（计算机科学与技术专业论文）ipv6校园网入侵检测系统的研究与实现.pdf

t h er e s e a r c ha n di m p l e m e n t a t i o no fi n t r u s i o nd e t e c t i o n s y s t e mb a s e do nt h ei p v 6c a m p u s n e t w o r k at h e s i ss u bm i t t e dt o d a l i a nm a r i t i m eu n i v e r s i t y i np a r t i a lf u l f i l l m e n to ft h er e q u i r e m e n t sf o rt h ed e g r e eo f m a s t e ro fe n g i n e e r i n g b y z h a n gx i a o q i a n ( c o m p u t e rs c i e n c ea n dt e c h n o l o g y ) t h e s i ss u p e r v i s o r ：p r o f e s s o rl iz h i h u a i j u n e2 0 1 1 8m 6m 6 舢6m 9 舢8 舢舢丫 r- 1 - f 气 。 l 大连海 本人郑重声 撰写成硕士学位 经注明引用的内容外，对论文的研究做出重要贡献的个人和集体，均已在文中以 明确方式标明。本论文中不包含任何未加明确注明的其他个人或集体已经公开发 表或未公开发表的成果。本声明的法律责任由本人承担。 学位论文作者签名：丕豳禹 学位论文版权使用授权书 本学位论文作者及指导教师完全了解大连海事大学有关保留、使用研究生学 位论文的规定，即：大连海事大学有权保留并向国家有关部门或机构送交学位论 文的复印件和电子版，允许论文被查阅和借阅。本人授权大连海事大学可以将本 学位论文的全部或部分内容编入有关数据库进行检索，也可采用影印、缩印或扫 描等复制手段保存和汇编学位论文。同意将本学位论文收录到中国优秀博硕士 学位论文全文数据库( 中国学术期刊( 光盘版) 电子杂志社) 、中国学位论文全文数 据库( 中国科学技术信息研究所) 等数据库中，并以电子出版物形式出版发行和提 供信息服务。保密的论文在解密后遵守此规定。 本学位论文属于：保密口在年解密后适用本授权书。 不保密( 请在以上方框内打“，) 论文作者签名： 南 导师签名： 日期：2 0 f 年r ；o e l如簪 ?， 摘要 网络技术日新月异的发展给人们的生活和工作带来了乐趣和便利，越来越多 的人使用网络来处理各类事宜，网络的上的信息遍布各个领域，因此网络成为了 黑客们攻击和入侵的沃土，他们采用各种先进的技术和多样化的手段来进行窃听 拦截信息、攻击网络、入侵主机等各种不法行为，极大的破坏了信息的保密性、 完整性和可用性。由于信息的共享为入侵者提供了攻击的平台，单纯依靠防火墙 来被动的抵御入侵已经无法满足网络安全的需求，需要更加主动的防御措施出现， 入侵检测便是这样一种主动检测入侵的技术，可以在攻击未肆虐之前将其检测出 来，并采取相应的报警措施，确保网络的清洁安全。 i p v 6 的诞生也使得网络安全问题变得更加复杂，入侵的种类不断增多给入侵 检测带来了难题，如何解决i p v 6 协议下的兼容问题是入侵检测技术需要改进的问 题之一。大连海事大学校园网目前处在从i p v 4 向i p v 6 过渡的过程中，其用户群体 庞大，需要在现有的防火墙基础上增加入侵检测系统来保证校园网的安全。 本文从大连海事大学校园网的实际情况出发，结合了当前流行的开源式入侵 检测系统s n o r t ，通过对s n o r t 原有的模块进行改进，基于特征匹配技术，研究并 实现了适合大连海事大学校园网的入侵检测系统。本系统共包括六个模块，分别 是数据包捕获模块、数据包解析模块、预处理模块、检测引擎模块、输出报警模 块和主动阻断模块。按照入侵检测的流程依次对每个模块进行的详细的研究、设 计和实现。 本系统经过对i p v 4 i p v 6 过渡环境下的大连海事大学校园网中存在的安全问题 进行分析，将抵御这些攻击的规则添加到检测引擎模块的规则库中。同时本系统 设计了主动阻断模块来及时阻挡入侵的进一步深入，以达到全面快速的保护校园 网安全的目的。 