专利名称:一种IPv6协议下的攻击防御系统及其实现方法
技术领域:
本发明基于IPv6攻击防御模型设计并实现。属于信息安全领域。
背景技术:
目前,互联网主要基于IPv4协议,这一协议的开放性和跨平台性推动了互联网的 发展。但是,随着互联网用户数量的不断增加以及用户需求的不断提高,IPv4相关问题逐渐 呈现出来。IPv4在地址空间、配置复杂、端到端的IP连接、服务质量、安全性和移动性等方 面都暴露出了不足和局限,这些需求都迫切要求设计新一代网络层协议。为彻底解决互联 网的地址危机,拥有128位地址的IPv6协议被IETF在20世纪90年代中期提出,并在1998 年对IPv6进行了标准化工作。IPv6的发展得到了众多设备制造商的支持,甚至上到了国家层面来开展基于 IPv6的研究和部署。除对地址空间的扩展,IETF还对IPv6地址的结构重新做了定义,简 化包头结构并采用与IPv4中CIDR类似的方法进行地址分配。此外,IPv6还提供了地址自 动配置以及支持移动性和安全性等新的特性。但是正是由于IPv6的这些新特性,带来了一 些安全上的新风险和威胁,使得我们不得不对原有的安全体系结构做出改动,因此,对IPv6 环境下的攻击与防御研究具有相当重要的意义,同时如何构架基于IPv6的网络安全系统 已经在国际范围内得到了广泛的重视。伴随互联网的发展,网络安全已成为人们普遍关注的课题。作为网络安全的第一 道防线,防火墙就是网络安全体系中的一个重要环节。目前,防火墙技术也在不断提高,如 多端口、NAT技术、安全审计、加密防毒等功能的加入,这更使得防火墙在实际的网络安全保 护中具有不可替代的作用。目前,对于各种类型的硬件防火墙而言,其自身架构基本上都是基于 LinuxNetfilter (2. 6. 12内核以前只支持IPv4协议)架构,该架构有良好的可扩展性,开 发人员可以编写高效的内核级防火墙。Netfilter (2. 6. 12内核开始支持IPv6协议)结构 虽然为IPv6协议预留了五个钩子结点,但按照IPv4Netfilter原理开发的防火墙并不能适 用于IPv6环境下。原因在于为了增强协议安全性,IPSec协议内嵌到IPv6协议当中,任何 经过IPSec ESP加密处理的数据包,网络层以上的内容对防火墙是透明的,任何作为通讯 中间节点的传统防火墙都对这种加密的网络数据包无法处理;此外,由于IPv6协议引入了 路由头这种扩展头部,包含这种头部数据包的目的地址并不是数据包要到达的真正目标地 址,而仅仅是下一跳地址,攻击者可能会利用这种特性绕过依靠传统技术的防火墙,从而入 侵到内部局域网当中。另外,为适应新的网络安全需求,在IPv4协议下分布式架构的防火 墙已经被开发,但该类防火墙没有考虑是否支持下一代IPv6协议;在对IPSec分布式防火 墙架构的研究中,IPSec协议只是用来确保控制中心与执行者间策略传输的完整性和机密 性,没有针对如何过滤IPv6协议攻击包进行研究,同样不能被直接运用到IPv6防火墙的研 究工作当中。总之,如何为下一代互联网协议设计与之相适应的防火墙系统已经成为了研 究工作的重中之重。
3
为了解决上述的问题,本发明主要研究IPv6网络环境下的攻防技术,在此基础上 设计并实现IPv6分布式防火墙原型系统。在原型系统中实施了网络层安全策略、应用层安 全策略、对非法网页内容的自主学习能力以及主动共享机制等关键技术,确保了 IPv6整体 网络环境的安全性与合法性
发明内容
