处理。数据包捕获模块使用WinPcap(windows packet capture)来实现。winpcap是windows平台下一个免费,公共的网络访问系统。IPv6是网络层协议,可以直接捕获IPv6数据包,得到完整的数据信息。
2.2数据包解析模块
由于IPv6相对于IPv4在数据报头上有了很大的改变,所以原来的IDS在IPv6网络上不能直接使用。数据包解析模块的主要功能是实现对捕获数据的多层次解码工作。
数据包的解码是入侵检测系统分析数据的基础,通过协议的结构以及属性对数据包进行分析,提取协议元素,存放在设计好的数据结构中。协议分析使用解码器对传输层、网络层、数据链路层的数据包进行解码。此模块结合TCP/IP协议栈和捕获到的数据包的有序性,能够实现对网络中绝大部分协议的解码和分析。针对基于IPv6的入侵检测系统,在此模块中加入的解析与处理元素有ICMPv6、IPv6及各扩展报头。
2.3预处理模块
预处理模块主要完成经过数据解析模块解码产生的IPv6数据包的重组和规范化处理,预处理模块由预处理函数构成,用户可以在配置文件中指定配置参数来调用这些函数。鉴于IPv6与IPv4有着不同的分片重组机制,通过编写IPv6分片重组插件,使系统可以对IPv6分片攻击进行的检测。
2.4入侵检测模块
本模块是基于IPv6入侵检测系统的核心模块,包括检测引擎、检测插件和规则文件三部分,也是Snort的核心模块。该模块将预处理模块处理的数据同预先设定的规则数据库进行匹配,若匹配成功,就认定该IPv6数据包具有入侵行为,将该数据包各字段按照规定的数据结构格式输出至响应模块;如果没有匹配成功,则认为该数据包是正常的,直接对下一个数据包进行处理。该模块的设计和实现是基于Snort的,并添加了可变特征库模块,使得入侵检测系统能更快的检测到某些网络入侵,提高入侵检测效率。
2.5响应模块
响应模块的主要功能是对检测到的各种网络入侵行为做出及时的响应,包括启动防火墙、自动断网以及向系统管理员报警等不同级别的响应。报警信息以数据形式存入数据库,常用的数据库有MySQL或oracle等。
图1基于IPv6的入侵检测系统
3结束语
在IPv6下我们将放弃以往的网络监控技术,通过对基于IPv6的入侵检测系统的研究和构建,实现了网络中入侵行为的有效检测,为入侵检测系统的发展积累了一定的经验,对IPv6的发展具有一定的研究意义和应用价值。
参考文献:
[1]甘勇.基于动态规则的IPv6入侵检测系统研究[J].微计算机信息,2008(24)
[2]陈建锐.基于协议分析的IPv6入侵检测系统研究[J].计算机与数字工程,2011(9).