IPv6網(wǎng)絡(luò)的濫用入侵檢測與實(shí)現(xiàn).pdf

1、下一代互聯(lián)網(wǎng)的研究和建設(shè)正逐步成為信息技術(shù)領(lǐng)域的熱點(diǎn)之一。而下一代互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全則是下一代互聯(lián)網(wǎng)研究中的一個(gè)重要的領(lǐng)域。目前中國第一個(gè)下一代互聯(lián)網(wǎng)主干網(wǎng)CERNET2試驗(yàn)網(wǎng)正式宣布開通并提供服務(wù)。它的開通，標(biāo)志著中國下一代互聯(lián)網(wǎng)研究取得重要進(jìn)展。中國教育和科研計(jì)算機(jī)網(wǎng)CERNET華東(北)地區(qū)網(wǎng)是CERNET八個(gè)地區(qū)網(wǎng)之一，覆蓋江蘇、山東、和安徽三省，為這些省份中的190多所高校和其它教育科研機(jī)構(gòu)提供CERNET接入服務(wù)和網(wǎng)絡(luò)互聯(lián)服務(wù)

2、，并支撐網(wǎng)上教育科研應(yīng)用的開展，是華東(北)地區(qū)教育科研事業(yè)的重要基礎(chǔ)設(shè)施之一，它也是CERNET2的重要節(jié)點(diǎn)之一，因此它的日常運(yùn)行管理和維護(hù)非常重要，網(wǎng)絡(luò)安全是其中的一個(gè)重要組成部分。現(xiàn)在網(wǎng)絡(luò)中心所使用的入侵檢測系統(tǒng)MONSTER3.0由于開發(fā)較早，功能上存在一些不足，可以對(duì)基于IPv4協(xié)議的的報(bào)文進(jìn)行檢測，無法對(duì)基于IPv6協(xié)議的報(bào)文進(jìn)行檢測，已經(jīng)不能滿足當(dāng)前對(duì)網(wǎng)絡(luò)中心針對(duì)CERNET2進(jìn)行監(jiān)控的要求，在這種情況下在原有的MONST

3、ER3.0系統(tǒng)上增加對(duì)IPv6報(bào)文的檢測功能并根據(jù)其協(xié)議特殊性進(jìn)行性能優(yōu)化非常有意義。 本文首先從介紹IPv6與IPv4的主要區(qū)別入手，詳細(xì)地講述了IPv6的尋址的安全體系結(jié)構(gòu)，討論了IPv4向IPv6的過渡策略以及IPv6的發(fā)展?fàn)顩r和方向。其次又對(duì)Monster3.0的系統(tǒng)結(jié)構(gòu)和功能模塊做了具體的介紹。然后，又從入侵檢測系統(tǒng)的概念、發(fā)展歷程、體系結(jié)構(gòu)及技術(shù)分類等方面，概述了入侵檢測技術(shù)。在以上技術(shù)背景的鋪墊下，才展開了對(duì)，IP

4、v6網(wǎng)絡(luò)濫用入侵檢測的一些關(guān)鍵技術(shù)的分析研究。 基于濫用檢測的IDS能夠很好地檢測出那些特征已經(jīng)被存儲(chǔ)在信息庫中的入侵，誤報(bào)率很小，這個(gè)需要入侵檢測規(guī)則強(qiáng)有力的支持。本文對(duì)lPv6入侵檢測系統(tǒng)的檢測規(guī)則編寫進(jìn)行了一些研究。首先分析比較了IPv6下的網(wǎng)絡(luò)攻擊行為與IPv4下的異同點(diǎn)，然后分析了：Monster3.0的檢測規(guī)則在IPv6環(huán)境下的適用性，保留其可以繼續(xù)適用的，修改其不適用的，拋棄其不能用的，并對(duì)從IPv4檢測規(guī)則到IP

5、v6檢測規(guī)則的的轉(zhuǎn)化提出了一個(gè)基本算法。最后討論了IPv6的海量地址對(duì)DDoS類攻擊的影響。 報(bào)文分類算法是進(jìn)行網(wǎng)絡(luò)報(bào)文分類的方法和手段，也就是根據(jù)用戶規(guī)則對(duì)報(bào)文進(jìn)行分類，對(duì)不同種類報(bào)文采取不同的過濾動(dòng)作。本文對(duì)報(bào)文分類算法給出了綜合描述，然后根據(jù)IPv6和IPv4報(bào)文格式的差異分析了其對(duì)報(bào)文分類解析的影響，其次給出了IPv6報(bào)文的解析步驟和IPv6下報(bào)文分片的重組算法，為雙協(xié)議解析的設(shè)計(jì)解決了最大難題。最后根據(jù)改進(jìn)，在原有的報(bào)