【正文】 ，但隨著 IPv6 的普及，這個(gè)問題會(huì)越來越突出。如果其中主體活動(dòng)十分可疑(特征或違反統(tǒng)計(jì)規(guī)律 )，入侵檢測(cè)系統(tǒng)就會(huì)采取相應(yīng)措施。舉例來說，有時(shí)候它除了指出入侵者試圖執(zhí)行一些“危險(xiǎn)的命令”之外，還能分辨出入侵者干了什么事：他們運(yùn)行了什么程序 、打開了哪些文件、執(zhí)行了哪些系統(tǒng)調(diào)用。 主機(jī)入侵檢測(cè)系統(tǒng)通常情況下比網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)誤報(bào)率要低，因?yàn)闄z測(cè)在主機(jī)上運(yùn)行的命令序列比檢測(cè)網(wǎng)絡(luò)流更簡(jiǎn)單，系統(tǒng)的復(fù)雜性也少得多。主機(jī)入侵檢測(cè)系統(tǒng)在不使用諸如“停止服務(wù)” 、“注銷用戶”等響應(yīng)方法時(shí)風(fēng)險(xiǎn)較少。舉例來 說，當(dāng)一個(gè)數(shù)據(jù)庫(kù)服務(wù)器要保護(hù)時(shí)，就要在服務(wù)器本身上安裝入侵檢測(cè)系統(tǒng)。此外，它也會(huì)帶來一些額外的安全問題，安裝了主機(jī)入侵檢測(cè)系統(tǒng)后，將本不允許安全管理員有權(quán)力訪問的服務(wù)器變成他可以訪問的了。如果服務(wù)器沒有配置日志功能，則必需重新配置，這將會(huì)給運(yùn)行中的業(yè)務(wù)系統(tǒng)帶來不可預(yù)見的性能影響。那些未安裝主機(jī)入侵檢測(cè)系統(tǒng) 的機(jī)器將成為保護(hù)的盲點(diǎn)，入侵者可利用這些機(jī)器達(dá)到攻擊目標(biāo)。對(duì)入侵行為的分析的工作量將隨著主機(jī)數(shù)目增加而增加。但是，它們的缺憾是互補(bǔ)的。 4． 文件完整性檢查 文件完整性檢查系統(tǒng)檢查計(jì)算機(jī)中自上次檢查后文件變化情況。 文件的數(shù)字文摘通過 Hash 函數(shù)計(jì)算得到。與加密算法不同， Hash 算法是一個(gè)不可逆的單向函數(shù)。從而，當(dāng)文件一被修改，就可檢測(cè)出來。 文件完整性檢查系統(tǒng)的優(yōu)點(diǎn)： 從數(shù)學(xué)上分析，攻克文件完整性檢查系統(tǒng)，無論是時(shí)間上還是空間上都是不可能的。實(shí)際上，文件完整性檢查系統(tǒng)是一個(gè)檢測(cè)系統(tǒng)被非法使用的最重要的工具之一。 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 11 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 當(dāng) 一個(gè)入侵者攻擊系統(tǒng)時(shí)，他會(huì)干兩件事，首先，他要掩蓋他的蹤跡，即他要通過更改系統(tǒng)中的可執(zhí)行文件、庫(kù)文件或日志文件來隱藏他的活動(dòng)；其它，他要作一些改動(dòng)保證下次能夠繼續(xù)入侵。 文件完整性檢查系統(tǒng)的弱點(diǎn)： 文件完整性檢查系統(tǒng)依賴于本地的文摘數(shù)據(jù)庫(kù)。當(dāng)一個(gè)入侵者取得管理員權(quán)限后，在完成破壞活動(dòng)后，可以運(yùn)行文件完整性檢查系統(tǒng)更新數(shù)據(jù)庫(kù)，從而瞞過系統(tǒng)管理員。 做一次完整的文件完整性檢查是一個(gè)非常耗時(shí)的工作，在 Tripwire 中，在需要時(shí)可選擇檢查某些系統(tǒng)特性而不是完全的摘要，從而加快檢查速度。 