基于协议分析的Ipv6网络入侵检测系统的研究.pdf

《基于协议分析的Ipv6网络入侵检测系统的研究.pdf》由会员分享，可在线阅读，更多相关《基于协议分析的Ipv6网络入侵检测系统的研究.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第 3 7 卷第 4 期 2 0 0 6 年 7 月 太原理工大学学报 J OURNAL OF TAI YUAN UNI VERS I TY OF TECHNOLOGY Vo 1 3 7 No 4 J u l y 2 0 0 6 文 章 编 号：1 0 0 7-9 4 3 2(2 0 0 6)0 4 0 4 7 3-0 3 基于协议分析的 I p v 6网络 入侵检测系统的研究 潘理虎，陈立潮 ，武辉斌，李 峰。(1 太原科技大学 计算 机科学 与技术学院，山西 太 原 0 3 0 0 2 4；2 太原煤气化股份有 限公 司焦 化厂 山西 太原 0 3 0 0 2 4；3 北京 中科院软件 中

2、心 北京 1 0 0 0 8 0)摘 要：从 协 议 分 析 技 术 入 手，围 绕 I p v 6 网络 的 新 特 点，构 筑 了 基 于 协 议 分 析 技 术 的 I p v 6 网 络 入 侵 检 测 系统 的 结 构 模 型，并 对 实现 方 案 作 了 具 体 的 研 究。在 保 持 原 有 I Pv 4入 侵 检 测 系统 检 测 引 擎 优 点 的 基 础 上，挖 掘 I Pv 6特 性，深 入 研 究 下 一 代 网 络 体 系结 构，采 用 Ng r e p解 决 了 I P v 6下 的 数 据 捕 获 问 题，为 I DS的 进 一 步 发 展 积 累 了一 些 经

3、验。对 协 议 分 析 的 流 程 和 基 于 数 据 挖 掘 的 特 征 数 据 库 的 动 态 更 新 做 了较 详 细 的研 究，对 入 侵 检 测 系统 的 平 台移 植 进 行 了有 益 的 探 索。关 键 词：入 侵 检 测；I Pv 6；协 议 分 析；数 据 挖 掘 中 图 分 类 号：TP 3 1 1 文 献 标 识 码：A 协议分析技术利用网络协议的高度规则性快速 探测攻击的存在。协议分析的优 势包括：解析命令 字符串、探测碎片攻击和协议确认、解析每一层时用 已获得的知识来消除在数据包结构中不可能出现的 攻击、降低误报率、速度快且准 确。应用于 I p v 6的 协议分析技

4、 术也 发生了变化_ 1 。I P v 6报头 比 I P v 4 报头简单，报头总计只有 6个报头域和两个地址域。它使用扩展报头来解决特殊 的需求，I P v 6报头是定 长的。I P v 6报头没有报头校验和，这样做的优势在 于每次转发时不需要检 验和更新校验和，降低 了报 头处理支出。I P v 6报头 中不需要 I P v 4那样的分段 控制域。I P v 4报头中的数据包 总长被 I P v 6中的有 效负载长度代替。协议类型域在 I P v 6中则用下一 个报头域取代，这体现 了 I P v 6中 I P信息包新 的组 织形式。在 I P v 6下，虽然 I P数据报头 的长度完全

5、 固定，但是，由于有扩展头的存 在使得查找 TC P报 文时需要逐个读取扩展报头。由于 T C P报文本身 并未发生变化，在确定 了 T C P报文 的位置之后，根 据端 口号判断协议类型，并根 据协议类型判断和查 找特征字符串，这在 I P v 4和 I P v 6下是完全相同的。1 I P v 6网络入侵检测系统结构模型 笔者针对协议分析技术和 I P v 6的特点设计一 个以太网中使用的入侵检测系统结构模型。从网络 结构分层的特点和处理的时间先后把系统模型分为 三大模块。其协议分析层次结构如图 1所示。其中 底层模块是数据包的捕获过程；中层模块是 网络分 层处理模块；上层是统计处理模块。

6、其 中，中层的数 据处理模块的划分体现了网络层次结构要求处理时 图 1协 议 分 析 层 次 结构 图 间上的先后次序，即首先进行 MAC层 的处理(应用 过滤思想，尽可能减少 比较次数)，再进行 I P层的处 理，再进行传输层 的处理。这样处理可 以减少信息 比较的次数。中层模块 的划分可根据 网络分层的体 系结构，如数据链路层、网络层、传输层、应用 层，协 收稿 日期：2 0 0 5 1 0 1 1 基金项 目：山西省 自然科学基金资助(2 0 0 5 1 0 4 4)作者简介：潘理 虎(1 9 7 4 一)，男，山西太原人，讲师，主要从事 网络管理与 网络安全、智能 网络研究，(Te 1

