专利名称:一种基于分流的IPv6千兆分布式入侵检测方法
技术领域:
本发明专利属于信息技术领域,尤其是涉及一种基于分流的IPv6千兆分布式入侵检测方法。
背景技术:
随着Internet发展,网络协议将由Ipv4逐渐向Ipv6过渡。然而,针对Ipv6环境下的入侵行为也会迅猛发展。所以,尽快研究IPV6环境下的入侵检测系统也是当务之急。国外在此方面的研究与应用经验并不十分丰富。早起步有望使我们在网络安全领域处领先地位。我们研究和实现了基于IPv6高速网络的分布实时智能入侵检测系统。该系统中采用 P2DR(Policy Protection Detection Response)动态安全模型。当前在网络上的 IPV6的攻击事件较少,所以在研究基于IPv6漏洞攻击事件的特征和行为时,首先应该构造一个IPV6环境,开发出基于IPV6的攻击集成平台对整个的IPV6环境下的攻击进行尽可能全面 地模拟。结合已有研究的攻击特征,构建起自己的漏洞攻击事件特征库,实现网络探测收集和自身研究相结合。
发明专利内容本发明专利所要解决的技术问题在于针对上述现有的技术中的不足,提供一种技术先进、高安全性、高适应性、易于配置和管理的灵活的多层立体主动实时防卫系体系,能有效解决现在的入侵检测系统的存在的多种实际问题。为解决上述问题,本发明专利采用的技术方案是使用多种检测器(网络数据检测器,用户行为检测器以及系统行为检测器等)来收集各种数据。上述这些数据经过预处理后作为输入进入检测器,检测器使用一系列算法对数据中可能存在的规则进行挖掘并使用自身携带的规则对得到的规则进行分类,然后将无法解释的规则以标准的格式输出给第二级检测器。上述第二级检测器将汇总这些规则,对其进行简单的数据融合,然后对这些规则对照已有的规则再次对其进行分类检测,如果还有无法处理的规则,那么第二级检测器将规则和相应的原始数据提交计算节点。上述计算节点一般处于网络中计算能力比较强的主机上。计算节点将重新对原始数据进行预处理,并重新分析其中所携带的各种特征的重要程度,并选取其中的重要特征来生成新的规则并更新特征库。上述计算节点将新的规则重新分发给下级的检测器。上述一种基于分流的IPv6千兆分布式入侵检测方法,其特征是基于IPv6漏洞攻击事件的特征和行为分析,整个攻击事件的发现、确定和未知攻击类型的特征挖掘均是在无人工参与的情况下实现的,而且多层次(混合)检测的特性也将大大提高检测的准确率。上述一种基于分流的IPv6千兆分布式入侵检测方法,其特征是IPv6环境下快速捕包和高速地址匹配,通过对IPv6的数据包首部作标记的方法实现η个detector每个对链路上流量的l/η进行检测。上述这种解决方案彻底解决了高速网中快速捕包和分析的问题上述其优点①扩充性好可以任意增加多台检测器以增强高速流量数据包捕获的能力。②对攻击者透明所有探测器在通过网络流量的网卡没有绑定IP地址,攻击者无法探测到探测器的存在。上述一种基于分流的IPv6千兆分布式入侵检测方法,其特征是对于攻击过程中需要与被攻击主机进行交互的攻击,可以在攻击过程中使用traceroute —类的工具查到攻击者的最末一级跳板的子网,此时可以通过别的渠道来使攻击者丧失这台受控主机,若攻击者所有的跳板均被清除后仍然强行攻击,则此时可以直接定位攻击者所在的子网。上述一种基于分流的IPv6千兆分布式入侵检测方法,其特征是对于攻击过程中 不需要与被攻击主机进行交互的(dos攻击)攻击我们需要通过收集外部网络的拓扑结构信息来进行定位。上述一种基于分流的IPv6千兆分布式入侵检测方法,其特征是研究各种网络流量(参数流量特征)分析算法的比较和网络数据流量安全特征提取,以得到一些无法从数据包分析得到的安全信息。