基于协议分析的Ipv6网络入侵检测系统的研究.pdfVIP

维普资讯 第 37卷 第 4期 太 原 理 工 大 学 学 报 Vo1．37 No．4 2006年 7月 JOURNALOFTAIYUAN UNIVERSITY OFTECHNOLOGY July 2006 文章编 号 ：1007-9432(2006)04—0473-03 基于协议分析的Ipv6网络 入侵检测系统的研究 潘理虎 ，陈立潮 ，武辉斌 ，李 峰。 (1．太原科技大学 计算机科学与技术学院，山西 太原 030024； 2．太原煤气化股份有限公司焦化厂 山西 太原 030024；3．北京中科院软件中心 北京 100080) 摘 要 ：从协 议 分 析技 术入 手 ，围绕 Ipv6网络 的新特 点 ，构 筑 了基 于协 议 分 析技 术 的 Ipv6网 络入 侵检 测 系统 的结构模 型 ，并对 实现 方案 作 了具体 的研 究。在保 持 原有 IPv4入侵 检 测 系统检 测 引擎优 点 的基础 上 ，挖 掘 IPv6特性 ，深入 研 究下 一 代 网络 体 系结 构 ，采 用 Ngrep解 决 了 IPv6下 的 数 据捕 获 问题 ，为 IDS的进 一步发 展 积 累 了一 些经 验 。对 协 议 分析 的流程 和 基 于数 据 挖 掘 的特 征 数 据库 的动 态更新做 了较 详 细 的研 究 ，对入 侵检 测 系统 的平 台移植 进 行 了有 益 的探 索 。 关 键词 ：入侵 检 测 ；IPv6；协议 分析 ；数据 挖掘 中图分 类号 ：TP311 文献 标识 码 ：A 协议分析技术利用网络协议的高度规则性快速 个以太网中使用的入侵检测系统结构模型。从网络 探测攻击的存在。协议分析的优势包括 ：解析命令 结构分层的特点和处理的时间先后把系统模型分为 字符串、探测碎片攻击和协议确认、解析每一层时用 三大模块。其协议分析层次结构如图 1所示 。其中 已获得的知识来消除在数据包结构中不可能出现的 底层模块是数据包的捕获过程 ；中层模块是网络分 攻击、降低误报率、速度快且准确。应用于 Ipv6的 层处理模块 ；上层是统计处理模块。其 中，中层的数 协议分析技术也发生了变化_1]。IPv6报头 比IPv4 据处理模块的划分体现了网络层次结构要求处理时 报头简单 ，报头总计只有 6个报头域和两个地址域 。 它使用扩展报头来解决特殊的需求，IPv6报头是定 长的。IPv6报头没有报头校验和，这样做的优势在 于每次转发时不需要检验和更新校验和，降低 了报 头处理支出。IPv6报头 中不需要 IPv4那样的分段 控制域。IPv4报头中的数据包总长被 IPv6中的有 效负载长度代替。协议类型域在 IPv6中则用下一 个报头域取代 ，这体现了IPv6中IP信息包新的组 织形式。在 IPv6下，虽然 IP数据报头的长度完全 固定 ，但是 ，由于有扩展头的存在使得查找 TCP报 文时需要逐个读取扩展报头。由于 TCP报文本身 并未发生变化，在确定了TCP报文的位置之后，根 图 1 协议分析层次 结构 图 据端 口号判断协议类型，并根据协议类型判断和查 间上的先后次序 ，即首先进行 MAC层 的处理 (应用 找特征字符串，这在 IPv4和 IPv6下是完全相同的。 过滤思想，尽可能减少 比较次数)，再进行 IP层的处 1 IPv6网络入侵检测系统结构模型 理，再进行传输层的处理 。这样处理可 以减少信息 比较的次数。中层模块 的划分可根据 网络分层的体 笔者针对协议分析