IPv6下?tīng)顟B(tài)協(xié)議分析技術(shù)在入侵檢測(cè)系統(tǒng)中的研究.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，Internet逐漸成為人們?nèi)粘９ぷ骱蜕畹囊徊糠帧Ｈ祟惿鐣?huì)在獲得網(wǎng)絡(luò)信息化的同時(shí)，也面臨著日益嚴(yán)重的安全問(wèn)題。入侵檢測(cè)技術(shù)是繼防火墻技術(shù)之后的最重要的網(wǎng)絡(luò)安全保障技術(shù)，目前得到了廣泛的研究。原有IPv4協(xié)議面臨著一些難以解決的問(wèn)題，比如地址空間耗盡、路由表龐大等。IPv6作為下一代的網(wǎng)絡(luò)協(xié)議，必將經(jīng)歷與IPv4長(zhǎng)期共存并最終完全取代IPv4的過(guò)程。雖然IPv6利用IPSec協(xié)議解決了數(shù)據(jù)加密及身份認(rèn)證問(wèn)題

2、，保證數(shù)據(jù)在不安全的網(wǎng)絡(luò)上進(jìn)行安全傳輸，但是IPSec無(wú)法有效防止針對(duì)協(xié)議本身的攻擊，所以入侵檢測(cè)依然很重要。因此，現(xiàn)在將此二者結(jié)合，研究IPv6網(wǎng)絡(luò)下的入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)是十分必要和及時(shí)的。 本文根據(jù)IPv4和IPv6兩種協(xié)議的不同，在分析IPv6的報(bào)頭結(jié)構(gòu)、擴(kuò)展頭、地址和安全功能的基礎(chǔ)上，研究了IPv6入侵檢測(cè)技術(shù)的新特點(diǎn)，及模式匹配和協(xié)議分析技術(shù)。協(xié)議分析是在傳統(tǒng)

3、模式匹配技術(shù)基礎(chǔ)之上發(fā)展起來(lái)的一種新的安全技術(shù)，主要是針對(duì)單個(gè)數(shù)據(jù)包進(jìn)行分析。然而現(xiàn)在很多攻擊行為包含在多個(gè)請(qǐng)求中，僅靠檢測(cè)單一的連接請(qǐng)求或響應(yīng)是檢測(cè)不到的，此時(shí)基于狀態(tài)協(xié)議分析的技術(shù)就顯得十分必要了。 接下來(lái)，本文深入研究了基于狀態(tài)協(xié)議分析(STAteful ProtocolAnalysis，STAPA)的模型和算法，它是在常規(guī)協(xié)議分析技術(shù)的基礎(chǔ)上，加入狀態(tài)特性分析--即不僅檢測(cè)單一的連接請(qǐng)求或響應(yīng)，而且還將一個(gè)會(huì)話的所有流量

4、作為一個(gè)整體來(lái)考慮。本文所做的工作就是嘗試將該模型應(yīng)用到IPv6平臺(tái)上。為了完成該工作，本文選用Snort系統(tǒng)進(jìn)行了研究。因?yàn)樗且粋€(gè)基于網(wǎng)絡(luò)的輕量級(jí)入侵檢測(cè)系統(tǒng)，具有易于安裝、便于配置、功能強(qiáng)大、使用靈活等諸多優(yōu)點(diǎn)。因此，本文在研究Snort系統(tǒng)的基礎(chǔ)上，為協(xié)議解析插件和規(guī)則處理插件增加了處理IPv6包的功能，同時(shí)也為包重組預(yù)處理插件添加了IPv6下的狀態(tài)協(xié)議分析功能。 最后，通過(guò)實(shí)驗(yàn)驗(yàn)證，改進(jìn)后的Snort系統(tǒng)實(shí)現(xiàn)了以下功