7、)1 3 9 9 4 2 1 2 9 0 6 维普资讯 http:/ 4 7 4 太 原 理 工 大 学 学 报 第 3 7卷 议分析系 统 中层模 块 的设 计与 之 相对 应 分别 为 MAC、I P、T C P、UD P、I C MP模 块。为 了能达到实 时显示的目的，各个模块应是线程 队列 中的一个线 程。每层的处理十分类似，都是一个多分枝的程序 结构。中层处理模块是将捕获的以太网络数据包根 据以太网络协议格式层层解剖 的过程，反复用到数 据库和文件操作。数据库中数据表的设计也象中层 子功能模块 的划分一样，和 网络层 次结构相对应。功能模块和数据库的这种设计可以使每个数据包在 每层

8、只比较一次，用数据库来存储 比较后 的协议信 息。这样设计使数据库有记忆 的功能，如一个数据 包一经判断是 I P包，那么就进入 I P数据表中，如再 需判断哪些数据包是 T C P包，就只需将 I P表中的 数据包进行判断即可。中层模块的协议分析处理过 程如 图 2所示。以太 网数据囟 判断协议类型 Y 源I P 为本地 攻击分析机 N N 丢弃 判断上层协议 其他 l l T C P I l U D P I l I C MP 丢弃 l l T C P l I U D P J l I C MP 1 分 析机l 1 分 析 机I 1分 析机 T e l n e t 分析机 l l H 丌盼析机

9、 I l F 1 P 分析机 围 2协 议分 析 流 程 上层的统计处理模块是在中层处理的基础上提 供数据包的统计信息和协议 的统计信息，网络网元 发现信息。管理员可以通过该上层模块的统计信息 了解网络的大概运行状况。在数据分析部分，采用 了协议分析与模式 匹配相结合 的方法，特征模式 匹 配技术 3 是在上个世纪 9 O年代，它把网络数据包看 作无序、随意的字节流，对 网络 中传输的数据包逐一 与特征库进行匹配。直到检测到攻击或网络数据包 中的所有字节匹配完毕，一个攻击特征匹配结束。首先进行协议分析。系统 分析本机接收的 I P 数据包，以及与攻击相关 的协议类型的数据包。如 检测 p i

10、n g o f d e a t h攻击要分析 I C MP数据包，TC P 扫描要分析 T C P数据包等。每种协议数据包 的分 析过程由相关的攻击分析程 序即分析机来完成，在 分析机中，采用模式匹配的算法来分析攻击。该系统模型具有 良好 的可扩展性。根据需要，还可以再添加其它协议类型的分析程序。2 运行过 程模 拟分析 2 1 系统模拟运行环境和总体框架 系统运行在局域网环境，采用 I P v 4和 I P v 6双 协议栈技术。I P v 6地址是选 自最 为普通的地址空 间，既 非 以 3 f f e：开 头 的 实 验 用 地 址，也 非 以 2 0 0 1：开头 的 生产(p r o

11、 d u c t i o n)用 地 址。目标 主 机 运行一些 I P v 6的服务，如 F t p，t e l n e t 或 S S H等。系统运行总体框架如图 3 所示。围 3系 统 运 行 总体 框 架 2 2 系统模拟运行过程分析 2 2 1 捕 获数 据 包和 MAC层 数据 处理 在两 台主机交互信息的过程 中捕获数据包，可 使用 T c p d u mp。Tc p d u mp是著 名 的 S n i f f e r，一个 专业的网络管理工具。通常利用这个工具检查访问 服务器中的文件包信 息，监测 网络中 的问题所在。本文使用它来捕获 网络中的数据包，并进行 MAC 处理。在

12、 I P v 4下捕获报文 的技术 已经相当成熟。但是，在 I P v 6下，却存在着相 当的问题。主要的问 题在于如何正确 的捕获 I P v 6负载 的前几个字节。使用 Ng r e p可以解决这个 问题。Ng r e p对 I P v 6的 数据包结构有着 良好的定义和支持。在捕获数据包之后，要根据物理帧类型值，即第 十三个字节处的两个字节判断二层协议 的类型。帧 的前六个字节(4 8位)为 目标主机以太 网地址、其后 的六个字节(4 8位)为源主机以太网地址，最后是两 个字节的帧类型。常见的协议类型如下：1)I P协议，类型值 0 x 0 8 0 0 2)AR P协议，类型值 0 x