关键词：i p v 6 = 网络安全；入侵检测；s n o r t = 规则库 j j 英文摘要 a b s t r a c t t h ed e v e l o p m e n to ft h en e t w o r kt e c h n o l o g yb r i n g sm u c hf u na n dc o n v e n i e n c e m o r ea n dm o r ep e o p l eu s en e t w o r kt om a n a g em a n yk i n d so fw o r k s t h eh a c k e r sa t t a c k t h ef e r t i l el a n db e c a u s et h ei n f o r m a t i o no ft h en e t w o r ki n v o l v e sv a r i o u sf i e l d s t h e y e a v e s d r o pa n di n t e r c e p tt h ei n f o r m a t i o n ，a t t a c kt h en e t w o r ka n di n t r u d ei n t ot h eh o s t s u s i n gv a r i o u sa d v a n c e dt e c h n o l o g i e sa n dm e a n s t h ei l l e g a l a c t i o n sd a m a g et h e c o n f i d e n t i a l i t y , i n t e g r i t ya n da v a i l a b i l i t yo f t h ei n f o r m a t i o n b e c a u s et h es h a r i n go ft h e i n f o r m a t i o nb r i n g sap l a t f o r mf o rt h ei n t r u d e r s ，t h ef i r e w a l lc a n tr e s i s tt h ea t t a c kb y i t s e l fi nap a s s i v em o d e i tn e e d ss o m ei n i t i a t i v em e a s l e st op r o t e c tt h es e c u r i t yo ft h e n e t w o r k t h ei n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) i sa na c t i v em e a nt od e t e c tt h ei n t r u s i o n b e f o r et h ea t t a c k st r a v e l se v e r y w h e r e i tc a ng i v ea l e r t st om a k et h en e t w o r kc l e a na n d s a f e t h eb o r no ft h ei p v 6m a k e st h ep r o b l e m so fn e t w o r ks e c u r i t ym o r ec o m p l e x m o r e a n dm o r ek i n d so fi n t r u s i o nb r i n gd i f f i c u l t yo fi n t r u s i o nd e t e c t i o n s o l v i n gt h e c o m p a t i b i l i t yu n d e ri p v 6i so n eo ft h ep r o b l e m so ft h ef u t u r ei d sn e e d st oi m p r o v e d a l i a nm a r i t i m eu n i v e r s i t y ( d m l oi si nt h et r a n s i t i o nf r o m v 4t oi p v 6 ，t h e r ea r e h u g eu s e r su s i n gt h ec a m p u sn e t w o r k i ti sn e c e s s a r y t oa d di d so nt h eb a s i so ff i r e w a l l t h i sp a p e rp r o c e e d sf r o mt h er e a l i t i e so fd m u t h r o u g hc o m b i n i n gw i t ht h eo p e n s o u r c ei d sn a m e ds n o r t , i m p r o v i n gt h em o d u l e ss n o r th a sa n db a s i n go nt h ec h a r a c t e r m a t c h