- 相關(guān)推薦
基于IPv6網(wǎng)絡(luò )安全的管理系統設計論文
0引言
當前信息技術(shù)快速發(fā)展,網(wǎng)絡(luò )惡意攻擊行為更為頻繁,攻擊形式也日趨多樣化,如病毒、木馬、蠕蟲(chóng)等,網(wǎng)絡(luò )安全問(wèn)題更加突出,互聯(lián)網(wǎng)正面臨著(zhù)新的安全形勢。實(shí)踐證明,實(shí)時(shí)分析并檢測網(wǎng)絡(luò )流是加強網(wǎng)絡(luò )安全的有效方法。入侵檢測系統(IDS)正是在這個(gè)背景下應運而生的。其可以對網(wǎng)絡(luò )環(huán)境狀況進(jìn)行積極主動(dòng)、實(shí)時(shí)動(dòng)態(tài)的檢測,作為一種新型網(wǎng)絡(luò )安全防范技術(shù),在保障網(wǎng)絡(luò )安全方面發(fā)揮著(zhù)重要的作用。入侵檢測系統主要通過(guò)判斷網(wǎng)絡(luò )系統中關(guān)鍵點(diǎn)是否正常運轉以實(shí)現對網(wǎng)絡(luò )環(huán)境的檢測,其不但能夠有效地打擊網(wǎng)絡(luò )攻擊,還能夠保證信息安全基礎結構完整,實(shí)施保護互聯(lián)網(wǎng)的安全。目前網(wǎng)絡(luò )安全機制正在從IPV4向IPV6過(guò)渡,網(wǎng)絡(luò )的安全性也在不斷增強,深入分析IPV6安全機制具有重要意義。
1IPv4向IPv6過(guò)渡中存在的問(wèn)題
IPv6安全機制是IPv4安全機制的強化,與IPv4相比,IPv6安全機制的網(wǎng)絡(luò )結構更為復雜,應用范圍更為廣闊,但是IPv4向IPv6的過(guò)渡不是一蹴而就的,在這個(gè)過(guò)渡過(guò)程中會(huì )出現一些嚴重的問(wèn)題,這就要求我們必須充分認識IPv4向IPv6過(guò)渡中的問(wèn)題,盡量減小對網(wǎng)絡(luò )安全的不良影響。
1.1翻譯過(guò)渡技術(shù)
采用翻譯過(guò)渡技術(shù),必須關(guān)注翻譯對數據包傳輸終端的破壞情況與網(wǎng)絡(luò )層安全技術(shù)不匹配這兩個(gè)問(wèn)題。保護網(wǎng)絡(luò )正常數據傳送是網(wǎng)絡(luò )層安全協(xié)議的主要職能,網(wǎng)絡(luò )層協(xié)議中的地址翻譯技術(shù)主要用于變更傳送數據的協(xié)議與地址,這就容易使網(wǎng)絡(luò )層協(xié)儀的地址翻譯與網(wǎng)絡(luò )安全協(xié)議出現沖突,使網(wǎng)絡(luò )環(huán)境的安全面臨威脅。
1.2隧道過(guò)渡技術(shù)
隧道過(guò)渡技術(shù)并不重視網(wǎng)絡(luò )安全,其自身特點(diǎn)也使網(wǎng)絡(luò )易遭受攻擊,安裝安全設備的網(wǎng)絡(luò )應用隧道技術(shù)后,會(huì )影響原有的安全設備運作,并且在數據經(jīng)過(guò)隧道時(shí),隧道也不會(huì )檢查數據,這就給惡意的數據提供了進(jìn)入正常網(wǎng)絡(luò )的機會(huì ),嚴重威脅網(wǎng)絡(luò )安全。
1.3雙棧過(guò)渡技術(shù)