13、0 8 0 6 维普资讯 http:/ 第 4期 潘理虎等：基 于协议分析的 I p v 6网络入侵检测 系统的研究4 7 5 3)R AR P协议，类型值 0 x 8 0 3 5 2 2 2 I Pv 6层 数 据 处 理 I P v 6数据包包括数据报头和负载。I P v 6报头 长度为 4 0个字节，负载最大可 以达到 6 5 5 3 5个字 节。本层处理研究重点在于读取这 4 0个字节长度 的报头 之 后 负载。负 载 包 括 可选 的扩 展报 头 和 TC P报文的内容。特征字符 串就处在 负载的某一 个位置上。T C P报头的最小长度 为 2 0个字节，加 入选项后长度最大可以达到

14、 4 0个字节。I P v 6数据 包未添加扩展报头时，负载中包括 TC P报头和数据 部分。I P v 6数据包在添加扩展报头时之后，扩展报 头添加在负载的前部。通过分析负载，系统检查 出 所使用 的传输层协议，判断是 TC P或 UDP协议。2 2 3 TC P层 数 据 处 理 在 T C P层所 要做 的是将从 I P层传 人 的 TC P 包根据端 口号判断应用层 的协议类型，并根据 TC P 协议规定分析获取报文的基本属性，如端 口号、序号 等，并找出数据部分所在的位置。2 2 4特征检 测 特征检测模块将从下层和中层模块处理得到的 有用信息综合利用，采用特征 匹配技术对数据包进

15、行检测。该模块 的工作有两个：其一是建立特征库，特征库是指在 T C P某种协议 的基础上，特定地址、端 口或异常字符 的集合，以及所应给出的提示。一 个完整的特征库至少应 当包含 以上几个基本属性。其二是检测特征字符 串，把数 据包的数据和特征库 中的特征字符串比较，从 而找出异常的数据包，并进 行 处理。2 2 5 基 于数据 挖掘 方 法 的特征 库动 态更新技 术 入侵检测系统的特征数据库应具有 自学习的机 能，从而保证能够检测到最新 的攻击手段。采用数 据挖掘方法 5 实现系统的 自学 习机能是一个较好的 办法。首先对网络 中的历史数据进行分析整理，得 到具有一定格式的数据挖掘算法能

16、识别 的数据。通 过对大量历史数据进行数据挖掘，从 而得 到新 的知 识，即具有特征 的新数据，并记 录在特征数据库里。但是，假如特征数据库 内有大量的特征数据纪录，那 么采用特征模式匹配方法来做检测，必然需 要大量 的计算 时间。为了避免这种情形 出现，作者采用最 近最少使用淘汰法。如果某种攻击情形很少出现或 者最近不 出现，那么就把与之 对应的特征数据记录 转入历史特征数据库中。这部分记 录一般不参与比 较，只有在网络 出现大 的异常 时才进行 全库 比较。这样就可以大大降低特征匹配时的计算量。而特征 数据库中保留的总是最新 的常用的特征信息纪录。通过学习和淘汰机制，入侵检测 系统 的特征

17、数据库 始终处于最好最新的状态，保证 了入侵检测系统 的 时效性，提高了系统的检测效率。3 结束语 本文提出的 I p v 6网络下 的协议 分析技术在入 侵检测系统中的应用是针对 当前 的入侵检测技术如 何在 I p v 6网络能够继续发挥 效力而做 出的一种尝 试，为 I D S的进一步发展积累 了一些经验。后续工 作可进一步深入数据挖掘算法研究，把关联 规则挖 掘、模糊技术挖掘、背景知识挖掘等融入到系统 自学 习机制之中。还可以对更多 的 I P协议进行深入分 析，研究基于这些协议的入侵检测技术。另外，增强 其准确性和效率也是研究的重要内容。参考文献：1 李津生，洪佩琳，下一代 I n

18、t e r n e t 网络技术E M 北京：人 民邮 电出版社，2 0 0 1 E 2 Ke n n e t h D Re e d，协议分析 M，北京：电子工业出版社，2 0 0 2 3 祁永平，协 同式入侵检测系统 M 太原理工大学学报，2 0 0 1，3 2(4)：4 0 4 4 0 7 4 Y Z h a n g，V P a x s o n Re s o l u t i o n o f S n o r t E C P r o c e e d i n g s o f t h e 9 t h US E NI X S e c u r i t y S y mp o s i u m，De n v

19、 e r，Co l o r a d o，2 0 0 0：2 1 5 2 1 9 5 S t e p h e n No r t h c u t t 入侵特征与分析 M 北京：中国电力 出版社，2 0 0 2，6 卢勇，曹阳 基 于数据挖掘 的入 侵检测 系统框架 M 武汉大 学学报，2 0 0 2，4 8(2)：6 3 6 6 (下转第 4 7 9页)维普资讯 http:/ 第 4期 段巍等：高斯脉冲在单模光纤中的传输特性分析 4 7 9 3 M J P。t a s e k G。v i n d P A g r a w a I S C P i n a u l t A n a l y t i c a

