（通信与信息系统专业论文）ipv4ipv6过渡阶段入侵检测系统的研究与实现.pdf

中文摘要 中文摘要 摘要： 随着网络技术的快速发展，网络安全越来越受到人们的重视。网络安全是一 个系统的概念，需要有效的安全策略和方案的制定，在网络安全中，网络安全技 术主要有认证授权、数据加密、访问控制、安全审计等，而防火墙和入侵检测系 统又是应用最为广泛的安全技术。其中入侵检测作为一种积极主动的安全防护技 术，在花费不是很大的前提下，实时地检测网络入侵行为，提供了对内部攻击、 外部攻击和误操作的实时保护，提高了信息安全基础结构的完整性。 下一代网际的核心协议m i p v 6 协议，不仅能够解决i p v 4 协议存在的缺陷， 而且在网络的管理、控制与安全上也有了很大的提高，因此，现在开发i p v 6 环境 下的入侵检测系统是很有意义的。而在i p v 6 取代i p v 4 的过程中，会出现一个i p v 4 和i p v 6 共存的过渡阶段，本论文的主题是，i p v 6 环境下的入侵检测技术，其中重 点讨论i p v 4 i p v 6 共存网络环境下的入侵检测系统的实现。 在以上技术基础上，本论文根据c 1 d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) 模型，采取“模块化”的方法，设计了基于模式匹配的网络入侵检测系统，该系 统主要包括i p v 4 i p v 6 数据包捕获模块、支持i p v 4 i p v 6 双协议解析模块、数据包 引擎预处理模块、特征规则解析模块、检测引擎处理模块、告警日志输出模块六 个模块。接下来重点描述了i p v 4 i p v 6 入侵检测系统功能模块的代码实现，并给出 了各个模块的实现流程以及设计的重要数据结构，然后进行初步的测试。最后， 对本论文进行总结，并提出入侵检测的发展方向。 关键词；i p v 6 协议；入侵检测系统；模式匹配。 分类号：t p 3 9 3 0 8 北京交通大学硕士学位论文 a b s t r a c t a b s t r a c r w h e nn e r o t e c h n o l o g yg r o w sq u i c k l y , n e t w o r ks e c u r i t yi sm o t a n dm o r e i m p o r t a n t t h en e t w o r ks e c u r i t yi sas y s t e m i cc o n c e p t ，w h i c hn e e d se f f e c t i v es e c u r i t y t a c t i c sa n ds c h e m e 1 1 1 et e c h n o l o g yo ft h en e t w o r ks e c u r i t ym a i n l yi n c l u d e s a u t h e n t i c a t i o n ，d a t ae n c r y p t i o n ，a c c e s sc o n t r o l ，s e c u r i t ya u d i te t e f i r e w a l la n di n t r u s i o n d e t e c t i o nt e c h n o l o g ya r et h em o s tp o p u l a r i n t r u s i o nd e t e c t i o nt e c h n o l o g y , w h i c hi s 柚 a c t i v en e t w o r ks e c u r i t yt e c h n o l o g y , d e t e c t st h en e t w o r kw i t hl i t t l ec o s ta n dp r o v i d e s p r o t e c t i o nf r o mt h ea t t a c l ( si n s i d ea n do u t s i d e i n t r u s i o nd e t e c t i o nt e c h n o l o g yi m p r o v e s t h ei n t c g m l i t yo f t h ei n f r a s t r u c t u r eo f n e t w o r ki n f o r m a t i o ns e c u r i t y t h ek e yp r o t o c o lo fn e x tg e n e r a t i o nn e t w o r k , i p v 6p r o t o c 0 1 c a nn o to n l y p e r f e c t l ys o l v e st h ep r o b l e m sf a c e db yc u r r e n ti p v 4p r o t o c o l ，b u ta l s oi ss t r o n g e ra n d m o r e - e f