（计算机应用技术专业论文）ipv6下协议分析技术在入侵检测系统中的研究与应用.pdf

太原理工大学硕士研究生学位论文 p v 6 下协议分析技术在入侵检测系统中的研究与应用 摘要 入侵检测是一种动态的安全防护手段，它能主动寻找入侵 信号，给网络系统提供对外部攻击、内部攻击和误操作的安全 保护。入侵检测系统可以记录和禁止网络活动，所以入侵检测 系统是防火墙的延续。最新的协议分析技术，解决了当前i d s 应用中的几个核心问题：准确性、性能、与其他安全系统的集 成、服务与支持能力。它是新一代i d s 系统探测攻击手法的主 要技术，它利用网络协议的高度规则性快速探测攻击的存在， 因而它与具体的协议格式息息相关。但是目前，由于i p v 4 本 身的缺陷，i p v 6 替代i p v 4 已成大势所趋。所以，协议分析 技术也必须根据新的数据包格式进行调整。i p v 6 具有长达1 2 8 位的地址空间，采用分级地址模式、高效i p 包头、服务质量、 主机地址自动配置、认证和加密等许多技术。在i p v 6 下入侵 检测系统捕获数据包的方法也必须做出相应的修改。 本文就如何将基于协议分析的入侵检测系统应用于i p v 6 平台进行了初步研究，并对以上几个问题提出了相应的解决方 太原理工大学硕士研究生学位论文 案。本文对入侵检测系统的平台移植进行了有益的探索。 关键词网络安全，入侵检测，i p v 6 ，协议分析 太原理工大学硕士研究生学位论文 r e s e a r c ha n da p p l i c a t l 0 na b o u tp r o t o c o l a n a l y s i st e c h n o l o g yi ni n t r u s i o n d e t e c t i o ns y s t e mb a s e do ni p v 6 a b s t r a c t i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) i sa na c t i v es e c u r i t y - d e f e n s i v e m e c h a n i s m i tc a ns e a r c hi n t r u s i v e s i g n a l a n do f f e rs e c u r e p r o t e c t i o na g a i n s te x t e r n a l a t t a c k ，i n t e r n a l a t t a c k a n di n a c c u r a t e o p e r a t i o n i t c a nl o ga n df o r b i dn e t w o r ka c t i o n ，a c t u a l l yi d si s s p r e a d o ff i r e w a l l p r o t o c o l a n a l y s i st e c h n o l o g yr e s o l v e s e v e r a l m a i np r o b l e m s ：a c c u r a t e n e s s ，c a p a b i l i t y , s e r v i c e ，i n t e g r a t i o nw i t h o t h e r s e c u r i t ys y s t e m i t m a k eu s eo f r e g u l a t i o n o fn e t w o r k p r o t o c o lt of i n dt h ee x i s to fa t t a c k ，s op r o t o c o la n a l y s i st e c h n o l o g y r e l a t e sw i t ht h ef o r m a to ft h ep r o t o c o ln e a r l y h o w e v e r , b e c a u s eo f t h eb u go fi p v 4 ，t h e r e p l a c e m e n to f i p v 6h a sb e e ni n e v i t a b l et r e n d s op r o t o c o l a n a l y s i st e c h n o l o g yh a st oc h a n g ea c c o r d i n gt o t h e n e wf o r m a to f i p v 6p r o t o c 0 1 a tt h es a m et i m et h em e t h o do fi d s 太原理工大学硕士研究生学位论文 c a p t u r i n gd a t a p a c k e t m u s tb em o d i f i e d i nt h i s p a p e r ，w e r e s e a r c h p r o t o c o la n a l y s i st e c h n o l o g y i n i