基于IPv6的動(dòng)態(tài)網(wǎng)絡(luò )入侵檢測系統的研究與設計

摘要：隨著(zhù)互聯(lián)網(wǎng)應用的普及，網(wǎng)絡(luò )攻擊行為愈來(lái)愈嚴重。依據IPv6協(xié)議的擴展頭、包頭結構、地址結構和安全機制，設計了IPv6環(huán)境下的協(xié)議解碼和協(xié)議分析的過(guò)程。提出了一種新的基于協(xié)議分析的網(wǎng)絡(luò )入侵檢測系統框架。通過(guò)對協(xié)議解碼和分析，給出了IPv6環(huán)境下基于協(xié)議分析的網(wǎng)絡(luò )入侵檢測系統的設計方案。
關(guān)鍵詞：網(wǎng)絡(luò )安全；入侵檢測；協(xié)議分析；IPv6協(xié)議；模式匹配

0 緒言
隨著(zhù)互聯(lián)網(wǎng)的日益開(kāi)放與高速發(fā)展，伴隨著(zhù)來(lái)自網(wǎng)絡(luò )的攻擊行為也愈來(lái)愈嚴重，網(wǎng)絡(luò )安全問(wèn)題成為一個(gè)亟待解決的難題。以往都采用靜態(tài)的安全防御體系，如防火墻、身份認證及數據加密技術(shù)等等，這些技術(shù)能解決一部分安全問(wèn)題，但由于這些技術(shù)自身的缺陷，不能完全解決當前網(wǎng)絡(luò )安全問(wèn)題。先進(jìn)的入侵檢測技術(shù)應運而生。它首先通過(guò)對入侵行為的檢測，收集并分析信息，從而發(fā)現是否有違反安全策略的行為。在下一代IPv6協(xié)議環(huán)境下，著(zhù)手建立實(shí)時(shí)、高效的網(wǎng)絡(luò )入侵檢測系統有著(zhù)重要的實(shí)際價(jià)值。

1 網(wǎng)絡(luò )安全問(wèn)題與對策
1．1 網(wǎng)絡(luò )安全面臨的威脅
目前，網(wǎng)絡(luò )應用得到了普及，但是網(wǎng)絡(luò )中的網(wǎng)絡(luò )安全問(wèn)題逐步顯現，會(huì )經(jīng)常干擾網(wǎng)絡(luò )的正常使用。目前來(lái)自網(wǎng)絡(luò )中的威脅主要有系統本身的脆弱性和外來(lái)的攻擊。
網(wǎng)絡(luò )系統自身脆弱性的威脅包含兩個(gè)方面：信息系統處理環(huán)境上的不安全因素和系統自身存在可入侵性。網(wǎng)絡(luò )來(lái)自外界的威脅有：特洛伊木馬攻擊、端口掃描攻擊、拒絕服務(wù)攻擊、緩沖區溢出攻擊、WEB攻擊、非授權服務(wù)攻擊、網(wǎng)絡(luò )監聽(tīng)攻擊、利用系統漏洞進(jìn)行攻擊等等。
1．2 網(wǎng)絡(luò )安全技術(shù)
網(wǎng)絡(luò )安全問(wèn)題受到人們的密切關(guān)注，所采用的安全措施也很多。常見(jiàn)的安全措施有：
存取控制技術(shù)、防火墻技術(shù)、加密技術(shù)、病毒防治技術(shù)、入侵檢測技術(shù)等。
1．3 網(wǎng)絡(luò )安全模型
網(wǎng)絡(luò )安全模型(PPDR)是商業(yè)策略模型PDR在網(wǎng)絡(luò )安全模型上的運用。PPDR是策略(Policv)、防護(Protection)、檢測(Detection)、響應(Response)四個(gè)英文單詞的首字母縮寫(xiě)。它是一個(gè)螺旋上升的過(guò)程，經(jīng)過(guò)一個(gè)循環(huán)以后它的防護水平會(huì )得到全面的提高。它們之間的關(guān)系如圖1所示。

PPDR模型中，策略是PPDR模型的核心組成部分，是網(wǎng)絡(luò )安全需達到的目標，同時(shí)也是各種措施的集合。
防護是網(wǎng)絡(luò )安全的首步。它包括安全規范的制定、安全配置和安傘措施。檢測是主動(dòng)防御行為。響應指在檢測到攻擊之后，及時(shí)地做出反應，使系統恢復正常運行狀態(tài)。
目前較科學(xué)的防御體系是在遵循PPDR模型的信息網(wǎng)絡(luò )安全體系的前提下，采用主動(dòng)防御與被動(dòng)防御相結合的方式。

2 基于IPv6的入侵檢測系統NIDS框架設計
2．1 系統功能設計
基于IPv6協(xié)議的網(wǎng)絡(luò )入侵檢測系統要對網(wǎng)絡(luò )流量進(jìn)行實(shí)時(shí)跟蹤和分析，實(shí)時(shí)地檢測并分析用戶(hù)在系統中的活動(dòng)狀態(tài)，統計網(wǎng)絡(luò )流量，拒絕服務(wù)攻擊等異常用戶(hù)行為，同時(shí)還要能對已知攻擊特征進(jìn)行正確識別，減少誤報和漏報，影響整體性能，并及時(shí)向控制臺報警，為有效防御提供依據，并根據定制的條件過(guò)濾掉相同的報警事件，減輕傳輸與響應的壓力。此外還要能提供入侵檢測規則的升級處理，實(shí)時(shí)更新入侵檢測特征庫，提高入侵檢測系統的入侵檢測能力，同時(shí)要制定實(shí)時(shí)響應策略，根據用戶(hù)的規則定義，經(jīng)過(guò)系統自動(dòng)過(guò)濾，對警報事件及時(shí)響應。檢測系統還要能對未發(fā)現的系統漏洞特征進(jìn)行預報警處理。一個(gè)高性能的入侵檢測系統除了具備以上功能外，具備較高的可管理性和自身安全性也非常重要。