基于IPv6环境的网络安全检测与Phishing防御研究

摘要

随着网络攻击的花样翻新，相应的网络安全技术也不断地出现，但是不管网络安全技术如何创新，检测和防御将始终是其焦点问题。主流技术入侵检测一直是网络安全研究的重点，从基于主机的入侵检测系统(HIDS)到基于网络的入侵检测系统(NIDS)，乃至较为先进的分布式入侵检测系统(DNIDS)，对入侵检测技术的研究已经走过了一段相当长的路程，如今，基于各种新技术的入侵检测系统也相继出现。 不过，现在很少有IPv6环境下的NIDS的研究和成果，主要原因是当前对这种IDS产品的需求还相对较少。尽管关于IPv4的资源耗尽的讨论非常热烈，但是积极投入到IPv6的开发和研究当中去的国家和研究机构并不多见，IPv6环境下的入侵和防御的研究亦相对较少。这就意味着在IPv6环境下有非常少的研究性的流量存在，也就缺少了使用IPv6进行攻击的推动力，但如果现在对IPv6环境下的安全问题进行广泛的研究，将会对IPv4地址空间短缺，下一步使用IPv6做好充分的准备。因此本文着重研究了IPv6环境下的安全检测与防御，同时对当今在金融领域流行的新的入侵—Phishing(网络钓鱼)，进行了深入的分析和探讨。 本文的主要研究成果和创新点如下： 1．设计了IPv6环境下的入侵检测系统模型。对IPv6协议的网络安全特点进行了深入的分析研究，为新协议下的网络安全研究与防范提供了借鉴；建市了新协议下的系统模型，为IPv6环境下的入侵检测技术提供了必要的理论基础。该安全模型的特点在于动态性和基于时间的特性，能对信息安全的“相对性”给予很好的描述。 2．提出一个新的捕获、分析数据包的方法。即通过对IPv6数据包首部作标记的方法，实现了n个 detector(检测器)分别对链路上流量的I/n进行检测。大大提高了高带宽数据包的捕获率。利用网桥架构，在操作系统的内核层和链路层将网络数据高速分流，解决了由于无法分流所有网络层数据而导致的入侵信息丢失问题。 3．在内部业务网受到大规模入侵(网络病毒)时使用子网阻断技术及其算法。在IPv6环境下，通过发送TCP连接复位包，组建邻居发现差错包等方法实现了网络数据包的主动阻断；采用了协同与联动的两层控制方法，设计了动态honey技术方案。 4．把蚁群原理引入到网络安全技术中。在建立规则时，使用蚁群优化算法，提高了规则的有效性；在入侵检测中，将蚁群原理应用于聚类分析，大大提高了检测的准确性。整个攻击事件的发现、确定和未知攻击类型的特征挖掘均是在无人工干预的情况下自动实现的，而且多层次(混合)检测的特性也大大提高了检测的准确率。 5．使用IPv6流标签的IP追踪机制。将入侵追踪中流标签和ICMPv6相结合，为IPv6协议广泛应用后的IPv6追踪提供了很好的解决方式。反向追踪和基于IPv6扩充路由首部的单数据包路由再现算法，实现了IPv6环境下的入侵追踪。 6．Phishing(仿冒)攻击模式的模型化。在研究Phishing及其防御技术的基础上，对典型的Phishing攻击进行形式化描述，建立了攻击行为模型，能够预见和描述新的Phishing攻击。提出利用IP地址核对、DNS核对、数字签名以及网址验证等技术进行仿冒防御。 在IPv6攻击俭测与防御的理论成果的指导下，成功研制出IPpv6环境下的安全检测系统，该系统通过了国家网络安全管理中心的系统测试，并已分别应用于“黑客监控系统”及“集成化网络安全技术研究”中，经陕西省财政厅、陕西省招生办等多家单位试用，均取得了满意的效果。

