基于IPv6的動態(tài)網(wǎng)絡入侵檢測系統(tǒng)的研究與設計

(1)數(shù)據(jù)包捕獲模塊。數(shù)據(jù)包捕獲是入侵檢測的基礎，數(shù)據(jù)捕獲的準確性、可靠性和效率決定了整個入侵檢測系統(tǒng)的性能。它的主要功能就是從以太網(wǎng)上捕獲數(shù)據(jù)包。我們的設計是采用在Linux操作系統(tǒng)中使用系統(tǒng)底層調用來實現(xiàn)數(shù)據(jù)包的捕獲。我們?yōu)榱颂岣邤?shù)據(jù)包的捕獲性能，系統(tǒng)中采用的是在Linux下非常流行的BPF捕獲機制。它的優(yōu)點是不需要再用底層的調用來編寫代碼，封裝了底層調用并作了優(yōu)化處理。
(2)協(xié)議解析模塊。協(xié)議解析模塊是入侵檢測系統(tǒng)的基礎，它對捕獲到的數(shù)據(jù)包進行詳細的協(xié)議分析，檢測出每個數(shù)據(jù)包的類型和特征。此模塊的設計功能是否齊全和合理，會直接影響到入侵檢測系統(tǒng)的性能。
(3)規(guī)則處理模塊。規(guī)則庫是一個入侵檢測系統(tǒng)的知識庫，它的成功與否會直接決定入侵檢測系統(tǒng)的綜合性能，當入侵檢測庫越豐富的時候，系統(tǒng)能檢測到的入侵行為就會越多，系統(tǒng)才會更安全。
(4)分析檢測模塊。分析檢測模塊完成的是一個匹配性工作。協(xié)議解析模塊對捕獲的數(shù)據(jù)包進行分析，規(guī)則處理模塊建立了入侵規(guī)則庫，而入侵檢測模塊需要做的就是完成對這兩部分的匹配工作。當匹配成功，就說明有入侵行為發(fā)生。此外，該模塊除了使用入侵規(guī)則庫來檢測入侵之外，還有異常檢測功能，比方說對掃描入侵行為的檢測就使用了異常檢測技術。我們采用的是基于協(xié)議分析匹配技術。
(5)存儲模塊。存儲模塊的主要功能是存儲網(wǎng)絡相關信息，健全日志，以方便事后分析和處理。例如分析IP協(xié)議的分布情況，分析某個IP的活動情況，等等。我們采用的是使用MySQL數(shù)據(jù)庫存儲的。
(6)響應模塊。當入侵檢測系統(tǒng)檢測到入侵時，會通過響應模塊來處理相關的事務。響應模塊可以采取各種措施對檢測引擎檢測到的入侵行為進行相應的響應，常見的有傳送消息給防火墻、截斷外部入侵行為等，也可以只向網(wǎng)絡管理員進行報警，由網(wǎng)絡管理員根據(jù)入侵情況再決定采取相應的防御措施。

4 結論
目前采用的網(wǎng)絡安全防御體系由于自身存在著缺陷和不足，使得網(wǎng)絡安全問題一直困擾著我們的工作。網(wǎng)絡入侵檢測技術通過改變以往的被動防御方式，能夠主動地跟蹤入侵行為，并及時做出相應的響應。使得網(wǎng)絡入侵檢測系統(tǒng)成為了防火墻之后最有力的安全防線。正是這些優(yōu)點使得網(wǎng)絡入侵檢測系統(tǒng)成為了當前網(wǎng)絡安全方面研究的熱點。同時隨著IPv6的應用和普及，原有的網(wǎng)絡將面臨全新的挑戰(zhàn)，當然也包括對網(wǎng)絡安全體系的挑戰(zhàn)。本文提出的就是在IPv6協(xié)議下構建全新的網(wǎng)絡入侵檢測防御體系。