第 ２９卷第 ４期 ２０１２年 ４月　 计 算 机 应 用 研 究 ＡｐｐｌｉｃａｔｉｏｎＲｅｓｅａｒｃｈｏｆＣｏｍｐｕｔｅｒｓ Ｖｏｌ２９Ｎｏ４ Ａｐｒ２０１２ ＩＰｖ６报头安全威胁及检测  孙建平，王振兴，张连成，王　禹 （解放军信息工程大学 信息工程学院 计算机应用技术，郑州 ４５０００２） 摘　要：经过对 ＩＰｖ６数据包报头格式的研究，提出了基于限制性策略的 ＩＰｖ６报头安全性检测算法。该算法根 据 ＩＰｖ６协议规范和网络安全需求，按照各扩展报头的出现顺序、扩展报头和／或选项的组合构造及重复次数的 特性来检测有潜在安全威胁的恶意 ＩＰｖ６数据包。实验结果表明，该算法有效且能够在一定程度上增强安全防 护设备的检测能力。 关键词：ＩＰｖ６；报头格式；网络安全；安全性检测；检测策略 中图分类号：ＴＰ３９３０８　　　文献标志码：Ａ　　　文章编号：１００１３６９５（２０１２）０４１４０９０４ ｄｏｉ：１０．３９６９／ｊ．ｉｓｓｎ．１００１３６９５．２０１２．０４．０５８ ＩＰｖ６ｐａｃｋｅｔｈｅａｄｅｒｓｅｃｕｒｉｔｙｔｈｒｅａｔａｎｄｄｅｔｅｃｔｉｏｎ ＳＵＮＪｉａｎｐｉｎｇ，ＷＡＮＧＺｈｅｎｘｉｎｇ，ＺＨＡＮＧＬｉａｎｃｈｅｎｇ，ＷＡＮＧＹｕ （Ｄｅｐｔ．ｏｆＡｐｐｌｉｃａｔｉｏｎＴｅｃｈｎｏｌｏｇｙｏｆＣｏｍｐｕｔｅｒ，ＣｏｌｌｅｇｅｏｆＩｎｆｏｒｍａｔｉｏｎＥｎｇｉｎｅｅｒｉｎｇ，ＰＬＡＩｎｆｏｒｍａｔｉｏｎＥｎｇｉｎｅｅｒｉｎｇＵｎｉｖｅｒｓｉｔｙ，Ｚｈｅｎｇｚｈｏｕ ４５０００２，Ｃｈｉｎａ） Ａｂｓｔｒａｃｔ：ＴｈｒｏｕｇｈｔｈｅｓｔｕｄｙｏｎＩＰｖ６ｈｅａｄｅｒｓｔｒｕｃｔｕｒｅ，ｔｈｉｓｐａｐｅｒｄｅｓｉｇｎｅｄａｎｅｗａｌｇｏｒｉｔｈｍｆｏｒｄｅｔｅｃｔｉｎｇＩＰｖ６ｐａｃｋｅｔｈｅａｄｅｒ ｓｅｃｕｒｉｔｙｂａｓｅｄｏｎｒｅｓｔｒｉｃｔｉｖｅｐｏｌｉｃｉｅｓ．Ｂａｓｅｄｏｎｔｈｅｅｘｔｅｎｓｉｏｎｈｅａｄｅｒｏｒｄｅｒｉｎｇ，ｃｅｒｔａｉｎｐｒｏｈｉｂｉｔｅｄｃｏｍｂｉｎａｔｉｏｎｓａｎｄｄｕｐｌｉｃａｔｅｏｆ ｈｅａｄｅｒａｎｄ／ｏｒｏｐｔｉｏｎｓ，ｔｈｉｓａｌｇｏｒｉｔｈｍｃｏｕｌｄｄｅｔｅｃｔｔｈｅｐｏｔｅｎｔｉａｌｌｙｍａｌｉｃｉｏｕｓｐａｃｋｅｔｓ，ｄｅｐｅｎｄｉｎｇｏｎＩＰｖ６ｐｒｏｔｏｃｏｌｓｐｅｃｉｆｉｃａｔｉｏｎｓ ａｎｄｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙｎｅｅｄｓ．Ｔｈｅｅｘｐｅｒｉｍｅｎｔａｌｒｅｓｕｌｔｓｓｈｏｗｔｈａｔｔｈｅａｌｇｏｒｉｔｈｍｃａｎｄｅｔｅｃｔｔｈｅｔｈｒｅａｔｓｃｏｒｒｅｃｔｌｙａｎｄｅｆｆｉｃｉｅｎｔｌｙ， ａｎｄｃａｎｇｉｖｅｐｒｏｔｅｃｔｉｏｎｆａｃｉｌｉｔｉｅｓａｂｅｔｔｅｒａｂｉｌｉｔｙｔｏｄｅｔｅｃｔｕｎｗａｎｔｅｄｐａｃｋｅｔｓ． Ｋｅｙｗｏｒｄｓ：ＩＰｖ６；ｈｅａｄｅｒｓｔｒｕｃｔｕｒｅ；ｎｅｔｗｏｒｋｓｅｃｕｒｉｔｙ；ｓｅｃｕｒｉｔｙｄｅｔｅｃｔｉｏｎ；ｄｅｔｅｃｔｉｏｎｐｏｌｉｃｙ 　引言  随着 互 联 网 技 术 的 发 展，ＩＰｖ６协 议 将 全 面 取 代 传 统 的 ＩＰｖ４协议。ＩＰｖ６协议虽然在安全性方面有所增强，但同时也 引入许多新的安全威胁，其中 ＩＰｖ６复杂的报头格式所引入的 新安全风险［１，２］成为威胁 ＩＰｖ６网络安全的关键因素。 数据包报头安全性检测是安全防护设备（主要指防火墙 等具备过滤检测能力的网络设备）执行深度包检测、异常检 测、攻击检测和访问控制等的基础。