摘 要：作為下一代Internet關(guān)鍵核心技術(shù)，IPv6技術(shù)對(duì)整個(gè)互聯(lián)網(wǎng)的快速穩(wěn)定發(fā)展具有重要作用。本文，首先對(duì)互聯(lián)網(wǎng)安全系統(tǒng)的基本原理進(jìn)行了簡(jiǎn)單的分析，然后針對(duì)IPv6技術(shù)的主要特點(diǎn)，分析了網(wǎng)絡(luò)安全入侵技術(shù)在IPv6中的應(yīng)用。采用入侵檢測(cè)系統(tǒng)構(gòu)架能夠有效快速的對(duì)數(shù)據(jù)進(jìn)行連接，于此同時(shí)，能夠?qū)νㄐ诺膶?shí)際內(nèi)容以及含義做準(zhǔn)確的判斷。希望本文的提出，能為相關(guān)部門提供參考依據(jù)。

關(guān)鍵詞：網(wǎng)絡(luò)安全 入侵檢測(cè)技術(shù) IPv6技術(shù) 協(xié)議分析 研究

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2013）04（a）-0027-01

作為現(xiàn)行版本IPv4的下一代IP協(xié)議，IPv6是當(dāng)今研究的最為廣泛的網(wǎng)絡(luò)地址資源之一，和現(xiàn)行IPv4協(xié)議相比，IPv6具有更大的地址空間、較小的路由表的優(yōu)點(diǎn)，除此之外，它增加了組播的支持性能，并在原來基礎(chǔ)上加入了對(duì)自動(dòng)配置功能的支持。IPv6協(xié)議通過準(zhǔn)確的收集信息、分析信息以及處理信息，從而選定那些違反網(wǎng)絡(luò)安全的行為，從而對(duì)每個(gè)可能危害網(wǎng)絡(luò)安全的因素進(jìn)行控制。起到增加網(wǎng)絡(luò)安全系數(shù)、鞏固網(wǎng)絡(luò)整體性的作用。

目前，我國(guó)已經(jīng)開始了IPv6網(wǎng)絡(luò)協(xié)議普及工作，在這些網(wǎng)絡(luò)類型中，教育網(wǎng)是“首當(dāng)其沖”的普及對(duì)象，因?yàn)樵谖覈?guó)很多高校中，不太熟悉IPv6網(wǎng)絡(luò)協(xié)議。就目前來講，在普及過程中，雖然很多問題已經(jīng)得到了解決，但是在網(wǎng)絡(luò)安全問題上仍然存在很多問題。為此，本文的主要目的是在分析IPv6協(xié)議以及各種入侵檢測(cè)系統(tǒng)的基礎(chǔ)上，試圖找到一種適合IPv6網(wǎng)絡(luò)安全的檢測(cè)系統(tǒng)總體框架。

1 IPv6網(wǎng)絡(luò)協(xié)議存在的主要安全問題

在IPv4協(xié)議下，所有攻擊網(wǎng)絡(luò)安全性的因素中，互聯(lián)網(wǎng)蠕蟲互聯(lián)網(wǎng)病毒是最讓人頭疼的。但是在IPv6網(wǎng)絡(luò)協(xié)議下，病毒等傳播方式就不在起作用，這是因?yàn)镮Pv6協(xié)議的地址空間非常大，這就使得網(wǎng)絡(luò)蠕蟲或網(wǎng)絡(luò)病毒想通過地址掃描的方式對(duì)其他主機(jī)進(jìn)行攻擊就好比是大海撈針。因此在IPv6協(xié)議下，互聯(lián)網(wǎng)蠕蟲及病毒傳播開來說是非常難的。但是基于應(yīng)用層的網(wǎng)絡(luò)蠕蟲以及病毒還是會(huì)存在的，在電子郵件發(fā)送的過程中可能伴隨有病毒的傳播。除此之外，應(yīng)該特別注意IPv6協(xié)議下關(guān)鍵主機(jī)的安全性問題。例如在IPv6協(xié)議的FFO5中，3充當(dāng)所有的DHCP服務(wù)器，也就是說，如果向一個(gè)IP地址發(fā)布一個(gè)IPv6報(bào)文，那么這個(gè)IPv6報(bào)文就有可能傳送到所有的DHCP服務(wù)器上，由此便可能出現(xiàn)一些專門攻擊這些服務(wù)器的“拒絕服務(wù)攻擊”。

