隨著計算機及通訊技術的飛速發展，互聯網更以超乎想象的速度膨脹，IP業務的爆炸性增長，IP網絡上應用的不斷增加，使得原有的IPv4網越來越顯得力不從心。IP網絡正在向下一代網絡演進。而IPv6無疑將是下一代網絡(NGN)的核心，除了帶來地址空間的增大，還有許多優良的特性，比如在安全性、服務質量、移動性等方面，其優勢更加明顯。

與此同時，由于IPv4的廣泛應用，決定了從IPv4向IPv6的過渡將是長期的，漸進的。在這期間，將采用不同的過渡策略解決IPv4和IPv6的互連互通問題，具有代表性的過渡策略解決方案主要包括雙協議棧方式，隧道方式和協議翻譯。在過渡期間網絡上的數據流量將呈現出復雜化的趨勢，其中不僅包括IPv4的流量還包括IPv6的流量，以及IPv6 over IPv4或者IPv4 over IPv6的隧道包流量。

在這種新的網絡環境中網絡攻擊必然呈現新的特征，也對我們的安全技術和產品提出了新的挑戰。特別是對于近兩年新興的入侵防御技術，該技術使入侵檢測系統聯動防火墻，與傳統單一的防火墻相比，入侵防御系統IPS(Intrusion Prevention System)對數據包的控制能力檢測也得到大大加強，對應用層和高層協議的檢測能力有了質的飛躍。同時入侵檢測技術能實時、有效的和防火墻的阻斷功能結合，在發現網絡入侵的同時，聯動防火墻采取行動阻止攻擊，大大簡化了系統管理員的工作，提高了系統的安全性。但由于入侵防御技術本身提出不久，在IPv6尚未真正大規模應用的情況下，鮮有對該技術在IPv6環境下如何實現的研究，因此研究新的IPv6環境下的入侵防御技術，對于保障IPv4向IPv6過渡的階段和未來IPv6環境下的網絡安全有著重要的意義。

1  IPv6網絡安全問題

從IPv4到IPv6網絡地址空間由32位增加到128位，使得IPv6的地址數量遠遠超過IPv4的地址數量，因此將很難通對網段內地址空間內IP地址逐一發送試探數據包的方式進行。但是可以預見，掃描攻擊在IPv6環境下肯定依然存在，只是在新的網絡環境下，IPS對掃描行為的檢測會重點集中到，針對某些主機或某個主機的掃描行為上。

傳統的IPv4協議對網絡的安全性考慮不足，IPv6協議將IPSec協議作為IPv6的組成部分，極大的增加了安全性。這是通過AH和ESP標記以及相應的密鑰管理協議PKL來實現的。由于IPSec協議可以提供數據源認證和通信數據的加密保護，攻擊者將無法使用IP地址欺騙，TCP序列號欺騙等手段對系統實施攻擊。因此IPv6環境下的IPS可以認為受到IPSec保護的數據流是可信的，省略對該類型數據包的檢測，從而提高IPS的檢測效率。

IPv6下數據包分片也和IPV4不同，數據包只由信源節點進行分片，中間路由器不進行分段，因此在報文傳輸過程中分段長度不會發生變化。這可以為IPv6下檢測利用分片來逃避規則匹配的攻擊提供新的方法，如果發現同屬一個原始分組的分段數據包中分片（除最后一個分片）的大小不一致時，即可認為該數據包存在異常，這樣就不必等到將所有分片重組成為一個包含完整信息的包以后，再傳給檢測引擎進行規則匹配。

IPv6 要求網絡傳輸路徑上的每條鏈路具有 1280 或更多個八位組的 MTU。除了某些特殊的IPv6報文，如ICMPv6報文、分組報文的最后一個分段外，IPv6數據包的大小不應小于1280個八位組。所以可通過對IPv6數據包的大小的檢測，發現異常的數據流量，例如對IPv6數據包的大小進行統計，根據統計數據設立一個IPv6包大小的閾值，如果IPS檢測到數據包小于該值，就可以將該數據包列為可疑對象。

IPv6下攻擊者可以利用IPv6基本報頭的跳數限制字段（類似于IPv4報頭中的TTL），試探從本地到達攻擊目標的路徑，方法是發出跳數字段值逐次遞增的數據包（TCP/UDP），然后根據目的不可到達報文的信源地址，依次重構出路徑。因此IPS需要能夠檢測出可能的路徑試探數據包。如果到達受保護網絡的數據包的跳數限制字段值是1時，可能的是潛在的路徑試探。所以可以通過設立針對跳數限制字段的檢測規則，發現IPv6下的路徑試探。

在IPv4到IPv6的過渡環境里，將會存在大量的隧道包，包括IPv6 over IPv4和IPv4 over IPv6，攻擊者可以構造隧道攻擊，向受攻擊主機發送攻擊數據包。因此IPv6下的入侵檢測必須具備分析檢測隧道數據包的能力。

