基於IPv6網絡安全的管理系統設計論文

0引言

當前資訊技術快速發展，網絡惡意攻擊行爲更爲頻繁，攻擊形式也日趨多樣化，如病毒、木馬、蠕蟲等，網絡安全問題更加突出，互聯網正面臨着新的安全形勢。實踐證明，實時分析並檢測網絡流是加強網絡安全的有效方法。入侵檢測系統（IDS）正是在這個背景下應運而生的。其可以對網絡環境狀況進行積極主動、實時動態的檢測，作爲一種新型網絡安全防範技術，在保障網絡安全方面發揮着重要的作用。入侵檢測系統主要透過判斷網絡系統中關鍵點是否正常運轉以實現對網絡環境的檢測，其不但能夠有效地打擊網絡攻擊，還能夠保證資訊安全基礎結構完整，實施保護互聯網的安全。目前網絡安全機制正在從IPV4向IPV6過渡，網絡的安全性也在不斷增強，深入分析IPV6安全機制具有重要意義。

1IPv4向IPv6過渡中存在的問題

IPv6安全機制是IPv4安全機制的強化，與IPv4相比，IPv6安全機制的網絡結構更爲複雜，應用範圍更爲廣闊，但是IPv4向IPv6的過渡不是一蹴而就的，在這個過渡過程中會出現一些嚴重的問題，這就要求我們必須充分認識IPv4向IPv6過渡中的問題，儘量減小對網絡安全的不良影響。

1.1翻譯過渡技術

採用翻譯過渡技術，必須關注翻譯對數據包傳輸終端的破壞情況與網絡層安全技術不匹配這兩個問題。保護網絡正常數據傳送是網絡層安全協議的主要職能，網絡層協議中的地址翻譯技術主要用於變更傳送數據的協議與地址，這就容易使網絡層協儀的地址翻譯與網絡安全協議出現衝突，使網絡環境的安全面臨威脅。

1.2隧道過渡技術

隧道過渡技術並不重視網絡安全，其自身特點也使網絡易遭受攻擊，安裝安全設備的網絡應用隧道技術後，會影響原有的安全設備運作，並且在數據經過隧道時，隧道也不會檢查數據，這就給惡意的數據提供了進入正常網絡的機會，嚴重威脅網絡安全。

1.3雙棧過渡技術

雙棧過渡技術是網絡層協議的一種，兩個網絡層協議在一臺主機上同時執行是其特點。但是同時執行的兩個網絡層協議在技術上並無聯繫，而且容易出現運作不協調的問題，導致網絡安全存在漏洞，易被攻擊者利用。但是與翻譯過渡技術和隧道過渡技術比較，雙棧過渡技術的安全性能要優於上邊的兩種技術，網絡安全性相對較高，有其自身優勢。

2IPv6的特點

IPv6是一種新型互聯網協議，是IPv4互聯網協議的革新。IPv6可以有效解決IPv4中存在的漏洞與缺陷，其改進方面主要體現在地址空間、IPSec協議、數據報頭結構、服務質量（QoS）方面。其中數據報頭結構和IPSec協議是影響入侵檢測系統的主要方面。

2.1數據報頭結構的更新

與IPv4數據報頭結構相比，IPv6簡化了IPv4的數據報頭結構，IPv6的40節數據報頭結構極大的提高了數據處理效率。此外，IPv6還增加了選項報頭、分段報頭、認證報頭等多個擴展報頭，入侵檢測系統必須首先解析IPv6報頭才能進行協議分析。

2.2IPSec協議

與IPv4相比，IPv6中還應用了IPSec協議，其可以有效實現網絡層端到端的安全服務，並且IPSec協議中的兩個安全封裝載荷和認證頭協議可以自由組合。IPSec協議實質上是對IPv6傳輸數據包的加密，這有利於提高數據傳輸過程的安全性，但是由於其對IPv6的報頭也進行封裝，入侵檢測系統在進行檢測時必須瞭解IPv6報頭的源地址和目的地址，否則難以進行檢測行爲，這嚴重影響了入侵檢測系統的正常執行。

