论文摘要
随着网络规模的扩大和网络结构的日益复杂,目前基于IPv4的通信网络显示出诸多弊端,如地址空间有限、安全性差等。为此,IETF(Internet Engineering Task Force)制定了新一代互联网协议—IPv6。IPv6的安全性同IPv4相比有了明显的提高,但是IPv6不能保证应用层和协议本身的安全性。随着IPv6商业应用的推广和普及,IPv6环境下的安全问题也迫在眉睫。论文就目前IPv6网络存在的安全问题,在开源入侵检测系统snort的基础上,改进了入侵检测系统的框架,以应用于IPv6网络环境中。论文主要做了以下几个方面的工作:(1)介绍了IPv6协议和入侵检测技术的背景知识。首先,详细分析了IPv6协议的新特性和报头格式,比较了IPv6和IPv4报文格式的异同。结合IPv6的新特性,从非IP层的攻击、过渡时期的安全性以及IPv6特有的安全性等几个方面详细阐述了IPv6目前的安全脆弱性,比较了IPv6和IPv4攻击形式的异同。然后,介绍了入侵检测系统的概念、分类和通用模型。(2)针对IPv6报头格式以及攻击方式的变化,在开源入侵检测系统—snort的基础上,根据IPv6的需求改进了入侵检测系统的框架,加入IPv6相关处理模块,并对系统各关键模块进行了分析和设计。(3)对IPv6的数据包捕获、IPv6的数据包分析、IPv6分片重组和IPv6的规则处理等模块进行了详细设计和实现。采用WinPcap开发包实现了数据包的捕获,定义了各报头的结构体,对全局变量-Packet进行扩充,给出了IPv6解码、ICMPv6的解码和扩展头的解码过程。采用二叉树和双向链表结构,实现了IPv6分片包重组的预处理插件。然后对IPv6的规则进行了研究,对三维规则链表的结构进行改进,提出了如何在现有规则库的基础上扩充IPv6规则库,并针对目前IPv6的漏洞,编写了IPv6的规则。最后,对系统进行了初步测试。结果表明,该系统能满足IPv6环境下的入侵检测的基本要求,保障了IPv6网络的安全运转。