本发明是一种IPv6协议下的攻击防御方法,依据此方法实现了 IPv6分布式防火 墙原型系统。该系统通过网络层策略规则,可对IPv4和IPv6共存攻击以及IPv6新型攻击 进行拦截;通过应用层策略规则,将非法、反动的网页阻拦至内网之外;原型系统的共享机 制和词库动态更新机制确保了整体网络的网页合法性和文明性。为达到上述目的,本系统主要由三大部分组成主控中心、包过滤防火墙以及网页 分析器。其中,主控中心是整个模型的核心,负责具体防御策略规则的制定、维护与下发;包 过滤防火墙是策略的具体执行者,根据策略规则对未加密数据包进行过滤;网页分析器对 各个通讯终端的网页数据进行分析,并将分析结果上报到主控中心,待其及时制定策略规 则并下发到包过滤防火墙处,最终实现网页数据过滤策略共享的目的。整个系统呈现树形结构,主控中心处于树的顶点,是整个系统的核心;主控中心下 联包过滤防火墙;包过滤防火墙或者与IPv6用户主机直接相连,或者与相关区域的子包过 滤防火墙相连,包过滤防火墙是各自区域的边界防火墙,从而形成不同的区域;在各自的区 域中,网页分析器分别与区域内的包过滤防火墙相连,对该区域内的所有IPv6主机浏览的 网页内容进行实时监测。主控中心下联包过滤防火墙,包过滤防火墙的部署位置和数量与用户的安全需求 相关;包过滤防火墙或者与IPv6用户主机直接相连,或者与相关区域的子包过滤防火墙相 连,从而满足不同的安全需求。对于具有相同安全级别要求的用户主机,可以联在同一个包 过滤防火墙下;对于安全要求高又受地理条件限制无法连接到其他高安全级别防火墙的用 户,可以在其上级包过滤防火墙下再连接一个子包过滤防火墙,以提高安全级别。如图2所 示,系统整体分为两个区域A和B ;包过滤防火墙A和B分别是各自区域的边界防火墙,在 区域B中,子包过滤防火墙Bl与包过滤防火墙B相连,从而形成不同安全需求的子安全区 域;在各自的区域中,网页分析器A和B分别与区域内的包过滤防火墙相连,对该区域内的 所有IPv6主机浏览的网页内容进行实时监测。 为实现上述目标,需要以下步骤根据网络的实时情况,主控中心动态生成策略规则,周期性地部署策略规则给包 过滤防火墙和网页分析器。所有的包过滤防火墙也可以主动向主控中心进行策略查询,从 而确保策略实时更新。网页分析器对本区域中的所有IPv6主机浏览的HTML源码中的内容进行分析(对 于由ESP加密的网络流量,在通信终端的IPv6主机进行解密后,将该主机正在浏览的网页 内容发送到该区域的网页分析器处),将HTML源码中的内容与全局非法词库进行匹配(该 词库由主控中心动态维护),将含有非法网页内容的URL上报到主控中心;主控中心随即生 成新的URL过滤规则,并把此条过滤规则部署到所有包过滤防火墙处,从而使整体网络对 非法网页进行有效拦截。网页分析器同样接收由主控中心部署的策略规则,对全局非法词库进行动态更新,从而提高网页分析器对网页内容分析的能力。由于网页内容分析的效率较低,本发明采用了主动共享机制以保证一个网页分析 器的分析结果能共享给整体网络。共享机制的工作原理是一旦网络中任何一处的网页 内容分析器检测到存在用户浏览了含有非法内容的网页,立即将该URL上报到主控中心; 主控中心对全局非法URL规则列表进行动态更新,并将更新后的非法URL列表 部署到系统 中所有的包过滤防火墙以及子包过滤防火墙,随后系统中所有包过滤防火墙就可对该非法 URL进行有效拦截。共享机制使系统中所有的包过滤防火墙能够及时更新全局非法URL过滤规则,从 而在整个园区网内及时主动地对非法内容网页进行拦截,动态确保整体网络的安全性。