CN101964804A - 一种IPv6协议下的攻击防御系统及其实现方法 - Google Patents
一种IPv6协议下的攻击防御系统及其实现方法 Download PDFInfo
- Publication number
- CN101964804A CN101964804A CN2010105224299A CN201010522429A CN101964804A CN 101964804 A CN101964804 A CN 101964804A CN 2010105224299 A CN2010105224299 A CN 2010105224299A CN 201010522429 A CN201010522429 A CN 201010522429A CN 101964804 A CN101964804 A CN 101964804A
- Authority
- CN
- China
- Prior art keywords
- control center
- packet filter
- master control
- ipv6
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种IPv6协议下的攻击防御系统及其实现方法属于信息安全领域。IPv6提供了地址自动配置以及支持移动性和安全性等新特性,由此也带来了安全上的新威胁和新风险。本发明系统包括三大部分组成:主控中心、包过滤防火墙以及网页分析器;其中,主控中心是整个模型的核心,负责具体防御策略规则的制定、维护与下发;包过滤防火墙是策略的具体执行者,根据策略规则对未加密数据包进行过滤;网页分析器对各个通讯终端的网页数据进行分析,并将分析结果上报到主控中心,待其及时制定策略规则并下发到包过滤防火墙处。该系统通过网络层策略规则,可对IPv4和IPv6共有攻击以及IPv6特有攻击进行拦截;通过应用层策略规则,将非法、反动的网页数据阻拦至内网之外。
Description
技术领域
本发明基于IPv6攻击防御模型设计并实现。属于信息安全领域。
背景技术
目前,互联网主要基于IPv4协议,这一协议的开放性和跨平台性推动了互联网的发展。但是,随着互联网用户数量的不断增加以及用户需求的不断提高,IPv4相关问题逐渐呈现出来。IPv4在地址空间、配置复杂、端到端的IP连接、服务质量、安全性和移动性等方面都暴露出了不足和局限,这些需求都迫切要求设计新一代网络层协议。为彻底解决互联网的地址危机,拥有128位地址的IPv6协议被IETF在20世纪90年代中期提出,并在1998年对IPv6进行了标准化工作。
IPv6的发展得到了众多设备制造商的支持,甚至上到了国家层面来开展基于IPv6的研究和部署。除对地址空间的扩展,IETF还对IPv6地址的结构重新做了定义,简化包头结构并采用与IPv4中CIDR类似的方法进行地址分配。此外,IPv6还提供了地址自动配置以及支持移动性和安全性等新的特性。但是正是由于IPv6的这些新特性,带来了一些安全上的新风险和威胁,使得我们不得不对原有的安全体系结构做出改动,因此,对IPv6环境下的攻击与防御研究具有相当重要的意义,同时如何构架基于IPv6的网络安全系统已经在国际范围内得到了广泛的重视。
伴随互联网的发展,网络安全已成为人们普遍关注的课题。作为网络安全的第一道防线,防火墙就是网络安全体系中的一个重要环节。目前,防火墙技术也在不断提高,如多端口、NAT技术、安全审计、加密防毒等功能的加入,这更使得防火墙在实际的网络安全保护中具有不可替代的作用。
目前,对于各种类型的硬件防火墙而言,其自身架构基本上都是基于LinuxNetfilter(2.6.12内核以前只支持IPv4协议)架构,该架构有良好的可扩展性,开发人员可以编写高效的内核级防火墙。Netfilter(2.6.12内核开始支持IPv6协议)结构虽然为IPv6协议预留了五个钩子结点,但按照IPv4Netfilter原理开发的防火墙并不能适用于IPv6环境下。原因在于为了增强协议安全性,IPSec协议内嵌到IPv6协议当中,任何经过IPSec ESP加密处理的数据包,网络层以上的内容对防火墙是透明的,任何作为通讯中间节点的传统防火墙都对这种加密的网络数据包无法处理;此外,由于IPv6协议引入了路由头这种扩展头部,包含这种头部数据包的目的地址并不是数据包要到达的真正目标地址,而仅仅是下一跳地址,攻击者可能会利用这种特性绕过依靠传统技术的防火墙,从而入侵到内部局域网当中。另外,为适应新的网络安全需求,在IPv4协议下分布式架构的防火墙已经被开发,但该类防火墙没有考虑是否支持下一代IPv6协议;在对IPSec分布式防火墙架构的研究中,IPSec协议只是用来确保控制中心与执行者间策略传输的完整性和机密性,没有针对如何过滤IPv6协议攻击包进行研究,同样不能被直接运用到IPv6防火墙的研究工作当中。总之,如何为下一代互联网协议设计与之相适应的防火墙系统已经成为了研究工作的重中之重。
为了解决上述的问题,本发明主要研究IPv6网络环境下的攻防技术,在此基础上设计并实现IPv6分布式防火墙原型系统。在原型系统中实施了网络层安全策略、应用层安全策略、对非法网页内容的自主学习能力以及主动共享机制等关键技术,确保了IPv6整体网络环境的安全性与合法性。
发明内容
