ipv6网络入侵检测关键技术分析——邻居发现协议安全机制及分片技术-analysis of key technologies of ipv6 network intrusion detection - neighbor discovery protocol security mechanism and fragmentation technology.docxVIP

摘要IPv6协议本身包含了IPSec（IP安全性），随着IPv6网络部署进程的加快，IPv6协议自身的安全缺陷也逐渐暴漏出来，IPv6网络安全面临的问题也越加凸显，一些针对IPv6协议的网络攻击也逐渐成为人们关注的焦点，IPv6网络安全问题研究越来越引起人们的重视。本研究以开源Snort平台为基础，根据IPv6协议的特征，采用IPv6协议分析技术，针对当前开源入侵检测系统Snort中无法检测IPv6网络中邻居发现协议以及分片的攻击行为，设计了改进后能对IPv6中邻居发现协议及分片数据包攻击进行检测的入侵检测系统HDU_IPv6_IDS_v2，并给出了HDU_IPv6_IDS_v2入侵检测系统中关键模块的具体实现。本论文的主要研究内容及开展的工作主要包括以下几个方面：1、着重研究了邻居发现协议本身的安全漏洞以及由此可能引发的攻击行为，详细分析和讨论了邻居发现协议中的参数欺骗问题、邻居请求和邻居通告欺骗攻击、路由通告和多播欺骗攻击以及路由重定向问题。针对这些类型的攻击，提出了相应的防御措施，并基于Snort实现了相对应规则的编写及攻击防御措施的设计。2、深入研究了IPv6数据包的分片机制，对利用IPv6分段数据包对网络进行攻击的行为进行了分析。针对其中IPv6过小数据包分段、重叠分段等问题提出了相应的应对措施，通过设计支持IPv6分段扩展首部的解析模块，对利用IPv6分段数据包的攻击行为进行及时的检测和报警。3、设计编写了针对IPv6数据包进行检测的预处理插件。在Snort中实现了IPv6规则选项扩展字段以及邻居发现安全问题的检测功能，该插件能够实现对IPv6网络中邻居发现协议攻击行为进行有效的检测。4、使用QT语言设计实现针对预处理插件的服务配置管理软件，目标是对预处理插件（包括分片预处理插件及IPv6预处理插件）的服务管理配置实现界面化的配置。通过该软件可以将预处理插件的启动状况、规则文件等的配置情况直观清晰地反映出来。IPv6IDS正处在不断的完善当中，开源软件方面对IPv6攻击检测的支持非常有限。本文以开源IDSSnort为基础，展开针对邻居发现协议的相关攻击的原理、利用IPv6分片数据包进行的网络攻击行为的分析和研究，给出解决问题的措施和方法，形成了一个功能基本完善的HDU_IPv6_IDS_v2。本文的研究结果和设计实现的HDU_IPv6_IDS_v2可以有效应用于现阶段的IPv4/IPv6过渡网络环境中，也可以用于纯IPv6网络环境中，对今后IPv6网络环境下IDSI的进一步研究具有实用参考价值。关键字：IPv6，入侵检测系统，邻居发现协议，IPv6网络安全，预处理插件ABSTRACTAlongwiththedeploymentofIPv6,IPSechasbeenrealizedasapartofIPv6.ThedefectsofIPv6exposedgradually,IPv6isalsofacingtheincreasinglynetworksecurityproblems.WiththeIPv6networkattackbecomesthefocusofattention,moreandmorepeoplepaytheirattentiontotheIPv6networksafetyproblems.ThisstudyisbasedonopensourceIntrusionDetectionSystem(IDS)Snort,combinedwithIPv6protocolanalysistechnologyandsummarizedthecharacteristicsofIPv6network,deveopedanimprovedIDSHDU_IPv6_IDS_v2.ItcandetectNDPattacksandIPv6smallfragmentattacks.Thengiventheconcreteimplementationofsystemkeymodules.Inthispaper,themainresearchcontentsandresearchworkincludesthefollowingaspects:DeeplyrearchedontheNeighborDiscoveryProtocolandattackscausedbyit.GivenadetailedanalysisanddiscussedtheNDPparameterscheats、neighborsrequestandneighborsnoticedeceiveattacks,routingannouncementandmulticastdeceiveattacksandroutingredirectionproblems.Inv