[发明专利]基于IPv6网络环境的入侵检测系统及方法

说明书

技术领域

本发明涉及计算机网络信息安全领域，具体涉及一种基于IPv6网络环境的入侵检测系统(IDS)及方法。 

背景技术

随着Internet的迅猛发展，网络信息已经成为人们生活中必不可少的一部分，网络信息安全也越来越受到人们的重视，针对网络和主机的各种入侵事件和攻击手法也层出不穷。引发更多的人们投入到对入侵检测系统(IDS)的研究和开发中去，其主要是针对目前最常用的防范网络入侵技术——防火墙所暴露出来的缺点和不足来进行。 

传统的网络安全技术主要包括防火墙技术、入侵检测技术、加密技术、认证技术、病毒防护技术、安全审计技术等。入侵检测技术(IDS)是传统的网络安全措施的一种，与被动防守的防火墙技术不同，IDS是主动防御技术。IDS被认为是在防火墙之后的第二道安全闸门，其主要任务是：监视、分析用户及系统活动，识别出反映已知进攻的活动模式并向相关人士报警；通过对异常行为模式的统计分析来评估重要系统和数据文件的完整性；对操作系统的审计进行跟踪管理，并识别用户违反安全策略的行为等。 

目前的入侵检测系统主要是基于IPv4网络环境下的，并且已经得到了比较成熟而广泛的应用。在第一代网络IPv4环境下，入侵检测与多种学科的科学研究方法相结合，应用技术主要有以下几个方面：基于协议分析技术，它不但克服了传统入侵检测采用的模式匹配方法的粗糙与低效，而且大幅提高了检测的速度与检测的准确性，但是协议分析技术不具有审计功能，无法对操作系统的审计进行跟踪管理；基于数据挖掘技术，其主要的优点是针对已编码特征的入侵检测概率可达到100％，并且可以检测意图行为攻击，这项技术其中一难点在于如何根据具体应用的要求，从用于安全的先验知识出发，提取出可以有效反映系统特性的特征属性，并应用合适的算法进行数据挖掘，另一技术难点在于如何将挖掘结果自动地应用到实际的IDS中；基于神经网络的检测技术，由于神经网络具有自适应、自组织和自学习的能力和良好特性，可以处理一些环境信息十分复杂、背景知识不清楚的问题，虽然允许样本有较大的缺损和畸变，但是在实际环境中得到各种攻击的相关样本也是很难的，另外神经网络的学习速度问题和网络结构问题也影响其在IDS中的应用；基于免疫原理的异常检测方法，该方法是对生物的免疫系统的模仿，生物的免疫系统能够识别任何外界的细胞或分子并将其消灭，因此免疫系统必须能够识别自身细胞和外界细胞，如中国专利公开号为CN1567810A的发明就提出了一种利用生物免疫的基本原理，通过模拟人体免疫细胞对病原体的识别和分类作用来达到对网络入侵的检测能力。 

当前以IPv4为基础的32位地址模式，越来越不能适应Internet的发展，而IPv6由于具有超长的地址空间(IPv6中IP地址的长度为128)和强大的安全性支持等优点，越来越受到人们的重视。经过几年的实践，终于开始由试验阶段向实用阶段过渡。下一代互联网意味着更多的应用、更快的速度和更大的规模，从基于IPv4协议的互联网向基于IPv6协议的下一代互联网发展将是网络发展的必然。 

但是，随着IPv6网络日益广泛的应用、地址空间和协议实现的安全机制等等的变化，越来越多针对IPv6的攻击手段和方法也不断地出现。目前，基于IPv6的下一代网络主要存在以下几点安全问题： 

首先，IPv6的协议栈实现本身存在着漏洞，有待在实践中完善，例如OpenBSD和Cisco IOS系统IPv6协议Type 0路由头拒绝服务漏洞，虽然在设计IPv6协议时已经考虑到了安全因素并针对这些安全因素设计出一些方案，例如对第三层加密、进行身份验证等，但IPv6网络并不是坚不可摧的，至少对于应用层的攻击它仍然显得无能为力； 

第二，由IPv4向IPv6过渡的机制产生的漏洞等等，目前安全人员已经发现从IPv4向IPv6转移时出现的一些安全漏洞，例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源，攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道，从而绕过防火墙对IPv4进行攻击； 

第三，IPv6下的网管技术不够成熟，难于对大规模的网络进行有效的监管，这使得对网络的安全控制能力大大受到限制。 

最后，由于网络应用的日益复杂，各种业务应用层出不穷，仅靠在网络层的协议，显然是无法保证足够全面的安全性。基于上述各种原因，我们必须给予IPv6的网络安全问题足够的重视。