IPv6入侵檢測系統(tǒng)設(shè)計

1、2 學(xué)科類別：計算機科學(xué) IPv6 入侵檢測系統(tǒng)設(shè)計 摘 要：作為下一代的In ternet協(xié)議IPv6取代IPv4。因此對IPv6 的入侵檢測系統(tǒng)有很迫切的需要，該文呈現(xiàn)了一個新的基于協(xié) 議分析的入侵檢測模型，該模型可以從語義層面上掃描弱點幫 助誤用檢測選擇合適的攻擊特征并可得出網(wǎng)絡(luò)行為進而進行異 常檢測。 關(guān)鍵詞：IPv6 ； Libpcap； ICMPv6 ;校驗和 中圖分類號：TP393 文獻標識碼：A IPv6 Intrusion Detection System design Fu Zhi 1，Chen Jun2 1 South the great Wall Primary Sch

2、ool , Guizhou, Tongren, 554300 China College of Computer Scie nee & In formatio n,Guizhou Un iversity, Guizhou, Guiya ng, 550025 China Abstract: It will inevitably take the place of IPv4 as the next generation of the Internet Protocol IPv6.Considering the problem of the urgent requirement of IDS

3、 for IPv6 networks,this paper present a novel intrusion detection model,the model can help misuse detection select the appropriate signature by vulnerability Scanner from semantic level,and get network behavior for anomaly detection. Key words: IPv4, Libpcap, ICMPv6, Checksum 1引言 入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)

4、視，在發(fā)現(xiàn)可 疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。 其 檢查所有的出網(wǎng)、 入網(wǎng)行為并標識可疑行跡。 本文基于 Libpcap 函數(shù)庫在 Linux 平臺下基于協(xié)議分析的 IPv6 入侵檢測系統(tǒng)的開 發(fā)過程進行了闡述。該系統(tǒng)在作者搭建的純 IPv6 的試驗網(wǎng)上測 試通過。 2 IPv6 的安全性問題 該節(jié)中我們分析集成了典型的 IPv6 攻擊模式。 （1）偵測攻擊 偵測技術(shù)在 IPv4 網(wǎng)絡(luò)和 IPv6 網(wǎng)絡(luò)中是相同的，但在 IPv6 網(wǎng)絡(luò)中網(wǎng)絡(luò)的可容納主機數(shù)量比 IPv4 網(wǎng)絡(luò)大得多（默認尺寸是 64 比特）。因此使得進行全網(wǎng)絡(luò)地址掃描變得不可能完成。 不幸 的是，一些用于 I

5、Pv6 網(wǎng)絡(luò)中的組播地址能幫助入侵者確定并攻 擊目標網(wǎng)絡(luò)中的資源。RFC2375定義了組播用于具體的節(jié)點。 （例如所有路由器有一個具體地址 FF05: 2）。 IPv6 入侵檢測系統(tǒng)設(shè)計 （2） ICMPv6和組播誤用 IPSec是網(wǎng)絡(luò)層協(xié)議，它只負責對其下層的網(wǎng)絡(luò)安全， 在IP 層以上及網(wǎng)絡(luò)應(yīng)用軟件中的漏洞和缺陷 IPSec就無能為力了。 IPv4網(wǎng)絡(luò)中極度泛濫的 ARP欺騙攻擊，在IPv6中借助鄰居發(fā) 現(xiàn)協(xié)議同樣具備類似的攻擊模式。 在IPv6網(wǎng)絡(luò)中的一些重要機制，例如鄰居發(fā)現(xiàn)協(xié)議和路徑 最大傳輸單元發(fā)現(xiàn)，都依靠ICMPv6進行。ICMPv6規(guī)范允許一 個用組播地址的錯誤通報（如果一個數(shù)據(jù)

6、包的目的是一個組播 地址，IPv6組播功能僅僅規(guī)定了簡單的認證功能，所以還難以 實現(xiàn)嚴格的用戶限制功能）這樣的機制會被攻擊者利用。攻擊 者通過發(fā)送一個數(shù)據(jù)包其目的地址為組播地址，則一個攻擊者 即能導(dǎo)致多個回應(yīng)者對偽造的源地址進行回應(yīng)。 （3） 碎片攻擊 IPv6協(xié)議規(guī)范發(fā)送點負責處理碎片問題。由于碎片不再是 在傳輸過程中被處理，就大大降低了傳輸途徑中路由器的負擔。 IPv6最小的推薦MTU大小是1280字節(jié)。處理時會丟棄 MTU 小于1280字節(jié)的數(shù)據(jù)包（除非它是最后一個包）,這有助于防止碎 片攻擊。但攻擊者可以利用碎片獲取網(wǎng)絡(luò)狀態(tài)而不被發(fā)現(xiàn)（碎 片被丟棄了）。攻擊者可通過發(fā)送大量的碎片導(dǎo)致目

