亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        應(yīng)用于移動互聯(lián)網(wǎng)的入侵檢測系統(tǒng)的研究

        2014-09-18 07:10:42鄒學(xué)韜
        電視技術(shù) 2014年3期
        關(guān)鍵詞:數(shù)據(jù)包規(guī)則數(shù)據(jù)庫

        鄒學(xué)韜,江 舟

        (1.武漢郵電科學(xué)研究院通信與信息系統(tǒng),湖北武漢 430074;2.武漢虹旭信息技術(shù)有限責(zé)任公司安全產(chǎn)品部,湖北武漢 430074)

        傳統(tǒng)的PC上網(wǎng)模式已經(jīng)逐漸無法滿足人們對互聯(lián)網(wǎng)的需求,越來越多的人開始使用智能手機(jī)隨時隨地訪問移動互聯(lián)網(wǎng),帶來便捷的同時又帶來了很多的安全隱患。隨著應(yīng)用的不斷豐富,移動終端作為“無處不在”的服務(wù)和個人信息的載體,更容易感染病毒或遭到入侵,其安全問題將會比PC更為復(fù)雜。

        在傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域,入侵檢測技術(shù)已經(jīng)發(fā)展的相當(dāng)成熟了,而在移動互聯(lián)網(wǎng)領(lǐng)域的研究才剛剛起步。在國外,Iker Burguera,Urko Zurutuza等人提出了適用于安卓智能手機(jī)的基于行為的惡意軟件檢測系統(tǒng)。根據(jù)這一現(xiàn)狀,本文提出了應(yīng)用于移動互聯(lián)網(wǎng)的入侵檢測系統(tǒng),該系統(tǒng)能對手機(jī)上各項(xiàng)行為進(jìn)行監(jiān)測,一旦發(fā)現(xiàn)有入侵攻擊則立即告警提示,從而改善智能手機(jī)防御性低的情況,提高了手機(jī)的安全性能。

        1 移動互聯(lián)網(wǎng)終端安全問題

        網(wǎng)秦在《2012年上半年全球手機(jī)安全報(bào)告》中稱,2012年上半年累計(jì)查殺手機(jī)惡意軟件17 676個,感染的手機(jī)用戶數(shù)高達(dá)1 283萬,比2011年同期增長了117%,其中有78%的手機(jī)惡意軟件都來自Android平臺[1]。

        隨著移動終端越來越智能化,人們在用智能手機(jī)辦公、娛樂的同時也面臨了很多未知的危險。終端智能化帶來了很多新的安全問題:如操作系統(tǒng)/中間件漏洞、病毒木馬等惡意代碼、惡意吸費(fèi)等流氓軟件、不良信息傳播、用戶隱私信息泄露等。這些問題都會給手機(jī)用戶帶來不少麻煩,影響用戶的體驗(yàn),泄露個人信息,甚至還會造成錢財(cái)損失。所以移動互聯(lián)網(wǎng)終端安全問題必須引起足夠的重視,用戶的利益才能夠得到保障。

        2 系統(tǒng)總體設(shè)計(jì)

        應(yīng)用于移動互聯(lián)網(wǎng)的入侵檢測系統(tǒng),主要由以下幾個模塊組成:數(shù)據(jù)采集模塊、數(shù)據(jù)分析模塊、入侵檢測模塊、數(shù)據(jù)庫。系統(tǒng)結(jié)構(gòu)圖如圖1所示。

        圖1 系統(tǒng)結(jié)構(gòu)圖

        2.1 數(shù)據(jù)采集模塊

        數(shù)據(jù)采集模塊負(fù)責(zé)捕獲數(shù)據(jù)包,把用戶手機(jī)的上行下行數(shù)據(jù)都采集下來,之后發(fā)給后續(xù)的數(shù)據(jù)分析模塊處理。

        數(shù)據(jù)包捕獲基于開源的libpcap,它可以按照指定的規(guī)則(如端口號、IP地址、協(xié)議類型等)對數(shù)據(jù)包進(jìn)行過濾,只捕獲用戶需要類型的數(shù)據(jù)包[2]。

