基于協(xié)議分析IPV6入侵檢測系統(tǒng)的設(shè)計與實現(xiàn).pdf

1、隨著IPv6協(xié)議的不斷發(fā)展，特別是IPv4向IPv6過渡的過程給入侵檢測領(lǐng)域的研究帶來了新的課題。純IPv4入侵檢測系統(tǒng)己經(jīng)不能有效地防止此類入侵。而目前IPv6入侵檢測技術(shù)研究尚處于起步階段，因此研究IPv6入侵檢測系統(tǒng)十分必要，具有重要的理論意義與應(yīng)用價值。
　　IPv6入侵檢測技術(shù)在許多方面需要進行研究，其中采用協(xié)議分析的方法來實現(xiàn)適用于IPv4向IPv6過渡過程以及純IPv6環(huán)境下的入侵檢測系統(tǒng)是一個重要的研究方向，本文就

2、此展開研究，以Snort為原型設(shè)計出基于IPv6的入侵檢測系統(tǒng)，論文的主要工作如下：
　　整理了國內(nèi)外入侵檢測技術(shù)的研究情況，剖析了通用入侵檢測框架和Snort的工作原理。比較了IPv4與IPv6報頭的異同，分析報頭中字段的作用，論證在一個系統(tǒng)中實現(xiàn)IPv4/IPv6雙協(xié)議解析的可能性。
　　總結(jié)了IPv6協(xié)議的特點，對IPv4/IPv6過渡技術(shù)研究后，基于入侵檢測系統(tǒng)Snort原型，構(gòu)建出IPv6入侵檢測系統(tǒng)模型，系統(tǒng)分為

3、包捕獲模塊、協(xié)議分析模塊、規(guī)則解析模塊、特征匹配模塊、響應(yīng)模塊幾個部分。文章對系統(tǒng)各模塊的功能需求及實現(xiàn)技術(shù)進行分析。
　　對基于數(shù)據(jù)報頭的入侵特征選取技術(shù)進行研究，分析各層報頭中的字段在入侵檢測中的重要性，提出特征選取應(yīng)考慮效率跟準確度之間的平衡，并對簡單特征和復(fù)雜特征對入侵檢測結(jié)果的影響進行分析。用基于協(xié)議分析的入侵描述語言對入侵特征進行描述，并對入侵檢測規(guī)則進行解析，使規(guī)則庫中的規(guī)則能為檢測模塊能識別。
　　構(gòu)建IPv

4、6下的分片攻擊及端口掃描攻擊檢測程序，對基于規(guī)則的入侵檢測引擎的實現(xiàn)進行詳細設(shè)計。
　　文章將協(xié)議分析技術(shù)應(yīng)用于入侵檢測中，提出IPv6入侵檢測系統(tǒng)的模型；使用隧道技術(shù)搭建IPv4/IPv6實驗環(huán)境，借鑒Ethereal與Snort的方法對數(shù)據(jù)包進行捕獲、分析，分片攻擊及端口掃描的檢測模塊設(shè)計，成功的在Windows平臺上進行了測試，通過Web可視化圖形界面管理，檢測出IPv4/IPv6的多種攻擊，并提出需提高檢測速度已應(yīng)對未來的