入侵檢測(cè)產(chǎn)品 經(jīng)過幾年的發(fā)展，入侵檢測(cè)產(chǎn)品開始步入快速的成長(zhǎng)期。傳感器負(fù)責(zé)采集數(shù)據(jù) (網(wǎng)絡(luò)包、系統(tǒng)日志等 )、分析數(shù)據(jù)并生成安全事件。當(dāng)選擇入侵檢測(cè)系統(tǒng)時(shí)，要考慮的要點(diǎn)有： 1. 系統(tǒng)的價(jià)格 當(dāng)然，價(jià)格是必需考慮的要點(diǎn)，不過，性能價(jià)格比、以及要保護(hù)系統(tǒng)的價(jià)值可是更重要的因素。 3. 對(duì)于網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，最大可處理流量 (包 /秒 PPS)是多少 首先，要分析網(wǎng)絡(luò) 入侵檢測(cè)系統(tǒng)所布署的網(wǎng)絡(luò)環(huán)境，如果在 512K 或 2M專線上布署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，則不需要高速的入侵檢測(cè)引擎，而在負(fù)荷較高的環(huán)境中，性能是一個(gè)非常重要的指標(biāo)。 5. 產(chǎn)品的可伸縮性 系統(tǒng)支持的傳感器數(shù)目、最大數(shù)據(jù)庫(kù)大小、傳感器與控制臺(tái)之間通信帶寬和對(duì)審計(jì)日志溢出的處理。 7. 產(chǎn)品支持的入侵特征數(shù) 不同廠商對(duì)檢測(cè)特征庫(kù)大小的計(jì)算方法都不一樣，所以不能偏聽一面之辭。自動(dòng)更改防火墻配置是一個(gè)聽上去很“酷”的功能，但是，自動(dòng)配置防火墻可是一個(gè)極為危險(xiǎn)的舉動(dòng)。 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 12 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 第三章 入侵檢測(cè)在移動(dòng)通信中的具體應(yīng)用 第一節(jié) 移動(dòng)通信系統(tǒng)防非法 入侵檢測(cè)的基本原理 移動(dòng)通信系統(tǒng)中防非法入侵檢測(cè)的目的 , 就是為了識(shí)別試圖或正在非法使用系統(tǒng)服務(wù)的非授權(quán)用戶以及濫用系統(tǒng)資源的授權(quán)用戶。移動(dòng)通信系統(tǒng)同樣可以借鑒這方面的研究成果 , 在系統(tǒng)網(wǎng)絡(luò)級(jí)而不是在空中接口部分對(duì)系統(tǒng)進(jìn)行非法侵 入的保護(hù)。其基本思路是 : 入侵者的 行為通常與系統(tǒng)合法用戶的正常行為是有很大的差異的 , 利用這種差異性 , 系統(tǒng)可以將非法入侵者檢測(cè)出來。檢測(cè)系統(tǒng)就是利用這些行為描述數(shù)據(jù)來監(jiān)控當(dāng)前用戶活動(dòng)行為并與以前的用戶活動(dòng)行為特征進(jìn)行比較 , 當(dāng)這種差別大小超過預(yù)先確定的某一臨界值 , 就認(rèn)為出現(xiàn)了非法入侵。 圖 1 異常性檢測(cè)系統(tǒng)原理框圖 計(jì)算機(jī)網(wǎng)絡(luò)中的這種異常性入侵檢測(cè)的思路同樣可用于移動(dòng)通信系統(tǒng)中 , 也就是說可以在移動(dòng)通信系統(tǒng)網(wǎng)絡(luò)級(jí)而不是在空中接口部分引入防非法入侵檢測(cè)系統(tǒng)。換句話說 , 假冒合法用戶的入侵者與合法用戶之間的通信行為存在很大差距 , 因此可以利用異常性檢測(cè)系統(tǒng)檢測(cè)出非法入侵行為。 