3IPv4、IPv6入侵檢測技術特點

以往技術多采用模式匹配技術，針對數據包和攻擊數據庫進行匹配對應是該模式的典型特點，這種模式特點是以數據庫對應的情況來依次判斷是否存在網絡攻擊。而現在，檢測系統入侵的技術手段爲BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定義爲識別並處理那些以IPv6網絡協議惡意使用網絡資源的攻擊者的技術，爲IPv6入侵檢測技術。IPv6與IPv4有很大的區別，兩者在程序上不相容，因此在這種情況下入侵技術的'檢測變得問題繁多。首先，兩種協議在數據報頭上變動明顯，以往在IPv4上能用的檢測產品在IPv6上無法直接使用。在使用IPv4協議的情況下，TCP頭部緊緊連接着IP頭部，不僅如此，他們的長度還是確定不變的。這樣的連接模式和設定使得檢測工作的開展變得更加簡便。然而，另一種協議方式即IPv6卻與此有很大的不同，它的這兩個頭部並不緊接，長度也不固定，在其中間還往往會有別的擴展頭部等。經常見到的有路由選項頭部等。儘管該協議下，數據包對應顯得很複雜，若是防火牆沒有完全讀懂數據包則會發生不能過濾的情況，這在某些時候使得入侵的檢測工作變得更加複雜。科研攻關人員目前已經針對IPv6協議下的接口函數做出了相應的科學的新改動。其次，在進行端到端的傳輸工作時，若爲IPv6則IDS會由於無法解密而直接導致解讀不了數據，此時的IDS不能有效的繼續工作。雖然採取IDS數據包解密能夠較爲有效的解決這一問題，但這種解密情況下的安全又成了新的問題，對其是否可靠，時間會給予準確的答案。

3.1雙棧入侵檢測系統的實現

IPv6協議解碼功能是實現雙棧入侵檢測的關鍵性因素。協議解碼分析通常分爲第二層、第三層。第二層主要是以太網，然而第三層的則大爲不同，它不僅包含IPv4包類型，還同時兼有IPv6包類型，甚至還具有隧道方式。協議解碼在數據結構、屬性的基礎上，注重數據包對號入座，一一對應。IPv6協議解碼功能如圖1所示。進行協議解碼的首要步驟是抓包並解包，並且在解包時完善對應資訊包。分析各個模組，以此判斷是何種包，區分數據包是屬於IPv4還是屬於IPv6是至關重要的。在此之後，存檔以太網的源地址和目的地址，並在接下來的工作中進行下一層解析，在第三層數據解析時包頭結構是着重分析的對象。

3.2在IPv6環境中的NIDS模組設計

數據採集、分析，然後是結果輸出，這三個方面組成了整個NIDS系統。對科學要求的CIDF規範完全符合。這個系統由數據包捕獲的各種模組結合而成。

3.3NIDS模組功能

（1）數據包捕獲模組數據包捕獲模組在整個系統中居於關鍵地位，它是系統的基礎，也是其重要組成部分。該模組的具體作用在於從以太網上獲取數據包，根據實際情況和不同的系統，有相對性的捕獲，相比之下，捕獲方式會根據具體情況而有所不同。（2）協議解析模組協議解析是該模組的核心作用，該模組對數據層層分析最終得到解析目的，在此基礎上分析是否有入侵情況以便進行制止防禦。（3）規則處理模組提前制定的入侵規則存入庫中，它的多少直接影響着整個入侵系統的性能。規則設定的越多越完善，對於入侵行爲的檢測就越精準。（4）分析檢測模組查證是否有入侵行爲發生是該模組兒的重要作用，該模組和規則庫若匹配成功則證明系統正在遭受入侵。（5）存儲模組存儲資訊和數據包是該模組的具體功能。有效儲存資訊對於系統對入侵行爲的分析具有極強的幫助作用，儲存的數據可供事後分析等。（6）響應模組響應模組是入侵行爲的響應處理，它的響應能使防火牆及時對入侵行爲進行制止和防禦，是系統防禦不可或缺的盾牌。

引用：

[1]鄧生君，沈鑫，葉昭輝.一種基於IPv4/IPv6網絡入侵檢測系統的框架設計[J].電子世界，2012.

[2]肖長水，謝曉堯.基於IPv6的網絡入侵檢測系統的設計與實現[J].計算機工程與設計，2007.