基于IPv6网络安全的管理系统设计论文_第1页
基于IPv6网络安全的管理系统设计论文_第2页
基于IPv6网络安全的管理系统设计论文_第3页
基于IPv6网络安全的管理系统设计论文_第4页
基于IPv6网络安全的管理系统设计论文_第5页
免费预览已结束,剩余1页可下载查看

付费下载

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、基于 IPv6 网络安全的管理系统设计论文0 引言当前信息技术快速发展,网络恶意攻击行为更为频繁,攻击形 式也日趋多样化,如病毒、木马、蠕虫等,网络安全问题更加突出, 互联网正面临着新的安全形势。 实践证明, 实时分析并检测网络流是 加强网络安全的有效方法。入侵检测系统(IDS)正是在这个背景下 应运而生的。其可以对网络环境状况进行积极主动、 实时动态的检测, 作为一种新型网络安全防范技术, 在保障网络安全方面发挥着重要的 作用。入侵检测系统主要通过判断网络系统中关键点是否正常运转以 实现对网络环境的检测, 其不但能够有效地打击网络攻击, 还能够保 证信息安全基础结构完整, 实施保护互联网的安

2、全。 目前网络安全机 制正在从IPV4向IPV6过渡,网络的安全性也在不断增强,深入分析 IPV6安全机制具有重要意义。1IPv4 向 IPv6 过渡中存在的问题IPv6安全机制是IPv4安全机制的强化,与IPv4相比,IPv6安全机制的网络结构更为复杂,应用范围更为广阔,但是 IPv4 向 IPv6 的过渡不是一蹴而就的,在这个过渡过程中会出现一些严重的问题, 这就要求我们必须充分认识 IPv4 向 IPv6 过渡中的问题,尽量减小对 网络安全的不良影响。1.1 翻译过渡技术 采用翻译过渡技术,必须关注翻译对数据包传输终端的破坏情 况与网络层安全技术不匹配这两个问题。 保护网络正常数据传送是

3、网 络层安全协议的主要职能, 网络层协议中的地址翻译技术主要用于变 更传送数据的协议与地址, 这就容易使网络层协仪的地址翻译与网络 安全协议出现冲突,使网络环境的安全面临威胁。1.2 隧道过渡技术 隧道过渡技术并不重视网络安全,其自身特点也使网络易遭受 攻击,安装安全设备的网络应用隧道技术后, 会影响原有的安全设备 运作,并且在数据经过隧道时,隧道也不会检查数据,这就给恶意的 数据提供了进入正常网络的机会,严重威胁网络安全。1.3 双栈过渡技术 双栈过渡技术是网络层协议的一种,两个网络层协议在一台主 机上同时运行是其特点。 但是同时运行的两个网络层协议在技术上并 无联系,而且容易出现运作不协调

4、的问题,导致网络安全存在漏洞, 易被攻击者利用。 但是与翻译过渡技术和隧道过渡技术比较, 双栈过 渡技术的安全性能要优于上边的两种技术, 网络安全性相对较高, 有 其自身优势。2IPv6 的特点IPv6 是一种新型互联网协议, 是 IPv4 互联网协议的革新。 IPv6 可以有效解决 IPv4 中存在的漏洞与缺陷,其改进方面主要体现在地 址空间、IPSec协议、数据报头结构、服务质量(QoS方面。其中 数据报头结构和 IPSec 协议是影响入侵检测系统的主要方面。2.1 数据报头结构的更新与IPv4数据报头结构相比,IPv6简化了 IPv4的数据报头结构, IPv6 的 40节数据报头结构极大

5、的提高了数据处理效率。此外, IPv6 还增加了选项报头、分段报头、认证报头等多个扩展报头,入侵检测 系统必须首先解析 IPv6 报头才能进行协议分析。2.2IPSec 协议与 IPv4 相比, IPv6 中还应用了 IPSec 协议,其可以有效实现 网络层端到端的安全服务, 并且 IPSec 协议中的两个安全封装载荷和 认证头协议可以自由组合。 IPSec 协议实质上是对 IPv6 传输数据包 的加密,这有利于提高数据传输过程的安全性,但是由于其对 IPv6 的报头也进行封装,入侵检测系统在进行检测时必须了解 IPv6 报头 的源地址和目的地址, 否则难以进行检测行为, 这严重影响了入侵检

