具有主动防御功能的IPv6校园网网络安全研究 On the Network S

第32卷第10期2013年10月实验室研究与探索RESEARCH AN D EXPLO RATI O N IN LABO RATO RYV01．32 N o．100ct．2013· 实验室环境与安全·具有主动防御功能的IPv6校园网网络安全研究方世林( 湖南理工学院计算机学院，湖南岳阳414006)摘用户行为模式思想，提出用户行为模式的主动防御策略，开发设计了一套具有主动要：针对目前校园IPv6网络面临着很多风险和威胁，利用虚拟运行程序，借鉴防御功能的入侵检测系统。在此基础上，通过防火墙、入侵检测、安全扫描、PKI等多种网络安全技术，建立了具有主动防御功能的IPv6校园网网络安全模型。实验结果表明，设计的网络安全模型具有主动防御功能，能有效防御病毒的攻击，建立了一个联动的、纵深防御的网络安全解决方案。关键词：网络安全；校园IPv6网络；入侵检测；主动防御；行为模式中图分类号：TP 393文献标志码：A文章编号：1006—7167( 2013) 10—0231—03O n the N etw orkSecuri tyofI PV6Cam pus N etw ork w i thFeaturi ngof Acti ve D ef enseFAN G Shi —l i n( Departm entofCom puter，H unanInsti tute of Sci ence andTechnol ogy，Yueyang4 14006，Chi na)Abstract：Based on the acti ve defensestrategy centeri ngon user behavi orpatterns，anew CN router featuri ngacti vedefensei s desi gnedand a sol uti on to the netw orksecuri tyw i th acti ve defense i n l i nk anddepthi s w orked out to m eettheneeds of CN IPv6securi ty．O nthi sbasi s，vi aInternetsecuri ty technol ogi esl i ke fi rew al l ，i ntrusi on detecti on，securi tyscanni ngandPKI，aCN IPv6securi ty patternw i th acti ve def ense functi on i sbui l t．Experi m entsshowthatthi s Internetsecuri ty patternhas the functi on of acti ve defense，can effecti vel ydefend Internet from vi rus attack．Thus，i t establ i shesa l i nked anddefense—i n—depthi nternetsecuri tysol uti on．Key w ords：netw ork securi ty；CNIPv6；Intrusi on detecti on；acti ve defense；behavi or pattern0引言1主动防御网络的基本原理及关键部件随着IPv6应用的日益普及¨ ? ，网址中的一些安全问题日益突出，成为棘手的难题。

目前校园网IPv6网络安全维护的处理办法一般是先发现攻击问题，再进行打补丁、关端口和用防毒软件杀毒，而这时网络中已经造成了损失，而很多损失时无法补救。因此研究校园IPv6网络的主动防御技术具有重要的理论和现实意义‘ “ 。收稿日期：2012—12—10基金项目：湖南省教育厅资助项目( 12C0706)作者简介：方世林( 1981一) ，男，湖南岳阳人，硕士，讲师，主要研究方向计算机网络技术。Tel ．：13873082675；E—m ai l ：36662628@ qq．corn1．1主动防御校园网网络概念建立校园主动防御网络的关键性技术是要使网络路由器具有主动过滤攻击包的能力” 。1。根据路由器转发的数据包的目的地址的不同，数据包可以分为两种：指向网络主机的“ 转发IP包” ；指向路由器的“ 终点IP包” ‘ 8|。对两种数据包，路由器处理的方式是不一样的，对“ 转发IP包” 路由器会简单的根据策略进行转发或丢弃。对“ 终点IP包” 路由器会依据策略进行丢弃或者传输给上层协议进行处理。在处理这些数据包的时候，会为其分配内存空间，还会阻塞一些端口，这样一万方数据232实验室研究与探索第32卷些有针对性的病毒IP包就会被路由器转发到校园网内部了。

因此这类IP包是对网络潜在威胁最大p1。对校园网路由器攻击方式上的分析和路由器处理数据包的不同，对路由器防攻击的研究应放在对终点IP包的处理上，采用的是用主动防御策略来提高校园网网络路由器的抗攻击能力，达到校园网网络的安全。1．2主动防御校园网的工作原理1．2．1主动防御校园IPv6网的工作原理主动防御校园IPv6网的工作原理：当校园网路由器收到IP数据包时，根据数据包的分类不同，区分进行不同的方式进行处理。对转发IP包，根据路由器分发数据包的策略进行转发或者丢弃；而对终点IP包，会根据策略交给协处理Agent或者丢弃。让协处理分析判断是否为正常数据包，如果是正常数据包时时则转发给上层协议处理，如果是病毒则丢弃。当出现了在病毒库中没有出现过的攻击时，协处理没有很好的防御手段，只有通过IDS虚拟运行的方式，行为识别模式来判断是否为攻击，如果检测到异常，马上反馈给协处理，进一步修改协处理策略，使得协处理能及时发现和丢弃这些攻击包，避免网络受到攻击。校园网路由器协处理Agent由分析模块、学习模块、策略模块、处理模块和控制模块等五部分组成。当校园网路由器接收到数据包时，分析模块会根据以前制定的策略对数据包进行分析，判断数据包是否正常；学习模式是个不断学习进步的模块，可以实时动态的改进策略。

