- 相關(guān)推薦
基于IPv6網(wǎng)絡(luò)安全的管理系統(tǒng)設(shè)計(jì)論文
0引言
當(dāng)前信息技術(shù)快速發(fā)展,網(wǎng)絡(luò)惡意攻擊行為更為頻繁,攻擊形式也日趨多樣化,如病毒、木馬、蠕蟲等,網(wǎng)絡(luò)安全問(wèn)題更加突出,互聯(lián)網(wǎng)正面臨著新的安全形勢(shì)。實(shí)踐證明,實(shí)時(shí)分析并檢測(cè)網(wǎng)絡(luò)流是加強(qiáng)網(wǎng)絡(luò)安全的有效方法。入侵檢測(cè)系統(tǒng)(IDS)正是在這個(gè)背景下應(yīng)運(yùn)而生的。其可以對(duì)網(wǎng)絡(luò)環(huán)境狀況進(jìn)行積極主動(dòng)、實(shí)時(shí)動(dòng)態(tài)的檢測(cè),作為一種新型網(wǎng)絡(luò)安全防范技術(shù),在保障網(wǎng)絡(luò)安全方面發(fā)揮著重要的作用。入侵檢測(cè)系統(tǒng)主要通過(guò)判斷網(wǎng)絡(luò)系統(tǒng)中關(guān)鍵點(diǎn)是否正常運(yùn)轉(zhuǎn)以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)環(huán)境的檢測(cè),其不但能夠有效地打擊網(wǎng)絡(luò)攻擊,還能夠保證信息安全基礎(chǔ)結(jié)構(gòu)完整,實(shí)施保護(hù)互聯(lián)網(wǎng)的安全。目前網(wǎng)絡(luò)安全機(jī)制正在從IPV4向IPV6過(guò)渡,網(wǎng)絡(luò)的安全性也在不斷增強(qiáng),深入分析IPV6安全機(jī)制具有重要意義。
1IPv4向IPv6過(guò)渡中存在的問(wèn)題
IPv6安全機(jī)制是IPv4安全機(jī)制的強(qiáng)化,與IPv4相比,IPv6安全機(jī)制的網(wǎng)絡(luò)結(jié)構(gòu)更為復(fù)雜,應(yīng)用范圍更為廣闊,但是IPv4向IPv6的過(guò)渡不是一蹴而就的,在這個(gè)過(guò)渡過(guò)程中會(huì)出現(xiàn)一些嚴(yán)重的問(wèn)題,這就要求我們必須充分認(rèn)識(shí)IPv4向IPv6過(guò)渡中的問(wèn)題,盡量減小對(duì)網(wǎng)絡(luò)安全的不良影響。
1.1翻譯過(guò)渡技術(shù)
采用翻譯過(guò)渡技術(shù),必須關(guān)注翻譯對(duì)數(shù)據(jù)包傳輸終端的破壞情況與網(wǎng)絡(luò)層安全技術(shù)不匹配這兩個(gè)問(wèn)題。保護(hù)網(wǎng)絡(luò)正常數(shù)據(jù)傳送是網(wǎng)絡(luò)層安全協(xié)議的主要職能,網(wǎng)絡(luò)層協(xié)議中的地址翻譯技術(shù)主要用于變更傳送數(shù)據(jù)的協(xié)議與地址,這就容易使網(wǎng)絡(luò)層協(xié)儀的地址翻譯與網(wǎng)絡(luò)安全協(xié)議出現(xiàn)沖突,使網(wǎng)絡(luò)環(huán)境的安全面臨威脅。
1.2隧道過(guò)渡技術(shù)
隧道過(guò)渡技術(shù)并不重視網(wǎng)絡(luò)安全,其自身特點(diǎn)也使網(wǎng)絡(luò)易遭受攻擊,安裝安全設(shè)備的網(wǎng)絡(luò)應(yīng)用隧道技術(shù)后,會(huì)影響原有的安全設(shè)備運(yùn)作,并且在數(shù)據(jù)經(jīng)過(guò)隧道時(shí),隧道也不會(huì)檢查數(shù)據(jù),這就給惡意的數(shù)據(jù)提供了進(jìn)入正常網(wǎng)絡(luò)的機(jī)會(huì),嚴(yán)重威脅網(wǎng)絡(luò)安全。
1.3雙棧過(guò)渡技術(shù)
雙棧過(guò)渡技術(shù)是網(wǎng)絡(luò)層協(xié)議的一種,兩個(gè)網(wǎng)絡(luò)層協(xié)議在一臺(tái)主機(jī)上同時(shí)運(yùn)行是其特點(diǎn)。但是同時(shí)運(yùn)行的兩個(gè)網(wǎng)絡(luò)層協(xié)議在技術(shù)上并無(wú)聯(lián)系,而且容易出現(xiàn)運(yùn)作不協(xié)調(diào)的問(wèn)題,導(dǎo)致網(wǎng)絡(luò)安全存在漏洞,易被攻擊者利用。但是與翻譯過(guò)渡技術(shù)和隧道過(guò)渡技術(shù)比較,雙棧過(guò)渡技術(shù)的安全性能要優(yōu)于上邊的兩種技術(shù),網(wǎng)絡(luò)安全性相對(duì)較高,有其自身優(yōu)勢(shì)。
