鄒學(xué)韜，江 舟

(1.武漢郵電科學(xué)研究院通信與信息系統(tǒng)，湖北武漢 430074;2.武漢虹旭信息技術(shù)有限責(zé)任公司安全產(chǎn)品部，湖北武漢 430074)

傳統(tǒng)的PC上網(wǎng)模式已經(jīng)逐漸無法滿足人們對互聯(lián)網(wǎng)的需求，越來越多的人開始使用智能手機(jī)隨時隨地訪問移動互聯(lián)網(wǎng)，帶來便捷的同時又帶來了很多的安全隱患。隨著應(yīng)用的不斷豐富，移動終端作為“無處不在”的服務(wù)和個人信息的載體，更容易感染病毒或遭到入侵，其安全問題將會比PC更為復(fù)雜。

在傳統(tǒng)互聯(lián)網(wǎng)領(lǐng)域，入侵檢測技術(shù)已經(jīng)發(fā)展的相當(dāng)成熟了，而在移動互聯(lián)網(wǎng)領(lǐng)域的研究才剛剛起步。在國外，Iker Burguera，Urko Zurutuza等人提出了適用于安卓智能手機(jī)的基于行為的惡意軟件檢測系統(tǒng)。根據(jù)這一現(xiàn)狀，本文提出了應(yīng)用于移動互聯(lián)網(wǎng)的入侵檢測系統(tǒng)，該系統(tǒng)能對手機(jī)上各項(xiàng)行為進(jìn)行監(jiān)測，一旦發(fā)現(xiàn)有入侵攻擊則立即告警提示，從而改善智能手機(jī)防御性低的情況，提高了手機(jī)的安全性能。

1 移動互聯(lián)網(wǎng)終端安全問題

網(wǎng)秦在《2012年上半年全球手機(jī)安全報(bào)告》中稱，2012年上半年累計(jì)查殺手機(jī)惡意軟件17 676個，感染的手機(jī)用戶數(shù)高達(dá)1 283萬，比2011年同期增長了117%，其中有78%的手機(jī)惡意軟件都來自Android平臺［1］。

隨著移動終端越來越智能化，人們在用智能手機(jī)辦公、娛樂的同時也面臨了很多未知的危險。終端智能化帶來了很多新的安全問題:如操作系統(tǒng)/中間件漏洞、病毒木馬等惡意代碼、惡意吸費(fèi)等流氓軟件、不良信息傳播、用戶隱私信息泄露等。這些問題都會給手機(jī)用戶帶來不少麻煩，影響用戶的體驗(yàn)，泄露個人信息，甚至還會造成錢財(cái)損失。所以移動互聯(lián)網(wǎng)終端安全問題必須引起足夠的重視，用戶的利益才能夠得到保障。

2 系統(tǒng)總體設(shè)計(jì)

應(yīng)用于移動互聯(lián)網(wǎng)的入侵檢測系統(tǒng)，主要由以下幾個模塊組成:數(shù)據(jù)采集模塊、數(shù)據(jù)分析模塊、入侵檢測模塊、數(shù)據(jù)庫。系統(tǒng)結(jié)構(gòu)圖如圖1所示。

圖1 系統(tǒng)結(jié)構(gòu)圖

2.1 數(shù)據(jù)采集模塊

數(shù)據(jù)采集模塊負(fù)責(zé)捕獲數(shù)據(jù)包，把用戶手機(jī)的上行下行數(shù)據(jù)都采集下來，之后發(fā)給后續(xù)的數(shù)據(jù)分析模塊處理。

數(shù)據(jù)包捕獲基于開源的libpcap，它可以按照指定的規(guī)則(如端口號、IP地址、協(xié)議類型等)對數(shù)據(jù)包進(jìn)行過濾，只捕獲用戶需要類型的數(shù)據(jù)包［2］。

2.2 數(shù)據(jù)分析模塊

數(shù)據(jù)分析模塊接收數(shù)據(jù)采集模塊發(fā)過來的數(shù)據(jù)包，并按照TCP/IP的各個層次解析數(shù)據(jù)包，解析時根據(jù)不同協(xié)議調(diào)用不同的解析函數(shù)。

2.3 入侵檢測模塊

入侵檢測模塊完成入侵攻擊的檢測與告警功能。該模塊將數(shù)據(jù)分析模塊發(fā)過來的數(shù)據(jù)和特征庫中的規(guī)則集合進(jìn)行比較和分析，判斷是否為入侵攻擊，如果是，則告警。

檢測的方法是以特征進(jìn)行檢測，所以在此之前，必須根據(jù)現(xiàn)有的已知入侵攻擊行為，提煉出特征信息，把這些特征組成一個特征庫(也就是規(guī)則集)，用這些規(guī)則去判斷是否發(fā)生了入侵。入侵規(guī)則集越豐富，能檢測出的入侵攻擊也就越多。

