1、2 學科類別：計算機科學 IPv6 入侵檢測系統設計 摘 要：作為下一代的In ternet協議IPv6取代IPv4。因此對IPv6 的入侵檢測系統有很迫切的需要，該文呈現了一個新的基于協 議分析的入侵檢測模型，該模型可以從語義層面上掃描弱點幫 助誤用檢測選擇合適的攻擊特征并可得出網絡行為進而進行異 常檢測。 關鍵詞：IPv6 ； Libpcap； ICMPv6 ;校驗和 中圖分類號：TP393 文獻標識碼：A IPv6 Intrusion Detection System design Fu Zhi 1，Chen Jun2 1 South the great Wall Primary Sch

2、ool , Guizhou, Tongren, 554300 China College of Computer Scie nee & In formatio n,Guizhou Un iversity, Guizhou, Guiya ng, 550025 China Abstract: It will inevitably take the place of IPv4 as the next generation of the Internet Protocol IPv6.Considering the problem of the urgent requirement of IDS

3、 for IPv6 networks,this paper present a novel intrusion detection model,the model can help misuse detection select the appropriate signature by vulnerability Scanner from semantic level,and get network behavior for anomaly detection. Key words: IPv4, Libpcap, ICMPv6, Checksum 1引言 入侵檢測系統是一種對網絡傳輸進行即時監

4、視，在發現可 疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。 其 檢查所有的出網、 入網行為并標識可疑行跡。 本文基于 Libpcap 函數庫在 Linux 平臺下基于協議分析的 IPv6 入侵檢測系統的開 發過程進行了闡述。該系統在作者搭建的純 IPv6 的試驗網上測 試通過。 2 IPv6 的安全性問題 該節中我們分析集成了典型的 IPv6 攻擊模式。 （1）偵測攻擊 偵測技術在 IPv4 網絡和 IPv6 網絡中是相同的，但在 IPv6 網絡中網絡的可容納主機數量比 IPv4 網絡大得多（默認尺寸是 64 比特）。因此使得進行全網絡地址掃描變得不可能完成。 不幸 的是，一些用于 I

5、Pv6 網絡中的組播地址能幫助入侵者確定并攻 擊目標網絡中的資源。RFC2375定義了組播用于具體的節點。 （例如所有路由器有一個具體地址 FF05: 2）。 IPv6 入侵檢測系統設計 （2） ICMPv6和組播誤用 IPSec是網絡層協議，它只負責對其下層的網絡安全， 在IP 層以上及網絡應用軟件中的漏洞和缺陷 IPSec就無能為力了。 IPv4網絡中極度泛濫的 ARP欺騙攻擊，在IPv6中借助鄰居發 現協議同樣具備類似的攻擊模式。 在IPv6網絡中的一些重要機制，例如鄰居發現協議和路徑 最大傳輸單元發現，都依靠ICMPv6進行。ICMPv6規范允許一 個用組播地址的錯誤通報（如果一個數據

6、包的目的是一個組播 地址，IPv6組播功能僅僅規定了簡單的認證功能，所以還難以 實現嚴格的用戶限制功能）這樣的機制會被攻擊者利用。攻擊 者通過發送一個數據包其目的地址為組播地址，則一個攻擊者 即能導致多個回應者對偽造的源地址進行回應。 （3） 碎片攻擊 IPv6協議規范發送點負責處理碎片問題。由于碎片不再是 在傳輸過程中被處理，就大大降低了傳輸途徑中路由器的負擔。 IPv6最小的推薦MTU大小是1280字節。處理時會丟棄 MTU 小于1280字節的數據包（除非它是最后一個包）,這有助于防止碎 片攻擊。但攻擊者可以利用碎片獲取網絡狀態而不被發現（碎 片被丟棄了）。攻擊者可通過發送大量的碎片導致目

7、標主機進行 碎片大量重組進而過載，這將意味著一個系統的崩潰，這就形 成了一個拒絕服務式攻擊。 （4） 效率瓶頸 在IPv4中，IP報頭和TCP/UDP報頭是緊接在一起的，而 且針對大部分IPv4報文其長度固定，所以入侵檢測系統很容易 找到報頭，并使用相應的規則對其進行過濾。在 IPv6中 TCP/UDP報頭的位置有了變化，IP報頭與TCP/UDP報頭之間 常常還存在其他的擴展報頭，如路由選項報頭、AH/ESP報頭等。 要對數據包進行過濾就必須逐個找到下一個報頭，直到 TCP/UDP 報頭為止，這對入侵檢測系統的處理能力和處理速度 會產生很大影響。 目前IPv4環境下的入侵監測系統不能有效地檢測