本发明是一种IPv6协议下的攻击防御方法,依据此方法实现了IPv6分布式防火墙原型系统。该系统通过网络层策略规则,可对IPv4和IPv6共存攻击以及IPv6新型攻击进行拦截;通过应用层策略规则,将非法、反动的网页阻拦至内网之外;原型系统的共享机制和词库动态更新机制确保了整体网络的网页合法性和文明性。
为达到上述目的,本系统主要由三大部分组成:主控中心、包过滤防火墙以及网页分析器。其中,主控中心是整个模型的核心,负责具体防御策略规则的制定、维护与下发;包过滤防火墙是策略的具体执行者,根据策略规则对未加密数据包进行过滤;网页分析器对各个通讯终端的网页数据进行分析,并将分析结果上报到主控中心,待其及时制定策略规则并下发到包过滤防火墙处,最终实现网页数据过滤策略共享的目的。
整个系统呈现树形结构,主控中心处于树的顶点,是整个系统的核心;主控中心下联包过滤防火墙;包过滤防火墙或者与IPv6用户主机直接相连,或者与相关区域的子包过滤防火墙相连,包过滤防火墙是各自区域的边界防火墙,从而形成不同的区域;在各自的区域中,网页分析器分别与区域内的包过滤防火墙相连,对该区域内的所有IPv6主机浏览的网页内容进行实时监测。
主控中心下联包过滤防火墙,包过滤防火墙的部署位置和数量与用户的安全需求相关;包过滤防火墙或者与IPv6用户主机直接相连,或者与相关区域的子包过滤防火墙相连,从而满足不同的安全需求。对于具有相同安全级别要求的用户主机,可以联在同一个包过滤防火墙下;对于安全要求高又受地理条件限制无法连接到其他高安全级别防火墙的用户,可以在其上级包过滤防火墙下再连接一个子包过滤防火墙,以提高安全级别。如图2所示,系统整体分为两个区域A和B;包过滤防火墙A和B分别是各自区域的边界防火墙,在区域B中,子包过滤防火墙B1与包过滤防火墙B相连,从而形成不同安全需求的子安全区域;在各自的区域中,网页分析器A和B分别与区域内的包过滤防火墙相连,对该区域内的所有IPv6主机浏览的网页内容进行实时监测。
为实现上述目标,需要以下步骤:
根据网络的实时情况,主控中心动态生成策略规则,周期性地部署策略规则给包过滤防火墙和网页分析器。所有的包过滤防火墙也可以主动向主控中心进行策略查询,从而确保策略实时更新。
网页分析器对本区域中的所有IPv6主机浏览的HTML源码中的内容进行分析(对于由ESP加密的网络流量,在通信终端的IPv6主机进行解密后,将该主机正在浏览的网页内容发送到该区域的网页分析器处),将HTML源码中的内容与全局非法词库进行匹配(该词库由主控中心动态维护),将含有非法网页内容的URL上报到主控中心;主控中心随即生成新的URL过滤规则,并把此条过滤规则部署到所有包过滤防火墙处,从而使整体网络对非法网页进行有效拦截。网页分析器同样接收由主控中心部署的策略规则,对全局非法词库进行动态更新,从而提高网页分析器对网页内容分析的能力。
由于网页内容分析的效率较低,本发明采用了主动共享机制以保证一个网页分析器的分析结果能共享给整体网络。共享机制的工作原理是:一旦网络中任何一处的网页内容分析器检测到存在用户浏览了含有非法内容的网页,立即将该URL上报到主控中心;主控中心对全局非法URL规则列表进行动态更新,并将更新后的非法URL列表部署到系统中所有的包过滤防火墙以及子包过滤防火墙,随后系统中所有包过滤防火墙就可对该非法URL进行有效拦截。
共享机制使系统中所有的包过滤防火墙能够及时更新全局非法URL过滤规则,从而在整个园区网内及时主动地对非法内容网页进行拦截,动态确保整体网络的安全性。
系统工作流程具体如下所述:
系统初始化完成包过滤防火墙的内部参数,包括防火墙的安全等级、字符设备及其驱动程序的初始化等。
加载系统默认配置模块对防火墙的网络层防御策略和应用层防御策略进行系统初始化。网络层防御策略中,普通过滤规则允许任何网络数据包通过;多播策略中,IPv6可信多播地址初始化为::0,即接受任何地址发送来的多播数据包;应用层防御策略中,系统默认配置条件下,防火墙初始化URL_DEFAULT_NUM个非法URL链表,可对URL_DEFAULT_NUM个已知非法网页的URL进行有效屏蔽。
网页分析器分析同一包过滤防火墙下所有IPv6主机的应用层HTML数据,将非法应用层数据对应的URL发送到主控中心,主控中心动态生成新的应用层防御规则并部署给所有的包过滤防火墙,这种主动共享机制确保了整体网络中应用层网页数据的安全性。
本发明通过网络层安全策略、应用层安全策略、对非法网页内容的自主学习能力以及主动共享机制,确保了IPv6整体网络环境的安全性与合法性,整体在系统可用性、安全性与智能性上呈现明显优势:对IPv6攻击的防御性;URL应用层防火墙;主动共享机制;对未知非法URL的自主学习能力。
附图说明
图1防御模型的内部逻辑结构
图2分布式防火墙原型系统的整体架构
具体实施方式
根据对IPv6攻击的深入分析,提出相应的IPv6攻击防御模型,如图1所示。该模型既能拦截典型IPv6攻击,又能确保应用层网页数据的合法性。
防御模型采用分布式架构,由主控中心、包过滤防火墙以及网页分析器构成。
主控中心主要功能包括制定策略、维护策略和下发策略等。策略包括:网络层与应用层防御策略和应用层控制策略。网络层与应用层防御策略下发给相应安全等级的包过滤防火墙,包过滤防火墙依据具体策略规则对数据包进行过滤;应用层控制策略下发给网页分析器,网页分析器依据应用控制策略对应用层网页数据进行分析过滤。
以下所述模块都是依靠软件实现的。