n t r u s i o nd e t e c t i o n s y s t e m b a s e do ni p v 6a n dp u tf o r w a r dt h e r e s o l v e n tf o ra b o v ep r o b l e m s t h i s p a p e r c a r r i e st h r o u g h p r o f i t a b l e a t t e m p tf o rt r a n s p l a n to f l d s k e yw o r d sn e t w o r ks e c u r i t y , i n t r u s i o nd e t e c t i o n ，i p v 6 ， p r o t o c o la n a l y s i st e c h n o l o g y 太原理工大学硕士研究生学位论文 一入侵检测技术及在ip v 6 平台下的应用 1 网络安全综述 一般来说，计算机网络安全的衡量指标有下述几个方面： 可用性( a v a i l a b i l i t y ) ：当用户需要时，就可以访问系统资源。 完整性( i n t e g r i t y ) ：决定系统资源怎样运转以及信息不能被 未授权的来源替代和破坏。 真实性( a u t h e n t i c i t y ) ：正确识别消息的来源，保证连接的可 靠性。 机密性( c o n f i d e n t i a l i t y ) ：定义哪些信息不能被窥探，哪些 系统资源不能被未授权的用户访问。 本论文中所指的网络安全威胁主要指人的故意行为。网络攻击行为， 是指故意的、有目的性的破坏网络资源和信息的保密性、完整性和可用性 等因素的行为。在被入侵者一方，可能是因为人员的疏忽、网络和计算机 的配置不当、系统漏洞、协议漏洞等问题造成了入侵者有机可乘；在入侵 者一方，则是利用各种方法侵入系统非法利用资源，或破坏系统、删除 信息等人为行为。 目前，网络安全技术远远落后于网络应用技术的发展水平。这是因为 人们对网络安全技术的研究是相对被动的，是在出现了较严重的计算机犯 罪和涉及其它安全问题的时候，人们才开始着手信息安全的研究，建立网 络安全防护系统。信息安全主要包括以下内容：保密性( 防止系统内信息 太原理工大学硕士研究生学位论文 非法泄漏) ：完整性( 防止系统内软件程序与数据不被非法删改和破坏) ： 可靠性( 防止机器失效，程序错误，传输错误，自然灾害等造成的计算机 信息失误和失效) 等。从上述研究内容来看，要建立一个安全性高的网络 通常需要从以下几个方面进行( 2 】= 认证：通过认证进行用户身份的识别，通常确认用户的身份是在 允许用户访问网络资源之前进行的，一般采用用户名和口令等方 法： 授权：根据认证的用户身份来确定对信息资源的访问权限，包括 一次性授权和对每次服务进行授权，它可以对远程访问进行控 制，避免非法用户侵入： 审计：可以用来实现收集和发送帐单信息、用户审计跟踪信息等 功能； 安全服务协议：是用于网络内部安全通信的协议或命令： 流量过滤和防火墙：正确配置网络设备进行流量过滤可以有效地 提高网络的性能，合理地使用防火墙有利于提供网络抵抗黑客攻 击的能力和系统的安全性； i p 安全和加密传输：i p 数据包的安全加密传输可以保证数据的 机密性、完整性和不可否认性，即可以保证信息不被非授权泄漏， 包括存储机密性和传输机密性：保证信息不被破坏，防止信息在 存储和传递过程中被非授权、恶意和无意改变：建立责任机制， 使任何实体为其对信息所进行的任何操作承担责任【3 l 。 2 入侵检测系统概述 2 太原理工大学硕士研究生学位论文 ( 1 ) 入侵检测的定义 入侵检测( i n t r u s i o nd e t e c t i o n ) ，顾名思义，便是对入侵行为的发觉。 它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行 分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹 象。从而扩展了系统管理员的安全管理能力( 包括安全审计、监视、进攻 识别和响应) ，提高了信息安全基础结构的完整性 4 1 。进行入侵检测的软 件与硬件的组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ，简称 i d s ) 。 ( 2 ) 入侵检测系统的功能 相对于防火墙的被动防护而言，入侵检测是一种主动的网络安全防护 措施。它可以从系统内部和各种网络资源中主动收集信息，从中分析可能 的网络入侵或攻击。通过对入侵行为的过程与特征的研究，使安全系统对 入侵事件和入侵过程能做出实时响应，比如阻塞网络连接、记录事件和报 警等，在网络系统受到危害之前拦截和响应入侵，被认为是防火墙之后的 第二道安全闸门【5 1 。 一个理想的入侵检测系统应该具有以下功能： 监视分析用户和系统的行为 审计系统配置和漏洞 评估敏感系统和数据的完整性 识别攻击行为 对异常行为进行统计 自动地收集和系统相关的补丁 进行审计跟踪识别违反安全法规的行为 3 太原理工大学硕士研究生学位论文 使用诱骗服务器记录黑客行为 通过这些特点，可以使系统管理员有效地监视、审计、评估自己的系 统【6 1 。 ( 3 ) 入侵检测系统的分类 a )根据检测的数据来源分 基于主机的入侵检测系统( h o s t b a s e di n t r u s i o nd e t e c t i o ns y s t e m ，简 称h i d s ) ：检测分析所需数据来自主机系统，通常是系统日志和审计记 录。主要用于保护关键应用的服务器，需要在受保护的主机上安装专门的 检测代理，实时监视可疑的连接、检查系统日志及非法访问的闯入等，提 供对典型应用的监视，如w e b 服务器应用监视，从而发现攻击或误操作。 基于网络的入侵检测系统( n e t w o r k b a s e di n t r u s i o nd e t e c t i o ns y s t e m ， 简称n i d s ) ：数据来源是网络上的数据流。主要用于实时监控网络传输 的数据信息。通过截获网络中的数据包，提取其特征并与知识库中已知的 攻击模式( a t t a c kp a t t e r n ) 相比较，从而达到检测的目的。 h i d s 是对发生在组成网络的各种系统和设备上的与各种网络安全相 关的活动进行的监控，可以精确地判断针对本主机的入侵事件，并可立即 对入侵事件做出反应，僵它会占用主机宝贵的资源。而n i d s 只是监控流 经本网段的原始网络数据包，进行数据包分析，以发现入侵。这种入侵检 测系统易丢包，因而精确度较差，并且在交换网络环境难于配置，导致防 范入侵欺骗的能力下降。但是它可以提供实时的细粒度的网络监控。因此， 在实际应用中，二者通常是配合在一起使用的，以提供跨平台的入侵监视 解决方案 ”。 8 )根据检测使用的分析方法分 异常入侵检测型( a b n o r m a ld e t e c t i o n ) ：利用统计的方法来检测系统 4 太原理工大学硕士研究生学位论文 的异常行为。首先定义检测假设：任何对系统的入侵和误操作都会导致系 统异常，这样对入侵的检测就可以归结到对系统异常的检测【3 l 】。检测原 理： 【1 】为系统中存在的主体和对象( 如用户、工作组、c p u 负载、磁盘 和内存使用情况、网络的连接频度、单个用户的进程数等) 定义相应的统 计量，通过观察历史数据或一段时间的自学习，为每个统计量定义一个基 值( 即期望值，表示正常状态) ； 【2 】根据这些统计量利用统计方法建立系统正常运行时的轮廓模型 “ ( p r o f i l em o d e l ) ，并通过某些数据处理( 如w e i g h t i n gf u n c t i o n ) 组合上 述统计量，得到一个总体度量值( 系统的正常值、健康值) ； 【3 】当系统活动时，原来定义的统计量就会发生变化，从而引起系统 轮廓模型状态( 及对应度量值) 的改变，一旦这种偏移量超过可接受的范 围，即认为系统发生异常，系统可能正受到入侵。 误用入侵检测型( m i s u s ed e t e c t i o n ) ：通过对比已知攻击手段及系统 漏洞的模式特征来判断系统中是否有入侵发生。具体来说，就是根据静态 的、预先定义好的模式集合来过滤网络中的数据流( 主要是i p 层) ，一旦 发现数据包特征与某个攻击模式相匹配，则认为是一次入侵。 上述两种入侵检测分析方法各有优缺点异常入侵检测方法可以识别 未知的新攻击形式，但同时因为使用了统计技术的原因，可能将正常的系 统或用户行为的改变视为入侵，从而造成虚报( f a l s ep o s i t i v e ) ；误用入 侵检测方法则只能检测到所使用的模式库中的已知的攻击类型，无法对付 新型攻击，使用该检测方法易造成漏报( f a l s en e g a t i v e ) 。 最近又有人提出了不同于异常检测和误用检测方法的一种新的分类 方法综合分类( i n t e g r a t e dc l a s s i f i c a t i o n ) 法，如图1 - 1 示：其中：s 入侵检测技术的全集；h 基于主机的入侵检测技术的集合；t 一 5 太原理工大学硕士研究生学位论文 一基于网络流量的入侵检测技术的集合；a 基于异常分析方法的检测 技术的集合：m 一基于误用分析方法的检测技术的集合； 以上集合中， 和 分别构成s 的划分( p a r t i t i o n ) ，即 h u t = s ，且h n t = 中，a u m = s ，且a n m = 中。 在综合分类方法中，基本入侵检测技术有以下四类：h a = h n a ，数 据来源于主机，使用异常检测方法，如i d e s ；h m = h n m ，数据来源于 主机，使用误用检测方法，如a i d ( a d a p t i v e i n t r u s i o nd e t e c t i o n s y s t e m ) ； t a = t n a 数据来源于网络，使用异常检测方法，如n s m ( n e t w o r k s e c u r i t ym o n i t o r ) ；t m = t n m ，数据来源于网络，使用误用检测方法，如 r e a l s e c u r e 。 