一種基于IPv4/IPv6網絡入侵檢測系統的框架設計

國防科技大學網絡中心 鄧生君 沈 鑫 葉昭輝

一種基于IPv4/IPv6網絡入侵檢測系統的框架設計

國防科技大學網絡中心 鄧生君 沈 鑫 葉昭輝

本文描述了當前的網絡安全現狀，展望了互聯網向IPv6版本過渡的發展趨勢并分析了它的特點和缺陷。通過對比傳統的IPv4和IPv6網絡入侵檢測技術的特點，列舉了IPv4向IPv6過渡的技術方法并加以分析，最后給出了一種適應于當前IPv4/IPv6環境的入侵檢測系統的框架。

網絡安全；入侵檢測；IPv6；入侵檢測系統框架

1.引言

隨著互聯網的快速發展，網絡上的惡意攻擊行為日益增多，形形色色的病毒、木馬、蠕蟲層出不窮，對網絡信息安全構成了巨大威脅.為了應對越來越嚴重的網絡安全問題，對網絡流進行實時分析和檢測就顯得極為必要。入侵檢測系統[1]（Intrusion Detection System，IDS）作為一種積極主動、實時動態的網絡安全防范技術，越來越受到人們的關注。它通過收集、分析計算機網絡或系統中若干關鍵點數據以判斷是否有違反安全策略的行為和被攻擊的跡象，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高信息安全基礎結構的完整性，從而提供對內外攻擊和誤操作的實時保護。隨著下一代網絡中IPV6安全機制的引進，網絡層的安全性得到增強。同時，IPV6安全機制的應用對傳統入侵檢測系統也提出了新的要求和挑戰。

2.IPv4向IPv6過渡中的安全問題分析

在IPv6網絡逐漸替換IPv4網絡的過渡過程中，隨著過渡技術的應用及網絡結構變得越來越復雜，在網絡安全方面產生了越來越多的不容忽視的問題[2]。這些過渡技術存在的或帶來的安全問題主要有：

采用翻譯過渡技術，有兩個問題需要關注。其一是網絡地址翻譯、協議翻譯網關聯合應用層網關對數據報進行翻譯處理時，會破壞數據報傳輸中端到端的安全性；其二是網絡層安全技術不匹配的問題。網絡層安全協議的主要作用是對在網絡上正常傳送的數據進行了最大程度的保密和防止更改，而網絡層協議-地址翻譯技術的目的是對網絡中傳送的數據報進行協議和地址的變換，這就帶來了網絡安全協議技術與網絡層協議-地址翻譯技術不匹配的問題。

采用隧道過渡技術，由于隧道技術的設計中沒有網絡安全方面的考慮，以及自身的技術特點，給網絡安全帶來了眾多的問題。在一個已安裝設置各種安全設備的網絡中，當加入隧道技術后，這些安全設備的功能會受到隧道的影響。當有數據報經過隧道的時候，隧道不會對數據報進行安全方面的檢查，惡意的數據報往往可借用隧道來避開網絡中的安全檢查。

采用雙棧過渡技術，就是在一臺主機上同時運行兩種版本的網絡層協議。這兩種網絡層協議在技術上存在不相關性，他們之間的協調配合的不完善往往會造成一些安全方面的缺陷，給攻擊者帶來機會。

圖1 協議解碼流程圖

圖2 IPv6環境中的NIDS模塊設計

相較于前兩種過渡技術，雙棧過渡技術在安全技術和可行性方面都相對來說有優勢，所帶來的安全隱患也相對較小。

3.IPv4、IPv6網絡中入侵檢測技術特點

傳統的第一代和第二代IDS通常采用模式匹配技術，這種技術是對所有網絡數據包與攻擊數據庫的攻擊特征進行匹配，依次來判定數據包中是否有攻擊存在。目前，入侵檢測系統采用的典型模式匹配算法有Brute Force、Boyer-Moore、Aho-Corasick、Set-wiseBoyer-Moor-Horspool和Aho-Corasick-Boyer-Moore等算法。

IPv6入侵檢測技術，可定義為對攻擊者使用IPv6網絡協議對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程。由于IPv6協議和IPv4不兼容，所以在IPv6下入侵檢測可能面臨很多新的問題。

首先，IPv6相對IPv4在數據報頭上有了很大的變動，所以原來的入侵檢測產品在IPv6網絡上不能直接使用。IPv4下，IP頭部和TCP頭部是緊接在一起的，而且其長度是固定的，所以入侵檢測系統很容易找到頭部，并使用相應的策略。然而在IPv6下TCP/UDP頭的位置有了根本的變化，它們不再是緊接在一起的，通常中間還隔有其它的擴展頭部，如路由選項頭部，AH/ESP頭部等。防火墻必須讀懂整個數據包才能進行過濾，這對入侵檢測的處理性能會有很大的影響。針對IPv6的Socket套接口函數已經在RFC2133(Basic Socket InterFace Extends for IPv6)中定義，以前的應用程序都必須參考該新的API做相應的改動。

其次，在IPv6如果使用傳輸模式進行端到端的加密，則IDS無法工作，因為IDS無法理解接收到的加密數據包。解決方案之一是讓IDS能對這些數據包進行解密，但這樣勢必會帶來新的安全問題。同時IPv6的可靠性是否如最初所設想的那樣，也有待時間的考驗。

