基于IPv6网络安全的管理系统设计

0引言

当前信息技术快速发展，网络恶意攻击行为更为频繁，攻击形式也日趋多样化，如病毒、木马、蠕虫等，网络安全问题更加突出，互联网正面临着新的安全形势。实践证明，实时分析并检测网络流是加强网络安全的有效方法。入侵检测系统（IDS）正是在这个背景下应运而生的。其可以对网络环境状况进行积极主动、实时动态的检测，作为一种新型网络安全防范技术，在保障网络安全方面发挥着重要的作用。入侵检测系统主要通过判断网络系统中关键点是否正常运转以实现对网络环境的检测，其不但能够有效地打击网络攻击，还能够保证信息安全基础结构完整，实施保护互联网的安全。目前网络安全机制正在从IPV4向IPV6过渡，网络的安全性也在不断增强，深入分析IPV6安全机制具有重要意义。

1IPv4向IPv6过渡中存在的问题

IPv6安全机制是IPv4安全机制的强化，与IPv4相比，IPv6安全机制的网络结构更为复杂，应用范围更为广阔，但是IPv4向IPv6的过渡不是一蹴而就的，在这个过渡过程中会出现一些严重的问题，这就要求我们必须充分认识IPv4向IPv6过渡中的问题，尽量减小对网络安全的不良影响。

1.1翻译过渡技术

采用翻译过渡技术，必须关注翻译对数据包传输终端的破坏情况与网络层安全技术不匹配这两个问题。保护网络正常数据传送是网络层安全协议的主要职能，网络层协议中的地址翻译技术主要用于变更传送数据的协议与地址，这就容易使网络层协仪的地址翻译与网络安全协议出现冲突，使网络环境的安全面临威胁。

1.2隧道过渡技术

隧道过渡技术并不重视网络安全，其自身特点也使网络易遭受攻击，安装安全设备的网络应用隧道技术后，会影响原有的安全设备运作，并且在数据经过隧道时，隧道也不会检查数据，这就给恶意的数据提供了进入正常网络的机会，严重威胁网络安全。

1.3双栈过渡技术

双栈过渡技术是网络层协议的一种，两个网络层协议在一台主机上同时运行是其特点。但是同时运行的两个网络层协议在技术上并无联系，而且容易出现运作不协调的问题，导致网络安全存在漏洞，易被攻击者利用。但是与翻译过渡技术和隧道过渡技术比较，双栈过渡技术的安全性能要优于上边的两种技术，网络安全性相对较高，有其自身优势。

2IPv6的特点

IPv6是一种新型互联网协议，是IPv4互联网协议的革新。IPv6可以有效解决IPv4中存在的漏洞与缺陷，其改进方面主要体现在地址空间、IPSec协议、数据报头结构、服务质量（QoS）方面。其中数据报头结构和IPSec协议是影响入侵检测系统的主要方面。

2.1数据报头结构的更新

与IPv4数据报头结构相比，IPv6简化了IPv4的数据报头结构，IPv6的40节数据报头结构极大的提高了数据处理效率。此外，IPv6还增加了选项报头、分段报头、认证报头等多个扩展报头，入侵检测系统必须首先解析IPv6报头才能进行协议分析。

2.2IPSec协议

与IPv4相比，IPv6中还应用了IPSec协议，其可以有效实现网络层端到端的安全服务，并且IPSec协议中的两个安全封装载荷和认证头协议可以自由组合。IPSec协议实质上是对IPv6传输数据包的加密，这有利于提高数据传输过程的安全性，但是由于其对IPv6的报头也进行封装，入侵检测系统在进行检测时必须了解IPv6报头的源地址和目的地址，否则难以进行检测行为，这严重影响了入侵检测系统的正常运行。