雙棧過(guò)渡技術(shù)是網(wǎng)絡(luò )層協(xié)議的一種,兩個(gè)網(wǎng)絡(luò )層協(xié)議在一臺主機上同時(shí)運行是其特點(diǎn)。但是同時(shí)運行的兩個(gè)網(wǎng)絡(luò )層協(xié)議在技術(shù)上并無(wú)聯(lián)系,而且容易出現運作不協(xié)調的問(wèn)題,導致網(wǎng)絡(luò )安全存在漏洞,易被攻擊者利用。但是與翻譯過(guò)渡技術(shù)和隧道過(guò)渡技術(shù)比較,雙棧過(guò)渡技術(shù)的安全性能要優(yōu)于上邊的兩種技術(shù),網(wǎng)絡(luò )安全性相對較高,有其自身優(yōu)勢。
2IPv6的特點(diǎn)
IPv6是一種新型互聯(lián)網(wǎng)協(xié)議,是IPv4互聯(lián)網(wǎng)協(xié)議的革新。IPv6可以有效解決IPv4中存在的漏洞與缺陷,其改進(jìn)方面主要體現在地址空間、IPSec協(xié)議、數據報頭結構、服務(wù)質(zhì)量(QoS)方面。其中數據報頭結構和IPSec協(xié)議是影響入侵檢測系統的主要方面。
2.1數據報頭結構的更新
與IPv4數據報頭結構相比,IPv6簡(jiǎn)化了IPv4的數據報頭結構,IPv6的40節數據報頭結構極大的提高了數據處理效率。此外,IPv6還增加了選項報頭、分段報頭、認證報頭等多個(gè)擴展報頭,入侵檢測系統必須首先解析IPv6報頭才能進(jìn)行協(xié)議分析。
2.2IPSec協(xié)議
與IPv4相比,IPv6中還應用了IPSec協(xié)議,其可以有效實(shí)現網(wǎng)絡(luò )層端到端的安全服務(wù),并且IPSec協(xié)議中的兩個(gè)安全封裝載荷和認證頭協(xié)議可以自由組合。IPSec協(xié)議實(shí)質(zhì)上是對IPv6傳輸數據包的加密,這有利于提高數據傳輸過(guò)程的安全性,但是由于其對IPv6的報頭也進(jìn)行封裝,入侵檢測系統在進(jìn)行檢測時(shí)必須了解IPv6報頭的源地址和目的地址,否則難以進(jìn)行檢測行為,這嚴重影響了入侵檢測系統的正常運行。
3IPv4、IPv6入侵檢測技術(shù)特點(diǎn)
以往技術(shù)多采用模式匹配技術(shù),針對數據包和攻擊數據庫進(jìn)行匹配對應是該模式的典型特點(diǎn),這種模式特點(diǎn)是以數據庫對應的情況來(lái)依次判斷是否存在網(wǎng)絡(luò )攻擊。而現在,檢測系統入侵的技術(shù)手段為BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定義為識別并處理那些以IPv6網(wǎng)絡(luò )協(xié)議惡意使用網(wǎng)絡(luò )資源的攻擊者的技術(shù),為IPv6入侵檢測技術(shù)。IPv6與IPv4有很大的區別,兩者在程序上不兼容,因此在這種情況下入侵技術(shù)的檢測變得問(wèn)題繁多。首先,兩種協(xié)議在數據報頭上變動(dòng)明顯,以往在IPv4上能用的檢測產(chǎn)品在IPv6上無(wú)法直接使用。在使用IPv4協(xié)議的情況下,TCP頭部緊緊連接著(zhù)IP頭部,不僅如此,他們的長(cháng)度還是確定不變的。這樣的連接模式和設置使得檢測工作的開(kāi)展變得更加簡(jiǎn)便。然而,另一種協(xié)議方式即IPv6卻與此有很大的不同,它的這兩個(gè)頭部并不緊接,長(cháng)度也不固定,在其中間還往往會(huì )有別的擴展頭部等。經(jīng)常見(jiàn)到的有路由選項頭部等。盡管該協(xié)議下,數據包對應顯得很復雜,若是防火墻沒(méi)有完全讀懂數據包則會(huì )發(fā)生不能過(guò)濾的情況,這在某些時(shí)候使得入侵的檢測工作變得更加復雜。科研攻關(guān)人員目前已經(jīng)針對IPv6協(xié)議下的接口函數做出了相應的科學(xué)的新改動(dòng)。其次,在進(jìn)行端到端的傳輸工作時(shí),若為IPv6則IDS會(huì )由于無(wú)法解密而直接導致解讀不了數據,此時(shí)的IDS不能有效的繼續工作。雖然采取IDS數據包解密能夠較為有效的解決這一問(wèn)題,但這種解密情況下的安全又成了新的問(wèn)題,對其是否可靠,時(shí)間會(huì )給予準確的答案。
