【正文】 Document2 : Algorithm Specification[ S] . 2020 ,4. [5] 李鴻培 ,王新梅 1 移動通信網(wǎng)中的入侵檢測 1 電信科學 , 1998 , 8 (14) : 5 ～ 7 [6] 孫 孺石， GSM 數(shù)字移動通信工程 [ M] .北京 :人民郵電出版社 .1995. [7]王育民 ,劉建偉 .通信網(wǎng)的安全 ——— 理論與技術(shù) [ M] .西安 :西安電子科技大學出版社 . 2020. [8] 莊健敏，模數(shù)模語音保密機開發(fā)平臺機及回波抵消器 /東南大學碩士論文 .00 [9] 張雄偉， F=L 芯片的原理與開發(fā)應(yīng)用 /北京：電子工業(yè)出版社 .00 [10] 祁玉生，邵世祥 /現(xiàn)代移動通信 /北京：人民郵電出版社， .000 致謝 在這次論文寫作過程中，我的指導老師趙淑海老師給我的論題做了詳細的講解，并多次對我的論文作出中肯的評價提出恰當?shù)慕ㄗh，在此我對趙老師表示衷心的感謝！ 。 參考文獻 [1]3GSecurity Architecture[ S]1 3GPP TS 33. 102 v3. 3. 1(2020 01) 1 [2]Putz, S. , Schmitz , R. Secure Interoperation Between 2Gand 3GMobile Radio Networks[ A] . First International Con 2ference on 3G Mobile Communication Technologies, ( IEE Conf. Publ. no. 471) [ C] ,2020. [3] 3 GPP TS35. 205. Specification of t he MIL ENAGE Algorithm Set : An example algorithm set for t he 3 GPP authentication and key generation functions f1 , f13, f2 , f3 , f4 , f5 and f53。由于移動通信的固有特點，移動臺（ MS）與基站（ BS）之間的空中無線接口是開 放的，這樣整個通信過程，包括通信、鏈路的建立、信息的傳輸（如用戶的身份信息、位置信息、語音以及其它數(shù)據(jù)流）均暴露在第三方面前；而且在移動通信系統(tǒng)中，移動用戶與網(wǎng)絡(luò)之間不存在固定物理連接的特點使得移動用戶必須通過無線信道傳遞其身份信息，以便于網(wǎng)絡(luò)端能正確鑒別移動用戶的身份，而這些信息就可能被第三者截獲，并偽造信管理學院 信管 2K11 班學生 楊曉偉 畢業(yè)論文 第 16 頁 共 16頁 濟南大學畢業(yè)設(shè)計（論文）用紙 息，假冒此用戶身份使用通信服務(wù)；另外無線網(wǎng)絡(luò)也容易受到黑客和病毒的攻擊。 移動通信由于具有不受地理位置的限制、可自由移動等優(yōu)點而得到了用戶的普遍歡迎和廣泛使用，目前全球有 7300 萬人使用無線數(shù)據(jù)電話。結(jié)合防火墻、 PKIX、安全電子交易（ SET）等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)安全保障。利用專家系統(tǒng)的思想來構(gòu)建 IDS 也是常用的方法之一。即使用智能化的方法與手段來進行入侵檢測。分布式系統(tǒng)是現(xiàn)代 IDS 主要發(fā)展方向之一，它能夠在數(shù)據(jù)收集、入侵分析和自動響應(yīng)方面最大限度地發(fā)揮系統(tǒng)資源的優(yōu)勢，其設(shè)計模型具有很大的靈活性。 第四章 應(yīng)用前景展望 目前，國內(nèi)、外入侵檢測技術(shù)的發(fā)展趨勢為： （ 1）分布式入侵檢測。當偏差超過某一給定的閾值時就會發(fā)出報警信息，接著報警信息被一個基于規(guī)則的系統(tǒng)進行分 析并給出最后的決策。