基于IPv6網(wǎng)絡(luò)安全的管理系統(tǒng)設(shè)計論文

基于IPv6網(wǎng)絡(luò)安全的管理系統(tǒng)設(shè)計論文

　　0引言

　　當(dāng)前信息技術(shù)快速發(fā)展，網(wǎng)絡(luò)惡意攻擊行為更為頻繁，攻擊形式也日趨多樣化，如病毒、木馬、蠕蟲等，網(wǎng)絡(luò)安全問題更加突出，互聯(lián)網(wǎng)正面臨著新的安全形勢。實踐證明，實時分析并檢測網(wǎng)絡(luò)流是加強網(wǎng)絡(luò)安全的有效方法。入侵檢測系統(tǒng)（IDS）正是在這個背景下應(yīng)運而生的。其可以對網(wǎng)絡(luò)環(huán)境狀況進行積極主動、實時動態(tài)的檢測，作為一種新型網(wǎng)絡(luò)安全防范技術(shù)，在保障網(wǎng)絡(luò)安全方面發(fā)揮著重要的作用。入侵檢測系統(tǒng)主要通過判斷網(wǎng)絡(luò)系統(tǒng)中關(guān)鍵點是否正常運轉(zhuǎn)以實現(xiàn)對網(wǎng)絡(luò)環(huán)境的檢測，其不但能夠有效地打擊網(wǎng)絡(luò)攻擊，還能夠保證信息安全基礎(chǔ)結(jié)構(gòu)完整，實施保護互聯(lián)網(wǎng)的安全。目前網(wǎng)絡(luò)安全機制正在從IPV4向IPV6過渡，網(wǎng)絡(luò)的安全性也在不斷增強，深入分析IPV6安全機制具有重要意義。

　　1IPv4向IPv6過渡中存在的問題

　　IPv6安全機制是IPv4安全機制的強化，與IPv4相比，IPv6安全機制的網(wǎng)絡(luò)結(jié)構(gòu)更為復(fù)雜，應(yīng)用范圍更為廣闊，但是IPv4向IPv6的過渡不是一蹴而就的，在這個過渡過程中會出現(xiàn)一些嚴重的問題，這就要求我們必須充分認識IPv4向IPv6過渡中的問題，盡量減小對網(wǎng)絡(luò)安全的不良影響。

　　1.1翻譯過渡技術(shù)

　　采用翻譯過渡技術(shù)，必須關(guān)注翻譯對數(shù)據(jù)包傳輸終端的破壞情況與網(wǎng)絡(luò)層安全技術(shù)不匹配這兩個問題。保護網(wǎng)絡(luò)正常數(shù)據(jù)傳送是網(wǎng)絡(luò)層安全協(xié)議的主要職能，網(wǎng)絡(luò)層協(xié)議中的地址翻譯技術(shù)主要用于變更傳送數(shù)據(jù)的協(xié)議與地址，這就容易使網(wǎng)絡(luò)層協(xié)儀的地址翻譯與網(wǎng)絡(luò)安全協(xié)議出現(xiàn)沖突，使網(wǎng)絡(luò)環(huán)境的安全面臨威脅。

　　1.2隧道過渡技術(shù)

　　隧道過渡技術(shù)并不重視網(wǎng)絡(luò)安全，其自身特點也使網(wǎng)絡(luò)易遭受攻擊，安裝安全設(shè)備的網(wǎng)絡(luò)應(yīng)用隧道技術(shù)后，會影響原有的安全設(shè)備運作，并且在數(shù)據(jù)經(jīng)過隧道時，隧道也不會檢查數(shù)據(jù)，這就給惡意的數(shù)據(jù)提供了進入正常網(wǎng)絡(luò)的機會，嚴重威脅網(wǎng)絡(luò)安全。

　　1.3雙棧過渡技術(shù)

　　雙棧過渡技術(shù)是網(wǎng)絡(luò)層協(xié)議的一種，兩個網(wǎng)絡(luò)層協(xié)議在一臺主機上同時運行是其特點。但是同時運行的兩個網(wǎng)絡(luò)層協(xié)議在技術(shù)上并無聯(lián)系，而且容易出現(xiàn)運作不協(xié)調(diào)的問題，導(dǎo)致網(wǎng)絡(luò)安全存在漏洞，易被攻擊者利用。但是與翻譯過渡技術(shù)和隧道過渡技術(shù)比較，雙棧過渡技術(shù)的安全性能要優(yōu)于上邊的兩種技術(shù)，網(wǎng)絡(luò)安全性相對較高，有其自身優(yōu)勢。

