國防科技大學(xué)網(wǎng)絡(luò)中心 鄧生君 沈 鑫 葉昭輝
一種基于IPv4/IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)的框架設(shè)計
國防科技大學(xué)網(wǎng)絡(luò)中心 鄧生君 沈 鑫 葉昭輝
本文描述了當(dāng)前的網(wǎng)絡(luò)安全現(xiàn)狀,展望了互聯(lián)網(wǎng)向IPv6版本過渡的發(fā)展趨勢并分析了它的特點和缺陷。通過對比傳統(tǒng)的IPv4和IPv6網(wǎng)絡(luò)入侵檢測技術(shù)的特點,列舉了IPv4向IPv6過渡的技術(shù)方法并加以分析,最后給出了一種適應(yīng)于當(dāng)前IPv4/IPv6環(huán)境的入侵檢測系統(tǒng)的框架。
網(wǎng)絡(luò)安全;入侵檢測;IPv6;入侵檢測系統(tǒng)框架
隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)上的惡意攻擊行為日益增多,形形色色的病毒、木馬、蠕蟲層出不窮,對網(wǎng)絡(luò)信息安全構(gòu)成了巨大威脅.為了應(yīng)對越來越嚴(yán)重的網(wǎng)絡(luò)安全問題,對網(wǎng)絡(luò)流進(jìn)行實時分析和檢測就顯得極為必要。入侵檢測系統(tǒng)[1](Intrusion Detection System,IDS)作為一種積極主動、實時動態(tài)的網(wǎng)絡(luò)安全防范技術(shù),越來越受到人們的關(guān)注。它通過收集、分析計算機網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點數(shù)據(jù)以判斷是否有違反安全策略的行為和被攻擊的跡象,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進(jìn)攻識別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,從而提供對內(nèi)外攻擊和誤操作的實時保護(hù)。隨著下一代網(wǎng)絡(luò)中IPV6安全機制的引進(jìn),網(wǎng)絡(luò)層的安全性得到增強。同時,IPV6安全機制的應(yīng)用對傳統(tǒng)入侵檢測系統(tǒng)也提出了新的要求和挑戰(zhàn)。
在IPv6網(wǎng)絡(luò)逐漸替換IPv4網(wǎng)絡(luò)的過渡過程中,隨著過渡技術(shù)的應(yīng)用及網(wǎng)絡(luò)結(jié)構(gòu)變得越來越復(fù)雜,在網(wǎng)絡(luò)安全方面產(chǎn)生了越來越多的不容忽視的問題[2]。這些過渡技術(shù)存在的或帶來的安全問題主要有:
采用翻譯過渡技術(shù),有兩個問題需要關(guān)注。其一是網(wǎng)絡(luò)地址翻譯、協(xié)議翻譯網(wǎng)關(guān)聯(lián)合應(yīng)用層網(wǎng)關(guān)對數(shù)據(jù)報進(jìn)行翻譯處理時,會破壞數(shù)據(jù)報傳輸中端到端的安全性;其二是網(wǎng)絡(luò)層安全技術(shù)不匹配的問題。網(wǎng)絡(luò)層安全協(xié)議的主要作用是對在網(wǎng)絡(luò)上正常傳送的數(shù)據(jù)進(jìn)行了最大程度的保密和防止更改,而網(wǎng)絡(luò)層協(xié)議-地址翻譯技術(shù)的目的是對網(wǎng)絡(luò)中傳送的數(shù)據(jù)報進(jìn)行協(xié)議和地址的變換,這就帶來了網(wǎng)絡(luò)安全協(xié)議技術(shù)與網(wǎng)絡(luò)層協(xié)議-地址翻譯技術(shù)不匹配的問題。
采用隧道過渡技術(shù),由于隧道技術(shù)的設(shè)計中沒有網(wǎng)絡(luò)安全方面的考慮,以及自身的技術(shù)特點,給網(wǎng)絡(luò)安全帶來了眾多的問題。在一個已安裝設(shè)置各種安全設(shè)備的網(wǎng)絡(luò)中,當(dāng)加入隧道技術(shù)后,這些安全設(shè)備的功能會受到隧道的影響。當(dāng)有數(shù)據(jù)報經(jīng)過隧道的時候,隧道不會對數(shù)據(jù)報進(jìn)行安全方面的檢查,惡意的數(shù)據(jù)報往往可借用隧道來避開網(wǎng)絡(luò)中的安全檢查。
采用雙棧過渡技術(shù),就是在一臺主機上同時運行兩種版本的網(wǎng)絡(luò)層協(xié)議。這兩種網(wǎng)絡(luò)層協(xié)議在技術(shù)上存在不相關(guān)性,他們之間的協(xié)調(diào)配合的不完善往往會造成一些安全方面的缺陷,給攻擊者帶來機會。