        2.2 數(shù)據(jù)分析模塊

        數(shù)據(jù)分析模塊接收數(shù)據(jù)采集模塊發(fā)過來的數(shù)據(jù)包,并按照TCP/IP的各個層次解析數(shù)據(jù)包,解析時根據(jù)不同協(xié)議調(diào)用不同的解析函數(shù)。

        2.3 入侵檢測模塊

        入侵檢測模塊完成入侵攻擊的檢測與告警功能。該模塊將數(shù)據(jù)分析模塊發(fā)過來的數(shù)據(jù)和特征庫中的規(guī)則集合進(jìn)行比較和分析,判斷是否為入侵攻擊,如果是,則告警。

        檢測的方法是以特征進(jìn)行檢測,所以在此之前,必須根據(jù)現(xiàn)有的已知入侵攻擊行為,提煉出特征信息,把這些特征組成一個特征庫(也就是規(guī)則集),用這些規(guī)則去判斷是否發(fā)生了入侵。入侵規(guī)則集越豐富,能檢測出的入侵攻擊也就越多。

        把用戶的數(shù)據(jù)和入侵檢測規(guī)則(如端口號、URL等特征字)進(jìn)行模式匹配,如果匹配成功則說明滿足了規(guī)則,則可以認(rèn)為發(fā)生了相應(yīng)的入侵攻擊,與此同時告警,告訴用戶存在安全問題的應(yīng)用程序,讓用戶及時采取措施。

        2.4 數(shù)據(jù)庫

        數(shù)據(jù)庫使用SQLite,SQLite是用于iPhone、Android等手機(jī)系統(tǒng)中的一個輕量級的、嵌入式的、關(guān)系型數(shù)據(jù)庫。當(dāng)檢測到有入侵攻擊時,數(shù)據(jù)庫就負(fù)責(zé)存儲這些信息,包括入侵攻擊截獲的時間、協(xié)議類型、源IP、目的IP、源端口、目的端口、數(shù)據(jù)內(nèi)容等,方便手機(jī)用戶隨時查證。

        3 協(xié)議分析

        協(xié)議分析是一項(xiàng)比較新的技術(shù),由于網(wǎng)絡(luò)協(xié)議是具有規(guī)則性的,協(xié)議分析可以清楚地知道在數(shù)據(jù)包哪些位置可以獲取哪些內(nèi)容,并理解這些內(nèi)容的含義。協(xié)議分析的實(shí)質(zhì)就是識別各個協(xié)議頭,及其頭部各個字段的含義[3]。

        TCP/IP由4個層次組成:網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。

        媽媽給我買回了一架薩克斯,我剛剛打開盒子就被它的外貌吸引住了,閃閃發(fā)光的色澤,流線光滑的外表,精美的按鈕,他的笛頭就像小鴨子的嘴巴一樣扁扁的,再看他的喇叭就像豬八戒的耳朵一樣,肥肥大大!真有趣,這就是我的薩克斯,漂亮吧!

        網(wǎng)絡(luò)接口層:幀=幀頭+IP數(shù)據(jù)包+幀尾(幀頭包括源MAC地址和目的MAC地址等)。

        網(wǎng)絡(luò)層:IP數(shù)據(jù)包=IP頭部+TCP/UDP數(shù)據(jù)信息(IP頭包括源IP地址和目的IP地址等)。

        傳輸層:TCP/UDP數(shù)據(jù)信息=TCP/UDP頭部+實(shí)際數(shù)據(jù)(TCP/UDP頭包括源端口號和目的端口號等)。

        這樣一層層分離出頭部,分析頭部各個字段的含義,最后得到應(yīng)用層的用戶數(shù)據(jù)。根據(jù)各協(xié)議的特點(diǎn)以及特征庫中設(shè)置的規(guī)則,通過模式匹配就可以準(zhǔn)確地識別出是否為入侵攻擊。

        下面以一個數(shù)據(jù)包為例進(jìn)行分析,數(shù)據(jù)包如圖2所示。

        圖2 數(shù)據(jù)包(截圖)