2 入侵檢測(cè)系統(tǒng)簡(jiǎn)介

2.1 入侵檢測(cè)系統(tǒng)的分類

入侵檢測(cè)系統(tǒng)有著不同的分類標(biāo)準(zhǔn)，如果是按照檢測(cè)系統(tǒng)的來源分類，可以講入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和基于主機(jī)的入侵檢測(cè)系統(tǒng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)通過從主機(jī)的日志文件或者審計(jì)記錄文件中獲取所需要的數(shù)據(jù)，并通過對(duì)這些數(shù)據(jù)進(jìn)行分析，最后查找已知或未知的攻擊模式；而基于數(shù)據(jù)的入侵檢測(cè)系統(tǒng)則是利用網(wǎng)絡(luò)適配器來進(jìn)行分析檢查，通過對(duì)網(wǎng)絡(luò)傳輸過程中可能發(fā)生的攻擊行為進(jìn)行檢測(cè)。

如果按照檢測(cè)手段對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行分類，入侵檢測(cè)系統(tǒng)則可以分為基于誤用的入侵檢測(cè)系統(tǒng)和基于異常的入侵檢測(cè)系統(tǒng)?；诋惓５娜肭謾z測(cè)系統(tǒng)是利用統(tǒng)計(jì)的理論，然后對(duì)正常系統(tǒng)的用戶系統(tǒng)及其行為特征輪廓進(jìn)行提取，通過運(yùn)用統(tǒng)計(jì)方法對(duì)提取的數(shù)據(jù)進(jìn)行分析處理，并將這些數(shù)據(jù)和正常行為的數(shù)據(jù)進(jìn)行對(duì)比，從而判斷是否發(fā)生了入侵行為；基于誤用的入侵檢測(cè)系統(tǒng)則是利用現(xiàn)成的數(shù)據(jù)庫(kù)，通過對(duì)目前的系統(tǒng)行為進(jìn)行分析，并將它們同數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行對(duì)比，然后判斷書否發(fā)生入侵行為，在該入侵系統(tǒng)中，經(jīng)常采用的方法有“專家系統(tǒng)”以及基于模型的入侵檢測(cè)技術(shù)。

2.2 傳統(tǒng)的入侵檢測(cè)技術(shù)

在第一代IDS和第二代IDS中，使用最多的是模式匹配技術(shù)，這種技術(shù)的好處是能夠?qū)λ赜芯W(wǎng)絡(luò)的數(shù)據(jù)包以及受攻擊的數(shù)據(jù)特征進(jìn)行匹配，從而判斷該數(shù)據(jù)包是否存在攻擊安全隱患。目前，模式匹配技術(shù)仍然廣泛的應(yīng)用到入侵檢測(cè)系統(tǒng)中，比較典型的模式匹配技術(shù)有：Boyer-Moore算法、Boyer-Moore算法、BruteForce算法以及Aho-Corasick-Boy-er-Moore算法等。

協(xié)議分析作為新一代IDS中常使用入侵檢測(cè)技術(shù)，它主要是利用協(xié)議的高度規(guī)則性特點(diǎn)，然后對(duì)攻擊行為進(jìn)行快速的探測(cè)。這種檢測(cè)技術(shù)的優(yōu)點(diǎn)是鞥能夠大量減少計(jì)算過程，并不易在分析過程中丟失任何數(shù)據(jù)。

