论文部分内容阅读
摘要:IPv6技术是下一代互联网的关键核心技术。通过分析现有网络安全系统的基本原理,针对互联网协议的过渡及存在的缺陷和IPv6网络的特点。概述了几种协议分析在IPv6中的应用,结合这些分析技术构成新的IPv6入侵检测系统框架。
关键词:入侵检测技术;网络安全;IPv6;协议分析;检测算法
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-02
Intrusion Detection Technology Applications in IPv6
Wang Pin,Xiong Jianshe
(Ocean University of China,School of Information Science and Engineering,Qingdao 266021,China)
Abstract:IPv6 is core technology of the next generation Internet.By analyzing the basis principles of the current system of network security.Focuses on the transition and issues of Internet Protocol,and the characters of IPv6 network.Outlined several protocols of analysis in the IPv6.By integrated these analysis techniques constitute a new framework of instrusion detection system for IPv6.
Keywords:Instrusion detection technology;Network security;IPv6;
Protocols analysis;Detection algorithm
一、前言
当今世界互联网处于飞速发展时期,特别是像中国、印度等人口众多的国家,互联网用户每日成倍的增长!这就导致了原32位的IPv4地址的加速枯竭,预计在近一两年内就将耗尽!为了解决这种情况,新一代的IP地址协议——IPv6协议应运而生,单从数字方面讲,IPv6所拥有的地址容量是IPv4的约8×10^28倍,达到2^128(算上全零的)个。这不但解决了网络地址资源数量的问题,同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。
目前国内正在大力开展IPv6网络的普及工作,教育网更是首当其冲,在各大重点高校优先不熟IPv6网络。虽然地址枯竭的问题得到解决,但对于一种正处于不断发展和完善过程的新兴协议,网络安全方面存在诸多缺陷,旧有的入侵检测系统对其也不完全有效,所以本文中我们试图通过分析IPv6协议和各种入侵检测系统,得出一种适合IPv6网络的入侵检测系统的框架。
二、IPv6的安全性问题
目前,病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了,因为IPv6的地址空间实在是太大了,如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机,就犹如大海捞针。在IPv6的世界中,对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。
所以,在IPv6的世界里,病毒、互联网蠕虫的传播将变得非常困难。但是,基于应用层的病毒和互联网蠕虫是一定会存在的,电子邮件的病毒还是会继续传播。此外,还需要注意IPv6网络中的关键主机的安全。IPv6中的组发地址定义方式给攻击者带来了一些机会。例如,IPv6地址FF05::3是所有的DHCP服务器,就是说,如果向这个地址发布一个IPv6报文,这个报文可以到达网络中所有的DHCP服务器,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。
三、几种协议分析方法在IPv6中的应用
(一)传统模式匹配检测技术
1.基本方法:(1)拦截网络上传输的每一个IPv6数据包。(2)使用KMP或BM算法从数据包的包头开始和攻击特征字符串逐一比较直到数据包结尾。(3)寻找和判断是否存在可能的攻击。(4)当一个特征搜索完毕,系统会从特征库中选中下一个攻击特征再重复上个过程。(5)当系统匹配完库中的所有特征,才算检查完了一个包,然后再按以上方式去检查下一个包。
2.存在的问题:计算量巨大,不可避免的造成高漏报率和高误报率。在高负载网络中很可能会丢包。目前很少单独使用,一般需要进行改进或配合其他方法使用。
(二)简单协议分析检测技术
1.基本原理:将数据流重组,充分利用网络协议的特性进行检测。
2.基本方法:(1)将数据流重组并解析重组后的IPv6数据包。(2)根据IPv6协议标准和已知攻击特征构造各种检测规则。(3)使用检测规则对IPv6数据包的协议首部和数据载荷中的部分字段进行检测。(4)通过检测结果来决定入侵行为是否发生。