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 13 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 第二節(jié) 系統(tǒng)結(jié)構(gòu)描述 系統(tǒng)的結(jié)構(gòu)如圖 2 所示。移動(dòng)通信系統(tǒng)由移動(dòng)交換中心 (MSC) 、移動(dòng)基站和移動(dòng)手持機(jī)組成。這兩套系統(tǒng)之間由用戶通信行為描述數(shù)據(jù)庫(kù) CPD ( Calling ProfileDatabase) 連接。這些數(shù)據(jù)描述了用戶通常的通信行為特征。 另一種方式 , 則是在用戶初次入網(wǎng)的一段時(shí)間 , CPD 中心對(duì)該用戶的通信行為處于一種學(xué)習(xí)狀態(tài) , 從對(duì)該用戶的一段時(shí) 間的通信行為監(jiān)控中歸納出用戶的通信行為特征。 圖 2 移動(dòng)通信的防非法侵入檢測(cè)的系統(tǒng)結(jié)構(gòu)圖 如果用戶當(dāng)前的通信行為超過該閾值 , 就可當(dāng)作值得懷疑的非法入侵來處理。 CPD 中心提供這種聲訊服務(wù) , 用戶可以在語音的提示和幫助下 , 自己修改自己的通信行為描述表 , 以根據(jù)實(shí)際需要放寬或者進(jìn)一步約束該閾值。 CPD 中心與各個(gè)移動(dòng)通信交換中心用有線的方式連接起來。 CPD 中心與無線尋呼基站同樣由有線網(wǎng)絡(luò)連接。 CPD 中心同時(shí)還接入公共電話網(wǎng) PSTN 中。 同時(shí)用戶還可以隨時(shí)修改自己的用戶通信行為描述表。 移動(dòng)通信交換中心記錄每次通信行為的相關(guān)數(shù)據(jù) , 并將它們送往 CPD 中心。在這種情況下 ,CPD 中心將與該呼叫用戶所屬的無線尋呼基站取得聯(lián)系 , 通過無線尋呼基站向該用戶發(fā)出一條警告信息 , 以警告其手持 機(jī)可能正在被盜用。一種情況是該通信是用戶所需要的 , 雖然與用戶習(xí)慣的通信行為有出入 , 但可能是在某種特殊情況下用戶的通信需求 。對(duì)于前一種情況 , 用戶可以對(duì)警告信息置之不理。 而對(duì)于后一種情況 , 用戶則應(yīng)該及時(shí)通過電話向 CPD 中心匯報(bào)出現(xiàn)了被盜用的情況。同時(shí)為該用戶分配一個(gè)新的用戶識(shí)別碼 ID , 原來用戶的 ID 碼被注銷。為了避免出現(xiàn)對(duì)某個(gè)用戶頻繁給出警告信息而一直沒有用戶反饋信息 , 在 CPD 中心的處理軟件中 , 應(yīng)該有相應(yīng)的對(duì)策。這時(shí) , CPD 中心可以有兩種選擇 , 一種是開始修改用戶的通信行為描述表 , 以適應(yīng)用戶通信行為習(xí)慣的變化。至于選用何種處理方式可以在用戶初次入網(wǎng)時(shí)由用戶自己選定。因?yàn)樗腔诋惓Ｐ詸z測(cè)的原理基礎(chǔ)上的 , 一般的非法侵入者很難模仿出與合法用戶相類似的通信行為 。 第四節(jié) 入侵檢測(cè)在數(shù)字蜂窩移動(dòng)通信系統(tǒng)中的應(yīng)用 數(shù)字蜂窩移動(dòng)通信系統(tǒng)（ DCMCS）的安全性一直是用戶關(guān)注的焦點(diǎn)。 DCMCS 中的入侵檢測(cè)分為幾個(gè)層次： 層次㈠ ：對(duì)用戶的移動(dòng)速度、并機(jī)進(jìn)行驗(yàn)證。系統(tǒng)檢測(cè)用戶行為在 D C M CS 實(shí)體上是否沖突 (如在一個(gè)低密度用戶區(qū)的交換機(jī)上發(fā)生頻繁切換和呼叫就可能存在一個(gè)入侵的征兆 )；層次㈢ ：對(duì)每個(gè)用戶的監(jiān)控檢測(cè)。 