基于ＩＰｖ６环境下的网络入侵检测系统研究.docVIP

基于ＩＰｖ６环境下的网络入侵检测系统研究 　　摘要：IPv6技术是下一代互联网的技术核心，对IPv6网络入侵检测系统的研究与下一代网络的安全技术紧密相关。在分析网络安全系统的基本原理和IPv6网络的主要特点之后，提出了一种基于IPv6网络入侵检测系统的框架，同时采用了改进的KMP算法和蜜罐技术。 　　关键词：IPv6；网络入侵检测；模式匹配；蜜罐技术 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)18-2pppp-0c 　　 　　Research of Network Intrusion Detection System Based on IPv6 Environment 　　ZHANG Jun,ZHONG Le-hai 　　(College of Computer Science, China West Normal University,Nanchong 637002,China) 　　Abstract: IPv6 will be the core technology in the next generation Internet. Therefore, the study on intrusion detection system in IPv6 is closely linked with the next generation Internet .After analyzing the fundamentals of network security system today and the primary characteristics of IPv6,a framework of intrusion detection system in IPv6 was put forward. A pattern matching by using improved KMP, and using Honeypot technology. 　　Key words:IPv6;network intrusion detection;pattern matching;Honeypot technology 　　 　　1 引言 　　 　　防火墙作为一种边界安全设施能比较有效地保护网络内部的非法访问。由于传统防火墙所暴露出来的不足和弱点，引发了人们对入侵检测系统（IDS）技术的研究和开发。入侵检测系统为网络安全提供实时的入侵检测及采取相应的防护手段。随着下一代网络的发展，IPv6提供了较好的安全体系结构，IPv6安全机制的引进，增强了网络层的安全性。同时，IPv6安全机制的应用对现有的网络安全体系也提出了新的要求和挑战。由于入侵手法层出不穷，入侵检测系统很难检测到新的入侵行为，蜜罐技术的引入能够很好的解决这一问题。 　　入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到系统的闯入或闯入的企图。入侵检测技术，它是一种主动保护自己免受黑客攻击的新型网络安全技术，进行入侵检测的软件与硬件的组合便是入侵检测系统[1]。 　　Spitzner认为，蜜罐是一个信息系统资源，其价值就在于它的资源被未授权或非法使用。蜜罐系统通过伪装成带有漏洞的真实系统来吸引黑客进入，并记录黑客在其中的活动。我们通过分析蜜罐记录的数据就可以很轻松的了解到黑客的动向及其使用的新方法等信息。本文引入蜜罐技术是为了记录黑客行为，提取出入侵规则，把新的入侵规则添加到入侵检测系统的规则库中，从而使入侵检测系统能够检测出新的入侵行为。 　　由于IPSec作为IPv6的下一代互联网的必选协议，它从协议上保证了数据传输的安全性。该协议定义了认证报头和封装安全载荷报头，实现了基于网络层的身份认证，确保了数据包的完整性和机密性，在一定程度上实现了网络层安全[2]。由于在IPv6环境下网络的安全问题仍然突出，入侵检测系统作为一种有效的网络安全工具，它依然在IPv6环境下发挥着重要作用。 　　 　　2 IPv6网络入侵检测系统结构 　　 　　入侵检测系统广泛采用成熟的模式匹配技术，针对IPv6的特点，本系统采用将协议分析技术与规则 　　匹配技术相结合的IPv6网络入侵检测系统框架，使用改进的KMP算法来检测入侵行为。IPv6网络入侵检 　　基金项目：四川省科技攻关资助项目（No:05GG009-018） 　　作者简介：张俊（1981-），女，河南洛阳人，西华师范大学计算机学院计算机应用技术专业硕士研究生，研究方向：基于网络的计算机应用；钟乐海（1963-），男，四川广安人，博士，西华师范大学计算机学院教授，硕士导师，研究方向：计算机网络应用技术及信息安全技术 　　测的基本思想是