基于IPv6环境下的网络入侵检测系统研究

开篇：润墨网以专业的文秘视角，为您筛选了一篇基于IPv6环境下的网络入侵检测系统研究范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：IPv6技术是下一代互联网的技术核心，对IPv6网络入侵检测系统的研究与下一代网络的安全技术紧密相关。在分析网络安全系统的基本原理和IPv6网络的主要特点之后，提出了一种基于ipv6网络入侵检测系统的框架，同时采用了改进的KMP算法和蜜罐技术。

关键词：IPv6；网络入侵检测；模式匹配；蜜罐技术

中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)18-2pppp-0c

Research of Network Intrusion Detection System Based on IPv6 Environment

ZHANG Jun,ZHONG Le-hai

(College of Computer Science, China West Normal University,Nanchong 637002,China)

Abstract: IPv6 will be the core technology in the next generation Internet. Therefore, the study on intrusion detection system in IPv6 is closely linked with the next generation Internet .After analyzing the fundamentals of network security system today and the primary characteristics of IPv6,a framework of intrusion detection system in IPv6 was put forward. A pattern matching by using improved KMP, and using Honeypot technology.

Key words:IPv6;network intrusion detection;pattern matching;Honeypot technology

1 引言

防火墙作为一种边界安全设施能比较有效地保护网络内部的非法访问。由于传统防火墙所暴露出来的不足和弱点，引发了人们对入侵检测系统（IDS）技术的研究和开发。入侵检测系统为网络安全提供实时的入侵检测及采取相应的防护手段。随着下一代网络的发展，IPv6提供了较好的安全体系结构，IPv6安全机制的引进，增强了网络层的安全性。同时，IPv6安全机制的应用对现有的网络安全体系也提出了新的要求和挑战。由于入侵手法层出不穷，入侵检测系统很难检测到新的入侵行为，蜜罐技术的引入能够很好的解决这一问题。

入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到系统的闯入或闯入的企图。入侵检测技术，它是一种主动保护自己免受黑客攻击的新型网络安全技术，进行入侵检测的软件与硬件的组合便是入侵检测系统[1]。

Spitzner认为，蜜罐是一个信息系统资源，其价值就在于它的资源被未授权或非法使用。蜜罐系统通过伪装成带有漏洞的真实系统来吸引黑客进入，并记录黑客在其中的活动。我们通过分析蜜罐记录的数据就可以很轻松的了解到黑客的动向及其使用的新方法等信息。本文引入蜜罐技术是为了记录黑客行为，提取出入侵规则，把新的入侵规则添加到入侵检测系统的规则库中，从而使入侵检测系统能够检测出新的入侵行为。

由于IPSec作为IPv6的下一代互联网的必选协议，它从协议上保证了数据传输的安全性。该协议定义了认证报头和封装安全载荷报头，实现了基于网络层的身份认证，确保了数据包的完整性和机密性，在一定程度上实现了网络层安全[2]。由于在IPv6环境下网络的安全问题仍然突出，入侵检测系统作为一种有效的网络安全工具，它依然在IPv6环境下发挥着重要作用。

2 IPv6网络入侵检测系统结构

入侵检测系统广泛采用成熟的模式匹配技术，针对IPv6的特点，本系统采用将协议分析技术与规则

匹配技术相结合的IPv6网络入侵检测系统框架，使用改进的KMP算法来检测入侵行为。IPv6网络入侵检

基金项目：四川省科技攻关资助项目（No:05GG009-018）

作者简介：张俊（1981-），女，河南洛阳人，西华师范大学计算机学院计算机应用技术专业硕士研究生，研究方向：基于网络的计算机应用；钟乐海（1963-），男，四川广安人，博士，西华师范大学计算机学院教授，硕士导师，研究方向：计算机网络应用技术及信息安全技术

测的基本思想是：捕获目标地址属于受保护网络的数据包，送往协议分析模块，通过具体协议字段分层次协议，送往相应协议解析器，分析数据包的数据部分，再根据特征库中的模式进行模式匹配，判断该数据包是否有入侵企图，最后由响应模块对该数据包做出相应的响应[3]，IPv6网络入侵检测系统结构如图1所示。

图1 IPv6网络入侵检测系统结构图

2.1 数据采集模块

数据采集模块是底层模块，它是网络入侵检测系统的基本组成部分，是实现整个入侵检测系统的基础。该模块按一定的规则从网络上获取与安全事件相关的数据包，然后传递给协议解析模块解析处理，为整个系统提供数据来源。

基于IPv6的网络入侵检测系统采用专门为数据监听应用程序设计的库文件WinPacp来实现包捕获模块，这样可以不了解网络的数据链路层细节。

WinPacp是基于BSD系统内核提供的BPF设计的，利用BPF的信息过滤机制可以去掉用户不关心的数据包，从而提高系统的工作效率[4]。

2.2 中层模块

中层模块是IPv6网络入侵检测系统的核心，它由协议解码模块和规则匹配模块组成。协议解码模块是对捕获的数据包进行协议解码，解析成协议数据的格式，并分辨各个协议的头部和负载，进一步分析出头部中的各个字段；规则匹配模块对协议解析模块提交的数据进行匹配算法和规则库中的规则进行比较分析，从而判断是否有入侵行为。

2.3 高层模块

高层模块包括响应模块和界面管理模块。当入侵检测系统发现系统有入侵事件发生时，就要让系统管理员等相关安全人员指导已经有安全问题发生，并需要采取相应的响应措施。响应模块主要功能是对经过检测的数据包执行具体的响应，是入侵检测系统不可缺少的一部分。

从响应的方式上分，入侵检测系统的响应可分为主动响应和被动响应，本文采用主动响应和被动响应向结合的方式来对入侵行为做出响应。

3 一种改进的模式匹配算法

匹配算法直接影响到系统的实时性能。从网络数据包搜索入侵特征时，需要一个有效的字符串搜索算法。在字符串搜索算法中，最著名的是KMP（Knuth-Morris-Pratt）算法和BM(Boyer-Moore)算法[5]。这两种算法在最坏的情况下具有线性的搜索时间，即计算时间复杂度为0(mn)，m、n分别是位于欲匹配的字符串长度，而且还可能会出现多次回溯，算法效率太低，因此，我们对KMP算法进行了改进。

对KMP算法的改进的基本思想：当某趟匹配失败时，i指针不必回溯，而是利用已经得到的“部分匹配”结果，看看是否有必要将i的值进行调整，然后再将模式向右“滑动”若干位置后继续比较。在此算法中需要计算一个失效函数next(j):当模式T 中的第j个字符与目标P中相应字符失配时，模式T中应当由哪个字符（设为第k个）与目标中刚失配的字符对齐继续进行比较。我们发现，对不同的j,k的取值，它仅依赖于模式T本身前j个字符的构成，而与目标无关。算法的流程图如图2所示。