IPv6網絡的濫用入侵檢測與實現.pdf

1、下一代互聯網的研究和建設正逐步成為信息技術領域的熱點之一。而下一代互聯網的網絡安全則是下一代互聯網研究中的一個重要的領域。目前中國第一個下一代互聯網主干網CERNET2試驗網正式宣布開通并提供服務。它的開通，標志著中國下一代互聯網研究取得重要進展。中國教育和科研計算機網CERNET華東(北)地區(qū)網是CERNET八個地區(qū)網之一，覆蓋江蘇、山東、和安徽三省，為這些省份中的190多所高校和其它教育科研機構提供CERNET接入服務和網絡互聯服務

2、，并支撐網上教育科研應用的開展，是華東(北)地區(qū)教育科研事業(yè)的重要基礎設施之一，它也是CERNET2的重要節(jié)點之一，因此它的日常運行管理和維護非常重要，網絡安全是其中的一個重要組成部分?，F在網絡中心所使用的入侵檢測系統MONSTER3.0由于開發(fā)較早，功能上存在一些不足，可以對基于IPv4協議的的報文進行檢測，無法對基于IPv6協議的報文進行檢測，已經不能滿足當前對網絡中心針對CERNET2進行監(jiān)控的要求，在這種情況下在原有的MONST

3、ER3.0系統上增加對IPv6報文的檢測功能并根據其協議特殊性進行性能優(yōu)化非常有意義。 本文首先從介紹IPv6與IPv4的主要區(qū)別入手，詳細地講述了IPv6的尋址的安全體系結構，討論了IPv4向IPv6的過渡策略以及IPv6的發(fā)展狀況和方向。其次又對Monster3.0的系統結構和功能模塊做了具體的介紹。然后，又從入侵檢測系統的概念、發(fā)展歷程、體系結構及技術分類等方面，概述了入侵檢測技術。在以上技術背景的鋪墊下，才展開了對，IP

4、v6網絡濫用入侵檢測的一些關鍵技術的分析研究。 基于濫用檢測的IDS能夠很好地檢測出那些特征已經被存儲在信息庫中的入侵，誤報率很小，這個需要入侵檢測規(guī)則強有力的支持。本文對lPv6入侵檢測系統的檢測規(guī)則編寫進行了一些研究。首先分析比較了IPv6下的網絡攻擊行為與IPv4下的異同點，然后分析了：Monster3.0的檢測規(guī)則在IPv6環(huán)境下的適用性，保留其可以繼續(xù)適用的，修改其不適用的，拋棄其不能用的，并對從IPv4檢測規(guī)則到IP

5、v6檢測規(guī)則的的轉化提出了一個基本算法。最后討論了IPv6的海量地址對DDoS類攻擊的影響。 報文分類算法是進行網絡報文分類的方法和手段，也就是根據用戶規(guī)則對報文進行分類，對不同種類報文采取不同的過濾動作。本文對報文分類算法給出了綜合描述，然后根據IPv6和IPv4報文格式的差異分析了其對報文分類解析的影響，其次給出了IPv6報文的解析步驟和IPv6下報文分片的重組算法，為雙協議解析的設計解決了最大難題。最后根據改進，在原有的報