（计算机软件与理论专业论文）ipv6下的入侵检测技术研究.pdf

ab s tr a c t abstract for tc即p an d itsap p l i c at i o nla y erp ro 杖 沁 o lswereerea t edat a t i m e w h e n n e tw o 改 securityw asn 、 a v 。 叹成 阳 ng con c el 欢this m ake th e t c p 月 p n e two r k l ack e v e n the mo st bas icm e c 恤 画 slnsfor security . v 内 ththe d e v e lo p m e n t of ln t 曰 旧 e t in n 父 e n t ye ars， c omp u t e r n e 加 阳 rkhas becoine v e ry如即比 川 t inpe o p le s d 的 l y li fe . aio ng 俪ththe d e v e l o plne nt， 阮 n c 加 阳 rka ti a c ks h 戈 o me mo reandr n o re加q u el 珑son et w o r ks e c u n ty 毗m d sl n c r e a s ing f( 沁 us fi m gov e n n n e n t ande x perts. thetechoo lo gy of n e two rk sec urityisatfu l l d e v e 】 o ped . t h e 】 n t n 巧 i on d e t e c t l on s y s te mad s)此户 x t s the con t e n ts ofn e 。 刀 0 改加伍 c tod e t ect possibl e a tt a c ks. hisa power fu l too l 协p ro t ect the n e 幻 刀 o rk 丘 。 ma 廿 朗如 n g . r 砚 犯 ar c h on ids h as比c o m e a n ew h o ts pot incom p ut e r sci e n c e . ipv6p r o toco i 】l asbee n des i gned infu l l c o n l d er at i o n o f the fl a w s o f 任 勺 4 . ips ec is 理 犯 d c o m p ul sori l y inipv 6 to加p roven et w o rksecurity. 护s e c ， h o m 限 ， er， c a n n d t p ro t ect the 配tv 旧 rk五 幻 mall 拓 的 ds ofat 扭 c ks. itisstinme a n m gfu 】 toc o n t i n u e to找 5 已 双 c hon b t n 招 i on l 吮 t ec l i on s y st e m. b utthe l n t n 巧 i on l 屹 t ect i on syst e mb 搜 记 d on ip v4 m ust be adju st edtom 喊 the n e 、 v d 曰 m andsini p v 6 . ，1 l l i s p 即 。foc onthe 妞 c hoo 1 0 gyofln l n 招 io n l 怡 t e c t io n s y s 抚 mb as edonip v 6 . it fi rst】 y p uts fo rwaj 心the q u e sti onth atc u rr e n t ids was use1 ess toan a 1y seenc ryp1 e d ip p ac k 成 比 即 gi v es aso l u t i o nto it . t h a t isto sa 丫am 阅 e l ti 川 ed “ e n c rypt ed con v e 晓 迢 打 on-onen曰 玩 加 此 10 n d et e ct i o n sys t 曰 m ， ，( e c o ms)】 l asbe e n bullt tosolvethe 帅 b l e n 1 t h e 叫曲 o r ，s con 州b ut i o nsare asfolfo ws : ( l) in加 川u c ed心e v 别 吐techoo l o gy， s u c h as任 勺 6 ， ids ， l d a p，p r o t oco i 田 l al ys is也. c a te goriz曰 the n e 加 门 rk a tt a c ks 明d印 l a l y 到 the di ffic u l t i e s u l a t h lt n 巧 io n 吮 t ect i o n sys t e mm a y enc o 切 吐 e r in1 pv6 . (2) l 吮 s i gned a m 侧 北 l w hi ch ne e d s d i r e c t o rys 。 ， e r，k 即 e x c ll ange so 介 w 别 re ， 玩 加 ” i on d 的 戈 l i on s y st e mtoc oope面e ， p rov ed 戮 urity，价 封 i o n al ity and reli abil ity ofthe m闭e l . (3)de歇 滋 卜 刃 the de面l sof 。 hm ed川 e ， s u c has: the d e s l gn of tbe e nt ry of d 吮 烈 o ry s e rv e r，the如p l e m e n 侧i on 田 l d im户 ro v 。 的 。 吐 of the ke y exc 坛 川 g e 声 跳 叱 。 1 一 开k，the 吻 比 m e nl 对 i onofl d a p p 甲 pr o o 巴 贬 幻 r a l l d esp 出 l a l 笋 必 r k 即w 6 rds : n e tv 阳 r k s ec 州ty ; 任 ， 6 ; ids;公 比 ctorys erver;p r o t oc o l a 门 a 】 y sis; 开 x ; ecoid s 学位论文独创性声明 学位论文独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人己 经发表或撰写过的研究成果， 也不包含为获得 南昌大学 或其他教育 机构的 学位或证书而使用过的材料。与我一同 工作的同志对本研究所做的 任何 贡献均已在论文中作了明确的说明并表示谢意。 学 位 论 文 作 者 签 名 (手 写 ): 纵 叫签 字 日 期 :多 问 年 ” 门 日 学位论文版权使用授权书 本学位论文作者完全了解南昌大学有关保留 、使用学位论文的规定， 有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅 和借阅。 本人授权南昌大学可以将学位论文的 全部 或部分内 容编入有关数据库 进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学 位 论 文 作 者 签 名 (手 写 ): 叫导 师 签 名 (手 写 ):今、 签字琳 加 7年 月 神 字 灼 年 月 挤 日 学位论文作者毕业后去向: 工作单位: 通讯地 址: 电话: 邮编: 第 1 章 引言 第1 章 引言 课题背景 随着互联网的发展，电子商务、电子政务、金融网络、网络虚拟社区 等开 始渐渐地走进了人们的日常生活，计算机网络已成为现代社会生产、生活中不 可缺少的一部分，已成为 21 世纪全球最重要的基础设施。然而，随着信息化程 度的日 渐提高， 网络的 用户越来 越多，网络的结构越来 越复杂，网 络承载的 信 息越来越丰富和重要，网络安全的形式也就越来越严峻。特别是近年来黑客站 点剧增，黑客工具唾手可得，攻击手段繁杂多样、水平日趋提高，恶意攻击对 网络造成的损失越来越大。有统计数据表明，在全球范围内由于信息系统的脆 弱性而导致的经济损失每年达数十亿美元，并且依然呈逐年上升的趋势。因此， 网络安全问题受到各国政府、企业、机构的密切关注。 ip v6l 1 作为下一 代互联网 络协议， 具 有扩大地址空间、 提高网络整体吞 吐量、 改 善服务 质量( q o s)、 支持即 插即 用和移动性、 更好实现多播功能等优点。 此外， 为了弥补l p v 4 协议在网 络安全方面的 设计缺陷， 护 v 6 把ip s e c 协议 121 作为必 选 协议。 ips ec 协议作为主动网络安全防范措施， 大大加强了网络通信会话的安全， 但 ips e c不能解决所有的网络安全问题13 ， 例如，利用高层协议或系 统的 漏洞 实 施的攻 击。 此外， ips e c 本身 也存在一 定的安全隐患。 传统的网络安 全保护措 施防火墙和网络入侵检测系统仍然有存在的必要性。它们将在实际的应用 中相互配合，共同构建网络安全的保护屏障。 然而 ips e c协议加密数据报功能的存在，对传统的防火墙和入侵检测系统 提出了新的要求，由 于现有的入 侵检测系统对于加密的数据包无能为力， 而单 一的安全技术无法抵御 日 益疯狂的对网络进攻，所以有必要对传统的安全技术 加以改 进以 使它们在新的网 络环境下继续发挥安 全防护的作用。 2目 前的研究现状 由于网络安全的形势不容乐观，安全防护具有了十分重要的现实意义，入 第 1 章 引言 侵检测系统作为一种重要的安全防护技术也就顺理成章地成为了研究的一个热 点。 特别是在ipv6 提出来以后， 原有工作在 ip v4 下的入侵检测系统会遇到一些 新的问 题，因此，有很多作者开 展了护 v 6 下入 侵检测系统的 研究工作，以 期改 进现有的系统适 应ip v6 这个新的 环境， 他们工作的重点主要 有: 文献14 根据l p v 4 和ip v6两种协议的不同， 在 分析ip v6 的 包头结构、 扩展头、 地址和安全机制的基础上，研究并提出了ipv6 环境下的协议解码和协议分析的 过程; 文献15 用零拷贝的 思想改进了 传统的 “ 抓包” 方式， 提高了包 捕获的 速度， 为高速检测提供了基础; 文 献16 在 分析己 有的 模式 匹 配算 法 b oy e 卜 mo re算法 ( 简 称 b m 算法 ) 、 a 五 。 