　　2IPv6的特點

　　IPv6是一種新型互聯(lián)網(wǎng)協(xié)議，是IPv4互聯(lián)網(wǎng)協(xié)議的革新。IPv6可以有效解決IPv4中存在的漏洞與缺陷，其改進方面主要體現(xiàn)在地址空間、IPSec協(xié)議、數(shù)據(jù)報頭結(jié)構(gòu)、服務(wù)質(zhì)量（QoS）方面。其中數(shù)據(jù)報頭結(jié)構(gòu)和IPSec協(xié)議是影響入侵檢測系統(tǒng)的主要方面。

　　2.1數(shù)據(jù)報頭結(jié)構(gòu)的更新

　　與IPv4數(shù)據(jù)報頭結(jié)構(gòu)相比，IPv6簡化了IPv4的數(shù)據(jù)報頭結(jié)構(gòu)，IPv6的40節(jié)數(shù)據(jù)報頭結(jié)構(gòu)極大的提高了數(shù)據(jù)處理效率。此外，IPv6還增加了選項報頭、分段報頭、認證報頭等多個擴展報頭，入侵檢測系統(tǒng)必須首先解析IPv6報頭才能進行協(xié)議分析。

　　2.2IPSec協(xié)議

　　與IPv4相比，IPv6中還應(yīng)用了IPSec協(xié)議，其可以有效實現(xiàn)網(wǎng)絡(luò)層端到端的安全服務(wù)，并且IPSec協(xié)議中的兩個安全封裝載荷和認證頭協(xié)議可以自由組合。IPSec協(xié)議實質(zhì)上是對IPv6傳輸數(shù)據(jù)包的加密，這有利于提高數(shù)據(jù)傳輸過程的安全性，但是由于其對IPv6的報頭也進行封裝，入侵檢測系統(tǒng)在進行檢測時必須了解IPv6報頭的源地址和目的地址，否則難以進行檢測行為，這嚴重影響了入侵檢測系統(tǒng)的正常運行。

　　3IPv4、IPv6入侵檢測技術(shù)特點

　　以往技術(shù)多采用模式匹配技術(shù)，針對數(shù)據(jù)包和攻擊數(shù)據(jù)庫進行匹配對應(yīng)是該模式的典型特點，這種模式特點是以數(shù)據(jù)庫對應(yīng)的情況來依次判斷是否存在網(wǎng)絡(luò)攻擊。而現(xiàn)在，檢測系統(tǒng)入侵的技術(shù)手段為BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定義為識別并處理那些以IPv6網(wǎng)絡(luò)協(xié)議惡意使用網(wǎng)絡(luò)資源的攻擊者的技術(shù)，為IPv6入侵檢測技術(shù)。IPv6與IPv4有很大的區(qū)別，兩者在程序上不兼容，因此在這種情況下入侵技術(shù)的檢測變得問題繁多。首先，兩種協(xié)議在數(shù)據(jù)報頭上變動明顯，以往在IPv4上能用的檢測產(chǎn)品在IPv6上無法直接使用。在使用IPv4協(xié)議的情況下，TCP頭部緊緊連接著IP頭部，不僅如此，他們的長度還是確定不變的。這樣的連接模式和設(shè)置使得檢測工作的開展變得更加簡便。然而，另一種協(xié)議方式即IPv6卻與此有很大的不同，它的這兩個頭部并不緊接，長度也不固定，在其中間還往往會有別的擴展頭部等。經(jīng)常見到的有路由選項頭部等。盡管該協(xié)議下，數(shù)據(jù)包對應(yīng)顯得很復(fù)雜，若是防火墻沒有完全讀懂?dāng)?shù)據(jù)包則會發(fā)生不能過濾的情況，這在某些時候使得入侵的檢測工作變得更加復(fù)雜�？蒲泄リP(guān)人員目前已經(jīng)針對IPv6協(xié)議下的接口函數(shù)做出了相應(yīng)的科學(xué)的新改動。其次，在進行端到端的傳輸工作時，若為IPv6則IDS會由于無法解密而直接導(dǎo)致解讀不了數(shù)據(jù)，此時的IDS不能有效的繼續(xù)工作。雖然采取IDS數(shù)據(jù)包解密能夠較為有效的解決這一問題，但這種解密情況下的安全又成了新的問題，對其是否可靠，時間會給予準確的答案。