把用戶的數(shù)據(jù)和入侵檢測規(guī)則(如端口號、URL等特征字)進(jìn)行模式匹配，如果匹配成功則說明滿足了規(guī)則，則可以認(rèn)為發(fā)生了相應(yīng)的入侵攻擊，與此同時告警，告訴用戶存在安全問題的應(yīng)用程序，讓用戶及時采取措施。

2.4 數(shù)據(jù)庫

數(shù)據(jù)庫使用SQLite，SQLite是用于iPhone、Android等手機(jī)系統(tǒng)中的一個輕量級的、嵌入式的、關(guān)系型數(shù)據(jù)庫。當(dāng)檢測到有入侵攻擊時，數(shù)據(jù)庫就負(fù)責(zé)存儲這些信息，包括入侵攻擊截獲的時間、協(xié)議類型、源IP、目的IP、源端口、目的端口、數(shù)據(jù)內(nèi)容等，方便手機(jī)用戶隨時查證。

3 協(xié)議分析

協(xié)議分析是一項(xiàng)比較新的技術(shù)，由于網(wǎng)絡(luò)協(xié)議是具有規(guī)則性的，協(xié)議分析可以清楚地知道在數(shù)據(jù)包哪些位置可以獲取哪些內(nèi)容，并理解這些內(nèi)容的含義。協(xié)議分析的實(shí)質(zhì)就是識別各個協(xié)議頭，及其頭部各個字段的含義［3］。

TCP/IP由4個層次組成:網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。

媽媽給我買回了一架薩克斯，我剛剛打開盒子就被它的外貌吸引住了，閃閃發(fā)光的色澤，流線光滑的外表，精美的按鈕，他的笛頭就像小鴨子的嘴巴一樣扁扁的，再看他的喇叭就像豬八戒的耳朵一樣，肥肥大大！真有趣，這就是我的薩克斯，漂亮吧！

網(wǎng)絡(luò)接口層:幀=幀頭+IP數(shù)據(jù)包+幀尾(幀頭包括源MAC地址和目的MAC地址等)。

網(wǎng)絡(luò)層:IP數(shù)據(jù)包=IP頭部+TCP/UDP數(shù)據(jù)信息(IP頭包括源IP地址和目的IP地址等)。

傳輸層:TCP/UDP數(shù)據(jù)信息=TCP/UDP頭部+實(shí)際數(shù)據(jù)(TCP/UDP頭包括源端口號和目的端口號等)。

這樣一層層分離出頭部，分析頭部各個字段的含義，最后得到應(yīng)用層的用戶數(shù)據(jù)。根據(jù)各協(xié)議的特點(diǎn)以及特征庫中設(shè)置的規(guī)則，通過模式匹配就可以準(zhǔn)確地識別出是否為入侵攻擊。

下面以一個數(shù)據(jù)包為例進(jìn)行分析，數(shù)據(jù)包如圖2所示。

圖2 數(shù)據(jù)包(截圖)

圖2中，1～6 byte為目的MAC地址:0x0021273ff642;7～12 byte為源MAC地址:0xc46ab7305db7;13～14 byte為類型字段0x0800，根據(jù)協(xié)議可以判斷這個包是IP包。IP包的第10 byte為傳輸層協(xié)議標(biāo)識，即數(shù)據(jù)包的第24 byte 0x06，說明數(shù)據(jù)包是TCP協(xié)議數(shù)據(jù)包。TCP包的3～4 byte表示目的端口，是應(yīng)用層協(xié)議標(biāo)識，即數(shù)據(jù)包的37～38 byte 0x0050，則數(shù)據(jù)包的目的端口為80，說明是HTTP協(xié)議數(shù)據(jù)包。最后根據(jù)HTTP協(xié)議就可以知道URL是“GET/?q=xinwen123＆callback=rs_1365471732”。之后就可以與規(guī)則庫里的規(guī)則進(jìn)行匹配，判斷是否為入侵攻擊。

圖3 協(xié)議分析流程圖

協(xié)議分析的方法可以解決傳統(tǒng)模式匹配存在的一些問題，如計(jì)算量大，因?yàn)橐苿咏K端的CPU計(jì)算和存儲能力都是有限的，計(jì)算量過大會影響手機(jī)的性能。計(jì)算量減小可以提高匹配速率，并且由于協(xié)議有各自固有的格式，此方法可以降低誤報(bào)率，提高準(zhǔn)確率。