报头的安全性应当包含两 个层次，即报头构造必须符合协议规范和在满足上述条件的情 况下报头构造不能存在任何安全威胁。ＩＰｖ６报头安全性检测 是安全防护设备必须解决的首要问题。与 ＩＰｖ４简单且相对固 定的报头格式不同，新型报头复杂又不受约束的特性［３～５］，导 致基于 ＩＰｖ４的安全策略在 ＩＰｖ６网络环境下已不再适用，不仅 难以判断 ＩＰｖ６报头的合法性与安全性，更无法进行进一步的 和选项的研究，提出了 ＩＰｖ６报头安全性检测算法（ＩＰｖ６ｐａｃｋｅｔ ｈｅａｄｅｒｓｅｃｕｒｉｔｙｄｅｔｅｃｔｉｏｎａｌｇｏｒｉｔｈｍ，ＰＨＳＤＡ６）。该算法针对 ＩＰｖ６ 报头进行安全性检测，可与现有安全防护系统结合使用，显著 提高现有安全防护系统的检测能力。 　    报头安全威胁分析 与传统的 ＩＰｖ４报头不同，ＩＰｖ６报头包括基本报头和扩展 报头两部分。基本报头格式精简且长度固定；而扩展报头则以 链表的形式紧接基本报头之后。ＩＰｖ６数据包在各扩展报头的 出现顺序、扩展报头与选项的组合构造及两者各自重复出现次 数方面并没有得到 ＲＦＣ规范的详细阐述，因此存在极大的安 全隐患，给网络安全带来严峻挑战。本章分别针对 ＩＰｖ６基本 报头和扩展报头展开研究。    　基本报头潜在的安全威胁 ＩＰｖ６基本报头中各字段在 ＲＦＣ２４６０中定义如图 １所示。 重点分析最有可能被攻击者利用的字段，明确基本报头可能存 在安全风险的情形，以便安全防护设备能够尽可能地检测出试 图规避检查的精心构造的 ＩＰｖ６数据包。 １）版本字段潜在安全威胁 安全检测。 近年来，在 ＩＰｖ６网络安全威胁防御领域中，关于 ＩＰｖ６安全 性问题的研究重点都在 ＩＰｖ６协 议 和 ＩＰＳｅｃ等 安 全 机 制 上 展 开［２，６］，而针对报头格式的安全检测还没有得到普遍的关注， 亟待开展相关研究。 本文结合 ＩＰｖ６协议规范，开展对基本报头字段、扩展报头 攻击者可利用与链路层的链路类型字段不相匹配的版本 　　收稿日期：２０１１０８２８；修回日期：２０１１０９２８　　基金项目：国家重点基础研究发展计划资助项目（２００７ＣＢ３０７１０２）；国家高技术研究发展 计划资助项目（２００７ＡＡ０１Ｚ２Ａ１） 作者简介：孙建平（１９８５），男，云南祥云人，硕士研究生，主要研究方向为 ＩＰｖ６安全（ｊｉａｎｐｉｎｇ００ｓｕｎ＠ｇｍａｉｌ．ｃｏｍ）；王振兴（１９５９），男，教授，博 导，主要研究方向为 ＩＰｖ６、网络安全；张连成（１９８２），男，讲师，博士，主要研究方向为流量分析、网络安全；王禹（１９８４），男，博士研究生，主要研究 方向为网络安全． 

·０１４１· 计 算 机 应 用 研 究 　 第 ２９卷 字段值填充来迷惑安全防护设备或占用其处理资源。 ２）下一报头字段潜在安全威胁 该字段同时可标志扩展报头和上层协议。在 ＩＰｖ６数据包 处理过程中，扩展报头与上层协议的解析是同时进行处理的。 攻击者可能对该字段设置畸形值以实施 ＤｏＳ（拒绝服务）攻击： 安全防护设备因无法正确解析该字段而消耗大量系统资源，甚 至导致设备处理故障；安全防护设备也可能将数据包向上层投 递，直到某一高层能够解析为止，但却导致安全威胁向上层 传播。 特别要注意的是，扩展报头中该字段也存在上述同样的安 全威胁。 ３）跳限制字段潜在安全威胁 封装节点（如虚拟专用网络入口端、隧道端点等）要将被 封装的内部 ＩＰ数据包的跳限制字段值减 １［７，８］，但攻击者可利 用经过封装但内部 ＩＰ的跳限制字段值仍为 ２５５的非法数据包 来实施可能的基于 ＩＣＭＰｖ６的邻居节点发现攻击。 ４）源和目的 ＩＰ地址字段潜在安全威胁 攻击者可利用窜改或伪造源 ＩＰ地址的方式隐藏自身身份 来对目标实施欺骗攻击，尤其当网关没有应用访问控制机制 时，移动恶意主机可随时接入本地链路实现对相邻主机或网关  的攻击及非法访问。 １）超大有效载荷选项潜在安全威胁 使用超大有效载荷通信的主机会抢占网络上其他用户的 带宽资源，严重时会导致网络性能降级或数据传输失败。 ２）路由器警告选项潜在安全威胁 攻击者有可能发送大量包含路由器警告选项［１０］的 ＩＰｖ６ 数据包对安全防护设备造成 ＤｏＳ攻击。 ３）Ｐａｄ１和 ＰａｄＮ选项潜在安全威胁 （１）不止一个 Ｐａｄ选项接连出现是不该发生的； （２）选项长度字段值超过 ５的 ＰａｄＮ是绝对不需要的［９］。 恶意攻击者使用上述巧妙的填充来迷惑安全防护设备不 做任何处理或占用其处理资源实施 ＤｏＳ攻击。攻击者还可用 携带非零值 ＰａｄＮ的数据包实施隐蔽信道攻击。 ４）本地地址选项潜在安全威胁 攻击者可利用该选项隐藏真正的数据包的发送端，愚弄安 全防护设备并实施欺骗攻击。 从安全角度考虑，隧道封装限制选项［７，８，１１］虽无安全威胁， 但是安全防护设备还必须对被封装的 ＩＰ层进行检查，谨防恶 意攻击者利用其发动可能的攻击。     　路由报头安全威胁分析 该扩展报头包含类型 ０路由报头和类型 ２路由报头。 １）类型 ０路由报头潜在安全威胁  　扩展报头潜在的安全威胁   任何类型的扩展报头能够以不同的顺序或是未定的次数 在 ＩＰｖ６数据包中出现［５，９］，这种不受约束的特性存在极大的安 全隐患。下面对极有可能被攻击者用来实施攻击的扩展报头 进行安全威胁分析。      　逐跳选项报头和目标选项报头安全威胁分析 ＩＰｖ６提供一个字节来标志所有选项而不用指派给特定报 头，且 ＩＰｖ６选项只出现在逐跳选项报头或目标选项报头中，选 项潜在的安全威胁体现了扩展报头的安全风险所在。 该选项允许攻击者伪装合法用户并简单地接收返回的数 据包，而不用控制路由系统；该选项隐藏真正的数据包目的地。 如果安全防护设备忽略该路由报头并应用过滤策略来检测数 据包的目的地，就有可能被愚弄从而允许本该被阻塞的数据包 通过。 据悉，研究人员发现 ＯｐｅｎＢＳＤ和 ＣｉｓｃｏＩＯＳ系统在处理某 些 ＩＰｖ６类型 ０路由报头时均存在拒绝服务漏洞，运行上述系 统的设备在处理这类 ＩＰｖ６报文时可能导致设备崩溃。为解决 该类路由报头存在的安全漏洞问题，已有业内专家向互联网工 程任务小组（ＩＥＴＦ）提交了草案，即删除该功能或默认禁用该 功能［１２］。但目前大部分的网络设备还没有实现这样的机制， 因此仍然有必要对该报头进行安全检测。 ２）类型 ２路由报头潜在安全威胁 该类报头虽不涉及类型 ０路由报头的相关安全威胁，但是 值得注意的是，所有具备路由功能的网络设备都必须支持 也有必要对其携带的本地地址进行安全检测，以防恶意移动主 逐跳选项报头处理，基于此机制攻击者将攻击信息设置到选项 中，则 ＩＰｖ６数据包转发路径上的所有路由设备都会受到此攻 击的影响，这是一种具有放大效应的攻击方式，危害极大。选 项类型及可能存在的安全威胁如图 ２所示。 机发起可能的欺骗攻击。     　片段报头安全威胁分析 ＩＰ层的数据包片段给安全防护设备执行检测带来的挑战  具体表现在以下四个方面： ａ）信息提取。