        圖2中,1~6 byte為目的MAC地址:0x0021273ff642;7~12 byte為源MAC地址:0xc46ab7305db7;13~14 byte為類型字段0x0800,根據(jù)協(xié)議可以判斷這個包是IP包。IP包的第10 byte為傳輸層協(xié)議標(biāo)識,即數(shù)據(jù)包的第24 byte 0x06,說明數(shù)據(jù)包是TCP協(xié)議數(shù)據(jù)包。TCP包的3~4 byte表示目的端口,是應(yīng)用層協(xié)議標(biāo)識,即數(shù)據(jù)包的37~38 byte 0x0050,則數(shù)據(jù)包的目的端口為80,說明是HTTP協(xié)議數(shù)據(jù)包。最后根據(jù)HTTP協(xié)議就可以知道URL是“GET/?q=xinwen123&callback=rs_1365471732”。之后就可以與規(guī)則庫里的規(guī)則進(jìn)行匹配,判斷是否為入侵攻擊。

        圖3 協(xié)議分析流程圖

        協(xié)議分析的方法可以解決傳統(tǒng)模式匹配存在的一些問題,如計(jì)算量大,因?yàn)橐苿咏K端的CPU計(jì)算和存儲能力都是有限的,計(jì)算量過大會影響手機(jī)的性能。計(jì)算量減小可以提高匹配速率,并且由于協(xié)議有各自固有的格式,此方法可以降低誤報(bào)率,提高準(zhǔn)確率。

        4 入侵檢測流程

        入侵檢測流程如圖4所示。首先是系統(tǒng)初始化,將規(guī)則庫中的所有規(guī)則都讀入到內(nèi)存中。接著采集數(shù)據(jù),捕獲數(shù)據(jù)包,并對數(shù)據(jù)包進(jìn)行層層協(xié)議分析,分析出協(xié)議各個字段的內(nèi)容。把這些字段的值和內(nèi)存中的規(guī)則進(jìn)行匹配,一旦匹配成功,則表示存在入侵,同時進(jìn)行告警。如果匹配失敗,則繼續(xù)匹配其余的規(guī)則直到所有規(guī)則都匹配完畢。如果直到最后都沒有匹配成功,則表明不是入侵攻擊,進(jìn)而開始重新捕獲數(shù)據(jù)包[4]。

        圖4 入侵檢測流程圖

        檢測的過程就是一個模式匹配的過程,自定義規(guī)則格式為:名稱端口關(guān)鍵字響應(yīng)。例如:惡意網(wǎng)址80 wap.a1ipay.com alert,這一規(guī)則表示,當(dāng)用戶訪問 wap.a1ipay.com這個網(wǎng)址時,則進(jìn)入了惡意網(wǎng)站,并發(fā)出告警,將命中這條規(guī)則的數(shù)據(jù)寫進(jìn)數(shù)據(jù)庫保存。數(shù)據(jù)庫格式如表1所示。

        表1 數(shù)據(jù)庫

        用這種描述語言來定義入侵規(guī)則,一旦發(fā)現(xiàn)新的入侵攻擊時,就可以用這種方式寫入新的入侵規(guī)則,而不必改動程序。把這些入侵攻擊表示成入侵規(guī)則存放在規(guī)則庫里,如果數(shù)據(jù)和規(guī)則庫中的某種規(guī)則匹配上了,就可以判斷出發(fā)生了何種入侵攻擊。

        5 仿真實(shí)驗(yàn)

        5.1 開發(fā)環(huán)境

        本實(shí)驗(yàn)在java虛擬機(jī)JDK1.6版本,Eclipse3.7集成開發(fā)平臺下安裝ADT插件,并搭建Android開發(fā)環(huán)境。實(shí)驗(yàn)選取一臺PC,處理器Intel酷睿i3 3220,內(nèi)存4 Gbyte。操作系統(tǒng)為Win7,并對JDK配置其相應(yīng)的環(huán)境變量。Android模擬器配置如圖5所示。

        5.2 結(jié)果分析

        圖5 Android模擬器配置圖(截圖)

        開啟入侵檢測應(yīng)用,通過Android模擬器訪問http://wap.a1ipay.com,這時入侵檢測應(yīng)用就會顯示如圖6所示界面,提示“入侵檢測中心檢測到http://wap.a1ipay.com為惡意網(wǎng)址”,表明用戶訪問了一個可能有危險的惡意網(wǎng)址,并讓用戶做出選擇,是繼續(xù)訪問,還是取消訪問,實(shí)現(xiàn)了檢測并響應(yīng)的功能。