i n g ，t h ei d sw h i c hs u i tf o rd m uh a sb e e na c h i e v e d t h i ss y s t e mh a ss i x m o d u l e s ：t h ed a t ap a c k e t sc a p t u r em o d u l e ，t h ed a t ap a c k e t sp a r s em o d u l e ，t h e p r e t r e a t m e n tm o d u l e ，t h ed e t e c t i o ne n g i n em o d u l e ，t h eo u t p u ta l e r tm o d u l ea n dt h e i n i t i a t i v eb l o c km o d u l e a l lo ft h em o d u l e sa r er e s e a r c h e d ，d e s i g n e da n da c h i e v e di n d e t e e t i o no r d e r t h i sp a p e ra n a l y z e st h en e t w o r ks e c u r i t yp r o b l e mo ft h ec a m p u sn e t w o r kw h i c hi s i nt h et r a n s i t i o nf r o mi p v 4t oi p v 6 ，a d ds o m er u l e se s p e c i a l l yf o rd m ui nt h er u l e s l i b r a r yo fd e t e c t i o ne n g i n em o d u l e t h es y s t e ma d d st h ei n i t i a t i v ei n t e r d i c t i o nm o d u l et o s t o pt h ei n t r u s i o ns p r e a d i n g s ot h es y s t e mc a np r o t e c tt h en e t w o r kf a s ta n dg e n e r a l l y k e y w o r d ：i p v 6 ；n e t w o r ks e c u r i t y ；i n t r u s i o nd e t e c t i o n ；s n o r t ；r u l e sl i b r a r y ot二- ，弋 f i 目录 目录 第1 章绪论l 1 1 选题背景与意义l 1 2 国内外研究现状2 1 2 1 入侵检测系统的发展2 1 2 2 入侵检测系统在i p v 6 中的应用3 1 3 大连海事大学校园网安全现状3 1 4 本文内容结构4 第2 章入侵检测系统剖析6 2 1 入侵检测系统的类型6 2 1 1 基于网络的入侵检测系统6 2 1 2 基于主机的入侵检测系统7 2 1 3 混合型入侵检测系统7 2 2 入侵检测方法：7 2 2 1 特征检测方法。7 2 2 2 异常检测方法8 2 3 入侵检测系统现状及未来9 2 4 网络入侵检测系统s n o r t 概述1 1 2 4 1s n o r t 简介1l 2 4 2s n o r t 功能模块分析1 1 第3 章基于s n o r t 的大连海事大学i d s 设计13 3 1 口v 4 i p v 6 过渡阶段现状1 3 3 1 1i p v 6 简介1 3 3 1 2i p v 6 的安全问题1 5 3 1 3i c m p v 6 简介1 6 3 1 4 口v 4 i p v 6 过渡阶段1 6 3 1 5i p v 6 i p v 4 过渡环境对入侵检测系统的影响2 0 3 2 系统整体设计2 1 3 2 1 需求分析2 1 3 2 2 整体设计方案2 2 3 3 系统各模块设计方案2 3 3 3 i 数据包捕获模块2 3 3 3 2 数据包解析模块2 4 3 3 3 预处理模块。2 4 3 3 4 检测引擎模块2 4 3 3 5 输出报警模块2 5 3 3 6 主动阻断模块2 5 第4 章基于s n o r t 的大连海事大学i d s 的实现2 6 4 1 开发环境2 6 4 2 数据包捕获模块的实现2 8 4 3 数据包解析模块的实现。