另外，IPv6對傳統防火墻也有不小的沖擊。對于包過濾型防火墻，由于IPv4的IP層和TCP層是緊挨在一起的，長度也基本固定，因此防火墻可以很快找到報頭并使用相應過濾規則，而IPv6在IP層將會大量用到擴展報頭，致使防火墻只有逐個找到下一個報頭直到TCP或UDP為止，才能進行過濾。這樣在高帶寬下，將對性能造成很大影響；對于地址轉換型防火墻，由于地址轉換技術(NAT)和IPSec在功能上不匹配，很難穿越地址轉換型防火墻利用IPSec通信。比如當用AH地址進行認證時，因為IP層也是認證的對象，因此不能轉換；至于應用代理型防火墻，因為其主要工作在應用層上，所以受IPv6沖擊較小。

由于絕大部分的網絡安全問題并不是由網絡層引起的，例如某些網絡應用程序中的缺陷，不當的系統配置等，在IPv6環境下這些安全隱患依然存在。這也要求我們的IPS要易于配置，有著友好的用戶配置和管理界面。

2  系統設計

本系統是在相關課題下進行IPv6環境下新型的入侵檢測及防御技術，特別重視能檢測IPv4/IPv6共存網絡環境下的各種網絡入侵、高速網絡數據采集技術，設計和開發在發現入侵后的主動響應和入侵防御功能。在設計上充分考慮到上述所提到的IPv6網絡安全問題。

本系統在功能上可分為主控模塊、高速網絡數據采集、雙協議解析引擎、檢測引擎預處理模塊、漏洞攻擊特征規則處理、檢測引擎處理模塊、報警日志記錄、主動阻斷反應、流量特征分析、圖形化管理。以下對各模塊的功能和技術要點進行描述：

主控模塊：系統初始化、以及各功能模塊的相關調用。

高速網絡數據采集：本系統的設計目標之一就是要能適應百兆帶寬下的入侵防御，該模塊作為入侵檢測的重要的第一步，也是決定了該系統能否適應高速網絡的關鍵一環。這里，我們采用“零拷貝”技術，實現百兆帶寬下線速抓包。

雙協議解析引擎：本模塊必須同時具有IPv4協議解析引擎和IPv6協議解析引擎，可同時解析這兩種網絡協議，特別重要的是，我們通過兩種協議解析引擎的交互機制，可以準確方便地解析所有IPv6 over IPv4隧道數據包和IPv4 over IPv6隧道數據包。同時，本模塊實現深度協議解析的功能，特征模式匹配雖然是主要技術，但存在速度慢，效率低等缺點，協議分析是新一代IDS探測攻擊手法的主要技術，它利用網絡協議的高度規則性快速探測攻擊的存在。

檢測引擎預處理模塊：本模塊在協議解析之后，規則匹配之前進行，主要對數據包進行預處理，以方便后續處理模塊對數據包的匹配。對于IPv6來說，必須實現的預處理功能有IPv6的分片重組、IPv6端口掃描等。

漏洞攻擊特征規則處理：本系統的入侵檢測功能是基于模式匹配的，為了高效快速地對已知攻擊特征進行匹配，根據對各種IPv4 和IPv6攻擊特征的分析，設計一種可以描述該攻擊特征的語言規則。需要將已知的攻擊規則在內存中有效的組織建立起來。因此我們設計了同時支持IPv6和IPv4的入侵規則樹。

檢測引擎處理模塊：本模塊是系統的核心，根據漏洞攻擊特征規則處理模塊建立的規則樹結構進行規則匹配。當數據包到來后，首先根據規則頭進行匹配，然后對規則頭已匹配的數據包進行規則選項的匹配，其中規則頭和規則選項的匹配內容見圖3。 最后，規則選項匹配里數據包負載內容的匹配是關鍵，一個好的匹配算法至關重要，本系統采用了著名的Boyer-Moore算法。

報警日志記錄：報警實時寫入文件并顯示，并將日志寫入MySQL數據庫，可供后續分析及流量特征分析模塊使用。

主動阻斷反應：本模塊是本系統的重要部分，要能同時支持IPv4/IPv6的主動阻斷，具體描述見第四節。

流量特征分析：根據數據庫中日志和報警信息，進行基于異常的檢測，這種方法的優點是能發現未知的攻擊，缺點是相比模式匹配有時會不太準確，因此可以二者結合，作為模式匹配有益的補充。

圖形化管理：入侵報警信息分析采用基于B/S模式設計，通過后臺MySQL數據庫存儲IPv6/IPv4網絡上各個時間段的網絡流量數據，包括日報表、月報表和年報表。并同時存儲報警信息。前臺使用PHP語言加上Apache HTTP服務器系統，給用戶提供友好的WEB操作界面。因為報警信息是敏感數據,因此是使用時用Apache的SSL模塊來加密傳輸數據。