一 c o rasic k 算法( 简称a c 算法) 等算法的基 础上， 提出了 一种新的 快速多 模式 匹配算 法困m s a)，并将其应用 到网 络入侵检测系统。 文献 17 研究了 软件性能 优化技术和ip v4 八 p v6入侵检测系统 性能调 优技术。 文献ts 9ll101 等探讨了分布式 技术、 智能 技术在入侵检测系统中的 应用的问 题， 以及入 侵检测系统和防火 墙联动技 术等。 通过对上 述研究工作的 分析， 可以总结出目 前 研究主要集中 在下面几个方 向: ( 1)针对l p v 6 协议分析的特点 和机制，目 前已 实现出了护 v 6 协 议的 协议分 析程序。 (2 ) 针对下一代网络高带宽、 数据传输量大的特点，目 前己 有了 一些快速抓 报、 检测的方 法，比如: 基于知识的零拷贝 技术、 模式匹配算法的改进、 软件 优化技术。 (3 ) 为了 应对新的攻击特点， 提高 入侵检测系统的检测性能，目 前探索了 分 布式技术、智能 化技术的 应用， 部分解决了 全面的防 御系统中各个组成部件之 间通信的问题。 (4) 在 文 献 111 1 中 ， 作 者 提 到 了ip s e c 对 现 有 的 防 火 墙 和 入 侵 检 测 系 统 会 产 生 影响，但没有给出具体的解决方案。 通常， 我们希望这样的解决方案不仅可以 检测网 络之间的加密 通信，还可 以 检测网 络内 部的 加密通信，因为根据分析统计， 很多网 络攻击来自 于内 部网 络112 1 。正是基于这样的背景 和现有的 研究状况， 本文将着重分析入 侵检测系统 在 印v 6 下不能分析加密数据包的问题，并提出该问题的解决方案。 第 1 章 引言 3课题的研究内 容 基于对现状的分析， 本课 题分析了网 络安全模型及网 络攻防措施，讨论了 入侵检测系统的工作原理和模块结构; 并从 ipv6 协议的特点和护s e c的工作机 制着手，分析了现有的入侵检测系统不能检测 ips e c加密数据包的现状，建立 了密钥交换程序、目 录 服务 器，入侵检测系 统三方 协作的 入侵检测模型，该 模 型下入侵检测系统能检测加密的数据包。具体地介绍了目 录服务器上条 目的组 织方式， 密钥交换程序 在目 录服务器上存取信息的实现方 法，入侵检测系统通 过 l d a p协议分析获取会话密钥的实现方法，利用获取的会话密钥通过 e s p 协 议分析模块来分析加密的数据包实现方法。具体的章节安排如下: 第一章，引言，介绍了本课题的背景、相关研究方向的现状及本课题研究 的重点内容。 第二章，网络安全模型及其攻防措施，介绍了网络安全的 p p d r模型，概 括了网络常用的攻击手段和防范的机制、技术。 第三章， ipv6 协议及其网络层的安全， 概括了i p v 6协议的特点和 护v 6数据 包的结构，分析了网络层安全协议 ips e c各个组成部分的工作方式，重点讨论 了快速密钥交换协议jfk的交换过程和该协议的特点。 第四章， 入侵检测 技术， 介绍了 入侵检测的定义、入 侵检测方法的 分类、 入侵检测系统的体系结构。 分析了实用的开放源代 码入 侵检测系统snort 的结构 和分析、检测方法。最后，展望了入侵检测系统的发展趋势。 第五章，目 录服务 技术， 介绍了 轻量级目 录访问协议的 (ld ap ) 的信息模型、 命名模型、功能模型、安 全模型， 讨论了目 录服务访问 操作的工作方式。 第六章，ipv6 下入侵检测系统技术，首先分析了入侵检测系统在 ips e c下 遇到的问 题，接着给出了 解决问 题的 方案， 建立了“ 面向 加密通信的入侵检测” ( 简称e c oid s) 的系统 模型， 分析了 模型的合理性、可行性、安全性。最后， 给出了 实现这个系统各个部分的具体细节， 包括目 录服务器存储结构的设计、 与目 录服务器交互的jf k密 钥交换程序的设 计、 入侵检测系统的l d a 卫协议分 析预处理模块、e s p 协 议分析模块。 第七章，总结与展望，对以上内容进行了总结，并提出进一步工作的设想。 第2章 网络层安全模型及其攻防措施 s y n n o ed: :该攻击以多 个随机的源主机地址向目 的 主机发送s y n包，而 在收到目的主机 5 、 闪a c k后并不回应， 这样目的主机就为这些源主机建立了大 量的连接队列，而且由于没收到 a c k一直维护这些队列，造成大量的资源消耗 而不能向正常请求提供服务。 d r d o s : 将伪造了 源地址的s y n请求包发送到许多 欺骗的计算机上， 根据 t c p 三次的握 手的 规则， 这些计 算机会向 源护发出s y n +a c k或r s t包 来响应 这个请求，受害计算 机忙于处理这些回应而 被拒绝 服务攻击。 u d pfl 。 。 