论文部分内容阅读
摘要:IPv6技术是下一代互联网的技术核心,对IPv6网络入侵检测系统的研究与下一代网络的安全技术紧密相关。在分析网络安全系统的基本原理和IPv6网络的主要特点之后,提出了一种基于IPv6网络入侵检测系统的框架,同时采用了改进的KMP算法和蜜罐技术。
关键词:IPv6;网络入侵检测;模式匹配;蜜罐技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)18-2pppp-0c
Research of Network Intrusion Detection System Based on IPv6 Environment
ZHANG Jun,ZHONG Le-hai
(College of Computer Science, China West Normal University,Nanchong 637002,China)
Abstract: IPv6 will be the core technology in the next generation Internet. Therefore, the study on intrusion detection system in IPv6 is closely linked with the next generation Internet .After analyzing the fundamentals of network security system today and the primary characteristics of IPv6,a framework of intrusion detection system in IPv6 was put forward. A pattern matching by using improved KMP, and using Honeypot technology.
Key words:IPv6;network intrusion detection;pattern matching;Honeypot technology
1 引言
防火墙作为一种边界安全设施能比较有效地保护网络内部的非法访问。由于传统防火墙所暴露出来的不足和弱点,引发了人们对入侵检测系统(IDS)技术的研究和开发。入侵检测系统为网络安全提供实时的入侵检测及采取相应的防护手段。随着下一代网络的发展,IPv6提供了较好的安全体系结构,IPv6安全机制的引进,增强了网络层的安全性。同时,IPv6安全机制的应用对现有的网络安全体系也提出了新的要求和挑战。由于入侵手法层出不穷,入侵检测系统很难检测到新的入侵行为,蜜罐技术的引入能够很好的解决这一问题。
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到系统的闯入或闯入的企图。入侵检测技术,它是一种主动保护自己免受黑客攻击的新型网络安全技术,进行入侵检测的软件与硬件的组合便是入侵检测系统[1]。
Spitzner认为,蜜罐是一个信息系统资源,其价值就在于它的资源被未授权或非法使用。蜜罐系统通过伪装成带有漏洞的真实系统来吸引黑客进入,并记录黑客在其中的活动。我们通过分析蜜罐记录的数据就可以很轻松的了解到黑客的动向及其使用的新方法等信息。本文引入蜜罐技术是为了记录黑客行为,提取出入侵规则,把新的入侵规则添加到入侵检测系统的规则库中,从而使入侵检测系统能够检测出新的入侵行为。
由于IPSec作为IPv6的下一代互联网的必选协议,它从协议上保证了数据传输的安全性。该协议定义了认证报头和封装安全载荷报头,实现了基于网络层的身份认证,确保了数据包的完整性和机密性,在一定程度上实现了网络层安全[2]。由于在IPv6环境下网络的安全问题仍然突出,入侵检测系统作为一种有效的网络安全工具,它依然在IPv6环境下发挥着重要作用。
2 IPv6网络入侵检测系统结构
入侵检测系统广泛采用成熟的模式匹配技术,针对IPv6的特点,本系统采用将协议分析技术与规则
匹配技术相结合的IPv6网络入侵检测系统框架,使用改进的KMP算法来检测入侵行为。IPv6网络入侵检
基金项目:四川省科技攻关资助项目(No:05GG009-018)
作者简介:张俊(1981-),女,河南洛阳人,西华师范大学计算机学院计算机应用技术专业硕士研究生,研究方向:基于网络的计算机应用;钟乐海(1963-),男,四川广安人,博士,西华师范大学计算机学院教授,硕士导师,研究方向:计算机网络应用技术及信息安全技术
测的基本思想是:捕获目标地址属于受保护网络的数据包,送往协议分析模块,通过具体协议字段分层次协议,送往相应协议解析器,分析数据包的数据部分,再根据特征库中的模式进行模式匹配,判断该数据包是否有入侵企图,最后由响应模块对该数据包做出相应的响应[3],IPv6网络入侵检测系统结构如图1所示。
图1 IPv6网络入侵检测系统结构图
2.1 数据采集模块
数据采集模块是底层模块,它是网络入侵检测系统的基本组成部分,是实现整个入侵检测系统的基础。该模块按一定的规则从网络上获取与安全事件相关的数据包,然后传递给协议解析模块解析处理,为整个系统提供数据来源。