上述一种基于分流的IPv6千兆分布式入侵检测方法,其特征是对于定位追踪技术,采用在攻击过程中,使用ICMP或SNMP协议对各个可疑路径的网络情况进行检测,通过一定算法分析这条路径的网络运行情况,以及是否正在传送大数据流,通过这种方法可以查到攻击者或受攻击者控制的主机的子网,然后作进一步的分析处理。IPv6下的入侵检测是入侵检测系统的扩充,对IPv6环境下的网络攻击、入侵行为进行实时监控,发现问题向协同控制中心报警。这部分的具体功能包括I)基于IPv6漏洞攻击事件的特征和行为研究;2) IPv6环境下快速捕包和高速地址匹配及其相关技术研究3)流量特征分析技术研究;下面通过附图和实施例,对本发明专利的技术方案做进一步的详细描述。
图I为本发明专利的detector拓扑结构
具体实施例方式通过对IPv6的数据包首部作标记的方法实现η个detector每个对链路上流量的I/η进行检测,detector拓扑结构如图I。图I中,每个探测器有三个网卡,所有探测器的网卡eth (n) Ueth (η) 2都不绑定IP地址。上述,通过设置网桥来传输网络数据。上述,每个探测器探测流量中的一部分数据包,并给数据包利用IPv6的保留字节作标记表示已分析(IPv4也可以利用保留字节标记),最后的探测器探测分析所有标注的数据包并去掉标记,所有标记和去掉标记在内核级处理。上述每个探测器探测到异常行为或攻击数据包后,发往控制台综合分析。综上所述,实际工作过程中,此系统形成了一种基于分流的IPv6千兆分布式入侵检测方法。以上所述,仅是本发明专利的较佳实施例,并非对本发明专利作任何限制,凡是根据本发明专利技术实质对以上实施例所作的任何简单修改、变更以及等效结构变化,均仍属于本发明专利技术方案的保护范围内。·
权利要求
1.IPv6环境下快速捕包和高速地址匹配-①扩充性好可以任意增加多台检测器以增强高速流量数据包捕获的能力。②对攻击者透明所有探测器在通过网络流量的网卡没有绑定IP地址,攻击者无法探测到探测器的存在。
2.对于定位追踪技术,采用在攻击过程中,使用ICMP或SNMP协议对各个可疑路径的网络情况进行检测,通过一定算法分析这条路径的网络运行情况,以及是否正在传送大数据流,通过这种方法可以查到攻击者或受攻击者控制的主机的子网,然后作进一步的分析处理。
3.研究各种网络流量(参数流量特征)分析算法的比较和网络数据流量安全特征提取,以得到一些无法从数据包分析得到的安全信息。
4.IPv6协议作为下一代的网络安全协议,加入了一些新的特性,如过渡机制、路由首部和扩展首部、邻居发现以及隐私保护等,这些为网络信息更加安全。
全文摘要
一种基于分流的IPv6千兆分布式入侵检测方法,使用多种检测器来收集各种数据。这些数据经过预处理后作为输入进入检测器,检测器使用一系列算法对数据中可能存在的规则进行挖掘并使用自身携带的规则对得到的规则进行分类,然后将无法解释的规则以标准的格式输出给第二级检测器。第二级检测器将汇总这些规则,对其进行简单的数据融合,然后对这些规则对照已有的规则再次对其进行分类检测,如果还有无法处理的规则,那么第二级检测器将规则和相应的原始数据提交计算节点。计算节点将重新对原始数据进行预处理,并重新分析其中所携带的各种特征的重要程度,并选取其中的重要特征来生成新的规则并更新特征库。最后计算节点将新的规则重新分发给下级的检测器。
文档编号H04L12/24GK102932320SQ201110232009
公开日2013年2月13日 申请日期2011年8月12日 优先权日2011年8月12日
发明者郑玉山, 邓正宏, 夏杰 申请人:西安秦码软件科技有限公司