f i c i e n tt h a ni p v 4o nt h em a n a g e m e n t , c o n t r o l s ，a n dn e t w o r ks c c u r i t y , e t c t h e r e f o r ei ti sv e r ym e a n i n g f u lt od e v e l o pt h ei n t r u s i o nd e t e c t i o ns y s t e mu n d e ri p v 6 e n v i r o n m e n tn o w w h e ni p v 6r e p l a c e s1 p v 4 ，i te x i s t sat r a n s i t i o n a lp h a s eo fi p v 钔p v 6 c o e x i s t i n g t h et h e m eo ft h i s i st h ei n t r u s i o nd e t e c t i o n t e c h n i q u eu n d e ri p v 6 e n v i m n m e n t , w h i c hp u t st h ea c h i e v e m e n to fi n t r u s i o nd e t e c t i o nt e c h n o l o g yu n d e rt h e e n v i r o n m e n tt h a ti p v 钔p v 6c o e x i s t so nt h ec o r e b a s e do nt h ea b o v et e c h n i c a lb a c k g r o u n d , a c c o r d i n gt oc i d f ( c o m m o ni n t r u s i o n d e t e c t i o nf r a m e w o r k ) ，t h en i d sb a s e do nt h ep a t t e r nm a t c hi sd e s i g n e d , w h i c ht a k e s t h ep l a no fm o d u l e s 1 1 他s y s t e mm a i n l yi n c l u d e s6m o u l d s ：t h em o d u l eo fi p v 钔p v 6 p a c k e t s c a p t u r e ，t h em o d u l eo f p r o t o c o la n a l y s i se n g i n es u p p o r t i n gb o t hi p v 4a n di p v 6 ， t h em o d u l eo f p a c k e t s p r e - p r o c e s s o r , t h em o d u l eo f r o l e sa n a l y s i se n g i n e ，t h em o d u l eo f d e t e c t i o ne n g i n e , a n dt h em o d u l eo ft h es t o r a g eo fa l e r t sa n dl o g s t h e n , t h et h e s i s m a i n l ye l u c i d a t e st h ec o d i n gi m p l e m e n t a t i o no fi p v 4 i p v 6i d s ，a n dd e s c r i b e st h e i m p l e m e n t a t i o np r o c e s sw i t hi m p o r t a n td a t as h u c t u r 部，t h e np r i m a r i l yt e s t st h es y s t e m f i n a l l y , t h i st h e s i sm a k e st h es u m m a r ya n dp u t sf o r w a r dt h ed e v e l o p m e n to fi n t r u s i o n d e t e c t i o ns y s t e m k e y w o r d s , i p v 6 ；i n t r u s i o nd e t e c t i o ns y s t e m ( t o s ) ；p a t t e r nm a t c h i n g c l a s s n o lt p 3 9 3 0 8 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：王志，- h 签字口期：文。r 7 年f ，月如 导师签名爹 签字口期：溯 独创性声明 本人声明所呈交灼学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：一王志豸 签字日期：a 口。