4 入侵檢測流程

入侵檢測流程如圖4所示。首先是系統(tǒng)初始化，將規(guī)則庫中的所有規(guī)則都讀入到內(nèi)存中。接著采集數(shù)據(jù)，捕獲數(shù)據(jù)包，并對數(shù)據(jù)包進(jìn)行層層協(xié)議分析，分析出協(xié)議各個字段的內(nèi)容。把這些字段的值和內(nèi)存中的規(guī)則進(jìn)行匹配，一旦匹配成功，則表示存在入侵，同時進(jìn)行告警。如果匹配失敗，則繼續(xù)匹配其余的規(guī)則直到所有規(guī)則都匹配完畢。如果直到最后都沒有匹配成功，則表明不是入侵攻擊，進(jìn)而開始重新捕獲數(shù)據(jù)包［4］。

圖4 入侵檢測流程圖

檢測的過程就是一個模式匹配的過程，自定義規(guī)則格式為:名稱端口關(guān)鍵字響應(yīng)。例如:惡意網(wǎng)址80 wap.a1ipay.com alert，這一規(guī)則表示，當(dāng)用戶訪問 wap.a1ipay.com這個網(wǎng)址時，則進(jìn)入了惡意網(wǎng)站，并發(fā)出告警，將命中這條規(guī)則的數(shù)據(jù)寫進(jìn)數(shù)據(jù)庫保存。數(shù)據(jù)庫格式如表1所示。

表1 數(shù)據(jù)庫

用這種描述語言來定義入侵規(guī)則，一旦發(fā)現(xiàn)新的入侵攻擊時，就可以用這種方式寫入新的入侵規(guī)則，而不必改動程序。把這些入侵攻擊表示成入侵規(guī)則存放在規(guī)則庫里，如果數(shù)據(jù)和規(guī)則庫中的某種規(guī)則匹配上了，就可以判斷出發(fā)生了何種入侵攻擊。

5 仿真實(shí)驗(yàn)

5.1 開發(fā)環(huán)境

本實(shí)驗(yàn)在java虛擬機(jī)JDK1.6版本，Eclipse3.7集成開發(fā)平臺下安裝ADT插件，并搭建Android開發(fā)環(huán)境。實(shí)驗(yàn)選取一臺PC，處理器Intel酷睿i3 3220，內(nèi)存4 Gbyte。操作系統(tǒng)為Win7，并對JDK配置其相應(yīng)的環(huán)境變量。Android模擬器配置如圖5所示。

5.2 結(jié)果分析

圖5 Android模擬器配置圖(截圖)

開啟入侵檢測應(yīng)用，通過Android模擬器訪問http://wap.a1ipay.com，這時入侵檢測應(yīng)用就會顯示如圖6所示界面，提示“入侵檢測中心檢測到http://wap.a1ipay.com為惡意網(wǎng)址”，表明用戶訪問了一個可能有危險的惡意網(wǎng)址，并讓用戶做出選擇，是繼續(xù)訪問，還是取消訪問，實(shí)現(xiàn)了檢測并響應(yīng)的功能。

圖6 檢測結(jié)果圖(截圖)

又選取20例惡意網(wǎng)址進(jìn)行測試，結(jié)果如表2所示。

表2 測試結(jié)果

實(shí)驗(yàn)結(jié)果說明，該入侵檢測系統(tǒng)方案可行，能較好地對入侵攻擊進(jìn)行檢測，但仍需要不斷完善特征庫，降低誤報(bào)率、漏報(bào)率。

6 結(jié)束語

智能手機(jī)已經(jīng)成為移動終端發(fā)展的主流，其中Android智能手機(jī)占的市場份額較大。隨著手機(jī)應(yīng)用的不斷豐富，功能不斷強(qiáng)大，其伴隨的安全問題不容小覷。本文研究了應(yīng)用于移動互聯(lián)網(wǎng)的入侵檢測系統(tǒng)，可以檢測出手機(jī)是否遭受了入侵攻擊，及時響應(yīng)告警，保障手機(jī)用戶的安全，有較好的實(shí)用性。該系統(tǒng)的準(zhǔn)確性如何很大程度上取決于特征庫的規(guī)則是否豐富。所以今后還需要進(jìn)一步的分析研究，使得入侵檢測特征庫更加豐富，判斷更加精準(zhǔn)。

:

［1］北京網(wǎng)秦天下科技有限公司.2012年上半年全球手機(jī)安全報(bào)告［EB/OL］.［2013－04－10］.http://wenku.baidu.com/view/3e02eb3d580216fc700afd8e.html.

［2］劉斌，代素環(huán).基于Libpcap的數(shù)據(jù)包捕獲機(jī)制的實(shí)現(xiàn)［J］.農(nóng)業(yè)網(wǎng)絡(luò)信息，2008(9):62－63.

［3］徐宇杰.TCP/IP協(xié)議深入分析［M］.北京:清華大學(xué)出版社，2009.

［4］曹元大.入侵檢測技術(shù)［M］.北京:人民郵電出版社，2007.