3 幾種入侵檢測(cè)技術(shù)在IPv6中的應(yīng)用

3.1 傳統(tǒng)模式匹配檢測(cè)技術(shù)

3.1.1 基本方法

（1）對(duì)網(wǎng)絡(luò)上傳輸?shù)腎Pv6數(shù)據(jù)包進(jìn)行攔截。

（2）采用BM或KMP算法將數(shù)據(jù)包的開始以及受攻擊的特征字符進(jìn)行逐一的對(duì)比知道數(shù)據(jù)包的結(jié)尾。

（3）尋找出那些可能受到攻擊危害的環(huán)節(jié)。

（4）將數(shù)據(jù)庫(kù)中所有的特征匹配完，即結(jié)束一個(gè)數(shù)據(jù)包的檢測(cè)，然后進(jìn)行下一個(gè)數(shù)據(jù)包的檢測(cè)。

3.1.2 存在的問題

需要大量的計(jì)算過程，在計(jì)算過程中出現(xiàn)漏報(bào)、誤報(bào)的概率較大。此外，在高負(fù)載網(wǎng)絡(luò)情況下，很容易出現(xiàn)數(shù)據(jù)包丟失情況，因此目前很少單獨(dú)采用傳統(tǒng)模式匹配入侵檢測(cè)技術(shù)。

3.2 簡(jiǎn)單協(xié)議入侵檢測(cè)技術(shù)

3.2.1 基本方法

（1）將收集的數(shù)據(jù)進(jìn)行重組，并詳細(xì)解析重組后的數(shù)據(jù)。

（2）根據(jù)現(xiàn)有的IPv6標(biāo)準(zhǔn)以及現(xiàn)行的攻擊特征，構(gòu)建各種檢測(cè)規(guī)則。

（3）利用構(gòu)建的檢測(cè)規(guī)則對(duì)IPv6數(shù)據(jù)包進(jìn)行檢測(cè)。

（4）依據(jù)檢測(cè)結(jié)果判斷是否發(fā)生入侵行為。

3.2.2 優(yōu)缺點(diǎn)分析

其優(yōu)點(diǎn)是充分利用了IPv6的層次化、標(biāo)準(zhǔn)化，存在的問題這種入侵檢測(cè)技術(shù)不能檢測(cè)一些復(fù)雜的攻擊方式。

3.3 利用決策樹改進(jìn)的入侵檢測(cè)技術(shù)

3.3.1 基本方法

（1）根據(jù)協(xié)議結(jié)構(gòu)構(gòu)建決策樹。

（2）利用決策樹對(duì)IPv6協(xié)議進(jìn)行一層層的檢測(cè)。

（3）當(dāng)檢測(cè)到達(dá)葉節(jié)點(diǎn)后觸發(fā)相應(yīng)的動(dòng)作。

3.3.2 優(yōu)缺點(diǎn)分析

改進(jìn)后的入侵檢測(cè)技術(shù)提高了西東的穩(wěn)定性，但是對(duì)于協(xié)議分析效果并沒有實(shí)質(zhì)性的改進(jìn)，很難檢測(cè)復(fù)雜的攻擊行為。

4 結(jié)語(yǔ)

本文首先分析了IPv6協(xié)議中主要存在的問題，然后對(duì)入侵檢測(cè)系統(tǒng)做了簡(jiǎn)答的介紹，最后探討了幾種網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)在IPv6中的應(yīng)用研究。希望本文的提出，能為保證我國(guó)網(wǎng)絡(luò)安全穩(wěn)定提供參考依據(jù)。

參考文獻(xiàn)

[1]王品，熊建設(shè).入侵檢測(cè)技術(shù)在IPv6中的應(yīng)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2011（21）：46-47.

[2]閭浩.基于IPV6網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的研究[J].福建電腦，2007（3）：38-39.

[3]羅利民.基于IPV6的網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)研究[J].科技通報(bào)，2012，28（24）：114-116.