主控中心主要由以下模块构成:网络通信模块、策略数据库模块、策略维护模块以及日志模块等。其中:
(1)网络通信模块:负责主控中心与包过滤防火墙以及网页分析器之间的通信。
(2)策略数据库模块:按安全级别分类存放策略。
(3)策略维护模块:负责维护策略数据库,并提供接口对数据库进行访问。
(4)日志模块:用于记录系统状态信息。
包过滤防火墙依据主控中心下发的网络层与应用层防御策略逐一对网络数据包进行过滤,从而确保整体网络的安全性。包过滤防火墙同样可以主动向主控中心进行策略查询,从而确保安全策略的实时性。
根据功能描述,包过滤防火墙由以下三大模块构成:用户控制模块、内核通讯模块、内核过滤模块。其中:
(1)用户控制模块:防火墙的配置接口,可接收用户制定的策略以及主控中心部署的具体策略规则。
(2)内核通讯模块:实现用户态与内核态的数据交互。
(3)内核过滤模块:依据策略规则,对网络数据包进行过滤。
网页分析器用于分析同一包过滤防火墙下所有IPv6主机的应用层网页数据,将非法应用层数据对应的URL发送到主控中心,主控中心动态生成应用层防御规则,并下发给所有的包过滤防火墙,这种主动共享机制确保了整体网络应用层网页数据的安全性。
总之,在原型系统中,主控中心处于核心地位,具体负责策略的制定、维护与部署等;包过滤防火墙接收来自主控中心部署的策略规则,是策略规则的具体执行者;网页分析器监听同一区域中所有IPv6主机的应用层网页数据,经过分析将含有非法网页内容的非法URL上报到主控中心,再由主控中心动态生成应用层防御策略规则,随后部署给网络中所有的包过滤防火墙处,一旦网络中任何一处的网页内容分析器检测到存在用户访问含有非法网页内容的URL,经过网页分析器的上报和主控中心动态及时部署新的网络层防御规则,保证其他包过滤防火墙,这种主动共享机制使整体网络都能够及时确保网页数据内容的安全性和文明性。此外,通过EM算法对网页分析器维护的非法词库进行聚类分析,可以对非法词库进行有效的实时更新,原型系统可以对未知非法URL进行自主学习,进而确保IPv6整体网络应用层数据的合法性。
本发明解决了IPSec ESP加密后无法过滤应用层数据的问题,防御系统将对加密网页数据的过滤工作延迟到真正通讯终端处,待其对密文进行解密后,位于该通讯终端处的网页分析器就可对IPv6主机所浏览的网页数据进行分析,最终实现过滤。由于网页内容分析的效率较低,本发明采用了主动共享机制以保证一个网页分析器的分析结果能共享给整体网络,这种主动共享机制使整体网络都能够及时确保网页数据内容的安全性和文明性。
Claims (2)
1.一种IPv6协议下的攻击防御系统,其特征在于:
系统包括三大部分:主控中心、包过滤防火墙以及网页分析器;其中,主控中心是整个模型的核心,负责具体防御策略规则的制定、维护与下发;包过滤防火墙是策略的具体执行者,根据策略规则对未加密数据包进行过滤;网页分析器对各个通讯终端的网页数据进行分析,并将分析结果上报到主控中心,待其及时制定策略规则并下发到包过滤防火墙处;
整个系统呈现树形结构,主控中心处于树的顶点,是整个系统的核心;主控中心下联包过滤防火墙;包过滤防火墙或者与IPv6用户主机直接相连,或者与相关区域的子包过滤防火墙相连,包过滤防火墙是各自区域的边界防火墙,从而形成不同的区域;在各自的区域中,网页分析器分别与区域内的包过滤防火墙相连,对该区域内的所有IPv6主机浏览的网页内容进行实时监测。
2.一种应用权利要求1所述的IPv6协议下的攻击防御系统实现攻击防御的方法,其特征在于:
根据网络的实时情况,主控中心动态生成策略规则,周期性地部署策略规则给包过滤防火墙和网页分析器;所有的包过滤防火墙也可以主动向主控中心进行策略查询,从而确保策略实时更新;
网页分析器对本区域中的所有IPv6主机浏览的HTML源码中的内容进行分析,将HTML源码中的内容与全局非法词库进行匹配,该全局非法词库由主控中心动态维护,将含有非法网页内容的URL上报到主控中心;主控中心随即生成新的URL过滤规则,并把此条过滤规则部署到所有包过滤防火墙处以及子包过滤防火墙,从而使整体网络对非法网页进行有效拦截;网页分析器同样接收由主控中心部署的策略规则,对全局非法词库进行动态更新。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010105224299A CN101964804A (zh) | 2010-10-22 | 2010-10-22 | 一种IPv6协议下的攻击防御系统及其实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2010105224299A CN101964804A (zh) | 2010-10-22 | 2010-10-22 | 一种IPv6协议下的攻击防御系统及其实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101964804A true CN101964804A (zh) | 2011-02-02 |
Family
ID=43517536