基于IPv6的网络入侵检测系统采用专门为数据监听应用程序设计的库文件WinPacp来实现包捕获模块,这样可以不了解网络的数据链路层细节。
WinPacp是基于BSD系统内核提供的BPF设计的,利用BPF的信息过滤机制可以去掉用户不关心的数据包,从而提高系统的工作效率[4]。
2.2 中层模块
中层模块是IPv6网络入侵检测系统的核心,它由协议解码模块和规则匹配模块组成。协议解码模块是对捕获的数据包进行协议解码,解析成协议数据的格式,并分辨各个协议的头部和负载,进一步分析出头部中的各个字段;规则匹配模块对协议解析模块提交的数据进行匹配算法和规则库中的规则进行比较分析,从而判断是否有入侵行为。
2.3 高层模块
高层模块包括响应模块和界面管理模块。当入侵检测系统发现系统有入侵事件发生时,就要让系统管理员等相关安全人员指导已经有安全问题发生,并需要采取相应的响应措施。响应模块主要功能是对经过检测的数据包执行具体的响应,是入侵检测系统不可缺少的一部分。
从响应的方式上分,入侵检测系统的响应可分为主动响应和被动响应,本文采用主动响应和被动响应向结合的方式来对入侵行为做出响应。
3 一种改进的模式匹配算法
匹配算法直接影响到系统的实时性能。从网络数据包搜索入侵特征时,需要一个有效的字符串搜索算法。在字符串搜索算法中,最著名的是KMP(Knuth-Morris-Pratt)算法和BM(Boyer-Moore)算法[5]。这两种算法在最坏的情况下具有线性的搜索时间,即计算时间复杂度为0(mn),m、n分别是位于欲匹配的字符串长度,而且还可能会出现多次回溯,算法效率太低,因此,我们对KMP算法进行了改进。
对KMP算法的改进的基本思想:当某趟匹配失败时,i指针不必回溯,而是利用已经得到的“部分匹配”结果,看看是否有必要将i的值进行调整,然后再将模式向右“滑动”若干位置后继续比较。在此算法中需要计算一个失效函数next(j):当模式T 中的第j个字符与目标P中相应字符失配时,模式T中应当由哪个字符(设为第k个)与目标中刚失配的字符对齐继续进行比较。我们发现,对不同的j,k的取值,它仅依赖于模式T本身前j个字符的构成,而与目标无关。算法的流程图如图2所示。
从文本的第9位开始比较,改进的KMP算法中的i不是保持不变,而是增加了,这就意味着加快了模式匹配的进度。应用该算法在一定程度上加快了比较速度。
为了测试改进后的KMP算法的性能,我们使用赛门铁克公司入侵防护工具(IPS)SNS-7610在一个局域网内随机采集数据。使用检测规则,分别对改进前和改进后两种算法进行了测试。测试时递增使用匹配规则,对数据进行检测。首先使用200条规则用于检测数据,然后每次增加50条规则,所得到的实验数据如表1所示。
图3 蜜罐技术与网络入侵检测相结合
表2 改进前后捕获率和漏报率对比
我们使用改进的模式匹配算法和蜜罐技术后,网络入侵检测的系统地性能得到了提升,增强了检测能力。改进后的系统经验证,可以稳定高效的检测网络端口的流量,进行实时监测报告。
6 结束语
虽然IPv6提供了较好的安全体系结构,但这些只是在IP层实现的,而对于IP层以上的一些缺陷和应用程序的漏洞在IPv6中还不提供全面的保护。通过分析IPv6协议的特点及安全性能,提出了一种协议分析技术与模式匹配技术将结合的IPv6网络入侵检测体系结构,利用一种改进的模式匹配算法,来提高入侵检测的速度,同时将蜜罐技术引入来弥补入侵检测系的不足,在实际应用中收到了较好的效果。
参考文献:
[1]杨向荣,宋擒豹,深均毅.入侵检测技术研究与系统设计[J].计算机工程与应用,2001 (16):1-4.
[2]Pete Ldshin.IPv6详解.机械工业出版社,2000年4月1日.
[3]李建武.基于IPv6网络入侵检测系统研究和设计[D].西安:西北工业大学,2005.
[4]David Morton.Understanding IPv6 [M].PC Network Advisor,May 1997.
[5]Knuth D E.Morris J H, Pratt V R.Fast pattern matching in strings [J].SIAM J ournal on Computing,1997,6(1):323-350.
[6]Lance Spilzner.Huneyyuls: Definiliuns and Value of Huneyyuls.http: //www.tra
cking-hacker. com/papers/honeypots.html,2003,05.
[7]Know Your Enemy:Honeynets[EB/OL].http://www.honeynet.org/ papers/honeynet,2005-05-12.
[8]薛强.网络入侵检测系统NIDS的新技术研究[D].天津大学,2005-06-06.
[9]User-Mode Linux,http://user-mode-linux.sourceforge.net.