系统工作流程具体如下所述系统初始化完成包过滤防火墙的内部参数,包括防火墙的安全等级、字符设备及 其驱动程序的初始化等。加载系统默认配置模块对防火墙的网络层防御策略和应用层防御策略进行系统 初始化。网络层防御策略中,普通过滤规则允许任何网络数据包通过;多播策略中,IPv6可 信多播地址初始化为0,即接受任何地址发送来的多播数据包;应用层防御策略中,系统 默认配置条件下,防火墙初始化URL_DEFAULT_NUM个非法URL链表,可对URL_DEFAULT_NUM 个已知非法网页的URL进行有效屏蔽。网页分析器分析同一包过滤防火墙下所有IPv6主机的应用层HTML数据,将非法 应用层数据对应的URL发送到主控中心,主控中心动态生成新的应用层防御规则并部署给 所有的包过滤防火墙,这种主动共享机制确保了整体网络中应用层网页数据的安全性。本发明通过网络层安全策略、应用层安全策略、对非法网页内容的自主学习能力 以及主动共享机制,确保了 IPv6整体网络环境的安全性与合法性,整体在系统可用性、安 全性与智能性上呈现明显优势对IPv6攻击的防御性;URL应用层防火墙;主动共享机制; 对未知非法URL的自主学习能力。
图1防御模型的内部逻辑结构图2分布式防火墙原型系统的整体架构
具体实施例方式根据对IPv6攻击的深入分析,提出相应的IPv6攻击防御模型,如图1所示。该模 型既能拦截典型IPv6攻击,又能确保应用层网页数据的合法性。防御模型采用分布式架构,由主控中心、包过滤防火墙以及网页分析器构成。主控中心主要功能包括制定策略、维护策略和下发策略等。策略包括网络层与应 用层防御策略和应用层控制策略。网络层与应用层防御策略下发给相应安全等级的包过滤 防火墙,包过滤防火墙依据具体策略规则对数据包进行过滤;应用层控制策略下发给网页 分析器,网页分析器依据应用控制策略对应用层网页数据进行分析过滤。以下所述模块都是依靠软件实现的。主控中心主要由以下模块构成网络通信模块、策略数据库模块、策略维护模块以及日志模块等。其中(1)网络通信模块负责主控中心与包过滤防火墙以及网页分析器之间的通信。(2)策略数据库模块按安全级别分类存放策略。(3)策略维护模块负责维护策略数据库,并提供接口对数据库进行访问。(4)日志模块用于记录系统状态信息。包过滤防火墙依据主控中心下发的网络层与应用层防御策略逐一对网络数据包 进行过滤,从而确保整体网络的安全性。包过滤防火墙同样可以主动向主控中心进行策略 查询,从而确保安全策略的实时性。根据功能描述,包过滤防火墙由以下三大模块构成用户控制模块、内核通讯模 块、内核过滤模块。其中(1)用户控制模块防火墙的配置接口,可接收用户制定的策略以及主控中心部 署的具体策略规则。(2)内核通讯模块实现用户态与内核态的数据交互。(3)内核过滤模块依据策略规则,对网络数据包进行过滤。网页分析器用于分析同一包过滤防火墙下所有IPv6主机的应用层网页数据,将 非法应用层数据对应的URL发送到主控中心,主控中心动态生成应用层防御规则,并下发 给所有的包过滤防火墙,这种主动共享机制确保了整体网络应用层网页数据的安全性。总之,在原型系统中,主控中心处于核心地位,具体负责策略的制定、维护与部署 等;包过滤防火墙接收来自主控中心部署的策略规则,是策略规则的具体执行者;网页分 析器监听同一区域中所有IPv6主机的应用层网页数据,经过分析将含有非法网页内容的 非法URL上报到主控中心,再由主控中心动态生成应用层防御策略规则,随后部署给网络 中所有的包过滤防火墙处,一旦网络中任何一处的网页内容分析器检测到存在用户访问含 有非法网页内容的URL,经过网页分析器的上报和主控中心动态及时部署新的网络层防御 规则,保证其他包过滤防火墙,这种主动共享机制使整体网络都能够及时确保网页数据内 容的安全性和文明性。