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2010105224299A Pending CN101964804A (zh) | 2010-10-22 | 2010-10-22 | 一种IPv6协议下的攻击防御系统及其实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101964804A (zh) |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102340428A (zh) * | 2011-09-29 | 2012-02-01 | 哈尔滨安天科技股份有限公司 | 基于网络丢包的url检测与拦截方法和系统 |
CN102647425A (zh) * | 2012-04-20 | 2012-08-22 | 汉柏科技有限公司 | 防火墙防木马功能的实现方法及系统 |
CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
CN103957185A (zh) * | 2013-12-16 | 2014-07-30 | 汉柏科技有限公司 | 一种实现应用层流量监控的防火墙控制方法 |
CN104333549A (zh) * | 2014-10-28 | 2015-02-04 | 福建师范大学 | 一种用于分布式防火墙系统的数据包过滤方法 |
CN109587095A (zh) * | 2017-09-28 | 2019-04-05 | 中国电信股份有限公司 | 信息安全控制方法、装置和系统 |
CN110392129A (zh) * | 2019-08-20 | 2019-10-29 | 清华大学 | IPv6客户机以及IPv6客户机与服务器通信的方法 |
CN110944005A (zh) * | 2019-12-10 | 2020-03-31 | 杭州安恒信息技术股份有限公司 | 一种基于应用层防火墙的防御方法、装置、设备、介质 |
CN112584357A (zh) * | 2020-12-02 | 2021-03-30 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种动态调整车载防火墙策略的方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1801821A (zh) * | 2006-01-17 | 2006-07-12 | 北京邮电大学 | 一种在移动环境下穿越防火墙的方法 |
CN101340424A (zh) * | 2007-07-03 | 2009-01-07 | 华为技术有限公司 | 调整穿越设备的规则策略的方法、系统及代理设备 |
-
2010
- 2010-10-22 CN CN2010105224299A patent/CN101964804A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1801821A (zh) * | 2006-01-17 | 2006-07-12 | 北京邮电大学 | 一种在移动环境下穿越防火墙的方法 |
CN101340424A (zh) * | 2007-07-03 | 2009-01-07 | 华为技术有限公司 | 调整穿越设备的规则策略的方法、系统及代理设备 |
Non-Patent Citations (1)
Title |
---|
QIAN MA ET AL.: "Design and Implementation of Distributed Intelligent Firewall based on IPv6", 《2009 NINTH INTERNATIONAL CONFERENCE ON INTELLIGENT SYSTEM DESIGN AND APPLICATIONS》 * |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102340428A (zh) * | 2011-09-29 | 2012-02-01 | 哈尔滨安天科技股份有限公司 | 基于网络丢包的url检测与拦截方法和系统 |
CN102857486A (zh) * | 2012-04-01 | 2013-01-02 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
CN102857486B (zh) * | 2012-04-01 | 2015-10-21 | 深信服网络科技(深圳)有限公司 | 下一代应用防火墙系统及防御方法 |
CN102647425A (zh) * | 2012-04-20 | 2012-08-22 | 汉柏科技有限公司 | 防火墙防木马功能的实现方法及系统 |
CN103957185A (zh) * | 2013-12-16 | 2014-07-30 | 汉柏科技有限公司 | 一种实现应用层流量监控的防火墙控制方法 |
CN104333549A (zh) * | 2014-10-28 | 2015-02-04 | 福建师范大学 | 一种用于分布式防火墙系统的数据包过滤方法 |
CN109587095A (zh) * | 2017-09-28 | 2019-04-05 | 中国电信股份有限公司 | 信息安全控制方法、装置和系统 |
CN110392129A (zh) * | 2019-08-20 | 2019-10-29 | 清华大学 | IPv6客户机以及IPv6客户机与服务器通信的方法 |