d :目前在互联网上提供的www，ma i l 等服务一般使用 i j n以 操 作系统， 默认情况下开 放了 一些u d p 服务， 如原 本作为测 试程序功能的c h a r g e n 服务会 在收到 每一 个数据时随 机反馈一 些字 符，如 果 u d p服务 将这两 个 u d p 互指，则网络可用带宽会被耗尽. s m 切 rf 二 向一 个子网 广播地址发 送一 个带有 特定 请求的( 如ic mp 回 应请求) 的包，并且将源地址伪装成想要攻击的主 机地址，子网 上所有的主机都会回应 广播包请求而向被攻击主机发包，使之受到攻击。 l and :发送源、目标 ip地址相同的给 5 、 叹 数据包一个服务器， 服务器会向 自己发送一个 a c k + s y n数据包， 而后又会向自己送一个a c k数据包并创建一 个连接，每一个这样的空连接会保存到直到超时才会被释放掉。 p ing of de ath: 发 送 负 载 超出64 k 的ic mp 数 据 包 给目 标 主 机， 目 标 主 机由 于不能正确分配缓冲区而崩溃。 (3 )中间 人攻击:通过 各种技术手段将受入侵者控制的一台 计算机虚拟放置 在网络连接中的两台通信计算机之间， 这台计算机就称为“ 中间人” 。 然后入侵者 把这台计算机模拟一台或两台原始计算机， 使“ 中间人” 能够与原始计算机建立活 动连接并允许其读取或修改 传递的信息， 然而两 个原 始计算机用户却认为他们 是在互相通信.例如: 及p 会话劫 持: t c p 会话劫持的 攻击方式可以 对 基于tc p的 任何应用发起 攻击。 窥探到正在进行tcp 通信的两台 主机之间传送的 报文， 这样攻击者就可 以 得知 该报文的源ip 、 源t c p 端口 号、 目 的ip、 目 的t c p 端号， 从而可以 得知 其中 一台主机对将要收到的 下一个tcp 报文段中se q 和ac ks eq值的要求。 这样， 在该合法主机收到另一台 合法主机发送的t c p 报文前， 攻击者根据所截获的信 息向 该主机发出 一个带 有净荷的 t c p 报文， 如果该主 机先收到攻击报文，就可 以把合法的 t c p会话建立在攻击主机与被攻击主机之间。 第 2 章 网络层安全模型及其攻防措施 d n s 欺骗 ( d n s s p o o fi ng) 攻击者 通过入侵d n s 服务器、 控制路由器等方 法把受害者要访问的目标机器域名对应的 ip解析为攻击者所控制的机器，这样 受害者原本要发 送给目 标机器的数据就发到了攻击者的 机器上， 这时 攻击者就 可以监听甚至修改数据，从而收集到大量的信息。 (4 )数据驱动攻击:通过向某个 程序发 送数据，以 产生非预期结果的攻击， 通常为攻击者给出访问目标系统的权限。例如: 缓冲区溢出攻击:通过往程序的缓冲区写入超出其边界的内容，造成缓冲 区的溢出，使得程序转而执行其 他攻击者指定的 代码， 通常 是为攻击者打开远 程连接的s heu c o de，以达到攻击目标. 格式化字符串 攻击:利用由 于格式化函数的微妙程序设计错误造成的安 全 漏洞，通过传递精心编制的含有格式化指令的文本字符串，以使目标程序执行 任意命令。 (5 )碎片攻击:将具有完整信息的 数据单元人为的 分成不同 的碎片，通过碎 片覆盖、 碎片重写、碎片超时和针对网 络拓扑的碎片技术( 例如使用小的 明 几) 等具体的手段，以达到躲避入侵检测而实施攻击的目的。 总之， 现在网络攻击的手段在不断发展对过程当中， 攻击手段越来越综合化、 多样化、分布化、隐蔽化.这都给网络安全工作者提出了新的挑战。 2 . 3通信网络的安全保护机制 由于互联网络的开放性、连通性和 自由性。用户在享受共享信息便利的同 时，也存在着 自己的隐私被侵犯、信息被窃取和恶意破坏的危险。为了保护通 信网络的安全，国际标准化组织于 1989 年制定了在 0 51环境下解决网络安全的 规则l 61 ， 提出了网 络安 全体系结构的 概念，该规则提供了 保障网 络安 全的一 个 概念性、 功能 性、一致性的途径。 保障通信网络的常用机制有下面列出 这些， 密码学理论构成了它们的理论基 础， 而这些机制又是 构建网 络安全协议的基础， 也就是说，实用的网络安 全协议 往往采用以 下机制的 一种或者多种. ( 1) 加密机制 加密机制可以 用来加密存放着的数据或传输中的信息， 它既 可以 单独地使 用，也可以同 其他机制结合使 用。 加密是提供数据保密性保护最常用的方 法。 常有以下两种加密算法: 第2 章 网络层安全 模型 及其攻防措施 1) 对称加密 算法 对称加密算法的加密和解密 过程使用同一 个密钥。 如果 使用在 通信中，通 信双方必须使 用同 一个密钥才能对数据进 行加密 和解密。 2) 非对 称加密算法 非 对称加密 算法的 加密和解密过程使用不同的密 钥。 一般加密过程使 用公开 密钥，解密过程使用私有密钥。 公开密 钥是完 全公开的，私有密钥必须保密. 从公开密 钥推测到私有密钥理论上是不 可行的。 (2 )数字 签名机制 数据加密 是保护数据的最基本的方法， 但是， 这种方法只能防止第三者获 得真实数据，仅解决了安全问题的一个方面。有些安全问题，例如否认、伪造、 冒充等，则 数据加密是不能解决的。 为了 解决这些安全问 题， 使用了 数据签名机 制。数据签名的方案有很多种 ，其中常用的一种就是公钥签名方案。它由两个 过程组成。 