基于IPv6环境的网络安全检测与Phishing防御研究

【摘要】： 本文以如下科研项目为背景进行研究工作： (1)国家网络与信息安全保障持续发展计划项目“IPv6环境下的入侵检测系统”(编号：2004-研1-917-C-020)；(2)西安市科技攻关项目“基于IPv6协议的防冒与灾难恢复系统软件”(编号：GG05021)；(3)国家863高技术研究发展计划资助项目“集成化网络安全技术研究”(编号：2003AA142060)；(4)国家863高技术研究发展计划资助项目“黑客监控技术研究”(编号：2001AA142100)。其中，项目(4)已于2003年2月22日在北京顺利通过863专家组验收，并于2003年10月12日由国防科工委组织了成果鉴定，结论为国际领先，该项目已获陕西省2004年科技成果二等奖。项目(3)主要研究内容已完成，于2005年11月24日在西安交通大学顺利通过863专家组验收，验收评价为优秀。 随着网络攻击的花样翻新，相应的网络安全技术也不断地出现，但是不管网络安全技术如何创新，检测和防御将始终是其焦点问题。主流技术入侵检测一直是网络安全研究的重点，从基于主机的入侵检测系统(HIDS)到基于网络的入侵检测系统(NIDS)乃至较为先进的分布式入侵检测系统(DNIDS)，对入侵检测技术的研究已经走过了一段相当长的路程，如今，基于各种新技术的入侵检测系统也相继出现。 不过，现在很少有IPv6环境下的NIDS的研究和成果，主要原因是当前对这种IDS产品的需求还相对较少。尽管关于IPv4的资源耗尽的讨论非常热烈，但是积极投入到IPv6的开发和研究当中去的国家和研究机构并不多见，IPv6环境下的入侵和防御的研究亦相对较少。这就意味着在IPv6环境下有非常少的研究性的流量存在，也就缺少了使用IPv6进行攻击的推动力，但如果现在对IPv6环境下的安全问题进行广泛的研究，将会对IPv4地址空间短缺，下一步使用IPv6做好充分的准备。因此本文着重研究了IPv6环境下的安全检测与防御，同时对当今在金融领域流行的新的入侵—Phishing(网络钓鱼)，进行了深入的分析和探讨。 本文的主要研究成果和创新点如下： 1．设计了IPv6环境下的入侵检测系统模型。对IPv6协议的网络安全特点进行了深入的分析研究，为新协议下的网络安全研究与防范提供了借鉴；建立了新协议下的系统模型，为IPv6环境下的入侵检测技术提供了必要的理论基础。该安全模型的特点在于动态性和基于时间的特性，能对信息安全的“相对性”给予很好的描述。 2．提出一个新的捕获、分析数据包的方法。即通过对IPv6数据包首部作标记的方法，实现了n个detector(检测器)分别对链路上流量的1／n进行检测。大大提高了高带宽数据包的捕获率。利用网桥架构，在操作系统的内核层和链路层将网络数据高速分流，解决了由于无法分流所有网络层数据而导致的入侵信息丢失问题。 3．在内部业务网受到大规模入侵(网络病毒)时使用子网阻断技术及其算法。在IPv6环境下，通过发送TCP连接复位包，组建邻居发现差错包等方法实现了网络数据包的主动阻断；采用了协同与联动的两层控制方法，设计了动态honey技术方案。 4．把蚁群原理引入到网络安全技术中。在建立规则时，使用蚁群优化算法，提高了规则的有效性；在入侵检测中，将蚁群原理应用于聚类分析，大大提高了检测的准确性。整个攻击事件的发现、确定和未知攻击类型的特征挖掘均是在无人工干预的情况下自动实现的，而且多层次(混合)检测的特性也大大提高了检测的准确率。 5．使用IPv6流标签的IP追踪机制。将入侵追踪中流标签和ICMPv6相结合，为IPv6协议广泛应用后的IPv6追踪提供了很好的解决方式。反向追踪和基于IPv6扩充路由首部的单数据包路由再现算法，实现了IPv6环境下的入侵追踪。 6．Phishing(仿冒)攻击模式的模型化。在研究Phishing及其防御技术的基础上，对典型的Phishing攻击进行形式化描述，建立了攻击行为模型，能够预见和描述新的Phishing攻击。提出利用IP地址核对、DNS核对、数字签名以及网址验证等技术进行仿冒防御。 在IPv6攻击检测与防御的理论成果的指导下，成功研制出IPv6环境下的安全检测系统，该系统通过了国家网络安全管理中心的系统测试，并已分别应用于“黑客监控系统”及“集成化网络安全技术研究”中，经陕西省财政厅、陕西省招生办等多家单位试用，均取得了满意的效果。