[发明专利]基于因特网协议版本6的混合式入侵检测方法

说明书

技术领域

本发明是一种采用基于网络和基于主机相结合的分布式总体架构，使用混合式的检测手段，能有效地提高准确度，降低误报率，适应IPv6(因特网协议6)对入侵检测系统的新要求，属于网络安全的技术领域。

背景技术

IPv6概述

IPv6是“Internet ProtocolVersion 6”的缩写，也被称作下一代互联网协议，它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6是为了解决IPv4所存在的一些问题和不足而提出的，主要在地址空间、数据报头结构、地址自动配置、数据传输的安全性(IPSec协议)、服务质量(QoS)等方面作了改进。对入侵检测系统产生主要影响的是数据报头结构和IPSec协议。

入侵检测概述

入侵检测作为被动的网络安全防御措施，相对于防火墙而言具有主动检测入侵和实时性的特点。有效地弥补防火墙的不足，是防火墙重要的和有益的补充。入侵检测技术主要分为异常检测(anomaly detection，AD)和误用检测(misusedetection，MD)两种。异常检测也被称为基于行为的检测，是根据使用者的行为或资源使用状况来判断是否入侵。误用检测也被称为基于知识的检测，它运用已知攻击方法，根据已定义的入侵模式，通过判断这些入侵模式是否出现来检测。在实际的应用中，最佳的方式是将两种检测技术并用。利用误用检测技术来保证检测的实时性和准确性，利用异常检测技术来检测可能发生的未知攻击。应用的方式是将误用检测技术应用于系统前台，而把异常检测技术应用于系统的后台。

现有技术方案及其缺陷

1.基于主机的入侵检测系统(HIDS)

早期的入侵检测系统采用基于主机的体系结构，其主要目标是在单机模式下，防范对主机本身的入侵，检测原理是根据主机操作系统提供的审计数据来发

现可疑的入侵事件，再依据一定的方法判断是否确为入侵。基于主机的入侵检测系统可以运行于被检测的主机或单独的主机上。

由于基于主机的入侵检测系统依赖于审计数据和系统日志的准确性和完整性，同时依赖于对入侵事件的定义，若入侵者设法逃避审计和进行合作入侵，基于主机的入侵检测系统就不能有效检测入侵，特别是在网络环境下，仅仅依靠基于主机的入侵检测系统已不能有效防范对网络系统的入侵，主要是因为：(1)主机的审计信息本身易受攻击，入侵者可以通过使用某些系统特权或比审计操作本身更低级的操作来逃避审计；(2)不能仅通过分析审计数据来检测网络攻击(如域名欺骗、端口扫描)。除此之外，基于主机的HIDS只能知道它所保护的主机的信息，却很难收集到其他主机的信息，甚至由于它运行在应用层而很难得到底层的网络信息。并且，HIDS自身的安全直接依赖于它所在的主机的安全，如果主机被攻破了，HIDS报警的正确性，就很值得怀疑。

2.基于网络的入侵检测系统(NIDS)

基于网络的入侵检测系统是当前入侵检测系统的发展趋势，其主要策略就是建立网络通信描述模型，根据网络流量、协议分析等数据来检测入侵。典型的网络通信描述模式是一个四维矩阵<源端、目的端、使用的服务、连接ID>，其中ID是一个特定连接的唯一标识，矩阵中的每一个单元代表网络上一个特定的连接，它从源端主机到目的端主机并使用一定的服务，每个单元保存两个值：一段时间内通过网络的包数和这些包所传送的数据量，检测方法分为两种：(1)把当前网络通信矩阵同一特定模式矩阵进行比较，这个特定模式矩阵可以是代表某种入侵的模式矩阵，如果当前通信模式与之匹配，则表示这种入侵可能发生，这种入侵检测对应前面所述的误用入侵检测；特定模式矩阵还可以是代表网络正常交通模式的模式矩阵，如果当前通信模式的概率过低，则表示异常发生，这种入侵检测对应于前面所述的异常入侵检测；(2)利用一系列规则在当前网络通信矩阵中寻找特定的交通模式，从而发现入侵或异常活动，在特定网络通信模式有待产生时，这种方法非常重要，因为此时前一种方法还没有检测的依据。

在对待被加密的IPv6数据方面，NIDS有着和包过滤防火墙同样的尴尬。如果有黑客使用加密之后的数据包进行攻击，NIDS就很难抓到什么蛛丝马迹了。

发明内容

技术问题：本发明的目的是提供一种基于因特网协议版本6的混合式入侵检测方法，采用基于网络和基于主机相结合的分布式总体架构，使用混合式的检测手段，能有效地提高准确度，降低误报率，适应IPv6对入侵检测系统的新要求。

技术方案：本发明改进的基于IPv6的混合式入侵检测的总体设计架构：