3.优点与缺陷:充分利用了IPv6网络协议标准化、层次化、格式化的特点。但不能检测很多复杂的攻击方式,如攻击特征分散在多个数据包中,或利用协议执行过程所进行的攻击。
(三)使用决策树改进协议分析技术
1.基本原理:构造规则决策树,利用树形结构改进协议分析的效率。
2.基本方法:(1)根据IPv6的协议结构和入侵特征将检测规则构造成决策树。(2)沿决策树一层层检测IPv6协议包中的值最终到达叶子节点。(3)到达叶节点后触发相应动作。(4)协议分析解码的过程就是沿着协议树的顶点不断从底层协议节点向上层协议节点一直走到叶子节点的过程。
3.优点与缺陷:这种方法从分析效率的方向对协议分析技术进行了改进,提高了系统性能但相对于简单的协议分析没有质的飞跃,仍无法改变不能检测复杂攻击的事实。
(四)将有限自动机应用到协议分析技术中
1.基本原理:利用有限状态自动机模型,利用协议工作时的状态特性进行分析,这种方法能够将一个会话的所有流量当作一个整体来考虑,进而可以有效的检测多步骤的、协同的、分布式攻击。
2.基本方法:(1)根据IPv6的协议状态转换图定义网络的正常状态序列。(2)将接受的IPv6输入数据映射到状态序列中。(3)观察自动机是否接受输入的状态转换数据。
3.优点与缺陷:这种方法联合多个数据包中的数据对网络协议的运行状况进行分析,它所看到的网络是动态的,连续的。在状态协议分析中,可以统计成功、失败或任何中间状态的次数,从而可以检测密码猜测攻击,DOS攻击等短时间内具有大量重复状态的攻击,这些攻击通过对单个数据包检测不能被识别。不足之处在于对于无法建立有穷自动机的网络正常状态或攻击模式仍需其他协议分析方法进行辅助检测。
四、关于IPv6网络的入侵检测系统框架
将上述协议分析技术结合起来应用到IPv6入侵检测系统中,我们可以将系统分为以下五个模块:网络数据包捕获模块,协议解码(IPv6协议分析)模块,协议异常状态检测模块,协议确认模块(包括协议分析模块和规则匹配的模块),响应模块和事件数据库。框架示意图如下:
基于IPv6的入侵检测系统框架图
五、总结
上述介绍的基于协议分析的IPv6入侵检测方法各具特点,但在实际使用中并不冲突,可以同时使用多种协议分析模块共同组成一个入侵检测系统,联合发挥作用,这样够取得比较完美的效果。
由此想到,单一的检测方法或单一的安全技术很难保证系统的真正安全,入侵检测技术与其他安全技术结合起来形成安全防御体系才是入侵检测技术未来的正路。
参考文献:
[1]苗勇.基于克隆智能体自学习的入侵检测方法研究[D].西安电子科技大学,2005
[2]唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2010
关键词:入侵检测技术;网络安全;IPv6;协议分析;检测算法
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2011) 21-0000-02
Intrusion Detection Technology Applications in IPv6
Wang Pin,Xiong Jianshe
(Ocean University of China,School of Information Science and Engineering,Qingdao 266021,China)
Abstract:IPv6 is core technology of the next generation Internet.By analyzing the basis principles of the current system of network security.Focuses on the transition and issues of Internet Protocol,and the characters of IPv6 network.Outlined several protocols of analysis in the IPv6.By integrated these analysis techniques constitute a new framework of instrusion detection system for IPv6.
Keywords:Instrusion detection technology;Network security;IPv6;
Protocols analysis;Detection algorithm
一、前言
当今世界互联网处于飞速发展时期,特别是像中国、印度等人口众多的国家,互联网用户每日成倍的增长!这就导致了原32位的IPv4地址的加速枯竭,预计在近一两年内就将耗尽!为了解决这种情况,新一代的IP地址协议——IPv6协议应运而生,单从数字方面讲,IPv6所拥有的地址容量是IPv4的约8×10^28倍,达到2^128(算上全零的)个。这不但解决了网络地址资源数量的问题,同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。
