國(guó)防科技大學(xué)網(wǎng)絡(luò)中心 鄧生君 沈 鑫 葉昭輝

一種基于IPv4/IPv6網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的框架設(shè)計(jì)

國(guó)防科技大學(xué)網(wǎng)絡(luò)中心 鄧生君 沈 鑫 葉昭輝

本文描述了當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀，展望了互聯(lián)網(wǎng)向IPv6版本過(guò)渡的發(fā)展趨勢(shì)并分析了它的特點(diǎn)和缺陷。通過(guò)對(duì)比傳統(tǒng)的IPv4和IPv6網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的特點(diǎn)，列舉了IPv4向IPv6過(guò)渡的技術(shù)方法并加以分析，最后給出了一種適應(yīng)于當(dāng)前IPv4/IPv6環(huán)境的入侵檢測(cè)系統(tǒng)的框架。

網(wǎng)絡(luò)安全；入侵檢測(cè)；IPv6；入侵檢測(cè)系統(tǒng)框架

1.引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，網(wǎng)絡(luò)上的惡意攻擊行為日益增多，形形色色的病毒、木馬、蠕蟲(chóng)層出不窮，對(duì)網(wǎng)絡(luò)信息安全構(gòu)成了巨大威脅.為了應(yīng)對(duì)越來(lái)越嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，對(duì)網(wǎng)絡(luò)流進(jìn)行實(shí)時(shí)分析和檢測(cè)就顯得極為必要。入侵檢測(cè)系統(tǒng)[1]（Intrusion Detection System，IDS）作為一種積極主動(dòng)、實(shí)時(shí)動(dòng)態(tài)的網(wǎng)絡(luò)安全防范技術(shù)，越來(lái)越受到人們的關(guān)注。它通過(guò)收集、分析計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點(diǎn)數(shù)據(jù)以判斷是否有違反安全策略的行為和被攻擊的跡象，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，從而提供對(duì)內(nèi)外攻擊和誤操作的實(shí)時(shí)保護(hù)。隨著下一代網(wǎng)絡(luò)中IPV6安全機(jī)制的引進(jìn)，網(wǎng)絡(luò)層的安全性得到增強(qiáng)。同時(shí)，IPV6安全機(jī)制的應(yīng)用對(duì)傳統(tǒng)入侵檢測(cè)系統(tǒng)也提出了新的要求和挑戰(zhàn)。

2.IPv4向IPv6過(guò)渡中的安全問(wèn)題分析

在IPv6網(wǎng)絡(luò)逐漸替換IPv4網(wǎng)絡(luò)的過(guò)渡過(guò)程中，隨著過(guò)渡技術(shù)的應(yīng)用及網(wǎng)絡(luò)結(jié)構(gòu)變得越來(lái)越復(fù)雜，在網(wǎng)絡(luò)安全方面產(chǎn)生了越來(lái)越多的不容忽視的問(wèn)題[2]。這些過(guò)渡技術(shù)存在的或帶來(lái)的安全問(wèn)題主要有：

采用翻譯過(guò)渡技術(shù)，有兩個(gè)問(wèn)題需要關(guān)注。其一是網(wǎng)絡(luò)地址翻譯、協(xié)議翻譯網(wǎng)關(guān)聯(lián)合應(yīng)用層網(wǎng)關(guān)對(duì)數(shù)據(jù)報(bào)進(jìn)行翻譯處理時(shí)，會(huì)破壞數(shù)據(jù)報(bào)傳輸中端到端的安全性；其二是網(wǎng)絡(luò)層安全技術(shù)不匹配的問(wèn)題。網(wǎng)絡(luò)層安全協(xié)議的主要作用是對(duì)在網(wǎng)絡(luò)上正常傳送的數(shù)據(jù)進(jìn)行了最大程度的保密和防止更改，而網(wǎng)絡(luò)層協(xié)議-地址翻譯技術(shù)的目的是對(duì)網(wǎng)絡(luò)中傳送的數(shù)據(jù)報(bào)進(jìn)行協(xié)議和地址的變換，這就帶來(lái)了網(wǎng)絡(luò)安全協(xié)議技術(shù)與網(wǎng)絡(luò)層協(xié)議-地址翻譯技術(shù)不匹配的問(wèn)題。