1 年眵月歹日 致谢 本论文的工作是在我的导师张思东教授的悉心指导下完成的，张思东教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在读研究生的三年时 间内，张老师在学习、开发和研究上对我严格要求、耐心指导，使我的独立科研 能力得到了锻炼和提高，更重要的是他还教会了我许多做人的道理，使我们树立 正确的人生观和价值观，踏实奋斗自己的人生，这些将会使我终身受益。在此衷 心感谢三年来张思东老师对我的关心和指导。 我还要感谢实验室的刘颖老师。刘颖老师在我参与网络安全项目时帮助我开 阔思路、确定研究方向，指导我工作的每一步，并在我撰写论文的过程中给予了 许多指导，使我顺利的完成了工作任务，这些指导和帮助将使我获益匪浅。这些 老师对我的帮助和教育我将铭记一生。 在实验室工作及撰写论文期间，刘鑫、戴晓苗、卢宁、段倩等l 一学对我论文 中的入侵检测研究工作给予了热情帮助，在此向他们表达我的感激之情。 另外也感谢我的父母，他们的理解和支持使我能够在学校专心完成我的学业， 我的每一个进步，每一点成功，都凝刻着他们无私的支持和关爱。 第一章引言 1 1 选题背景与意义 第一章引言 1 1 1 采用i p v 6 协议及的必要性及必须经过的过渡阶段 i p v 4 是在2 0 世纪7 0 年代末期设计的，自1 9 8 1 年r f c 7 9 1 发布以来，没有进 行过本质上的修改。尽管i p v 4 已经被证明是技术成熟的、容易实现且具有互操作 性的网络协议。但随着i n t e r a c t 规模与应用的扩大，l p v 4 的局限性日益突出，主要 表现在以下几方面。 地址资源而临枯竭 骨干网路由器中的路由表越来越大 n a t 的使用破坏了端与端的通信 缺乏q o s 和安全 为了解决i p v 4 的局限性，i e t f 推出了1 p v 6 。i p v 6 协议中对现代网络各种需 求都做了有针对性的设计，其中包括：简化了报头格式、支持主机地址自动配置、 提供l p 报文的认证和加密及具有较强的移动支持能力等诸多方面。与i p v 4 相比， i p v 6 有以下几点优势。 提供更大的地址空间 。提供更好的服务质量( q o s ) 提供更强的网络安全保障 。主机自动配置i p 地址，从而支持即插即用和移动性 。简化报头的格式，提高了网络的整体吞吐量 。更好地实现了多播功能 由于l p v 4 的局限性及i p v 6 呈现的巨大优势，1 p v 6 已被认为是下一代互联网络 协议核心标准之一。但是一种新的协议从出现到完全应用需要一个过程，再加上 i p v 6 根本目的是继承和取代i p v 4 ，这也需要一个过渡过程。为了开展对于i p v 4 f l p v 6 过渡问题和高效无缝互连问题的研究，在国际上，i e t f 组建了专门的w o r k i n g g r o u p ，即n g t r a n s ( 现已改为v 6 0 p s ) 工作组来处理这个问题，同时，i e t f 在全 球范围内成立试验床6 b o n e ，专门对i p v 6 的特性进行研究。目前已经出现了多种 过渡技术和互连方案，这些技术各有特点，用于解决不同过渡时期、不同环境的 通信问题。 北京交通大学硕士学位论文 在过渡的初期，i n t c r n c t 将由运行i p v 4 的“海洋”和运行i p v 6 的“小岛”组 成。在过渡的初期，要解决的问题可以分成两大类：第一类就是解决这些i p v 6 小 岛之间互通信息的闯题；第二类就是解决i p v 6 小岛与i p v 4 海洋之间通信的问题。 要实施i p v 6 网络，必须充分考虑现有的网络条件，充分利用现有的条件构造下一 代互联网，以避免过多的投资浪费。现在的网络设备大部分都是基于i p v 4 的，不 可能将它们在短时间内都过渡到基于i p v 6 的设备，因此，在相对比较长的一段时 期内，i p v 6 网络将和l p v 4 网络共存，实现i p v 4 向1 p v 6 的平稳演进。 1 1 2i p v 6 协议及其过渡阶段的安全威胁 由于i p 网络环境的开放性以及i p v 4 在设计时缺乏对安全问题的周详考虑，1 3 前i p 网络安全形势严峻。病毒的泛滥，恶意代码的攻击，黑客的攻击使得整个网 络越来越不安全。据国家计算机病毒应急处理中心计算机病毒疫情2 0 0 7 年调查结 果显示【l j ，目前中国有9 1 4 7 的电脑受到病毒感染，在受病毒感染的用户中，感 染病毒3 次以上的用户2 0 0 5 年为6 0 8 2 ，2 0 0 6 年为5 2 1 6 ，今年为5 3 “，一 直维持在较高水平。网络安全问题不容忽视。该调查还表明，近儿年病毒的趋利 性进一步加强，而木马病毒的感染率则进一步提高，通过木马、病毒盗窃用户敏 感信息的事件在其中的比重迸一步加大。蠕虫、病毒的传播造成大规模的网络中 断，带来大量资源浪费和数以亿计的经济损失。同时，黑客入侵事件也层出不穷。 据统计，全球平均每2 0 秒钟就发生一起i n t e m c t 计算机侵入事件。