文档介绍:第37卷第4期 2006年7月太原理工大学学报 JOURNALOFTAIYUANUNIVERSITYOFTECHNOLOGY July2006 文章编号:1007-9432(2006)04—0473-03 基于协议分析的Ipv6网络入侵检测系统的研究潘理虎,陈立潮,武辉斌,李峰。(,山西太原030024; ;) 摘要:从协议分析技术入手,围绕Ipv6网络的新特点,构筑了基于协议分析技术的Ipv6网络入侵检测系统的结构模型,并对实现方案作了具体的研究。在保持原有IPv4入侵检测系统检测引擎优点的基础上,挖掘IPv6特性,深入研究下一代网络体系结构,采用Ngrep解决了IPv6下的数据捕获问题,为IDS的进一步发展积累了一些经验。对协议分析的流程和基于数据挖掘的特征数据库的动态更新做了较详细的研究,对入侵检测系统的平台移植进行了有益的探索。关键词:入侵检测;IPv6;协议分析;数据挖掘中图分类号:TP311 文献标识码:A 协议分析技术利用网络协议的高度规则性快速探测攻击的存在。协议分析的优势包括:解析命令字符串、探测碎片攻击和协议确认、解析每一层时用已获得的知识来消除在数据包结构中不可能出现的攻击、降低误报率、速度快且准确。应用于Ipv6的协议分析技术也发生了变化_1]。IPv6报头比IPv4 报头简单,报头总计只有6个报头域和两个地址域。它使用扩展报头来解决特殊的需求,IPv6报头是定长的。IPv6报头没有报头校验和,这样做的优势在于每次转发时不需要检验和更新校验和,降低了报头处理支出。IPv6报头中不需要IPv4那样的分段控制域。IPv4报头中的数据包总长被IPv6中的有效负载长度代替。协议类型域在IPv6中则用下一个报头域取代,这体现了IPv6中IP信息包新的组织形式。在IPv6下,虽然IP数据报头的长度完全固定,但是,由于有扩展头的存在使得查找TCP报文时需要逐个读取扩展报头。由于TCP报文本身并未发生变化,在确定了TCP报文的位置之后,根据端口号判断协议类型,并根据协议类型判断和查找特征字符串,这在IPv4和IPv6下是完全相同的。 1IPv6网络入侵检测系统结构模型笔者针对协议分析技术和IPv6的特点设计一个以太网中使用的入侵检测系统结构模型。从网络结构分层的特点和处理的时间先后把系统模型分为三大模块。其协议分析层次结构如图1所示。其中底层模块是数据包的捕获过程;中层模块是网络分层处理模块;上层是统计处理模块。其中,中层的数据处理模块的划分体现了网络层次结构要求处理时图1协议分析层次结构图间上的先后次序,即首先进行MAC层的处理(应用过滤思想,尽可能减少比较次数),再进行IP层的处理,再进行传输层的处理。这样处理可以减少信息比较的次数。中层模块的划分可根据网络分层的体系结构,如数据链路层、网络层、传输层、应用层,协收稿日期:2005—10—11 基金项目:山西省自然科学基金资助(20051044) 作者简介:潘理虎(1974一),男,山西太原人,讲师,主要从事网络管理与网络安全、智能网络研究,(Te1)********** 维普资讯 474 太原理工大学学报第37卷议分析系统中层模块的设计与