采用隧道過(guò)渡技術(shù)，由于隧道技術(shù)的設(shè)計(jì)中沒(méi)有網(wǎng)絡(luò)安全方面的考慮，以及自身的技術(shù)特點(diǎn)，給網(wǎng)絡(luò)安全帶來(lái)了眾多的問(wèn)題。在一個(gè)已安裝設(shè)置各種安全設(shè)備的網(wǎng)絡(luò)中，當(dāng)加入隧道技術(shù)后，這些安全設(shè)備的功能會(huì)受到隧道的影響。當(dāng)有數(shù)據(jù)報(bào)經(jīng)過(guò)隧道的時(shí)候，隧道不會(huì)對(duì)數(shù)據(jù)報(bào)進(jìn)行安全方面的檢查，惡意的數(shù)據(jù)報(bào)往往可借用隧道來(lái)避開(kāi)網(wǎng)絡(luò)中的安全檢查。

采用雙棧過(guò)渡技術(shù)，就是在一臺(tái)主機(jī)上同時(shí)運(yùn)行兩種版本的網(wǎng)絡(luò)層協(xié)議。這兩種網(wǎng)絡(luò)層協(xié)議在技術(shù)上存在不相關(guān)性，他們之間的協(xié)調(diào)配合的不完善往往會(huì)造成一些安全方面的缺陷，給攻擊者帶來(lái)機(jī)會(huì)。

圖1 協(xié)議解碼流程圖

圖2 IPv6環(huán)境中的NIDS模塊設(shè)計(jì)

相較于前兩種過(guò)渡技術(shù)，雙棧過(guò)渡技術(shù)在安全技術(shù)和可行性方面都相對(duì)來(lái)說(shuō)有優(yōu)勢(shì)，所帶來(lái)的安全隱患也相對(duì)較小。

3.IPv4、IPv6網(wǎng)絡(luò)中入侵檢測(cè)技術(shù)特點(diǎn)

傳統(tǒng)的第一代和第二代IDS通常采用模式匹配技術(shù)，這種技術(shù)是對(duì)所有網(wǎng)絡(luò)數(shù)據(jù)包與攻擊數(shù)據(jù)庫(kù)的攻擊特征進(jìn)行匹配，依次來(lái)判定數(shù)據(jù)包中是否有攻擊存在。目前，入侵檢測(cè)系統(tǒng)采用的典型模式匹配算法有Brute Force、Boyer-Moore、Aho-Corasick、Set-wiseBoyer-Moor-Horspool和Aho-Corasick-Boyer-Moore等算法。

IPv6入侵檢測(cè)技術(shù)，可定義為對(duì)攻擊者使用IPv6網(wǎng)絡(luò)協(xié)議對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過(guò)程。由于IPv6協(xié)議和IPv4不兼容，所以在IPv6下入侵檢測(cè)可能面臨很多新的問(wèn)題。

首先，IPv6相對(duì)IPv4在數(shù)據(jù)報(bào)頭上有了很大的變動(dòng)，所以原來(lái)的入侵檢測(cè)產(chǎn)品在IPv6網(wǎng)絡(luò)上不能直接使用。IPv4下，IP頭部和TCP頭部是緊接在一起的，而且其長(zhǎng)度是固定的，所以入侵檢測(cè)系統(tǒng)很容易找到頭部，并使用相應(yīng)的策略。然而在IPv6下TCP/UDP頭的位置有了根本的變化，它們不再是緊接在一起的，通常中間還隔有其它的擴(kuò)展頭部，如路由選項(xiàng)頭部，AH/ESP頭部等。防火墻必須讀懂整個(gè)數(shù)據(jù)包才能進(jìn)行過(guò)濾，這對(duì)入侵檢測(cè)的處理性能會(huì)有很大的影響。針對(duì)IPv6的Socket套接口函數(shù)已經(jīng)在RFC2133(Basic Socket InterFace Extends for IPv6)中定義，以前的應(yīng)用程序都必須參考該新的API做相應(yīng)的改動(dòng)。

