一种基于IPv6网络入侵检测系统.docVIP

一种基于IPv6的网络入侵检测系统 　　摘 要：在分析了现有网络安全系统的基本原理和IPv6网络主要特点之后，提出了一种IPv6网络入侵检测系统的框架，并着重分析了IPv6网络入侵检测系统的协议分析策略。 　　关键词：IPv6； 入侵检测； 协议分析?? 　　中图法分类号：TP393.08文献标识码：A 　　文章编号：1001―3695(2007)02―0142―03 　　 　　1 引言?? 　　 　　随着Internet的蓬勃发展，各种入侵事件与入侵手法层出不穷，引发了一系列安全问题。目前防范网络入侵最常用的方法是防火墙，但由于传统防火墙暴露出来的不足和弱点，引发了人们对入侵检测系统（Intrusion Detection System，IDS）的研究和开发。IDS可以弥补防火墙的不足，为网络安全提供实时的入侵检测并采取相应的防护手段。随着下一代网络中IPv6安全机制的引进，网络层的安全性得到增强，同时，IPv6安全机制的应用对现有的网络安全体系也提出了新的要求和挑战。?? 　　1.1 入侵检测系统概述?? 　　IDS通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被入侵的迹象。从具体工作方式上看，可分为基于主机的HIDS（Host Intrusion Detection System)和基于网络的NIDS（Network Intrusion Detection System)。?? 　　HIDS对要检测的主机或系统的审计日志、行为数据或文件系统等进行分析，一旦发现这些文件发生任何变化，HIDS将比较新的日志记录与入侵签名以发现它们是否匹配。如果匹配，检测系统就向管理员发出入侵报警并采取相应的行动。这类技术通常用于保护关键应用的服务器，实时监视可疑的连接、非法访问的闯入等，并且提供对典型应用的监视。HIDS一般只能检测该主机上发生的入侵,它的原始数据来源受到所依附的具体操作系统平台的限制，系统的实现主要针对某种特定的系统平台，在环境适应性、可移植性方面问题较多。?? 　　NIDS使用原始的网络分组数据包作为进行入侵分析的数据源，一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检测到入侵，IDS应答模块通过通知、报警以及中断连接等方式来对入侵作出反应。NIDS强调对网络行为过程进行分析，它不是依靠审计入侵事件对目标系统带来的实际影响来发现入侵事件，而是通过行为特征来检测。此类系统侧重于对网络活动进行检测，因此可以实时地发现入侵企图，做到防范于未然。由于NIDS直接从数据链路层获取信息，因而从理论上它可以获取所有的网络信息，只要传输数据不是底层加密的，就可检测到一切通过网络发动的入侵事件，包括一些高层应用的信息。本文讨论的就是IPv6环境下的网络入侵检测系统。?? 　　1.2 IPv6网络的安全性问题?? 　　作为IPv6的一个组成部分，IPSec协议定义了认证报头（Authentication Header，AH）和封装安全载荷报头（Encapsulating Security Payload，ESP），实现了基于网络层的身份认证，确保了数据包的完整性和机密性，在一定程度上实现了网络层安全。?? 　　由于IPSec是网络层协议，它只负责其下层的网络安全，因此在IP层以上及网络应用软件中的漏洞和缺陷仍然存在。IPv6只是在IP层对原有的网络协议进行了改造和扩展，而没有对其他协议层进行构造。在IPv6实现商业化普及之后，其他协议层存在的攻击行为很容易移植到IPv6上来。例如，在TCP层的Xmas，Synfln等攻击行为，还有HTTP服务器存在的漏洞等，这些在IP层是很难得到安全保护的。所以需要基于IPv6网络的入侵监测系统协助，以实现网络安全。?? 　　IPv6的安全机制也对现有的网络安全体系提出了新的要求和挑战，具体说明如下。IPSec协议提供了加密和认证两种安全机制。加密是通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被他人截获而失密；认证使得IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。由于IPSec的加密功能提供的是端到端的保护，并且可以任选加密算法，密钥是不公开的，所以入侵检测系统根本就不能解密，更无从知道TCP/UDP端口号。这样的话，入侵检测系统对被加密的IPv6数据就无从下手。?? 　　在IPv4中，IP报头和TCP/UDP报头是紧接在一起的，而且其长度基本固定，所以入侵检测系统很容易找到报头，并使用相应的规则对其进行过滤。然而在IPv6中TCP/UDP报头的位置有了变化，IP报头与TCP/UDP报头之间常常还存在其他的扩展报头，如路由选项报头、AH/ESP报