- 相關推薦
基于IPv6網絡安全的管理系統設計論文
0引言
當前信息技術快速發展,網絡惡意攻擊行為更為頻繁,攻擊形式也日趨多樣化,如病毒、木馬、蠕蟲等,網絡安全問題更加突出,互聯網正面臨著新的安全形勢。實踐證明,實時分析并檢測網絡流是加強網絡安全的有效方法。入侵檢測系統(IDS)正是在這個背景下應運而生的。其可以對網絡環境狀況進行積極主動、實時動態的檢測,作為一種新型網絡安全防范技術,在保障網絡安全方面發揮著重要的作用。入侵檢測系統主要通過判斷網絡系統中關鍵點是否正常運轉以實現對網絡環境的檢測,其不但能夠有效地打擊網絡攻擊,還能夠保證信息安全基礎結構完整,實施保護互聯網的安全。目前網絡安全機制正在從IPV4向IPV6過渡,網絡的安全性也在不斷增強,深入分析IPV6安全機制具有重要意義。
1IPv4向IPv6過渡中存在的問題
IPv6安全機制是IPv4安全機制的強化,與IPv4相比,IPv6安全機制的網絡結構更為復雜,應用范圍更為廣闊,但是IPv4向IPv6的過渡不是一蹴而就的,在這個過渡過程中會出現一些嚴重的問題,這就要求我們必須充分認識IPv4向IPv6過渡中的問題,盡量減小對網絡安全的不良影響。
1.1翻譯過渡技術
采用翻譯過渡技術,必須關注翻譯對數據包傳輸終端的破壞情況與網絡層安全技術不匹配這兩個問題。保護網絡正常數據傳送是網絡層安全協議的主要職能,網絡層協議中的地址翻譯技術主要用于變更傳送數據的協議與地址,這就容易使網絡層協儀的地址翻譯與網絡安全協議出現沖突,使網絡環境的安全面臨威脅。
1.2隧道過渡技術
隧道過渡技術并不重視網絡安全,其自身特點也使網絡易遭受攻擊,安裝安全設備的網絡應用隧道技術后,會影響原有的安全設備運作,并且在數據經過隧道時,隧道也不會檢查數據,這就給惡意的數據提供了進入正常網絡的機會,嚴重威脅網絡安全。
1.3雙棧過渡技術
雙棧過渡技術是網絡層協議的一種,兩個網絡層協議在一臺主機上同時運行是其特點。但是同時運行的兩個網絡層協議在技術上并無聯系,而且容易出現運作不協調的問題,導致網絡安全存在漏洞,易被攻擊者利用。但是與翻譯過渡技術和隧道過渡技術比較,雙棧過渡技術的安全性能要優于上邊的兩種技術,網絡安全性相對較高,有其自身優勢。
2IPv6的特點
IPv6是一種新型互聯網協議,是IPv4互聯網協議的革新。IPv6可以有效解決IPv4中存在的漏洞與缺陷,其改進方面主要體現在地址空間、IPSec協議、數據報頭結構、服務質量(QoS)方面。其中數據報頭結構和IPSec協議是影響入侵檢測系統的主要方面。
2.1數據報頭結構的更新
與IPv4數據報頭結構相比,IPv6簡化了IPv4的數據報頭結構,IPv6的40節數據報頭結構極大的提高了數據處理效率。此外,IPv6還增加了選項報頭、分段報頭、認證報頭等多個擴展報頭,入侵檢測系統必須首先解析IPv6報頭才能進行協議分析。
2.2IPSec協議
與IPv4相比,IPv6中還應用了IPSec協議,其可以有效實現網絡層端到端的安全服務,并且IPSec協議中的兩個安全封裝載荷和認證頭協議可以自由組合。IPSec協議實質上是對IPv6傳輸數據包的加密,這有利于提高數據傳輸過程的安全性,但是由于其對IPv6的報頭也進行封裝,入侵檢測系統在進行檢測時必須了解IPv6報頭的源地址和目的地址,否則難以進行檢測行為,這嚴重影響了入侵檢測系統的正常運行。
3IPv4、IPv6入侵檢測技術特點