其次，在IPv6如果使用傳輸模式進(jìn)行端到端的加密，則IDS無(wú)法工作，因?yàn)镮DS無(wú)法理解接收到的加密數(shù)據(jù)包。解決方案之一是讓IDS能對(duì)這些數(shù)據(jù)包進(jìn)行解密，但這樣勢(shì)必會(huì)帶來(lái)新的安全問(wèn)題。同時(shí)IPv6的可靠性是否如最初所設(shè)想的那樣，也有待時(shí)間的考驗(yàn)。

3.1 IPv4/IPv6雙棧入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)

實(shí)現(xiàn)IPv4/IPv6雙棧入侵檢測(cè)系統(tǒng)，關(guān)鍵要使現(xiàn)有的協(xié)議解碼模塊具有IPv6協(xié)議解碼功能。協(xié)議解碼分析的類(lèi)型，從第二層來(lái)說(shuō)，主要分析的是以太網(wǎng)。從第三層來(lái)說(shuō)，有IPv4的包類(lèi)型，也有IPv6的包類(lèi)型，還有隧道方式，如IPv6 IN IPv4 TUNNEL和IPv4 IN IPv6 TUNNEL等類(lèi)型的數(shù)據(jù)包。

協(xié)議解碼，就是按照協(xié)議的數(shù)據(jù)結(jié)構(gòu)和屬性對(duì)數(shù)據(jù)包進(jìn)行分析，對(duì)號(hào)入座。圖1是具備IPv6協(xié)議解碼功能的協(xié)議解碼流程圖。

由圖1可知，首先我們從Ethemet上抓包，然后將包解出，在解包的過(guò)程中把相應(yīng)的包信息填充完整，通過(guò)規(guī)則檢測(cè)、輸出等模塊中的分析，判斷出該包是IPv4包還是IPv6包，如類(lèi)型為0x0800就是IPv4數(shù)據(jù)包，0x86DD就是IPv6數(shù)據(jù)包，然后將以太網(wǎng)的源和目的地址存放起來(lái)留作后用，繼續(xù)分析下一層（第三層）的數(shù)據(jù)結(jié)構(gòu)，在這里我們主要分析IPv4和IPv6的包頭結(jié)構(gòu)。

3.2 IPv6環(huán)境中的NIDS模塊設(shè)計(jì)

整個(gè)NIDS系統(tǒng)從邏輯上分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果輸出三部分。符合CIDF的規(guī)范。系統(tǒng)由數(shù)據(jù)包捕獲模塊、協(xié)議解析模塊、規(guī)則處理模塊、分析檢測(cè)模塊、存儲(chǔ)模塊和響應(yīng)模塊6個(gè)模塊組成，體系結(jié)構(gòu)框圖如圖2所示。

3.3 IPv6環(huán)境中的NIDS模塊功能

(1)數(shù)據(jù)包捕獲模塊

該模塊是網(wǎng)絡(luò)人侵檢測(cè)系統(tǒng)的基本組成部分，是實(shí)現(xiàn)整個(gè)入侵檢測(cè)系統(tǒng)的基礎(chǔ)。數(shù)據(jù)包捕獲模塊的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。對(duì)于不同的操作系統(tǒng)，捕獲數(shù)據(jù)包的實(shí)現(xiàn)方式也不同。

(2)協(xié)議解析模塊

協(xié)議解析模塊的主要功能是對(duì)捕獲到的數(shù)據(jù)包進(jìn)行詳細(xì)的協(xié)議分析，對(duì)數(shù)據(jù)報(bào)進(jìn)行逐層剝離．分析各個(gè)協(xié)議的報(bào)頭和數(shù)據(jù)部分，檢測(cè)出每個(gè)數(shù)據(jù)包的類(lèi)型和特征，在此基礎(chǔ)上進(jìn)一步的分析是否有入侵行為發(fā)生。