7、標主機進行 碎片大量重組進而過載，這將意味著一個系統(tǒng)的崩潰，這就形 成了一個拒絕服務(wù)式攻擊。 （4） 效率瓶頸 在IPv4中，IP報頭和TCP/UDP報頭是緊接在一起的，而 且針對大部分IPv4報文其長度固定，所以入侵檢測系統(tǒng)很容易 找到報頭，并使用相應(yīng)的規(guī)則對其進行過濾。在 IPv6中 TCP/UDP報頭的位置有了變化，IP報頭與TCP/UDP報頭之間 常常還存在其他的擴展報頭，如路由選項報頭、AH/ESP報頭等。 要對數(shù)據(jù)包進行過濾就必須逐個找到下一個報頭，直到 TCP/UDP 報頭為止，這對入侵檢測系統(tǒng)的處理能力和處理速度 會產(chǎn)生很大影響。 目前IPv4環(huán)境下的入侵監(jiān)測系統(tǒng)不能有效地檢測

8、 IPv6數(shù)據(jù) 包，這就需要提出一種新的基于 IPv6 網(wǎng)絡(luò)的入侵檢測系統(tǒng)模型。 3入侵檢測系統(tǒng)框架 入侵檢測分為基于主機 HISD和基于網(wǎng)絡(luò)的NIDS。HIDS 對要檢測的主機或系統(tǒng)的審計日志、行為或文件系統(tǒng)等進行分 析，一旦發(fā)現(xiàn)這些文件發(fā)生任何變化， HIDS 將比較新的日志記 錄與入侵簽名以發(fā)現(xiàn)它們是否匹配。如果匹配，檢測系統(tǒng)就向 管理員發(fā)出警報并采取相應(yīng)響應(yīng)策略。 HIDS 一般只能檢測主機 上發(fā)生的入侵，它的原始數(shù)據(jù)來源受到所依附的具體操作系統(tǒng) 平臺的限制，系統(tǒng)的實現(xiàn)主要針對某種特定的系統(tǒng)平臺，其可 移植性較差。 NIDS 使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為數(shù)據(jù)源， 一般利用一 個網(wǎng)絡(luò)適配

9、器來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐?信。檢測到入侵即可采用報警、 中斷連接等方式進行響應(yīng)。 NIDS 直接從數(shù)據(jù)鏈路層獲取信息，因而從理論上它可捕獲所有網(wǎng)絡(luò) 信息，只要傳輸數(shù)據(jù)不是底層加密。 網(wǎng)絡(luò)式入侵偵測系統(tǒng) (network-based intrusion detection system, NIDS)大致上有兩種偵測方式：異常偵測法 (an omaly detection)與誤用偵測法(misuse detection)。異常偵測法是基于建 立正常的行為規(guī)范，若有行為超出所定義的規(guī)范時，將被視為 異常行為。誤用偵測法則是利用所收集的攻擊特征 (attack sig natures

10、)來比對網(wǎng)絡(luò)封包，用以監(jiān)控網(wǎng)絡(luò)上是否有惡意行為。 隨著安全漏洞不斷被發(fā)現(xiàn)與攻擊手法大量增加的情況下，誤用 式的網(wǎng)絡(luò)入侵偵測系統(tǒng)(misuse NIDS)需要一直增加新的攻擊特 征來偵測各式的惡意網(wǎng)絡(luò)攻擊。然而眾多的特征中很可能包含 了許多目前網(wǎng)絡(luò)環(huán)境不需要的攻擊特征，造成系統(tǒng)花費了重要 的處理資源在不相關(guān)的特征上面，嚴重影響了系統(tǒng)的效率。隨 著網(wǎng)絡(luò)流量的增加，過多的特征所產(chǎn)生多余的封包檢查將甚至 影響系統(tǒng)所提供實時的在線防護。 異常檢測基于入侵行為違背了通常的系統(tǒng)使用。異常檢測 的一個優(yōu)點是它能檢測未知的攻擊模式。本系統(tǒng)根據(jù)協(xié)議分析 提出的入侵檢測模型可從語義層面上掃描弱點 (vul nera