策略模块式制定处理方针策略的模块；处理模块辅助具体对数据包的处理。控制模块通过处理模块的处理结果对路由器发出控制指令，已达到路由器正常处理数据包。1．2．2具有主动防御功能的入侵检测系统( IDS)具有主动防御功能的入侵检测系统有较好的防御病毒功能，同时还可以抑制攻击源点的通信，从而保证其它通信节点的通信。当检测到外界的非法攻击时，入侵响应模块会依据病毒知识库的系统分析，构造出有针对性的主动响应报文，其中包括攻击的防御代码ID，主动响应报文会首先把防御代码发送到本地主动节点上，同时还会通过节点安全策略库，有针对性地动态实时调整本地安全策略，用来抑制攻击者对本地服务的攻击。而其它网络节点的通信不受影响，网络通信照常¨ “ ” 1。检测时，先采用规则匹配进行判断是否为攻击，如果显示是正常数据包，然后采用通过虚拟运行的模式，根据用户行为模式来判断是否为攻击行为，从而进行相应处理。具有主动防御功能的用户行为模式的策略是：系统通过长期的积累，根据合法用户正常操作的执行行为，建立用户的正常执行模式库，在以后对系统进行监控，把系统运行后的行为与正常执行模式库中行为进行对比，如果系统行为符合正常用户执行模式，则表明系统正常，继续监控，否则为非法入侵。

从而实现了主动防御策略。具体流程见图1。图1具有主动防御功能的入侵检测系统流程图2具有主动防御功能校园IPv6网络模型构建建立的具有主动防御功能的校园IPv6网络安全模型¨ 41采用了防火墙、入侵检测、漏洞扫描、PKI等多种网络安全技术，使网络有着高度抗风险能力。具有主动防御功能的校园IPv6网络安全体系首先通过主动防护墙来阻止非法用户的攻击，然后对数据进行虚拟运行，利用用户行为模式的方法来甄别是否为非法入侵。再根据网络攻击的特征、其发展趋势及本地网络的安全性进行分析，在分析的基础上制定对应的安全策略，采用各种防御手段进行有效防护。各层防线具体实现方案见图2。第l 道防线第2道防线第3道防线第4道防线图2具有主动防御功能的校园IPv6网络模型( 1) 第1道防线是校园主动防火墙。校园防火墙是阻止外界攻击的第1道防线，也是最重要的一条防线，它能阻止绝大多数的攻击行为。同时根据网络安全策略防止外界对内部网络用户的访问，可以对外界屏蔽内部网络信息。它可以通过制定网络安全策略来控制出入的信息流，具有较高的安全防护性。( 2) 第2道防线是具有主动防御功能的入侵检测。具有主动防御功能的人侵检测也是一种动态的安全防护技术，主动在网络中寻找和发现入侵信息，它先通过自身病毒库来识别常见病毒，同时也能发现新型万方数据第10期方世林：具有主动防御功能的IPv6校园网网络安全研究233病毒。

它通过把数据包虚拟运行，借用用户行为模式来判断是否为病毒入侵行为，以达到识别新型病毒的目的，从而再进行进一步的处理。( 3) 第3道防线是由安全漏洞扫描体系组成的防护措施。能对很多病毒起到免疫功能。漏洞扫描是对局域网络、W eb站点、主机操作系统及防火墙系统等的安全漏洞做定期的全面扫描工作，检测它们是否存在安全漏洞，同时它还可以掌握网络中存在的不安全网络服务。给操作系统打上安全漏洞补丁，还可以检测网络主机系统中是否被安装了木马病毒，防火墙系统是否存在安全漏洞。漏洞扫描系统的建立，主动的增强了系统的稳固性。( 4) 第4道防线是利用反击来组成的防线。这也是校园IPv6网络实现主动防御功能的重要体现，反击防线利用所捕获的网络攻击者特征信息，开展有针对性的运用控制类、欺骗类、阻塞类和病毒类等攻击手段对其进行攻击反击，使得攻击源停止运行，让它在网络中无法通信。使得整个网络处于安全稳定状态。在以上防线系统中四道防线是有机结合，相互配合工作才能确保整个网络稳定运行。防火墙和入侵检测等系统都得保持相互通信，相互信任。四道防线中，任何一到防线的身份遭到篡改和泄漏，整个网络的安全就不能得到保证了。通过建立多层防御体系，多方位来确保网络数据在不信任的通道上得到安全传输，从而以提高网络系统的安全性。