收稿日期:2008-03-12
基金项目:四川省科技攻关资助项目(No:05GG009-018)
作者简介:张俊(1981-),女,河南洛阳人,西华师范大学计算机学院计算机应用技术专业硕士研究生,研究方向:基于网络的计算机应用;钟乐海(1963-),男,四川广安人,博士,西华师范大学计算机学院教授,硕士导师,研究方向:计算机网络应用技术及信息安全技术。
关键词:IPv6;网络入侵检测;模式匹配;蜜罐技术
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)18-2pppp-0c
Research of Network Intrusion Detection System Based on IPv6 Environment
ZHANG Jun,ZHONG Le-hai
(College of Computer Science, China West Normal University,Nanchong 637002,China)
Abstract: IPv6 will be the core technology in the next generation Internet. Therefore, the study on intrusion detection system in IPv6 is closely linked with the next generation Internet .After analyzing the fundamentals of network security system today and the primary characteristics of IPv6,a framework of intrusion detection system in IPv6 was put forward. A pattern matching by using improved KMP, and using Honeypot technology.
Key words:IPv6;network intrusion detection;pattern matching;Honeypot technology
1 引言
防火墙作为一种边界安全设施能比较有效地保护网络内部的非法访问。由于传统防火墙所暴露出来的不足和弱点,引发了人们对入侵检测系统(IDS)技术的研究和开发。入侵检测系统为网络安全提供实时的入侵检测及采取相应的防护手段。随着下一代网络的发展,IPv6提供了较好的安全体系结构,IPv6安全机制的引进,增强了网络层的安全性。同时,IPv6安全机制的应用对现有的网络安全体系也提出了新的要求和挑战。由于入侵手法层出不穷,入侵检测系统很难检测到新的入侵行为,蜜罐技术的引入能够很好的解决这一问题。
入侵检测是指通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到系统的闯入或闯入的企图。入侵检测技术,它是一种主动保护自己免受黑客攻击的新型网络安全技术,进行入侵检测的软件与硬件的组合便是入侵检测系统[1]。
Spitzner认为,蜜罐是一个信息系统资源,其价值就在于它的资源被未授权或非法使用。蜜罐系统通过伪装成带有漏洞的真实系统来吸引黑客进入,并记录黑客在其中的活动。我们通过分析蜜罐记录的数据就可以很轻松的了解到黑客的动向及其使用的新方法等信息。本文引入蜜罐技术是为了记录黑客行为,提取出入侵规则,把新的入侵规则添加到入侵检测系统的规则库中,从而使入侵检测系统能够检测出新的入侵行为。
由于IPSec作为IPv6的下一代互联网的必选协议,它从协议上保证了数据传输的安全性。该协议定义了认证报头和封装安全载荷报头,实现了基于网络层的身份认证,确保了数据包的完整性和机密性,在一定程度上实现了网络层安全[2]。由于在IPv6环境下网络的安全问题仍然突出,入侵检测系统作为一种有效的网络安全工具,它依然在IPv6环境下发挥着重要作用。
2 IPv6网络入侵检测系统结构
入侵检测系统广泛采用成熟的模式匹配技术,针对IPv6的特点,本系统采用将协议分析技术与规则
匹配技术相结合的IPv6网络入侵检测系统框架,使用改进的KMP算法来检测入侵行为。IPv6网络入侵检
基金项目:四川省科技攻关资助项目(No:05GG009-018)
作者简介:张俊(1981-),女,河南洛阳人,西华师范大学计算机学院计算机应用技术专业硕士研究生,研究方向:基于网络的计算机应用;钟乐海(1963-),男,四川广安人,博士,西华师范大学计算机学院教授,硕士导师,研究方向:计算机网络应用技术及信息安全技术
测的基本思想是:捕获目标地址属于受保护网络的数据包,送往协议分析模块,通过具体协议字段分层次协议,送往相应协议解析器,分析数据包的数据部分,再根据特征库中的模式进行模式匹配,判断该数据包是否有入侵企图,最后由响应模块对该数据包做出相应的响应[3],IPv6网络入侵检测系统结构如图1所示。
图1 IPv6网络入侵检测系统结构图
2.1 数据采集模块
数据采集模块是底层模块,它是网络入侵检测系统的基本组成部分,是实现整个入侵检测系统的基础。该模块按一定的规则从网络上获取与安全事件相关的数据包,然后传递给协议解析模块解析处理,为整个系统提供数据来源。
