论文部分内容阅读
IPv6协议是在充分考虑IPv4协议缺陷的基础上设计的,已经得到越来越多的研究和应用。相应的有关IPv6网络安全问题的研究已经成为人们关注的新热点。入侵检测技术作为一种有效的网络内部安全防护技术一直受到人们的青睐,但目前还没有成熟的IPv6下入侵检测系统产品,因此,基于IPv6入侵检测系统的研究具有十分重要的理论意义和实际应用意义。本文在深入分析IPv4网络中入侵检测系统的基础上,通过总结IPv6网络安全的特征,结合IPv6协议分析、混合式入侵检测以及基于规则的模式匹配等技术,设计了基于IPv6的混合式入侵检测系统(Mixed IPv6 Intrusion Detection System,Mv6IDS)的总体架构,并结合对开源软件Snort的分析,给出该系统的具体实现过程。本文主要研究内容如下:1、针对基于主机的入侵检测系统和基于网络的入侵检测系统的不足之处,比如前者只能监视被保护主机本身,后者只能检测出已有的入侵行为且无法检测IPv6网络中IPSec加密的数据包,本文设计了基于主机和网络的相结合的分布式总体架构,它的优点是既能发现网络中的攻击信息,也能从系统日志中发现异常情况。2、针对误用检测技术和异常检测技术的优缺点互补性,比如前者对新的入侵方法无能为力导致容易漏报,后者过于依赖系统正常工作日志导致容易误报,本文采用误用和异常检测的混合式检测手段以提高对入侵的识别率。3、针对现有IPv6环境下的入侵检测系统不能处理IPSec协议中使用ESP加密的数据包的缺陷,本文在对IPv6协议分析的基础上,设计了DecodeESP()函数以及其密钥管理方法,并将它们添加在Snort的协议解析模块中实现,从而解决IPv6中IPSec加密数据无法被检测的问题。由于加密数据的解密需要通信双方进行密钥等相关信息的传递,所以此处的改进主要应用在基于主机的入侵检测系统中,本文中将其添加在HIDS子系统中实现。4、针对Snort规则匹配算法——BM算法检测效率上的不足,提出了一种改进方案,主要是通过对数据串中下一个字节作为匹配基础的方法,加快了匹配时字符串的偏移量从而提高了匹配效率,并将该算法应用到检测引擎模块中实现。总的来说,本文设计的Mv6IDS由NIDS子系统、HIDS子系统、监控平台子系统、响应子系统和防火墙联动子系统组成。理论上它能够使检测效率、误报率和漏报率的减少、对IPv6下加密数据的入侵检测、安全防御(与防火墙联动)等性能得到一定的改进;而在实现上,本文给出了NIDS、HIDS以及响应子系统的具体实现,通过实验证明该系统能够检测IPv6网络攻击并输出报警,在检测效率上高于原先的Snort系统,能够解析简单的IPSec加密数据包并检测其入侵,为基于IPv6入侵检测技术的进一步研究提供了参考。