20、 n d n u m e r ic a l s t u d y o f p u l s e b r。a d e n i n g i n n。n l i n e a r d i s p e r s i V e。p i l f i b e r s J J Op t S o c，1 9 8 6(3)：2 0 5 2 1 1 S t u d y o n Tr a ns mi s s i o n Cha r a c t e r i s t i c s o f Ga u s s i a n Pu l s e i n Si n g l e-mo d e Fi b e r s DUAN W e i YANG

21、M a o-l i n，GE Yo ng (s c 。z。，J ，。r，n 口 。s c g c g 口 E n g i e e r g，L a n z h。“U n i e r s i t y，L a n z h。“7 3 O 0 0 0，c )Ab s t r a c t：Tr a n s mi s s i o n c h a r a c t e r i s t i c s o f Ga u s s i a n p u l s e s i n s i n g l e mo d e f i b e r s we r e a n a l y z e d t h r o u g h s t u

22、d y i n g NLS e q u a t i o n，t h e i n f l u e n c e o f GVD，TOD a n d S P M o n p u l s e w d t h e X p a n s l o n we r e i n ve s t i ga t e d a n d c or r e s po nd i ng c u r v e s we r e g i v e n The r e s ul t s i nd i c a t e d t ha t un de r t he D r e mi s e o f c o n s i d e r i n g f a

23、 c t o r s a b o v e，t h e s h a p e o f p u l s e g e n e r a t e s e x p a n s i o na mp n t u d e d e c l n e s ha De d s t or t i on a nd o s c i l l a t o r y t r a i l i ng The r e s u l t s pr e s e nt e d i n t h i s p a pe r i s o f v a l ue n s t u d yi n g t he i nf l ue nc e o f op t i c

24、 a l c ha nn e l on s ys t e m BER ，Ke v w0 r a s：Ga u s s i a n p u l s e；g r o u p v e l o c i t y d i s p e r s i o n；t h i r d o r d e r d i s p e r s i o n；s e l f-p h a s e mo d u 一 1 a t o n (编辑：贾丽红)(上接第 4 7 5 页)Re s e a r c h Ab o u t I nt r u s i o n De t e c t i o n S y s t e m o f I Pv 6

25、Ba s e d o n Pr o t o c o l An a l y s i s Te c hn o l o g y PAN Li-h u 1，CHEN Li c h a o ，W U Hu i b i n，LI Fe ng a (1 c。g g。，C o mp u 5 榭 。z。g Y。T U S T，T a i y 俐s 砌 2 T e c。是 ，l g Pl a，l 。，i 3 f C o a z G a s i f i c n t i。C o m ，T a i y“鲫 S h n 竹 0 3 O 0 2 4，c n 3 s。叫口 E g 以 g C 鲫 r。，C h i e s e

26、 Ac a d e m。，S c e c e s，B e 巧 g 1 O 0 0 8 0，c n)A b s t r a c t：P r o t o c o 1 a n a l y s is t e c h n o l o g y o f I p v 6 w a s p u t f o r w a r d i n t h i s p a p e r a n d w a s u s e d r=I DS(I n t r u s i o n De t e c t i o n S y s t e m)，a n d wa s a n a t t e rap t t o ma k e u s e o f

27、 t h e f o r me r a d v a n c e d I DS o f I p v 4 n e t wo r k i n I p v 6 n e t wo r kBa s e d o n k e e p i n g t h e a d V a n c e d c h a r a 町“h d e 托 旧 一 g in e o f I p v 4 n e t w o r k s ID S，t h e I p v 6 s c h a r a c t e r is t ic w a s m in e d t h e n w o r k 。?n e x t g e n e r a t i

28、o n wa s s t u d i e d t h o r o u g h l y，a s i mp l e mo d e l o f s y s t e m s t r u c t u r e wa s p u t t o r wa r d p r o b l e m t h a t d a t a c a p t u r e V r e pa U a c ，1 t h，ed i n l p v 6 n e t wo r k wa s s o l e d b y u s i n g Ng o f t h a t c u mu l a t e d o m e e x p e r i e n

29、c e f o r t h e f u r t h e r d e v e l o p m e n t o f I D S i n I p V 6 D e t w o r k T h f 1 o w o f p o o。?n v s i s a n d t h e d y n a mi c u p d a t i n g o f t h e d a t a b a s e we r e u s s e d i n d e t a i l Th i s p a p e r c a s t h r o u g h Dr o f i t a bl e a t t e mpt f o r t r a n s p l a nt o f I DS Ke y wo r d s：I n t r u s i o n d e t e c t i。n；I Pv 6；p r。t。c。l a n a l y s i s t e c h n。1。g y；d a t a mi n i n g (编辑：贾丽红)维普资讯 http:/