网络安全入侵检测技术在IPv6中的应用探究

网络安全入侵检测技术在IPv6中的应用探究

作者：李卫升

来源：《科技资讯》2013年第10期

摘 要：作为下一代Internet关键核心技术，IPv6技术对整个互联网的快速稳定发展具有重要作用。本文，首先对互联网安全系统的基本原理进行了简单的分析，然后针对IPv6技术的主要特点，分析了网络安全入侵技术在IPv6中的应用。采用入侵检测系统构架能够有效快速的对数据进行连接，于此同时，能够对通信的实际内容以及含义做准确的判断。希望本文的提出，能为相关部门提供参考依据。

关键词：网络安全 入侵检测技术 IPv6技术 协议分析 研究

中图分类号：TP393 文献标识码：A 文章编号：1672-3791（2013）04（a）-0027-01 作为现行版本IPv4的下一代IP协议，IPv6是当今研究的最为广泛的网络地址资源之一，和现行IPv4协议相比，IPv6具有更大的地址空间、较小的路由表的优点，除此之外，它增加了组播的支持性能，并在原来基础上加入了对自动配置功能的支持。IPv6协议通过准确的收集信息、分析信息以及处理信息，从而选定那些违反网络安全的行为，从而对每个可能危害网络安全的因素进行控制。起到增加网络安全系数、巩固网络整体性的作用。

目前，我国已经开始了IPv6网络协议普及工作，在这些网络类型中，教育网是“首当其冲”的普及对象，因为在我国很多高校中，不太熟悉IPv6网络协议。就目前来讲，在普及过程中，虽然很多问题已经得到了解决，但是在网络安全问题上仍然存在很多问题。为此，本文的主要目的是在分析IPv6协议以及各种入侵检测系统的基础上，试图找到一种适合IPv6网络安全的检测系统总体框架。

1 IPv6网络协议存在的主要安全问题

在IPv4协议下，所有攻击网络安全性的因素中，互联网蠕虫互联网病毒是最让人头疼的。但是在IPv6网络协议下，病毒等传播方式就不在起作用，这是因为IPv6协议的地址空间非常大，这就使得网络蠕虫或网络病毒想通过地址扫描的方式对其他主机进行攻击就好比是大海捞针。因此在IPv6协议下，互联网蠕虫及病毒传播开来说是非常难的。但是基于应用层的网络蠕虫以及病毒还是会存在的，在电子邮件发送的过程中可能伴随有病毒的传播。除此之外，应该特别注意IPv6协议下关键主机的安全性问题。例如在IPv6协议的FFO5中，3充当所有的DHCP服务器，也就是说，如果向一个IP地址发布一个IPv6报文，那么这个IPv6报文就有可能传送到所有的DHCP服务器上，由此便可能出现一些专门攻击这些服务器的“拒绝服务攻击”。

龙源期刊网 http://www.qikan.com.cn

2 入侵检测系统简介 2.1 入侵检测系统的分类

入侵检测系统有着不同的分类标准，如果是按照检测系统的来源分类，可以讲入侵检测系统分为基于网络的入侵检测系统和基于主机的入侵检测系统。基于主机的入侵检测系统通过从主机的日志文件或者审计记录文件中获取所需要的数据，并通过对这些数据进行分析，最后查找已知或未知的攻击模式；而基于数据的入侵检测系统则是利用网络适配器来进行分析检查，通过对网络传输过程中可能发生的攻击行为进行检测。

如果按照检测手段对入侵检测系统进行分类，入侵检测系统则可以分为基于误用的入侵检测系统和基于异常的入侵检测系统。基于异常的入侵检测系统是利用统计的理论，然后对正常系统的用户系统及其行为特征轮廓进行提取，通过运用统计方法对提取的数据进行分析处理，并将这些数据和正常行为的数据进行对比，从而判断是否发生了入侵行为；基于误用的入侵检测系统则是利用现成的数据库，通过对目前的系统行为进行分析，并将它们同数据库中的数据进行对比，然后判断书否发生入侵行为，在该入侵系统中，经常采用的方法有“专家系统”以及基于模型的入侵检测技术。 2.2 传统的入侵检测技术

在第一代IDS和第二代IDS中，使用最多的是模式匹配技术，这种技术的好处是能够对素有网络的数据包以及受攻击的数据特征进行匹配，从而判断该数据包是否存在攻击安全隐患。目前，模式匹配技术仍然广泛的应用到入侵检测系统中，比较典型的模式匹配技术有：Boyer-Moore算法、Boyer-Moore算法、BruteForce算法以及Aho-Corasick-Boy-er-Moore算法等。 协议分析作为新一代IDS中常使用入侵检测技术，它主要是利用协议的高度规则性特点，然后对攻击行为进行快速的探测。这种检测技术的优点是鞥能够大量减少计算过程，并不易在分析过程中丢失任何数据。

3 几种入侵检测技术在IPv6中的应用 3.1 传统模式匹配检测技术 3.1.1 基本方法

（1）对网络上传输的IPv6数据包进行拦截。

（2）采用BM或KMP算法将数据包的开始以及受攻击的特征字符进行逐一的对比知道数据包的结尾。

（3）寻找出那些可能受到攻击危害的环节。

龙源期刊网 http://www.qikan.com.cn

（4）将数据库中所有的特征匹配完，即结束一个数据包的检测，然后进行下一个数据包的检测。

3.1.2 存在的问题

需要大量的计算过程，在计算过程中出现漏报、误报的概率较大。此外，在高负载网络情况下，很容易出现数据包丢失情况，因此目前很少单独采用传统模式匹配入侵检测技术。 3.2 简单协议入侵检测技术 3.2.1 基本方法

（1）将收集的数据进行重组，并详细解析重组后的数据。

（2）根据现有的IPv6标准以及现行的攻击特征，构建各种检测规则。 （3）利用构建的检测规则对IPv6数据包进行检测。 （4）依据检测结果判断是否发生入侵行为。 3.2.2 优缺点分析

其优点是充分利用了IPv6的层次化、标准化，存在的问题这种入侵检测技术不能检测一些复杂的攻击方式。

3.3 利用决策树改进的入侵检测技术 3.3.1 基本方法

（1）根据协议结构构建决策树。

（2）利用决策树对IPv6协议进行一层层的检测。 （3）当检测到达叶节点后触发相应的动作。 3.3.2 优缺点分析

改进后的入侵检测技术提高了西东的稳定性，但是对于协议分析效果并没有实质性的改进，很难检测复杂的攻击行为。 4 结语

龙源期刊网 http://www.qikan.com.cn

本文首先分析了IPv6协议中主要存在的问题，然后对入侵检测系统做了简答的介绍，最后探讨了几种网络安全入侵检测技术在IPv6中的应用研究。希望本文的提出，能为保证我国网络安全稳定提供参考依据。 参考文献

[1] 王品，熊建设.入侵检测技术在IPv6中的应用[J].计算机光盘软件与应用，2011（21）：46-47.

[2] 闾浩.基于IPV6网络入侵检测技术的研究[J].福建电脑，2007（3）：38-39.

[3] 罗利民.基于IPV6的网络安全入侵检测技术研究[J].科技通报，2012，28（24）：114-116.