CN110944005A (zh) * | 2019-12-10 | 2020-03-31 | 杭州安恒信息技术股份有限公司 | 一种基于应用层防火墙的防御方法、装置、设备、介质 |
CN112584357A (zh) * | 2020-12-02 | 2021-03-30 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种动态调整车载防火墙策略的方法 |
CN112584357B (zh) * | 2020-12-02 | 2023-04-28 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种动态调整车载防火墙策略的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101964804A (zh) | 一种IPv6协议下的攻击防御系统及其实现方法 | |
Zarpelão et al. | A survey of intrusion detection in Internet of Things | |
WO2017016162A1 (zh) | 一种基于sdn架构的工业通信流传输安全控制方法 | |
Flaus | Cybersecurity of industrial systems | |
CN110943913A (zh) | 一种工业安全隔离网关 | |
EP3400682B1 (en) | Network sanitization for dedicated communication function and edge enforcement | |
Markovic-Petrovic et al. | Analysis of SCADA system vulnerabilities to DDoS attacks | |
CN104734903B (zh) | 基于动态跟踪技术的opc协议的安全防护方法 | |
CN103973700A (zh) | 移动终端预设联网地址防火墙隔离应用系统 | |
Passito et al. | AgNOS: A framework for autonomous control of software-defined networks | |
Meena et al. | HyPASS: Design of hybrid-SDN prevention of attacks of source spoofing with host discovery and address validation | |
CN103795736B (zh) | 针对移动终端不同联网通道的防火墙联网系统 | |
KR20210001728A (ko) | 이더넷 기반의 선박 네트워크 보호를 위한 선박 보안 시스템 | |
US20170180316A1 (en) | Method and apparatus for federated firewall security | |
Castilho et al. | Proposed model to implement high-level information security in internet of things | |
Griffioen et al. | VIP Lanes: High-speed custom communication paths for authorized flows | |
WO2023202042A1 (zh) | 一种工业控制系统的安全防御体系及方法 | |
Krishnan et al. | Mitigating DDoS attacks in software defined networks | |
Nagendra et al. | Coordinated dataflow protection for ultra-high bandwidth science networks | |
Ooko et al. | Security issues in IPv6 over Low-power wireless personal area networks (6LoWPAN): a review | |
Chen et al. | Neuronet: An adaptive infrastructure for network security | |
CN110581843B (zh) | 一种拟态Web网关多应用流量定向分配方法 | |
Narayana et al. | Secure communication in internet of things based on packet analysis | |
Hossain et al. | Aegis: A lightweight firewall for wireless sensor networks | |
Ke et al. | Research of hybrid intrusion detection and prevention system for IPv6 network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110202 |