基于IPv6的動(dòng)態(tài)網(wǎng)絡(luò )入侵檢測系統的研究與設計

(1)數據包捕獲模塊。數據包捕獲是入侵檢測的基礎，數據捕獲的準確性、可靠性和效率決定了整個(gè)入侵檢測系統的性能。它的主要功能就是從以太網(wǎng)上捕獲數據包。我們的設計是采用在Linux操作系統中使用系統底層調用來(lái)實(shí)現數據包的捕獲。我們?yōu)榱颂岣邤祿牟东@性能，系統中采用的是在Linux下非常流行的BPF捕獲機制。它的優(yōu)點(diǎn)是不需要再用底層的調用來(lái)編寫(xiě)代碼，封裝了底層調用并作了優(yōu)化處理。
(2)協(xié)議解析模塊。協(xié)議解析模塊是入侵檢測系統的基礎，它對捕獲到的數據包進(jìn)行詳細的協(xié)議分析，檢測出每個(gè)數據包的類(lèi)型和特征。此模塊的設計功能是否齊全和合理，會(huì )直接影響到入侵檢測系統的性能。
(3)規則處理模塊。規則庫是一個(gè)入侵檢測系統的知識庫，它的成功與否會(huì )直接決定入侵檢測系統的綜合性能，當入侵檢測庫越豐富的時(shí)候，系統能檢測到的入侵行為就會(huì )越多，系統才會(huì )更安全。
(4)分析檢測模塊。分析檢測模塊完成的是一個(gè)匹配性工作。協(xié)議解析模塊對捕獲的數據包進(jìn)行分析，規則處理模塊建立了入侵規則庫，而入侵檢測模塊需要做的就是完成對這兩部分的匹配工作。當匹配成功，就說(shuō)明有入侵行為發(fā)生。此外，該模塊除了使用入侵規則庫來(lái)檢測入侵之外，還有異常檢測功能，比方說(shuō)對掃描入侵行為的檢測就使用了異常檢測技術(shù)。我們采用的是基于協(xié)議分析匹配技術(shù)。
(5)存儲模塊。存儲模塊的主要功能是存儲網(wǎng)絡(luò )相關(guān)信息，健全日志，以方便事后分析和處理。例如分析IP協(xié)議的分布情況，分析某個(gè)IP的活動(dòng)情況，等等。我們采用的是使用MySQL數據庫存儲的。
(6)響應模塊。當入侵檢測系統檢測到入侵時(shí)，會(huì )通過(guò)響應模塊來(lái)處理相關(guān)的事務(wù)。響應模塊可以采取各種措施對檢測引擎檢測到的入侵行為進(jìn)行相應的響應，常見(jiàn)的有傳送消息給防火墻、截斷外部入侵行為等，也可以只向網(wǎng)絡(luò )管理員進(jìn)行報警，由網(wǎng)絡(luò )管理員根據入侵情況再決定采取相應的防御措施。

4 結論
目前采用的網(wǎng)絡(luò )安全防御體系由于自身存在著(zhù)缺陷和不足，使得網(wǎng)絡(luò )安全問(wèn)題一直困擾著(zhù)我們的工作。網(wǎng)絡(luò )入侵檢測技術(shù)通過(guò)改變以往的被動(dòng)防御方式，能夠主動(dòng)地跟蹤入侵行為，并及時(shí)做出相應的響應。使得網(wǎng)絡(luò )入侵檢測系統成為了防火墻之后最有力的安全防線(xiàn)。正是這些優(yōu)點(diǎn)使得網(wǎng)絡(luò )入侵檢測系統成為了當前網(wǎng)絡(luò )安全方面研究的熱點(diǎn)。同時(shí)隨著(zhù)IPv6的應用和普及，原有的網(wǎng)絡(luò )將面臨全新的挑戰，當然也包括對網(wǎng)絡(luò )安全體系的挑戰。本文提出的就是在IPv6協(xié)議下構建全新的網(wǎng)絡(luò )入侵檢測防御體系。