1) 签名过 程: 这个过程使用签名者的 私有密钥 对数据进行加密成为鉴别信 息。 2) 验证 过程: 这个过程使用签名者的公开密钥 对鉴别信息进行解密，并和 数据相比较，如果比较结果致，那么验证通过。 此外，美国联邦政府基于有限域上的离散对数问题制定了自己的数字签名 标准( d s s ) 。 (3 )访问 控制机制 访问 控制机制 根据实 体的 身份及其有关信息， 来 决定 给实体的 访问 权限。 访 问控制机制是信息保护的前沿屏障，是按 照事先确定的规则决定主体对实体的 访问 是否合法。主体系统用户和程序等，实体包括终端、文本和文件等， 操作 是主体 和实 体的交互。此外，访问控制 还提供了 记帐性。 “ 记帐” 是通过审 计访 问记录实 现的，访问 记录包括主体访问了 什么对象和进行了什么操作。 在访问 控制系统中 有两个需要区分的概念: 策略和方法。 策略是决 定如何控 制访问 和访问 如何确定的高 层次方 针; 而方法是用来实施策略的软 件和硬件。 在计算机系统中主要有三类访问控制方法: 1) 自 由选择策略:是指只有通过身份验证用户 ( 组)才能访问资源 ( n e e d 一 to 一 如。 w ) .用户对资源每次访问都会 检查 用户对资源的访问权限。 2) 强 制 策 略 : 是 基 于 计 算 机 系 统 不 同 类 别 的 主 体 ( s u bj ect) 和 对 象 (objec t)， 第 2 章 网络层安全模型及其攻防措施 系统将所有用户和对象分成不同的安全等级。 3) 基于角色的策 略: 依据对系统中 角色行为来限制对资源的访问 。角色 可 以理解成为工作所涉及相同行为和责任范围内的一 组人，因此给予角色权限， 要比单独为个人授权方便得多。具有相关角色的用户拥有赋予此角色的所有权 限，而且一个用户可以扮演多个角色，当然同一个角色可以包含多个用户. (4 )数 据完整性机制 数据完整性的目的是保护数据以免被未授权的改变、删除、替代，使数据 不受无意或有意的破坏 ( 如修改、丢失、重放、重排序或替换) 。 常用的方法有: 测试字: 发送者通过一个双发认同的算法将信息转化成一个字符串 ( 称为 测试字)附加在 信息中，接受者用收到的信息进行同样的步骤， 从而能 够验证 信息的完整性。 封装和签名:用加密方法产生一个明文的附件传送值，当需要一个特定的 完整性要求时，这样一 个附件常被 称作完整性 校验值 (i c v ) 。 加密:一些加密机制既可以保证数据的完整性，又可用于保证机密性。假 定被保护的数据项拥有一些冗余，机密传输冗余能达到保证数据完整性的效果。 它使得一 个入侵者不知道加密的密钥而修改密文的一部分时， 会导致在解密的 过程中产生不正确的信息。 序列完整性:它为检测数据项的重放，重排，或丢失提供了一种方法， 它 形成了序列的一部分。 (5 ) 鉴别交换机制 鉴别交换是以交换信息的方式来确认实体身份的机制。 鉴别交换机制可以设 置在通信中的任何一层，以提供对等实体鉴别.如果在鉴别实体时，这一机制 得到否定的结果，就会导致连接的拒绝或终止，也可能使在安全审计跟踪中增 加一个记录， 或给安全管理中心一个报告。 在许多 场合，它们将必须与下列各 项结合使用: 1)时间 标 记 与 同 步 时 钟 。 2) 两次 握 手 和 三 次 握 手 。 两次 握 手 用于 单向 鉴 别 ， 三 次 握 手 用 于 双 向 鉴 别 。 3) 由 数字 签名和公证机制实现的抗抵赖服务。 (6 )公证机制 公证机制建立一个有权威的第三方，它能够确保双方通信中的身份及其数 第 2 章 网络层安全模型及其攻防措施 据，例如确保数据的完整性、数据的发起者身份、时间和地点等。提供公证的 第三 方必须是通信实体所信任的，并掌 握必要信息以一种可证实方式提供所需 的保证。每个通信实例可使用数字签名、加密和完整性机制以适应公证机制。 当 这种公证 机制被用到时，数据便在参与 通信的实体之间经由受保护的 通信实 例和公证方进行通信。 2 . 4网络安全防护技术 通信网 络的 安全保障机制实 现了 通信或者会话的 机密性、 完整性、 非否认性。 但是这仅是网 络安全防 护的一个方面， 远不够应对目 前的复杂的网络环境11 71 。 网络威胁往往来 自 于不同的方面，有些攻击手段更是独立于通信和会话之外， 比如:病毒传播、协议攻击、系统攻击。因此，网络安全的防护手段也应该是 全方 位的，除了 上面 所述的 一些机制之外，还需要下面的 一些常用技术11 伙 ( 1) 反病 毒技术 反病毒技术是网络安全性建设中重要的一环。 网络反病毒技术的具体实现方 法包括对网络服务器中的文件进行频繁的扫描检测，在工作站上用防病毒软件 对网络目 录及文件设置访问 权限 等。网 络反病毒技术包括预防病毒、 检测病毒 和杀毒 三种技术。 现在流行的 各种杀毒软 件都具备预防、检测和杀毒等功能。 预防病毒技术: 它通过自身常驻系统内存，优先获得系统的控制权，监视和 判断系 统中是否有病毒存在，进而阻 止计算机病毒进入计算 机系统和对系统进 行破坏。这类技术有加密可 执行程序、引 导区保护、 系统监控与读写 控制等。 检测病毒技术: 它是通过对计算机病毒的特征来进行判断的技术，如自身校 验、关键字、文件长度的变化等。 