图图固s 6 太原理工大学硕士研究生学位论文 测系统( c e n t r a l i z e di n t r u s i o nd e t e c t i o ns y s t e m ，简称c i d s ) 和分布式入 侵检测系统( d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e m ，简称d i d s ) 。两者的 主要区别在于数据分析组件的工作方式。c i d s 采用单个数据分析组件进 行数据分析，因此其扩展性较差，存在单点故障问题，同时也耗费大量的 通信和处理资源 9 1 。d i d s 则将数据分析任务分配给多个处于不同位置的 数据分析组件，这些组件采用完全分布方式或分层方式进行协作。因此， d i d s 的可扩展性较好。 鉴于此，越来越多的研究者将对入侵检测的研究方向转移到了分布式 入侵检测体系结构上来。到目前为止，已有一些研究机构建立了分布式入 侵检测系统的实验性系统。u cd a v i s 的g d d s 在每台主机上运行一个模 块，它们向一台固定的机器发送消息，然后在这台机器上建立网络活动的 图形描述，用这个描述来检测可能的入侵：n a d i r 系统使用已有的服务 节点在l o sa l a m o s 国家实验室的集成计算机网络( i c n ) 上进行分布式 审计数据收集，然后由一个中心专家系统来分析这些数据；其它的一些系 统还有d i d s 和c s m 等。 这些分布式系统都是使用分布式组件来进行数据收集，然后把数据传 送到处理中心，在处理中- 凸进行统一处理。这并非完全的分布式系统，仍 然存在一些局限【l o 】： a ) 入侵检测实时性较差： b ) 由于中央数据分析器是唯一的错误分析处，因此如果一个入侵者以 某种方式阻断它运行时，网络就得不到保护： c 1 由单一主机处理所有信息意味着被监控的网络规模将受限制，大量 的数据收集将导致网络通信过载； d ) 不同入侵检测系统难以实现互操作。 7 太原理工大学硕士研究生学位论文 ( 4 ) 入侵检测系统的主要研究方向 近年来，入侵或攻击技术发生了很大的变化，主要表现在：入侵手段 的多样化：入侵主体对象的间接化( 即实施入侵与攻击的主体的隐蔽化) ： 入侵规模的扩大化( 从单个主机到整个网络，从一个网络到多个网络) ： 入侵与攻击技术的分布化( 分布式拒绝服务攻击d d o s 就是以分散在互联 网上的大量主机系统协同攻击目标主机的) ；攻击对象的转移( 由攻击网 络改为攻击网络的防护系统) 。随着网络入侵和攻击手段向分布式方向发 展，且采用各种数据处理技术，其破坏性和隐蔽性也越来越强。相应地， 入侵检测系统也在向分布式结构发展，采用分布式收集信息、分布处理、 多方协作的方式，将基于主机的i d s 和基于网络的i d s 结合使用，构筑 面向大型网络的i d s ，而且对处理速度及各相关性能的要求更高。目前已 有的i d s 还远远不能满足入侵检测的需要 1 i l 。入侵检测技术的主要研究 方向有： 曲i d s 体系结构的研究。i d s 是包括技术、人、工具三方面因素的一 个整体，如何建立一个良好的体系结构，合理组织和管理各种实体，以杜 绝在时间上和实体交互中产生的系统脆弱性，是当前i d s 研究中的主要 内容，也是保护系统安全的首要条件。 i d s 体系结构的研究主要包括：具有多系统的互操作性和重用性的通 用入侵检测框架；总体结构和各部件的相互关系；系统安全策略；具有可 伸缩性的统一i d s 系统结构；i d s 管理；d a r p a 提出的通用入侵检测框 架c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) ：具有可伸缩性、重用 性的系统框架；安全、健壮和可扩展的安全策略。 b 1 安全通信技术的研究。目前，分布式系统的安全通信机制也是研究 领域的一个热点，包括i e t f 的入侵检测报警协议( i n t r u s i o n a l e r tp r o t o c o l ， 8 太原理工大学硕士研究生学位论文 简称i a p ) 、安全认证和远程控制等协议、高效且具有互操作性的安全通 道。 c ) 响应策略与恢复研究。i d s 识别出入侵后的响应策略是维护系统安 全性、完整性的关键。1 d s 的目标是实现实时响应和恢复。实现i d s 的响 应包括：向管理员和其它实体发出警报：进行紧急处理：对于攻击的追踪、 诱导和反击：对于攻击源数据的聚集以及i d 部件的自学习和改进。i d s 的恢复研究包括：系统状态一致性检测、系统数据的备份、系统恢复策略 和恢复时机。 d ) 协作式入侵检测技术研究。随着黑客入侵手段的提高尤其是分布 式、协同式、复杂模式攻击的出现和发展传统的单一、缺乏协作的入侵 检测技术已经不能满足需求，需要有充分的协作机制。 协作是一个重要的发展方向，协作的层次主要有以下几种：a 同一 系统中不同入侵检测部件之间的协作，尤其是主机型和网络型入侵检测 部件之间的协作，以及异构平台部件的协作；b 不同安全工具之问的协 作；c 不同厂家的安全产品之间的协作：d 不同组织之间预警能力和信 息的协作。 