基于IPv6的动态网络入侵检测系统的研究与设计

摘要：随着互联网应用的普及，网络攻击行为愈来愈严重。依据IPv6协议的扩展头、包头结构、地址结构和安全机制，设计了IPv6环境下的协议解码和协议分析的过程。提出了一种新的基于协议分析的网络入侵检测系统框架。通过对协议解码和分析，给出了IPv6环境下基于协议分析的网络入侵检测系统的设计方案。
关键词：网络安全；入侵检测；协议分析；IPv6协议；模式匹配

0 绪言
随着互联网的日益开放与高速发展，伴随着来自网络的攻击行为也愈来愈严重，网络安全问题成为一个亟待解决的难题。以往都采用静态的安全防御体系，如防火墙、身份认证及数据加密技术等等，这些技术能解决一部分安全问题，但由于这些技术自身的缺陷，不能完全解决当前网络安全问题。先进的入侵检测技术应运而生。它首先通过对入侵行为的检测，收集并分析信息，从而发现是否有违反安全策略的行为。在下一代IPv6协议环境下，着手建立实时、高效的网络入侵检测系统有着重要的实际价值。

1 网络安全问题与对策
1．1 网络安全面临的威胁
目前，网络应用得到了普及，但是网络中的网络安全问题逐步显现，会经常干扰网络的正常使用。目前来自网络中的威胁主要有系统本身的脆弱性和外来的攻击。
网络系统自身脆弱性的威胁包含两个方面：信息系统处理环境上的不安全因素和系统自身存在可入侵性。网络来自外界的威胁有：特洛伊木马攻击、端口扫描攻击、拒绝服务攻击、缓冲区溢出攻击、WEB攻击、非授权服务攻击、网络监听攻击、利用系统漏洞进行攻击等等。
1．2 网络安全技术
网络安全问题受到人们的密切关注，所采用的安全措施也很多。常见的安全措施有：
存取控制技术、防火墙技术、加密技术、病毒防治技术、入侵检测技术等。
1．3 网络安全模型
网络安全模型(PPDR)是商业策略模型PDR在网络安全模型上的运用。PPDR是策略(Policv)、防护(Protection)、检测(Detection)、响应(Response)四个英文单词的首字母缩写。它是一个螺旋上升的过程，经过一个循环以后它的防护水平会得到全面的提高。它们之间的关系如图1所示。

PPDR模型中，策略是PPDR模型的核心组成部分，是网络安全需达到的目标，同时也是各种措施的集合。
防护是网络安全的首步。它包括安全规范的制定、安全配置和安伞措施。检测是主动防御行为。响应指在检测到攻击之后，及时地做出反应，使系统恢复正常运行状态。
目前较科学的防御体系是在遵循PPDR模型的信息网络安全体系的前提下，采用主动防御与被动防御相结合的方式。

2基于IPv6的入侵检测系统NIDS框架设计
2．1 系统功能设计
基于IPv6协议的网络入侵检测系统要对网络流量进行实时跟踪和分析，实时地检测并分析用户在系统中的活动状态，统计网络流量，拒绝服务攻击等异常用户行为，同时还要能对已知攻击特征进行正确识别，减少误报和漏报，影响整体性能，并及时向控制台报警，为有效防御提供依据，并根据定制的条件过滤掉相同的报警事件，减轻传输与响应的压力。此外还要能提供入侵检测规则的升级处理，实时更新入侵检测特征库，提高入侵检测系统的入侵检测能力，同时要制定实时响应策略，根据用户的规则定义，经过系统自动过滤，对警报事件及时响应。检测系统还要能对未发现的系统漏洞特征进行预报警处理。一个高性能的入侵检测系统除了具备以上功能外，具备较高的可管理性和自身安全性也非常重要。