而正?；顒拥妮喞渲门c語音輪廓配置這些 用戶特征信息可以由用戶以往的活動情況統(tǒng)計得出。我們可以通過一個帶有遷移概率的圖來獲取用戶的移動性輪廓配置，狀態(tài)遷移概率的計算可以通過對用戶以往的活動情況進行統(tǒng)計得出，也可以利用神經(jīng)網(wǎng)絡(luò)的思想設(shè)計一個自學習系統(tǒng)，把移動用戶以往的活動作為訓練樣本對它進行學習從中提取出狀態(tài)遷移概率。用戶的移動性輪廓配置使 IDS能夠根據(jù)用戶在網(wǎng)絡(luò)中的移動情況對用戶進行檢測。 2G DCMCS IDS 的設(shè)計要點 IDS 的核心就是判斷條件的閾值選擇以及用戶正常行為特征的提取。如果析，則在進行入侵檢測時，要把受監(jiān)控的用戶信息傳送到 IDS 的處理部分，這樣將要忍受較大的通信延遲。被 IDS監(jiān)控的用戶行為應(yīng)包括呼叫數(shù)據(jù)記錄和用戶位置信息，如果被監(jiān)測的數(shù)據(jù)超過了一定的門限值，就給出相應(yīng)的報警信息及處理措施。這是最典型的入侵檢測分析，它要求 IDS 具有對用戶的正常行為進行學習并創(chuàng)建用戶正常行為輪廓配置的 能力，在此前提下若有入侵者請求網(wǎng)絡(luò)服務(wù)時必然會產(chǎn)生與合法用戶的行為輪廓配置明顯的偏差，從而 IDS 可以依據(jù)入侵者的異常性活動來檢測出入侵者。由此進行快速的入侵檢測；層次㈡ ：模塊級驗證。而入侵檢測技術(shù)在DCMCS 的安全性中起著非常重要的作用。 另一個優(yōu)點是能夠快速的發(fā)現(xiàn)非法侵入行為并能夠很快作出反映 , 不象現(xiàn)有的移動通信系統(tǒng) , 只有到付費的時候用戶才能從不正常的話費及通信記錄中發(fā)現(xiàn)自己的手持機被盜用。 可以看出 , 這種檢測方案的優(yōu)點有兩個 : 一是可以較為準確地判斷出某種通信行為是否為非法侵入行為。另一種方式則認為確實出現(xiàn)了盜用的情況 , 而該 用戶沒有收到警告信息 , 這時則應(yīng)關(guān)閉該用戶的通信服務(wù)。如果 CPD 中心統(tǒng)計出某個用戶在一段時間內(nèi)多次出現(xiàn)超過閾值的情況 , 而用戶一直沒有報告出現(xiàn)盜用。這樣 , 盜用者將無法再次侵入該無線通信網(wǎng)。在獲得用戶的確認信息之后 ,CPD 中心將立刻通知移動 交換中心 , 中斷該非法侵入的無線通信服務(wù)。 CPD 中心對于發(fā)出警告信息而沒有回應(yīng)的情況 , 判斷為該通信屬于合法通信 。而另一種情況則是用戶手持機確實為第三者非法盜用。移動用戶利用所攜帶的無線尋呼機收到該警告信息后 , 在兩種不同的情況下會有不同的反應(yīng)。 CPD 中心接收到用戶當前的通信行為數(shù)據(jù)后 , 進行處理 , 計算是否超出用戶通信行為表中的預(yù)定閾值 , 一旦超出 , 則判定為該通信行為有盜用的嫌疑。 管理學院 信管 2K11 班學生 楊曉偉 畢業(yè)論文 第 14 頁 共 16頁 濟南大學畢業(yè)設(shè)計（論文）用紙 第三節(jié) 防入侵檢測過 程的描述 如上所述 , CPD 中心根據(jù)不同的方式事先已經(jīng)在數(shù)據(jù)庫中建立了關(guān)于每個用戶通信行為的描述表 , 并計算出關(guān)于每個用戶通信行為的閾值 , 作為鑒別非法侵入的尺度。用戶可以通過電話直接與 CPD 中心取得聯(lián)系 , 以確認自己的移動手持機是否可能被盜用 。一旦 CPD 認為有值得懷疑的非法入侵 , 就發(fā)出一條警告信息給無線尋呼系統(tǒng) , 由該系統(tǒng)將這條警告信息廣播出去 , 這樣可以被該用戶所攜帶的無線尋呼機接收。移動手持機每次的通信行為 (包括 發(fā)起呼叫、呼叫時長、呼叫地點以及被呼叫的地點 )等均由 MSC 實時傳送給 CPD 中心 , 由 CPD 中心集中處理。