杀 病毒技术: 它通过对计算机病毒的 分析，开发出具有 删除病毒程序并恢复 原文件的软件。 (2 )防火墙技术 网络防火墙技术是一种用来加强网络之间访问控制， 防止外部网络用户以非 法手段通过外部网络 进入内部网络，访问内 部网 络资 源， 保护内 部网 络操作环 境的特殊网络互联设备。它 对两个或多个网络之间传输的数据包与 连接方式按 照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，并监视网 络运行状态。 第 2 章 网络层安全模型及其攻防措施 目 前的防火墙产品主要有堡垒主机、 包过滤路由 器、应用层网关( 代理服务 器) 以 及电 路层网关、屏蔽主机防 火墙、双宿主机等类型。 (3 )入 侵检测技术 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发 现并报告系统中未 授权或异常现象的技术，是一种用于检测计算机网络中违反 安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识 别出 任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。在现 实的 使用当中， 入侵检测技术和防火 墙技术经常相互配合， 构成了网络安全的 有利工具。 除了上面所述的技术之外，像系统漏洞扫描、地址绑定、网络监听等也是 网络安全防护的一些必要的辅助技术。其中，入侵检测技术是本文的重点，将 在下面章节进行更加全面的阐述。 第3 章 i pv6 协议 及其网络层的安全 第3 章 ! p v 6 协议及其网络层的安全 3 . ll p v 6 协议及其网络层的 安全 2 0 世纪9 0 年代互联网和个人计算机得到广泛普及， ipv4地址资源严重不足， 安全问 题日 益突出 。 1994年后ie t f 提出 一 种新ip地址解决方案， 被称为ip v6 ( 亦 被为 下一 代ip ) 。 l p v 6 保留 许多ip v4的成功点， 具体的 从ip v4到i pv6 的改 变如 下: ( 1)地址扩展: ip地址由 原来的32 位 扩展到了128 位， 并且 ip v6取消了l p v 4 地址的分类概念，可提供 3 . 4 x10 38个主机地址。 (2 ) 报文头的简 化: ip v6 的数据头与ip v4 完 全不同。 简化了 数据报文头部， 减 少了路由表长度，同时减少了路由器处理报头的时间，降低了报文通过网络的 延迟。 i p 、 4 报文头 检查， 如s uln ， ihl ， 认证标识和碎片不在出 现在ip v6 中。 (3 ) 可扩展性: 支持扩展 和选项的改 进， ip首部选项编码方式的修改导致更 加高 效的传输，在选项长度方面更少的限制以及将来引入新的选项时更强的适应性。 (4 ) 流量标识: 对服务质量作了定义， 可以 标记数据所属的流类型以 便路由 器成 交换机进行相 应的 处理。 i p v6中增了 “ n 0 wlabel 标识， 提供特定的q o s 。 (5 )路由 选 择: ip v6路由 与物理接口 ( 链路， 如t n l c f g 64或e l l l 0 3) 而不是 接口 关联 ( 绑定) 。 正 v 6 与 i p ， 4的 源地址选择功能不同。允许重复路由以 提高 稳健性，但在 路由 查找时将忽略重复路由。 (6 )对流的支持: 在ip v6 中ip头的格式里， 有专门的加hi t 流标签域。 主机发 送报文时，如 果需要把报文 放到流中 传输， 只需在流标签里填入相应的 流编号。 否则在流标签里填零就作为一般的报文处理。 路由 器收到流的第一个报文时， 以流编号为索引建立处理上下文，流中的后续报文都按上下文处理。 (7 )不需s i j m 区域检查: 在路由 器中 检查 s u m区域的协议数据包 被移除，数 据包在网 络传输前己 通过检查， 另外高 层协议如t c p 和u d p 也允许 招待自 我确 认，大多数情况下移除 s u m 区域检查不会产生严重的问题。 (8 )最大 传输单元 ( m tu ) : 护v 6的m tu 结构化下限为12 80 个字节。 也就是， i pv6将不会在低于此极限时对信息包分段。要通过小于 1280mi 飞 了 的链路发送 第 3 章 i p v6 协议及其网络层的安全 ipv6，链路层必须明确地对 ipv6 信息包进行分段和合并。 (9 ) 可扩展协议:不 像 ip v4，ipv 6不再定 义未来所有可能协议，允许发送人添 加数据包信息，这样使ipv6 比 ipv 4 有更广泛的灵活性，以后可设计新需求。 (l 0)安 全性: 认证和保密的功能， 在 l p v 6 中 为支持认证， 进行数据完整性及数 据保密的扩展。 i p v 6 数据包由一个 i pv6 报头、多个扩展头和一个上层协议数据单元组成. ip v6报头总是存在的， 其长度固定为40 字 节。 护 v6 中 可以 有一个或多 个扩展报 头， 这些报头可以 具有不同的 长度， i p v 6报头中的下一个报头字段指向 第一个 扩展报头。