2G DCMCS IDS 的設(shè)計(jì)思想與設(shè)計(jì)原則 設(shè)計(jì)思想：修改現(xiàn)有的 H LR 和 V LR 數(shù)據(jù)庫(kù)，增加一些入侵檢測(cè)例程。 管理學(xué)院 信管 2K11 班學(xué)生 楊曉偉 畢業(yè)論文 第 15 頁(yè) 共 16頁(yè) 濟(jì)南大學(xué)畢業(yè)設(shè)計(jì)（論文）用紙 設(shè)計(jì)原則：由于 IDS 把呼叫數(shù)據(jù)和位置信息作為主要的監(jiān)控信息來源。所以，在設(shè)計(jì) DCMCS IDS 時(shí)，必須注意這些設(shè)計(jì)原則：①對(duì)現(xiàn)有的移動(dòng)通信網(wǎng)絡(luò)系統(tǒng)的修改要少；②設(shè)計(jì)一個(gè)快速算法，使它不必具有用戶行為的先驗(yàn)知識(shí)就可以跟蹤入侵者；③為檢測(cè)一個(gè)入侵活動(dòng)， IDS的各個(gè)單元之間的通信量應(yīng)盡量少，從而不至于在移動(dòng)通信網(wǎng)絡(luò)中引起很大的額外開銷降低系統(tǒng)的通信性能。在 D C M CS 中，用戶的輪廓配置由三部分組成：①移動(dòng)性輪廓配置；②正?；?動(dòng)的輪廓配置；③用戶的話音輪廓配置。這主要是考慮到移動(dòng)用戶在網(wǎng)絡(luò)中的漫游并不完全是隨機(jī)的，一般來說，每個(gè)用戶都有一定的活動(dòng)規(guī)律。這樣就可以獲得一個(gè)用戶的移動(dòng)性輪廓配置。檢測(cè)時(shí) IDS 將計(jì)算用戶的活動(dòng)行為與其正常行為輪廓配置的每一個(gè)偏差。如果一個(gè)入侵活動(dòng)被認(rèn)定，則 IDS 就會(huì)通知系統(tǒng)激活一個(gè)相應(yīng)的入侵處理例程以拒絕對(duì)可疑用戶的服務(wù)或直接切斷該用戶與網(wǎng)絡(luò)的連接。這個(gè)概念有兩層含義：第一層，即針對(duì)分布式網(wǎng)絡(luò)攻擊的檢測(cè)方法：第二層即使用分 布式的方法來檢測(cè)分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測(cè)信息的協(xié)同處理與入侵攻擊的全局信息的提取。 （ 2）智能化入侵檢測(cè)。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識(shí)與泛化。 （ 3）網(wǎng)絡(luò)安全技術(shù)相結(jié)合。例如，基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)相結(jié)合，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機(jī)這兩種檢測(cè)技術(shù)很好地集成起來，相互補(bǔ)充，提供集成化的攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)等功能。但是移動(dòng)通信在帶來可移動(dòng)的優(yōu)越性的同時(shí)也帶來系統(tǒng)安全性的問題。因此，入侵檢測(cè)技術(shù)在移動(dòng)通信技術(shù)方面有廣闊的應(yīng)用前景。 Document1 : General [ S] . 2020 ,4. [4] 3 GPP TS35. 206. Specification of t he MIL ENAGE Algorithm Set : An example algorithm set for t he 3 GPP authentication and key generation functions f1 , f13, f2 , f3 , f4 , f5 and f53