劉雅麗,石瑞峰,任曉亮

(1.內(nèi)蒙古農(nóng)業(yè)大學(xué) 計(jì)算機(jī)與信息工程學(xué)院,呼和浩特 010018; 2.天津中醫(yī)藥大學(xué) 中藥學(xué)院,天津 301617)

0 概述

長期演進(jìn)(Long Term Evolution,LTE)是近年來興起的一種多極蜂窩網(wǎng)絡(luò)技術(shù)。截至目前,大多數(shù)國家的運(yùn)營商已經(jīng)開通了LTE(VLTE)業(yè)務(wù)的第四代4G語音業(yè)務(wù)[1-2]。然而,隨著4G可用性以及OTT(Over The Top)移動(dòng)應(yīng)用的普及,移動(dòng)數(shù)據(jù)報(bào)文數(shù)量正在呈指數(shù)級增長。全球通信量的日益增長不僅對現(xiàn)有的硬件和通信基礎(chǔ)設(shè)施帶來了巨大的挑戰(zhàn),也增大了網(wǎng)絡(luò)攻擊和惡意活動(dòng)的風(fēng)險(xiǎn)。

第三代合作伙伴計(jì)劃(3GPP)引入了新的網(wǎng)絡(luò)節(jié)點(diǎn),稱為報(bào)文檢測功能(TDF),以識別通過分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-GW)的分組應(yīng)用類型。信息被傳遞到策略和計(jì)費(fèi)控制(PCC)系統(tǒng)中的策略和計(jì)費(fèi)執(zhí)行功能(PCEF),以針對相應(yīng)數(shù)據(jù)流執(zhí)行適當(dāng)?shù)膸挿峙浜陀?jì)費(fèi)規(guī)則[3-4]。然而,TDF節(jié)點(diǎn)在識別潛在的惡意包并將其提請網(wǎng)絡(luò)管理員注意方面也有可能充當(dāng)入侵檢測系統(tǒng)(IDS)。由于大量應(yīng)用采取了非標(biāo)準(zhǔn)端口,因此傳統(tǒng)的基于端口報(bào)文的分類方法在網(wǎng)絡(luò)入侵中的應(yīng)用較為有限。因此,對于執(zhí)行入侵檢測、病毒掃描和因特網(wǎng)內(nèi)容過濾,基于分組非IP報(bào)頭內(nèi)容的深度分組檢查(DPI)是更可靠的[6-7]。

文獻(xiàn)[8]提出DPI策略,為預(yù)防VoLTE網(wǎng)絡(luò)濫用提供了有效的途徑。盡管DPI提供了控制3GPP核心網(wǎng)絡(luò)中的業(yè)務(wù)和阻塞惡意分組的有用工具,可是TDF缺乏在突發(fā)業(yè)務(wù)下檢查所有監(jiān)控業(yè)務(wù)所需的資源,因此可能發(fā)生分組丟失。當(dāng)前,研究者提出各種解決方案來加速分組檢查過程。硬件解決方案包括FPGA[9]、網(wǎng)絡(luò)處理器[10]和多核處理器[11],它們提供并行性以增加吞吐量,但同時(shí)在購買專用硬件或多處理器機(jī)器時(shí)會(huì)帶來額外成本。諸如Snort[12]或BRO[13]之類的軟件解決方案使用模式匹配引擎來更有效地檢測入侵,但是隨著全球蜂窩數(shù)據(jù)報(bào)文的持續(xù)增長,仍然缺乏檢查所有分組的能力。在非常繁忙的報(bào)文負(fù)載下,IDS可能被迫丟棄數(shù)據(jù)包,以防止其成為系統(tǒng)中的瓶頸。為避免這個(gè)問題,需要減少檢查的數(shù)據(jù)包數(shù)量。文獻(xiàn)[14]研究表明,攻擊者可以精心設(shè)計(jì)能夠通過檢測的分組,使得潛在的惡意報(bào)文不被轉(zhuǎn)發(fā)到IDS。

在實(shí)踐中,LTE核心網(wǎng)絡(luò)中通過P-GW的報(bào)文流大部分來自聲譽(yù)良好的流媒體應(yīng)用程序或移動(dòng)應(yīng)用程序。因此,盲目地檢查所有分組而不考慮會(huì)話的侵入時(shí)間段不僅耗時(shí)和昂貴,而且是不必要的。為此,本文采用隨機(jī)檢測的方法,提出一種在TDF中進(jìn)行隨機(jī)分組檢測的方案,根據(jù)會(huì)話的感知入侵周期調(diào)整檢測率。同時(shí),建立一個(gè)分析模型,從入侵檢測率角度來評估所提檢測方案的性能。

