IPv6高速网络环境下入侵检测系统的研究

来源 :杭州电子科技大学 | 被引量 : 0次 | 上传用户:nobita8371
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
相对于IPv4协议而言,IPv6协议将IPSec作为协议本身的一部分实现,有效增强了其网络层的安全性。但是随着IPv6网络的应用,越来越多的IPv6协议安全隐患暴露出来,一些针对IPv6协议的网络攻击逐渐成为人们关注的焦点。入侵检测系统(Intrusion Detection System, IDS)是一种非常有效的网络安全工具,多年来在IPv4网络中发挥了不可替代的作用,而IPv6网络同样需要IDS的保护。由于IPv6与IPv4不兼容,现有IPv4网络中的IDS无法适应IPv6网络的需求,而且IPv6网络安全又有其自身的特点,因此研究IPv6网络中的IDS十分必要。本文在深入研究IPv4网络中著名的开源IDS Snort基础上,结合IPv6网络的高速化特点以及对IPv6网络攻击的行为,给出了IPv6高速网络环境下的IDS的总体设计方案和实现机制,主要开展了以下几个方面的工作:1、深入研究IPv6网络中存在的安全问题,重点在于IPv6协议本身的安全漏洞以及由此可能引发的攻击行为,详细分析和讨论了路由扩展首部安全漏洞、IPv6分片攻击、泛洪攻击、邻居发现协议DoS攻击的原理,以及IPv4/IPv6隧道过渡机制引发的安全问题。2、针对IPv6网络呈现出的高速化特点,深入研究了传统的Libpcap函数库底层所依赖的PF_PACKFT、PACKET_MMAP以及PF_RING套接字的数据包捕获技术原理和存在的性能瓶颈问题,引出基于零拷贝(Zero-Copy)技术原理的数据包捕获思想,改进Snort的数据包捕获模块,实现了零拷贝的数据包捕获方式,提高Snort在IPv6高速网络环境下的捕包效率。3、针对现有版本Snort在解析IPv6数据包方面表现出的不足,采用IPv6协议分析技术改进Snort的数据包解析模块,实现对IPv6数据包的固定首部和各扩展首部以及IPv6-In-IPv4、IPv4-In-IPv6隧道数据包的解析功能,并结合新增加的内网受保护系统模块(Internal Protected System Module, IPSM),实现了在数据包解析阶段对利用IPv6路由扩展首部漏洞所实施的攻击行为的检测功能。4、研究改进Snort的报警输出模块以及Snort的基本安全分析引擎(Basic Analysis and Security Engine, BASE),实现MySQL数据库对IPv6报警信息的存储,以及BASE对IPv6入侵信息的Web界面展示和分析功能。目前,尚缺少成熟的IPv6IDS商业化产品,而开源软件方面也缺少对IPv6的支持或支持功能非常有限。本文以开源IDS Snort为基础,提出了IPv6高速网络环境下的IDS总体设计方案,并详细分析了每一个相关功能模块的设计思路与具体实现,形成了一个功能基本完善的用于IPv6网络的入侵检测系统。本文设计实现的IPv6IDS可以有效应用于现阶段的IPv4/IPv6过渡网络环境中,也可以用于纯IPv6网络环境中,对今后IPv6网络环境下IDS的进一步研究具有一定的实用参考价值。
其他文献
随着科学技术的飞速发展,越来越多的传感器应用于各个领域中。图像融合就是利用各种成像传感器不同的成像方式,提供互补信息,增加图像的信息量,提高对环境的适应性,以获得更
随着互联网的普及,电子邮件已经成为人们生活中通信、交流的工具之一,但是随着电子邮件的广泛普及和电子邮件发送的低成本,人们面临的一个严峻的问题就是:任何人的电子邮件地址只
月球是地球的近邻,探测月球能帮助人类认识宇宙的起源演化。利用月球探测数据对大地测量参数的准确估计对得出精确的月球模型,更好的研究月球表面的资源有重要意义。本课题是
数字图像技术作为数字技术中的重要领域,近年来得到飞速发展,已经在现实生活诸多方面得到广泛应用。影像是人类从外界获取信息的重要手段之一,同时也以其特殊的形式记录了很
聚类分析作为数据挖掘的一个重要研究方向,可以有效地挖掘出这些数据背后所包含的知识,在金融、电信、保险业、市场营销、网络异常检测、网络安全、科学决策等方面具有十分重要
软硬件协同设计已经成为嵌入式系统开发的主流技术,推动着嵌入式系统向着更高集成度和更高计算能力的方向发展。评价MPSoC性能的指标有很多,如执行时间、硬件面积、功耗等,而诸
大部分的人脸识别方法利用大量正确标记的训练样本来学习精度足够高的识别模型。收集人脸图像并对其进行正确的标记会耗费大量的人力、物力,且现实情况中人脸图像因光照等变化
公钥基础设施(Public Key Infrastructure, PKI)是目前网络安全建设的基础与重点。建设PKI体系,核心的技术就是建立功能完善的、安全的认证中心(CA)。CA是当前网络安全领域研
随着计算机网络、无线通信、嵌入式等技术的不断发展,无线传感器网络技术目前有了极大的进步。作为一种前沿的信息获取及处理技术,无线传感器网络研究引起了国内外研究者的重
随着高职院校的不断扩招,在校师生人数急剧膨胀,高职院校对于教学管理规范化、现代化要求日益迫切,必须开发出符合高职院校实际情况的综合管理系统,实现教学管理的信息化。