基于ＩＰｖ６環境下的網絡入侵檢測系統研究

張　俊　鐘樂海

摘要：IPv6技術是下一代互聯網的技術核心，對IPv6網絡入侵檢測系統的研究與下一代網絡的安全技術緊密相關。在分析網絡安全系統的基本原理和IPv6網絡的主要特點之后，提出了一種基于IPv6網絡入侵檢測系統的框架，同時采用了改進的KMP算法和蜜罐技術。

關鍵詞：IPv6；網絡入侵檢測；模式匹配；蜜罐技術

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)18-2pppp-0c

Research of Network Intrusion Detection System Based on IPv6 Environment

ZHANG Jun,ZHONG Le-hai

(College of Computer Science, China West Normal University,Nanchong 637002,China)

Abstract: IPv6 will be the core technology in the next generation Internet. Therefore, the study on intrusion detection system in IPv6 is closely linked with the next generation Internet .After analyzing the fundamentals of network security system today and the primary characteristics of IPv6,a framework of intrusion detection system in IPv6 was put forward. A pattern matching by using improved KMP, and using Honeypot technology.

Key words:IPv6;network intrusion detection;pattern matching;Honeypot technology

1 引言

防火墻作為一種邊界安全設施能比較有效地保護網絡內部的非法訪問。由于傳統防火墻所暴露出來的不足和弱點，引發了人們對入侵檢測系統（IDS）技術的研究和開發。入侵檢測系統為網絡安全提供實時的入侵檢測及采取相應的防護手段。隨著下一代網絡的發展，IPv6提供了較好的安全體系結構，IPv6安全機制的引進，增強了網絡層的安全性。同時，IPv6安全機制的應用對現有的網絡安全體系也提出了新的要求和挑戰。由于入侵手法層出不窮，入侵檢測系統很難檢測到新的入侵行為，蜜罐技術的引入能夠很好的解決這一問題。

入侵檢測是指通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到系統的闖入或闖入的企圖。入侵檢測技術，它是一種主動保護自己免受黑客攻擊的新型網絡安全技術，進行入侵檢測的軟件與硬件的組合便是入侵檢測系統[1]。

Spitzner認為，蜜罐是一個信息系統資源，其價值就在于它的資源被未授權或非法使用。蜜罐系統通過偽裝成帶有漏洞的真實系統來吸引黑客進入，并記錄黑客在其中的活動。我們通過分析蜜罐記錄的數據就可以很輕松的了解到黑客的動向及其使用的新方法等信息。本文引入蜜罐技術是為了記錄黑客行為，提取出入侵規則，把新的入侵規則添加到入侵檢測系統的規則庫中，從而使入侵檢測系統能夠檢測出新的入侵行為。

由于IPSec作為IPv6的下一代互聯網的必選協議，它從協議上保證了數據傳輸的安全性。該協議定義了認證報頭和封裝安全載荷報頭，實現了基于網絡層的身份認證，確保了數據包的完整性和機密性，在一定程度上實現了網絡層安全[2]。由于在IPv6環境下網絡的安全問題仍然突出，入侵檢測系統作為一種有效的網絡安全工具，它依然在IPv6環境下發揮著重要作用。

2 IPv6網絡入侵檢測系統結構

入侵檢測系統廣泛采用成熟的模式匹配技術，針對IPv6的特點，本系統采用將協議分析技術與規則

匹配技術相結合的IPv6網絡入侵檢測系統框架，使用改進的KMP算法來檢測入侵行為。IPv6網絡入侵檢

基金項目：四川省科技攻關資助項目（No:05GG009-018）

作者簡介：張?。?981-），女，河南洛陽人，西華師范大學計算機學院計算機應用技術專業碩士研究生，研究方向：基于網絡的計算機應用；鐘樂海（1963-），男，四川廣安人，博士，西華師范大學計算機學院教授，碩士導師，研究方向：計算機網絡應用技術及信息安全技術

測的基本思想是：捕獲目標地址屬于受保護網絡的數據包，送往協議分析模塊，通過具體協議字段分層次協議，送往相應協議解析器，分析數據包的數據部分，再根據特征庫中的模式進行模式匹配，判斷該數據包是否有入侵企圖，最后由響應模塊對該數據包做出相應的響應[3]，IPv6網絡入侵檢測系統結構如圖1所示。

圖1 IPv6網絡入侵檢測系統結構圖

2.1 數據采集模塊

數據采集模塊是底層模塊，它是網絡入侵檢測系統的基本組成部分，是實現整個入侵檢測系統的基礎。該模塊按一定的規則從網絡上獲取與安全事件相關的數據包，然后傳遞給協議解析模塊解析處理，為整個系統提供數據來源。