1 算法框架

3GPP版本規(guī)定了用于在核心網(wǎng)絡(luò)中實(shí)現(xiàn)動(dòng)態(tài)網(wǎng)絡(luò)資源控制和計(jì)費(fèi)管理的標(biāo)準(zhǔn)化的基于IP的PCC體系結(jié)構(gòu)[15-16]。通過定義適當(dāng)?shù)囊?guī)則,在服務(wù)會(huì)話中PCC系統(tǒng)允許或丟棄某些分組,以符合其特定服務(wù)要求的方式向數(shù)據(jù)流分配網(wǎng)絡(luò)資源并據(jù)此進(jìn)行收費(fèi)。PCC規(guī)則通常包括服務(wù)數(shù)據(jù)流模板、相關(guān)服務(wù)質(zhì)量(QoS)描述(即上行鏈路/下行鏈路業(yè)務(wù)的QoS類和最大并保證帶寬)以及計(jì)費(fèi)信息(即測量方法和計(jì)費(fèi)密鑰)。圖1給出3GPP演進(jìn)分組核心的PCC系統(tǒng)基本架構(gòu)。

圖1 PCC系統(tǒng)3GPP演進(jìn)基本體系結(jié)構(gòu)Fig.1 The basic architecture of PCC system in 3GPP evolution

圖1說明了3GPP演進(jìn)包核心的PCC系統(tǒng)的基本結(jié)構(gòu)。系統(tǒng)的主要功能包含在一個(gè)稱為“策略和計(jì)費(fèi)規(guī)則功能”(PCRF)的獨(dú)立網(wǎng)絡(luò)節(jié)點(diǎn)和一個(gè)稱為“策略和計(jì)費(fèi)執(zhí)行功能”(PCEF)的邏輯節(jié)點(diǎn)中。PCRF生成用于控制數(shù)據(jù)流、管理QoS和應(yīng)用適當(dāng)充電規(guī)則的PCC規(guī)則。PCEF執(zhí)行這些規(guī)則,通常與P-GW搭配使用。訂閱者配置文件存儲庫(SPR)存儲相關(guān)訂閱者信息,例如訂閱的收費(fèi)計(jì)劃、可用的服務(wù)、所需的QoS等。流量檢測功能(TDF)執(zhí)行應(yīng)用程序檢測、報(bào)告和服務(wù)數(shù)據(jù)流描述。TDF包含兩個(gè)與DPI相關(guān)的組件,即網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)和簽名庫。NIDS執(zhí)行基于負(fù)載的入侵檢測,以監(jiān)視和分析通過P-GW的數(shù)據(jù)流,而簽名庫存儲已知的惡意代碼和簽名。通過將NIDS的輸出與簽名庫的內(nèi)容相匹配,TDF使操作員能夠識別數(shù)據(jù)包的應(yīng)用程序類型,并根據(jù)需要執(zhí)行網(wǎng)絡(luò)控制(例如丟棄可疑數(shù)據(jù)包以阻止?jié)撛诘木W(wǎng)絡(luò)攻擊)。

2 隨機(jī)分組檢測方案

2.1 模型構(gòu)建

如圖2所示,用戶會(huì)話保持tm=τ4-τ0時(shí)間。用戶在LTE網(wǎng)絡(luò)中的停留時(shí)間是由隨機(jī)變量tl進(jìn)行建模的。會(huì)話保持時(shí)間和LTE網(wǎng)絡(luò)駐留時(shí)間是兩個(gè)隨機(jī)變量,具有不同的分布。在圖2中,用戶在會(huì)話結(jié)束之前離開LTE網(wǎng)絡(luò),這可能發(fā)生在用戶實(shí)際切換到另一種無線接入技術(shù)(例如WiFi)或用戶移動(dòng)到?jīng)]有LTE信號的地方(例如隧道中)時(shí)。在這兩種情況下,沒有數(shù)據(jù)包被路由到TDF節(jié)點(diǎn),因此不進(jìn)行檢查[17-18]。

圖2 在TDF中執(zhí)行入侵檢測的時(shí)序圖Fig.2 Sequence diagram of intrusion detection performed in TDF

當(dāng)用戶駐留在LTE網(wǎng)絡(luò)中時(shí),TDF監(jiān)視的新會(huì)話的開始被建模為隨機(jī)觀察點(diǎn)。將rl表示為tl的剩余壽命;TDF監(jiān)視的用于通過分組檢查執(zhí)行入侵檢測的用戶會(huì)話時(shí)長是tx=min{tm,rl}。假設(shè)tx具有速率γ的指數(shù)分布,且具有密度函數(shù)形式:

fs(tx)=γe-γtx

(1)

