IPv6下狀態(tài)協(xié)議分析技術(shù)在入侵檢測系統(tǒng)中的研究.pdf

1、隨著計算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，Internet逐漸成為人們?nèi)粘９ぷ骱蜕畹囊徊糠?。人類社會在獲得網(wǎng)絡(luò)信息化的同時，也面臨著日益嚴(yán)重的安全問題。入侵檢測技術(shù)是繼防火墻技術(shù)之后的最重要的網(wǎng)絡(luò)安全保障技術(shù)，目前得到了廣泛的研究。原有IPv4協(xié)議面臨著一些難以解決的問題，比如地址空間耗盡、路由表龐大等。IPv6作為下一代的網(wǎng)絡(luò)協(xié)議，必將經(jīng)歷與IPv4長期共存并最終完全取代IPv4的過程。雖然IPv6利用IPSec協(xié)議解決了數(shù)據(jù)加密及身份認(rèn)證問題

2、，保證數(shù)據(jù)在不安全的網(wǎng)絡(luò)上進(jìn)行安全傳輸，但是IPSec無法有效防止針對協(xié)議本身的攻擊，所以入侵檢測依然很重要。因此，現(xiàn)在將此二者結(jié)合，研究IPv6網(wǎng)絡(luò)下的入侵檢測系統(tǒng)(Intrusion Detection System，IDS)是十分必要和及時的。 本文根據(jù)IPv4和IPv6兩種協(xié)議的不同，在分析IPv6的報頭結(jié)構(gòu)、擴(kuò)展頭、地址和安全功能的基礎(chǔ)上，研究了IPv6入侵檢測技術(shù)的新特點，及模式匹配和協(xié)議分析技術(shù)。協(xié)議分析是在傳統(tǒng)

3、模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來的一種新的安全技術(shù)，主要是針對單個數(shù)據(jù)包進(jìn)行分析。然而現(xiàn)在很多攻擊行為包含在多個請求中，僅靠檢測單一的連接請求或響應(yīng)是檢測不到的，此時基于狀態(tài)協(xié)議分析的技術(shù)就顯得十分必要了。 接下來，本文深入研究了基于狀態(tài)協(xié)議分析(STAteful ProtocolAnalysis，STAPA)的模型和算法，它是在常規(guī)協(xié)議分析技術(shù)的基礎(chǔ)上，加入狀態(tài)特性分析--即不僅檢測單一的連接請求或響應(yīng)，而且還將一個會話的所有流量

4、作為一個整體來考慮。本文所做的工作就是嘗試將該模型應(yīng)用到IPv6平臺上。為了完成該工作，本文選用Snort系統(tǒng)進(jìn)行了研究。因為它是一個基于網(wǎng)絡(luò)的輕量級入侵檢測系統(tǒng)，具有易于安裝、便于配置、功能強(qiáng)大、使用靈活等諸多優(yōu)點。因此，本文在研究Snort系統(tǒng)的基礎(chǔ)上，為協(xié)議解析插件和規(guī)則處理插件增加了處理IPv6包的功能，同時也為包重組預(yù)處理插件添加了IPv6下的狀態(tài)協(xié)議分析功能。 最后，通過實驗驗證，改進(jìn)后的Snort系統(tǒng)實現(xiàn)了以下功