基于IPV6网络安全入侵检测技术探究.docVIP

基于IPV6网络安全入侵检测技术探究 　　摘 要： 随着计算机信息技术的进步，互联网影响范围的日益扩大，网络安全问题也逐渐引起关注，IPV6技术对于确保网络安全具有重要意义。首先对网络安全入侵检测系统进行简单介绍，在此基础之上对依托于IPV6的入侵检测技术进行深入探讨，提出一种全新的入侵检测系统框架方案。 关键词： IPV6；网络入侵检测；模式匹配 0 前言 随着现代化信息技术的迅猛发展，互联网的影响范围也越来越广，网络入侵事件频发，相应的入侵手段也越来越多，给网络安全性带来极大的威胁。作为网络安全防范措施，入侵检测系统具有实时性和主动性的特征，对计算机网络或系统当中的关键点数据进行收集和分析，进而做出有无不遵守网络安全协议的行为或者是攻击的存在，并向系统提供应对网络攻击的帮助，借助该技术，系统管理工作人员的安全管理能力也有明显提升，计算机信息安全基础结构也更加完整，可以提供针对于攻击和误操作的有效保护措施。新一代网络IPV6安全机制的应用越来越普遍，网络层的安全性也逐渐引起关注，IPV6安全机制的引入给传统的网络安全入侵检测系统提出新的挑战。 1 网络入侵检测系统 1.1 入侵检测系统分类 以监测数据的来源为依据，可以将网络安全入侵检测系统划分为依托于主机的入侵检测系统以及依托于网络的入侵检测系统两种，其中，前者对已知以及可疑攻击模式的查找是以来自于主机的审计记录以及日志文件的相关数据来源为主要依据的；后者确定攻击则是借助网络适配器对通过网络传输的通信过程进行检测和分析。以检测技术为依据，网络安全入侵检测系统可以划分为基于异常的入侵检测系统以及基于误用的入侵检测系统两种，基于异常的入侵检测系统是以统计理论为依据对用户或系统正常行为特征轮廓进行提取，对比所提取的数据的统计处理和正常行为系统统计特征，进而做出有无入侵的判断；后者则是依据知识库，分析系统行为方式，进而做出有无入侵的判断。 1.2 传统网络安全入侵检测系统 第一代及第二代IDS均采用的是模式匹配检测技术。模式匹配入侵检测基本思路是以全部的网络数据包及攻击库的特征为对象，对二者进行匹配，进而做出有无攻击发生的判断。当前，模式匹配技术已经较为成熟，在入侵检测系统中的应用极为普遍。其中Brute Force算法、Boyer-Moore算法、Aho-Corasick算法以及Set-wiseBoyer-Moor-Horspool算法等都是比较具有代表性的模式匹配算法。 新一代IDS探测攻击所采用的是协议分析技术。网络协议都是具有一定规则的，协议分析技术是借助该特性对有无攻击做出判断。协议分析技术对攻击的检测效率有下注提升，在很大程度上减少了计算量，即便是网络负载较高，依然可以在不丢失数据包的情况前提下，对攻击做出准确判断和分析。 2 基于IPV6网络安全入侵检测 2.1 IPV6网络安全问题 IPsec协议是IPV6的重要内容之一，其作用是进行身份认证，然而因为IPsec是网络层协议，除其下层网络安全之外，对IP层以上以及网络应用软件中的缺陷及漏洞无能为力。IPV6仅仅对IP层网络协议进行了修正和扩充。随着IPV6应用范围的越来越广，之前存在于其他协议层的各种攻击向IPV6转移的可能性极大。举例来说，诸如Synfl就是一种存在于TCP层的攻击行为，此外还有HTTP服务器自身的不足等，均有可能转向IPV6，因此，为最大限度的确保网络安全，有必要对依托于IPV6网络安全入侵检测系统进行深入的分析和探究。 针对当前网络安全体制，IPV6安全机制提出新的要求和挑战，主要体现在以下两方面：第一方面，在IPV6环境之下，Ipse加密功能所提供的保护是端到端的，至于加密算法则是可以根据实际需求进行选择的，密钥也是保密的，因此单纯凭借入侵检测系统不能获取TCP/UDP端口号，进而也就无法开展针对被加密的IPV6数据的分析工作；另一方面，相比较于IPV4而言，IPV6的报头位置有所改变。通常情况下，IP报头和TPC/UDP报头之间还存在着诸如路由选项报头等扩展报头，只有确定下一报头才能过滤数据包，这样势必会给入侵检测系统的处理能力及保护速度造成一定的负面影响。所以可以得出结论：以IPV4为基础的网络安全入侵检测系统对IPV6数据包的检测效果并不理想，研发基于IPV6的网络安全入侵检测系统模型十分必要。 2.2 基于IPV6入侵检测技术 网络协议是按照一定规则分析各个层次协议解析结果，进而准确确定攻击，这也是协议分析技术的依据所在。利用该技术可以极大的减少计算量，即便是网络负载较高，同样可以在数据包不被丢失的前提下确定攻击并开展入侵分析工作。协议分析技术相比较于之前的模式匹配技术而言，最大的优势体现在准确性