網絡安全入侵檢測技術在IPv6中的應用探究

摘 要：作為下一代Internet關鍵核心技術，IPv6技術對整個互聯網的快速穩定發展具有重要作用。本文，首先對互聯網安全系統的基本原理進行了簡單的分析，然后針對IPv6技術的主要特點，分析了網絡安全入侵技術在IPv6中的應用。采用入侵檢測系統構架能夠有效快速的對數據進行連接，于此同時，能夠對通信的實際內容以及含義做準確的判斷。希望本文的提出，能為相關部門提供參考依據。

關鍵詞：網絡安全 入侵檢測技術 IPv6技術 協議分析 研究

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2013）04（a）-0027-01

作為現行版本IPv4的下一代IP協議，IPv6是當今研究的最為廣泛的網絡地址資源之一，和現行IPv4協議相比，IPv6具有更大的地址空間、較小的路由表的優點，除此之外，它增加了組播的支持性能，并在原來基礎上加入了對自動配置功能的支持。IPv6協議通過準確的收集信息、分析信息以及處理信息，從而選定那些違反網絡安全的行為，從而對每個可能危害網絡安全的因素進行控制。起到增加網絡安全系數、鞏固網絡整體性的作用。

目前，我國已經開始了IPv6網絡協議普及工作，在這些網絡類型中，教育網是“首當其沖”的普及對象，因為在我國很多高校中，不太熟悉IPv6網絡協議。就目前來講，在普及過程中，雖然很多問題已經得到了解決，但是在網絡安全問題上仍然存在很多問題。為此，本文的主要目的是在分析IPv6協議以及各種入侵檢測系統的基礎上，試圖找到一種適合IPv6網絡安全的檢測系統總體框架。

1 IPv6網絡協議存在的主要安全問題

在IPv4協議下，所有攻擊網絡安全性的因素中，互聯網蠕蟲互聯網病毒是最讓人頭疼的。但是在IPv6網絡協議下，病毒等傳播方式就不在起作用，這是因為IPv6協議的地址空間非常大，這就使得網絡蠕蟲或網絡病毒想通過地址掃描的方式對其他主機進行攻擊就好比是大海撈針。因此在IPv6協議下，互聯網蠕蟲及病毒傳播開來說是非常難的。但是基于應用層的網絡蠕蟲以及病毒還是會存在的，在電子郵件發送的過程中可能伴隨有病毒的傳播。除此之外，應該特別注意IPv6協議下關鍵主機的安全性問題。例如在IPv6協議的FFO5中，3充當所有的DHCP服務器，也就是說，如果向一個IP地址發布一個IPv6報文，那么這個IPv6報文就有可能傳送到所有的DHCP服務器上，由此便可能出現一些專門攻擊這些服務器的“拒絕服務攻擊”。

2 入侵檢測系統簡介

2.1 入侵檢測系統的分類

入侵檢測系統有著不同的分類標準，如果是按照檢測系統的來源分類，可以講入侵檢測系統分為基于網絡的入侵檢測系統和基于主機的入侵檢測系統。基于主機的入侵檢測系統通過從主機的日志文件或者審計記錄文件中獲取所需要的數據，并通過對這些數據進行分析，最后查找已知或未知的攻擊模式；而基于數據的入侵檢測系統則是利用網絡適配器來進行分析檢查，通過對網絡傳輸過程中可能發生的攻擊行為進行檢測。

如果按照檢測手段對入侵檢測系統進行分類，入侵檢測系統則可以分為基于誤用的入侵檢測系統和基于異常的入侵檢測系統。基于異常的入侵檢測系統是利用統計的理論，然后對正常系統的用戶系統及其行為特征輪廓進行提取，通過運用統計方法對提取的數據進行分析處理，并將這些數據和正常行為的數據進行對比，從而判斷是否發生了入侵行為；基于誤用的入侵檢測系統則是利用現成的數據庫，通過對目前的系統行為進行分析，并將它們同數據庫中的數據進行對比，然后判斷書否發生入侵行為，在該入侵系統中，經常采用的方法有“專家系統”以及基于模型的入侵檢測技術。

2.2 傳統的入侵檢測技術

在第一代IDS和第二代IDS中，使用最多的是模式匹配技術，這種技術的好處是能夠對素有網絡的數據包以及受攻擊的數據特征進行匹配，從而判斷該數據包是否存在攻擊安全隱患。目前，模式匹配技術仍然廣泛的應用到入侵檢測系統中，比較典型的模式匹配技術有：Boyer-Moore算法、Boyer-Moore算法、BruteForce算法以及Aho-Corasick-Boy-er-Moore算法等。

協議分析作為新一代IDS中常使用入侵檢測技術，它主要是利用協議的高度規則性特點，然后對攻擊行為進行快速的探測。這種檢測技術的優點是鞥能夠大量減少計算過程，并不易在分析過程中丟失任何數據。

3 幾種入侵檢測技術在IPv6中的應用

3.1 傳統模式匹配檢測技術

3.1.1 基本方法

（1）對網絡上傳輸的IPv6數據包進行攔截。

（2）采用BM或KMP算法將數據包的開始以及受攻擊的特征字符進行逐一的對比知道數據包的結尾。

（3）尋找出那些可能受到攻擊危害的環節。

（4）將數據庫中所有的特征匹配完，即結束一個數據包的檢測，然后進行下一個數據包的檢測。

3.1.2 存在的問題

需要大量的計算過程，在計算過程中出現漏報、誤報的概率較大。此外，在高負載網絡情況下，很容易出現數據包丟失情況，因此目前很少單獨采用傳統模式匹配入侵檢測技術。

3.2 簡單協議入侵檢測技術

3.2.1 基本方法

（1）將收集的數據進行重組，并詳細解析重組后的數據。

（2）根據現有的IPv6標準以及現行的攻擊特征，構建各種檢測規則。

（3）利用構建的檢測規則對IPv6數據包進行檢測。

（4）依據檢測結果判斷是否發生入侵行為。

3.2.2 優缺點分析

其優點是充分利用了IPv6的層次化、標準化，存在的問題這種入侵檢測技術不能檢測一些復雜的攻擊方式。

3.3 利用決策樹改進的入侵檢測技術

3.3.1 基本方法

（1）根據協議結構構建決策樹。

（2）利用決策樹對IPv6協議進行一層層的檢測。

（3）當檢測到達葉節點后觸發相應的動作。

3.3.2 優缺點分析

改進后的入侵檢測技術提高了西東的穩定性，但是對于協議分析效果并沒有實質性的改進，很難檢測復雜的攻擊行為。

4 結語

本文首先分析了IPv6協議中主要存在的問題，然后對入侵檢測系統做了簡答的介紹，最后探討了幾種網絡安全入侵檢測技術在IPv6中的應用研究。希望本文的提出，能為保證我國網絡安全穩定提供參考依據。

參考文獻

[1]王品，熊建設.入侵檢測技術在IPv6中的應用[J].計算機光盤軟件與應用，2011（21）：46-47.

[2]閭浩.基于IPV6網絡入侵檢測技術的研究[J].福建電腦，2007（3）：38-39.

[3]羅利民.基于IPV6的網絡安全入侵檢測技術研究[J].科技通報，2012，28（24）：114-116.