大学生毕业论文：入侵检测技术在移动通信中的应用研究

大学生毕业论文：入侵检测技术在移动通信中的应用研究内容摘要：

制本身并不安全。 3G系统想保留该功能，但是如何完善、利用好该功能是进一步要研究的问题。 全网范围内加密和合法侦听是 3G系统提出的新功能，然而这两个功能之间存在一定的矛盾。 如果提供全网范围内加密，那么势必使合法侦听变得困难。 现有的 2G系统只提供无线链路上的加密，在有线 网段数据是以明文方式传输的，所以侦听很容易实现。 3G系统为得到更高的安全性能，希望数据在全网范围内都要加密传送。 因此在有线网段必须提 供合法侦听的接口，在需要的情况下进行侦听。 但侦听接口如何提供仍是一个未明确的问题。 如果用户选择全网加密功能，将会涉及到一系列问题。 如：全网加密的同步机制的设计；数据通道如何适应全网加密功能；如何为内网用户通道在网关终止全网加密功能和全网密钥管理功能；如何处理多方会话；如何进行全网加密控制 —— 算法选择、模式选择和用户控制；以及在建立连接时用户访问区寄存器 VLR间交换访问链路密 钥的确切机制。 第二章 入侵检测技术 第一节 入侵检测技术分析 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。 违反安全策略的行为有：入侵 —— 非法用户的违规行为；滥用 —— 用户的违规行为。 利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到限制这些活动，以保护系统的安全。 入侵检测系统的应用，能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。 在入侵攻击 过程中，能减少入侵攻击所造成的损失。 在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。 管理学院 信管 2K11 班学生 杨晓伟 毕业论文 第 8 页 共 16页 济南大学毕业设计（论文）用纸 入侵检测技术分析 入侵检测系统所采用的技术可分为特征检测与异常检测两种。 特征检测 特征检测 (Signaturebased detection)又称 Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。 它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。 其难点在 于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。 异常检测 异常检测 (Anomaly detection)的假设是入侵者活动异常于正常主体的活动。 根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。 异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。 入侵检测系统常用的检测方法有特征检测、统计检测与专家系 统。 据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中 95％是属于使用入侵模板进行模式匹配的特征检测产品，其他 5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。 特征检测 特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。 当被审计的事件与已知的入侵事件模式相匹配时，即报警。 原理上与专家系统相仿。 其检测方法上与计算机病毒的检测方式类似。 目前基于对包特征描述的模式匹配应用较为广泛。 该方法预报检测的准确率较高，但对于无经验知识的入侵与 攻击行为无能为力。 统计检测 统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。 常用的入侵检测 5种统计模型为： ● 操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击； ● 方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常； ● 多元模型，操作模型的扩展，通过同时分析多个参数实现 检测； ● 马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件； ● 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。 但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。 专家系统 用专家系统 对入侵进行检测，经常是针对有特征入侵行为。 所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。 专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。 