题目：IPv6环境下基于FSM的攻击行为描述与检测研究

论文研究以国家自然基金资助项目“网络伪装协同安全模型研究”（编号：60503008）为背景。
IPv6协议作为下一代互联网的核心，有效地解决地址短缺问题，并对原有IPv4作了大量的改进，包括增加了安全性、地址自动配置、移动性以及性能提高等。但IPv6环境下的网络攻击依然存在，不仅包括网络中原有的那些针对非IP层的攻击，还包括IPv6引入的新的攻击行为。因此研究IPv6环境下攻击行为与检测方法具有重要的实用价值。
在介绍IPv6的特征及当前入侵检测技术的基础上，分析了IPv6环境下存在的安全问题及现有入侵检测系统在检测IPv6环境下攻击行为存在的问题，提出了基于有限状态机描述IPv6环境下攻击行为的方法，并给出了基于该方法对攻击行为的检测算法。基本思想是分析攻击场景，将攻击行为过程化，用有限状态机描述攻击行为。由于并不只是针对某个特定的攻击行为进行检测，所以在检测前根据状态转移函数得到与攻击事件关联的状态，避免了直接使用有限状态机时将多个状态机合并的不足。当检测到攻击事件时，用与该事件相关联的状态与当前系统状态进行匹配来确定后续状态，并采用不完全匹配的方式确定是否发生攻击行为。检测时采用状态匹配可以忽略用户的不当操作及对系统未造成影响的异常，采用不完全匹配方式来匹配攻击行为可尽早的做出预警，能避免因完全匹配而漏报的攻击，采用为攻击模型中状态赋权值的方式可以检测到攻击顺序不定的攻击行为。
基于Snort2.8.3设计实现了IPv6环境下基于有限状态机描述攻击行为的原型检测系统，实验结果验证了该系统的有效性。