以往技術多采用模式匹配技術,針對數據包和攻擊數據庫進行匹配對應是該模式的典型特點,這種模式特點是以數據庫對應的情況來依次判斷是否存在網絡攻擊。而現在,檢測系統入侵的技術手段為BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定義為識別并處理那些以IPv6網絡協議惡意使用網絡資源的攻擊者的技術,為IPv6入侵檢測技術。IPv6與IPv4有很大的區別,兩者在程序上不兼容,因此在這種情況下入侵技術的檢測變得問題繁多。首先,兩種協議在數據報頭上變動明顯,以往在IPv4上能用的檢測產品在IPv6上無法直接使用。在使用IPv4協議的情況下,TCP頭部緊緊連接著IP頭部,不僅如此,他們的長度還是確定不變的。這樣的連接模式和設置使得檢測工作的開展變得更加簡便。然而,另一種協議方式即IPv6卻與此有很大的不同,它的這兩個頭部并不緊接,長度也不固定,在其中間還往往會有別的擴展頭部等。經常見到的有路由選項頭部等。盡管該協議下,數據包對應顯得很復雜,若是防火墻沒有完全讀懂數據包則會發生不能過濾的情況,這在某些時候使得入侵的檢測工作變得更加復雜。科研攻關人員目前已經針對IPv6協議下的接口函數做出了相應的科學的新改動。其次,在進行端到端的傳輸工作時,若為IPv6則IDS會由于無法解密而直接導致解讀不了數據,此時的IDS不能有效的繼續工作。雖然采取IDS數據包解密能夠較為有效的解決這一問題,但這種解密情況下的安全又成了新的問題,對其是否可靠,時間會給予準確的答案。
3.1雙棧入侵檢測系統的實現
IPv6協議解碼功能是實現雙棧入侵檢測的關鍵性因素。協議解碼分析通常分為第二層、第三層。第二層主要是以太網,然而第三層的則大為不同,它不僅包含IPv4包類型,還同時兼有IPv6包類型,甚至還具有隧道方式。協議解碼在數據結構、屬性的基礎上,注重數據包對號入座,一一對應。IPv6協議解碼功能如圖1所示。進行協議解碼的首要步驟是抓包并解包,并且在解包時完善對應信息包。分析各個模塊,以此判斷是何種包,區分數據包是屬于IPv4還是屬于IPv6是至關重要的。在此之后,存檔以太網的源地址和目的地址,并在接下來的工作中進行下一層解析,在第三層數據解析時包頭結構是著重分析的對象。
3.2在IPv6環境中的NIDS模塊設計
數據采集、分析,然后是結果輸出,這三個方面組成了整個NIDS系統。對科學要求的CIDF規范完全符合。這個系統由數據包捕獲的各種模塊結合而成。
3.3NIDS模塊功能
(1)數據包捕獲模塊數據包捕獲模塊在整個系統中居于關鍵地位,它是系統的基礎,也是其重要組成部分。該模塊的具體作用在于從以太網上獲取數據包,根據實際情況和不同的系統,有相對性的捕獲,相比之下,捕獲方式會根據具體情況而有所不同。(2)協議解析模塊協議解析是該模塊的核心作用,該模塊對數據層層分析最終得到解析目的,在此基礎上分析是否有入侵情況以便進行制止防御。(3)規則處理模塊提前制定的入侵規則存入庫中,它的多少直接影響著整個入侵系統的性能。規則設置的越多越完善,對于入侵行為的檢測就越精準。(4)分析檢測模塊查證是否有入侵行為發生是該模塊兒的重要作用,該模塊和規則庫若匹配成功則證明系統正在遭受入侵。(5)存儲模塊存儲信息和數據包是該模塊的具體功能。有效儲存信息對于系統對入侵行為的分析具有極強的幫助作用,儲存的數據可供事后分析等。(6)響應模塊響應模塊是入侵行為的響應處理,它的響應能使防火墻及時對入侵行為進行制止和防御,是系統防御不可或缺的盾牌。
引用:
[1]鄧生君,沈鑫,葉昭輝.一種基于IPv4/IPv6網絡入侵檢測系統的框架設計[J].電子世界,2012.
[2]肖長水,謝曉堯.基于IPv6的網絡入侵檢測系統的設計與實現[J].計算機工程與設計,2007.
【基于IPv6網絡安全的管理系統設計論文】相關文章:
基于系統設計的科研管理論文09-22
物資管理系統論文08-06
庫存管理系統論文07-24
基于DSP整流器設計論文04-18
企業工資管理系統的論文09-27
信息管理系統論文09-18
基于SCOSM自適應教學模型設計論文07-12
FPGA數據采集與回放系統設計論文04-24
管理信息系統論文02-04