8、 IPv6數據 包，這就需要提出一種新的基于 IPv6 網絡的入侵檢測系統模型。 3入侵檢測系統框架 入侵檢測分為基于主機 HISD和基于網絡的NIDS。HIDS 對要檢測的主機或系統的審計日志、行為或文件系統等進行分 析，一旦發現這些文件發生任何變化， HIDS 將比較新的日志記 錄與入侵簽名以發現它們是否匹配。如果匹配，檢測系統就向 管理員發出警報并采取相應響應策略。 HIDS 一般只能檢測主機 上發生的入侵，它的原始數據來源受到所依附的具體操作系統 平臺的限制，系統的實現主要針對某種特定的系統平臺，其可 移植性較差。 NIDS 使用原始的網絡分組數據包作為數據源， 一般利用一 個網絡適配

9、器來實時監視和分析所有通過網絡進行傳輸的通 信。檢測到入侵即可采用報警、 中斷連接等方式進行響應。 NIDS 直接從數據鏈路層獲取信息，因而從理論上它可捕獲所有網絡 信息，只要傳輸數據不是底層加密。 網絡式入侵偵測系統 (network-based intrusion detection system, NIDS)大致上有兩種偵測方式：異常偵測法 (an omaly detection)與誤用偵測法(misuse detection)。異常偵測法是基于建 立正常的行為規范，若有行為超出所定義的規范時，將被視為 異常行為。誤用偵測法則是利用所收集的攻擊特征 (attack sig natures

10、)來比對網絡封包，用以監控網絡上是否有惡意行為。 隨著安全漏洞不斷被發現與攻擊手法大量增加的情況下，誤用 式的網絡入侵偵測系統(misuse NIDS)需要一直增加新的攻擊特 征來偵測各式的惡意網絡攻擊。然而眾多的特征中很可能包含 了許多目前網絡環境不需要的攻擊特征，造成系統花費了重要 的處理資源在不相關的特征上面，嚴重影響了系統的效率。隨 著網絡流量的增加，過多的特征所產生多余的封包檢查將甚至 影響系統所提供實時的在線防護。 異常檢測基于入侵行為違背了通常的系統使用。異常檢測 的一個優點是它能檢測未知的攻擊模式。本系統根據協議分析 提出的入侵檢測模型可從語義層面上掃描弱點 (vul nera

11、bility Scanner幫助誤用檢測選擇合適的攻擊特征并可得出網絡行為 進而進行異常檢測。 IPv6 入侵檢測系統設計 4 . IPv6入侵檢測系統設計 協議分析技術是把數據包視為具有嚴格定義格式的數據 流，可以根據各層網絡協議的定義對各層協議的解析結果進行 逐次分析。IPv6網絡入侵檢測系統的基本思想是：捕獲目標地址 屬于受保護網絡的數據包送往分析模塊 ，通過具體協議字段判 斷各層協議送往相應協議解析器對數據包進行協議分析 ；而進 行特征選擇和生成行為。再根據特征庫和行為庫的信息進行檢 索，判斷該數據包是否有入侵企圖；最后由響應模塊對該數據包 作出相應的響應。IPv6網絡入侵檢測系統結構

12、如圖 1所示。 特征庫 3 1 1HTTP 解析 1 TCP 解析 FTP 解析 數據包 IPv6 頭解析 UDP解析 SMTP 解析 入侵判斷 響應 k ICMPV6 解析 Pop3 解析 j 1 TCP 解析 仃為庫 圖1: IPv6入侵檢測系統 Figure 1: IPv6 Intrusion detection system 5 協議分析系統 51 協議分析系統主函數框架 對于基于 Libpcap 的 IPv4 協議分析與 IPv6 協議分析主函數 的實現基本上是一致的。其基本流程是：主函數中先打開相應 的網絡接口，然后編譯設置過濾規則，進而捕包并調用回調函 數，最后關閉相應設備。 設

13、置過濾規則的語句為： char bpf_filter_string = ; Libpcap 的抓包是基于 BPF 過濾器的，其設計目的是為了使 用戶級程序能夠高效訪問原始的未經處理的網絡數據包。 Libpcap只支持BPF接口的內核過濾，如果沒有 BPF的支持， 數據包將全部被讀入用戶空間。 52 回調函數框架 在主函數捕獲網絡數據包后調用回調函數，如果在主函數 中沒有設置過濾規則字符串則一般應從以太網包頭的回調函數 開始調用（因為我們收到的數據包就是以以太網包頭開始的） 然后各回調函數再根據各自首部的類型字段調用相應的回調函 數達到層層解包的功能。 IPv4與IPv6的協議分析系統對以太網首