圖1 協(xié)議解碼流程圖
圖2 IPv6環(huán)境中的NIDS模塊設(shè)計
相較于前兩種過渡技術(shù),雙棧過渡技術(shù)在安全技術(shù)和可行性方面都相對來說有優(yōu)勢,所帶來的安全隱患也相對較小。
傳統(tǒng)的第一代和第二代IDS通常采用模式匹配技術(shù),這種技術(shù)是對所有網(wǎng)絡(luò)數(shù)據(jù)包與攻擊數(shù)據(jù)庫的攻擊特征進(jìn)行匹配,依次來判定數(shù)據(jù)包中是否有攻擊存在。目前,入侵檢測系統(tǒng)采用的典型模式匹配算法有Brute Force、Boyer-Moore、Aho-Corasick、Set-wiseBoyer-Moor-Horspool和Aho-Corasick-Boyer-Moore等算法。
IPv6入侵檢測技術(shù),可定義為對攻擊者使用IPv6網(wǎng)絡(luò)協(xié)議對計算機和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng)的處理過程。由于IPv6協(xié)議和IPv4不兼容,所以在IPv6下入侵檢測可能面臨很多新的問題。
首先,IPv6相對IPv4在數(shù)據(jù)報頭上有了很大的變動,所以原來的入侵檢測產(chǎn)品在IPv6網(wǎng)絡(luò)上不能直接使用。IPv4下,IP頭部和TCP頭部是緊接在一起的,而且其長度是固定的,所以入侵檢測系統(tǒng)很容易找到頭部,并使用相應(yīng)的策略。然而在IPv6下TCP/UDP頭的位置有了根本的變化,它們不再是緊接在一起的,通常中間還隔有其它的擴展頭部,如路由選項頭部,AH/ESP頭部等。防火墻必須讀懂整個數(shù)據(jù)包才能進(jìn)行過濾,這對入侵檢測的處理性能會有很大的影響。針對IPv6的Socket套接口函數(shù)已經(jīng)在RFC2133(Basic Socket InterFace Extends for IPv6)中定義,以前的應(yīng)用程序都必須參考該新的API做相應(yīng)的改動。
其次,在IPv6如果使用傳輸模式進(jìn)行端到端的加密,則IDS無法工作,因為IDS無法理解接收到的加密數(shù)據(jù)包。解決方案之一是讓IDS能對這些數(shù)據(jù)包進(jìn)行解密,但這樣勢必會帶來新的安全問題。同時IPv6的可靠性是否如最初所設(shè)想的那樣,也有待時間的考驗。
實現(xiàn)IPv4/IPv6雙棧入侵檢測系統(tǒng),關(guān)鍵要使現(xiàn)有的協(xié)議解碼模塊具有IPv6協(xié)議解碼功能。協(xié)議解碼分析的類型,從第二層來說,主要分析的是以太網(wǎng)。從第三層來說,有IPv4的包類型,也有IPv6的包類型,還有隧道方式,如IPv6 IN IPv4 TUNNEL和IPv4 IN IPv6 TUNNEL等類型的數(shù)據(jù)包。
協(xié)議解碼,就是按照協(xié)議的數(shù)據(jù)結(jié)構(gòu)和屬性對數(shù)據(jù)包進(jìn)行分析,對號入座。圖1是具備IPv6協(xié)議解碼功能的協(xié)議解碼流程圖。
由圖1可知,首先我們從Ethemet上抓包,然后將包解出,在解包的過程中把相應(yīng)的包信息填充完整,通過規(guī)則檢測、輸出等模塊中的分析,判斷出該包是IPv4包還是IPv6包,如類型為0x0800就是IPv4數(shù)據(jù)包,0x86DD就是IPv6數(shù)據(jù)包,然后將以太網(wǎng)的源和目的地址存放起來留作后用,繼續(xù)分析下一層(第三層)的數(shù)據(jù)結(jié)構(gòu),在這里我們主要分析IPv4和IPv6的包頭結(jié)構(gòu)。
整個NIDS系統(tǒng)從邏輯上分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果輸出三部分。符合CIDF的規(guī)范。系統(tǒng)由數(shù)據(jù)包捕獲模塊、協(xié)議解析模塊、規(guī)則處理模塊、分析檢測模塊、存儲模塊和響應(yīng)模塊6個模塊組成,體系結(jié)構(gòu)框圖如圖2所示。
(1)數(shù)據(jù)包捕獲模塊
該模塊是網(wǎng)絡(luò)人侵檢測系統(tǒng)的基本組成部分,是實現(xiàn)整個入侵檢測系統(tǒng)的基礎(chǔ)。數(shù)據(jù)包捕獲模塊的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。對于不同的操作系統(tǒng),捕獲數(shù)據(jù)包的實現(xiàn)方式也不同。