　　3.1雙棧入侵檢測系統(tǒng)的實現(xiàn)

　　IPv6協(xié)議解碼功能是實現(xiàn)雙棧入侵檢測的關(guān)鍵性因素。協(xié)議解碼分析通常分為第二層、第三層。第二層主要是以太網(wǎng)，然而第三層的則大為不同，它不僅包含IPv4包類型，還同時兼有IPv6包類型，甚至還具有隧道方式。協(xié)議解碼在數(shù)據(jù)結(jié)構(gòu)、屬性的基礎(chǔ)上，注重數(shù)據(jù)包對號入座，一一對應(yīng)。IPv6協(xié)議解碼功能如圖1所示。進行協(xié)議解碼的首要步驟是抓包并解包，并且在解包時完善對應(yīng)信息包。分析各個模塊，以此判斷是何種包，區(qū)分數(shù)據(jù)包是屬于IPv4還是屬于IPv6是至關(guān)重要的。在此之后，存檔以太網(wǎng)的源地址和目的地址，并在接下來的工作中進行下一層解析，在第三層數(shù)據(jù)解析時包頭結(jié)構(gòu)是著重分析的對象。

　　3.2在IPv6環(huán)境中的NIDS模塊設(shè)計

　　數(shù)據(jù)采集、分析，然后是結(jié)果輸出，這三個方面組成了整個NIDS系統(tǒng)。對科學(xué)要求的CIDF規(guī)范完全符合。這個系統(tǒng)由數(shù)據(jù)包捕獲的各種模塊結(jié)合而成。

　　3.3NIDS模塊功能

　�。�1）數(shù)據(jù)包捕獲模塊數(shù)據(jù)包捕獲模塊在整個系統(tǒng)中居于關(guān)鍵地位，它是系統(tǒng)的基礎(chǔ)，也是其重要組成部分。該模塊的具體作用在于從以太網(wǎng)上獲取數(shù)據(jù)包，根據(jù)實際情況和不同的系統(tǒng)，有相對性的捕獲，相比之下，捕獲方式會根據(jù)具體情況而有所不同。（2）協(xié)議解析模塊協(xié)議解析是該模塊的核心作用，該模塊對數(shù)據(jù)層層分析最終得到解析目的，在此基礎(chǔ)上分析是否有入侵情況以便進行制止防御。（3）規(guī)則處理模塊提前制定的入侵規(guī)則存入庫中，它的多少直接影響著整個入侵系統(tǒng)的性能。規(guī)則設(shè)置的越多越完善，對于入侵行為的檢測就越精準。（4）分析檢測模塊查證是否有入侵行為發(fā)生是該模塊兒的重要作用，該模塊和規(guī)則庫若匹配成功則證明系統(tǒng)正在遭受入侵。（5）存儲模塊存儲信息和數(shù)據(jù)包是該模塊的具體功能。有效儲存信息對于系統(tǒng)對入侵行為的分析具有極強的幫助作用，儲存的數(shù)據(jù)可供事后分析等。（6）響應(yīng)模塊響應(yīng)模塊是入侵行為的響應(yīng)處理，它的響應(yīng)能使防火墻及時對入侵行為進行制止和防御，是系統(tǒng)防御不可或缺的盾牌。

　　引用：

　　[1]鄧生君，沈鑫，葉昭輝.一種基于IPv4/IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)的框架設(shè)計[J].電子世界，2012.

　　[2]肖長水，謝曉堯.基于IPv6的網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機工程與設(shè)計，2007.

【基于IPv6網(wǎng)絡(luò)安全的管理系統(tǒng)設(shè)計論文】相關(guān)文章：

基于系統(tǒng)設(shè)計的科研管理論文09-22

基于冗余PLC的井下排水自動控制系統(tǒng)的設(shè)計的論文02-22

物資管理系統(tǒng)論文08-06

庫存管理系統(tǒng)論文07-24

基于DSP整流器設(shè)計論文04-18

企業(yè)工資管理系統(tǒng)的論文09-27

信息管理系統(tǒng)論文09-18

基于SCOSM自適應(yīng)教學(xué)模型設(shè)計論文07-12

FPGA數(shù)據(jù)采集與回放系統(tǒng)設(shè)計論文04-24

管理信息系統(tǒng)論文02-04