基于IPv6的網絡入侵檢測系統采用專門為數據監聽應用程序設計的庫文件WinPacp來實現包捕獲模塊，這樣可以不了解網絡的數據鏈路層細節。

WinPacp是基于BSD系統內核提供的BPF設計的，利用BPF的信息過濾機制可以去掉用戶不關心的數據包，從而提高系統的工作效率[4]。

2.2 中層模塊

中層模塊是IPv6網絡入侵檢測系統的核心，它由協議解碼模塊和規則匹配模塊組成。協議解碼模塊是對捕獲的數據包進行協議解碼，解析成協議數據的格式，并分辨各個協議的頭部和負載，進一步分析出頭部中的各個字段；規則匹配模塊對協議解析模塊提交的數據進行匹配算法和規則庫中的規則進行比較分析，從而判斷是否有入侵行為。

2.3 高層模塊

高層模塊包括響應模塊和界面管理模塊。當入侵檢測系統發現系統有入侵事件發生時，就要讓系統管理員等相關安全人員指導已經有安全問題發生，并需要采取相應的響應措施。響應模塊主要功能是對經過檢測的數據包執行具體的響應，是入侵檢測系統不可缺少的一部分。

從響應的方式上分，入侵檢測系統的響應可分為主動響應和被動響應，本文采用主動響應和被動響應向結合的方式來對入侵行為做出響應。

3 一種改進的模式匹配算法

匹配算法直接影響到系統的實時性能。從網絡數據包搜索入侵特征時，需要一個有效的字符串搜索算法。在字符串搜索算法中，最著名的是KMP（Knuth-Morris-Pratt）算法和BM(Boyer-Moore)算法[5]。這兩種算法在最壞的情況下具有線性的搜索時間，即計算時間復雜度為0(mn)，m、n分別是位于欲匹配的字符串長度，而且還可能會出現多次回溯，算法效率太低，因此，我們對KMP算法進行了改進。

對KMP算法的改進的基本思想：當某趟匹配失敗時，i指針不必回溯，而是利用已經得到的“部分匹配”結果，看看是否有必要將i的值進行調整，然后再將模式向右“滑動”若干位置后繼續比較。在此算法中需要計算一個失效函數next(j):當模式T 中的第j個字符與目標P中相應字符失配時，模式T中應當由哪個字符（設為第k個）與目標中剛失配的字符對齊繼續進行比較。我們發現，對不同的j,k的取值，它僅依賴于模式T本身前j個字符的構成，而與目標無關。算法的流程圖如圖2所示。

圖2 改進的KMP算法流程圖

設目標序列P的長度為m，模式序列T的長度為n，滑動系數為k。指針i和j分別指示主串目標序列和模式序列中的比較字符。根據改進的算法，對于字符串模式匹配實例P=“abaabc”和T=“abaabghjwabaabch”的匹配過程如下:

從文本的第9位開始比較，改進的KMP算法中的i不是保持不變，而是增加了，這就意味著加快了模式匹配的進度。應用該算法在一定程度上加快了比較速度。

為了測試改進后的KMP算法的性能，我們使用賽門鐵克公司入侵防護工具（IPS）SNS-7610在一個局域網內隨機采集數據。使用檢測規則，分別對改進前和改進后兩種算法進行了測試。測試時遞增使用匹配規則，對數據進行檢測。首先使用200條規則用于檢測數據，然后每次增加50條規則，所得到的實驗數據如表1所示。

通過實驗證明，應用改進后的KMP模式匹配算法，能夠減少一定量的比較時間，說明改進后的算法在一定程度上加快了比較速度。

4 蜜罐技術的加入

蜜罐（Honeypot）是一種在互聯網上運行的，目的是吸引攻擊者，并記錄下攻擊者的行為的計算機系統。它是專門為吸引并誘騙那些試圖非法闖入他人計算機系統的人（如電腦黑客）而設計的，該系統是一個包含漏洞的誘騙系統，它通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易供給的目標，從而得到相關信息以便檢測到攻擊，由于蜜罐并沒有向外界提供真正價值的服務，因此所有的蜜罐的嘗試都被視為可疑的。蜜罐的另外一個用途就是拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間[6]。

本文將蜜罐引入的目的是通過分析蜜罐記錄的數據提取入侵規則，有助于入侵檢測系統檢測出新的入侵行為，同時，入侵系統也為蜜罐過濾掉一些已知入侵，降低了數據分析的工作量。為了克服分布式蜜罐系統運行成本高，管理與配置復雜的缺點，我們提出了虛擬分布式蜜罐的思想。通過將多個蜜罐甚至防火墻安裝在一個物理機器上，就可以更好的模擬網絡。