2IPv6的特點(diǎn)
IPv6是一種新型互聯(lián)網(wǎng)協(xié)議,是IPv4互聯(lián)網(wǎng)協(xié)議的革新。IPv6可以有效解決IPv4中存在的漏洞與缺陷,其改進(jìn)方面主要體現(xiàn)在地址空間、IPSec協(xié)議、數(shù)據(jù)報(bào)頭結(jié)構(gòu)、服務(wù)質(zhì)量(QoS)方面。其中數(shù)據(jù)報(bào)頭結(jié)構(gòu)和IPSec協(xié)議是影響入侵檢測(cè)系統(tǒng)的主要方面。
2.1數(shù)據(jù)報(bào)頭結(jié)構(gòu)的更新
與IPv4數(shù)據(jù)報(bào)頭結(jié)構(gòu)相比,IPv6簡(jiǎn)化了IPv4的數(shù)據(jù)報(bào)頭結(jié)構(gòu),IPv6的40節(jié)數(shù)據(jù)報(bào)頭結(jié)構(gòu)極大的提高了數(shù)據(jù)處理效率。此外,IPv6還增加了選項(xiàng)報(bào)頭、分段報(bào)頭、認(rèn)證報(bào)頭等多個(gè)擴(kuò)展報(bào)頭,入侵檢測(cè)系統(tǒng)必須首先解析IPv6報(bào)頭才能進(jìn)行協(xié)議分析。
2.2IPSec協(xié)議
與IPv4相比,IPv6中還應(yīng)用了IPSec協(xié)議,其可以有效實(shí)現(xiàn)網(wǎng)絡(luò)層端到端的安全服務(wù),并且IPSec協(xié)議中的兩個(gè)安全封裝載荷和認(rèn)證頭協(xié)議可以自由組合。IPSec協(xié)議實(shí)質(zhì)上是對(duì)IPv6傳輸數(shù)據(jù)包的加密,這有利于提高數(shù)據(jù)傳輸過(guò)程的安全性,但是由于其對(duì)IPv6的報(bào)頭也進(jìn)行封裝,入侵檢測(cè)系統(tǒng)在進(jìn)行檢測(cè)時(shí)必須了解IPv6報(bào)頭的源地址和目的地址,否則難以進(jìn)行檢測(cè)行為,這嚴(yán)重影響了入侵檢測(cè)系統(tǒng)的正常運(yùn)行。
3IPv4、IPv6入侵檢測(cè)技術(shù)特點(diǎn)
以往技術(shù)多采用模式匹配技術(shù),針對(duì)數(shù)據(jù)包和攻擊數(shù)據(jù)庫(kù)進(jìn)行匹配對(duì)應(yīng)是該模式的典型特點(diǎn),這種模式特點(diǎn)是以數(shù)據(jù)庫(kù)對(duì)應(yīng)的情況來(lái)依次判斷是否存在網(wǎng)絡(luò)攻擊。而現(xiàn)在,檢測(cè)系統(tǒng)入侵的技術(shù)手段為BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定義為識(shí)別并處理那些以IPv6網(wǎng)絡(luò)協(xié)議惡意使用網(wǎng)絡(luò)資源的攻擊者的技術(shù),為IPv6入侵檢測(cè)技術(shù)。IPv6與IPv4有很大的區(qū)別,兩者在程序上不兼容,因此在這種情況下入侵技術(shù)的檢測(cè)變得問(wèn)題繁多。首先,兩種協(xié)議在數(shù)據(jù)報(bào)頭上變動(dòng)明顯,以往在IPv4上能用的檢測(cè)產(chǎn)品在IPv6上無(wú)法直接使用。在使用IPv4協(xié)議的情況下,TCP頭部緊緊連接著IP頭部,不僅如此,他們的長(zhǎng)度還是確定不變的。這樣的連接模式和設(shè)置使得檢測(cè)工作的開展變得更加簡(jiǎn)便。然而,另一種協(xié)議方式即IPv6卻與此有很大的不同,它的這兩個(gè)頭部并不緊接,長(zhǎng)度也不固定,在其中間還往往會(huì)有別的擴(kuò)展頭部等。經(jīng)常見到的有路由選項(xiàng)頭部等。盡管該協(xié)議下,數(shù)據(jù)包對(duì)應(yīng)顯得很復(fù)雜,若是防火墻沒(méi)有完全讀懂?dāng)?shù)據(jù)包則會(huì)發(fā)生不能過(guò)濾的情況,這在某些時(shí)候使得入侵的檢測(cè)工作變得更加復(fù)雜。科研攻關(guān)人員目前已經(jīng)針對(duì)IPv6協(xié)議下的接口函數(shù)做出了相應(yīng)的科學(xué)的新改動(dòng)。其次,在進(jìn)行端到端的傳輸工作時(shí),若為IPv6則IDS會(huì)由于無(wú)法解密而直接導(dǎo)致解讀不了數(shù)據(jù),此時(shí)的IDS不能有效的繼續(xù)工作。雖然采取IDS數(shù)據(jù)包解密能夠較為有效的解決這一問(wèn)題,但這種解密情況下的安全又成了新的問(wèn)題,對(duì)其是否可靠,時(shí)間會(huì)給予準(zhǔn)確的答案。