ＩＰｖ６协议允许数据发送方将关键的报头信 息切分在多个片段中，提取关键信息并检测处理这样的数据包 会大量耗费安全防护设备的资源，攻击者可构造大量这样的数 据包对目标主机进行 ＤｏＳ攻击。 ｂ）片段重叠。攻击者精心构造于安全防护设备无害，却 在终端重组时由于重叠覆盖而生成带有安全威胁的 ＩＰｖ６数据 包，若这类数据包穿越安全防护设备，会对内网造成安全威胁。 ｃ）片段集不完全。若安全防护设备在超时时间到来时只 接收到部分的 ＩＰｖ６片段数据包而无法完成重组执行检测任 务，最终只能将数据包丢弃。攻击者向安全防护设备发送大量 的这类数据包实施存储资源消耗攻击。 ｄ）片段嵌套。ＩＰｖ６片段嵌套数据包因其复杂性和迷惑性 

第 ４期 孙建平，等：ＩＰｖ６报头安全威胁及检测 给安全防护设备带来严重安全威胁，可能由于无法处理非预期 的状况而导致安全防护设备崩溃。 逐跳选项报头、目标选项报头、路由报头和片段报头是攻 击者最有可能利用的敏感报头，安全防护设备必须对其进行严 格地检测；同时考虑到未来可能出现的新型攻击方式，防御方 也有必要对其他报头进行检测，以确保其构造与使用符合网络 的安全需求。 　    报头安全性检测算法 本文基于限制性策略的核心思想提出了 ＰＨＳＤＡ６算法，即 没有被明确禁止的数据包都被允许通过安全检测。该算法可 先于安全防护设备应用，也可为安全防护设备的过滤检测规则 提供建议与参考。    　算法设计思路 ＩＰｖ６报头潜在的安全威胁给网络带来的安全风险影响深 远，为应对上述的安全问题，安全防护设备必须制定完备的安 全对策来为网络提供全面的安全防护。 通过对 ＩＰｖ６报头安全威胁的分析，在依据 ＲＦＣ规范的基 础上补充了针对 ＩＰｖ６报头不受约束特性的限制要求。算法力 图实现在 ＩＰｖ６数据包检测初期就将不符合安全策略的数据包 丢弃，可有效抵御安全防护设备因数据包检测而遭受的资源消    耗或致瘫攻击，同时也增强了网络的安全性。  　严格定义报头合法参数集 依据协议规范及网络安全需求，严格定义 ＩＰｖ６报头中合  法参数集的范围，以便安全防护设备更好地执行检测任务，阻 塞合法参数范围之外的数据包，以确保网络安全。 １）定义下一报头字段值的合法范围。如表 １所示，ＩＡＮＡ （因特网编号授权委员会）定义下一报头字段且为扩展报头或 上层协议指派对应的数值。 表 １　下一报头字段数值及对应的描述 扩展报头／上层协议 下一报头 下一报头 ０ １７ ４４ ５１ ５９ ８８ １０３ １３５ 逐跳选项报头 ＵＤＰ协议 片段报头 身份验证报头 没有下一报头 ＥＩＧＲＰｖ６协议 ＰＩＭＳＭ协议 移动 ＩＰｖ６报头 ６ ４３ ５０ ５８ ６０ ８９ １１５ 扩展报头／上层协议 ＴＣＰ协议 路由报头 封装安全有效载荷 ＩＣＭＰｖ６协议 目标选项报头 ＯＳＰＦｖ３协议 Ｌ２ＴＰｖ３协议 ·１１４１· 　　　 ｉｆ（携带本地地址的目标选项报头或路由报头被安全策略允许）｛ 依次取出报头中的中间 ＩＰ地址列表； 执行地址交换检测，形成多个“源端—中间节点”或“中间节点— 中间节点”的 ＩＰｖ６地址对； ｆｏｒ（执行地址交换后的每对地址）｛ ｉｆ（每对地址均符合网络安全策略）｛ 执行后续检测； ｝ ｅｌｓｅ丢弃 ＩＰｖ６数据包； ｝ ｝ ｅｌｓｅ丢弃 ＩＰｖ６数据包； 针对片段数据包的安全威胁的对策是执行片段重组。