3 0 4 3 1 数据连接协议解析3 0 4 3 2 网络协议解析3 2 4 3 3 传输协议解析3 3 4 4 预处理模块的实现3 3 4 4 1i p v 6 分段重组预处理器3 4 4 4 2 流重组预处理器3 5 4 5 检测引擎模块的实现3 6 4 5 1 规则解析3 6 4 5 2 规则重组3 7 4 6 输出报警模块的实现一4 1 4 7 主动阻断模块的实现4 1 4 8 运行测试4 2 第5 章总结与展望4 8 5 1 本文总结4 8 5 2 展望4 8 参考文献5 0 致谢5 4 研究生履历5 5 口v 6 校园网入侵检测系统的研究与实现 第1 章绪论 1 1 选题背景与意义 随着计算机网络的产生，网络安全也演变为一个国际化的问题。网络安全主 要包括网络系统的硬件、软件及其中数据、代码的安全，不受偶然的或者恶意的 破坏、更改、窃取，保证系统连续可靠地运行。网络资源的大范围共享使得网络 安全正在面临越来越严峻的威胁，计算机病毒、蠕虫、木马等大量的攻击活动十 分猖狂。近年来，随着网络影响范围的扩大，各种开放的攻击工具和代码可以轻 而易举的获得，这些日趋成熟的攻击技术给全世界都带来了巨大的损失。如果不 采取有效的防御措施，这些攻击活动会愈演愈烈，甚至危害全球的正常网络活动。 目前最常用的保护网络安全的手段是通过设立防火墙来阻挡对恶意攻击的入 侵，但是防火墙仅仅能防御外部入侵，无法解决内部产生的攻击行为，尤其是当 防火墙没有明确定义系统安全策略时，整个系统的安全都得不到保障。因此，网 络安全不能单纯的依靠防火墙来保护，更需要入侵检测系统( i n t r u s i o nd e t e c t i o n s y s t e m ，i d s ) t l 】的辅助来建立多层次的安全防御体系。计算机安防领域的专家l a n c e s p i t z n e r 对安防问题做了比较形象的比喻【2 】：如果把计算机网络安全问题比喻为城 堡，那么防火墙就可以作为城堡的护城桥( 只允许自己方面的队伍通过) ，入侵检测 系统可以比喻为城堡里的望哨( 监视是否有敌方或者其他误入城堡的人出现) 。由此 可见，网络安全的保护不仅需要一个坚实的盾，更需要能发现敌情的“哨兵 ， 监视并尽早发现攻击。 入侵检测是一种动态安全防护技术【3 】，入侵检测系统像雷达一样监控网络和计 算机系统是否出现被入侵或滥用的迹象，并对这些信息特征进行收集和分析，存 储到日志中以便于下次类似攻击到来时可以迅速的做出防御的指示。入侵检测系 统设置在防火墙之后，是防火墙的补充防御手段，它弥补了防火墙高成本、低监 控能力的不足，使得防火墙的作用得到更及时和充分的发挥。入侵检测不仅可以 检测外部攻击，也可以检测内部用户的非法活动。一个完善的入侵检测系统够增 强网络的安全性，同时不影响网络性能，也不需要人工干预，能对攻击在短时间 表1 1 入侵检测系统的发展阶段及其代表产品 t a b 1 1t h ep r o g r e s sa n dp r o d u c t so fi d s 发展阶段代表产品 基于主机的入侵检测系统i d e s ( i n t r u s i o nd e t e c t i o ne x p e r ts y s t e m ) p 1 基于多主机的入侵检测系统a i d ( a d a p t i v ei n t r u s i o nd e t e c t i o ns y s t e m ) 基于网络的入侵检测系统n s m ( n e t w o r ks e c u r i t ym o n i t o r ) p 分布式入侵检测系统d i d s ( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ) 0 0 j i p v 6 校园网入侵检测系统的研究与实现 在国外，随着近几年网络安全技术的迅速发展，从事网络安全技术和产品开 发的公司或研究所不计其数，市场上入侵检测产品众多，而且不断更新换代，并 不断有先进的软硬件技术应用在网络安全产品开发上【1 1 1 ，思科公司、j u n i p e r 网络 公司、c h e c k p o i n t 软件科技公司、1 5 5 公司、n e t w o r k a s s o c i a t e s 公司和m c a f e e 公 司等都是从事网络安全研究的代表，他们都有其代表性的商用i d s 产品。 在国内，很多公司和机构也开始了对入侵检测系统的研究，虽然起步较晚， 但取得的成就也不容小觑。典型的产品如中联绿盟冰之眼网络入侵检测系统、中 科网威的“天眼、东软软件公司的n e t e y e 系列防火墙和入侵检测系统以及启明 星辰的s k y b e l l 等等。这些入侵检测产品在准确率、产品适应能力、处理速度等方 面还有很大的提升空间，产品需要向智能化、集成化方向发展。 1 2 2 入侵检测系统在i p v 6 中的应用 ， 由于口v 4 【1 2 1 固有的局限性，i p v 6 代替i p v 4 已经成为历史的趋势。