摘要：隨著互聯網應用的普及，網絡攻擊行為愈來愈嚴重。依據IPv6協議的擴展頭、包頭結構、地址結構和安全機制，設計了IPv6環境下的協議解碼和協議分析的過程。提出了一種新的基于協議分析的網絡入侵檢測系統框架。通過對協議解碼和分析，給出了IPv6環境下基于協議分析的網絡入侵檢測系統的設計方案。
關鍵詞：網絡安全；入侵檢測；協議分析；IPv6協議；模式匹配

0 緒言
隨著互聯網的日益開放與高速發展，伴隨著來自網絡的攻擊行為也愈來愈嚴重，網絡安全問題成為一個亟待解決的難題。以往都采用靜態的安全防御體系，如防火墻、身份認證及數據加密技術等等，這些技術能解決一部分安全問題，但由于這些技術自身的缺陷，不能完全解決當前網絡安全問題。先進的入侵檢測技術應運而生。它首先通過對入侵行為的檢測，收集并分析信息，從而發現是否有違反安全策略的行為。在下一代IPv6協議環境下，著手建立實時、高效的網絡入侵檢測系統有著重要的實際價值。

1 網絡安全問題與對策
1．1 網絡安全面臨的威脅
目前，網絡應用得到了普及，但是網絡中的網絡安全問題逐步顯現，會經常干擾網絡的正常使用。目前來自網絡中的威脅主要有系統本身的脆弱性和外來的攻擊。
網絡系統自身脆弱性的威脅包含兩個方面：信息系統處理環境上的不安全因素和系統自身存在可入侵性。網絡來自外界的威脅有：特洛伊木馬攻擊、端口掃描攻擊、拒絕服務攻擊、緩沖區溢出攻擊、WEB攻擊、非授權服務攻擊、網絡監聽攻擊、利用系統漏洞進行攻擊等等。
1．2 網絡安全技術
網絡安全問題受到人們的密切關注，所采用的安全措施也很多。常見的安全措施有：
存取控制技術、防火墻技術、加密技術、病毒防治技術、入侵檢測技術等。
1．3 網絡安全模型
網絡安全模型(PPDR)是商業策略模型PDR在網絡安全模型上的運用。PPDR是策略(Policv)、防護(Protection)、檢測(Detection)、響應(Response)四個英文單詞的首字母縮寫。它是一個螺旋上升的過程，經過一個循環以后它的防護水平會得到全面的提高。它們之間的關系如圖1所示。

PPDR模型中，策略是PPDR模型的核心組成部分，是網絡安全需達到的目標，同時也是各種措施的集合。
防護是網絡安全的首步。它包括安全規范的制定、安全配置和安傘措施。檢測是主動防御行為。響應指在檢測到攻擊之后，及時地做出反應，使系統恢復正常運行狀態。
目前較科學的防御體系是在遵循PPDR模型的信息網絡安全體系的前提下，采用主動防御與被動防御相結合的方式。

2 基于IPv6的入侵檢測系統NIDS框架設計
2．1 系統功能設計
基于IPv6協議的網絡入侵檢測系統要對網絡流量進行實時跟蹤和分析，實時地檢測并分析用戶在系統中的活動狀態，統計網絡流量，拒絕服務攻擊等異常用戶行為，同時還要能對已知攻擊特征進行正確識別，減少誤報和漏報，影響整體性能，并及時向控制臺報警，為有效防御提供依據，并根據定制的條件過濾掉相同的報警事件，減輕傳輸與響應的壓力。此外還要能提供入侵檢測規則的升級處理，實時更新入侵檢測特征庫，提高入侵檢測系統的入侵檢測能力，同時要制定實時響應策略，根據用戶的規則定義，經過系統自動過濾，對警報事件及時響應。檢測系統還要能對未發現的系統漏洞特征進行預報警處理。一個高性能的入侵檢測系統除了具備以上功能外，具備較高的可管理性和自身安全性也非常重要。