若 安全防护设备能够实现深度包检测，就能够避免基于该类报头 的攻击，但会带来主机通信延迟和性能损失，甚至导致安全防 护设备过载。此时网络管理员就要对安全和性能作出权衡，得 出较优的解决方案。    　算法执行策略 针对攻击者目前最有可能利用基于 ＩＰｖ６报头的安全威胁 实施攻击渗透，ＰＨＳＤＡ６算法分别从以下三个方面列出了符合  协议规范要求和网络安全需求的报头构造情形。  　各扩展报头出现顺序 如果在 ＩＰｖ６数据包中出现以下条目中涉及的扩展报头，    却与条目要求不相符合的数据包极有可能存在安全风险，这类 数据包就应该被阻塞。 １）逐跳选项报头必须紧跟在基本报头之后，并且至多出 现一次。 ２）目标选项报头要么出现在路由报头与上层协议报头之 前［９］，要么出现在路由报头和片段报头之间［１３］。 ３）要是类型０路由报头和类型２路由报头同时存在的话， 前者应该先于后者出现。 ４）如果路由报头和片段报头中两者之一存在的话，包含 本地地址选项的目标选项报头应该出现在路由报头之后，或片 段报头之前。 ５）所有的路由报头都应该出现在片段报头的前面，否则 当路由报头将数据包发送到不同目的地时，可能发生重组的片 段数据被再次分片。 ６）若数据包报头链中含有移动报头，则移动报头将是出 现的最后一个扩展报头。     　扩展报头和 算法对扩展报头和／或选项可能出现的非法组合构造给出 或选项组合构造   了具体的例子，谨防攻击者使用巧妙的组合规避安全检测，实 　　２）根据网络实际运作需要和功能实现，严格限定数据包 可被封装嵌套的层数及扩展报头和选项可出现的次数，如在非 隧道数据包中各扩展报头的出现不应该超过两次。   　执行严格的检测策略    安全防护设备配置检测策略时，必须将诸如“必须接收并 尽力处理”［９］及有二义性表述的 ＩＰｖ６规范全部忽略，即使检测 施可能的攻击。 １）ＩＰｖ６选项只应出现在逐跳选项或目标选项报头中。隧 策略未采纳协议规范的建议或降级网络正常运作的功能，也要 道封装限制和本地地址在逐跳选项报头中出现是非法的；超大 确保网络的安全需求。 对于携带本地地址选项的目标选项报头和路由报头而言， 本地地址选项携带的地址才是数据通信的真实源地址；而类型 ０路由报头携带地址列表中的最后一个地址才是真正的目的 地址。 ＰＨＳＤＡ６算法执行地址交换功能实现安全检测处理的伪 代码描述如下： 有效载荷和路由器警告选项在目标选项报头中出现是非法的， 安全防护设备应该过滤这类非法的 ＩＰｖ６数据包。 ２）同时包含片段报头和超大有效载荷选项的 ＩＰｖ６数据包 必须被丢弃。 ３）移动 ＩＰｖ６数据包中，绑定更新须与携带本地地址选项 的目标选项报头一起使用，绑定确认须与类型 ２路由报头一起 使用［５］；且这两类数据包必须使用 ＥＳＰ进行保护［１３］。 

·２１４１·   　重复次数要求 重复次数指同类选项或扩展报头在同一 ＩＰｖ６数据包中出    现的次数。网络管理员应当设置恰当的阈值以满足网络安全 需求。 １）选项的重复使用应满足：禁止某些特定的选项多次出 现，如本地地址选项和路由器警告选项，以及那些并没有充分 理由可重复使用的选项，如超大有效载荷选项。 ２）扩展报头重复的情况如下：若在 ＩＰｖ６报头链中多次出 现片段报头，安全防护设备应该将这样的数据包丢弃。同样 地，要是多次出现逐跳选项报头和同类型的路由报头、移动报 头及 ＡＨ和 ＥＳＰ报头，安全防护设备也应该将这类非法数据包 丢弃。  　算法流程 ＰＨＳＤＡ６算法流程如图 ３所示。