基于IPV6网络入侵检测.docVIP

基于IPV6网络入侵检测 　　摘要：简要概述了网络入侵的概念及分类，提出了一种基于IPV6的网络入侵检测模型，并提出了其实现的算法。 　　关键词：入侵检测　IPV6　入侵检测系统 　　中图分类号：TP393　文献标识码：A　文章编号：1002－2422(2008)03－0033－02 　　 　　1　IDS的作用 　　 　　(1)监视、分析用户和系统的运行状况，查找非法用户和合法用户的越权操作：(2)检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；(3)检测系统程序和数据的一致性和正确性；(4)能够实时地对检测到的攻击行为进行响应；(5)对用户非正常活动的统计分析，发现攻击行为的规律；(6)对操作系统的审计跟踪管理，并识别用户违反安全策略的行为。 　　 　　2　入侵检测系统的分类 　　 　　IDS根据检测的对象可分为基于主机的入侵检测系统和基于网络的入侵检测系统。 　　HIDS是根据主机系统的日志和审计记录来进行检测分析，通常在要受保护的主机上有专门的检测代理，从而来发现对主机的攻击。系统能够监视主机的运行状态和用户的操作，如用户登录和退出系统，审计系统在日志记录中的策略改变，监视养分系统文件和可执行文件的改变等，由于使用含有已受攻击信息，HIDS能够准确确定攻击是否成功，有些攻击在网络的数据流中很难发现，或者根本没有通过网络在本地进行，此时HIDS将更有效。但系统也有一些不足，例如HIDS直接装在受保护的机器上会影响系统的运行效率，对一个网络系统全面部署HIDS的代价太大，HIDS只能监视主机本身，不能对网络上的数据进行全面监视。 　　NIDS一般是配置在网关，通过捕获流入内部子网的原始数据包实时检测功能。这种网络检测每个内部子网只需要配置一个NIDS，其成本较低，能够对流入内部子网的所有数据包进行监视，以检测来自网络的攻击，这是HIDS无法完成的，NIDS不依赖于被保护主机的操作系统，NIDS能做到实时监测和响应，一旦发现入侵行为就可以立即中止攻击，入侵都不容易销毁证据，被截获的入侵信息不仅包括入侵的方法，还包括可以定位入侵对象的信息；NIDS也有一些缺点，例如只能监视本网的信息流，对于多网段的监控需要更多的传感器，则会增加NIDS的复杂度，精确度不高，很难实现对一些复杂的需要大量计算与分析时间的攻击，在交换环境下难以配置；NIDS难以处理加密会话过程，在IPV6网络中需要增加设备才能实现。 　　 　　3　入侵检测技术分类 　　 　　一般将IDS分为两种类型的检测技术：异常检测(An－omaly Detection)和误用检测(Misuse Detection)。 　　异常检测也被称为基于行为的检测，基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为检测与系统相对无关，通用性较强，它甚至有可能检测出以前未出现过的攻击方法，不像基于知识的检测那样受到已知脆弱性的限制。但基于异常的入侵检测技术仍面临以下问题：(1)入侵者可以逐步训练基于统计的检测系统，使之将异常活动判为正常活动；(2)异常行为是相对的，难以确定正常和异常之间的闽值，容易漏报和误报；(3)计算量大，涉及的入侵度量众多；(4)需较高的技术，实现上有一定难度，而且通常不能给出准确的结论，只能提出某种可能性；(5)异常检测的使用比较麻烦，要有一定的训练期，以获得正常行为的有关数据。其模型如图1所示。 　　 　　目前出现的具体方法有：基于特征选择、基于贝叶斯推理、基于模式预测、基于机器学习、基于神经网络等方法。 　　误用检测也称为基于知识的检测，运用已知攻击方法，根据已定义的入侵模式，通过判断这些入侵模式是否出现来检测。这种方法依据具体的特征库进行判断，所以检测准确性很高，可以针对某个具体的系统建立高效的检测系统；另外，由于检测结果有明显的参照，检测目标明确，从而易于实现和使用，而且检测准确性高，误报少，处理速度快，因此，该技术是目前最有效、最流行的检测方法。但误用检测也有如下的缺点：对未知的攻击无效，容易漏报，需要对入侵特征库进行升级。其模型如图2。 　　 　　目前出现的具体方法有模式匹配、模型推理、基于条件概率、基于状态迁移和专家系统等。 　　由于这两类技术方案具备一定的优势互补性，因此在商用系统中通常把两类方法结合使用，以提高对入侵的识别率。在商业产品中应用最广泛的还是属于误用入侵检测技术中的模式匹配技术。 　　 　　4　Snort系统概述 　　 　　Snort系统是一个开放源代码的网络入侵检测系统，运行在Libpcap库函数基础上，系统代码遵循GNU/GPL协议，能够在IP网络上执行实时的网络流量分析和数据包记录，可以执行协议分析、内容检查和匹配。它是一个轻量级的网络入侵检测系统。