黑客的入侵造 成了大量政府、企业和个人重要敏感信息的泄漏。安全问题不仅给广大网民带来 了不便，也威胁到国家的信息安全和经济发展。 这种形势下，对网络安全技术和设备的研究成为当前的一个热点。不过，尽 管国内外存在很多种网络安全技术和设备，但它们几乎都是针对传统i p v 4 网络的， 很少支持i p v 6 的。作为下一代的网络层协议标准，i p v 6 势必在今后得到广泛的推 广和应用。这种情况下，如何实现面向i p v 6 的安全技术成为当前的一个大问题， 也是科研人员需要解决的一个重点难题。作为i p v 6 推广过程中i p v 4 和i p v 6 共存 的过渡阶段，其安全问题必将会首先引起人们的重视。 引入新的服务必然带来新的安全威胁，在从i p v 4 到i p v 6 过渡阶段中，各种过 渡技术的引入也带来了新的安全问题。而在各种过渡技术中，并不能消除存在l p v 4 以及i p v 6 网络中原有的安全问题。因此，在过渡阶段需要同时考虑网络边界两边 可能会遭受的来自i p v 4 或者i p v 6 的威胁，在此基础上还要做好针对过渡技术的安 全保护工作。 第一章引言 1 1 3 采用入侵检测技术的必要性 目前，防火墙作为应用最多的网络安全设备之一，可以限制外界用户对内部 网络的访问，管理内部用户访问外界网络的权限，这可以被看成是网络安全的第 一级防护。但是防火墙只能防范外部的攻击，对于网络内部的攻击无能为力。随 着攻击技术日趋成熟，单纯的防火墙策略已经无法满足网络安全的需要，网络的 防卫必须采用一种纵深、多样的手段。 有关技术人员通过对密码攻击、d d o s 攻击、恶意代码的分析研究，得出一个 结论：入侵攻击时往往伴随着网络数据流量或者服务请求的急剧变化；如果能够 尽早及时地检测到这种变化，就可以提前发出警报采取行动保护网络安全 2 h 5 。在 实践中，人们还发现：网络安全是一项动态的系统工程，单一的安全产品很难满 足网络安全建设的实际需要，组建由防病毒、防火墙、网络入侵检测、漏洞扫描 等多种安全产品各司其职的立体安全体系已成为业界和用户的共识【6 l 。在立体安全 体系中，入侵检测系统借助其动态和主动的工作原理，成为联动各静态防护技术 的关键环节。入侵检测系统( i d s ，i n t r u s i o nd e t e c t i o ns y s t e m ) 改以往安全设备 静态、被动的防护特点，是一种动态安全防护技术。该技术通过监视网络或系统 资源，寻找违反安全策略的行为或攻击迹象，为网络系统提供保护。 随着计算机网络技术的发展，i p v 6 产业化的推进，入侵检测技术作为网络安 全技术重要组成，需要与i p v 6 结合，以适应下一代网络的发展。因此，开发i p v 6 入侵检测系统，将为下一代网络安全体系提供安全保障，是网络安全技术发展的 必然趋势。 1 2 国内外研究现状与发展趋势 1 2 1i p v 6 研究现状与发展趋势 1 9 9 5 年i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ) 首次推出i n t e m e t 协议第六版 ( i p v 6 ) ，1 9 9 6 年建立全球范围的i p v 6 试验床6 b o n e ，1 9 9 8 年i e t fr f c 2 4 6 0 i ，1 对l p v 6 协议规范进行了详细说明。经过近十年的发展，i p v 6 技术日渐成熟，目前 6 b o n e 己经扩展到全球5 4 个国家和地区，成为i p v 6 研究、开发和实践的主要平台， 产生了大量的标准、草案。目前对i p v 6 的研究，主要涉及用于主机的单独l p v 6 协 议栈软件，用于主机的支持i p v 6 的操作系统，独立的路由协议软件，用于路由器 的支持i p v 6 的操作系统、应用程序实现以及硬件支持i p v 6 的路由器产生【8 】。 由于全球i p 地址资源分配的不均衡和各国在互联网领域发展状况的不均衡， 北京交通大学硕士学位论文 导致i p v 6 在全球的产业化发展呈现出不均衡的状况。目前世界上在l p v 6 的研究和 应用方面比较领先的主要是日本、欧洲和美国。 由于日本电子设备、信息家电产业的高度发达，产生对l p 地址的迫切需求， 日本政府把l p v 6 确立为使日本重新成为信息化强国的国策之一。由于政府重视、 企业积极，目前日本在i p v 6 产品化、商业化推广方面几乎走在世界最前列，已经 形成i p v 6 运营商、i p v 6 设备提供商、i p v 6 终端提供商、1 p v 6 用户的完整产业链： 欧洲一些国家在发展i p v 6 技术方面采取“先移动，后固定”的基本战略，通过在 第3 代移动网中率先引入i p v 6 ，来实现在未来互联网领域与美国并驾齐驱的目标。 欧洲目前已经建立了e u r 0 6 1 x 和6 n e t 等i p v 6 试验网络进行有关推广，部署i p v 6 的准备，欧洲各大厂商也都加快了i p v 6 开发和产品化进程，各种试验项目正逐步 成熟。