技術(shù)領(lǐng)域

本發(fā)明專利屬于信息技術(shù)領(lǐng)域，尤其是涉及一種基于分流的IPv6千兆分布式入侵檢測(cè)方法。

背景技術(shù)

隨著Internet發(fā)展，網(wǎng)絡(luò)協(xié)議將由Ipv4逐漸向Ipv6過(guò)渡。然而，針對(duì)Ipv6環(huán)境下的入侵行為也會(huì)迅猛發(fā)展。所以，盡快研究IPV6環(huán)境下的入侵檢測(cè)系統(tǒng)也是當(dāng)務(wù)之急。國(guó)外在此方面的研究與應(yīng)用經(jīng)驗(yàn)并不十分豐富。早起步有望使我們?cè)诰W(wǎng)絡(luò)安全領(lǐng)域處領(lǐng)先地位。我們研究和實(shí)現(xiàn)了基于Ipv6高速網(wǎng)絡(luò)的分布實(shí)時(shí)智能入侵檢測(cè)系統(tǒng)。該系統(tǒng)中采用P2DR(Policy?Protection?Detection?Response)動(dòng)態(tài)安全模型。當(dāng)前在網(wǎng)絡(luò)上的IPV6的攻擊事件較少，所以在研究基于IPv6漏洞攻擊事件的特征和行為時(shí)，首先應(yīng)該構(gòu)造一個(gè)IPV6環(huán)境，開(kāi)發(fā)出基于IPV6的攻擊集成平臺(tái)對(duì)整個(gè)的IPV6環(huán)境下的攻擊進(jìn)行盡可能全面地模擬。結(jié)合已有研究的攻擊特征，構(gòu)建起自己的漏洞攻擊事件特征庫(kù)，實(shí)現(xiàn)網(wǎng)絡(luò)探測(cè)收集和自身研究相結(jié)合。

發(fā)明專利內(nèi)容

本發(fā)明專利所要解決的技術(shù)問(wèn)題在于針對(duì)上述現(xiàn)有的技術(shù)中的不足，提供一種技術(shù)先進(jìn)、高安全性、高適應(yīng)性、易于配置和管理的靈活的多層立體主動(dòng)實(shí)時(shí)防衛(wèi)系體系，能有效解決現(xiàn)在的入侵檢測(cè)系統(tǒng)的存在的多種實(shí)際問(wèn)題。

為解決上述問(wèn)題，本發(fā)明專利采用的技術(shù)方案是：使用多種檢測(cè)器(網(wǎng)絡(luò)數(shù)據(jù)檢測(cè)器，用戶行為檢測(cè)器以及系統(tǒng)行為檢測(cè)器等)來(lái)收集各種數(shù)據(jù)。

上述這些數(shù)據(jù)經(jīng)過(guò)預(yù)處理后作為輸入進(jìn)入檢測(cè)器，檢測(cè)器使用一系列算法對(duì)數(shù)據(jù)中可能存在的規(guī)則進(jìn)行挖掘并使用自身攜帶的規(guī)則對(duì)得到的規(guī)則進(jìn)行分類，然后將無(wú)法解釋的規(guī)則以標(biāo)準(zhǔn)的格式輸出給第二級(jí)檢測(cè)器。

上述第二級(jí)檢測(cè)器將匯總這些規(guī)則，對(duì)其進(jìn)行簡(jiǎn)單的數(shù)據(jù)融合，然后對(duì)這些規(guī)則對(duì)照已有的規(guī)則再次對(duì)其進(jìn)行分類檢測(cè)，如果還有無(wú)法處理的規(guī)則，那么第二級(jí)檢測(cè)器將規(guī)則和相應(yīng)的原始數(shù)據(jù)提交計(jì)算節(jié)點(diǎn)。

上述計(jì)算節(jié)點(diǎn)一般處于網(wǎng)絡(luò)中計(jì)算能力比較強(qiáng)的主機(jī)上。計(jì)算節(jié)點(diǎn)將重新對(duì)原始數(shù)據(jù)進(jìn)行預(yù)處理，并重新分析其中所攜帶的各種特征的重要程度，并選取其中的重要特征來(lái)生成新的規(guī)則并更新特征庫(kù)。