目前市场上 的绝大部分入侵检测产品都是基于m v 4 的网络环境，并且技术已经相当成熟，但 是基于i p v 4 的入侵检测系统并不能直接用于口v 6 中，如何在i p v 4 i p v 6 过渡环境 以及单纯的i p v 6 中仍旧能够达到入侵检测的目的，成为入侵检测产品面临的新的 挑战。 i p v 6 的诞生也给网络安全带来了全新问题，虽然i p v 6 可以更好的对网络扫描、 病毒和蠕虫传播、d 层欺骗、p 数据包窥探等进行防范，但是新协议的漏洞、新 的入侵特征规则库、新型的攻击工具都成为入侵检测系统要适应i p v 6 而解决的问 题。只有认识到i p v 6 的弱点，并掌握针对i p v 6 攻击与入侵的特点，才能进一步对 现有的入侵检测系统进行升级，从而提高网络系统的安全。 1 3 大连海事大学校园网安全现状 随着全球信息化技术的发展，高校校园网已经成为学校必不可少的基础设置 之一【l3 1 ，大连海事大学校园网正处于由口v 4 向i p v 6 的过渡阶段，采用多出口的万 兆校园网，带宽高，学校中的网络用户多，并且防范意识较弱，尤其是在机房、 图书馆等一些公共上网场所的网络很容易被攻击。同时，高带宽和多用户使得安 第1 章绪论 全问题传播速度快，会更加迅速的对网络产生影响，严重影响校园网的正常运行。 目前大连海事大学校园网的安全问题主要表现在以下几个方面： ( 1 ) 校园内上网场所安全防范意识不强。无论是在宿舍还是图书馆以及网络中 心这些公共上网场所，网络安全的软件和设备没有得到及时的更新，使得入侵和 攻击有了可乘之机，这些地点也成为了病毒感染的主要源泉。 ( 2 ) 网络系统本身存在的漏洞。没有绝对安全的网络，也没有绝对安全的保护 系统，每一套网络系统都存在自身的漏洞，这些漏洞一旦被不法分子利用就成为 了侵入网络的攻击武器。 ( 3 ) 校园网内部用户对网络资源的滥用。校园网内存在大量的软件、视频等共 享资源，这些资源的下载和滥用占用了大量的带宽，使得网络无法正常响应，带 来了严重的安全隐患。 ( 4 ) 用户流动性强。学生拥有大量的各种即插即用的移动存储设备，这些设备 都是病毒滋生的沃土，一旦这些设备染上病毒，侵入了校园网络，都将给网络安 全问题带来威胁。 总体来说，校园网的安全问题存在一定的隐患，维护校园的网络安全已经刻 不容缓，需要一个为校园网量身定做的入侵检测系统。 1 4 本文内容结构 本文以大连海事大学目前的网络现状为出发点，开发一个适合于校园网的入 侵检测系统。本系统基于开源的轻量级入侵检测系统s n o r t ，对大连海事大学校园 网内常见的攻击进行分析并编写规则加入到s n o r t 的规则库中，使其更好的保护校 园网的安全运行。本文的结构包括以下几章： 第1 章：绪论。主要阐述了目前社会上以及校园网的安全现状，提出了入侵 检测系统存在的必要性和意义。 第2 章：入侵检测系统剖析。深入剖析了入侵检测系统的类型、工作过程、 检测方法和工作原理，并将过渡阶段对入侵检测系统的影响进行阐述，特别介绍 了轻量级的入侵检测系统s n o r t ，详细说明了该系统的结构和工作方式。 ， i p v 6 校园网入侵检测系统的研究与实现 第3 章：基于s n o r t 的大连海事大学i d s 设计。本章主要介绍了大连海事大 学所处的i p v 4 i p v 6 的过渡阶段的现状以及过渡阶段的几种技术，根据本系统的需 求分析做出了整体的设计方案。 第4 章：基于s n o r t 的大连海事大学1 d s 的实现。本章主要是系统的具体实 现阶段，对每个模块的实现过程进行详细说明。 第5 章：总结与展望。对本文所做的工作以及系统的不足之处进行说明，提 出了对未来的入侵检测系统的展望。 第2 章入侵检测系统剖析 第2 章入侵检测系统剖析 2 1 入侵检测系统的类型 按照入侵数据源的不同，入侵检测系统大体可以分为三种类型【1 4 】：基于网络 的入侵检测系统( n i d s ) ，基于主机的入侵检测系统( h i d s ) 和混合型入侵检测系统。 n i d s 和h i d s 在本质上大致相似，但其操作和使用方法完全不同，混合型入侵检 测系统是以上两者的综合。 2 1 1 基于网络的入侵检测系统 基于网络的入侵检测系统成本低，因为它的保护范围大，一个装置就能保护 整个网段。n i d s 以网络中的数据为信息源，它监控流动在网络中的其他主机发送 和接收的流量。n i d s 通过捕获网络接口层的数据包来分析入侵的事件，将这些事 件的特征与已有的特征数据库进行匹配看其是否是非法攻击，并及时报警通知管 理员，切断网络通道和记录攻击日志的响应。n i d s 的优点主要表现在以下几个方 面： ( 1 ) 安全且不易中断。n i d s 在保护网络的过程中，支持入侵检测相关的服务， 不影响网络的正常运行，它不依赖于受监控的主机，有很好的可靠性和健壮性。 ( 2 ) 证据不易被破坏。