14、部的分析回調函數 幾乎完全相同。其特別應該說明的是以太網類型字段，即以太 網首部的第 13、14 字節。該字段定義了上層協議的類型，如該 字段為“0 x0800,則上層協議為IPv4協議；如該字段為 “ 0 x86dd,”則上層協議為IPv6協議。 53 IPv6 報頭回調函數框架IPv6 入侵檢測系統設計 IPv4與IPv6報頭的格式有不同，因此其相應的回調函數的 定義也相差很大。 IPv6報頭的基本格式比IPv4報頭的基本格式更加簡單， IPv6地址長度是IPv4地址長度的4倍， 但IPv6的基本報頭長 度只是IPv4報頭長度的2倍。IPv6報文的基本報頭主要在以下 3個方面作了簡化：所有

15、報頭長度固定；刪除報頭校驗和功能； 刪除各路由器的分片處理功能。在 IPv6中不用IPv4的變長選 項字段，而是在基本報頭之后加上擴展報頭來處理特殊分組。 由于基本報頭長度固定，IPv6自然就不需要報頭長度字段了。 首先定義IPv4/IPv6基本報頭的回調函數，在回調函數中根 據IPv4/IPv6基本報頭的格式定義相應的結構體， 在回調函數中 定義指向相應結構體的指針，然后給相應的指針賦值。 struct ipv4_header *ip4_protocol; struct ipv6_header *ip6_protocol; 無論IPv4或IPv6其以太網首部都完全一樣，所以此處分析 IP頭部

16、都應從數據包首部跳躍 14個字節(以太網首部的長度)。 ip4_pro= (struct ipv4_header*)(packet_c on te nt + 14); ip6_pro= (struct ipv6_header*)(packet_c on te nt + 14); 指向了 IP頭部就可以根據?Pv4/IPv6基本報頭不同的結構 體依次讀取結構體中的數據成員獲取相關的數據包 IP頭部信 息。需要特別說明的是此處讀取IPv4/IPv6基本報頭信息最大的 區別是對其目的源IP地址信息的獲取。對于IPv4可簡單的使 用如下的方式獲取(使用專用的 inet_ntoa()函數把IPv4網絡地

17、 址轉換成點分十進制格式)： printf(%sn,inet_ntoa(ip4_pro -ip_address); IPv6因為地址長度變為了 _128bit，所以不能使用上面的IPv4 專用的地址轉換函數。我們采用下面的方式實現對 IPv6地址信 息的獲取(將IPv6網絡地址轉換成冒分十六進制格式)： un t16_t souce_ip8; memcpy(souce_ip,&( ip6_pro-ip_souce_address),16); for(i=0;iip_nexthead) case 6: printf(The Transport Layer Protocol is TCPn

18、); TCP_protocol_packet_callback(argument,packet_header, packet_content); break; case 17: printf(The Transport Layer Protocol is UDPn); UDP_protocol_packet_callback(argument,packet_header, packet_content); break; case 58: printf(nICMPv6 協議 n); icmp_protocol_packet_callback(argument,packet_header, pac

19、ket_content); break; default: IPv6 入侵檢測系統設計 對于其它頭部（除了注意ICMP報文與ICMPv6報文類型 值不同和ICMPv6負載內容的特殊含義）TCP及UDP的解包方 法可以參照上面的步驟完成， 對不同的IPv4/IPv6網絡環境沒有 本質區別在此不再闡述。 協議分析技術對數據包的解析是按網絡分層的體系結構來 進行的，從網絡層、 傳輸層和應用層的角度對數據包格式層層 分析，通過各個協議包頭獲得該數據包的特征并得到網絡行為 ， 有針對性地與協議規則庫中的協議字段進行比較 ，提高入侵判 斷的性能。 6 .實驗結果 安全是相對的，雖然IPv6提供了較好的安全

20、體系結構，但 這些只是在IP層實現的，而對于IP層以上的一些缺陷和應用 程序的漏洞在IPv6中還不能提供全面的保護。 本文通過分析 IPv6協議的特點及其安全性能，設計了一種采用協議分析技術 的IPv6網絡入侵檢測系統。 協議分析技術是新一代IDS探測入侵的主要技術，它利用網 絡協議的高度規則性可以從語義層面快速探測入侵的存在 ，與傳 統的模式匹配技術相比有很多優勢。理論上協議分析技術能夠 解決IDS領域長期以來的應用瓶頸問題，檢測準確性以及大流量 應用網絡環境下的系統性能。 本文按上述方法開發了基于協議分析系統的 IPv6入侵檢測 系統。經測試該系統能正確高效的抓取 IPv6數據包并提取相應 信息，達到了預定目標。 參考文獻 1 Wenke Lee A Data Mining Framework for Buildi ng In trusi on Detection ModelC . New York: IEEE Symposium on Security and Privacy,1999. 120-132. 2 Steven McCanne, Van Jacobson.The BSD Packet Filter: A New Architecture for Userlevel Pa