IPv6环境下入侵防御技术地研究.pdfVIP

奎国固络与信息安全技术研讨套’a自卯 Pv6环境下入侵防御技术的研究 叶青，何可，秦志光 (电子科技大学计算机学院成都610054) 摘要：入侵防御技术是为了弥补传统的防火墙和入侵检测的不足而发展起来的一种新兴技术。伴随着IPv4向IPv6的过 渡，网络攻击事件的特征也将会有新的特点，这必然要求原来基于IPv4环境下的入侵防御技术做出相应改变。本文先对IPv6 环境下所引入的安全问题进行探讨，然后着重介绍了如何在IPv6环境下实现入侵防御系统(IPS)。 关键词：IPv6；入侵防御；网络安全：IPS 1引言 随着计算机及通讯技术的飞速发展，互联网更以超乎想象的速度膨胀，IP业务的爆炸性增长，IP网络 将是下一代网络(NGN)的核心，除了带来地址空间的增大，还有许多优良的特性，比如在安全性、服务质量、 的速度普及在我们的生活当中。 采用不同的过渡策略解决IPv4和IPv6的互连互通问题，具有代表性的过渡策略解决方案主要包括双协议栈 方式，隧道方式和协议翻译。在过渡期间网络上的数据流量将呈现出复杂化的趋势，其中不仅包括IPv4的流 over over IPv4或者IPv4 量还包括IPv6的流量，以及IPv6 IPv6的隧道包流量。 在这种新的网络环境中网络攻击必然呈现新的特征，也对我们的安全技术和产品提出了新的挑战。特别 是对于近两年新兴的入侵防御技术，该技术使入侵检测系统联动防火墙，与传统单一的防火墙相比，入侵防 Prevention 御系统IPS(Intrusion System)对数据包的控制能力检测也得到大大加强，对应用层和高层协议 的检测能力有了质的飞跃。同时入侵检测技术能实时、有效的和防火墙的阻断功能结合，在发现网络入侵的 同时，联动防火墙采取行动阻止攻击，大大简化了系统管理员的工作，提高了系统的安全性。但由于入侵防 御技术本身提出不久，在IPv6尚未真正大规模应用的情况下，鲜有对该技术在IPv6环境下如何实现的研究， 全有着重要的意义。 2 IPv6所引入的安全问题 因此将很难通对网段内地址空间内IP地址逐一发送试探数据包的方式进行。但是可以预见，扫描攻击在IPv6 环境下肯定依然存在，只是在新的网络环境下，IPS对扫描行为的检测会重点集中到，针对某些主机或某个 主机的扫描行为上。 认证和通信数据的加密保护，攻击者将无法使用IP地址欺骗，TCP序列号欺骗等手段对系统实施攻击。因此 的检测效率。 IPv6下数据包分片也和IPV4不同，数据包只由信源节点进行分片，中间路由器不进行分段，因此在报 全国网络与信息安全技术研讨套’2泓 ·43 文传输过程中分段长度不会发生变化。这可以为IPv6下检测利用分片来逃避规则匹配的攻击提供新的方法， 如果发现同属一个原始分组的分段数据包中分片(除最后一个分片)的大小不一致时，即可认为该数据包存 在异常，这样就不必等到将所有分片重组成为一个包含完整信息的包以后，再传给检测引擎进行规则匹配。 数据包的大小的检测，发现异常的数据流量，例如对IPv6数据包的大小进行统计，根据统计数据设立一个 IPv6包大小的阈值，如果IPS检测到数据包小于该值，就可以将该数据包列为可疑对象。 IPv6 击目标的路径，方法是发出跳数字段值逐次递增的数据包(TCP／UDP)，然后根据目的不可到达报文的信源地 址，依次重构出路径。因此IPS需要能够检测出可能的路径试探数据包。如果到达受保护网络的数据包的跳 数限制字段值是l时，可能的是潜在的路径试探。所以可以通过设立针对跳数限制字段的检测规则，发现IPv6 下的路径试探。 over over 在IPv4到IPv6的过渡环境里，将会存在大量的隧道包，包括IPv6IPv4和IPv4IPv6，攻 击者可以构造隧道攻击，向受攻击主机发送攻击数据包。因此IPv6下的入侵检测必须具备分析检测隧道数