本发明涉及网络通信,特别涉及一种ipv6防火墙和入侵检测系统防护有效性检测方法及系统。
背景技术:
::1、ipv6能够提供更广泛的互联网连接,促进物联网、工业互联网、人工智能、5g等新网络与新技术的应用与发展。ipv6防火墙和入侵检测系统(intrusion detection system,ids)作为最基本的网络安全防护设备,是抵御ipv6网络攻击与恶意行为的第一道和第二道防线,扮演“门卫”和“巡逻”角色。2、当前大多数防火墙已开始逐步支持ipv6防护,如windows下的windows defender防火墙、linux下的ip6tables防火墙、思科公司的firepower防火墙等。此外,snort、suricata等主流入侵检测系统也逐步支持对ipv6部分威胁的特征检测。目前已有部分研究工作致力于网络安全防护系统防护有效性检测。基于错误数据包的检测方法通过发送错误数据包让位于防火墙背后的路由器产生icmp(internet control message protocol,互联网控制报文协议)差错报文。如果接收到此类icmp差错报文,则说明该测试数据包穿过了相应的防火墙。基于端口扫描的检测方法利用发送传输控制协议(transmission controlprotocol,tcp)报文或者用户数据报协议(user datagram protocol,udp)报文,并借助回应报文来判断这些数据包能否通过相应的防火墙,据此分析防火墙防护能力。以上研究工作在防火墙防护有效性检测方面取得了一定进展,但都是通过目标防护系统是否发出回应来分析防火墙的防护性能。在面对需要使用icmp报文的测试中,作为判断依据的icmp报文极有可能被防火墙拦截,导致检测结果不可靠,并会对防护性能分析过程造成干扰。基于多类型数据包的ipv6防火墙防护能力评测方法在对思科asa5505防火墙进行测试,但其并没有对入侵检测系统进行防护有效性分析,且也未能够对ipv6隐蔽信道、ipv6邻居发现协议(neighbor discovery protocol,ndp)存在的安全威胁防护有效性进行检测。因此,亟需一种能够对防火墙和入侵检测系统对于ipv6网络安全威胁的真实防护能力进行检测与评估,以提升ipv6网络安全防线防护性能。技术实现思路1、为此,本发明提供一种ipv6防火墙和入侵检测系统防护有效性检测方法及系统,可对ipv6防火墙和入侵检测系统的防护有效性进行主动检测,以评估出ipv6防火墙和入侵检测系统的真实防护能力,便于ipv6针对性修补漏洞和指向性加固防护,以提升ipv6网络安全防线防护性能。2、按照本发明所提供的设计方案,提供一种ipv6防火墙和入侵检测系统防护有效性检测方法,包含:3、根据ipv6历史漏洞信息、rfc(request for comments,征求意见稿)标准协议及防火墙和入侵检测系统两者防护有效性的分析来确定客户端和服务器端之间的主机通信网络存在的若干可疑安全威胁漏洞类型;并针对每个可疑安全威胁漏洞类型,分别构造模糊测试用例;4、在客户端和服务器端之间的主机通信网络中通过执行各模糊测试用例来测试防火墙和入侵检测系统两者真实安全防护性能。5、作为本发明ipv6防火墙和入侵检测系统防护有效性检测方法,进一步地,根据ipv6历史漏洞信息、rfc标准协议及防火墙和入侵检测系统两者防护有效性的分析来确定客户端和服务器端之间的主机通信网络存在的可疑安全威胁漏洞类型,包含:根据ipv6历史漏洞信息和ipv6 rfc标准协议层面的分析和对防火墙与入侵检测系统两者ipv6管理配置和过滤规则防护有效性的分析来获取防火墙和入侵检测系统可能存在配置上的ipv6隐蔽信道安全漏洞与ipv6邻居发现协议安全漏洞。6、作为本发明ipv6防火墙和入侵检测系统防护有效性检测方法,进一步地,ipv6隐蔽信道安全漏洞包含但不限于:节点忽略模式、保留模式、定义不完整模式和误用模式。7、作为本发明ipv6防火墙和入侵检测系统防护有效性检测方法,进一步地,ipv6邻居发现协议安全漏洞包含但不限于:路由器公告报文默认路由欺骗威胁、路由器公告报文跳数限制欺骗威胁、路由公告报文最大传输单元参数欺骗威胁、邻居公告报文欺骗威胁和邻居请求报文欺骗威胁。8、作为本发明ipv6防火墙和入侵检测系统防护有效性检测方法,进一步地,针对每个可疑安全威胁漏洞类型分别构造模糊测试用例,包含:9、首先,分析安全威胁漏洞类型的威胁报文特征,其中,威胁报文特征至少包含:利用字段、构建方式及防火墙预期操作和/或入侵检测系统预期操作;10、然后,根据威胁报文特征生成用于构造模糊测试用例的随机数据参数;利用随机数据参数及预设的标记字符串来生成n个模糊测试用例执行过程中的威胁数据包,其中,n为大于1的整数。11、作为本发明ipv6防火墙和入侵检测系统防护有效性检测方法,进一步地,在客户端和服务器端之间的主机通信网络中通过执行各模糊测试用例来测试防火墙和入侵检测系统两者真实安全防护性能,包含:通过客户端向服务器端发送带有开始标记字符串的威胁数据包,根据服务器端对威胁数据包接收情况及入侵检测系统是否告警来测试评估防火墙和入侵检测系统两者真实安全防护性能。12、作为本发明ipv6防火墙和入侵检测系统防护有效性检测方法,进一步地,根据服务器端对威胁数据包接收情况及入侵检测系统是否告警来测试评估防火墙和入侵检测系统两者真实安全防护性能,包含:若服务器端接收到带有结束标记字符串的威胁数据包且入侵检测系统未告警,则判定防火墙和入侵检测系统能被模糊测试用例穿透,并生成网络安全事件,以告警提示网络管理人员重新配置ipv6网络安全防护策略。13、进一步地,本发明还提供一种ipv6防火墙和入侵检测系统防护有效性检测系统,包含:测试用例构造模块和测试用例执行模块,其中,14、测试用例构造模块,用于根据ipv6历史漏洞信息、rfc标准协议及防火墙和入侵检测系统两者防护有效性的分析来确定客户端和服务器端之间的主机通信网络存在的若干可疑安全威胁漏洞类型;并针对每个可疑安全威胁漏洞类型,分别构造模糊测试用例;15、测试用例执行模块,用于在客户端和服务器端之间的主机通信网络中通过执行各模糊测试用例来测试防火墙和入侵检测系统两者真实安全防护性能。16、本发明的有益效果:17、本发明通过对ipv6防火墙和入侵检测系统的防护有效性进行主动检测,能够从ipv6网络隐蔽信道、ipv6邻居发现协议两方面安全威胁对防护墙和入侵检测系统防护有效性进行检测,能够及时发现ipv6防火墙和入侵检测系统在处理各种类型的ipv6数据包时存在的安全问题;并进一步对windows defender 4.12.16299.1004、ubuntu ufw 0.36防火墙和suricata 3.2入侵检测系统进行检测实验,通过实验数据证明本案方案具有更高的检测准确度,具有较好的应用前景。当前第1页12当前第1页12