一种IPv6网络环境下的入侵检测系统

摘要

本发明的提出主要是为了研究和构建一套面向IPv6网络环境的网络安全检测系统，解决IPv6新特性给入侵检测系统带来的新问题，大幅度提高网络中IPv6攻击行为的检测能力和网络安全预警能力，为用户提供一个良好的网络环境。本发明提供的方案中，数据采集模块、预处理模块和检测模块都能用于入侵行为的探测，初始化模块和响应模块为系统提供辅助支持。采用本发明提供的预处理插件和主动探测的方法，扩展了入侵检测系统的检测思路和检测手段，也提高了入侵检测系统的检测率。

主权项

一种IPv6网络环境下的入侵检测系统，使得网络获得IPv6攻击行为的检测能力，所述系统包括初始化模块、数据采集模块、预处理模块、检测模块以及响应模块，其中：初始化模块首先获取用户输入的命令行参数、配置文件、系统设置的协议集和预处理配置项，初始化匹配算法和各种插件，将检测规则从规则库中导入内存，在内存中建立一个高效的规则树，为之后数据包的规则匹配做准备；数据采集模块采用Libpcap的网络接口库循环捕获原始以太网数据包，将捕获的非IPv6数据包丢弃，并根据丢弃的包生成相应的记录发送并存储在响应模块的告警日志中；预处理模块对数据包进行预处理，包括数据分片重组、对TCP协议进行流重组、对某些协议（例如HTTP）传输的特殊编码数据进行代码转换、发现攻击行为并进行报警；特别地，借助预处理模块实现对无法用规则描述的一类攻击行为进行检测，扩充系统的攻击识别能力；检测模块根据系统设置的规则检测预处理模块传来的数据包的各个方面，包括数据包的大小、协议类型、IPv6/ICMPv6/TCP/UDP等选项，根据规则匹配完成检测功能；如果数据包的特征和某条规则相匹配，则认为该包是入侵包，将该包送至响应模块进行处理，否则认为该包是网络上的正常流量，不做进一步的处理；响应模块在检测到攻击后执行各种输出和反应的功能，把各种类型的报文记录到各种类型的日志中，以方便管理员进行查询、分析和处理。