IPv6穿透性测试研究.docVIP

IPv6穿透性测试研究 　　摘要:IPv6穿透性测试研究对于设计和开发IPv6入侵检测系统是至关重要的。IPv6穿透性测试的目的是为了从理论上发现IPv6的脆弱性,提出了通过穿透性测试这种方法来发现IPv6脆弱性,设计了IPv6脆弱性穿透性测试模型和穿透性测试工具通用结构,以改进IPv6入侵检测系统的检测规则,提高IPv6入侵检测系统的检测效果。 　　关键词:Ipv6;穿透性;攻击树 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)07-1592-02 　　The Research of IPv6 Penetration Testing 　　ZHANG Xiao-ping, WANG Qing-sheng 　　(College of Computer and Software,Taiyuan University of Technology, Taiyuan 030024, China) 　　Abstract: IPv6 penetration testing is essential for the design and development of IPv6 intrusion detection system.The purpose of IPv6 penetration testing is to find more security threats. The method that applies the penetration testing to the research of IPv6 vulnerability have been presented.The vulnerability model of IPv6 penetration testing and the general model of Penetration testing tools have been designed.which Can improve the detection results of IPv6 IDS. 　　Key words: Ipv6; Attack-Tree; penetration testing 　　IPv6协议存在安全脆弱性,增强它的安全性已经刻不容缓。如何尽早发现更多更具体的安全漏洞,进而及时改进IPv6网络的安全性,增强IPv6入侵检测系统的检测能力,是一个值得深入研究的问题。 　　本文从安全测试的角度出发,提出了应用攻击树来对IPv6脆弱性进行穿透性测试这一研究方法,IPv6穿透性测试的目的是为了从理论上发现IPv6的脆弱性,并将已发现的IPv6脆弱性应用到IPv6入侵检测系统规则库中,以增强IPv6入侵检测系统的检测能力。 　　1 攻击树 　　基于不同攻击手段,攻击树(Attack-Tree)提供一种正式的方法和途径来描述系统的安全特性。其基本思想是:如果能够了解所有可能的攻击方法,就有可能设计出防御这些攻击的策略;而且如果能了解攻击者是谁(包括攻击者的能力、动机和目的等),也就能够安排正确的策略来避免这些威胁 。 　　基本上,我们可以用严格的树型结构来表示攻击一个系统的攻击途径,把攻击目标作为其根节点,达到这个攻击目标的不同途径作为其叶子节点。每个节点就是一个子目标,而这个节点的孩子就是实现子目标的方法或途径。 　　1.1 创建攻击树 　　如何创建Attack-Tree呢?首先,确定可能的攻击目标,每个目标组成一个独立的树,它们可以共享子树或节点;接着,找出所有攻击被攻击目标的方法,并把它们加到树里去。 　　攻击树包括AND分支和OR分支,可以用图形方式表示。AND分支和OR分支分别具有不同的意义,其定义如下: 　　1) AND分支:所有的子目标必须都完成,攻击才能成功,这样一组攻击子目标标为AND分支,如图1所示。 　　2) OR分支:所有子目标中只要有一个攻击成功,那么攻击就成功,把这样一组攻击子目标标识为OR分支,如图2所示。 　　Attack.Tree是由AND分支和OR分支的任意组合构成的。叶子目标(叶子节点)在它们产生之时就被加到攻击过程的末端。OR分支导致新的攻击途径产生;AND分支导致现有的攻击途径扩展 。 　　1.2 攻击树深度优先遍历 　　遍历攻击树的方法采用深度优先算法,来生成攻击序列。例如,如图3的一棵Attack-Tree,由深度优先遍历算法产生的攻击序列,;如图4的Attack.Tree,那么由深度优先遍历算法产生的攻击序列为,,,。 　　1.3 攻击树着色算法 　　为了支持穿透性测试过程的实施,需要在原有的Attack―Tree模型的基础之上,增加新的节点或者扩充节点的属性。在从叶结点开始遍