上述計(jì)算節(jié)點(diǎn)將新的規(guī)則重新分發(fā)給下級(jí)的檢測(cè)器。

上述一種基于分流的IPv6千兆分布式入侵檢測(cè)方法，其特征是：基于IPv6漏洞攻擊事件的特征和行為分析，整個(gè)攻擊事件的發(fā)現(xiàn)、確定和未知攻擊類型的特征挖掘均是在無(wú)人工參與的情況下實(shí)現(xiàn)的，而且多層次(混合)檢測(cè)的特性也將大大提高檢測(cè)的準(zhǔn)確率。

上述一種基于分流的IPv6千兆分布式入侵檢測(cè)方法，其特征是：IPv6環(huán)境下快速捕包和高速地址匹配，通過(guò)對(duì)IPv6的數(shù)據(jù)包首部作標(biāo)記的方法實(shí)現(xiàn)n個(gè)detector每個(gè)對(duì)鏈路上流量的1/n進(jìn)行檢測(cè)。

上述這種解決方案徹底解決了高速網(wǎng)中快速捕包和分析的問(wèn)題

上述其優(yōu)點(diǎn)：①擴(kuò)充性好：可以任意增加多臺(tái)檢測(cè)器以增強(qiáng)高速流量數(shù)據(jù)包捕獲的能力。

②對(duì)攻擊者透明：所有探測(cè)器在通過(guò)網(wǎng)絡(luò)流量的網(wǎng)卡沒(méi)有綁定IP地址，攻擊者無(wú)法探測(cè)到探測(cè)器的存在。

上述一種基于分流的IPv6千兆分布式入侵檢測(cè)方法，其特征是：對(duì)于攻擊過(guò)程中需要與被攻擊主機(jī)進(jìn)行交互的攻擊，可以在攻擊過(guò)程中使用traceroute一類的工具查到攻擊者的最末一級(jí)跳板的子網(wǎng)，此時(shí)可以通過(guò)別的渠道來(lái)使攻擊者喪失這臺(tái)受控主機(jī)，若攻擊者所有的跳板均被清除后仍然強(qiáng)行攻擊，則此時(shí)可以直接定位攻擊者所在的子網(wǎng)。

上述一種基于分流的IPv6千兆分布式入侵檢測(cè)方法，其特征是：對(duì)于攻擊過(guò)程中不需要與被攻擊主機(jī)進(jìn)行交互的(dos攻擊)攻擊我們需要通過(guò)收集外部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)信息來(lái)進(jìn)行定位。

上述一種基于分流的IPv6千兆分布式入侵檢測(cè)方法，其特征是：研究各種網(wǎng)絡(luò)流量(參數(shù)流量特征)分析算法的比較和網(wǎng)絡(luò)數(shù)據(jù)流量安全特征提取，以得到一些無(wú)法從數(shù)據(jù)包分析得到的安全信息。

上述一種基于分流的IPv6千兆分布式入侵檢測(cè)方法，其特征是：對(duì)于定位追蹤技術(shù)，采用在攻擊過(guò)程中，使用ICMP或SNMP協(xié)議對(duì)各個(gè)可疑路徑的網(wǎng)絡(luò)情況進(jìn)行檢測(cè)，通過(guò)一定算法分析這條路徑的網(wǎng)絡(luò)運(yùn)行情況，以及是否正在傳送大數(shù)據(jù)流，通過(guò)這種方法可以查到攻擊者或受攻擊者控制的主機(jī)的子網(wǎng)，然后作進(jìn)一步的分析處理。

IPv6下的入侵檢測(cè)是入侵檢測(cè)系統(tǒng)的擴(kuò)充，對(duì)IPv6環(huán)境下的網(wǎng)絡(luò)攻擊、入侵行為進(jìn)行實(shí)時(shí)監(jiān)控，發(fā)現(xiàn)問(wèn)題向協(xié)同控制中心報(bào)警。

這部分的具體功能包括：

1)基于IPv6漏洞攻擊事件的特征和行為研究；