IPv6過渡階段入侵防御系統(tǒng)的研究.pdf

1、隨著信息技術(shù)的進(jìn)步和互聯(lián)網(wǎng)的發(fā)展，IPv4網(wǎng)絡(luò)的局限性以及其存在的各類問題逐漸顯現(xiàn)出來，IPv6取代IPv4成為必然。與此同時，網(wǎng)絡(luò)安全起著越來越重要的作用，IPv4網(wǎng)絡(luò)的入侵防御系統(tǒng)(Intrusion Prevention System，IPS)給網(wǎng)絡(luò)安全提供了很好的保障，同樣IPv6網(wǎng)絡(luò)也需要IPS的防護(hù)。然而，IPv6因其自身的特點(diǎn)與IPv4互不兼容，完成兩者的過渡并不能一蹴而就，它們將長期共存，因此研究IPv6過渡階段的入侵防

2、御系統(tǒng)十分必要。
　　本研究以開源Snort平臺為基礎(chǔ)，結(jié)合IPv6協(xié)議分析技術(shù)，總結(jié)了IPv6網(wǎng)絡(luò)特征。針對現(xiàn)有網(wǎng)絡(luò)安全架構(gòu)中存在的缺陷，設(shè)計(jì)了過渡環(huán)境下入侵防御系統(tǒng)的總體架構(gòu)IFIS(IDS and Firewall and IDS System)，并給出了架構(gòu)中關(guān)鍵模塊的具體實(shí)現(xiàn)。本文主要的研究內(nèi)容及展開的工作包括以下幾點(diǎn)：
　　1、研究了IPv6協(xié)議相對于IPv4協(xié)議的優(yōu)勢，分析了IPv6本身和網(wǎng)絡(luò)的安全機(jī)制，總結(jié)了

3、IPv6及過渡階段存在的網(wǎng)絡(luò)安全問題。研究了IPS的原理、分類及優(yōu)缺點(diǎn)，并對本研究涉及的關(guān)鍵技術(shù)進(jìn)行深入分析。基于上述研究，設(shè)計(jì)了入侵檢測系統(tǒng)與應(yīng)用層防火墻間接聯(lián)動的IPS網(wǎng)絡(luò)安全模型，本模型實(shí)現(xiàn)了聯(lián)動控制臺、IDS和應(yīng)用層防火墻的三方聯(lián)動，并在Snort平臺上提出了一種兼容IPv6網(wǎng)絡(luò)的IPSec數(shù)據(jù)包檢測的方案。
　　2、針對Snort不支持IPv6網(wǎng)絡(luò)環(huán)境下入侵防御的情況，利用Linux內(nèi)核Netfilter框架和IP6_Q

4、UEUE機(jī)制，實(shí)現(xiàn)了Snort在IPv6網(wǎng)絡(luò)環(huán)境下的線上(Inline)工作模式，而不單純是旁路方式，使得Snort的入侵防御機(jī)制能夠?qū)Pv6網(wǎng)絡(luò)環(huán)境提供支持。在此基礎(chǔ)上，設(shè)計(jì)并實(shí)現(xiàn)過渡解析模塊，完成了過渡環(huán)境下的防御。
　　3、研究Snort解析數(shù)據(jù)包的工作流程，針對Snort無法檢測經(jīng)過IPSec作用的網(wǎng)絡(luò)數(shù)據(jù)包問題，采用IPv6協(xié)議分析技術(shù)在協(xié)議包解析模塊中設(shè)計(jì)并實(shí)現(xiàn)了DecodeAH函數(shù)，完成了Snort對經(jīng)過身份認(rèn)證擴(kuò)

5、展首部的數(shù)據(jù)包的檢測，提高了Snort檢測IPv6數(shù)據(jù)包的能力。
　　4、研究Linux內(nèi)核中的IP_Queue機(jī)制、Linux系統(tǒng)內(nèi)核空間與用戶空間通信的實(shí)現(xiàn)方式及Netfilter的鉤子函數(shù)，在PREROUTING處設(shè)計(jì)并實(shí)現(xiàn)了IPv6路由擴(kuò)展首部的注冊模塊queue_iprt0鉤子函數(shù)。該鉤子函數(shù)實(shí)現(xiàn)了類似iptables規(guī)則的功能，提高了系統(tǒng)對IPv6路由擴(kuò)展首部數(shù)據(jù)包截獲和防御的能力。
　　本文設(shè)計(jì)的IFIS總體架

6、構(gòu)包括入侵防御子系統(tǒng)、防火墻子系統(tǒng)、聯(lián)動控制臺子系統(tǒng)和管理控制臺子系統(tǒng)。本文從理論上對IFIS系統(tǒng)架構(gòu)與當(dāng)前的IPS進(jìn)行了比較，顯示出了IFIS系統(tǒng)的優(yōu)勢；從實(shí)現(xiàn)上，本文實(shí)現(xiàn)了模型中的關(guān)鍵模塊，包括IPv6環(huán)境下的入侵防御、網(wǎng)絡(luò)中傳輸數(shù)據(jù)包的解析、過渡階段選項(xiàng)模塊及Netfilter中注冊的IPv6擴(kuò)展首部鉤子函數(shù)等。實(shí)驗(yàn)證明IFIS對現(xiàn)有IPS進(jìn)行了改進(jìn)，擴(kuò)展了IPS的功能，拓展了網(wǎng)絡(luò)應(yīng)用環(huán)境，其既可以應(yīng)用于現(xiàn)階段的IPv4/IPv6