6、测系统的正常运行。3IPv4 、IPv6 入侵检测技术特点 以往技术多采用模式匹配技术,针对数据包和攻击数据库进行 匹配对应是该模式的典型特点, 这种模式特点是以数据库对应的情况 来依次判断是否存在网络攻击。 而现在,检测系统入侵的技术手段为 BruteForce 、 Aho-Corasick-Boyer-Moore 等典型模式匹配算法。被 定义为识别并处理那些以 IPv6 网络协议恶意使用网络资源的攻击者 的技术,为 IPv6 入侵检测技术。 IPv6 与 IPv4 有很大的区别,两者 在程序上不兼容,因此在这种情况下入侵技术的检测变得问题繁多。 首先,两种协议在数据报头上变动明显,以往在

7、IPv4 上能用的检测 产品在IPv6上无法直接使用。在使用IPv4协议的情况下,TCP头部 紧紧连接着 IP 头部,不仅如此,他们的长度还是确定不变的。这样 的连接模式和设置使得检测工作的开展变得更加简便。 然而,另一种 协议方式即 IPv6 却与此有很大的不同,它的这两个头部并不紧接, 长度也不固定, 在其中间还往往会有别的扩展头部等。 经常见到的有 路由选项头部等。尽管该协议下,数据包对应显得很复杂,若是防火 墙没有完全读懂数据包则会发生不能过滤的情况, 这在某些时候使得 入侵的检测工作变得更加复杂。科研攻关人员目前已经针对 IPv6 协 议下的接口函数做出了相应的科学的新改动。 其次,

8、在进行端到端的 传输工作时,若为 IPv6 则 IDS 会由于无法解密而直接导致解读不了 数据,此时的IDS不能有效的继续工作。虽然采取IDS数据包解密能 够较为有效的解决这一问题, 但这种解密情况下的安全又成了新的问 题,对其是否可靠,时间会给予准确的答案。3.1 双栈入侵检测系统的实现IPv6 协议解码功能是实现双栈入侵检测的关键性因素。协议解 码分析通常分为第二层、第三层。第二层主要是以太网,然而第三层 的则大为不同,它不仅包含 IPv4 包类型,还同时兼有 IPv6 包类型, 甚至还具有隧道方式。协议解码在数据结构、属性的基础上,注重数 据包对号入座,一一对应。 IPv6 协议解码功能

9、如图 1 所示。进行协 议解码的首要步骤是抓包并解包, 并且在解包时完善对应信息包。 分 析各个模块,以此判断是何种包,区分数据包是属于 IPv4 还是属于 IPv6 是至关重要的。在此之后,存档以太网的源地址和目的地址,并在接下来的工作中进行下一层解析, 在第三层数据解析时包头结构 是着重分析的对象。3.2 在 IPv6 环境中的 NIDS 模块设计数据采集、分析,然后是结果输出, 这三个方面组成了整个 NIDS 系统。对科学要求的 CIDF 规范完全符合。这个系统由数据包捕获的 各种模块结合而成。3.3NIDS 模块功能(1)数据包捕获模块数据包捕获模块在整个系统中居于关键地 位,它是系统

10、的基础,也是其重要组成部分。该模块的具体作用在于 从以太网上获取数据包, 根据实际情况和不同的系统, 有相对性的捕 获,相比之下,捕获方式会根据具体情况而有所不同。( 2)协议解 析模块协议解析是该模块的核心作用, 该模块对数据层层分析最终得 到解析目的,在此基础上分析是否有入侵情况以便进行制止防御。 ( 3) 规则处理模块提前制定的入侵规则存入库中, 它的多少直接影响着整 个入侵系统的性能。 规则设置的越多越完善, 对于入侵行为的检测就 越精准。( 4)分析检测模块查证是否有入侵行为发生是该模块儿的 重要作用,该模块和规则库若匹配成功则证明系统正在遭受入侵。 ( 5) 存储模块存储信息和数据包是该模块的具体功能。 有效储存信息对于 系统对入侵行为的分析具有极强的帮助作用, 储存的数据可供事后分 析等。( 6)响应模块响应模块是入侵

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论