入侵的特征抽取与管理学院 信管 2K11 班学生 杨晓伟 毕业论文 第 9 页 共 16页 济南大学毕业设计（论文）用纸 表达，是入侵检测专家系统的关键。 在系统实现中，将有关入侵的知识转化为 ifthen 结构（也可以是复合结构），条件部分为入侵特征， then 部分是系统防范措施。 运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。 第二节 入侵检测分类及产品选择 入侵检测技术主要分为基于网络的 产品和基于主机的产品。 混合的入侵检测系统可以弥补一些基于网络与基于主机的片面性缺陷。 此外，文件的完整性检查工具也可看作是一类入侵检测产品。 1. 基于网络的入侵检测 基于网络的入侵检测产品（ NIDS）放置在比较重要的网段内，不停地监视网段中的各种数据包。 对每一个数据包或可疑的数据包进行特征分析。 如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报甚至直接切断网络连接。 目前，大部分入侵检测产品是基于网络的。 值得一提的是，在网络入侵检测系统中，有多个久负盛名的开放源码软件，它们是 Snort、 NFR、 Shadow 等，其中 Snort 的社区 (跃，其入侵特征更新速度与研发的进展已超过了大部分商品化产品。 网络入侵检测系统的优点： 网络入侵检测系统能够检测那些来自网络的攻击，它能够检测到超过授权的非法访问。 一个网络入侵检测系统不需要改变服务器等主机的配置。 由于它不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的 CPU、 I/O 与磁盘等资源的使用，不会影响业务系统的性能。 由于网络入侵检测系统不像路由器、防火墙等关键设备 方式工作，它不会成为系统中的关键路径。 网络入侵检测系统发生故障不会影响正常业务的运行。 布署一个网络入侵检测系统的风险比主机入侵检测系统的风险少得多。 网络入侵检测系统近年内有向专门的设备发展的趋势，安装这样的一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。 网络入侵检测系统的弱点： 网络入侵检测系统只检查它直接连接网段的通信，不能检测在不同网段的网络包。 在使用交换以太网的环境中就会出现监测范围的局限。 而安装多台网络入侵检测系统的传感器会使布署整个 系统的成本大大增加。 网络入侵检测系统为了性能目标通常采用特征检测的方法，它可以检测出普通的一些攻击，而很难实现一些复杂的需要大量计算与分析时间的攻击检测。 网络入侵检测系统可能会将大量的数据传回分析系统中。 在一些系统中监听特定的数据包会产生大量的分析数据流量。 一些系统在实现时采用一定方法来减少回传的数据量，对入侵判断的决策由传感器实现，而中央控制台成为状态显示与通信中心，不再作为入侵行为分析器。 这样的系统中的传感器协同工作能力较弱。 网络入侵检测系统处理加密的会话过程较困难，目前通过加密 通道的攻击尚不多，但随着 IPv6 的普及，这个问题会越来越突出。 2． 基于主机的入侵检测 基于主机的入侵检测产品（ HIDS）通常是安装在被重点检测的主机之上，主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。 如果其中主体活动十分可疑(特征或违反统计规律 )，入侵检测系统就会采取相应措施。 主机入侵检测系统的优点： 管理学院 信管 2K11 班学生 杨晓伟 毕业论文 第 10 页 共 16页 济南大学毕业设计（论文）用纸 主机入侵检测系统对分析“可能的攻击行为”非常有用。 举例来说，有时候它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事：他们运行了什么程序 、打开了哪些文件、执行了哪些系统调用。 主机入侵检测系统与网络入侵检测系统相比通常能够提供更详尽的相关信息。 主机入侵检测系统通常情况下比网络入侵检测系统误报率要低，因为检测在主机上运行的命令序列比检测网络流更简单，系统的复杂性也少得多。 主机入侵检测系统可布署在那些不需要广泛的入侵检测、传感器与控制台之间的通信带宽不足的情况下。 主机入侵检测系统在不使用诸如“停止服务” 、“注销用户”等响应方法时风险较少。 主机入侵检测系统的弱点： 主机入侵检测系统安装在我们需要保护的设备上。 举例来 说，当一个数据库服务器要保护时，就要在服务器本身上安装入侵检测系统。 这会降低应用系统的效率。 此外，它也会带来一些额外的安全问题，安装了主机入侵检测系统后，将本不允许安全管理员有权力访问的服务器变成他可以访问的了。 主机入侵检测系统的另一个问题是它依赖于服务器固有的日志与监视能力。 如果服务器没有配置日志功能，则必需重新配置，这将会给运行中的业务系统带来不可预见的性能影响。 全面布署主机入侵检测系统代价较大，企业中很难将所有主机用主机入侵检测系统保护，只能选择部分主机保护。 那些未安装主机入侵检测系统 的机器将成为保护的盲点，入侵者可利用这些机器达到攻击目标。