检测 ＩＰｖ６基本报头字段    是否符合安全策略，其检测重点是提取并检测“下一报头”字 段的值，以确定第一个扩展报头是否是逐跳选项报头。若是就 执行该报头后续的相关检测；否则就依序应用算法直到找到一 个报头检测匹配项，并执行步骤中的动作域策略。 计 算 机 应 用 研 究 　 第 ２９卷 　实验及分析  本文主要用检测率和误报率两个指标从不同方面对 ＩＰｖ６ 报头安全性检测算法的有效性进行实验验证。为此，针对字 段、选项以及扩展报头构造了共 ２００个报头格式不符合安全策 略要求的部分恶意数据包，包括字段值非法、选项重复、报头重 复、顺序错误及组合构造非法等。随后分别将其混杂于在真实 网络环境中截获的数量不等的正常通信产生的 ＩＰｖ６数据流中 进行实验。  ＰＨＳＤＡ６算法中对于重复出现次数的阈值应该依据各个 网络的实际需求来设定，本文设定选项出现次数的阈值为 ５， 而扩展报头出现次数的阈值为 ２。  　实验环境及过程 实验拓扑结构如图 ４所示。参与实验的主机均安装 Ｗｉｎ ｄｏｗｓＸＰＳＰ３操作系统（无防火墙），其中作为攻击主机的硬件 配置均为 Ｐ４３．００ＧＨｚ处理器，内存为 １ＧＢ；目标主机 Ｔ１和 Ｔ２的硬件配置均为 Ｘｅｏｎ２．８ＧＨｚ处理器，内存为 １ＧＢ；执行 安全过滤检测的是基于 ＮｅｔＦｉｌｔｅｒ的 ＬｉｎｕｘＩＰｖ６防火墙；而 Ｂ点 用于部署 ＰＨＳＤＡ６算法。 实验过程：在每次实验中，三台攻击主机随机将总共 ２００ 个恶意 ＩＰｖ６数据包混杂于数量不等的背景流量发送至目标主 机 Ｔ１或 Ｔ２；ＩＰｖ６数据包在经过路由器转发前或转发后，须接 受 ＰＨＳＤＡ６算法或 ＬｉｎｕｘＩＰｖ６防火墙的安全检测，符合安全策 略后才可到达目标主机；最后在目标主机上记录接收到未被过 滤的恶意 ＩＰｖ６数据包的数量。 分别在以下三个不同的场景中实现上述实验：①在 Ｂ点 应用 ＰＨＳＤＡ６算法而不启用 ＬｉｎｕｘＩＰｖ６防火墙；②不应用 ＰＨＳ ＤＡ６算法而启用 ＬｉｎｕｘＩＰｖ６防火墙；③应用 ＰＨＳＤＡ６算法的同 时启用 ＬｉｎｕｘＩＰｖ６防火墙。  　实验结果及原因分析 由于 ＰＨＳＤＡ６算法采用限制性策略执行检测，因此算法的 误报率为 ０。图 ５（图中的曲线标号与实验场景一一对应）表 明只应用 ＰＨＳＤＡ６算法的情况下，有较高的检测率且具备良好   的检测性能，同时算法的检测率并不随着检测数据集的增大而 明显下降，从而证明算法的有效性；相对而言，当 ＬｉｎｕｘＩＰｖ６防 火墙单独应用时没有较高的检测率；曲线③则说明了 ＰＨＳＤＡ６ 算法与 ＬｉｎｕｘＩＰｖ６防火墙的联动能够达到较高的检测性能。 图 ３　ＰＨＳＤＡ６算法流程 检测处理按照下一报头链顺序执行，一旦到达下一步就不 能回退，算法中的顺序检测是强制执行的，特别是对扩展报头 重复出现不符合检测策略时，则必须丢弃所有匹配该步骤的 ＩＰｖ６数据包。 如果算法检测到数据包报头能够到达的末端，但还未发现 有与上层协议相关的值，那么说明该数据包是恶意的，应该被 丢弃。 原因分析：首先是由于自己构造的恶意数据包并没有包括 所有可能的情况，算法才会有较高的检测率。曲线②中出现的 现象是因为 ＬｉｎｕｘＩＰｖ６防火墙并不能够检测出扩展报头与选 项之间的组合构造与重复出现的非法情况，以及无法对如路由 报头等能够隐藏真正通信端点的攻击进行检测，从而漏报部分 的恶意数据包。 ＰＨＳＤＡ６算法对基于 ＩＰｖ６报头格式的恶意数据包具有较 高的检测率也说明了算法能够在一定程度上 （下转第 １４１６页） 