每个扩展报头中，都包含一个报头字段，最后一个扩展报头指示出 上层协议的 报头， 上层协议可以 是使t c p 、 u d p 、 icm pv6 等协议。 ip v6数据包 的结构如下图所示: 选项 i pv6 报头 1 扩展报头1扩展报头 n l土层协议敌据单儿 1 版本1 传 偏类别1获据 流标签1 十 - 十 斗 - 斗 - 斗 - 斗 - 斗 - 斗 - 冲 - 寸 -十 奋 一 卜 卜 卜 叫 卜 叫 卜 日寺 - 十 刊 卜 斗 - 斗 - 斗 - + ， 今 一 斗 - 斗 - + 1有效数据 长度it一个首部! 跳数限制1 十 卜叫卜 +-卜 叫卜刁一寸 -啼 一今 -洛 企 一十 一卜 卜 卜叫卜 叫洛 - -啼 -币 士 -于 一寸 -奄 -斗 - 斗-+ +派地址+ +- 卜 州 卜 峥 - 十 叫 卜 峥 一 十叫 卜洛亏 门 巨 啼 - 今 - 4 琦 月 4 - 币 - 闷 - 咔 +目的地址+ + 叫 冲 十-卜叫卜礴 -于十，卜 叫卜 +-卜闷一 斗 斗， 十一卜叫卜 + -峥 - 斗 图 3-ll p v 6 数 据包 的结构及基 木首部 格式 rf c 2 4 6 0 规定的i p v 6 必 须支持的 扩展头包括:逐跳选项包头、目 标选项包 头、路由 报头、 片断报头、身份验证报头、 封装安全有效载荷报头。 扩展报头 有一定的 顺序要求。 在这些报头中间， 身份验证报头和封装安全有效载荷报头 与网络的通信安全 有关， 它们又隶 属于ip s e c协议簇， 下面将详细的介绍护 s e c 协议。 第3章 ipv6 协议及其网络层的安全 3 . zi p s e c 协议簇 i p v 6 内置了ip s e c 协 议， 为网 络安全问 题提供了一种标 准的 解决方案。 ip s ec 是一个开 放性的安 全标准 框架， 可以 在公共网络上确保数据通信的 可靠 性和完 整性，能 够保障数据安全穿 越公 用网而 不被侦听或窃改， 为实现通用安全策略 所需的标准解决方案提供了理想的应用框架。ips ec 部署极为简便，只需安全通 道两端的路由器或主机支持 ips ec协议， 无需对网络基础设施进行任何更动， 其 优势主要表现为可以对所有 ip级的通信进行加密和认证， 为ip提供互操作性及 高质量的通信安全， 所支持的 安全服务包括存取控制、无连接的完整性、 数据 发起方认证和加密及抗重放保护。 这正是 ips ec 协议能够确保包括远程登录、 客 户机、服务器、电子邮件、文件传输及 认 范 b访问在内的多种应用程序安全的主 要依托。ips ec 协议由密钥交换协议、s a ( 安全关联) 、 a h协议和 e s p 协议的 这四个部分组成。 3 . 2 . 1密钥交换协议 ip s e c现在使用的密 钥交换协议 水e存在着诸如密钥交 换的轮数过多、运 算量大、 保存的状态信息多、易 受到 d o 5 攻击、缺少有效的 身份信息保护措施 等缺陷。因此学者们提出了一些 i k e的替代协议，其中 w.aill eo 等设计的快 速密 钥 交 换 协 议jf k(j ustf as t keyi ng) l 9 较 为 引 人 注目 ， 并 很 有 希 望 成 为i ke 的替代协议。本课题正是在这种背景下，选择 jfk作为ips ec 中的密钥交换协 议来进行分析和研究试验。 3 . 2 . 1 . ij f k 协议的交换过程 jf k协议有jf 筑和jf k 。 两种形式: jfk j 对发起方提 供了 身份信息保护， 但 是没有对响应方提供 身份信息保护; jf筑则是更多地保 护了 响应方的身 份信息， 它们可以根据需要应用在不同的场合。这里将以jfk.为例来分析 吓k协议。 开k i 协议的密钥交换过程分为两轮，共有四条消息，每条消息的具体内容 如下: ( 1 ) m e s sa g e l ， i-r : n i ， 9 ， ; ( 2 ) m e s 绷 e z ， r 一 1 : n i ， n ， ，梦 ， g rpinf or，h m a c h kr(梦 ， n r ， n . ，i p ) ; ( 3 ) mes sa 罗3 ， 1 r : n ， ， nr， 9 ， ， 9 ， h m 人 c 。 斌gr ， nr， ni， ip ，) ， e k 式 i d ， i dr ， ， 第3 章 i p v 6协议及其网络层的安全 sa， s i g i伽。 ， n r ， 9 ， ， 9 ， g rpinf 0 r) ) ， h m 人 c 以， 1 ， ， e 。 ( i di ， 凤， ， sa， s i g 。伽。 ， n r ， 官 ， 9 ， ， g rpinf 0 r ) ) ) ; ( 4 ) 脉 s sas e 4 ， r- 1 : n 。 ， n r ， e 。 ( i dr ， sa ， s i g k gr ， n r ， 9 . ， n i ) ， h m a c 以 r ， e 。 ( i d r ，sa ， ， s i g 浅 了 ， n r ， 9 ， ， n 。 ) ) ) ; 消息中涉及到的符号含义如下: n 。 