由于n i d s 不依赖于主机，它将获取的攻击证据存储在 不同的机器上，这样入侵者就不能轻易破坏证据。 ( 3 ) 实时检测和响应。n i d s 检测速度很快，可以对入侵和误用迅速做出检测， 并对非法攻击做出响应。 ( 4 ) 支持底层协议的检测。n i d s 可以检测出利用底层网络协议进行的攻击。 同时，基于网络的入侵检测系统也有它的不足之处： ( 1 ) 只有通过本网段的活动才能被监测，不同网段的网络包不能被检测出来且 精度比较低，难以对入侵者进行精确定位。 ( 2 ) 难以在交换网络环境中对其进行配置。 口v 6 校园网入侵检测系统的研究与实现 2 1 2 基于主机的入侵检测系统 在基于网络的入侵检测系统出现之前，绝大多数的入侵检测都是基于主机的， 他们运行在被监测的主机之上，以主机的日志记录和审计文件作为分析的数据源， 并能区分正常数据和异常数据。 与n i d s 相比较而言，h i d s 的优点主要表现在以下几个方面： ( 1 ) 检测精确度高，h i d s 使用的数据源都是日志文件中已发生的事件，所以 它能够准确的判断是否发生了攻击行为。 ( 2 ) h i d s 拥有对主机的访问特权，用户可以根据需要对每台主机的i d s 进行 灵活配置。 ( 3 ) 成本较低，没有额外的硬件需求。 h i d s 的以上优点也使得它的可移植性不够灵活，它对于主机的操作系统有着 很强的依赖性，在使用过程中会占用主机的内存。由于h i d s 只监视针对主机的攻 击，它所保护的只是其依附的主机的安全，所以它不会对网络流量中的攻击进行 防御，因此，在互联网无所不在的今天，h i d s 难以保障整个网络的安全。 2 1 3 混合型入侵检测系统 h i d s 和n i d s 各有着其优缺点，他们的功能是互补的，一个保护着主机的安 全，一个阻挡着网络的攻击，于是，将二者结合起来的混合型入侵检测系统应运 而生。混合型的最早雏形是分布式入侵检测系统，它将h i d s 和n i d s 的组件结合 到一起，极大的提高了入侵检测的防范能力，全面保护网络和主机的安全。 2 2 入侵检测方法 i d s 有几种入侵检测方法，常见的有特征检测、异常检测【8 1 等，这些方法分别 监控不同类型的攻击，一个完整的入侵检测系统通常会采用几种检测进行综合的 方法。下面主要介绍特征检测方法和异常检测方法。 2 2 1 特征检测方法 特征检测也叫误用检钡, , l j ( m i s u s ed e t e c t i o n ) 15 1 ，特征检测方法是针对入侵行为的 检测，它有自己的特征库，在检测过程中，将可疑行为与特征库中已有的异常行 果可疑行为与异常特征 征库中。特征检测方法 的特征库可以降低入侵 准确的将可匹配的非法 赖，一旦出现漏报，将 入侵行为加入特征库，那么它将无法检测出类似的攻击，从而也就提高了它的误 报率。 2 2 2 异常检测方法 异常检沏j j ( a n o m a l yd e t e c t i o n ) 首先为用户定义了一个正常的行为模型，其中选 取了系统和用户的正常使用参数，这些参数都有一定的正常范围，用于区分正常 f 、 i p v 6 校园网入侵检测系统的研究与实现 和异常事件，这个范围被称为“阈值集合 ，凡是落在集合以外的都被认为是异 常行为【1 6 1 。异常检测方法过程如图： 图2 2 异常检测沉程 f i g 2 2t h ef l o wo fa n o m a l yd e t e c t i o n 异常检测可以被用于监控用户的操作，如果用户偏离正常的使用模式，检测 系统就会产生警报。例如，如果一个用户每天都是在八点登录系统，而有一天他 在六点就登录系统，那么异常检测就会提示警报，显示异常行为出现。 异常检测的最大优点是它不依赖于已知的特征库，只要可疑行为与正常模式 有较大不同，它就能检测出异常行为。而异常检测也有它的缺点，它无法准确判 定真正的异常，如前面的例子所说，用户在六点的合法登录使它产生了误报，或 者一个每天都在固定时间窃取文件的行为也会使之产生漏报。 2 3 入侵检测系统现状及未来 在入侵检测系统诞生的初期，人们以为只要有了入侵检测就不必担心网络的 安全，因此入侵检测系统倍受关注。随着攻击技术和各种新型检测技术的发展， 人们已经对入侵检测有了更加正确的认识，入侵检测的缺点也日益凸显【1 7 1 。 ( 1 ) 入侵检测无法完全检测出可疑行为。任何一种入侵检测产品都存在着一定 的缺陷，即使是目前最先进的检测技术也无法达到百分百的准确检测，它们无法 行为，不放过任何可能存在的威胁，从而降低系统的误报率。 ( 3 ) 实时报警功能【1 9 1 。一个完善的入侵检测系统除了降低误报率和漏报率，还 需要能在发现入侵时及时提醒管理员，这就要求系统处理速度快，反应灵敏。未 来的入侵检测应该向更智能的方向发展，一旦出现入侵行为，能够采取主动防御， 从而免去提醒管理员做出防御措施的时间。 ( 4 ) 易操作，可扩展。入侵检测系统的界面应该是友好的，也应该尽可能容易 的被操作。同时入侵检测系统应该有自我更新的可扩展性，能够自动更新特征库， 能够识别新出现的异常行为，而不是局限于已有的判断条件。 ( 5 ) 健壮性，多样化输出。入侵检测系统应该能适用于各种网络环境和主机环 境，在其所处的网络环境产生变化时，仍能够正常运行，对于网络中的软硬件也 t 3 i p v 6 校园网入侵检测系统的研究与实现 需要有着极强的兼容性。同时也应该有多样化的输出方式，而不是只局限于记录 入侵日志。 总体来说，未来的入侵检测系统应向智能化、人性化的方面发展，操作简便， 功能强大是其不断追求的目标。 2 4 网络入侵检测系统s n o r t 概述 2 4 1s n o r t 简介 s n o r t 系统【2 0 1 诞生于1 9 9 8 年，由m a r r yr o e s c h 采用c 语言编写而成，初期被 当作一种网络管理工具，后来逐渐在全球被广泛应用，被称为网络安全界的瑞士 军刀【2 1 。它可以作为网络嗅探器( s n i 您神、包记录器( p a c k e tl o g g e r ) 、网络入侵检测 系统( n i d s ) - - - 种模式参与入侵检测行为，它在任何网络环境中都能实现入侵检测 的解决方案。s n o a 的特点主要有以下几个方面： ( 1 ) s n o r t 是轻量级的系统。它占用的网络资源少2 ，对网络性能影响比较小， 使用方便，不会产生妨碍网络正常运行。 ( 2 ) s n o r t 是开源的系统。它的代码量较小，且结构清晰，管理员可以根据所处 网络环境的不同而修改代码从而增强s n o r t 的适应性。这也是s n o r t 传播量大的一 个重要原因。 ( 3 ) s n o r t 的适用性强，可移植以跨平台使用，支持所有的操作系统。 ( 4 ) 日志形式多样。支持m y s q l 、m i c r o s o rs q ls e r v e r 、o r a c l e 等多种主流 数据库，日志的输出可以是s y s l o g 、t c p d u m p 、t e x tl o g f i l e 、s n o r tu n i f i e d 等多种 格式。 ( 5 ) 支持插件功能 2 2 1 扩展。s n o r t 支持日志输出、端口扫描、碎片检测、x m l 网页生成等多种插件。 2 4 2s n o r t 功能模块分析 一个完整的s n o r t 系统是由数据包捕获模块、数据包解析模块、预处理模块、 检测引擎模块和输出报警模块五个模块组成2 3 1 。总体来说，s n o r t 的工作流程如下 图： 第2 章入侵检测系统剖析 图2 3s n o r t 系统工作流程 f i g 2 3t h ew o r kf l o wo fs n o r t 包捕获模块捕捉到网络中的数据包，将它传送给数据包解析模块进行解码， 解码完成后，将对数据包进行特定的预处理检测。预处理检测主要是处理数据包 在应用层的表现，使得下一步的检测引擎能够识别并做出合理的检测。检测模块 对数据进行规则解析和模式匹配后，对可疑行为提示报警并记录到行为日志中。 m v 6 校园网入侵检测系统的研究与实现 第3 章基于s n o r t 的大连海事大学i d s 设计 3 1i p v 4 i p v 6 过渡阶段现状 i p v 6 是网络技术史上最重要的一次升级，人们创建i p v 6 的动机是想要解决 m v 4 即将面临的地址枯竭。随着全球网络用户的急速增加，这个问题是不可避免 的。自从1 9 9 1 年开始，口v 4 的后继协议方案不断有人提出，直到1 9 9 8 年 i e t f ( i n t e m e te n g i n e e r i n gt a s kf o r c e ) 在r f c 2 4 6 0 矧中阐述了比较完整的下一代网 络协议，并称之为i p v 6 i 2 5 】【2 6 1 。 3 1 1i p v 6 简介 i p v 6 区别于i p v 4 的3 2 位，它含有1 2 8 位地址，其报头格式刚如下图所示： 版本号流量类别流标签 载荷长度下一报头跳数限制 源地址 目的地址 图3 1 口v 6 报头格式 f i g 3 1t h eh e a d e ro f i p v 6 可以看出，口v 6 的报头与口v 4 相比，并无太大区别，其中各部分字段及其内 容如下表所示： 第3 章基于s n o r t 的大连海事大学i d s 设计 表3 1 口v 6 报头内容 t a b 3 1t h eh e a d e ro f i p v 6 字段名字长说明 版本号4 位协议版本，口v 6 中版本号为6 流量类别8 位区分口v 6 数据包的不同优先级 流标签2 0 位标记需要相同处理的数据包的顺序，提高路由器效率 载荷长度1 6 位 指示除报头外以后的d 数据包剩余部分的字节数 下一报头8 位标识报头后面第一个扩展报头的类型 跳数限制8 位对数据包在网络中所跳次数的限制，避免死循环 源地址1 2 8 位数据包发送者的口地址 目的地址1 2 8 位数据包接收者的口地址 除报头外，i p v 6 数据报还可以有多个扩展报头，扩展报头后面是数据报的数 据部分，扩展报头不属于i p v 6 数据报的报头，所有的扩展报头和数据部分一起被 称为有效载荷。