IPv6下协议分析技术在入侵检测系统中的研究与应用
|
摘要
如今的社会已进入信息化的时代,网络已成为人们生活中必不可少的内容,通过网络,人们可以快速、便捷地获取各种各样的信息;通过网络,人们可以方便地与世界各地的人们进行交流;通过网络,人们可以更容易地推动科学技术的进步与发展。然而,正是由于网络所具有的开放性、广泛性和便捷性,使得网络的安全性问题日益成为人们关注的焦点。目前,Internet互联网采用的是IPv4协议技术,随着网络技术的飞速发展,各种黑客技术也日新月异,IPv4本身所固有的缺陷日益突出,为了更好地适应未来网络发展以及网络安全的需求,IETF小组提出了IPv6协议,IPv6协议代替IPv4将是大势所趋。由于IPv6中强制使用IPSec协议,所以与IPv4相比,IPv6将具有更高的安全性,但是网络的入侵攻击仍将存在。为了更好地保障网络的安全性,在IPv6协议下建立入侵检测系统是必不可少的。
入侵检测是一种动态的安全防护手段,它能主动寻找入侵信号,给网络系统提供对外部攻击、内部攻击和误操作的安全保护。本文通过对IPv4协议下入侵检测系统的分析和研究,对IPv6协议下的入侵检测系统进行了初步的探索。首先,对IPv6协议下的数据包,尤其是基本报头、扩展报头以及ICMPv6协议等进行了分析和研究;其次,采用协议分析技术作为IDS的检测技术,协议分析技术是目前最新的检测技术,它能够利用网络协议的高度规则性,快速探测已知和尚未发现的系统漏洞、攻击的存在,大大提高了IDS的准确性和性能等。一般地,入侵检测系统包括四个模块,数据捕包模块、协议解析模块、规则匹配模块以及输出控制模块。在本文中,借鉴了一种轻量级的基于网络的入侵检测系统Snort的检测技术,建立起基于IPv6下用协议分析技术实现入侵检测系统的基本框架,主要实现了数据捕包模块、协议解析模块中对部分协议解析的功能函数,另外对规则匹配模块的执行模型进行了设计,并对二维规则链表的结构进行了分析与改进,对入侵检测系统的平台移植进行了有益的探索。
The network has been indispensable for people in such an information-based society. Using the Internet, people may fast and conveniently gain all kinds of information; people may conveniently communicate with others in every place in the world; and people may easily promote the progress and the development of science and technology. However, the openness, universality and the convenience of network make the security problems become the key point to which people pay attention. At present, the Internet employs the IPv4 protocol technology while each kind of hacker technology also changes along with rapid development of network technology. Therefore, the deficiency of IPv4 is increasingly obvious. In order to meet the requirements of the network future development and security demand, the IETF group proposed the IPv6 protocol, which will replace IPv4 ultimately. Comparing with IPv4, IPv6 will have a higher security degree because IPSec protocol is forced to use in IPv6, but the network intrusion will still exist. In order to protect the security of the Internet more successfully, the intrusion detection system under the protocol IPv6 must be established.