、 n ， 分别代 表发起者和响应者选择的随 机数; 9 ， 、 梦 代表发 起者和响应者 选择的di ffie 一h ellm a n 公共值: sa是发起者协商的 安全关联， sa ， 是响应者协商 的安全关联; 乓用来加密数 据， ka用来做消息认证码的密 钥; idi、 ld r 分别是发 起者和响应者的身份信息 ( 如公钥证书) : g rp创f o r 包括响应者支持的所有 d i ffi e es 一 h el li n an 组和用来保 护消 息 3 和消息4的 对称密钥加密算法和产生密钥 的h as h 函数类 型。 ek( m) 表示利用 对称密钥加密算法，使用密 钥k来对消息m 加密。 si g 试 m) 表示利用 会话参与者x 的私钥 来对m进行数字签名. h m 人 c k 伽) 表示使用密钥 k来计算消息 m的消息认证码。 通过以上 4条消息建立了双方的安全关联，同时建立了会话的密钥 k i产 h m a c ， r (n 。， nr ， 0) ， 它 只 有 会 话 双 方 才能 计 算 得 出 来 ， 没 有 第 三 方 可以 得 到 . 安全关联s a ( sec 画tya ss oc i ation) 是单向的， 是两 个使用 ip s ec的实体( 主 机或路由 器)间建 立的逻辑连接，定义了实体间如何使用安全服务 ( 如加密) 进行通信。它由 下列元素组成: 1) 安全参 数索引s pi: 2) ip 目 的地址; 3) 安 全协议。 s a 是一个单向的逻辑连接，也就是说，在一次通信中，ips e c需要建立两 个s a ，一个用于 入站 通信， 另一个用于出 站通信。 每个s a用唯一的s pi索引 标识，当处理接收数据包时，服务器根据 s pi值来决定该使用哪种 s a。 3 . 2 . 1 . zj f k 协议的特点分 析 ( 1)高效性 整个协议仅需要一个阶段两 轮交换四条消息，简洁高效。 ， jfk协议允许重 用 计 算 量 很 大的9 ，、 宫( 当 然 重 用 的 时 间 有 一 定的 限 制) ， 使 用 者 只 需 要 改 变 随 机数ni、 n r 就可以 交换新的密钥. (2 ) 抗dos 攻击 d o 5攻击通常分为“ 运算 dos攻击” 和“ 内存消耗 do s攻击” ，协议中双方交 换完me s sa g e z 后，响应方 没有执行复杂的 运算， 因为 需要生成的宫 、 梦 在一定 第3 章 i p v 6 协议及其网络层的安 全 的时间间隔内是可以重用的。响应方保存的状态信息也是有限的，只有 h ma c ” k 浅 g r ， nr， ni， ipi) 、 nr和可以重 用的梦 。在发 起方 在经过复杂的 处理后 发 送 过 来了m es 涨 唱 e 3 后， 响 应 方 才 进 行 复 杂 运 算， 因 此发 送 方的d os攻 击 不 能奏效。 (3 ) 抗重放攻击 为了达到抗重放攻击的目的，发送者和响应者之间通过发送和传回随机数 ni， n ， 并 将它们放入 数据签 名中，以此来 保证会话的新鲜度。另外， 在 jfk中 与mes sa ge3 相 对的m es sa ge4 将被 缓 存 起 来 一 段时 间， 如 果 攻 击 者 发 送 一 个 重 放的m es sa g e 3 ， 响应者只是简单的发回缓存的m es sage 4 而已。 (4 ) 抗中间 人攻击 众所周知diffi e -h ell m an协议易 受中 间人攻击，而jf k协议是建立在 这个 协议的基础之上的， 为解决中间人攻击的问 题， jfk把自己的身份信息生成带密 钥的 认 证 码， 并 将 双 方 交 换 的g x， g y 签名 。 具 体的 思 路 120 1可 通 过 下 图 来 说 明 ， 中 间 人无 法伪造任何一方的 签名， 同时， 由于m a c km( b)的存在中间 人试图让 把自 己 的身份信息绑定到会话中的企图不能得逞. 犷 a一b 艺 b ， s i g 。 ( gx ，gy ) ， ma c k 二 ( b ) a ， s i g a( gx ， 梦 ) ， ma c 、 ( a ) 图3 2抵抗绑定错误身份信息的方法 (5 ) 身份信息保 护 jf玲没有保护发 起方的身 份信息，因 为如果攻击者截获m es s age l ，并 伪造 m es sagez 发 回 ， 这 样 攻 击 者 收 到mes sage 3 时 ， 由 于 他 知 道凡， 所以 他 可 以 获 得发起者的身份信息。 jf茂中则能很好的 保护发起方 信息， 但是响 应方的身 份 信息却是明文传输的 ( 为了让攻击者无法冒充响应者) 。 3 . 2 . zah 协议 a h 121是为了 对ip数据报进行认证， 检验数据的完全性以 及数据是否 来自 合 第3章 i pv6协议及其网络层的安全 法的发送方，同时也可以提供抗重放服务。当一个 s a建立的时候，发送方和接 收方计数器的值都为0 。 因而一个给定的s a发送的第一个包的序列号的值是 1 。 对于每个收到的包， 接收方必须确定在 s a的生命期内不能接收到相同序列号的 包，否则这个包是非法的。 这样重放攻击就可以通过 a h来有效的预防. 最后是 身份验证数据域， 它包含了 对这个包的完整性校验值( 功 t e 幼ty c hec k 物l ue， 简称 i c v )