基于IPv6的動(dòng)態(tài)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)

摘要：隨著互聯(lián)網(wǎng)應(yīng)用的普及，網(wǎng)絡(luò)攻擊行為愈來(lái)愈嚴(yán)重。依據(jù)IPv6協(xié)議的擴(kuò)展頭、包頭結(jié)構(gòu)、地址結(jié)構(gòu)和安全機(jī)制，設(shè)計(jì)了IPv6環(huán)境下的協(xié)議解碼和協(xié)議分析的過(guò)程。提出了一種新的基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)框架。通過(guò)對(duì)協(xié)議解碼和分析，給出了IPv6環(huán)境下基于協(xié)議分析的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)方案。
關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測(cè)；協(xié)議分析；IPv6協(xié)議；模式匹配

0 緒言
    隨著互聯(lián)網(wǎng)的日益開(kāi)放與高速發(fā)展，伴隨著來(lái)自網(wǎng)絡(luò)的攻擊行為也愈來(lái)愈嚴(yán)重，網(wǎng)絡(luò)安全問(wèn)題成為一個(gè)亟待解決的難題。以往都采用靜態(tài)的安全防御體系，如防火墻、身份認(rèn)證及數(shù)據(jù)加密技術(shù)等等，這些技術(shù)能解決一部分安全問(wèn)題，但由于這些技術(shù)自身的缺陷，不能完全解決當(dāng)前網(wǎng)絡(luò)安全問(wèn)題。先進(jìn)的入侵檢測(cè)技術(shù)應(yīng)運(yùn)而生。它首先通過(guò)對(duì)入侵行為的檢測(cè)，收集并分析信息，從而發(fā)現(xiàn)是否有違反安全策略的行為。在下一代IPv6協(xié)議環(huán)境下，著手建立實(shí)時(shí)、高效的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)有著重要的實(shí)際價(jià)值。

1 網(wǎng)絡(luò)安全問(wèn)題與對(duì)策
1．1 網(wǎng)絡(luò)安全面臨的威脅
    目前，網(wǎng)絡(luò)應(yīng)用得到了普及，但是網(wǎng)絡(luò)中的網(wǎng)絡(luò)安全問(wèn)題逐步顯現(xiàn)，會(huì)經(jīng)常干擾網(wǎng)絡(luò)的正常使用。目前來(lái)自網(wǎng)絡(luò)中的威脅主要有系統(tǒng)本身的脆弱性和外來(lái)的攻擊。
    網(wǎng)絡(luò)系統(tǒng)自身脆弱性的威脅包含兩個(gè)方面：信息系統(tǒng)處理環(huán)境上的不安全因素和系統(tǒng)自身存在可入侵性。網(wǎng)絡(luò)來(lái)自外界的威脅有：特洛伊木馬攻擊、端口掃描攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、WEB攻擊、非授權(quán)服務(wù)攻擊、網(wǎng)絡(luò)監(jiān)聽(tīng)攻擊、利用系統(tǒng)漏洞進(jìn)行攻擊等等。
1．2 網(wǎng)絡(luò)安全技術(shù)
    網(wǎng)絡(luò)安全問(wèn)題受到人們的密切關(guān)注，所采用的安全措施也很多。常見(jiàn)的安全措施有：
    存取控制技術(shù)、防火墻技術(shù)、加密技術(shù)、病毒防治技術(shù)、入侵檢測(cè)技術(shù)等。
1．3 網(wǎng)絡(luò)安全模型
    網(wǎng)絡(luò)安全模型(PPDR)是商業(yè)策略模型PDR在網(wǎng)絡(luò)安全模型上的運(yùn)用。PPDR是策略(Policv)、防護(hù)(Protection)、檢測(cè)(Detection)、響應(yīng)(Response)四個(gè)英文單詞的首字母縮寫(xiě)。它是一個(gè)螺旋上升的過(guò)程，經(jīng)過(guò)一個(gè)循環(huán)以后它的防護(hù)水平會(huì)得到全面的提高。它們之間的關(guān)系如圖1所示。

    PPDR模型中，策略是PPDR模型的核心組成部分，是網(wǎng)絡(luò)安全需達(dá)到的目標(biāo)，同時(shí)也是各種措施的集合。
防護(hù)是網(wǎng)絡(luò)安全的首步。它包括安全規(guī)范的制定、安全配置和安傘措施。檢測(cè)是主動(dòng)防御行為。響應(yīng)指在檢測(cè)到攻擊之后，及時(shí)地做出反應(yīng)，使系統(tǒng)恢復(fù)正常運(yùn)行狀態(tài)。
    目前較科學(xué)的防御體系是在遵循PPDR模型的信息網(wǎng)絡(luò)安全體系的前提下，采用主動(dòng)防御與被動(dòng)防御相結(jié)合的方式。