目前国内正在大力开展IPv6网络的普及工作,教育网更是首当其冲,在各大重点高校优先不熟IPv6网络。虽然地址枯竭的问题得到解决,但对于一种正处于不断发展和完善过程的新兴协议,网络安全方面存在诸多缺陷,旧有的入侵检测系统对其也不完全有效,所以本文中我们试图通过分析IPv6协议和各种入侵检测系统,得出一种适合IPv6网络的入侵检测系统的框架。
二、IPv6的安全性问题
目前,病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了,因为IPv6的地址空间实在是太大了,如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机,就犹如大海捞针。在IPv6的世界中,对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。
所以,在IPv6的世界里,病毒、互联网蠕虫的传播将变得非常困难。但是,基于应用层的病毒和互联网蠕虫是一定会存在的,电子邮件的病毒还是会继续传播。此外,还需要注意IPv6网络中的关键主机的安全。IPv6中的组发地址定义方式给攻击者带来了一些机会。例如,IPv6地址FF05::3是所有的DHCP服务器,就是说,如果向这个地址发布一个IPv6报文,这个报文可以到达网络中所有的DHCP服务器,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。
三、几种协议分析方法在IPv6中的应用
(一)传统模式匹配检测技术
1.基本方法:(1)拦截网络上传输的每一个IPv6数据包。(2)使用KMP或BM算法从数据包的包头开始和攻击特征字符串逐一比较直到数据包结尾。(3)寻找和判断是否存在可能的攻击。(4)当一个特征搜索完毕,系统会从特征库中选中下一个攻击特征再重复上个过程。(5)当系统匹配完库中的所有特征,才算检查完了一个包,然后再按以上方式去检查下一个包。
2.存在的问题:计算量巨大,不可避免的造成高漏报率和高误报率。在高负载网络中很可能会丢包。目前很少单独使用,一般需要进行改进或配合其他方法使用。
(二)简单协议分析检测技术
1.基本原理:将数据流重组,充分利用网络协议的特性进行检测。
2.基本方法:(1)将数据流重组并解析重组后的IPv6数据包。(2)根据IPv6协议标准和已知攻击特征构造各种检测规则。(3)使用检测规则对IPv6数据包的协议首部和数据载荷中的部分字段进行检测。(4)通过检测结果来决定入侵行为是否发生。
3.优点与缺陷:充分利用了IPv6网络协议标准化、层次化、格式化的特点。但不能检测很多复杂的攻击方式,如攻击特征分散在多个数据包中,或利用协议执行过程所进行的攻击。
(三)使用决策树改进协议分析技术
1.基本原理:构造规则决策树,利用树形结构改进协议分析的效率。
2.基本方法:(1)根据IPv6的协议结构和入侵特征将检测规则构造成决策树。(2)沿决策树一层层检测IPv6协议包中的值最终到达叶子节点。(3)到达叶节点后触发相应动作。(4)协议分析解码的过程就是沿着协议树的顶点不断从底层协议节点向上层协议节点一直走到叶子节点的过程。
3.优点与缺陷:这种方法从分析效率的方向对协议分析技术进行了改进,提高了系统性能但相对于简单的协议分析没有质的飞跃,仍无法改变不能检测复杂攻击的事实。
(四)将有限自动机应用到协议分析技术中
1.基本原理:利用有限状态自动机模型,利用协议工作时的状态特性进行分析,这种方法能够将一个会话的所有流量当作一个整体来考虑,进而可以有效的检测多步骤的、协同的、分布式攻击。
2.基本方法:(1)根据IPv6的协议状态转换图定义网络的正常状态序列。(2)将接受的IPv6输入数据映射到状态序列中。(3)观察自动机是否接受输入的状态转换数据。
3.优点与缺陷:这种方法联合多个数据包中的数据对网络协议的运行状况进行分析,它所看到的网络是动态的,连续的。在状态协议分析中,可以统计成功、失败或任何中间状态的次数,从而可以检测密码猜测攻击,DOS攻击等短时间内具有大量重复状态的攻击,这些攻击通过对单个数据包检测不能被识别。不足之处在于对于无法建立有穷自动机的网络正常状态或攻击模式仍需其他协议分析方法进行辅助检测。
四、关于IPv6网络的入侵检测系统框架
将上述协议分析技术结合起来应用到IPv6入侵检测系统中,我们可以将系统分为以下五个模块:网络数据包捕获模块,协议解码(IPv6协议分析)模块,协议异常状态检测模块,协议确认模块(包括协议分析模块和规则匹配的模块),响应模块和事件数据库。框架示意图如下:
基于IPv6的入侵检测系统框架图
五、总结
上述介绍的基于协议分析的IPv6入侵检测方法各具特点,但在实际使用中并不冲突,可以同时使用多种协议分析模块共同组成一个入侵检测系统,联合发挥作用,这样够取得比较完美的效果。
由此想到,单一的检测方法或单一的安全技术很难保证系统的真正安全,入侵检测技术与其他安全技术结合起来形成安全防御体系才是入侵检测技术未来的正路。
参考文献:
[1]苗勇.基于克隆智能体自学习的入侵检测方法研究[D].西安电子科技大学,2005
[2]唐正军,李建华.入侵检测技术[M].北京:清华大学出版社,2010