美国是i p v 4 的发源地，也是i e t f 、6 b o n e 等i p v 6 研究组织所在地，主要 以世界i p v 6 研究、协调中心的面目出现，在商用化方面的推进力度不如欧日等国。 但近年来，美国政府出于对恐怖分子网络致命性攻击的担心，各厂商出于商业利 益考虑开始支持i p v 6 ，加快了1 p v 6 技术的发展，已经或者准备推出支持i p v 6 的试 验性产品。 中国也是全球最关心i p v 6 发展的国家之一，原因在于i p v 6 将给中国信息网络 的建设带来新的契机。c e r n e t 国家网络中心是我国最早开始研究l p v 6 的机构， 于1 9 9 8 年6 月加入6 b o n e ，同年1 1 月成为其骨干网成员。1 9 9 9 年4 月，c e r n e t 在国内教育网范围内组建了连接全国八大网络中心的i p v 6 试验床。2 0 0 2 年4 月， 中国科学技术部高新技术发展及产业化司决定对“十五”8 6 3 计划信息技术领域的 多个课题进行公开招标，其中有多个课题与i p v 6 技术相关，表明我国已进入全面 开展i p v 6 高端核心路由器技术的研究阶段。2 0 0 3 年，3 t n c t 重大专项启动i p v 4 i p v 6 实验床和设备的研制项目。国家计划委员会、国家自然科学基金委员会、中国科 学院等部门和单位也分别启动了i p v 6 研究和实施计划。2 0 0 3 年底，中国宣布实施 名为“中国下一代互联网示范工程( c n g i ，c h i n an e x tg e n e r a t i o ni n t e r a c t ) ”的新 一代互联网计划。2 0 0 4 年3 月1 9 日，采用纯i p v 6 技术的第二代中国教育和科研 计算机网c e r n e t 2 正式宣布开通，并开始提供i p v 6 服务，这是我国第一个也是 世界规模最大的采用i p v 6 技术的下一代互联网主干网，标志着我国的l p v 6 研究己 经位于世界前列。2 0 0 4 年8 月，北京交通大学自主研制的b j t ui p v 6 无线，移动路 由器通过了教育部组织的科技成果鉴定，与会专家一致认为该产品填补了国内空 白，达到国际先进水平，目前已在部分高校实验床上使用1 9 1 口 总的来说，下一代i p v 6 技术的高速发展已经成为必然趋势，并且i p v 6 给了我 们一个在互联网方面赶超发达国家的机会 4 第一章引言 1 2 2 网络安全研究现状与发展趋势 随着计算机网络的资源共享进一步加强，网络安全正面临越来越严峻的挑战， 解决网络信息安全与保密问题刻不容缓。能否成功阻止网络黑客的入侵、保证计 算机和网络系统的安全和正常运行，已经成为各个企业，政府、军事部门和国家 能否成功发展的关键性问题。 网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安 全技术、应用数学、数论、信息论等多种学科的综合性学科。它是指网络系统的 部件、程序、数据的安全性，通过网络信息的存储、传输和使用过程来体现。网 络安全包括物理安全和逻辑安全【1 0 】。物理安全指网络系统中各通信、计算机设备 及相关设施的物理保护，免于破坏、丢失等。逻辑安全包含信息完整性、保密性、 非否认性和可用性。它是一个涉及网络、操作系统、数据库、应用系统、人员管 理等方方面面的事情，必须综合考虑。 据英国简氏战略报告和其它网络组织对各圜信息防护能力的评估，我国 被列入防护能力最低的周家之一，不仅大大低于美国、俄罗斯和以色列等信息安 全强国，而且捧在印度、韩国之后。国内9 5 与互联网相联的网络管理中心都遭 受过境内外黑客的攻击或侵入，其中银行、金融和证券机构是黑客攻l j 的重点。 近年来，国内与网络有关的各类违法行为以每年3 0 0 的速度递增。网络的安全问 题己成为一个十分重要的问题，网络安全已经成为信息时代人类共同面临的挑战。 当前网络中存在的安全威胁主要有：身份窃取，指用户身份在通信时被非 法截取；假冒，指非法用户假冒合法用户身份，获取敏感信息的行为：数据 窃取，指非法用户截获通信网络的数据；否认，指通信方事后否认曾经参与某 次活动的行为：非授权访问；拒绝服务，指合法用户的正当申请被拒绝、延 迟、更改等；错误路由】。针对以上各种网络安全威胁，目前应用较为广泛的 网络安全技术主要有：身份识别技术、主机和应用安全、网络防火墙、内容过滤、 网络入侵检测系统、加密技术等【l “。 世界范围内对于网络安全技术的研究主要围绕下面几点：增强访问控制机 制，阻止非授权用户进入网络，以保证系统的可靠性和可用性：增强授权机制， 实现对用户的权限控制，同时结合内容审计机制，实现对网络资源及信息的可控 性；增强加密机制，实现信息的机密性：增强数据完整性鉴别机制，保证只 有得到允许的人才能修改数据，确保信息的完整性；增强审计、监控等安全机 制，确保信息安全的可审计性。 在国外，近几年网络安全技术发展迅速，产品众多，而且更新换代快，并不 断有新的硬件技术和软件技术等应用在网络安全产品开发上。