2 基于IPv6的入侵檢測(cè)系統(tǒng)NIDS框架設(shè)計(jì)
2．1 系統(tǒng)功能設(shè)計(jì)
    基于IPv6協(xié)議的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)要對(duì)網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)跟蹤和分析，實(shí)時(shí)地檢測(cè)并分析用戶(hù)在系統(tǒng)中的活動(dòng)狀態(tài)，統(tǒng)計(jì)網(wǎng)絡(luò)流量，拒絕服務(wù)攻擊等異常用戶(hù)行為，同時(shí)還要能對(duì)已知攻擊特征進(jìn)行正確識(shí)別，減少誤報(bào)和漏報(bào)，影響整體性能，并及時(shí)向控制臺(tái)報(bào)警，為有效防御提供依據(jù)，并根據(jù)定制的條件過(guò)濾掉相同的報(bào)警事件，減輕傳輸與響應(yīng)的壓力。此外還要能提供入侵檢測(cè)規(guī)則的升級(jí)處理，實(shí)時(shí)更新入侵檢測(cè)特征庫(kù)，提高入侵檢測(cè)系統(tǒng)的入侵檢測(cè)能力，同時(shí)要制定實(shí)時(shí)響應(yīng)策略，根據(jù)用戶(hù)的規(guī)則定義，經(jīng)過(guò)系統(tǒng)自動(dòng)過(guò)濾，對(duì)警報(bào)事件及時(shí)響應(yīng)。檢測(cè)系統(tǒng)還要能對(duì)未發(fā)現(xiàn)的系統(tǒng)漏洞特征進(jìn)行預(yù)報(bào)警處理。一個(gè)高性能的入侵檢測(cè)系統(tǒng)除了具備以上功能外，具備較高的可管理性和自身安全性也非常重要。
2．2 入侵檢測(cè)系統(tǒng)框架設(shè)計(jì)
    入侵檢測(cè)系統(tǒng)一般會(huì)放在重要的網(wǎng)段內(nèi)，實(shí)時(shí)地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，對(duì)每個(gè)數(shù)據(jù)包都會(huì)進(jìn)行特征分析。若數(shù)據(jù)包與入侵檢測(cè)系統(tǒng)的規(guī)則一致，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)，通知管理員做相應(yīng)的處理。入侵檢測(cè)系統(tǒng)NIDS整體框架流程圖如圖2所示。

    在圖2中我們可以看到，首先是網(wǎng)絡(luò)設(shè)備數(shù)據(jù)包捕獲模塊通過(guò)一定的規(guī)則從網(wǎng)絡(luò)上獲取相關(guān)的數(shù)據(jù)包，這些數(shù)據(jù)包會(huì)按照順序存放在數(shù)據(jù)包隊(duì)列中。在傳輸?shù)倪^(guò)程中會(huì)對(duì)原始數(shù)據(jù)包進(jìn)行重新分組。數(shù)據(jù)包經(jīng)過(guò)以上的一些預(yù)處理后再結(jié)合入侵檢測(cè)系統(tǒng)已設(shè)置的規(guī)則庫(kù)進(jìn)行內(nèi)容分析處理。最終把分析的結(jié)果傳遞給控制臺(tái)事件分析模塊，同時(shí)還會(huì)激發(fā)自動(dòng)響應(yīng)模塊做出對(duì)應(yīng)的相關(guān)響應(yīng)處理。

2．3 入侵檢測(cè)系統(tǒng)流程圖
    入侵檢測(cè)系統(tǒng)由數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果輸出三部分組成。其總體運(yùn)行流程圖如圖3所示。

2．4 部署分布式NIDS
    在整個(gè)網(wǎng)絡(luò)中部署入侵檢測(cè)系統(tǒng)，要在需要檢測(cè)的主機(jī)上配置入侵檢測(cè)系統(tǒng)檢測(cè)器。檢測(cè)器可以放于防火墻之外，也可以放在防火墻之內(nèi)。
    怎么放置檢測(cè)卡，要看我們的側(cè)重點(diǎn)在哪里。如果放在防火墻之外，可以清楚掌握站點(diǎn)和防火墻的非法攻擊；放在防火墻之內(nèi)，可以通過(guò)設(shè)置良好的防火墻，使得檢測(cè)器不用將大部分的注意力分散在這類(lèi)攻擊上。當(dāng)放在防火墻內(nèi)部會(huì)比外部脆弱一些。
    如果有需要，我們可以將檢測(cè)器同時(shí)放置在防火墻的內(nèi)部和外部。

3 基于IPv6的NIDS模塊設(shè)計(jì)與實(shí)現(xiàn)
    基于IPv6的入侵檢測(cè)系統(tǒng)從邏輯上可分為數(shù)據(jù)采集、數(shù)據(jù)分析和結(jié)果輸出三部分，符合CIDF的規(guī)范。系統(tǒng)由數(shù)據(jù)包捕獲模塊、協(xié)議解析模塊、規(guī)則處理模塊、分析檢測(cè)模塊、存儲(chǔ)模塊和響應(yīng)模塊六個(gè)模塊組成，體系結(jié)構(gòu)框架如圖4所示。