要实现协作首先要考虑两个问题：是信息表达的格式和信息交换 的安全协议：二是协作的模型。信息表达的格式有两个标准：d a r p a 的 通用入侵检测框架c i d f 中提出的c i s l ( c o m m o ni n t r u s i o ns p e c i f i c a t i o n l a n g u a g e ，简称c i s l ) 语言；i e t f 的入侵检测工作组i d w g 中l a p 使 用的另一套方案。两者各有所长，有待进步研究以确定一个统一的、能 同时实现协作控制信息交换和数据信息交换的通用标准 【2 】。 9 太原理工大学硕士研究生学位论文 ( 5 ) 通用入侵检测框架c 1 0 f c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) 阐述了一个入侵检测 系统的通用模型。c i d f 所做的工作主要包括四部分：i d s 的体系结构、通 信机制、描述语言和应用编程接口a p i 1 13 1 。 c i d f 的体系结构 c i d f 在i d e s 和n i d e s 的基础上提出了一个通用模型，将入侵检测系 统分为四个基本组件：事件产生器、事件分析器、响应单元和事件数据 库。 事件产生器、事件分析器和响应单元通常以应用程序的形式 出现，而事件数据库则往往是文件或数据流的形式，很多i d s 厂商都 以数据收集部分、数据分析部分和控制台部分三个术语来分别代替事 件产生器、事件分析器和响应单元。 c i d f 将i d s 需要分析的数据统称为事件，它可以是网络中的 数据包，也可以是从系统日志或其它途径得到的信息。 以上四个组件只是逻辑实体，一个组件可能是某台计算机上的一个进 程甚至线程，也可能是多个计算机上的多个进程，它们以g i d o ( 统一入 侵检测对象) 格式进行数据交换。g i d o 是对事件进行编码的标准通用格 式( 由c i d f 描述语言c i s l 定义) ，g i d o 数据流可以是发生在系统中的 审计事件，也可以是对审计事件的分析结果。 事件产生器 事件产生器的任务是从入侵检测系统之外的计算环境中收集事件， 并将这些事件转换成c i d f 的g i d o 格式传送给其它组件。 事件分析器 1 0 太原理工大学硕士研究生学位论文 事件分析器分析从其它组件收到的g i d o ，并将产生的新g i d o 再传送 给其它组件。分析器可以是一个轮廓描述工具，统计性地检查现在的事 件是否可能与以前某个事件来自同一个时间序列：也可以是一个特征检 测工具，用于在一个事件序列中检查是否有已知的滥用攻击特征：此外， 事件分析器还可以是一个相关器，观察事件之间的关系，将有联系的事件 放到一起，以利于以后的进一步分析。 事件数据库 用来存储g i d o ，以各系统需要的时候使用。 响应单元 响应单元处理收到的g i d o ，并采取相应的措施【1 4 】。 系统各个组件之间的配合关系如图1 - 2 所示： 系统日志 或者网络资料 i 用户历史行为 剑磊 4 专家经验 ，一卅检测 n 监测 i l 神经网络模型 ：；f = 一一l 一 l i ，孓y 飞。 断开连接 记录证据 资料恢复 其它响应 图1 2入侵监测系统通用框架 l l 太原理工大学硕士研究生学位论文 c i d f 的通信机制 f i g u r e l 一2g e n e r a lf r a m ec l s s so fi d s 配对服务 配对服务采用了一个大型目录服务l d a p ( 轻量级目录访问协议) ， 每个组件都要到此目录服务进行注册，并通告其它组件它所使用或产生的 g i d 0 类型。在此基础上，组件才能被归入它所属的类别中，组件之间才 能互相通信。 配对服务还支持一些安全选项( 如公钥证书、完整性机制等) ，为各 个组件之间安全通信、共享信息提供了一种统一的标准机制，大大提高了 组件的互操作性，降低了开发多组件入侵检测与响应系统的难度。 路由c i d f 采用了两种路由：源路由和绝对路由。 消息层处理规定了消息层消息的处理方式，它包括四个规程： 标准规程、可靠传输规程、保密规程和鉴定规程。 c i d f 语言 c i d f 的总体目标是实现软件的复用和i d r ( i n t r u s i o nd e t e c t i o n r e s p o n s e ) 组件之间的互操作性。c i d f 的工作重点是定义了一种应用层 的语言c i s l ( c o m m o ni n t r u s i o ns t a n d a r dl a n g u a g e ) 2 0 1 ，用来描述i d r 组件之间传送的信息，以及制定一套对这些信息进行编码的协议。c i s l 可以表示c i d f 中的各种信息，如原始事件信息( 审计踪迹记录和网络数 据流信息) 、分析结果( 系统异常和攻击特征描述) 、响应提示( 停止某 些特定的活动或修改组件的安全参数) 等【l ”。 1 2 太原理工大学硕士研究生学位论文 3 将入侵检测系统应用于ip v 6 平台 ( 1 ) 现实意义 由于目前i p v 6 尚未广泛部署，因此基于i p v 6 的攻击尚未出现。