Intrusion detection system (IDS) is an active security-defensive mechanism. It can search intrusive signal and offer secure protection against external-attack, internal-attack and inaccurate operation. This thesis analyzed and researched the intrusion detection system under IPv4, and carried on the preliminary exploration to the intrusion detection system under IPv6. Firstly, analysis and research focus on data packets under protocol IPv6, especially the head, expand head and protocol ICMPv6 etc. Secondly, adopting the analysis techniques as detected techniques of IDS, which is the newest detected techniques and it can detect the known and unknown holes and attacks quickly by using network protocol high regularity, and consequently enhanced the IDS accuracy and the performance to a large degree. Generally, there are four modules in intrusion detection system, data packets catching module, protocol
入侵检测是一种动态的安全防护手段,它能主动寻找入侵信号,给网络系统提供对外部攻击、内部攻击和误操作的安全保护。本文通过对IPv4协议下入侵检测系统的分析和研究,对IPv6协议下的入侵检测系统进行了初步的探索。首先,对IPv6协议下的数据包,尤其是基本报头、扩展报头以及ICMPv6协议等进行了分析和研究;其次,采用协议分析技术作为IDS的检测技术,协议分析技术是目前最新的检测技术,它能够利用网络协议的高度规则性,快速探测已知和尚未发现的系统漏洞、攻击的存在,大大提高了IDS的准确性和性能等。一般地,入侵检测系统包括四个模块,数据捕包模块、协议解析模块、规则匹配模块以及输出控制模块。在本文中,借鉴了一种轻量级的基于网络的入侵检测系统Snort的检测技术,建立起基于IPv6下用协议分析技术实现入侵检测系统的基本框架,主要实现了数据捕包模块、协议解析模块中对部分协议解析的功能函数,另外对规则匹配模块的执行模型进行了设计,并对二维规则链表的结构进行了分析与改进,对入侵检测系统的平台移植进行了有益的探索。
The network has been indispensable for people in such an information-based society. Using the Internet, people may fast and conveniently gain all kinds of information; people may conveniently communicate with others in every place in the world; and people may easily promote the progress and the development of science and technology. However, the openness, universality and the convenience of network make the security problems become the key point to which people pay attention. At present, the Internet employs the IPv4 protocol technology while each kind of hacker technology also changes along with rapid development of network technology. Therefore, the deficiency of IPv4 is increasingly obvious. In order to meet the requirements of the network future development and security demand, the IETF group proposed the IPv6 protocol, which will replace IPv4 ultimately. Comparing with IPv4, IPv6 will have a higher security degree because IPSec protocol is forced to use in IPv6, but the network intrusion will still exist. In order to protect the security of the Internet more successfully, the intrusion detection system under the protocol IPv6 must be established.