·６１４１· 计 算 机 应 用 研 究 　 第 ２９卷 ＣＰＵ利用率为依据，动态调整较大流的 ＨＣＬＦ算法。该算法能 动态调整数据流量的分配，使各处理核达到较好的负载均衡， 从而避免单核过载出现大量丢包。本文首先分析了骨干链路 的真实流量特性；然后阐述了 ＨＣＬＦ算法的思想和实现，通过 实验，与静态哈希算法作比较，说明了 ＨＣＬＦ算法的优越性，与 新流调整算法作比较，说明了 ＨＣＬＦ算法虽然带来了一定数量 的流的破坏。但是由于其动态调整力度不受算法本身的限制， 所以负载均衡度与丢包率仍优于新流调整算法。 参考文献： ［１］ 程光，龚俭，丁伟，等．面向 ＩＰ流测量的哈希算法研究［Ｊ］．软件 ［２］ 刘许刚，马宏．ＩＰ流检测中基于信息熵的哈希算法改进［Ｊ］．计算 学报，２００５，１６（５）：６２５６５８． 机工程，２０１１，３７（１６）：９４９７． ［３］ 余颖，杨频，梁刚．并行入侵检测系统的预测负载均衡方法［Ｊ］．计 算机工程与设计，２０１１，３２（８）：２５６５２５６８． ［４］ ＳＨＩＷｅｉｇｕａｎｇ，ＭＡＣＧＲＥＧＯＲＭＨ，ＧＢＵＲＺＹＮＳＫＩＰ．Ａｎｏｖｅｌｌｏａｄ ｂａｌａｎｃｅｒｆｏｒｍｕｌｔｉｐｒｏｃｅｓｓｏｒｒｏｕｔｅｒｓ［ＥＢ／ＯＬ］．［２０１１０８２９］．ｈｔｔｐ：／／ ｗｗｗ．ｃｓ．ｕａｌｂｅｒｔａ．ｃａ／ｍａｃｇ／Ｐｕｂ／２００５／ＳＰＥＣＴＳＬＯＡＤ／ＦｌｏｗＢａｌ＿Ｉ． ｐｄｆ． ［５］ 于洪伟．基于多核处理器高效入侵检测技术研究与实现 ［Ｄ］．成 都：电子科技大学，２００９． ［６］ 陆华彪，赵国鸿，陈一骄，等．基于较大流调整的安全分流算法 ［Ｊ］．计算机工程，２００９，３５（１３）：１１７１１９． ［７］ ＷＡＬＫＥＲＸＫ．入侵检测：Ｓｎｏｒｔ２．９．０．１发布［ＥＢ／ＯＬ］．（２０１０１１ ０３）［２０１１０９２０］．ｈｔｔｐ：／／ｗｗｗ．ｌｕｐａｗｏｒｌｄ．ｃｏｍ／ａｒｔｉｃｌｅ２０７５５６１． ｈｔｍｌ． ［８］ 韩如冰．千兆网环境下数据包捕获技术研究［Ｄ］．武汉：华中科技 大学，２００９． ［９］ 陈一骄，卢锡城，时向泉，等．一种面向会话的自适应负载均衡算 法［Ｊ］．软件学报，２００８，１９（７）：１８２８１８３６． ｓｅｃｕｒｅｄｅｐｌｏｙｍｅｎｔｏｆＩＰｖ６，ＳＰ８００１１９［Ｒ］．［Ｓ．ｌ．］：ＮＩＳＴ，２０１０． ［４］ ＭＯＮＴＧＯＭＥＲＹＤ，ＮＩＧＨＴＩＮＧＡＬＥＳ，ＦＲＡＮＫＥＬＳ，ｅｔａｌ．Ａｐｒｏｆｉｌｅ ｆｏｒＩＰｖ６ｉｎｔｈｅＵ．Ｓ．ｇｏｖｅｒｎｍｅｎｔ，ＳＰ５００２６７［Ｒ］．［Ｓ．ｌ．］：ＮＩＳＴ， ２００８． ［５］ ＣＡＳＩＭＩＲＡ，ＰＯＴＹＲＡＪ．ＦｉｒｅｗａｌｌｄｅｓｉｇｎｃｏｎｓｉｄｅｒａｔｉｏｎｓｆｏｒＩＰｖ６，Ｒｅ ｐｏｒｔＪＨＪＩ７３３０４１Ｒ２００７［Ｒ］．［Ｓ．ｌ．］：ＮＳＡ，２００７． ［６］ 张玉军，田野．ＩＰｖ６协议安全问题研究［Ｊ］．中国科学院研究生院 学报，２００５，２２（１）：３０３７． ［７］ ＲＦＣ２４７３，ＧｅｎｅｒｉｃｐａｃｋｅｔｔｕｎｎｅｌｉｎｇｉｎＩＰｖ６ｓｐｅｃｉｆｉｃａｔｉｏｎ［Ｓ］．［Ｓ． ｌ．］：ＮｅｔｗｏｒｋＷｏｒｋｉｎｇＧｒｏｕｐ，１９９８． ［８］ ＲＦＣ２００３，ＩＰｅｎｃａｐｓｕｌａｔｉｏｎｗｉｔｈｉｎＩＰ［Ｓ］．［Ｓ．ｌ．］：ＮｅｔｗｏｒｋＷｏｒｋｉｎｇ ［１１］ＲＦＣ４２１３，ＢａｓｉｃｔｒａｎｓｉｔｉｏｎｍｅｃｈａｎｉｓｍｓｆｏｒＩＰｖ６ｈｏｓｔｓａｎｄｒｏｕｔｅｒｓ ［Ｓ］．