基于IPv6的動(dòng)態(tài)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)
摘要:隨著互聯(lián)網(wǎng)應(yīng)用的普及,網(wǎng)絡(luò)攻擊行為愈來(lái)愈嚴(yán)重。依據(jù)IPv6協(xié)議的擴(kuò)展頭、包頭結(jié)構(gòu)、地址結(jié)構(gòu)和安全機(jī)制,設(shè)計(jì)了IPv6環(huán)境下的協(xié)議解碼和協(xié)議分析的過(guò)程。提出了一種新的基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)框架。通過(guò)對(duì)協(xié)議解碼和分析,給出了IPv6環(huán)境下基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)方案。
關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測(cè);協(xié)議分析;IPv6協(xié)議;模式匹配
0 緒言
隨著互聯(lián)網(wǎng)的日益開(kāi)放與高速發(fā)展,伴隨著來(lái)自網(wǎng)絡(luò)的攻擊行為也愈來(lái)愈嚴(yán)重,網(wǎng)絡(luò)安全問(wèn)題成為一個(gè)亟待解決的難題。以往都采用靜態(tài)的安全防御體系,如防火墻、身份認(rèn)證及數(shù)據(jù)加密技術(shù)等等,這些技術(shù)能解決一部分安全問(wèn)題,但由于這些技術(shù)自身的缺陷,不能完全解決當(dāng)前網(wǎng)絡(luò)安全問(wèn)題。先進(jìn)的入侵檢測(cè)技術(shù)應(yīng)運(yùn)而生。它首先通過(guò)對(duì)入侵行為的檢測(cè),收集并分析信息,從而發(fā)現(xiàn)是否有違反安全策略的行為。在下一代IPv6協(xié)議環(huán)境下,著手建立實(shí)時(shí)、高效的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)有著重要的實(shí)際價(jià)值。
1 網(wǎng)絡(luò)安全問(wèn)題與對(duì)策
1.1 網(wǎng)絡(luò)安全面臨的威脅
目前,網(wǎng)絡(luò)應(yīng)用得到了普及,但是網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全問(wèn)題逐步顯現(xiàn),會(huì)經(jīng)常干擾網(wǎng)絡(luò)的正常使用。目前來(lái)自網(wǎng)絡(luò)中的威脅主要有系統(tǒng)本身的脆弱性和外來(lái)的攻擊。
網(wǎng)絡(luò)系統(tǒng)自身脆弱性的威脅包含兩個(gè)方面:信息系統(tǒng)處理環(huán)境上的不安全因素和系統(tǒng)自身存在可入侵性。網(wǎng)絡(luò)來(lái)自外界的威脅有:特洛伊木馬攻擊、端口掃描攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、WEB攻擊、非授權(quán)服務(wù)攻擊、網(wǎng)絡(luò)監(jiān)聽(tīng)攻擊、利用系統(tǒng)漏洞進(jìn)行攻擊等等。
1.2 網(wǎng)絡(luò)安全技術(shù)
網(wǎng)絡(luò)安全問(wèn)題受到人們的密切關(guān)注,所采用的安全措施也很多。常見(jiàn)的安全措施有:
存取控制技術(shù)、防火墻技術(shù)、加密技術(shù)、病毒防治技術(shù)、入侵檢測(cè)技術(shù)等。
1.3 網(wǎng)絡(luò)安全模型
網(wǎng)絡(luò)安全模型(PPDR)是商業(yè)策略模型PDR在網(wǎng)絡(luò)安全模型上的運(yùn)用。PPDR是策略(Policv)、防護(hù)(Protection)、檢測(cè)(Detection)、響應(yīng)(Response)四個(gè)英文單詞的首字母縮寫。它是一個(gè)螺旋上升的過(guò)程,經(jīng)過(guò)一個(gè)循環(huán)以后它的防護(hù)水平會(huì)得到全面的提高。它們之間的關(guān)系如圖1所示。
PPDR模型中,策略是PPDR模型的核心組成部分,是網(wǎng)絡(luò)安全需達(dá)到的目標(biāo),同時(shí)也是各種措施的集合。
防護(hù)是網(wǎng)絡(luò)安全的首步。它包括安全規(guī)范的制定、安全配置和安傘措施。檢測(cè)是主動(dòng)防御行為。響應(yīng)指在檢測(cè)到攻擊之后,及時(shí)地做出反應(yīng),使系統(tǒng)恢復(fù)正常運(yùn)行狀態(tài)。
目前較科學(xué)的防御體系是在遵循PPDR模型的信息網(wǎng)絡(luò)安全體系的前提下,采用主動(dòng)防御與被動(dòng)防御相結(jié)合的方式。
2 基于IPv6的入侵檢測(cè)系統(tǒng)NIDS框架設(shè)計(jì)
2.1 系統(tǒng)功能設(shè)計(jì)
基于IPv6協(xié)議的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)要對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)跟蹤和分析,實(shí)時(shí)地檢測(cè)并分析用戶在系統(tǒng)中的活動(dòng)狀態(tài),統(tǒng)計(jì)網(wǎng)絡(luò)流量,拒絕服務(wù)攻擊等異常用戶行為,同時(shí)還要能對(duì)已知攻擊特征進(jìn)行正確識(shí)別,減少誤報(bào)和漏報(bào),影響整體性能,并及時(shí)向控制臺(tái)報(bào)警,為有效防御提供依據(jù),并根據(jù)定制的條件過(guò)濾掉相同的報(bào)警事件,減輕傳輸與響應(yīng)的壓力。此外還要能提供入侵檢測(cè)規(guī)則的升級(jí)處理,實(shí)時(shí)更新入侵檢測(cè)特征庫(kù),提高入侵檢測(cè)系統(tǒng)的入侵檢測(cè)能力,同時(shí)要制定實(shí)時(shí)響應(yīng)策略,根據(jù)用戶的規(guī)則定義,經(jīng)過(guò)系統(tǒng)自動(dòng)過(guò)濾,對(duì)警報(bào)事件及時(shí)響應(yīng)。檢測(cè)系統(tǒng)還要能對(duì)未發(fā)現(xiàn)的系統(tǒng)漏洞特征進(jìn)行預(yù)報(bào)警處理。一個(gè)高性能的入侵檢測(cè)系統(tǒng)除了具備以上功能外,具備較高的可管理性和自身安全性也非常重要。
評(píng)論