11、bility Scanner幫助誤用檢測選擇合適的攻擊特征并可得出網(wǎng)絡(luò)行為 進而進行異常檢測。 IPv6 入侵檢測系統(tǒng)設(shè)計 4 . IPv6入侵檢測系統(tǒng)設(shè)計 協(xié)議分析技術(shù)是把數(shù)據(jù)包視為具有嚴格定義格式的數(shù)據(jù) 流，可以根據(jù)各層網(wǎng)絡(luò)協(xié)議的定義對各層協(xié)議的解析結(jié)果進行 逐次分析。IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)的基本思想是：捕獲目標地址 屬于受保護網(wǎng)絡(luò)的數(shù)據(jù)包送往分析模塊 ，通過具體協(xié)議字段判 斷各層協(xié)議送往相應(yīng)協(xié)議解析器對數(shù)據(jù)包進行協(xié)議分析 ；而進 行特征選擇和生成行為。再根據(jù)特征庫和行為庫的信息進行檢 索，判斷該數(shù)據(jù)包是否有入侵企圖；最后由響應(yīng)模塊對該數(shù)據(jù)包 作出相應(yīng)的響應(yīng)。IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)結(jié)構(gòu)

12、如圖 1所示。 特征庫 3 1 1HTTP 解析 1 TCP 解析 FTP 解析 數(shù)據(jù)包 IPv6 頭解析 UDP解析 SMTP 解析 入侵判斷 響應(yīng) k ICMPV6 解析 Pop3 解析 j 1 TCP 解析 仃為庫 圖1: IPv6入侵檢測系統(tǒng) Figure 1: IPv6 Intrusion detection system 5 協(xié)議分析系統(tǒng) 51 協(xié)議分析系統(tǒng)主函數(shù)框架 對于基于 Libpcap 的 IPv4 協(xié)議分析與 IPv6 協(xié)議分析主函數(shù) 的實現(xiàn)基本上是一致的。其基本流程是：主函數(shù)中先打開相應(yīng) 的網(wǎng)絡(luò)接口，然后編譯設(shè)置過濾規(guī)則，進而捕包并調(diào)用回調(diào)函 數(shù)，最后關(guān)閉相應(yīng)設(shè)備。 設(shè)

13、置過濾規(guī)則的語句為： char bpf_filter_string = ; Libpcap 的抓包是基于 BPF 過濾器的，其設(shè)計目的是為了使 用戶級程序能夠高效訪問原始的未經(jīng)處理的網(wǎng)絡(luò)數(shù)據(jù)包。 Libpcap只支持BPF接口的內(nèi)核過濾，如果沒有 BPF的支持， 數(shù)據(jù)包將全部被讀入用戶空間。 52 回調(diào)函數(shù)框架 在主函數(shù)捕獲網(wǎng)絡(luò)數(shù)據(jù)包后調(diào)用回調(diào)函數(shù)，如果在主函數(shù) 中沒有設(shè)置過濾規(guī)則字符串則一般應(yīng)從以太網(wǎng)包頭的回調(diào)函數(shù) 開始調(diào)用（因為我們收到的數(shù)據(jù)包就是以以太網(wǎng)包頭開始的） 然后各回調(diào)函數(shù)再根據(jù)各自首部的類型字段調(diào)用相應(yīng)的回調(diào)函 數(shù)達到層層解包的功能。 IPv4與IPv6的協(xié)議分析系統(tǒng)對以太網(wǎng)首

14、部的分析回調(diào)函數(shù) 幾乎完全相同。其特別應(yīng)該說明的是以太網(wǎng)類型字段，即以太 網(wǎng)首部的第 13、14 字節(jié)。該字段定義了上層協(xié)議的類型，如該 字段為“0 x0800,則上層協(xié)議為IPv4協(xié)議；如該字段為 “ 0 x86dd,”則上層協(xié)議為IPv6協(xié)議。 53 IPv6 報頭回調(diào)函數(shù)框架IPv6 入侵檢測系統(tǒng)設(shè)計 IPv4與IPv6報頭的格式有不同，因此其相應(yīng)的回調(diào)函數(shù)的 定義也相差很大。 IPv6報頭的基本格式比IPv4報頭的基本格式更加簡單， IPv6地址長度是IPv4地址長度的4倍， 但IPv6的基本報頭長 度只是IPv4報頭長度的2倍。IPv6報文的基本報頭主要在以下 3個方面作了簡化：所有

15、報頭長度固定；刪除報頭校驗和功能； 刪除各路由器的分片處理功能。在 IPv6中不用IPv4的變長選 項字段，而是在基本報頭之后加上擴展報頭來處理特殊分組。 由于基本報頭長度固定，IPv6自然就不需要報頭長度字段了。 首先定義IPv4/IPv6基本報頭的回調(diào)函數(shù)，在回調(diào)函數(shù)中根 據(jù)IPv4/IPv6基本報頭的格式定義相應(yīng)的結(jié)構(gòu)體， 在回調(diào)函數(shù)中 定義指向相應(yīng)結(jié)構(gòu)體的指針，然后給相應(yīng)的指針賦值。 struct ipv4_header *ip4_protocol; struct ipv6_header *ip6_protocol; 無論IPv4或IPv6其以太網(wǎng)首部都完全一樣，所以此處分析 IP頭部