3IPv4、IPv6入侵检测技术特点

以往技术多采用模式匹配技术，针对数据包和攻击数据库进行匹配对应是该模式的典型特点，这种模式特点是以数据库对应的情况来依次判断是否存在网络攻击。而现在，检测系统入侵的技术手段为BruteForce、Aho-Corasick-Boyer-Moore等典型模式匹配算法。被定义为识别并处理那些以IPv6网络协议恶意使用网络资源的攻击者的技术，为IPv6入侵检测技术。IPv6与IPv4有很大的区别，两者在程序上不兼容，因此在这种情况下入侵技术的检测变得问题繁多。首先，两种协议在数据报头上变动明显，以往在IPv4上能用的检测产品在IPv6上无法直接使用。在使用IPv4协议的情况下，TCP头部紧紧连接着IP头部，不仅如此，他们的长度还是确定不变的。这样的连接模式和设置使得检测工作的开展变得更加简便。然而，另一种协议方式即IPv6却与此有很大的不同，它的这两个头部并不紧接，长度也不固定，在其中间还往往会有别的扩展头部等。经常见到的有路由选项头部等。尽管该协议下，数据包对应显得很复杂，若是防火墙没有完全读懂数据包则会发生不能过滤的情况，这在某些时候使得入侵的检测工作变得更加复杂。科研攻关人员目前已经针对IPv6协议下的接口函数做出了相应的科学的新改动。其次，在进行端到端的传输工作时，若为IPv6则IDS会由于无法解密而直接导致解读不了数据，此时的IDS不能有效的继续工作。虽然采取IDS数据包解密能够较为有效的解决这一问题，但这种解密情况下的安全又成了新的问题，对其是否可靠，时间会给予准确的答案。

3.1双栈入侵检测系统的实现

IPv6协议解码功能是实现双栈入侵检测的关键性因素。协议解码分析通常分为第二层、第三层。第二层主要是以太网，然而第三层的则大为不同，它不仅包含IPv4包类型，还同时兼有IPv6包类型，甚至还具有隧道方式。协议解码在数据结构、属性的基础上，注重数据包对号入座，一一对应。IPv6协议解码功能如图1所示。进行协议解码的首要步骤是抓包并解包，并且在解包时完善对应信息包。分析各个模块，以此判断是何种包，区分数据包是属于IPv4还是属于IPv6是至关重要的。在此之后，存档以太网的源地址和目的地址，并在接下来的工作中进行下一层解析，在第三层数据解析时包头结构是着重分析的对象。

3.2在IPv6环境中的NIDS模块设计

数据采集、分析，然后是结果输出，这三个方面组成了整个NIDS系统。对科学要求的CIDF规范完全符合。这个系统由数据包捕获的各种模块结合而成。

3.3NIDS模块功能

（1）数据包捕获模块数据包捕获模块在整个系统中居于关键地位，它是系统的基础，也是其重要组成部分。该模块的具体作用在于从以太网上获取数据包，根据实际情况和不同的系统，有相对性的捕获，相比之下，捕获方式会根据具体情况而有所不同。（2）协议解析模块协议解析是该模块的核心作用，该模块对数据层层分析最终得到解析目的，在此基础上分析是否有入侵情况以便进行制止防御。（3）规则处理模块提前制定的入侵规则存入库中，它的多少直接影响着整个入侵系统的性能。规则设置的越多越完善，对于入侵行为的检测就越精准。（4）分析检测模块查证是否有入侵行为发生是该模块儿的重要作用，该模块和规则库若匹配成功则证明系统正在遭受入侵。（5）存储模块存储信息和数据包是该模块的具体功能。有效储存信息对于系统对入侵行为的分析具有极强的帮助作用，储存的数据可供事后分析等。（6）响应模块响应模块是入侵行为的响应处理，它的响应能使防火墙及时对入侵行为进行制止和防御，是系统防御不可或缺的盾牌。

作者:任利军 单位:呼和浩特职业学院计算机信息学院

引用：

[1]邓生君，沈鑫，叶昭辉.一种基于IPv4/IPv6网络入侵检测系统的框架设计[J].电子世界，2012.

[2]肖长水，谢晓尧.基于IPv6的网络入侵检测系统的设计与实现[J].计算机工程与设计，2007.