IPv6网络环境下入侵检测系统的研究与设计

摘要

IPv6替代IPv4成为下一代网络协议已是历史的必然。随着IPv6应用规模的扩大,针对IPv6的入侵方式层出不穷,现有的入侵检测系统不能适用于IPv6网络环境。为解决此问题,本文设计了一种基于协议解析和动态规则匹配的分布式入侵检测系统,并对该系统的关键技术进行了讨论,提出了解决方案。
　　 论文首先介绍了IPv6的历史、现状与发展趋势,对IPv6与IPv4的主要区别进行了对比,介绍了IPv4到IPv6的几种主要的过渡技术,阐述了IPv6的技术架构,包括IPv6的寻址体系结构及IPv6的安全体系结构。随后对入侵检测系统的技术特点进行了概述。介绍了入侵检测系统的概念及主要方式,分析了入侵检测的发展历史、现状与趋势,介绍了目前常见的入侵检测产品及其所遵循的几种通用入侵检测模型,从技术上对各种入侵检测系统进行了分类。
　　 在此基础上,提出本文所设计的入侵检测系统的总体设计方案,即以分布灵活的若干个入侵检测机、数据挖掘服务器、系统管理服务器组成的分布式入侵检测系统。论文在分析了国内外入侵检测产品成功经验的基础上,提出了检测分布、数据和管理集中的整体设计方案。该方案在充分发挥分布式检测的同时实现了数据和管理的集中,可以通过集中的统一管理接口方便的控制和管理整个分布式入侵检测系统。该方案结合了分布式与集中式入侵检测系统的优点,实现了资源的合理分配、共享与利用。
　　 论文从研究入侵检测系统同时支持IPv4/IPv6网络协议的思路入手,设计了同时支持IPv4/IPv6的数据包捕获接口、协议分析系统、数据结构,实现了不依赖于网层协议的入侵检测。
　　 论文提出动态规则库的设计,将数据挖掘应用到入侵检测的规则生成,设计了基于数据挖掘的动态规则库系统。以分布采集的网络事件作为数据挖掘引擎的输入,应用关联规则挖掘算法动态产生入侵规则,避免了静态规则库对具体网络环境适应性差的弊端,提高了系统的适用性。
　　 论文研究叙述了系统各组成部分的功能、网络部署策略、整体框架,给出了系统内部各个组成模块的设计,对系统的关键技术的实现进行了深入研究和实现。重点讨论了数据包捕获技术、协议分析技术、预处理技术、数据挖掘技术和模式匹配技术在系统中的应用,并给出了相应的设计。

目录

文摘

英文文摘

第1章 绪论

1.1 课题背景

1.2 作者主要工作

1.3 本文的创新点

1.4 论文组织结构

第2章 IPV6及入侵检测系统概述

2.1 新一代网络层协议——IPv6

2.1.1 IPv6的发展历史、现状与趋势

2.1.2 IPv6与IPv4的主要区别

2.1.3 IPv4到IPv6过渡技术

2.1.4 IPv6寻址体系结构

2.1.5 IPv6安全体系结构

2.2 入侵检测系统(INTRIJSION DETECTION SYSTEM,IDS)

2.2.1 网络安全概述

2.2.2 网络入侵的主要方式

2.2.3 通用入侵检测模型

2.2.4 入侵检测技术分类

2.3 IPv6网络环境下入侵检测系统面临的新挑战

2.4 本章小结

第3章 IPV6环境下入侵检测系统的总体设计

3.1 设计思想

3.1.1 系统设计目标

3.1.2 系统设计原则

3.2 系统框架

3.2.1 入侵检测系统的整体组成结构

3.2.2 入侵检测系统的网络部署结构

3.2.3 入侵检测系统的内部结构

3.3 本章小结

第4章 系统功能模块设计

4.1 初始化模块

4.2 网络包捕获模块

4.2.1 LIBPCAP研究与应用

4.2.2 NAPI技术研究与应用

4.2.3 内存映射技术研究与应用

4.3 协议解析模块

4.3.1 协议分析模块工作流程

4.3.2 数据结构设计

4.4 预处理模块

4.4.1 IPv6分片重组预处理器实现技术

4.5 事件发送、事件接收及事件库

4.6 规则产生器及规则库

4.6.1 数据挖掘概述

4.6.2 将数据挖掘应用于规则产生的可行性分析

4.6.3 基于数据挖掘的规则产生器详细设计

4.6.4 APRIORI算法

4.6.5 对APRIORI算法的改进

4.6.6 改进算法完备性证明

4.7 规则分发、本地规则初始化

4.8 规则树

4.9 入侵检测引擎

4.9.1 可用于入侵检测引擎的模式匹配算法

4.9.2 改进的模式匹配算法

4.9.3 改进后的模式匹配算法理论分析与验证

4.10 管理模块、系统管理服务器

4.11 响应模块与日志模块

4.12 本章小结

结论

参考文献

攻读硕士学位期间发表的学术论文

致谢