3  實現主動防御的關鍵技術

Ip6tables是Linux環境下基于IPv6的開放源代碼的網絡防火墻軟件。我們IPv6的入侵檢測系統擬采用與Ip6tables相結合，實現對入侵的主動阻斷反應，實現主動防御。當處于此種主動阻斷模式的時候，該系統兼有防火墻和入侵檢測系統兩項功能，實現入侵防御。這時候，不同于一般的入侵檢測旁路Sniffer模式，該系統將象防火墻一樣，配置在網絡的入口處，處于路由模式，轉發內外網的數據包。

主動阻斷反應要能同時對IPv4和IPv6下的數據包實時阻斷，IPv6下我們用防火墻ip6tables來實現，ip6tables的擴展功能模塊ip6_queue.o通過接口netlink socket可以將核心態的數據包發向用戶空間的程序（對IPv4是在iptables 中的模塊ip_queue.o）。同時，本系統在數據采集子系統的功能發生改變，不直接從鏈路層抓包，而是作為用戶空間的程序從ip6tables/iptables的ip6_queue/ip_queue模塊產生的數據包隊列中獲取數據包，再進行模式匹配，利用內置的規則查詢是否存在攻擊行為，若有，則根據規則配置，決定該數據包的命運：我們設計有三種動作：DROP、ACCEPT和REJECT(復位)。執行動作后，最后將結果返回到Ip6tables中，由Ip6tables執行過濾結果，若需要還要重新將修改后的數據包重新注入到內核中交Ip6tables轉發。 

功能實現要點

實現對IPv4和IPv6兩種數據包的同時抓取是本模塊實現的時候的一個重點。通過實驗發現，兩個隊列(ip6_queue和ip_queue)的包在抓取的時候會相互阻塞對方的取包函數。為了解決這個問題，采用多線程技術，即派生出兩個線程分別控制ip_queue和ip6_queue數據包隊列，從中讀取數據包，這樣將不會造成阻塞。經試驗發現，派生雙線程對系統性能的影響非常小，兩個抓包線程互不沖突，抓包正常、及時。

多線程取包算法用的是生產者/消費者問題的原理：兩個生產者不斷地從兩個隊列中取得數據包交給消費者（主線程）進行處理。但是由于需要對包進行操作（如DROP），所以生產者一次只能生產一個數據包，等這個包被消費后它才能繼續生產。因為同時有兩個生產者在工作，為了讓消費者知道當前要處理的包是IPv4的還是IPv6的，需要準備一個隊列存放兩個包產生的先后順序，以避免處理數據包產生的混亂，消費者會根據從隊列中取得的版本值自動取用相應生產者生產的數據。

另外對于某些攻擊將構造復位包，使連接復位，即執行動作REJECT。我們通過Libnet函數庫來構造復位包，該庫提供的接口函數主要實現和封裝了數據包的構造和發送過程，基于TCP/IP協議，對TCP連接采用發RST包的形式使連接復位；對UDP發ICMP/ICMPv6端口不可達數據包，復位UDP連接。

4  結束語

在本文中，我們描述了在IPv6新環境下實現入侵防御系統(IPS)的技術路線和框架，并對其中的關鍵技術進行了探討，系統的入侵檢測部分（IDS）參考了開放源代碼軟件snort，同時根據IPv6協議的不同對其進行了重大改進。在大型網絡規劃中，單純依靠防火墻的被動靜態防御難以抵擋復雜化、融合化的各類混合式攻擊，無法監視內部用戶的未授權訪問。同時，單純的入侵檢測功能也無法實時而有效的遏制攻擊。IPS已經成為IPv6網絡安全立體縱深、多層次防御體系的重要組成部分。該系統的實現為IPv4向IPv6過渡階段提供了一種有效的保障。

在最后的實現和測試過程中，本系統能提供給用戶簡潔的配置管理界面，并能有效地檢測和阻止多種攻擊，達到了設計研究的目的。同時，實驗中也發現一些不足，采用ip_queue和ip6_queue模塊和netlink接口方式將數據包發回用戶空間，將延緩數據的處理速度，影響系統性能。在這一點上可以進行以下改進：將一部分規則匹配的功能以內核模塊的方式運行在內核空間，以此來提高性能，具體就是把規則頭匹配的工作放在內核空間進行，如果規則頭不匹配，則在內核空間就立刻被拋棄；只有在規則頭匹配的情況下，再將數據包拷貝到用戶空間，進行規則選項的匹配。這樣做可以大大提高數據的處理速度，該方案具有一定的挑戰性，將是我們下一步的工作。