(2)

圖3 OFF和ON周期的時(shí)序圖Fig.3 Sequence diagram of OFF and ON periods

2.2 檢測流程

2.1節(jié)所述模型適用于各種入侵檢測系統(tǒng),包括數(shù)據(jù)網(wǎng)絡(luò)或電信核心網(wǎng)絡(luò)。然而,由于電信核心網(wǎng)需要高QoS控制,因此有必要采用有效方式來對直接由PCEF處理的分組進(jìn)行分類,且需要通過TDF進(jìn)行進(jìn)一步的檢查。常規(guī)規(guī)則集過濾器(例如防火墻)無法確定哪些數(shù)據(jù)包需要深入研究。而隨機(jī)檢測方案可以平衡執(zhí)行DPI的成本,防止惡意數(shù)據(jù)包。

在圖2中,假設(shè)用戶會(huì)話在τ0開始并終止于τ4。在所提出的方案中,TDF在間隔(τ0,τ4)上隨機(jī)執(zhí)行多個(gè)分組檢查。在新會(huì)話開始時(shí),必須執(zhí)行分組檢查,因?yàn)楣粝蛄?如果存在)通常包含在流的前幾千字節(jié)內(nèi)。然后,通過預(yù)先配置的檢測率λ和隨機(jī)數(shù)發(fā)生器來確定其他分組檢查的發(fā)生時(shí)間。假設(shè)前三個(gè)分組檢查分別發(fā)生在τ0、τ1和τ2。令τp,i=τi-τi-1,表示第i和(i-1)個(gè)分組檢查之間的時(shí)間間隔,即E[τp,i]=1/λ。顯然,應(yīng)該根據(jù)會(huì)話的感知入侵期來設(shè)置λ的值。在本文中,λ的值是由檢測率、檢測成本和檢測延遲作為檢測率的函數(shù)分析模型來確定的,具體模型將在2.3節(jié)中給出。圖4給出了所提隨機(jī)檢測方案的處理流程。

圖4 隨機(jī)分組檢測處理流程Fig.4 Processing flow of random packet detection

當(dāng)接收到屬于特定會(huì)話的數(shù)據(jù)包時(shí),TDF首先檢查為會(huì)話配置的檢查字段的值。如果該字段被配置為“Inspection=Y”,則TDF執(zhí)行Set_Inspection過程來調(diào)度會(huì)話的下一次分組檢查。然后,TDF執(zhí)行DPI操作(步驟3),在該操作中,TDF掃描分組報(bào)頭,檢查應(yīng)用程序類型,并檢查有效負(fù)載是否存在惡意代碼。如果沒有檢測到簽名(步驟4),則將該分組傳遞到P-GW進(jìn)行策略控制(步驟6)。否則,該分組被丟棄以防止網(wǎng)絡(luò)入侵,并且會(huì)話也被阻塞,即這個(gè)會(huì)話的檢查過程也終止(步驟5)。如果在步驟1中將檢查字段配置為“Inspection=N”,則TDF將數(shù)據(jù)包直接轉(zhuǎn)發(fā)到P-GW以執(zhí)行策略控制(步驟6)。

圖5顯示了圖4中步驟2觸發(fā)的Set_Inspection檢查過程的細(xì)節(jié)。TDF首先將檢查字段的值設(shè)置為“N”(即不需要檢查)。然后,它為下一個(gè)分組檢查生成所需的間隔τp,i(步驟2.2)。在此基礎(chǔ)上,TDF確定檢查時(shí)間(步驟2.3)并配置檢查定時(shí)器(步驟2.4)。當(dāng)定時(shí)器到期時(shí),TDF將檢查字段的值設(shè)置為“Y”,在下次接收屬于會(huì)話的分組時(shí)觸發(fā)(參見圖4中的步驟1)。

圖5 Set_Inspection過程Fig.5 The Set_Inspection process

IDS研究人員一般使用假陽性率、假陰性率和檢測率3種度量來評估檢測性能。然而,本文提出的隨機(jī)檢測方案的目標(biāo)不是通過自身提高IDS的準(zhǔn)確性,而是假設(shè)在未確定的入侵開啟周期中生成的所有分組都是惡意分組并且攜帶與TDF使用的簽名庫相匹配的惡意代碼。換言之,本文研究的目的是讓操作者選擇檢測率的值,該值在給定的入侵期間實(shí)現(xiàn)檢測率、檢測成本和檢測延遲之間的平衡。