16、都應(yīng)從數(shù)據(jù)包首部跳躍 14個字節(jié)(以太網(wǎng)首部的長度)。 ip4_pro= (struct ipv4_header*)(packet_c on te nt + 14); ip6_pro= (struct ipv6_header*)(packet_c on te nt + 14); 指向了 IP頭部就可以根據(jù)?Pv4/IPv6基本報頭不同的結(jié)構(gòu) 體依次讀取結(jié)構(gòu)體中的數(shù)據(jù)成員獲取相關(guān)的數(shù)據(jù)包 IP頭部信 息。需要特別說明的是此處讀取IPv4/IPv6基本報頭信息最大的 區(qū)別是對其目的源IP地址信息的獲取。對于IPv4可簡單的使 用如下的方式獲取(使用專用的 inet_ntoa()函數(shù)把IPv4網(wǎng)絡(luò)地

17、 址轉(zhuǎn)換成點分十進制格式)： printf(%sn,inet_ntoa(ip4_pro -ip_address); IPv6因為地址長度變?yōu)榱?_128bit，所以不能使用上面的IPv4 專用的地址轉(zhuǎn)換函數(shù)。我們采用下面的方式實現(xiàn)對 IPv6地址信 息的獲取(將IPv6網(wǎng)絡(luò)地址轉(zhuǎn)換成冒分十六進制格式)： un t16_t souce_ip8; memcpy(souce_ip,&( ip6_pro-ip_souce_address),16); for(i=0;iip_nexthead) case 6: printf(The Transport Layer Protocol is TCPn

18、); TCP_protocol_packet_callback(argument,packet_header, packet_content); break; case 17: printf(The Transport Layer Protocol is UDPn); UDP_protocol_packet_callback(argument,packet_header, packet_content); break; case 58: printf(nICMPv6 協(xié)議 n); icmp_protocol_packet_callback(argument,packet_header, pac

19、ket_content); break; default: IPv6 入侵檢測系統(tǒng)設(shè)計 對于其它頭部（除了注意ICMP報文與ICMPv6報文類型 值不同和ICMPv6負載內(nèi)容的特殊含義）TCP及UDP的解包方 法可以參照上面的步驟完成， 對不同的IPv4/IPv6網(wǎng)絡(luò)環(huán)境沒有 本質(zhì)區(qū)別在此不再闡述。 協(xié)議分析技術(shù)對數(shù)據(jù)包的解析是按網(wǎng)絡(luò)分層的體系結(jié)構(gòu)來 進行的，從網(wǎng)絡(luò)層、 傳輸層和應(yīng)用層的角度對數(shù)據(jù)包格式層層 分析，通過各個協(xié)議包頭獲得該數(shù)據(jù)包的特征并得到網(wǎng)絡(luò)行為 ， 有針對性地與協(xié)議規(guī)則庫中的協(xié)議字段進行比較 ，提高入侵判 斷的性能。 6 .實驗結(jié)果 安全是相對的，雖然IPv6提供了較好的安全

20、體系結(jié)構(gòu)，但 這些只是在IP層實現(xiàn)的，而對于IP層以上的一些缺陷和應(yīng)用 程序的漏洞在IPv6中還不能提供全面的保護。 本文通過分析 IPv6協(xié)議的特點及其安全性能，設(shè)計了一種采用協(xié)議分析技術(shù) 的IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)。 協(xié)議分析技術(shù)是新一代IDS探測入侵的主要技術(shù)，它利用網(wǎng) 絡(luò)協(xié)議的高度規(guī)則性可以從語義層面快速探測入侵的存在 ，與傳 統(tǒng)的模式匹配技術(shù)相比有很多優(yōu)勢。理論上協(xié)議分析技術(shù)能夠 解決IDS領(lǐng)域長期以來的應(yīng)用瓶頸問題，檢測準確性以及大流量 應(yīng)用網(wǎng)絡(luò)環(huán)境下的系統(tǒng)性能。 本文按上述方法開發(fā)了基于協(xié)議分析系統(tǒng)的 IPv6入侵檢測 系統(tǒng)。經(jīng)測試該系統(tǒng)能正確高效的抓取 IPv6數(shù)據(jù)包并提取相應(yīng) 信息，達到了預(yù)定目標。 參考文獻 1 Wenke Lee A Data Mining Framework for Buildi ng In trusi on Detection ModelC . New York: IEEE Symposium on Security and Privacy,1999. 120-132. 2 Steven McCanne, Van Jacobson.The BSD Packet Filter: A New Architecture for Userlevel Pa