［Ｓ．ｌ．］：ＮｅｔｗｏｒｋＷｏｒｋｉｎｇＧｒｏｕｐ，２００５． ［１２］ＩＰｖ６ＥＤＵ．ＩＰｖ６协议漏洞：可能遭受 ＤＤｏＳ攻击［ＥＢ／ＯＬ］．（２０１１ ０６２３）［２０１１０７２０］．ｈｔｔｐ：／／ｉｐｖ６ｅｄｕ．ｃｏｍ／Ｈｔｍｌ／４８１１．ｈｔｍｌ． ［１３］ＲＦＣ３７７５，ＭｏｂｉｌｉｔｙｓｕｐｐｏｒｔｉｎＩＰｖ６［Ｓ］．［Ｓ．ｌ．］：ＮｅｔｗｏｒｋＷｏｒｋｉｎｇ ［９］ ＲＦＣ２４６０，Ｉｎｔｅｒｎｅｔｐｒｏｔｏｃｏｌｖｅｒｓｉｏｎ６（ＩＰｖ６）［Ｓ］．［Ｓ．ｌ．］：Ｎｅｔｗｏｒｋ ［１０］ＲＦＣ２７１１，ＩＰｖ６ｒｏｕｔｅｒａｌｅｒｔｏｐｔｉｏｎ［Ｓ］．［Ｓ．ｌ．］：ＮｅｔｗｏｒｋＷｏｒｋｉｎｇ Ｇｒｏｕｐ，１９９６． ＷｏｒｋｉｎｇＧｒｏｕｐ，１９９８． Ｇｒｏｕｐ，１９９９． 图 ７中新流调整算法比 ＨＣＬＦ算法在周期内调整的流数 目要多一些，但也仅有一两倍的差距。需要注意的是： ａ）新流调整的对象是任意流，而 ＨＣＬＦ算法调整的流是较 大流，较大流数目虽少，但流量比重占很大。如果将新流调整 算法调整的流数目中的较大流数目提取出来，按照 ２．１节中的 统计规律，其数目只有现在数目的约 １３％；再将非较大流数目 按照 字 节 比 重 换 算 为 较 大 流 数，数 目 也 只 有 现 在 数 目 的 约 ４％，两者相加，约为现在数目的 １７％，与 ＨＣＬＦ算法调整的较 大流数 目 作 比 较，新 流 调 整 算 法 对 应 的 数 值 会 低 于 ＨＣＬＦ 算法。 ｂ）新流调整的对象是新到来的流，而周期内新到的流的 数目是有限的，在负载不均衡的情况下，如果没有新流的到达， 则不能进行动态调整。这说明新流调整算法的动态调整力度 受到了算法本身的限制，而 ＨＣＬＦ算法不受这个限制，能够充 分发 挥 每 个 检 测 引 擎 的 处 理 能 力，最 大 化 整 个 系 统 的 处 理 性能。 综合以上两点，在相同硬件环境、相同发包速率下，ＨＣＬＦ 算法动态调整能力要强于新流调整算法，实验结果也证明了这 一点。 　结束语  本文提出了针对多核平台的高速入侵检测系统，以处理核 （上接第 １４１２页）抵御 ＤｏＳ攻击、放大效应攻击及欺骗攻击。最 终实验结果表明，该算法对 ＩＰｖ６报头的安全性检测是一种有 效的方法，它可以与安全防护设备联动，也可应用在中间设备 和网关上。 　结束语  为抵御互联网遭受基于 ＩＰｖ６报头格式的攻击，本文通过 分析其存在的安全威胁，提出 ＩＰｖ６报头安全性检测算法。实 验结果表明，该算法具备良好的检测性能，在为安全防护设备 的过滤策略提供参考与建议的同时能增强安全防护设备对数 据包全面检测的能力。 后续的研究工作应考虑：ａ）提高算法的检测效率；ｂ）深入 研究对片段报头与隧道封装机制结合的检测；ｃ）展开检测算 法与 ＩＰＳｅｃ检测模块联动研究。 参考文献： ［１］ ＣＡＩＣＥＤＯＣＥ，ＪＯＳＨＩＪＢＤ，ＴＵＬＡＤＨＡＲＳＲ．ＩＰｖ６ｓｅｃｕｒｉｔｙｃｈａｌ ｌｅｎｇｅｓ［Ｊ］．ＩＥＥＥＣｏｍｐｕｔｅｒＳｏｃｉｅｔｙ，２００９，４２（２）：３６４２． ［２］ 陆音，石进，黄皓，等．综述：关于 ＩＰｖ６安全性问题的研究［Ｊ］．计 算机科学，２００６，３３（５）：５１１． ［３］ ＦＲＡＮＫＥＬＳ，ＧＲＡＶＥＭＡＮＲ，ＰＥＡＲＣＥＪ，ｅｔａｌ．Ｇｕｉｄｅｌｉｎｅｓｆｏｒｔｈｅ Ｇｒｏｕｐ，２００４．