2.3 檢測率推導(dǎo)

本節(jié)推導(dǎo)條件概率Ps,假設(shè)該會(huì)話實(shí)際上包含惡意代碼,則該會(huì)話訪問入侵狀態(tài)“ON”。定義形式如下:

Ps=Pr[tp

(3)

如果會(huì)話從未訪問過“ON”狀態(tài),則Z=0,否則Z=1。首先,考慮用戶會(huì)話是否從狀態(tài)“1”或狀態(tài)“0”開始導(dǎo)出式(3)的分子。當(dāng)用戶會(huì)話開始于狀態(tài)1(即Pr[X(τ0)=1]=p的“ON”周期)時(shí),TDF可以在0處執(zhí)行第1次分組檢查時(shí)檢測入侵。因此,Pr[tp

Pr[tp

Pr[tp

(4)

當(dāng)X(τ0)=1時(shí),TDF檢測會(huì)話開始時(shí)的入侵。在這種情況下,tp=τp,0=0:

Pr[tp

(5)

綜合式(4)和式(5)可得:

Pr[tp

(6)

式(6)中的Pr[tp

(7)

令τr是從n1周期開始的時(shí)間段直到分組檢測發(fā)生。設(shè)τr具有密度函數(shù)gr(·)和分布函數(shù)Gr(·)。假定N(t)表示在長度t期間發(fā)生的分組檢查次數(shù)。根據(jù)記憶屬性可得:

Gr(t)=Pr[τr

(8)

(9)

對式(9)的推導(dǎo)可解釋為:將入侵周期稱為ON周期的后續(xù)周期。對于X(τ0)=0情形,用戶的會(huì)話以狀態(tài)OFF開始,入侵檢測僅發(fā)生在式(1)在前n1周期沒有會(huì)話終止時(shí),或者會(huì)話發(fā)生在第np個(gè)分組檢查之后,在第n1個(gè)ON周期中。利用Pr[rx>tOFF]表示在關(guān)閉期間沒有會(huì)話終止,其中:

(10)

類似可得:

(11)

(12)

因此,在第j周期的ON周期中,τr

(13)

(14)

將式(10)～式(14)代入式(9)可得:

Pr[tp

(15)

將式(15)代入式(3)可得:

(16)

同時(shí),可得:

(17)

為簡化,當(dāng)tOFF和tON具有指數(shù)分布且速率分別為μ0和μ1時(shí),tOFF和tON的拉普拉斯變換為:

(18)

將式(17)、式(18)代入式(16)可得檢測率推導(dǎo)模型為:

(19)

3 實(shí)驗(yàn)與結(jié)果分析

實(shí)驗(yàn)硬件設(shè)置:處理器i5-6400K,內(nèi)存16 GB ddr 4-2400K,仿真平臺Visual C++,系統(tǒng)為Win10旗艦版。構(gòu)建基于C++的離散事件仿真模型來驗(yàn)證本文所提出的隨機(jī)檢驗(yàn)分析模型性能。在執(zhí)行模擬時(shí),假定tOFF和tON都具有伽瑪分布特性。為簡化符號,令m0=E[tOFF]=1/μ0,m1=E[tON]=1/μ1,v0=V[tOFF],v1=V[tON]。f1(·)和f0(·)的拉普拉斯變換形式為[19-20]:

(20)

(21)

實(shí)驗(yàn)1報(bào)文檢測率的影響

圖6給出報(bào)文檢測率λ對入侵檢測率、檢測延遲的影響。圖中顯示了模擬結(jié)果(符號)和分析結(jié)果(實(shí)線)的對比?？梢钥闯?在每一種入侵周期里,兩組結(jié)果之間都存在良好的一致性,這證實(shí)了分析模型的有效性。對于每種考慮的入侵周期,隨著λ的增加,入侵檢測率增加,檢測延遲減小。

圖6 報(bào)文檢測率的影響Fig.6 Influence of message detection rate

由圖6可知,對于高危會(huì)話(m1=10m0),當(dāng)λ從100增加到101時(shí),入侵檢測率提高1.6%,檢測延遲減少68.1%。換言之,隨著檢測率的增加,檢測潛伏期顯著縮短。然而,當(dāng)λ從102增加到103時(shí),入侵檢測率僅提高了0.1%,檢測延遲減少了2.4%。因此,當(dāng)檢測率足夠高時(shí),在可以獲得檢測性能進(jìn)一步改進(jìn)的假設(shè)下,繼續(xù)增加檢測率沒有必要。圖6中表明,101<λ<1002的設(shè)置可以在檢測率和相關(guān)的檢測成本之間獲得可接受的平衡。同時(shí),圖6顯示該隨機(jī)檢測方案對于超長和長入侵周期會(huì)話表現(xiàn)良好。例如,給定λ=1檢測率,兩個(gè)會(huì)話入侵檢測率分別為97.8%和90%,而檢測延遲分別為0.38和1.49。如上所述,當(dāng)檢測率超過102,檢測潛伏期接近恒定值。這是因?yàn)榇嬖跁?huì)話,概率為1-p,在隨機(jī)時(shí)間之后生成帶有惡意代碼的數(shù)據(jù)包。