此外,通过EM算法对网页分析器维护的非法词库进行聚类分析,可 以对非法词库进行有效的实时更新,原型系统可以对未知非法URL进行自主学习,进而确 保IPv6整体网络应用层数据的合法性。本发明解决了 IPSec ESP加密后无法过滤应用层数据的问题,防御系统将对加密 网页数据的过滤工作延迟到真正通讯终端处,待其对密文进行解密后,位于该通讯终端处 的网页分析器就可对IPv6主机所浏览的网页数据进行分析,最终实现过滤。由于网页内 容分析的效率较低,本发明采用了主动共享机制以保证一个网页分析器的分析结果能共享 给整体网络,这种主动共享机制使整体网络都能够及时确保网页数据内容的安全性和文明 性。
权利要求
一种IPv6协议下的攻击防御系统,其特征在于系统包括三大部分主控中心、包过滤防火墙以及网页分析器;其中,主控中心是整个模型的核心,负责具体防御策略规则的制定、维护与下发;包过滤防火墙是策略的具体执行者,根据策略规则对未加密数据包进行过滤;网页分析器对各个通讯终端的网页数据进行分析,并将分析结果上报到主控中心,待其及时制定策略规则并下发到包过滤防火墙处;整个系统呈现树形结构,主控中心处于树的顶点,是整个系统的核心;主控中心下联包过滤防火墙;包过滤防火墙或者与IPv6用户主机直接相连,或者与相关区域的子包过滤防火墙相连,包过滤防火墙是各自区域的边界防火墙,从而形成不同的区域;在各自的区域中,网页分析器分别与区域内的包过滤防火墙相连,对该区域内的所有IPv6主机浏览的网页内容进行实时监测。
2.一种应用权利要求1所述的IPv6协议下的攻击防御系统实现攻击防御的方法,其特 征在于根据网络的实时情况,主控中心动态生成策略规则,周期性地部署策略规则给包过滤 防火墙和网页分析器;所有的包过滤防火墙也可以主动向主控中心进行策略查询,从而确 保策略实时更新;网页分析器对本区域中的所有IPv6主机浏览的HTML源码中的内容进行分析,将HTML 源码中的内容与全局非法词库进行匹配,该全局非法词库由主控中心动态维护,将含有非 法网页内容的URL上报到主控中心;主控中心随即生成新的URL过滤规则,并把此条过滤规 则部署到所有包过滤防火墙处以及子包过滤防火墙,从而使整体网络对非法网页进行有效 拦截;网页分析器同样接收由主控中心部署的策略规则,对全局非法词库进行动态更新。
全文摘要
一种IPv6协议下的攻击防御系统及其实现方法属于信息安全领域。IPv6提供了地址自动配置以及支持移动性和安全性等新特性,由此也带来了安全上的新威胁和新风险。本发明系统包括三大部分组成主控中心、包过滤防火墙以及网页分析器;其中,主控中心是整个模型的核心,负责具体防御策略规则的制定、维护与下发;包过滤防火墙是策略的具体执行者,根据策略规则对未加密数据包进行过滤;网页分析器对各个通讯终端的网页数据进行分析,并将分析结果上报到主控中心,待其及时制定策略规则并下发到包过滤防火墙处。该系统通过网络层策略规则,可对IPv4和IPv6共有攻击以及IPv6特有攻击进行拦截;通过应用层策略规则,将非法、反动的网页数据阻拦至内网之外。
文档编号H04L29/06GK101964804SQ201010522429
公开日2011年2月2日 申请日期2010年10月22日 优先权日2010年10月22日
发明者刘静, 李健, 杨震, 赖英旭, 赵轶文, 马乾 申请人:北京工业大学