本文實現了一種建立在User-Mode Linux(UML)上的虛擬分布式蜜罐系統。UML是一種建立在Linux基礎上的虛擬機，實質是在Linux內核上的一個補丁，是開放源代碼的，由Jeff Dike開發和維護[9]。UML允許在一臺Linux主機上同時運行多個UML的實例，即在一臺Linux主機上實現多個Linux虛擬機。UML有點像商業軟件Vmware，不過目前它只能用在Linux系統上。設計UML的目的包括：讓調試新的Linux內核更加容易，運行有錯或者是有一定危險的程序，監視內核運行情況等，而且不會破壞宿主Linux系統（運行UML的Linux系統）。

5 系統的實現及實驗結果

本系統是在Snort2.0.0的基礎上實現IPv6下的網絡入侵檢測。只有Nmap網絡安全掃描器支持IPv6掃描，Iperf能夠產生IPv6流量。為了進行測試，我們使用SendIP構造各種隧道包和敏感信息的IPv6包發往被保護的網絡，觀察NIDS的告警情況。對于IPv6的分段重組，我們用長ping進行測試（即指定ping包的長度，包長大于1500byte的IP將被分段）。Snort系統從網絡接口讀取數據包以后，首先根據數據鏈路層協議值來調用不同的解析函數來解析數據鏈路層協議，根據數據包中指向上層的協議值來調用不同的IP層解析函數。如果指向IP層協議值為0X0800，就調用DecodeIP（）函數來解析IPv4協議；如果為0X86dd就調用DecodeIPv（）函數來解析IPv6協議。

我們利用See5軟件對蜜罐捕獲的數據包中的數據提取規則，再將提取的入侵規則與NIDS中已有的規則進行比較，刪除與NIDS已有規則相同的規則，剩余的就是新規則，將其放入新規則庫中，以備入侵檢測系統擴充其規則庫之用。將新規則庫中的規則添加到NIDS規則庫中，增強了入侵檢測系統檢測新攻擊的能力。圖3為網絡入侵檢測與蜜罐技術的結合應用。

實驗中，在使用Iperf在PC最大發包能力600Mbps，1460ByteUDP數據包的情況下，使用1500條規則，啟動網絡入侵檢測系統，進行網絡監聽。實驗結果如表2所示。

圖3 蜜罐技術與網絡入侵檢測相結合

表2 改進前后捕獲率和漏報率對比

我們使用改進的模式匹配算法和蜜罐技術后，網絡入侵檢測的系統地性能得到了提升，增強了檢測能力。改進后的系統經驗證，可以穩定高效的檢測網絡端口的流量，進行實時監測報告。

6 結束語

雖然IPv6提供了較好的安全體系結構，但這些只是在IP層實現的，而對于IP層以上的一些缺陷和應用程序的漏洞在IPv6中還不提供全面的保護。通過分析IPv6協議的特點及安全性能，提出了一種協議分析技術與模式匹配技術將結合的IPv6網絡入侵檢測體系結構，利用一種改進的模式匹配算法，來提高入侵檢測的速度，同時將蜜罐技術引入來彌補入侵檢測系的不足，在實際應用中收到了較好的效果。

參考文獻：

[1]楊向榮,宋擒豹,深均毅.入侵檢測技術研究與系統設計[J].計算機工程與應用,2001 (16):1-4.

[2]Pete Ldshin.IPv6詳解.機械工業出版社,2000年4月1日.

[3]李建武.基于IPv6網絡入侵檢測系統研究和設計[D].西安:西北工業大學,2005.

[4]David Morton.Understanding IPv6 [M].PC Network Advisor,May 1997.

[5]Knuth D E.Morris J H, Pratt V R.Fast pattern matching in strings [J].SIAM J ournal on Computing,1997,6(1):323-350.

[6]Lance Spilzner.Huneyyuls: Definiliuns and Value of Huneyyuls.http: //www.tra

cking-hacker. com/papers/honeypots.html,2003,05.

[7]Know Your Enemy:Honeynets[EB/OL].http://www.honeynet.org/ papers/honeynet,2005-05-12.

[8]薛強.網絡入侵檢測系統NIDS的新技術研究[D].天津大學,2005-06-06.

[9]User-Mode Linux,http://user-mode-linux.sourceforge.net.

收稿日期：2008-03-12

基金項目：四川省科技攻關資助項目（No:05GG009-018）

作者簡介：張?。?981-），女，河南洛陽人，西華師范大學計算機學院計算機應用技術專業碩士研究生，研究方向：基于網絡的計算機應用；鐘樂海（1963-），男，四川廣安人，博士，西華師范大學計算機學院教授，碩士導師，研究方向：計算機網絡應用技術及信息安全技術。