IPv6环境下异常检测系统的关键技术研究

摘要

新一代互联网协议IPv6以其巨大的地址空间及良好的安全体系设计等优势正在逐渐替代已有的互联网协议IPv4。然而随着下一代互联网的发展，各种新型应用的普及，下一代互联网的安全问题也越来越突出。传统的异常检测算法无法识别新的协议，也无法有效地检测这些新的攻击形式。必须研究一种适用于IPv6协议的，能在高带宽下快速检测的异常检测算法。因此研究基于下一代互联网的异常检测算法是十分必要的，具有十分重要的理论意义和实际应用价值，并已成为国际上亟待解决的重大前沿课题。 为了保障下一代互联网的安全，必须能对于其中的异常行为模式做出正确的判别和响应。下一代互联网异常检测体系研究的目标是开创新的技术，让异常检测系统能适应高带宽和高负荷的网络环境，支持最新的Internet网络协议，并有自我学习的能力。从而形成下一代互联网异常检测技术、下一代互联网安全体系结构模型和下一代互联网的网络安全控制平台。 构建IPv6环境下异常检测系统，需要针对IPv6协议安全性分析、高速数据包捕获模型、基于免疫遗传原理的异常检测算法以及适用于IPv6环境的异常检测系统等四个重要方面进行研究。 要设计和建立基于下一代互联网的异常检测体系结构必须了解新的互联网承载协议存在的安全问题。通过对协议的设计阶段、协议的实现阶段以及协议的部署阶段对IPv6协议的安全性的分析，发现Windows、Linux等主流操作系统在IPv6协议的实现上存在着一些漏洞，特别是在邻居发现协议NDP（Neighbor Discovery Protocol）的实现上。根据分析结果，对协议实现上存在的漏洞进行了总结，并利用这些漏洞设计和实施一些全新的IPv6环境下的攻击方式，在对所提出的异常检测算法进行测试的同时，也对协议的设计提出了一些安全建议。 数据包的无丢失捕获是异常检测的基础。通过分析现有数据包捕获模型的不足，研究并实现了半轮询驱动的零拷贝报文捕获机制（Packet Capture Mechanism based on Semi-Polling Driven Zero Copy，简称PCMSZ），并引入内存映像（Memory Map，简称MM）机制，解决了高速数据包捕获中的瓶颈问题。将该模型的原型系统与传统的数据包捕获模型进行比较，实验结果表明所提出的PCSZC在捕获性能上有了很大的提高。 异常检测算法的设计目标是提高检测的效率和准确性。生物免疫和计算机安全系统所面临及需要解决的问题十分类似，采用生物免疫思想的异常检测技术可以获得更加准确、可靠的结果，大大地提高检测性能。通过引入实数编码，精确排挤小生态算法，对遗传算法进行改进，研究了基于背离等级的检测算法（Deviation Levels based Detection Algorithm，简称DLDA），同时为了提高检测的准确性，引入了一种生成模糊检测规则的演进算法，使用模糊异常检测算法，对网络中的异常行为进行模糊检测。在不同数据集（DARPA1999，DARPA2000）以及实际网络流量上对异常检测原型系统以及开放源码的异常检测系统snort进行对比实验，实验结果表明所提出的算法在误报率、漏报率上都有了很大的提高。 IPv6环境下异常检测系统的输入对象为全新的协议，地址长度和数据量都有了极大的增长，使得上述算法在新环境下无法高效运转。为此对上述算法进行了改进，进行随机实数编码，引入基于亲和度的非我识别方法，使用分段匹配的高效匹配算法，以提高检测效率。 上述研究成果已综合应用到一个面向下一代互联网的异常检测系统中，使用自定义的数据集（构造攻击数据和实际网络流量的结合）以及实际IPv6网络流量进行了性能和效能测量，结果证明系统能在IPv6环境下运转良好。