但是， 作为网络安全的专业人员不应当等攻击大面积泛滥时才去研究如何破解。 出于未雨绸缪的考虑，我们有责任尝试将i p v 4 下的入侵检测系统移植到 i p v 6 平台上。 由于i p v 6 相对于i p v 4 格式的变化以及安全性的提高，将会使得很多 现在流行的攻击手段纷纷失效。但是，有一点是可以确定的：当前那些基 于合法t c p 协议的攻击将被继续移植到i p v 6 下，这也将是本文所考虑的 重点【1 6 】。 ( 2 ) 目前的进展 目前，在所有免费的i d s - f 具中，只有s n o r t - 2 0 宣称支持i p v 6 。 但它确实还有些问题。在处理定义了本地i p v 6 网络选线时，关于子网掩 码会出现严重错误。它甚至不能处理任何i p v 6 的子网或者接口地址。如 下图1 3 所示：【2 5 】 图1 3s n o r t2 0 在i p v 6 环境中的错误显示 f i g u r e l 一3 e r r o rd i s p l a yo f s n o r t 2 0i nl p v 6 1 3 太原理工大学硕士研究生学位论文 接口信息如下图1 - 4 图卜4i p v 6 环境的接口信息 f i g u r e l 一4i n t e r f a c ei n f o r m a t i o no f l p v 6 但是在移除本地选项( h o m eo p t i o n ) 之后，情况如图1 - 5 所示： 图1 - 5s n o r t 2 o 在移除本地选项后的显示 f i g u r e l 一5 d i s p l a y o f s n o r t 2 0 a f t e r h o m e o p t i o n i sr e m o v e d 而事实上，这个接口并没有分配i p v 4 地址，就象未来完全的i p v 6 网 络一样，这里只配置有一个纯粹i p v 6 地址。 1 4 太原理工大学硕士研究生学位论文 最终发现，s n o r t 2 0 并非一个真正基于i p v 6 的入侵检测系统。它 只具备了解码和输出引擎。在规则集中并没有对i p v 6 的支持，也没有 检测引擎。因此，严格来讲，它只是一个功能非常有限的试验品。它只 能检测在i p v 4 隧道中运行的不规则i p v 6 数据包【1 7 】。 1 5 太原理工大学硕士研究生学位论文 1 i p v 4 的局限性 ( 1 ) 地址空间危机 二i p v 6 现状与未来 i p v 4 地址为32 位长，经常以4 个两位十六进制数字表示，也常常以 4 个0 至255 间的数字表示，数字间以小数点间隔。每个i p 主机地址包 括两部分：网络地址，用于指出该主机属于哪一个网络( 属于同一个网络 的主机使用同样的网络地址) ；主机地址，它唯一地定义了网络上的主机。 这种安排一方面是ip 协议的长处所在，另一方面也导致了地址危机的产 生。 由于ip v4 的地址空间可能具有多于40 亿的地址，有人可能会认为 internet 很容易容纳数以亿计的主机，至少几年内仍可以应付连续的 倍增。但是，这只适用于ip 地址以顺序化分布的情况，即第一台主机的 地址为l ，第二台主机的地址为2 ，依此类推。通过使用分级地址格式， 即每台主机首先依据它所连接的网络进行标识，ip 可支持简单的选路协 议，主机只需要了解彼此的ip 地址，就可以将数据从一台主机上转移至 另一台主机。这种分级地址把地址分配的工作交给了每个网络的管理者， 从而不再需要中央授权机构为internet 上的每台主机指派地址。到网 络外的数据依据网络地址进行选路，在数据到达目的主机所连接的路由器 1 6 太原理工大学硕士研究生学位论文 之前无需要了解主机地址。 通过中央授权机构顺序化地为每台主机指派地址可能会使地址指派 更加高效，但是这几乎使所有其他的网络功能不可行。例如，选路实质上 将不可行，因为这将要求每个中间路由器去查询中央数据库以确定向何处 转发包，而且每个路由器都需要最新的interd - et 拓扑图获知向何处转 发包。每一次主机的地址变动都将导致中央数据库的更新，因为需在其中 修改或删除该主机的表项。 i p 地址被分为五类，只有三类用于ip 网络，这三类地址一度被认 为足以应付将来的网络互联。a 类地址只有126 个，用于那些最大的实 体，如政府机关，因为它们连接着最多的主机：理论上最多可达一千六百 万台。b 类地址大约1 60 0 0 个，用于大型机构，如大学和大公司，理论 上可支持超过6 50 0 0 台主机。c 类网络超过两百万个，每个网络上的主 机数量不超过255 个，用于使用i p 网络的其他机构。 更小的公司，某些只有几台主机，它们对于c 类地址的使用效率很 低；而大型机构在寻找b 类地址时却发现越来越难；那些幸运地获得a 类地址的少数公司很少能够高效地使用它们的一千六百万个主机地址。这 导致了在过去几年中一直使用的网络地址指派规程陷入了困境，在试图更 有效地分发地址空间的同时，还要注意保存现有的未指派地址。与此同时， 一些解决地址危机的办法开始得以广泛使用，其中包括无类域间选路( ci d r ) 、网络地址翻译和使用非选路网络地址。 ( 2 ) 安全性差 刚开始时连入in terne t 的都是侧重于研究与开发的机构，至少其 中的研究人员互相间了解各自的名声，而他们与军队和政府的密切关系也 保证了安全性不是一个主要问题。更重要的是，很久以来人们认为安全性 1 7 太原理工大学硕士研究生学位论文 议题在网络协议栈的低层并不重要，应用安全性的责任仍交给应用层。在 许多情况下，i p v 4 设计为只具备最少的安全性选项，而i p v6 的设计 者们已在其中加入了安全性选项来强力支持ip 的安全性。 i p v 6 安全性的增强无疑将改进虚拟专用网( v p n ) 的互操作性。i p v6 的安全性特性中包括数据的加密与对于所传输的加密数据和未加密数 据进行的身份验证。这些功能也许将被证实是有价值的，但其价值( 和功 效) 将主要体现在政治上而不是技术上。 ( 3 ) 移动性差 在ip 还很年轻时，大部分计算机被放在雕花地板的房间里且其价格 超过了大多数人一年( 甚至更长时间) 的收入。这些系统无法搬到任何其他 地方去：它们年复一年地放在个房间或建筑物中，它们与internet 的连接基本上是静态的，极少改变。那时也没有isp ，它们通过电话公 司提供的线路来链接至其他网络或1 1 1 ter ne t 骨干网。 现在事情有了些变化。有数百个isp 可供选择，如果对于用户系统 与网络间的选路和转发没有影响的话，理论上用户可以在不同的isp 间 切换，从而更好地利用不同的速率和服务。同样，越来越多用户的工作方 式要求网络服务具有更大的移动性。他们可能在家中使用一个或多个系 统，可能在世界各地使用所携带的膝上型或笔记本电脑，也可能使用办公 室中的任何一部电脑。更复杂的事情在于，这些人可能不只受雇于一个雇 主，也可能为多个雇主工作。即便是同一个人使用同一部计算机，该计算 机也会频繁地升级或售出。 随着工作和计算机对于移动性要求的与日俱增，ip 也必须做出一些 改变以适应这种需求。针对这个问题， ipv4 已经有了一些改变，动态 主机配置协议( dhcp ) 可以允许系统在启动甚至只在需要时才通过服 1 8 太原理工大学硕士研究生学位论文 务器获取其正确和完整的ip 网络配置。目前，主机( 无论是移动的还是固 定的) 仍然依赖于到网络的单点连接。当用户携带笔记本电脑出差时，只 需给其isp 打一个电话就可以恢复连接能力。如果该isp 不能提供区域 外的免费长途号码，就需要打长途电话来拨入该isp 。 但是，还可以进行更多的改进，i p v6 应该能够旁路到单一is p 的 静态连接，让用户系统能够检测到最近的网络网关并通过它进行连接。目 前尚不清楚这个功能如何实现，这里暂不讨论但ipv6 将可能实现该 功能1 2 0 】。 ( 4 ) 服务质量不高 ip 刚开始时，从各方面看就像一个实验品，其主要目的在于为在异 种网络间进行数据的可靠、健壮和高效传输探索最佳机制，从而实现不同 计算机的互操作。在很大程度上ip 实现了此目标，但这并不意味着ip 可以继续实现这些目标，也不意味着在对ip 进行修改后而不能更好。在 过去的几年中，很明显不仅ip 有改进余地，同时新的开发也导致修改ip 的呼声越来越高。在这次升级中考虑了最大传输单元、最大包长度、ip 头的设计、校验和的使用、ip 选项的应用等议题。针对这些议题已经提 出了专门建议并已引入i p v6 中，这将有利于提高i p v6 的性能并改进i pv6 作为继续高速发展的网络的基础的能力。 2i p v 6 的变化 1 9 太原理工大学硕士研究生学位论文 ( 1 ) 扩展地址 ipv6 的地址结构中除了把32 位地址空间扩展到了128 位外，还 对ip 主机可能获得的不同类型地址作了一些调整。ipv6 中取消了广播 地址而代之以任意点播地址。i p v 4 中用于指定一个网络接口的单播地址 和用于指定由一个或多个主机侦听的组播地址基本不变【1 6 】。 ( 2 ) 简化头格式 ip v6 中包括总长为40 字节的8 个字段f 其中两个是源地址和目的地 址) 。它与ip v4 包头的不同在于，ipv4 中包含至少12 个不同字段， 且长度在没有选项时为20 字节，但在包含选项时可达60 字节。ip v6 使用了固定格式的包头并减少了需要检查和处理的字段的数量，这将使得 选路的效率更高。 包头的简化使得ip 的某些工作方式发生了变化。一方面，所有包头 长度统一，因此不再需要包头长度字段。此外通过修改包分段的规则可 以在包头中去掉一些字段。ip v6 中的分段只能由源节点进行：该包所经 过的中问路由器不能再进行任何分段。最后，去掉i p 头校验和不会影响 可靠性，这主要是因为头校验和将由更高层协议( u d p 和t c p ) 负责。 ( 3 ) 增强对于扩展和选项的支持 在ipv4 中可以在ip 头的尾部加入选项，与此不同，ip v6 中把 选项加在单独的扩展头中。通过这种方法，选项头只有在必要的时候才需 要检查和处理。 为便于说明，考虑以下两种不同类型的扩展部分：分段头和选路头。 lpv6 中的分段只发生在源节点上，因此需要考虑分段扩展头的节点只有 2 0 太原理工大学硕士研究生学位论文 源节点和目的节点。源节点负责分段并创建扩展头，该扩展头将放在ipv 6 头和下一个高层协议头之间。