    (1)數(shù)據(jù)包捕獲模塊。數(shù)據(jù)包捕獲是入侵檢測(cè)的基礎(chǔ)，數(shù)據(jù)捕獲的準(zhǔn)確性、可靠性和效率決定了整個(gè)入侵檢測(cè)系統(tǒng)的性能。它的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。我們的設(shè)計(jì)是采用在Linux操作系統(tǒng)中使用系統(tǒng)底層調(diào)用來(lái)實(shí)現(xiàn)數(shù)據(jù)包的捕獲。我們?yōu)榱颂岣邤?shù)據(jù)包的捕獲性能，系統(tǒng)中采用的是在Linux下非常流行的BPF捕獲機(jī)制。它的優(yōu)點(diǎn)是不需要再用底層的調(diào)用來(lái)編寫(xiě)代碼，封裝了底層調(diào)用并作了優(yōu)化處理。
    (2)協(xié)議解析模塊。協(xié)議解析模塊是入侵檢測(cè)系統(tǒng)的基礎(chǔ)，它對(duì)捕獲到的數(shù)據(jù)包進(jìn)行詳細(xì)的協(xié)議分析，檢測(cè)出每個(gè)數(shù)據(jù)包的類(lèi)型和特征。此模塊的設(shè)計(jì)功能是否齊全和合理，會(huì)直接影響到入侵檢測(cè)系統(tǒng)的性能。
    (3)規(guī)則處理模塊。規(guī)則庫(kù)是一個(gè)入侵檢測(cè)系統(tǒng)的知識(shí)庫(kù)，它的成功與否會(huì)直接決定入侵檢測(cè)系統(tǒng)的綜合性能，當(dāng)入侵檢測(cè)庫(kù)越豐富的時(shí)候，系統(tǒng)能檢測(cè)到的入侵行為就會(huì)越多，系統(tǒng)才會(huì)更安全。
    (4)分析檢測(cè)模塊。分析檢測(cè)模塊完成的是一個(gè)匹配性工作。協(xié)議解析模塊對(duì)捕獲的數(shù)據(jù)包進(jìn)行分析，規(guī)則處理模塊建立了入侵規(guī)則庫(kù)，而入侵檢測(cè)模塊需要做的就是完成對(duì)這兩部分的匹配工作。當(dāng)匹配成功，就說(shuō)明有入侵行為發(fā)生。此外，該模塊除了使用入侵規(guī)則庫(kù)來(lái)檢測(cè)入侵之外，還有異常檢測(cè)功能，比方說(shuō)對(duì)掃描入侵行為的檢測(cè)就使用了異常檢測(cè)技術(shù)。我們采用的是基于協(xié)議分析匹配技術(shù)。
    (5)存儲(chǔ)模塊。存儲(chǔ)模塊的主要功能是存儲(chǔ)網(wǎng)絡(luò)相關(guān)信息，健全日志，以方便事后分析和處理。例如分析IP協(xié)議的分布情況，分析某個(gè)IP的活動(dòng)情況，等等。我們采用的是使用MySQL數(shù)據(jù)庫(kù)存儲(chǔ)的。
    (6)響應(yīng)模塊。當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵時(shí)，會(huì)通過(guò)響應(yīng)模塊來(lái)處理相關(guān)的事務(wù)。響應(yīng)模塊可以采取各種措施對(duì)檢測(cè)引擎檢測(cè)到的入侵行為進(jìn)行相應(yīng)的響應(yīng)，常見(jiàn)的有傳送消息給防火墻、截?cái)嗤獠咳肭中袨榈?，也可以只向網(wǎng)絡(luò)管理員進(jìn)行報(bào)警，由網(wǎng)絡(luò)管理員根據(jù)入侵情況再?zèng)Q定采取相應(yīng)的防御措施。

4 結(jié)論
    目前采用的網(wǎng)絡(luò)安全防御體系由于自身存在著缺陷和不足，使得網(wǎng)絡(luò)安全問(wèn)題一直困擾著我們的工作。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)通過(guò)改變以往的被動(dòng)防御方式，能夠主動(dòng)地跟蹤入侵行為，并及時(shí)做出相應(yīng)的響應(yīng)。使得網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)成為了防火墻之后最有力的安全防線。正是這些優(yōu)點(diǎn)使得網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)成為了當(dāng)前網(wǎng)絡(luò)安全方面研究的熱點(diǎn)。同時(shí)隨著IPv6的應(yīng)用和普及，原有的網(wǎng)絡(luò)將面臨全新的挑戰(zhàn)，當(dāng)然也包括對(duì)網(wǎng)絡(luò)安全體系的挑戰(zhàn)。本文提出的就是在IPv6協(xié)議下構(gòu)建全新的網(wǎng)絡(luò)入侵檢測(cè)防御體系。