3.1雙棧入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)
IPv6協(xié)議解碼功能是實(shí)現(xiàn)雙棧入侵檢測(cè)的關(guān)鍵性因素。協(xié)議解碼分析通常分為第二層、第三層。第二層主要是以太網(wǎng),然而第三層的則大為不同,它不僅包含IPv4包類型,還同時(shí)兼有IPv6包類型,甚至還具有隧道方式。協(xié)議解碼在數(shù)據(jù)結(jié)構(gòu)、屬性的基礎(chǔ)上,注重?cái)?shù)據(jù)包對(duì)號(hào)入座,一一對(duì)應(yīng)。IPv6協(xié)議解碼功能如圖1所示。進(jìn)行協(xié)議解碼的首要步驟是抓包并解包,并且在解包時(shí)完善對(duì)應(yīng)信息包。分析各個(gè)模塊,以此判斷是何種包,區(qū)分?jǐn)?shù)據(jù)包是屬于IPv4還是屬于IPv6是至關(guān)重要的。在此之后,存檔以太網(wǎng)的源地址和目的地址,并在接下來(lái)的工作中進(jìn)行下一層解析,在第三層數(shù)據(jù)解析時(shí)包頭結(jié)構(gòu)是著重分析的對(duì)象。
3.2在IPv6環(huán)境中的NIDS模塊設(shè)計(jì)
數(shù)據(jù)采集、分析,然后是結(jié)果輸出,這三個(gè)方面組成了整個(gè)NIDS系統(tǒng)。對(duì)科學(xué)要求的CIDF規(guī)范完全符合。這個(gè)系統(tǒng)由數(shù)據(jù)包捕獲的各種模塊結(jié)合而成。
3.3NIDS模塊功能
(1)數(shù)據(jù)包捕獲模塊數(shù)據(jù)包捕獲模塊在整個(gè)系統(tǒng)中居于關(guān)鍵地位,它是系統(tǒng)的基礎(chǔ),也是其重要組成部分。該模塊的具體作用在于從以太網(wǎng)上獲取數(shù)據(jù)包,根據(jù)實(shí)際情況和不同的系統(tǒng),有相對(duì)性的捕獲,相比之下,捕獲方式會(huì)根據(jù)具體情況而有所不同。(2)協(xié)議解析模塊協(xié)議解析是該模塊的核心作用,該模塊對(duì)數(shù)據(jù)層層分析最終得到解析目的,在此基礎(chǔ)上分析是否有入侵情況以便進(jìn)行制止防御。(3)規(guī)則處理模塊提前制定的入侵規(guī)則存入庫(kù)中,它的多少直接影響著整個(gè)入侵系統(tǒng)的性能。規(guī)則設(shè)置的越多越完善,對(duì)于入侵行為的檢測(cè)就越精準(zhǔn)。(4)分析檢測(cè)模塊查證是否有入侵行為發(fā)生是該模塊兒的重要作用,該模塊和規(guī)則庫(kù)若匹配成功則證明系統(tǒng)正在遭受入侵。(5)存儲(chǔ)模塊存儲(chǔ)信息和數(shù)據(jù)包是該模塊的具體功能。有效儲(chǔ)存信息對(duì)于系統(tǒng)對(duì)入侵行為的分析具有極強(qiáng)的幫助作用,儲(chǔ)存的數(shù)據(jù)可供事后分析等。(6)響應(yīng)模塊響應(yīng)模塊是入侵行為的響應(yīng)處理,它的響應(yīng)能使防火墻及時(shí)對(duì)入侵行為進(jìn)行制止和防御,是系統(tǒng)防御不可或缺的盾牌。
引用:
[1]鄧生君,沈鑫,葉昭輝.一種基于IPv4/IPv6網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的框架設(shè)計(jì)[J].電子世界,2012.
[2]肖長(zhǎng)水,謝曉堯.基于IPv6的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì),2007.
【基于IPv6網(wǎng)絡(luò)安全的管理系統(tǒng)設(shè)計(jì)論文】相關(guān)文章:
基于系統(tǒng)設(shè)計(jì)的科研管理論文09-22
基于冗余PLC的井下排水自動(dòng)控制系統(tǒng)的設(shè)計(jì)的論文02-22
物資管理系統(tǒng)論文08-06
庫(kù)存管理系統(tǒng)論文07-24
信息管理系統(tǒng)論文09-18
基于SCOSM自適應(yīng)教學(xué)模型設(shè)計(jì)論文07-12
FPGA數(shù)據(jù)采集與回放系統(tǒng)設(shè)計(jì)論文04-24
管理信息系統(tǒng)論文02-04