當然 , 為了安全起見 , 修改的權(quán)限必須用口令保護起來 , 以防止非法入侵者擅自改變用戶的通信行為描述表。 應(yīng)該指出的是 , 該用戶通信行為描述表是可以由用戶在需要的時候修改的。一旦用戶的通信行為描述表已經(jīng)建立 , 就可以按某種規(guī)則計算出一個閾值 , 作為判斷當前通信行為是否為異常通信行為的依據(jù)。它可以有兩種方式獲得 : 一種是在用戶申請入網(wǎng)時 , 由用戶填寫一張相關(guān)信息的調(diào)查表 。 CPD 是整個入侵檢測系統(tǒng)中的核心部分 , 它作為記錄用戶通信行為描述的 數(shù)據(jù)庫 , 主要包含如下的用戶信息資料 : 用戶的通常呼叫時長、呼叫頻度、呼叫區(qū)域及用戶定義的禁止呼叫區(qū)域等。無線尋呼系統(tǒng)則由無線尋呼基站和無線尋呼機構(gòu)成。由圖中可以看出 ,該系統(tǒng)由兩套子系統(tǒng)組成 : 移動通信系統(tǒng)和無線尋呼系統(tǒng)?？梢钥闯?, 這種檢測思路與具體的系統(tǒng)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議及入 侵方式等均無關(guān)系 , 是一種不依賴于具體應(yīng)用系統(tǒng)的通用型檢測方案 , 因此具有較大的靈活性和較高的檢測概率。它的基本思路如下 : 雖然入侵者可能 通過截獲用戶身份碼而假冒合法用戶侵入系統(tǒng)網(wǎng)絡(luò) , 但是入侵者很難模仿出合法用戶通常的通信行為。通常把這種通過檢測用戶行為的異常性來檢測入侵者的系統(tǒng)稱為異常性入侵檢測系統(tǒng)（如圖 1）。為了定義一個用戶的正常行為就必須為這個用戶建立和維護一系列的行為描述配置 , 這些配置描述了合法用戶正常使用系統(tǒng)的行為特征。本文介紹的方案基本思路源于 DorothyDenning 提出的一個不依賴于某些特殊系統(tǒng)、應(yīng)用環(huán)境、系統(tǒng)缺陷以及入侵類型的通用型入侵檢測模型。在入侵檢測方面 , 計算機系統(tǒng)以及固定通信網(wǎng)絡(luò)已經(jīng)積累了較豐富的經(jīng)驗 , 開發(fā)出了各種不同的入侵檢測系統(tǒng)。 9. 是否通過了國家權(quán)威機構(gòu)的評測 主要的權(quán)威測評機構(gòu)有：國家信息安全測評認證中心、公安部計算機信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心。 8. 產(chǎn)品有哪些響應(yīng)方法 要從本地、遠程等多個角度考察。 6. 運行與維護系統(tǒng)的開銷 產(chǎn)品報表結(jié)構(gòu)、處理誤報的方便程度、事件與事志查詢的方便程度以及使 用該系統(tǒng)所需的技術(shù)人員數(shù)量。 4. 該產(chǎn)品容易被躲避嗎 有些常用的躲開入侵檢測的方法，如：分片、 TTL 欺騙、異常 TCP 分段、慢掃描、協(xié)同攻擊等。 2. 特征庫升級與維護的費用 象反病毒軟件一樣，入侵檢測的特征庫需要不斷更新才能檢測出新出現(xiàn)的攻擊方法?？刂婆_主要起到中央管理的作用，商品化的產(chǎn)品通常提供圖形界面的控制臺，這些控制臺基本上都支持 Windows NT 平臺。一個入侵檢測產(chǎn)品通常由兩部分組成：傳感器 (Sensor)與控制臺 (Console)。 系統(tǒng)有些正常的更新操作可能會帶來大量的文件更新，從而產(chǎn)生比較繁雜的檢查與分析工作，如，在 Windows NT 系統(tǒng)中升級 MSOutlook 將會帶來 1800 多個文件變化。當然，可以將文摘數(shù)據(jù)庫放在只讀的介質(zhì)上，但這樣的配置不夠靈活性。與日志文件一樣，這些數(shù)據(jù)可能被入侵者修改。這兩種活動都能夠被文件完整性檢查系統(tǒng)檢測出。 文件完整性檢查系統(tǒng)具有相當?shù)撵`活性，可以配置成為監(jiān)測系統(tǒng)中所有文件或某些重要