目的节点接收该包并使用扩展头进行重 装。所有中间节点都可以安全地忽略该分段扩展头，这样就提高了包选路 的效率。另一种选择方案中，逐跳( hop by - h op ) 选项扩展头要求包 的路径上的每一个节点都处理该头字段。这种情况下，每个路由器必须在 处理ipv6 包头的同时也处理逐跳选项。第一个逐跳选项被定义用于超 长ip 包( 巨型净荷) 。包含巨型净荷的包需要受到特别对待，因为并不是 所有链路都有能力处理那样长的传输单元，且路由器希望尽量避免把它们 发送到不能处理的网络上。因此，这就需要在包经过的每个节点上都对选 项进行检查。 ( 4 ) 流标记 在ipv4 中，对所有包大致同等对待，这意味着每个包都是由中间 路由器按照自己的方式来处理的。路由器并不跟踪任意两台主机间发送的 包，因此不能“记住”如何对将来的包进行处理。i p v6 实现了流概念， 其定义如r f c1 8 8 3 中所述；流指的是从一个特定源发向一个特定( 单播 或者是组播) 目的地的包序列，源点希望中间路由器对这些包进行特殊处 理。 路由器需要对流进行跟踪并保持一定的信息，这些信息在流中的每个 包中都是不变的。这种方法使路由器可以对流中的包进行高效处理。对流 中的包的处理可以与其他包不同，但无论如何，对于它们的处理更快，因 为路由器无需对每个包头重新处理。 2 1 太原理工大学硕士研究生学位论文 ( 5 ) 身份验证和保密 r f c1 8 2 5 ( i p 的安全性体系结构) 描述了i p 的安全性体系结构，包括 ip v 4 和ip v6 。它发表于在19 95 年8 月，目前正在进行修改和更新。 19 98 年3 月发表了一个更新版i n ter ne t 草案。ip 安全性的基本结构 仍然很坚固，且已经进行了一些显著的改变和补充。 ipv6 使用了两种安全性扩展：ip 身份验证头( ah ) 首先由r f c 1 8 2 6 ( i p 身份验证头) 描述，而ip 封装安全性净荷( esp ) 首先在r f c 1 8 2 7 ( i p 封装安全性净荷( esp ) ) 中描述。 报文摘要功能通过对包的安全可靠性的检查和计算来提供身份验证 功能。发送方计算报文摘要并把结果插入到身份验证头中，接收方根据收 到的报文摘要重新进行计算，并把计算结果与a h 头中的数值进行比较。 如果两个数值相等，接收方可以确认数据在传输过程中没有被改变；如果 不相等，接受方可以推测出数据或者是在传输过程中遭到了破坏，或者是 被某些人进行了故意的修改【2 “。 封装安全性提供机制，可以用来加密ip 包的净荷，或者在加密整个 i p 包后以隧道方式在i n ter 1 3 e t 上传输。其中的区别在于，如果只对包 的净荷进行加密的话，包中的其他部分( 包头) 将公开传输。这意味着破译 者可以由此确定发送主机和接收主机以及其他与该包相关的信息。使用e sp 对ip 进行隧道传输意味着对整个ip 包进行加密，并由作为安全性网 关操作的系统将其封装在另一ip 包中。通过这种方法，被加密的ip 包 中的所有细节均被隐藏起来。这种技术是创建虚拟专用网( vpn ) 的基 础，它允许各机构使用in t er 1 3 e t 作为其专用骨干网络来共享敏感信息。 太原理工大学硕士研究生学位论文 3 各国研究现状 美国- - i n t e r n e t 发源地，拥有全世界约7 0 的i p v 4 地址：思科于2 0 0 1 年7 月1 0 日宣布与微软，i b m ，惠普，s u n 和摩托罗拉结成伙伴关 系，共同推进i p v 6 硬件和软件的开发： 欧洲一政府和各大公司态度积极，如诺基亚、爱立信、英国电信等： 基本战略是“先移动，后固定” 日本一“e j a p a n ”战略；1 9 9 9 年2 0 0 0 年开始分配i p v 6 的地址，2 0 0 1 年2 0 0 5 年开始全日本的i p v 6 商用化服务：设备厂商提供i p v 6 的硬 件支持，如n e c 、日立、富士通，1 0 多家i s p 提供i p v 6 业务，如 w i d e 的n s p i x p 6 等；2 0 0 0 年1 月，h i t a c h i 推出支持i p v 6 的商用路 由器g r 2 0 0 0 系列 中国一1 9 9 8 年6 月，c e r n e t 加入6 b o n e ；2 0 0 2 年1 月，北京佳讯 飞鸿与北方交通大学联合推出支持i p v 6 低端路由器产品；2 0 0 2 年3 月，信息产业部电信研究院传输所与b i i 联合发起成立了“下一代i p 电信实验网”( i p v 6t e l e c o mt r i a ln e t w o r k 6 t n e t ) 4 设备厂商支持情况 思科一软件支持i p v 6 n e c 一硬件中支持i p v 6 ，将推出基于硬件支持的i p v 6 和i p v 4 的 第二三层交换机和路由器系列 日立一1 9 9 7 年推出了第一个i p v 6 路由器：2 0 0 0 年，推出第一个千 兆比i p v 6 路由器( 软件方式) ；2 0 0 1 年，推出第一个硬件转发的千 兆比i p v 6