IPv6下状态协议分析技术在入侵检测系统中的研究

摘要

随着计算机网络技术的不断发展，Internet逐渐成为人们日常工作和生活的一部分。人类社会在获得网络信息化的同时，也面临着日益严重的安全问题。入侵检测技术是继防火墙技术之后的最重要的网络安全保障技术，目前得到了广泛的研究。原有IPv4协议面临着一些难以解决的问题，比如地址空间耗尽、路由表庞大等。IPv6作为下一代的网络协议，必将经历与IPv4长期共存并最终完全取代IPv4的过程。虽然IPv6利用IPSec协议解决了数据加密及身份认证问题，保证数据在不安全的网络上进行安全传输，但是IPSec无法有效防止针对协议本身的攻击，所以入侵检测依然很重要。因此，现在将此二者结合，研究IPv6网络下的入侵检测系统(Intrusion Detection System，IDS)是十分必要和及时的。 本文根据IPv4和IPv6两种协议的不同，在分析IPv6的报头结构、扩展头、地址和安全功能的基础上，研究了IPv6入侵检测技术的新特点，及模式匹配和协议分析技术。协议分析是在传统模式匹配技术基础之上发展起来的一种新的安全技术，主要是针对单个数据包进行分析。然而现在很多攻击行为包含在多个请求中，仅靠检测单一的连接请求或响应是检测不到的，此时基于状态协议分析的技术就显得十分必要了。 接下来，本文深入研究了基于状态协议分析(STAteful ProtocolAnalysis，STAPA)的模型和算法，它是在常规协议分析技术的基础上，加入状态特性分析--即不仅检测单一的连接请求或响应，而且还将一个会话的所有流量作为一个整体来考虑。本文所做的工作就是尝试将该模型应用到IPv6平台上。为了完成该工作，本文选用Snort系统进行了研究。因为它是一个基于网络的轻量级入侵检测系统，具有易于安装、便于配置、功能强大、使用灵活等诸多优点。因此，本文在研究Snort系统的基础上，为协议解析插件和规则处理插件增加了处理IPv6包的功能，同时也为包重组预处理插件添加了IPv6下的状态协议分析功能。 最后，通过实验验证，改进后的Snort系统实现了以下功能：IPv6数据包的检测、扫描检测、IPv6的分片重组攻击的检测和SYN Flood攻击的检测。 总之，本文通过对Snort系统结构的分析，提出了Snort系统相应的改造方案，最后通过实验验证了扩展后的Snort能有效地检测到针对IPv6的攻击，实现了对Snort功能的扩展。

目录

文摘

英文文摘

声明

第一章前言

1.1课题背景

1.2国内外相关研究现状

1.3本文的主要工作

1.4论文的相关内容和结构

第二章入侵检测系统概述

2.1网络入侵概述

2.1.1网络存在的安全隐患

2.1.2网络入侵的一般步骤

2.1.3网络入侵与攻击的常用手段

2.2入侵检测系统的原理及模型

2.2.1入侵检测系统的原理

2.2.2入侵检测系统的模型

2.3入侵检测系统的分类

2.3.1根据数据源的不同来分类

2.3.2根据系统各模块的分布性来分类

2.4入侵检测技术分类

2.4.1误用入侵检测技术

2.4.2异常入侵检测技术

2.4.3两种检测技术的比较

第三章IPV6下网络入侵检测中的状态协议分析

3.1 IPv6协议介绍

3.1.1 IPv6协议

3.1.2 IPv6报头

3.1.3 IPv6地址结构

3.1.4 IPv6的安全功能

3.2状态协议分析在网络入侵检测系统中的应用

3.2.1模式匹配技术

3.2.2协议分析技术

3.2.3状态协议分析技术

3.3 IPv6入侵检测技术新特点

第四章IPV6下基于状态协议分析技术的IDS的设计

4.1总体设计

4.2 IPv6解析模块

4.2.1模块解析

4.2.2数据结构设计

4.2.3解析IPv6协议

4.3 IPv6规则处理模块

4.3.1数据结构设计

4.3.2 IPv6规则检测

4.4预处理插件

4.4.1状态协议分析插件

4.4.2分片重组插件

第五章IPV6下状态协议技术在IDS中的实现

5.1实验平台的搭建

5.1.1软件环境

5.1.2软件的安装与配置

5.2 IPv6数据包的解析

5.3 IPv6分片重组攻击

5.4 IPv6下的扫描检测

5.5 SYN FLOOD攻击

第六章总结与展望

参考文献

致谢

攻读学位期间发表的学术论文目录