i p v 6 数据报的格式如下图所示： 0 个或多个 人 报头i 扩展报头ll i n 数据部分 l 有效载荷 图3 2 口v 6 数据报格式 f i g 3 2t h ef o r m a to f i p v 6d a m g r a m 除了全新的报头格式和更加庞大的地址空间，i p v 6 还在m v 4 的基础上做了如 下的改进【2 8 】： ( 1 ) 自动配置功能。i p v 6 提供了简单的配置功能，它允许网络中的设备通过“附 加状态地址配置 和“无状态地址的自动配置 两种技术来对m 地址进行自动管 理。未来的网络节点不仅仅是计算机，诸如冰箱、电视、电话等电器也会拥有自 己的口地址，自动配置可以使得这些节点不经过人工就可以自动通信，这样既简 化了网络的管理，又易于移动节点的即插即用。 ( 2 ) 增加邻居节点发现协议【2 9 1 。i p v 6 新增加了邻居发现节点( n e i g h b o r d i s c o v e r y ，n d ) 协议，它结合了i p v 4 中的地址解析协议( a d d r e s sr e s o l u t i o np r o t o c o l ， 口v 6 校园网入侵检测系统的研究与实现 a r p ) 、i c m p 路由器发现和重定向，使得单播和组播报文更加有效。它可以找到 临近的路由器来转发他们的数据包，并随时跟踪相邻节点哪些可达，哪些不可达， 来达到相邻节点的交流。 ( 3 ) 服务质量的提高。i p v 6 通过报头中的“流量类型”和“流标签 字段来实 现对服务质量( q u a l i t y o f s e r v i e e ，q o s ) 的支持。对于不同的网络状况，流量类型可 以区分数据流的优先级，流标签可以保证相同的数据流得到同样的处理，为用户 提供高质量的端到端的服务。 ( 4 ) 更可靠的安全保障。i p v 6 拥有全新的安全标准i p s e e 3 0 1 ，所有的i p v 6 网络 节点通过使用i p s e c 来建立端到端的连接，确保了传输的安全可靠。 3 1 2i p v 6 的安全问题 在i p v 6 中使用了i p s e e 进行加密来保证网络的安全可靠，但是频繁的对数据 包进行加密解密占用了大量的c p u 空间，使得网络的响应速度反而会变慢，因此 i p v 6 相对于i p v 4 来说，并不是没有缺点，其存在的安全问题主要表现在以下几个 方面【3 l 】： ( 1 ) i p v 6 与防火墙存在冲突。i p v 6 具有变化的t c p u d p 首部位置，防火墙需 要不断的寻找下一报头才能发现t c p u d p 报头，这就使得防火墙无法发挥其处理 性能，尤其是在带宽很高、数据包很多的情况下，防火墙的处理能力限制了i p v 6 网络的速度。如果使用加密报文传输，防火墙根本无法获得密钥，也就意味着无 法解密数据包获得报文的t c p u d p 端口号。如果将所有经过i p s e c 加密的数据包 都放行的话，也就意味着为黑客的侵入提供了一条通道，防火墙也就失去了保护 网络安全的意义。而如果禁止加密数据包通过的话，用户就被防火墙限制，无法 访问网络。 ( 2 ) i p v 6 与n a t 。i p v 4 中的n a t ( 网络地址转换) 技术破坏了端到端的通信，但 是它提供了一个隐藏内部拓扑结构的措施，由于i p v 6 中不再使用n a t ，其内部的 拓扑结构也就无法隐藏，容易遭受攻击。 第3 章基于s n o r t 的大连海事大学i d s 设计 ( 3 ) 针对i p v 6 应用的攻击增多。基于i p v 6 的应用各种各样，由于i p s e c 处于 网络层，无法保障应用层的漏洞不被攻击，因此对于专门针对应用的攻击防护起 来非常困难。 3 1 3i c m p v 6 简介 在i p v 4 中，i c m p 给出了有关网络健康的重要信息，而d v 6 中用i c m p v 6 来 控制网络消息。i c m p v 6 【3 2 1 是i p v 6 协议的重要组成部分，它继承了i c m p 在p v 4 中的基本功能，在升级过程中，抛弃了一些不再使用的过时功能，并将d v 4 的