3校园网安全测试把收集来的100 000个病毒分成10类，然后利用文献[ 15] 中Ri eck等人的实验方法来检测引擎处理模块的安全可靠性。把这些病毒以数据库的形式建立一个小型病毒库，10项病毒库的每一项对应一个病毒样本，这包括病毒序号、名称等各项属性，把这100000个病毒分为两部分，90％用来作为训练；10％用来作为测试。图3是利用了用户行为模式识别的主动防御策略对病毒进行识别结果图。其中横坐标是10个病毒库标本，纵坐标反映的是我们设计的检测系统对未知病毒的识别情况。由图可以看出，新设计的具有主动防御功能的检测系统对病毒的识别在80％以上，而个10080誉坠60涞巷40202345家族序列678910别家族可以达到100％。在其中家族5、6和9的识别率很高。而家族1和10的检测结果差点。不过在日常网络中，很多病毒类型是我们已知的，我们会一一甑别出来，而对未识别的病毒，我们还有其它几道防线，对未知病毒也能起到防御的功能。设计的校园网主动防御体系是稳定可靠的。4结语由上面的实验分析，可看出，通过防火墙、入侵检测、加密认证和备份恢复有效集成，构筑成一套全面的安全防御体系，但是，如果仅仅依靠安全工具和技术并不能保证网络的可用性、完整性和机密性，还应该考虑人的因素。

全面提高校园网络管理人员和使用者的素养，合理有效的利用安全防御系统，才能建立安全可靠的校园网络。参考文献( References) ：[ 1]严程，李星，陈茂科，等．Cernet IPv6实验床[ J ] ．电子电信，2002( 3) ：75-79．[ 2]褚玲瑜，吴学智，齐文娟．IPv6的安全问题探讨[ J ] ．微计算机信息主动防御思想，2006．22( 1) ：10-12[ 3] Li u H ，Yu L．Tow ardi ntegrati ngfeature sel ecti onal gori thm sforcl assi fi cati on andel uateri ng[J ]．IEEETramon Know l edgeand D ataEngi neeri ng，2005，17( 3) ：I一12．[ 4]刘衍珩，田大新，余雪岗．基于分布式学习的大规模网络入侵检测算法[J ]．软件学报，2008(4)：2012—2019．[ 5]黎连业．张维，向东明．路由器及其应用技术[ M ] ．北京：清华大学出版社，2004．[ 6]朱蕾，张勇．基于IPSsc的安全路由器设计与实现[ J ] ．计算机工程，200I( 6) ：157一162．[ 7] O dom W endel l ，M cD onal dRi ck CCN A2路由器与路由基础[ M ] ．北京：人民邮电出版社，2008．[ 8]AN D ERSO NJP．Com putersecuri tythreatm oni tori ngandsurvei l l ance[ R] ．J am esPAndersonCo，FortW ashi ngton，Pennsyl vani a，1980．[ 9]STEVENE，SM AH A H aystack：ani ntrusi on detecti onsystem [ C] ／／Proceedi ngs ofthe Fourth Aerospace Com puterSecuri ty Appl i cati onsConf erence．W ashi ngton：IEEE Com puterSoci ety Press，1988：37—44．[ 10] 张岳公，李大兴．IPv6下的网络攻击和入侵分析[ J ] ．计算机科学，2006．33( 2) ：100—102．[11]韩东海，王超，李群．入侵检测系统实例剖析[ M ] ．北京：清华大学出版社，2002：3-26．[ 12] 陈鹏，吕卫锋，单征．基于网络的入侵检测方法研究．计算机丁程与应用，2001( 19) ：44-60．[13]李晓芳，姚远．入侵检测工具Snort的研究与使用[ J ] ．计算机应用与软件，2006．23( 3) ：45-47．[14]毛凯．计算机网络的安全设计模式[ J ] ．科技资讯，2007( 36) ：107．108．[15]RI ECKK，H O LZ T，W I LLEM S C，et a1．Learni ngandcl assi fi cati onof m al w arebehavi or『C]／／Proc of D M VA．2008．万方数据

（编辑：海南站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!