基于IPv6技术的局域网入侵检测系统设计

基于IPv6技术的局域网入侵检测系统设计

于和

大庆石油管理局信息技术公司  黑龙江省大庆市 163000

摘要：在国内，入侵技术方面的研究侧重于应用，基于监视站技术设计了一个具有多层结构的入侵系统，以检测大型网络环境中的入侵行为。也有学者基于多主机代理设计了一个专家系统对入侵行为进行分类,中国软件测评中心的学者则重点将审计与攻击相结合进行分析。目前，入侵检测研究主要集中在IPv6规则库的研究和传统基于模式匹配法的分析技术在IPv6中的改进。随着人工智能的崛起，将机器学习算法与网络安全技术相结合，成为了入侵检测技术新的研究热点。

关键词：IPv6技术；局域网；入侵检测系统；设计

1IPv6所具有的优势

1.1网络地址优势

首先，扩展地址空间。IPv6地址长度为128位。理论上，它可以同时容纳超过2128-1台主机，这很好地适应未来网络的发展。其次，优化了地址分配。V6拥有大量的地址资源，可以有效地保证地址的合理性和科学性。这样，我们可以有效地处理各种突发问题，并为解决上述问题留出足够的空间。

1.2对报头进行了优化

IPV6全面改进和优化了数据报报头。首先，扩大标题。在报头中的节点处理方法方面，IPV6选择报头中未涉及的节点区域作为替代，并将其与基本报头组合形成扩展报头。因为IPV6不需要通过路由器检查，它可以大大提高网络传输速度。第二，优化标题点。IPV6从IPV4标头中删除了一些字段，以简化其结构。基本标头的长度为40字节。它不需要识别标头的长度，可以处理终端。没有移位字段、标记、标识符。提高了标题的处理速度。

1.3路由优化

首先，使用域间路由机制代替BGP-4，实现IPV6的域间路由，保证外部消息的传输效率。其次，划分源端。IPV4有段错误。当一个段丢失时，整个段将再次传输。V6分段仅用于源节点，这大大简化了报头的处理，减少了路由器的分段开销。

2检测原理与设计

2.1基于神经网络的异常检测规则

2.1.1误差逆传播

引入误差反向传播算法可以有效地控制网络参数。其设计思想是通过输入样本设置初始权重和偏差，并通过模型训练计算输出与实际值之间的差值，然后再进行最终输出。如果差值超出给定范围，则通过反向路径将误差分布到每个层的所有单元，以便完全重置和修改参数；否则，停止。

2.1.2优化函数的选择

考虑到模型训练过程中梯度下降算法的学习速度和初值选择最优解，本文选择了一种基于随机思想的目标函数Adam优化算法。该方法中的学习速率根据损失函数的梯度矩阵进行动态调整。在Adam算法中，学习速率主要用于控制权重更新率。值越大，初始学习能力越快。较小的值对应于更好的收敛效果。

由Adam算法选择的优化损失函数按以下步骤执行：①每个参数的初始化；②判断参数是否收敛，如果收敛，则结束优化；相反，继续执行；③在时间+1，更新目标函数的相关参数；④更新偏差力矩的估算值并修改估算值。

偏差矩估计，修正估值。

2.2基于神经网络的入侵模式检测

在IPv6局域网的入侵检测中，有效区分正常流量和其他流量是成功入侵检测的第一步。本文首先假设正常数据点的分布集中在一个密集区域，而异常数据将远离密集区域并成为远邻，即由正常数据组成的检测特征将在特征空间中在很大程度上收敛。恶意攻击数据流会稀释聚集特性，使特征值偏离正常范围，形成异常组数据流。本文收集大量异常数据流作为神经网络的输入，并以数据驱动的方式训练模型，以识别正常数据流和入侵异常数据流。

3实验测试和性能分析

3.1实验环境搭建及数据采集

在PingER官网采集来回时延数据，监测机PingER以秒为单位发送10个128Byte的ping信号，间隔1s后，再次发送同样数量的ping信号，同时将所有信息保存在同一个配置文件中。当UDP返回包时，相邻两个数据包的前者比后者数据约长10%,ping操作默认约30s。在后续的实验中，为避免产生分片，本文采用了小数据包，一组20个ping信号，构成监控-远程节点对。数据采集来源网址为www.wanmon.slac.pl,采集时间为2020年3月1日～2021年3月1日，数据格式为.pl,数据含量为240组，每个路径取值350,即共有数据84000组。通过格式转换将其另存为.csv文件，剔除具有高缺失率的路径后，共获得140条可靠路径。对这些路径信息按数据链路层、网络层、传输层依次展开解析，获得异常信息内容。异常数据是网络性能的一个刻画，描述了与正常流量的偏差值。此次实验选取2倍平均值作为异常值衡量，经过筛选保留49006条数据。

3.2数据预处理

网络性能的最重要指标是延迟。实验过程从数据清理和标记开始，然后根据该过程分析协议。协议分析后，保留足够的入侵检测数据作为神经网络训练的样本。首先，对数据进行清理，然后根据训练集、测试集和验证集进行扩展。从训练集和验证集中选择样本，并根据网络反馈预测和更新模型参数。实验的训练次数选择为15次。

3.3前馈神经网络入侵检测训练

文中执行的前馈神经网络采用TensorFlow框架，该框架是由Google开发，适用于大数据计算的算法库，可应用于任何计算流的表达，此次实验利用该开源框架搭建数据分析平台。对得到的49006条数据进行分析，其中异常数据为34994条。通过将数据混淆，从中随机选择2000条与3000条分别作为测试集和交叉验证集，剩余44006条为训练集。在实验过程中，为加快训练和测试，每256条数据压缩为tfrecord文件，以便于TensorFlow的读取。

结论

文中通过IPv6协议的安全性分析以及对入侵检测系统中常采用的模式匹配技术的深入分析，提出了一种基于前馈神经网络结构的入侵检测方法。具体过程为，首先搭建基于校园网络环境下的局域网，然后分析PingER数据集中的异常入侵数据，经过数据采集与清洗，将原始数据作为深层神经网络的输入建立模型，模型学习阶段将学习参数实时反馈到训练模型中以调整学习效果。最终在测试集上进行测试，该方法可直接对参数作优化训练，有效去除数据归一等操作，进而可降低学习复杂度，识别IPv6网络的异常行为。实验结果表明，该方法在模型损失率、正确率、误报率等方面均具有优良性能。这种基于深度学习算法的匹配模式极大地满足实用化需求。为此，在今后的研究中将继续关注深度学习的算法，将人工智能技术融合到网络安全协议的设计中去。

参考文献：

[1]史婷婷，赵有健.网络入侵逃逸及其防御和检测技术综述[J].信息网络安全，2020(1):70-74.

[2]仝青，张铮，张为华，等.拟态防御Web服务器设计与实现[J].软件学报，2020,28(4):883-897.

作者简介：姓名：于和；出生年月：1986年8月12日；性别：男；籍贯：黑龙江省大庆；学历：本科；毕业院校：齐齐哈尔大学；职称：工程师。