一种基于IPv4IPv6网络入侵检测系统框架设计.docVIP

一种基于IPv4IPv6网络入侵检测系统框架设计 　　【摘要】本文描述了当前的网络安全现状，展望了互联网向IPv6版本过渡的发展趋势并分析了它的特点和缺陷。通过对比传统的IPv4和IPv6网络入侵检测技术的特点，列举了IPv4向IPv6过渡的技术方法并加以分析，最后给出了一种适应于当前IPv4/IPv6环境的入侵检测系统的框架。 　　【关键词】网络安全；入侵检测；IPv6；入侵检测系统框架 　　Abstract：In this paper，the current status of network security is discussed，followed by analysis of the trend of Internet transition from IPv4 to IPv6 version and its characteristics and defect.Based on comparing the characteristics of network intrusion detection technology for traditional IPv4 and IPv6，this paper cites and analyzes the methods transition technology from IPv4 to IPv6.Finally，an appropriate framework of intrusion detection system for current IPv4/IPv6 environment is proposed. 　　Key words：network security；intrusion detection；IPv6；Intrusion Detection System Framework 　　1.引言 　　随着互联网的快速发展，网络上的恶意攻击行为日益增多，形形色色的病毒、木马、蠕虫层出不穷，对网络信息安全构成了巨大威胁.为了应对越来越严重的网络安全问题，对网络流进行实时分析和检测就显得极为必要。入侵检测系统[1]（Intrusion Detection System，IDS）作为一种积极主动、实时动态的网络安全防范技术，越来越受到人们的关注。它通过收集、分析计算机网络或系统中若干关键点数据以判断是否有违反安全策略的行为和被攻击的迹象，帮助系统对付网络攻击，扩展系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高信息安全基础结构的完整性，从而提供对内外攻击和误操作的实时保护。随着下一代网络中IPV6安全机制的引进，网络层的安全性得到增强。同时，IPV6安全机制的应用对传统入侵检测系统也提出了新的要求和挑战。 　　2.IPv4向IPv6过渡中的安全问题分析 　　在IPv6网络逐渐替换IPv4网络的过渡过程中，随着过渡技术的应用及网络结构变得越来越复杂，在网络安全方面产生了越来越多的不容忽视的问题[2]。这些过渡技术存在的或带来的安全问题主要有： 　　采用翻译过渡技术，有两个问题需要关注。其一是网络地???翻译、协议翻译网关联合应用层网关对数据报进行翻译处理时，会破坏数据报传输中端到端的安全性；其二是网络层安全技术不匹配的问题。网络层安全协议的主要作用是对在网络上正常传送的数据进行了最大程度的保密和防止更改，而网络层协议-地址翻译技术的目的是对网络中传送的数据报进行协议和地址的变换，这就带来了网络安全协议技术与网络层协议-地址翻译技术不匹配的问题。 　　采用隧道过渡技术，由于隧道技术的设计中没有网络安全方面的考虑，以及自身的技术特点，给网络安全带来了众多的问题。在一个已安装设置各种安全设备的网络中，当加入隧道技术后，这些安全设备的功能会受到隧道的影响。当有数据报经过隧道的时候，隧道不会对数据报进行安全方面的检查，恶意的数据报往往可借用隧道来避开网络中的安全检查。 　　采用双栈过渡技术，就是在一台主机上同时运行两种版本的网络层协议。这两种网络层协议在技术上存在不相关性，他们之间的协调配合的不完善往往会造成一些安全方面的缺陷，给攻击者带来机会。 　　相较于前两种过渡技术，双栈过渡技术在安全技术和可行性方面都相对来说有优势，所带来的安全隐患也相对较小。 　　3.IPv4、IPv6网络中入侵检测技术特点 　　传统的第一代和第二代IDS通常采用模式匹配技术，这种技术是对所有网络数据包与攻击数据库的攻击特征进行匹配，依次来判定数据包中是否有攻击存在。目前，入侵检测系统采用的典型模式匹配算法有Brute Force、Boyer-Moore、Aho-Corasick、Set-wiseBoyer-Moor-Horspool和Aho-Corasick-Boyer-Moore