3.1 IPv4/IPv6雙棧入侵檢測系統的實現

實現IPv4/IPv6雙棧入侵檢測系統，關鍵要使現有的協議解碼模塊具有IPv6協議解碼功能。協議解碼分析的類型，從第二層來說，主要分析的是以太網。從第三層來說，有IPv4的包類型，也有IPv6的包類型，還有隧道方式，如IPv6 IN IPv4 TUNNEL和IPv4 IN IPv6 TUNNEL等類型的數據包。

協議解碼，就是按照協議的數據結構和屬性對數據包進行分析，對號入座。圖1是具備IPv6協議解碼功能的協議解碼流程圖。

由圖1可知，首先我們從Ethemet上抓包，然后將包解出，在解包的過程中把相應的包信息填充完整，通過規則檢測、輸出等模塊中的分析，判斷出該包是IPv4包還是IPv6包，如類型為0x0800就是IPv4數據包，0x86DD就是IPv6數據包，然后將以太網的源和目的地址存放起來留作后用，繼續分析下一層（第三層）的數據結構，在這里我們主要分析IPv4和IPv6的包頭結構。

3.2 IPv6環境中的NIDS模塊設計

整個NIDS系統從邏輯上分為數據采集、數據分析和結果輸出三部分。符合CIDF的規范。系統由數據包捕獲模塊、協議解析模塊、規則處理模塊、分析檢測模塊、存儲模塊和響應模塊6個模塊組成，體系結構框圖如圖2所示。

3.3 IPv6環境中的NIDS模塊功能

(1)數據包捕獲模塊

該模塊是網絡人侵檢測系統的基本組成部分，是實現整個入侵檢測系統的基礎。數據包捕獲模塊的主要功能就是從以太網上捕獲數據包。對于不同的操作系統，捕獲數據包的實現方式也不同。

(2)協議解析模塊

協議解析模塊的主要功能是對捕獲到的數據包進行詳細的協議分析，對數據報進行逐層剝離．分析各個協議的報頭和數據部分，檢測出每個數據包的類型和特征，在此基礎上進一步的分析是否有入侵行為發生。

(3)規則處理模塊

規則處理模塊的功能就是把事先定義好的入侵規則庫從文件中讀取出來，進行解析，然后讀入內存中相應的變量之中。規則庫是一個入侵檢測系統的知識庫，它的豐富與否決定了入侵檢測系統的性能，入侵檢測庫越豐富，系統檢測到的入侵行為就會越多。

(4)分析檢測模塊

該模塊主要的功能是根據入侵規則庫進行協議分析，看是否有入侵行為的發生。入侵檢測功能就是由此模塊實現的。入侵檢測模塊將協議解析模塊的分析結果和規則庫進行匹配，如果兩者匹配成功，就說明有入侵行為發生。

(5)存儲模塊

此模塊的主要功能是存儲網絡信息。由于網絡數據包很多，所以必須及時地把它們存儲起來，供事后分析IP協議的分布情況，以及某個IP的活動情況等等。這個模塊中主要考慮的是存貯哪些信息以及存儲的手段。

(6)響應模塊

當系統檢測到入侵時，通過響應模塊來處理相關的事情。響應模塊可采取多種措施對檢測引擎檢測到的入侵行為進行響應，如傳送消息給防火墻、截斷外部入侵行為等，也可以只是向管理員進行簡單的報警，由管理員根據入侵情況再采取必要的防御措施。

4.結論

本文從IPv4向IPv6逐步過渡的角度入手，結合入侵檢測系統的發展趨勢，通過安全層面分析目前流行的三種過渡技術，從而得出基于IPv4/IPv6網絡環境中采用雙棧入侵檢測系統有較強的優勢和可行性，并對比了傳統網絡和IPv6環境下的入侵檢測技術特點，提出了一個較為合理的IPv4/IPv6雙棧入侵檢測系統，以及IPv6環境中的NIDS的模塊框架以供參考。

[1]Rebdcca Gurley Bace.入侵檢測[M].北京:人民郵電出版社,2001:1-26.

[2]Silvia Hagen.Ipv6精髓.技橋[M].北京:清華大學出版社,2004:56-80.

[3]肖天慶,任翔.新一代國際互聯網協議IPv6與IPv4的比較研究[J].紅河學院學報.,2010,8(2).

[4]蒲寶卿.高校校園網1Pv4向1Pv6過渡策略的分析與研究[J].甘肅高師學報,2010,15(2)．

[5]唐正軍.入侵檢測技術導輪[M].機械工業出版社,2004.

[6]王艷秋,趙昭靈,蘭巨龍.一種基于IPv6的網絡入侵檢測系統[J].計算機應用研究,2007,02:142-143.

In this paper，the current status of network security is discussed，followed by analysis of the trend of Internet transition from IPv4 to IPv6 version and its characteristics and defect.Based on comparing the characteristics of network intrusion detection technology for traditional IPv4 and IPv6，this paper cites and analyzes the methods transition technology from IPv4 to IPv6.Finally，an appropriate framework of intrusion detection system for current IPv4/IPv6 environment is proposed.

network security；intrusion detection；IPv6；Intrusion Detection System Framework