目录

文摘

英文文摘

声明

第一章绪论

1.1论文研究背景

1.2国内外研究现状

1.2.1国外研究现状

1.2.2国内研究现状

1.3研究的目的及意义

1.4研究内容

1.5主要创新点

1.6结构与内容组织

第二章IPV6环境下网络安全问题的探讨

2.1 IPv6协议特有的安全问题

2.2 IPv6协议对安全的增强

2.2.1认证报头

2.2.2封装化安全净荷

2.3 IPv6协议安全机制对现有安全技术的影响

2.3.1防火墙

2.3.2入侵检测

2.3.3电子取证

2.4在新协议下，安全技术的研究方向与内容

2.5本章小结

第三章特征库和规则以及攻击方法的检测

3.1 IPv6攻击规则库的研究

3.2基于IPv6漏洞攻击事件的特征和行为分析

3.2.1漏洞攻击特征和行为分析总体结构

3.2.2多角度的攻击行为提取机制设计

3.3蚁群原理在入侵检测中的应用研究

3.3.1蚁群原理简介

3.3.2蚁群原理在规则建立中的应用

3.3.3蚁群原理在入侵检测中的检测原理

3.4数据挖掘中的关联规则在IDS中的应用研究

3.4.1数据挖掘与入侵检测

3.4.2关联规则在安全系统中的应用

3.4.3入侵检测中的处理算法

3.4.4不足与展望

3.5 IPv6攻击方法的检测

3.6本章小结

第四章大流量数据包捕获技术研究

4.1高速入侵检测相关问题的研究

4.2大流量数据报捕获总体设计

4.3关键技术与实现方法

4.3.1高速数据流链接完整性

4.3.2动态负载均衡与分流

4.3.3数据包获取模块

4.4本章小结

第五章黑客追踪技术研究

5.1追踪的特性定义研究

5.1.1追踪的特性定义及发展过程

5.1.2追踪特性对各种追踪机制的分析

5.2 IPv6环境下的入侵追踪的特点

5.3流标签在IPv6追踪中的使用

5.3.1数据流标签的介绍

5.3.2采用流标签法与ICMP结合追踪

5.4追踪系统总体结构

5.4.1网络攻击源追踪系统的体系结构

5.4.2网络数据传感器

5.5本章小结

第六章主动阻断技术研究

6.1伪装技术研究

6.2旁路阻断研究

6.2.1发送TCP连接复位包的阻断方法

6.2.2组建邻居发现差错包的阻断方法

6.2.3发送网络差错包的阻断方法

6.3动态Honey技术在阻断中的应用

6.3.1总体研究框架

6.3.2动态Honey阻断的设计部署

6.3.3分布式Honeypot和Honeypot之间的协同控制

6.3.4基于主机的IDS、Honeypot、Firewall之间的联动

6.3.5动态Honey阻断的实际效果

6.4阻断在IPv6系统中的实际部署

6.5本章小结

第七章 PHISHING技术研究

7.1 Phishing的工作机制

7.2 Phishing研究的关键技术

7.2.1 Phishing攻击攻击行为及攻击树的建立

7.2.2 Phishing诱骗模型的建立。

7.2.3 Phishing的防范理论与体系研究

7.3 IPv6协议下的Phishing安全防范研究与实现

7.3.1 Phishing防范的具体措施研究

7.3.2 IPv6环境下的灾难恢复技术研究

7.3.3 Phishing防范的具体实现研究

7.4本章小结

第八章IPV6环境下的安全检测系统的设计与实现

8.1总体设计思路遇系统结构

8.2几个关键技术的解决方案

8.3关键技术模块的设计与实现

8.3.1特征库检测结构设计

8.3.2规则的创建和管理

8.3.3大流量数据包高速捕获与主动阻断实现

8.3.4可视化技术

8.4系统测试与评估

8.5本章小结

第九章工作总结及展望

致谢

攻读博士学位期间参加的科研工作与发表的论文

参考文献

附件：