当前从事网络安全 北京交通大学硕士学位论文 技术的研究和产品开发的公司或研究所不计其数，比较著名的有c i s c o 公司、 j u n i p e r 网络公司、c h e c kp o i n t 软件科技公司、i s s 公司、n e t w o r ka s s o c i a t e s 公司 和m c a f c c 公司等。典型的产品如c h e c kp o i m 公司和其下属公司s o f a w a r e t e c h n o l o g i e s 最近发布的s c c u r r ym a n a g e m e n tp o r t a l6 0 版本i ”i 、思科系统公司推 出的集成化安全网络设备c i s c oa s a5 5 0 0 系列产品1 1 4 、j u n i p e r 网络公司的 n e t s e r e e ns e c u r ea c c e s s 系列s s lv p n 安全产品d 5 l 、s o n i c w a l l 公司的s o n i c w a l l g x 6 5 0 0 高性能防火墙【i6 j 等。典型的入侵检测产品如c i s c o 公司的n e t r a n g e r 、 n e t w o r k a s s o c i a t e s 公司的c y b e r c o p 、i s s 公司的r e a l s e c u r c i i qc o m p u t e r a s s o c i a t e s 公司的s e s s i o n w a l l 3 et r u s ti n t r u s i o nd e t e c t i o n 等。 国内很多公司和机构也展开了网络安全方面的研究，虽然距离国外先进水平 还有一定的差距，但取得的成就也不容忽视。典型的产品如北京天融信网络安全 技术有限公司的网络卫士系列防火墙和入侵检测产品、东软软件公司的n e t e y e 系 列防火墙和入侵检测系统等。典型的入侵检测产品主要有中科网威的“天眼”入 侵检测系统、中联绿盟公司的“冰之眼”网络入侵检测系统、启明星辰的s k y r b e l l 等。 当前网络安全技术的研究主要向智能化、硬件化和集成化方向发展，通常采 用a s i c 、f p g a 或n p 等硬件实现方案，以提高产品的性能，同时集成v p n 、数 据加密等技术，并能够智能的与其它网络安全设备联动。 1 3 本文所做的工作 本论文主要工作是对i p v 4 i p v 6 入侵检测进行全面的研究分析，在此基础上完 成i p v 4 i p v 6 入侵检测系统的设计与实现，并对该系统进行测试。论文章节安排如 下： 第一章绪论 综述选题背景和意义，介绍i p v 6 协议及i p v 4 i p v 6 过渡技术和网络安全技术 的国内外研究现状及发展趋势，以及本论文的主要工作。 第二章i p v 6 及过渡技术介绍 对i p v 6 协议进行较为详细的介绍，同时介绍在i p v 4 向i p v 6 过渡阶段所主要 采用的过渡技术以及最常见的隧道模式的特点。 第三章入侵检测系统基本原理 从入侵检测系统的定义和发展历程出发，概述了入侵检测系统的体系结构、 相关标准、系统分类、检测方法和原理，针对现有入侵检测系统存在的不足，总 结目前入侵检测系统的发展研究现状，指出其未来发展趋势 6 第一章引言 第四章i p v 6 入侵检测系统的设计 对入侵检测系统的体系结构进行深入研究，给出i p v 4 1 p v 6 入侵检测系统的总 体设计思想，按照“模块化”思想对入侵检测系统的功能进行模块划分，提出 i p v 4 1 p v 6 入侵检测系统的模块化设计方案。 第五章1 p v 6 入侵检测系统的实现 根据设计方案，按照模块化的思想，对i p v 4 i p v 6 入侵检测系统各模块的关键 技术进行分析说明，并给出各模块主要实现流程。在末尾还给出了此系统的简单 测试。 第六章总结与展望 对所做工作进行总结，提出下一步工作计划。 北京交通大学硕士学位论文 第二章i p v 6 及过渡技术介绍 2 1i p v 6 协议简介 i p v 6 协议是i p 协议的第六版，是为了替代当前的i p v 4 协议而产生的。2 0 世 纪9 0 年代初期，在i p v 4 协议诞生仅仅不到2 0 年之后，人们就意识到了i p v 4 协议 的危机，从1 9 9 1 年起一系列的替代方案被人提出，在1 9 9 2 年i e t f 成立了i p n g 工作组，着力开发下一代i p 协议，并在1 9 9 8 年开发出了比较完整的i p 协议( 在 r f c 2 4 6 0 中阐述) ，并命名为i p v 6 。 i p v 6 协议弥补了1 p v 4 的一系列缺陷，它具有长达1 2 8 位的地址空间，采用分 级地址模式、高效i p 包头、服务质量、主机地址自动配置、i p s e c 认证和加密等 许多技术，下面进行较为详细的介绍。 2 1 1 地址格式 i p v 6 将i p v 4 的地址尺寸从3 2 位扩充到1 2 8 位，以解决i p v 4 地址不足的难题。 巨大的地址空间使得网络的规模可以无限扩展，连接所有可能的装置和设备，并 使用全局唯一的网络地址。