(3)規(guī)則處理模塊

規(guī)則處理模塊的功能就是把事先定義好的入侵規(guī)則庫(kù)從文件中讀取出來(lái)，進(jìn)行解析，然后讀入內(nèi)存中相應(yīng)的變量之中。規(guī)則庫(kù)是一個(gè)入侵檢測(cè)系統(tǒng)的知識(shí)庫(kù)，它的豐富與否決定了入侵檢測(cè)系統(tǒng)的性能，入侵檢測(cè)庫(kù)越豐富，系統(tǒng)檢測(cè)到的入侵行為就會(huì)越多。

(4)分析檢測(cè)模塊

該模塊主要的功能是根據(jù)入侵規(guī)則庫(kù)進(jìn)行協(xié)議分析，看是否有入侵行為的發(fā)生。入侵檢測(cè)功能就是由此模塊實(shí)現(xiàn)的。入侵檢測(cè)模塊將協(xié)議解析模塊的分析結(jié)果和規(guī)則庫(kù)進(jìn)行匹配，如果兩者匹配成功，就說(shuō)明有入侵行為發(fā)生。

(5)存儲(chǔ)模塊

此模塊的主要功能是存儲(chǔ)網(wǎng)絡(luò)信息。由于網(wǎng)絡(luò)數(shù)據(jù)包很多，所以必須及時(shí)地把它們存儲(chǔ)起來(lái)，供事后分析IP協(xié)議的分布情況，以及某個(gè)IP的活動(dòng)情況等等。這個(gè)模塊中主要考慮的是存貯哪些信息以及存儲(chǔ)的手段。

(6)響應(yīng)模塊

當(dāng)系統(tǒng)檢測(cè)到入侵時(shí)，通過(guò)響應(yīng)模塊來(lái)處理相關(guān)的事情。響應(yīng)模塊可采取多種措施對(duì)檢測(cè)引擎檢測(cè)到的入侵行為進(jìn)行響應(yīng)，如傳送消息給防火墻、截?cái)嗤獠咳肭中袨榈?，也可以只是向管理員進(jìn)行簡(jiǎn)單的報(bào)警，由管理員根據(jù)入侵情況再采取必要的防御措施。

4.結(jié)論

本文從IPv4向IPv6逐步過(guò)渡的角度入手，結(jié)合入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)，通過(guò)安全層面分析目前流行的三種過(guò)渡技術(shù)，從而得出基于IPv4/IPv6網(wǎng)絡(luò)環(huán)境中采用雙棧入侵檢測(cè)系統(tǒng)有較強(qiáng)的優(yōu)勢(shì)和可行性，并對(duì)比了傳統(tǒng)網(wǎng)絡(luò)和IPv6環(huán)境下的入侵檢測(cè)技術(shù)特點(diǎn)，提出了一個(gè)較為合理的IPv4/IPv6雙棧入侵檢測(cè)系統(tǒng)，以及IPv6環(huán)境中的NIDS的模塊框架以供參考。

[1]Rebdcca Gurley Bace.入侵檢測(cè)[M].北京:人民郵電出版社,2001:1-26.

[2]Silvia Hagen.Ipv6精髓.技橋[M].北京:清華大學(xué)出版社,2004:56-80.

[3]肖天慶,任翔.新一代國(guó)際互聯(lián)網(wǎng)協(xié)議IPv6與IPv4的比較研究[J].紅河學(xué)院學(xué)報(bào).,2010,8(2).

[4]蒲寶卿.高校校園網(wǎng)1Pv4向1Pv6過(guò)渡策略的分析與研究[J].甘肅高師學(xué)報(bào),2010,15(2)．

[5]唐正軍.入侵檢測(cè)技術(shù)導(dǎo)輪[M].機(jī)械工業(yè)出版社,2004.

[6]王艷秋,趙昭靈,蘭巨龍.一種基于IPv6的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究,2007,02:142-143.

In this paper，the current status of network security is discussed，followed by analysis of the trend of Internet transition from IPv4 to IPv6 version and its characteristics and defect.Based on comparing the characteristics of network intrusion detection technology for traditional IPv4 and IPv6，this paper cites and analyzes the methods transition technology from IPv4 to IPv6.Finally，an appropriate framework of intrusion detection system for current IPv4/IPv6 environment is proposed.

network security；intrusion detection；IPv6；Intrusion Detection System Framework