實(shí)驗(yàn)2用戶會(huì)話時(shí)間的影響

圖7給出預(yù)期的會(huì)話時(shí)間(E[tx]=1/γ)對入侵檢測率和檢測延遲兩個(gè)輸出量的影響?？梢钥闯?兩個(gè)輸出量的模擬結(jié)果與分析結(jié)果之間存在良好的一致性。

圖7 用戶會(huì)話時(shí)間的影響Fig.7 Impact of user session time

由圖7可以看出,當(dāng)1/γ在入侵期間中期(即1/μ0=1/μ1)從101增加到102時(shí),入侵檢測率提高0.8%,檢測延遲減少1%。對于恒定入侵級別,包含入侵周期(tON)的會(huì)話概率隨預(yù)期用戶會(huì)話時(shí)間的增加而增加。因此,TDF應(yīng)該執(zhí)行更多的分組檢測,以便檢測有效負(fù)載內(nèi)的惡意代碼。這樣會(huì)減少檢測延遲,但增加檢測成本。對于1/γ>102,入侵檢測率和檢測潛伏期基本保持不變,然而檢測成本顯著增加。在惡意會(huì)話中,可檢測前幾個(gè)分組或在會(huì)話的早期中間來識別惡意代碼存在,然后停止檢測過程。然而,對于非惡意會(huì)話,即使數(shù)據(jù)包不包含惡意代碼,TDF也在整個(gè)會(huì)話期間繼續(xù)執(zhí)行隨機(jī)檢測。因此,隨著用戶會(huì)話時(shí)間的增加,檢測成本增加?？赏ㄟ^指數(shù)級地增加檢測間隔來解決這個(gè)問題。

實(shí)驗(yàn)3方差v1的影響

圖8給出入侵持續(xù)時(shí)間的方差v1對入侵檢測率和檢測延遲的影響。與上文實(shí)驗(yàn)結(jié)果相同,分析和模擬結(jié)果具有良好的一致性。

圖8 方差v1的影響Fig.8 Influence of variance v1

由圖8可看出,當(dāng)v1>102時(shí),所有入侵級別的入侵檢測率都降低,檢測延遲增加。例如,對于中入侵周期(m1=m0)的會(huì)話,隨著v1從101增加到102,入侵檢測率從85%下降到77%,而檢測延遲從1.6增加到8.9。由于m1的平均值沒有改變,所以較大的v1值意味著會(huì)話包含較多的短“ON”周期,TDF更可能錯(cuò)過檢測包含惡意代碼分組的機(jī)會(huì),使檢測率降低。在實(shí)踐中,當(dāng)發(fā)現(xiàn)異常會(huì)話的“ON”周期長度有較大方差時(shí),可通過增加檢測率來解決這個(gè)問題。

4 結(jié)束語

移動(dòng)平臺數(shù)量的增加使LTE核心網(wǎng)絡(luò)面對的安全威脅日益增大。隨著全球移動(dòng)數(shù)據(jù)業(yè)務(wù)量持續(xù)增長,PCC系統(tǒng)中的TDF節(jié)點(diǎn)無法檢測通過網(wǎng)絡(luò)的所有分組,需要更有效的DPI技術(shù)。為此,本文提出一種隨機(jī)檢測方案,根據(jù)會(huì)話感知入侵周期調(diào)整檢測率。實(shí)驗(yàn)結(jié)果表明,當(dāng)會(huì)話的入侵周期統(tǒng)計(jì)量已知時(shí),該分析模型可以有效平衡LTE核心網(wǎng)絡(luò)中的檢測率、檢測成本和檢測延遲。下一步將考慮自動(dòng)識別會(huì)話風(fēng)險(xiǎn)的問題,即無需操作員的參與,使得分析模型可以在TDF上實(shí)現(xiàn),并且根據(jù)會(huì)話風(fēng)險(xiǎn)的變化動(dòng)態(tài)調(diào)整檢測率。此外,還將針對簽名在多個(gè)分組上傳播的情況進(jìn)行基于流的入侵檢測。