i p v 6 的地址格式与i p v 4 不同，由8 个地址节组成，每 节包含1 6 个地址位，以4 个十六进制数书写，节与节之间用冒号分隔，除了1 2 8 位的地址空间，i p v 6 还为点对点通信设计了一种具有分级结构的地址：可聚合全 局单点广播地址( a g g r e g a t a b l eg l o b a lu n i c a s ta d d r e s s ) 。层次化的地址分配也便于实 现路由聚合，进而减少路由表的表项，改善路由性能。 在地址配置方面，i p v 6 继承了i p v 4d h c p ( d y n a m i ch o s tc o n f i g u r a t i o n p r o t o c 0 1 ) 自动配置服务，并将其称为全状态自动配置( s t a t e f u ia u t o c o n f i g u r a t i o n ) 。 达到自动设置主机i p 地址的e t 的除了全状态自动配置，i p v 6 还采用了一种被称 为无状态自动配置( s t a t e l e s s a u t o e o n f i g u r a t i o n ) 的自动配置服务 2 1 2 报头结构 l p v 4 有许多域和选项，报头长度不固定。i p v 6 采用简化的报文头部，减少了 许多域、报头长度固定，减少了对普通情况的报头处理时间。同时，i p v 6 对报头 选项的处理允许更有效地传送和增加新的选项的灵活性图2 1 显示了i p v 4 报头 第二章i p v 6 及过渡技术介绍 及i p v 6 基本报头的各个字段及各字段所占的位数。 l p v 4 报头格式m v 6 报头格式 懒零 i h lt o s “数据报长度 鼍 搬 4 髓8 惶1 6 艟 ： 数据报1 d 标 分片偏移鼍 6 值记1 3 使 + y i ”t 协议 太韶榆验藕i 矗8 位 8 惶1 6 缱l 嗣p 地馕 ； 3 2 位 日的地址 i ，3 2 位； + p 选颂( 可选盼，授据嚣要进 舜疆船) 鹣一 。，。+ ，+ 。z 强零税鬣类壁漉标餐 “。i 4 纯8 位 2 啦 舂散载赫长度下一个头跳数限豺 1 6 挝啦8 艇 i 源l p 地址 ，l 1 2 8 挝麓 ；#i 。 曩的l p 她缝 鬟 i 1 2 8 像 藏。；m 女m ；# 。m * m # # # m l 图2 ii p v 4 报头格式和i p v 6 报头格式比较 f i 9 2 1 c o m p a r e o f i p v 4 h e a d e r f o r m a t t o i p v 6 h e a d e r f o r m a t 由图2 1 ，我们可以看出i p v 4 和i p v 6 报头的区别如下： i p v 6 不再包含包头长度、标志符、标记( f l a g ) 、碎片偏移( f r a g m e n to f f s e t ) 和校验和c h e c k s u m 等内容。i p v 6 的基本报头只有8 个域，而i p v 4 基本报头的1 5 个域，路由器处理i p v 6 要为更为轻松。 i p v 6 报头由一个基本报头和多个扩展报头构成，基本报头具有固定的长度 ( 4 0 字节) ，放置所有路由器都需要处理的信息，由于i n t e m e t 上绝大多数包都只 是由路由器简单地转发，因此这有利于加快路由速度 使用跳数限制而不是时间作为生存条件，更为合理。 通过流量类型和流标记提供内置q o s 支持，替代原来的服务类型。 i p v 6 定义了多种扩展报头，这些扩展包头附加在i p v 6 报头之后，这使得i p v 6 变得极为灵活，能提供对多种应用的支持。 i p v 6 简化的i p 分组头部减少了路由器的处理负载。允许包头压缩和可选的包 头扩展，以及提供q o s 和内容优先权等特性，这使i p v 6 在性能上大大超越i p v 4 。 2 1 3 服务质量 i p v 6 提供了比i p v 4 更好的对服务质量( q o s ) 的支持，为上层特殊应用的传送 信息流用流标签来识别，集成的q o s 功能对各种具有不同服务质量级别的业务进 行更细致的解析i p v 6 通过包头中的两个标志提供q o s ，每一个都针对了特定的 q o s 方案。第一个标识是一个8 比特的业务类别( t r a f f i cc l a s s ) ，为d i f f s e r vq o s 模型而设计，使发送节点和路由器可以决定不同i p v 6 数据包的优先级；第二个标 识是一个2 0 比特的流标签( f l o w l a b e l ) ，与i n t s e r v 协同工作，可保证具有相同 北京交通大学硕士学位论文 流标签的所有数据包通过相同的路径，从而保持了数据流的连续性。 2 1 4 安全考虑 安全问题始终是与i n t e r n e t 相关的一个重要话题。由于在i p 协议设计之初没 有考虑安全性，因而在早期的i n t e m e = t 上时常发生诸如企业或机构网络遭到攻击、 机密数据被窃取等不幸的事情。