Intrusion detection system (IDS) is an active security-defensive mechanism. It can search intrusive signal and offer secure protection against external-attack, internal-attack and inaccurate operation. This thesis analyzed and researched the intrusion detection system under IPv4, and carried on the preliminary exploration to the intrusion detection system under IPv6. Firstly, analysis and research focus on data packets under protocol IPv6, especially the head, expand head and protocol ICMPv6 etc. Secondly, adopting the analysis techniques as detected techniques of IDS, which is the newest detected techniques and it can detect the known and unknown holes and attacks quickly by using network protocol high regularity, and consequently enhanced the IDS accuracy and the performance to a large degree. Generally, there are four modules in intrusion detection system, data packets catching module, protocol
引文
[1] Jack Koziol,《Snort入侵检测实用解决方案》,北京,机械工业出版社,2005.1
[2] 刘文涛,《网络安全开发包详解》,北京,电子工业出版社,2005.10
[3] 韩东海,王超,李群,《入侵检测系统及实例剖析》,北京,清华大学出版社,2002.5
[4] 唐正军等,《网络入侵检测系统的设计与实现》,北京,电子工业出版,2002.4
[5] 唐正军,李建华,《入侵检测技术》,北京,清华大学出版社,2004.4
[6] 宋劲松,《网络入侵检测——分析、发现和报告攻击》,北京,国防工业出版社,2004.9
[7] 张云勇,刘韵洁,张智江,《基于IPv6的下一代互联网》,北京,电子工业出版社,2004.7
[8] 薛静锋,宁宇鹏,阎慧,《入侵检测技术》,北京,机械工业出版社,2004年4月
[9] W.Richard Stevens,《TCP/IP详解 卷1:协议》,北京,机械工业出版社,2000.4
[10] 小高知宏,《TCP/IP数据报分析程序篇》,北京,科学出版社,2003.4
[11] 周逊,《IPv6——下一代互联网的核心》,北京,电子工业出版社,2003.8
[12] Stephen Northcutt,《入侵特征与分析》,北京,中国电力出版社,2002.9
[13] Kenneth D.Reed,《协议分析(第7版)》,北京,电子工业出版社,2004.1
[14] 郝文化,《防黑反毒技术指南》,北京,机械工业出版社,2004.1
[15] 林腾,李国锋,许崇敬,赵勇,《Internet应用协议实例剖析与服务器配置》,北京,人民邮电出版社,2004.5
[16] 唐正军,《黑客入侵防护系统源代码分析》,北京,机械工业出版社,2002.3
[17] RFC 2464——Transmission of IPv6 Packets over Ethemet Networks
[18] 郭雄辉,赵保华,屈玉贵,钱兰,IPv6协议测试系统研究和实现,小型微型计算机系统,2005年7月,P1121~1124
[19] 李振强,徐一元,马严,基于SNORT的IPv6入侵检测系统的研究与实现,电信科学,2005年8期,P32~36
[20] 丁杰,高会生,基于协议分析的网络入侵检测与取证系统,信息安全与通信 保密,2005年3期,P89~91
[21] 蔡罡,冯辉宗,基于协议分析状态机的入侵检测系统,重庆邮电学院学报,200年2月,P97~101
[22] 高兴锁,梅苏文,蔡立斌,协议分析技术在入侵检测系统的应用初探,计算机与现代化,2004年9期,P88~90
[23] 林惠君,张思东,张宏科,基于IPv6的入侵检测系统的研究与实现,电视技术,2005年10期,P64~66
[24] 罗桂琼,基于协议分析的入侵检测系统,电脑与信息技术,2005年8月,P56~59
[25] 侯方明,李大兴,一种新的基于协议树的入侵检测系统的设计,计算机应用研究,2005年7期,P150~152
[26] 李慧君,江民斌,熊鹏,基于协议分析的网络攻击分类方法,南昌水专学报,2004年12月,P66~70
[27] 李建武,卢选民,侯新宇,基于IPv6协议分析的网络入侵检测系统设计,计算机应用研究,2005年12期,P135~137
[28] 张楠,新一代入侵检测技术及应用——基于协议分析技术的入侵检测系统模型研究,计算机安全,2002年12月,P13~15
[29] 李庆华,赵延喜,蒋盛益,基于数据挖掘的协议分析检测模型,计算机工程与设计,2005年7期,P1701~1703
[30] 梁健,林中,入侵检测关键技术研究与实现,计算机工程与应用,2004年26期,P129~132
[31] 鲁士文,IPv6协议标准和过渡机制,中国传媒科技,2005年08期,P18~20
[32] 马强,黑客攻击新趋势及防范策略——从美国信用卡失密案说起,计算机安全,2005年8月,P62~64
[33] 孙梁,孟晓景,IPv6的技术优势和过渡策略,山东农业大学学报(自然科学版),2005年36卷,P297~302
[34] 徐成,喻飞,李红,朱淼良,高速网络环境下的入侵检测,中国安全科学学报,2005年1月,P74~78