(2)協(xié)議解析模塊
協(xié)議解析模塊的主要功能是對捕獲到的數(shù)據(jù)包進(jìn)行詳細(xì)的協(xié)議分析,對數(shù)據(jù)報進(jìn)行逐層剝離.分析各個協(xié)議的報頭和數(shù)據(jù)部分,檢測出每個數(shù)據(jù)包的類型和特征,在此基礎(chǔ)上進(jìn)一步的分析是否有入侵行為發(fā)生。
(3)規(guī)則處理模塊
規(guī)則處理模塊的功能就是把事先定義好的入侵規(guī)則庫從文件中讀取出來,進(jìn)行解析,然后讀入內(nèi)存中相應(yīng)的變量之中。規(guī)則庫是一個入侵檢測系統(tǒng)的知識庫,它的豐富與否決定了入侵檢測系統(tǒng)的性能,入侵檢測庫越豐富,系統(tǒng)檢測到的入侵行為就會越多。
(4)分析檢測模塊
該模塊主要的功能是根據(jù)入侵規(guī)則庫進(jìn)行協(xié)議分析,看是否有入侵行為的發(fā)生。入侵檢測功能就是由此模塊實現(xiàn)的。入侵檢測模塊將協(xié)議解析模塊的分析結(jié)果和規(guī)則庫進(jìn)行匹配,如果兩者匹配成功,就說明有入侵行為發(fā)生。
(5)存儲模塊
此模塊的主要功能是存儲網(wǎng)絡(luò)信息。由于網(wǎng)絡(luò)數(shù)據(jù)包很多,所以必須及時地把它們存儲起來,供事后分析IP協(xié)議的分布情況,以及某個IP的活動情況等等。這個模塊中主要考慮的是存貯哪些信息以及存儲的手段。
(6)響應(yīng)模塊
當(dāng)系統(tǒng)檢測到入侵時,通過響應(yīng)模塊來處理相關(guān)的事情。響應(yīng)模塊可采取多種措施對檢測引擎檢測到的入侵行為進(jìn)行響應(yīng),如傳送消息給防火墻、截斷外部入侵行為等,也可以只是向管理員進(jìn)行簡單的報警,由管理員根據(jù)入侵情況再采取必要的防御措施。
本文從IPv4向IPv6逐步過渡的角度入手,結(jié)合入侵檢測系統(tǒng)的發(fā)展趨勢,通過安全層面分析目前流行的三種過渡技術(shù),從而得出基于IPv4/IPv6網(wǎng)絡(luò)環(huán)境中采用雙棧入侵檢測系統(tǒng)有較強的優(yōu)勢和可行性,并對比了傳統(tǒng)網(wǎng)絡(luò)和IPv6環(huán)境下的入侵檢測技術(shù)特點,提出了一個較為合理的IPv4/IPv6雙棧入侵檢測系統(tǒng),以及IPv6環(huán)境中的NIDS的模塊框架以供參考。
[1]Rebdcca Gurley Bace.入侵檢測[M].北京:人民郵電出版社,2001:1-26.
[2]Silvia Hagen.Ipv6精髓.技橋[M].北京:清華大學(xué)出版社,2004:56-80.
[3]肖天慶,任翔.新一代國際互聯(lián)網(wǎng)協(xié)議IPv6與IPv4的比較研究[J].紅河學(xué)院學(xué)報.,2010,8(2).
[4]蒲寶卿.高校校園網(wǎng)1Pv4向1Pv6過渡策略的分析與研究[J].甘肅高師學(xué)報,2010,15(2).
[5]唐正軍.入侵檢測技術(shù)導(dǎo)輪[M].機械工業(yè)出版社,2004.
[6]王艷秋,趙昭靈,蘭巨龍.一種基于IPv6的網(wǎng)絡(luò)入侵檢測系統(tǒng)[J].計算機應(yīng)用研究,2007,02:142-143.
In this paper,the current status of network security is discussed,followed by analysis of the trend of Internet transition from IPv4 to IPv6 version and its characteristics and defect.Based on comparing the characteristics of network intrusion detection technology for traditional IPv4 and IPv6,this paper cites and analyzes the methods transition technology from IPv4 to IPv6.Finally,an appropriate framework of intrusion detection system for current IPv4/IPv6 environment is proposed.
network security;intrusion detection;IPv6;Intrusion Detection System Framework