为了加强i n t e r a c t 的安全性，从1 9 9 5 年开始，i e t f 着手研究制定了一套用于保护i p 通信的i p s e c 协议。i p s e c 是i p v 6 的一个组成部 分，也是i f v 4 的一个可选扩展协议。 i p s e c 提供了两种安全机制：认证和加密。认证使i p 通信的数据接收方能够 确认数据发送方的真实身份以及数据在传输过程中是否遭到改动加密机制通过 对数据迸行编码来保证数据的机密性，以防数据在传输过程中被他人截获而失密。 但是，i p s c c 是一个网络层协议，它只负责其下层的网络安全，并不负责其上层应 用的安全，如w e b 、电子邮件和文件传输等。 2 2i p v 4 到i p v 6 过渡技术1 羽 总的来说，下一代i p v 6 技术的高速发展已经成为必然趋势，并且i p v 6 给了我 们一个在互联网方面赶超发达国家的机会。 基于过渡期基本问题和商业要求的考虑，设计过渡方案的主要目标如下： o i p v 4 和l p v 6 设备必须能够进行相互操作，包括通信和相互之间数据的理解。 o 从i p v 4 到i p v 6 的过渡必须简单，l p v 6 节点间不能有过多的相互依赖性。 o 要使网管人员和用户认为这样的过渡是容易理解和易于操作的。 依据这三个设计目标，i e t f 下一代互联网过渡工作组提出并实施了一套 i n t e r n e t 简单过渡机制s i t ( s i m p l ei n t e m e tt r a n s l t i o n ) 。它包括一些协议和管理规 则来简化过渡工作。其主要特点如下； o 渐进地无伤害地过渡 单个i p v 4 主机和路由器可以同时升级到1 p v 6 而不需要其它主机和路由器同时 升级，新i p v 6 主机和路由器可以一台一台地安装。 0 最小的升级依赖性 升级主机到i p v 6 仅需要升级d n s 服务器，使它能够处理i p v 6 地址记录。而 升级路由器则事先不需要任何支持。 o 方便的地址管理 当i p v 4 主机和路由器升级到i p v 6 时，它们可以继续使用自己的i p v 4 地址， 第_ 二章 p v 6 及过渡技术介绍 不需要重新分配i p v 4 地址，网络管理员不需要起草新的地址分配计划。 最低升级成本 最低成本升级现存的i p v 4 系统到i p v 6 系统，最低成本发展新的i p v 6 。 根据上面的原则的过渡技术一般被分为三种：双协议栈技术、隧道技术、地 址翻译技术。它们有各自不同的特点，适用于不同的环境。 双协议栈技术是指在单个节点同时安装i p v 4 和1 p v 6 协议栈，这样就既可以同 i p v 4 主机通信，又可以同i p v 6 主机通信。一般认为既可以实现i p v 4 通信，又能实 现i p v 6 通信的技术都是双协议栈技术。双协议栈技术包括一般双协议栈技术( 网 络中所有节点都具有双协议栈) 、d s t m 技术、b i s 技术、s o c k s 6 4 技术等。 隧道技术本质上是一种封装技术，它利用一种网络协议来传输另一种网络协 议，即利用一种网络传输协议，将其他协议产生的数据报文封装在它自己的报文 中，然后在网络中传输。隧道策略是i p v 4 i p v 6 过渡技术中经常用到的一种机制。 它所采用的隧道技术一般是i p v 6 - i n - l p v 4 隧道，就是在网络的某一结点将l p v 6 的 整个报文封装在i p v 4 报文中，并将这个i p v 6 报文视作i p v 4 数据报的数据净负载， 然后在目的地将其解封，得到i p v 6 报文。 基于l p v 4 网络的i p v 6 隧道传输过程分为4 个步骤：封装、传输、解封和隧道 管理。封装指在隧道的入口处创建i p v 4 数据报并将i p v 6 数据报装入i p v 4 数据报 中。传输是将携带有i p v 6 数据报报文的i p v 4 数据报在i p v 4 网络中利用隧道技术 进行传输。解封是指在隧道出口处移去i p v 4 数据报报头，提取出i p v 6 数据报报文。 隧道管理是指由隧道起点配置维护隧道的信息。诸如隧道支持的最大传输单元 m t u 尺寸等信息。 通常在i p v 4 网络实现1 p v 6 数据报隧道传输，根据封装设备和解封设备的类型， 提供了如下4 种隧道布置方案。主机至路由器、路由器至路由器、路由器至主机、 主机至主机。隧道技术通常按配置方式分为配置隧道和自动隧道两种类型。配置 隧道一般包括m a n u a lt u n n e l 和g k e 两种类型。自动隧道包括隧道代理( t u n n e l b r o k e r ) 、6 t 0 4 隧道、6 0 v e r 4 隧道，i s a t a p 隧道、t c r e d o 隧道、6 p e 隧道、兼容地 址自动隧道等。 地址翻译技术主要是为了实现i p v 6 主机和i p v 4 主机之间的互通而提出来的技 术，其技术中都有一个地址翻译器，来把i p v 6 地址翻译为i p v 4 地址，或者把1 p v 4 地址翻译为i p v 6 地址。地址翻译的目的就是为了实现异构网络的通信，对于应用