[35] 叶昭,叶梧,IPv6技术及下一代互联网发展综述,机电工程技术,2005年7 期,P65~68
[36] 周国民,入侵检测产品市场扫描,网络安全技术与应用,2004年5期,P64~67
[37] Eric CARMES, White Paper: IPv6: answers to your questions, 6WIND, 2002.6
[38] Giovanni Vigna, William Robertson, Vishal Kher, Richard A. Kemmerer, A Stateful Intrusion Detection System for World-Wide Web Servers, 2003 IEEE, P1~10
[39] Udo Payer, State-Driven Stack-Based Network Intusion Detection System, ConTEL 2003, P613~618
[2] 刘文涛,《网络安全开发包详解》,北京,电子工业出版社,2005.10
[3] 韩东海,王超,李群,《入侵检测系统及实例剖析》,北京,清华大学出版社,2002.5
[4] 唐正军等,《网络入侵检测系统的设计与实现》,北京,电子工业出版,2002.4
[5] 唐正军,李建华,《入侵检测技术》,北京,清华大学出版社,2004.4
[6] 宋劲松,《网络入侵检测——分析、发现和报告攻击》,北京,国防工业出版社,2004.9
[7] 张云勇,刘韵洁,张智江,《基于IPv6的下一代互联网》,北京,电子工业出版社,2004.7
[8] 薛静锋,宁宇鹏,阎慧,《入侵检测技术》,北京,机械工业出版社,2004年4月
[9] W.Richard Stevens,《TCP/IP详解 卷1:协议》,北京,机械工业出版社,2000.4
[10] 小高知宏,《TCP/IP数据报分析程序篇》,北京,科学出版社,2003.4
[11] 周逊,《IPv6——下一代互联网的核心》,北京,电子工业出版社,2003.8
[12] Stephen Northcutt,《入侵特征与分析》,北京,中国电力出版社,2002.9
[13] Kenneth D.Reed,《协议分析(第7版)》,北京,电子工业出版社,2004.1
[14] 郝文化,《防黑反毒技术指南》,北京,机械工业出版社,2004.1
[15] 林腾,李国锋,许崇敬,赵勇,《Internet应用协议实例剖析与服务器配置》,北京,人民邮电出版社,2004.5
[16] 唐正军,《黑客入侵防护系统源代码分析》,北京,机械工业出版社,2002.3
[17] RFC 2464——Transmission of IPv6 Packets over Ethemet Networks
[18] 郭雄辉,赵保华,屈玉贵,钱兰,IPv6协议测试系统研究和实现,小型微型计算机系统,2005年7月,P1121~1124
[19] 李振强,徐一元,马严,基于SNORT的IPv6入侵检测系统的研究与实现,电信科学,2005年8期,P32~36
[20] 丁杰,高会生,基于协议分析的网络入侵检测与取证系统,信息安全与通信 保密,2005年3期,P89~91
[21] 蔡罡,冯辉宗,基于协议分析状态机的入侵检测系统,重庆邮电学院学报,200年2月,P97~101
[22] 高兴锁,梅苏文,蔡立斌,协议分析技术在入侵检测系统的应用初探,计算机与现代化,2004年9期,P88~90
[23] 林惠君,张思东,张宏科,基于IPv6的入侵检测系统的研究与实现,电视技术,2005年10期,P64~66
[24] 罗桂琼,基于协议分析的入侵检测系统,电脑与信息技术,2005年8月,P56~59
[25] 侯方明,李大兴,一种新的基于协议树的入侵检测系统的设计,计算机应用研究,2005年7期,P150~152
[26] 李慧君,江民斌,熊鹏,基于协议分析的网络攻击分类方法,南昌水专学报,2004年12月,P66~70
[27] 李建武,卢选民,侯新宇,基于IPv6协议分析的网络入侵检测系统设计,计算机应用研究,2005年12期,P135~137
[28] 张楠,新一代入侵检测技术及应用——基于协议分析技术的入侵检测系统模型研究,计算机安全,2002年12月,P13~15
[29] 李庆华,赵延喜,蒋盛益,基于数据挖掘的协议分析检测模型,计算机工程与设计,2005年7期,P1701~1703
[30] 梁健,林中,入侵检测关键技术研究与实现,计算机工程与应用,2004年26期,P129~132
[31] 鲁士文,IPv6协议标准和过渡机制,中国传媒科技,2005年08期,P18~20
[32] 马强,黑客攻击新趋势及防范策略——从美国信用卡失密案说起,计算机安全,2005年8月,P62~64
[33] 孙梁,孟晓景,IPv6的技术优势和过渡策略,山东农业大学学报(自然科学版),2005年36卷,P297~302
[34] 徐成,喻飞,李红,朱淼良,高速网络环境下的入侵检测,中国安全科学学报,2005年1月,P74~78
[35] 叶昭,叶梧,IPv6技术及下一代互联网发展综述,机电工程技术,2005年7 期,P65~68
[36] 周国民,入侵检测产品市场扫描,网络安全技术与应用,2004年5期,P64~67
[37] Eric CARMES, White Paper: IPv6: answers to your questions, 6WIND, 2002.6
[38] Giovanni Vigna, William Robertson, Vishal Kher, Richard A. Kemmerer, A Stateful Intrusion Detection System for World-Wide Web Servers, 2003 IEEE, P1~10
[39] Udo Payer, State-Driven Stack-Based Network Intusion Detection System, ConTEL 2003, P613~618