基于IPv6的网络入侵检测系统采用专门为数据监听应用程序设计的库文件WinPacp来实现包捕获模块,这样可以不了解网络的数据链路层细节。
WinPacp是基于BSD系统内核提供的BPF设计的,利用BPF的信息过滤机制可以去掉用户不关心的数据包,从而提高系统的工作效率[4]。
2.2 中层模块
中层模块是IPv6网络入侵检测系统的核心,它由协议解码模块和规则匹配模块组成。协议解码模块是对捕获的数据包进行协议解码,解析成协议数据的格式,并分辨各个协议的头部和负载,进一步分析出头部中的各个字段;规则匹配模块对协议解析模块提交的数据进行匹配算法和规则库中的规则进行比较分析,从而判断是否有入侵行为。
2.3 高层模块
高层模块包括响应模块和界面管理模块。当入侵检测系统发现系统有入侵事件发生时,就要让系统管理员等相关安全人员指导已经有安全问题发生,并需要采取相应的响应措施。响应模块主要功能是对经过检测的数据包执行具体的响应,是入侵检测系统不可缺少的一部分。
从响应的方式上分,入侵检测系统的响应可分为主动响应和被动响应,本文采用主动响应和被动响应向结合的方式来对入侵行为做出响应。
3 一种改进的模式匹配算法
匹配算法直接影响到系统的实时性能。从网络数据包搜索入侵特征时,需要一个有效的字符串搜索算法。在字符串搜索算法中,最著名的是KMP(Knuth-Morris-Pratt)算法和BM(Boyer-Moore)算法[5]。这两种算法在最坏的情况下具有线性的搜索时间,即计算时间复杂度为0(mn),m、n分别是位于欲匹配的字符串长度,而且还可能会出现多次回溯,算法效率太低,因此,我们对KMP算法进行了改进。
对KMP算法的改进的基本思想:当某趟匹配失败时,i指针不必回溯,而是利用已经得到的“部分匹配”结果,看看是否有必要将i的值进行调整,然后再将模式向右“滑动”若干位置后继续比较。在此算法中需要计算一个失效函数next(j):当模式T 中的第j个字符与目标P中相应字符失配时,模式T中应当由哪个字符(设为第k个)与目标中刚失配的字符对齐继续进行比较。我们发现,对不同的j,k的取值,它仅依赖于模式T本身前j个字符的构成,而与目标无关。算法的流程图如图2所示。
从文本的第9位开始比较,改进的KMP算法中的i不是保持不变,而是增加了,这就意味着加快了模式匹配的进度。应用该算法在一定程度上加快了比较速度。
为了测试改进后的KMP算法的性能,我们使用赛门铁克公司入侵防护工具(IPS)SNS-7610在一个局域网内随机采集数据。使用检测规则,分别对改进前和改进后两种算法进行了测试。测试时递增使用匹配规则,对数据进行检测。首先使用200条规则用于检测数据,然后每次增加50条规则,所得到的实验数据如表1所示。
图3 蜜罐技术与网络入侵检测相结合
表2 改进前后捕获率和漏报率对比
我们使用改进的模式匹配算法和蜜罐技术后,网络入侵检测的系统地性能得到了提升,增强了检测能力。改进后的系统经验证,可以稳定高效的检测网络端口的流量,进行实时监测报告。
6 结束语
虽然IPv6提供了较好的安全体系结构,但这些只是在IP层实现的,而对于IP层以上的一些缺陷和应用程序的漏洞在IPv6中还不提供全面的保护。通过分析IPv6协议的特点及安全性能,提出了一种协议分析技术与模式匹配技术将结合的IPv6网络入侵检测体系结构,利用一种改进的模式匹配算法,来提高入侵检测的速度,同时将蜜罐技术引入来弥补入侵检测系的不足,在实际应用中收到了较好的效果。
参考文献:
[1]杨向荣,宋擒豹,深均毅.入侵检测技术研究与系统设计[J].计算机工程与应用,2001 (16):1-4.
[2]Pete Ldshin.IPv6详解.机械工业出版社,2000年4月1日.
[3]李建武.基于IPv6网络入侵检测系统研究和设计[D].西安:西北工业大学,2005.
[4]David Morton.Understanding IPv6 [M].PC Network Advisor,May 1997.
[5]Knuth D E.Morris J H, Pratt V R.Fast pattern matching in strings [J].SIAM J ournal on Computing,1997,6(1):323-350.
[6]Lance Spilzner.Huneyyuls: Definiliuns and Value of Huneyyuls.http: //www.tra
cking-hacker. com/papers/honeypots.html,2003,05.
[7]Know Your Enemy:Honeynets[EB/OL].http://www.honeynet.org/ papers/honeynet,2005-05-12.
[8]薛强.网络入侵检测系统NIDS的新技术研究[D].天津大学,2005-06-06.
[9]User-Mode Linux,http://user-mode-linux.sourceforge.net.
收稿日期:2008-03-12
基金项目:四川省科技攻关资助项目(No:05GG009-018)
作者简介:张俊(1981-),女,河南洛阳人,西华师范大学计算机学院计算机应用技术专业硕士研究生,研究方向:基于网络的计算机应用;钟乐海(1963-),男,四川广安人,博士,西华师范大学计算机学院教授,硕士导师,研究方向:计算机网络应用技术及信息安全技术。