3.1雙棧入侵檢測系統的實(shí)現
IPv6協(xié)議解碼功能是實(shí)現雙棧入侵檢測的關(guān)鍵性因素。協(xié)議解碼分析通常分為第二層、第三層。第二層主要是以太網(wǎng),然而第三層的則大為不同,它不僅包含IPv4包類(lèi)型,還同時(shí)兼有IPv6包類(lèi)型,甚至還具有隧道方式。協(xié)議解碼在數據結構、屬性的基礎上,注重數據包對號入座,一一對應。IPv6協(xié)議解碼功能如圖1所示。進(jìn)行協(xié)議解碼的首要步驟是抓包并解包,并且在解包時(shí)完善對應信息包。分析各個(gè)模塊,以此判斷是何種包,區分數據包是屬于IPv4還是屬于IPv6是至關(guān)重要的。在此之后,存檔以太網(wǎng)的源地址和目的地址,并在接下來(lái)的工作中進(jìn)行下一層解析,在第三層數據解析時(shí)包頭結構是著(zhù)重分析的對象。
3.2在IPv6環(huán)境中的NIDS模塊設計
數據采集、分析,然后是結果輸出,這三個(gè)方面組成了整個(gè)NIDS系統。對科學(xué)要求的CIDF規范完全符合。這個(gè)系統由數據包捕獲的各種模塊結合而成。
3.3NIDS模塊功能
(1)數據包捕獲模塊數據包捕獲模塊在整個(gè)系統中居于關(guān)鍵地位,它是系統的基礎,也是其重要組成部分。該模塊的具體作用在于從以太網(wǎng)上獲取數據包,根據實(shí)際情況和不同的系統,有相對性的捕獲,相比之下,捕獲方式會(huì )根據具體情況而有所不同。(2)協(xié)議解析模塊協(xié)議解析是該模塊的核心作用,該模塊對數據層層分析最終得到解析目的,在此基礎上分析是否有入侵情況以便進(jìn)行制止防御。(3)規則處理模塊提前制定的入侵規則存入庫中,它的多少直接影響著(zhù)整個(gè)入侵系統的性能。規則設置的越多越完善,對于入侵行為的檢測就越精準。(4)分析檢測模塊查證是否有入侵行為發(fā)生是該模塊兒的重要作用,該模塊和規則庫若匹配成功則證明系統正在遭受入侵。(5)存儲模塊存儲信息和數據包是該模塊的具體功能。有效儲存信息對于系統對入侵行為的分析具有極強的幫助作用,儲存的數據可供事后分析等。(6)響應模塊響應模塊是入侵行為的響應處理,它的響應能使防火墻及時(shí)對入侵行為進(jìn)行制止和防御,是系統防御不可或缺的盾牌。
引用:
[1]鄧生君,沈鑫,葉昭輝.一種基于IPv4/IPv6網(wǎng)絡(luò )入侵檢測系統的框架設計[J].電子世界,2012.
[2]肖長(cháng)水,謝曉堯.基于IPv6的網(wǎng)絡(luò )入侵檢測系統的設計與實(shí)現[J].計算機工程與設計,2007.
【基于IPv6網(wǎng)絡(luò )安全的管理系統設計論文】相關(guān)文章:
基于系統設計的科研管理論文09-22
基于冗余PLC的井下排水自動(dòng)控制系統的設計的論文02-22
物資管理系統論文08-06
庫存管理系統論文07-24
基于DSP整流器設計論文04-18
企業(yè)工資管理系統的論文09-27
信息管理系統論文09-18
FPGA數據采集與回放系統設計論文04-24
管理信息系統論文02-04