        圖6 檢測結(jié)果圖(截圖)

        又選取20例惡意網(wǎng)址進(jìn)行測試,結(jié)果如表2所示。

        表2 測試結(jié)果

        實(shí)驗(yàn)結(jié)果說明,該入侵檢測系統(tǒng)方案可行,能較好地對入侵攻擊進(jìn)行檢測,但仍需要不斷完善特征庫,降低誤報(bào)率、漏報(bào)率。

        6 結(jié)束語

        智能手機(jī)已經(jīng)成為移動終端發(fā)展的主流,其中Android智能手機(jī)占的市場份額較大。隨著手機(jī)應(yīng)用的不斷豐富,功能不斷強(qiáng)大,其伴隨的安全問題不容小覷。本文研究了應(yīng)用于移動互聯(lián)網(wǎng)的入侵檢測系統(tǒng),可以檢測出手機(jī)是否遭受了入侵攻擊,及時響應(yīng)告警,保障手機(jī)用戶的安全,有較好的實(shí)用性。該系統(tǒng)的準(zhǔn)確性如何很大程度上取決于特征庫的規(guī)則是否豐富。所以今后還需要進(jìn)一步的分析研究,使得入侵檢測特征庫更加豐富,判斷更加精準(zhǔn)。

        :

        [1]北京網(wǎng)秦天下科技有限公司.2012年上半年全球手機(jī)安全報(bào)告[EB/OL].[2013-04-10].http://wenku.baidu.com/view/3e02eb3d580216fc700afd8e.html.

        [2]劉斌,代素環(huán).基于Libpcap的數(shù)據(jù)包捕獲機(jī)制的實(shí)現(xiàn)[J].農(nóng)業(yè)網(wǎng)絡(luò)信息,2008(9):62-63.

        [3]徐宇杰.TCP/IP協(xié)議深入分析[M].北京:清華大學(xué)出版社,2009.

        [4]曹元大.入侵檢測技術(shù)[M].北京:人民郵電出版社,2007.

        猜你喜歡
        數(shù)據(jù)包規(guī)則數(shù)據(jù)庫
        撐竿跳規(guī)則的制定
        數(shù)獨(dú)的規(guī)則和演變
        SmartSniff
        讓規(guī)則不規(guī)則
        Coco薇(2017年11期)2018-01-03 20:59:57
        數(shù)據(jù)庫
        TPP反腐敗規(guī)則對我國的啟示
        數(shù)據(jù)庫
        數(shù)據(jù)庫
        數(shù)據(jù)庫
        基于Libpcap的網(wǎng)絡(luò)數(shù)據(jù)包捕獲器的設(shè)計(jì)與實(shí)現(xiàn)
        久久人妻一区二区三区免费 | 免费精品无码av片在线观看| 一区二区免费电影| 美腿丝袜网址亚洲av| 国产激情久久久久影院小草| 国产女人高潮视频在线观看| 手机看片福利盒子久久青| 国产亚洲激情av一区二区| 国产视频一区二区三区在线免费| 粗大猛烈进出白浆视频| 国内精品视频一区二区三区 | 女同在线视频一区二区| 一本色道久久hezyo无码 | 亚洲成人福利在线观看| 日韩精品国产一区在线| 国产精品一区二区黑丝| 女人被狂躁高潮啊的视频在线看| 可以免费在线看黄的网站| av二区三区在线观看| 丰满人妻久久中文字幕| 国产精品无码av一区二区三区| 人妻丰满熟妇AV无码片| 中文字幕亚洲永久精品| 欧美性猛交99久久久久99按摩| 亚洲熟女综合一区二区三区| 99久久综合国产精品免费| 一本大道久久a久久综合精品| 午夜免费福利小电影| 亚洲最大天堂无码精品区| 日韩在线精品视频观看| 在线观看视频日本一区二区| 无码福利写真片视频在线播放| 久久综合亚洲色社区| 自拍情爱视频在线观看| 亚洲日韩精品无码av海量| 欧美黑人巨大xxxxx| 久久精品国产亚洲av麻豆四虎| 黄射视频在线观看免费| 人人妻人人澡人人爽精品欧美| 夜鲁很鲁在线视频| 久久青草免费视频|